Zum Seiteninhalt springen

Kundenverträge

Joint Controllership Vereinbarung – talent.cloud
#

  1. Vertragsparteien
    Zwischen der

    karriere.at GmbH, FN 256668d, Donaupromenade 1, 4020 Linz,
    – im Folgenden auch kurz als „karriere.at“ bezeichnet –

    und

    «Firmenname», «Firmenbuchnummer» «StraßeNr», «Postleitzahl» «Ort»,
    – im Folgenden auch kurz als „Auftraggeber“ bezeichnet –
    gemeinsam „die Verantwortlichen“

    wird der folgende Vertrag geschlossen:

  1. Präambel
    1. Über die talent.cloud bietet karriere.at dem Auftraggeber die Möglichkeit, auf die von Kandidat*innen auf der Webseite von karriere.at gespeicherten Daten zuzugreifen und Kandidat*innen direkt zu kontaktieren. Dabei werden entweder automatisiert potentiell passende Talenteprofile aufgrund des ausgeschriebenen Stelleninserats zur Verfügung gestellt oder der Auftraggeber hat die Möglichkeit, über eine manuelle Suche Kandidat*innen zu finden. Der Auftraggeber sieht zunächst ausschließlich ein anonymes Profil und kontaktiert den anonymen Kandidaten direkt. Erst wenn die Kandidat*in selbst ausdrücklich zustimmt, erhält der Auftraggeber die angeforderten nicht anonymisierten personenbezogenen Daten überlassen.
    2. Der Account der Kandidat*inn und die dort hinterlegten personenbezogenen Daten können von der Kandidat*in jederzeit oder auf Anfrage an karriere.at gelöscht werden. Einmal an den Auftraggeber überlassene Daten sind davon nicht betroffen.
    3. karriere.at ist gemäß der DSGVO Verantwortlicher, da sie die Kandidat*innendaten gemäß ihren eigenen Strukturen zum Zwecke der Zusammenführung mit potentiellen Arbeitgebern verarbeitet. Sohin hat sie einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie personenbezogene Daten verarbeitet werden.
    4. Ebenso ist der Auftraggeber gemäß der DSGVO Verantwortlicher, da ihm erst durch die Einwilligung der bis dato anonymen Kandidat*in deren Daten überlassen werden. Der Auftraggeber hat ab diesem Zeitpunkt ebenso wie karriere.at einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden.
    5. Der Erlaubnistatbestand der Übermittlung an und die Verarbeitung durch den Auftraggeber liegt in der Einwilligung der Kandidat*in durch die (zweckgebundene) freiwilligen Überlassung der Daten an karriere.at sowie in der Folge in der informierten Einwilligung der Kandidat*in in die Überlassung an den Auftraggeber. Es handelt sich daher um die Übermittlung von einem Verantwortlichen (karriere.at) an einen anderen Verantwortlichen (Auftraggeber).
    6. Dadurch entsteht eine gemeinsame Verantwortung und die Verantwortlichen schließen diese Vereinbarung zur gemeinsamen Datenverarbeitung gemäß Art 26 DSGVO (Joint Controllership Vereinbarung).
    7. Sämtliche Begriffe dieser Vereinbarung, wie „Verarbeiter“, „personenbezogene Daten“ uä werden im Sinne der Datenschutzgrundverordnung (DSGVO), insbesonders Art 4 DSGVO, verwendet.
  1. Gegenstand der Vereinbarung
    1. Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung, welche im Hauptvertrag geregelt ist. Es handelt sich hierbei um die Leistung des Produktes talent.cloud.
    2. Gegenstand, Dauer und Umfang richten sich ausschließlich nach dem Hauptvertrag, insofern nicht in dieser Vereinbarung abweichendes getroffen werden.
    3. Diese Vereinbarung findet sohin auf alle Tätigkeiten Anwendung, welche mit dem Hauptvertrag in Zusammenhang stehen und bei denen die Verantwortlichen personenbezogene Daten verarbeiten.
    4. karriere.at verarbeitet sämtliche Daten innerhalb der Europäischen Union.
  1. Kategorien der betroffenen Personen
    1. Der Auftraggeber verarbeitet folgende Kategorien an betroffenen Personen:
      Kandidat*innen, die der Datenübermittlung ihrer Daten zugestimmt haben.
    2. karriere.at verarbeitet folgende Kategorien an betroffenen Personen:
      Kandidaten.
  1. Kategorien der personenbezogenen Daten
    1. Der Auftraggeber verarbeitet folgende Kategorien personenbezogene Daten
      Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Ausbildung, Kenntnisse, Wunschjob, Wunsch-Arbeitsort; optional weitere personenbezogene Daten, die der Kandidat im Bewerbungsschreiben oder dem Lebenslauf eingefügt hat.
    2. karriere.at verarbeitet folgende Kategorien personenbezogene Daten
      Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Ausbildung, Kenntnisse, Wunschjob, Wunsch-Arbeitsort; optional weitere personenbezogene Daten, die der Kandidat im Bewerbungsschreiben oder dem Lebenslauf eingefügt hat.
  1. Zweck der Datenverarbeitung
    Die Datenverarbeitung des Auftraggebers erfolgt ausschließlich zum Zwecke des Recruitings für eine von ihm zu besetzende Stelle. karriere.at stellt dem Auftraggeber die Daten ausschließlich zu diesem Zweck zur Verfügung.
  1. Pflichten der Verantwortlichen
    1. Nach der erfolgten Einwilligung der betroffenen Person zur Überlassung der Daten innerhalb dieser Vereinbarung verpflichten sich die Verantwortlichen jeweils, die Daten ausschließlich innerhalb der Rahmenbedingungen der DSGVO zu verarbeiten. Der Auftraggeber verpflichtet sich zudem, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Hauptvertrages, der Joint Controllership Vereinbarung sowie der Allgemeinen Geschäftsbedingungen von karriere.at zu verarbeiten.
    2. Der Auftraggeber darf Daten von betroffenen Personen nur im Rahmen dieser Vereinbarung zu den hierin genannten Zwecken verarbeiten. Verwendet der Auftraggeber die Daten außerhalb der Bestimmungen dieser Vereinbarung, obliegt es allein seiner Verantwortung, für die Rechtmäßigkeit der Verarbeitung gem Art 6 DSGVO zu sorgen.
    3. Die Verantwortlichen führen jeweils ein Verzeichnis über die bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art 30 DSGVO. Auf wechselseitige Anforderung werden diese zur Verfügung gestellt.
    4. karriere.at ist zur Dokumentation der Rechtmäßigkeit der Datenverarbeitung gem Art 6 DSGVO verpflichtet. karriere.at stellt die Daten betroffener Personen ausschließlich an Auftraggeber zur Verfügung, die der gegenständlichen Vereinbarung zustimmen und personenbezogene Daten gemäß den geltenden datenschutzrechtlichen Standards verarbeiten.
    5. Die Verantwortlichen erklären, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere Mitarbeiter, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der geltenden Datenschutzbestimmungen geschult und verpflichtet wurden. Der Auftraggeber gibt im Zuge dieses Vertragsverhältnisses jene Personen bekannt, die Zugriff auf die Daten betroffener Personen haben. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten, die die Verantwortlichen im Zusammenhang mit dem von Auftraggeber beauftragten Leistungen durchführen. Vertrauliche Informationen werden nur an beauftragte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen. Diese Verschwiegenheitsverpflichtung der mit dem Datenverkehr beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftraggeber aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten.
    6. Die Verantwortlichen erklären, dass ausreichende Sicherheitsmaßnahmen, insbesonders im Sinne des Art 32 DSGVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Auf Anfrage stellen sie einander eine Auflistung der technischen und organisatorischen Maßnahmen („TOMs“) zur Verfügung. Diese Maßnahmen sind beispielsweise Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen, aber auch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren.
    7. Die Verantwortlichen können sich Auftragsverarbeiter iSd DSGVO bedienen, sofern die Auftragsverarbeiter dieselben Verpflichtungen eingehen, die dem Verantwortlichen auf Grund dieser Vereinbarung obliegen.
    8. Der Auftraggeber räumt karriere.at hinsichtlich der Verarbeitung der von ihr überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen beim Auftraggeber ein. Die Einsichtnahmen werden nur nach Vereinbarung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durchgeführt.
    9. Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch karriere.at werden die Daten nach Wahl von karriere.at vom Auftraggeber anonymisiert oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien oder gibt diese Datenträger an karriere.at zurück. Der Auftraggeber erbringt über diese Maßnahmen einen geeigneten Nachweis. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
    10. Die Verantwortlichen benennen einen Datenschutzbeauftragten, soweit die Voraussetzungen des Art 37 DSGVO vorliegen. Muss keine Datenschutzbeauftragte*r benannt werden, benennen die Verantwortlichen eine Kontaktperson. Die Kontaktperson von karriere.at ist auf der karriere.at Webseite angeführt.
  1. Umsetzung von Rechten betroffener Personen
    1. Die Verantwortlichen sind verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten aus der DSGVO , insbesondere der Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung), Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen entsprochen werden kann.
    2. Soweit eine betroffene Person sich zwecks Durchsetzung seiner Rechte unmittelbar an einen Verantwortlichen wenden sollte, aber erkennbar ist, dass beide Verantwortliche angesprochen sind, wird der kontaktierte Verantwortliche dem anderen Verantwortlichen dieses Ersuchen unverzüglich weiterleiten. Die Verantwortlichen vereinbaren dabei eine gegenseitige Antwortfrist von max. 2 Wochen.
    3. Die Verantwortlichen können vereinbaren, dass die Kommunikation gegenüber der betroffenen Person weiterhin über den erstkontaktierten Verantwortlichen geführt wird.
    4. Die Verantwortlichen haben die Rechte der betroffenen Personen in ihrer eigenen Sphäre durchzuführen und sind allein für die rechtmäßige Umsetzung haftbar.
  1. Data Breach
    1. Die Verantwortlichen verpflichten sich, einander im Falle einer Verletzung des Schutzes personenbezogener Daten iSd Art 33 DSGVO wechselseitig unverzüglich zu informieren und sich, wenn nötig, die Informationen gem Art 33 Abs 3 DSGVO gegenseitig zu überlassen.
    2. Sind beide Verantwortlichen verpflichtet, Meldung an die Aufsichtsbehörde zu erstatten, werden sie die gemeinsame Umsetzung unter Berücksichtigung der 72 Stunden Frist abstimmen. Dasselbe gilt für Meldungen, die gem Art 34 DSGVO durchzuführen sind.
    3. Ebenso unterrichten sich die Verantwortlichen unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Die Vertragsparteien treffen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und sprechen sich hierzu unverzüglich mit dem anderen Verantwortlichen ab.
  1. Haftung
    1. Die Verantwortlichen haften entsprechend Art 82 Abs 2 DSGVO gegenüber betroffenen Personen jeweils selbst. Im Falle einer Inanspruchnahme eines Verantwortlichen durch eine betroffene Person nach Art 82 DSGVO, oder beim Verdacht einer Meldepflicht nach Artt 33 und 34 DSGVO verpflichtet sich der andere Verantwortliche zur Erfüllung der Anfragen und Ansprüche, Meldung an die Aufsichtsbehörde oder Abwehr der Ansprüche.
    2. Wird karriere.at von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Auftraggebers liegen, so hält der Auftraggeber karriere.at zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Auftraggeber ein eigenes Verfahren geführt wurde.
    3. Keiner der Verantwortlichen kann sich beim anderen Verantwortlichen wegen eines zumindest überwiegend in der eigenen Sphäre verursachten Fehlers oder Verstoßes gegen die Bestimmungen dieser Vereinbarung oder der anzuwendenden datenschutzrechtlichen Bestimmungen schad- und klaglos halten.
    4. Verwendet der Auftraggeber personenbezogene Daten, die im Rahmen dieser Vereinbarung übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise, haftet er allein und zur Gänze bei Inanspruchnahme durch eine betroffene Person oder Aufsichtsbehörde bzw. kann karriere.at sich bei Inanspruchnahme zur Gänze an ihm schad- und klaglos halten. Zudem ist karriere.at berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Der vereinbarte Entgeltsanspruch von karriere.at bleibt davon unberührt.
  1. Schriftform, Gerichtsstand, Insolvenz, Sonstiges
    1. Dieser Vertrag wird mit seiner Unterfertigung oder mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Annahme des Hauptvertrages, erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.
    2. Es gilt österreichisches Recht. Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist das für karriere.at sachlich und örtlich zuständige Gericht. Dabei steht es karriere.at frei, etwaige Ansprüche aus dieser Vereinbarung auch bei dem für den Sitz des Auftraggebers sachlich und örtlich zuständigen Gericht geltend zu machen. Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.
    3. Sollten die Daten von karriere.at beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber karriere.at unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei karriere.at liegen.
    4. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollte eine Bestimmung dieser Vereinbarung ungültig sein oder werden, bleibt die Vereinbarung selbst, samt aller übrigen Bestimmungen gültig und aufrecht.

VEREINBARUNG ZUR AUFTRAGSDATENVERARBEITUNG #

  1. Vertragsparteien
    Zwischen der

    karriere.at GmbH, FN 256668d, Donaupromenade 1, 4020 Linz,
    – im Folgenden auch kurz als „Auftragsverarbeiter“ bezeichnet –

    und

    «Firmenname», «Firmenbuchnummer», «Straße Nr», «Postleitzahl» «Ort»,
    – im Folgenden auch kurz als „Verantwortlicher“ bezeichnet –
    – im Folgenden gemeinsam auch kurz als „Vertragsparteien“ bezeichnet –

    wird der folgende Vertrag geschlossen:

  1. Vertragsgegenstand
    1. Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung über einen Hauptvertrag zu einer oder mehrerer der folgenden Dienstleistungen/Aufträge:
      Veröffentlichung von Stelleninseraten (inkl One-Click-Bewerbung)
      Erstellung und/oder Veröffentlichung von Arbeitgeberprofilen
      Nutzung des Bewerber Management Systems
    2. Gegenstand, Dauer und Umfang richten sich ausschließlich nach dem Hauptvertrag, insofern nicht in diesem Vertrag aus rechtlichen Notwendigkeiten abweichende Erfordernisse getroffen werden mussten. Die Verpflichtung zur Geheimhaltung über die im Zuge dieser Geschäftsbeziehung erhaltenen Daten bleibt zeitlich unbegrenzt aufrecht.
    3. Im Rahmen des Hauptvertrages erbringt der Auftragsverarbeiter an den Verantwortlichen Dienstleistungen, bei denen der Auftragsverarbeiter mit der Erstellung, Bearbeitung und Auswertung von Daten, Unterlagen und Informationen befasst ist, die der Auftragsverarbeiter vom Verantwortlichen sowie gegebenenfalls von einem von diesem beauftragten Dritten erhält. Es handelt sich hierbei um eine Verarbeitung von personenbezogenen Daten. Eine Vereinbarung zur Auftragsdatenverarbeitung gemäß Art 28 EU-Datenschutzgrundverordnung (DSGVO) ist erforderlich.
    4. Diese Vereinbarung regelt alle Tätigkeiten, welche mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragsverarbeiter bzw. seine Beschäftigten oder durch ihn beauftragte Personen personenbezogene Daten des und für den Verantwortlichen verarbeiten.
    5. Sämtliche Begriffe dieser Vereinbarung, wie „Verarbeiter“, „personenbezogene Daten“ uä werden im Sinne der Datenschutzgrundverordnung (DSGVO), insbesonders Art 4 DSGVO, verwendet. Darüber hinaus sollen folgende Begriffe wie folgt verstanden werden:
      1. Datenverarbeitung im Auftrag: Eine Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nach Weisung und im Auftrag des Verantwortlichen.
      2. Weisung: Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiters mit personenbezogenen Daten gerichtete Anordnung des Verantwortlichen. Weisungen werden anfänglich durch den Hauptvertrag festgelegt; der Verantwortliche hat ein Weisungsrecht im Rahmen dieser vereinbarten Leistung.
      3. Subunternehmer: Als Auftragsverarbeiter des Auftragsverarbeiters im Sinne der DSGVO ist der Subunternehmer ein „weiterer Auftragsverarbeiter“.
      4. Drittland: Ein Land, das sich außerhalb der EU/EWR befindet.
  2. Voraussetzungen
    1. Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesonders für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich („Verantwortlicher“ im Sinne des Art 4 Z 7 DSGVO).
    2. Der Auftragsverarbeiter selbst führt für die Datenverarbeitung ein Verzeichnis der bei ihm stattfindenden Verarbeitungstätigkeiten im Sinne des Art 30 DSGVO, welches er ganz oder in den relevanten Teilen dem Verantwortlichen auf Anfrage zur Verfügung stellt.
    3. Soweit der Auftragsverarbeiter die Zwecke und Mittel der Datenverarbeitung selbst bestimmt, gilt der Auftragsverarbeiter in Bezug auf diese Verarbeitung als Verantwortlicher iSd Art 4 Z 7 DSGVO.
  1. Kategorien der betroffenen Personen
    1. Der Auftragsverarbeiter verarbeitet folgende Kategorien an betroffenen Personen:
      1. Bewerber*in
      2. Mitarbeiter*in des Verantwortlichen
    2. Der Verantwortliche verarbeitet folgende Kategorien an betroffenen Personen:
      1. Bewerber*in
      2. Mitarbeiter*in des Auftragsverarbeiters
  2. Kategorien der personenbezogenen Daten
    1. Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten:
      1. Bewerber*innendaten: Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Ausbildung, Kenntnisse, Wunschjob, Wunsch-Arbeitsort; optional weitere personenbezogene Daten, die die Kandidat*in im Bewerbungsschreiben oder dem Lebenslauf eingefügt hat.
      2. Mitarbeiter*in des Verantwortlichen: Name, Vorname, E-Mail-Adresse, Telefonnummer, Fotos oder bewegte Bilder, persönliche Statements zum Verantwortlichen als Arbeitgeber und weitere personenbezogene Daten.
    2. Der Verantwortliche verarbeitet folgende Kategorien personenbezogene Daten:
      1. Bewerber*innendaten: Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Ausbildung, Kenntnisse, Wunschjob, Wunsch-Arbeitsort; optional weitere personenbezogene Daten, die der Kandidat im Bewerbungsschreiben oder dem Lebenslauf eingefügt hat.
      2. Mitarbeiter*in des Auftragsverarbeiters: Name, Vorname, E-Mail-Adresse, Telefonnummer.
  3. Zweck und Ort der Datenverarbeitung
    1. Der Zweck der Datenverarbeitung richtet sich nach dem Hauptvertrag. Die Datenverarbeitung des Verantwortlichen erfolgt ausschließlich zum Zwecke des Recruitings (Veröffentlichung von Stelleninseraten inkl One-Click-Bewerbung), der Verwaltung für eine von ihm zu besetzende Stelle (Nutzung des Bewerber Management Systems) oder für Marketingzwecke zugunsten seines Unternehmens (Erstellung und/oder Veröffentlichung von Arbeitgeberprofilen).
    2. Der Auftragsverarbeiter verarbeitet die Daten des Verantwortlichen ausschließlich zu diesem Zweck, solange er von der betroffenen Person keine weitergehenden eigenen Befugnisse erhalten hat.
    3. Die Vertragsparteien verarbeiten die Mitarbeiterdaten des jeweils anderen im Rahmen der Geschäftsbeziehung und zur Erfüllung der gesetzlich vorgeschriebenen Aufgaben sowie zum Support und zur Wartung der operativen Systeme.
    4. Der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU / des EWR durch.
  1. Rechte und Pflichten der Vertragsparteien
    1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Aufträge des Verantwortlichen und nach Weisung iSd Punkt 7.3 zu verarbeiten und ausschließlich dem Verantwortlichen zurückzugeben oder nur nach dessen schriftlichem Auftrag zu übermitteln. Die Vervielfältigung der erhaltenen Daten, Unterlagen und Informationen durch Auftragsverarbeiter bedarf ausdrücklich der vorherigen schriftlichen Zustimmung des Verantwortlichen. Desgleichen bedarf eine Verwendung der überlassenen Daten für eigene Zwecke des Auftragsverarbeiters eines derartigen schriftlichen Auftrages.
    2. Der Verantwortliche benennt eine dem Auftragsverarbeiter gegenüber weisungsberechtigten Personen. Für den Fall, dass keine solche genannt werden, ist ausschließlich die gesetzliche Vertretung des Verantwortlichen zur Weisung berechtigt.
    3. Der Auftragsverarbeiter verarbeitet Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Verantwortlichen, außer es liegt ein Ausnahmefall im Sinne des Art 28 Abs 3 lit a DSGVO vor. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragsverarbeiter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde. Die Weisungen werden durch den Hauptvertrag festgelegt und können vom Verantwortlichen danach in schriftlicher an die vom Auftragsverarbeiter bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Sämtliche Weisungen sind in Schriftform zu erteilen oder im Falle einer Dringlichkeit, in Schriftform nachzureichen. Rechtswidrigen Weisungen ist vom Auftragsverarbeiter nicht nachzukommen.
    4. Der Auftragsverarbeiter kann ein anderes Unternehmen (Subauftragsverarbeiter) auch ohne Zustimmung des Verantwortlichen zur Durchführung von Verarbeitungen heranziehen. Der Auftragsverarbeiter hat den Verantwortlichen von der beabsichtigten Heranziehung eines Subauftragsverarbeiters zu verständigen. Widerspricht der Verantwortliche einer Änderung, führt dies zu einem Sonderkündigungsrecht des Hauptvertrages unabhängig von der Laufzeit. Keinesfalls können daraus etwaige Schadenersatzforderungen oder andere Ansprüche gegen den Auftragsverarbeiter gegründet sein.
    5. Ein Vertrag zwischen dem Auftragsverarbeiter und dem Subauftragsverarbeiter im Sinne der DSGVO stellt sicher, dass der Subauftragsverarbeiter dieselben Verpflichtungen eingeht, die der Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen. Ebenso wird der Auftragsverarbeiter die Einhaltung der vereinbarten Verpflichtungen regelmäßig kontrollieren.
    6. Eine Liste der aktuellen Subauftragsverarbeiter steht unter https://www.karriere.at/kunden... zur Verfügung. Für diese Subauftragsverarbeiter gilt die Einwilligung für das Tätigwerden mit Vertragsschluss als erteilt.
    7. Der Auftragsverarbeiter erklärt, dass alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der DSGVO verpflichtet wurden. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personen- und firmenbezogenen Daten, die der Auftragsverarbeiter im Zusammenhang mit dem von Verantwortlichen beauftragten Leistungen durchführt. Insbesondere bleibt die Verschwiegenheitsverpflichtung, der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
    8. Der Auftragsverarbeiter setzt darüber hinaus im Rahmen der Auftragsdurchführung nur solche Mitarbeiter*innen ein, die bei der Aufnahme ihrer Tätigkeit gemäß der DSGVO auf das Datengeheimnis und die in dieser Vereinbarung geregelten Voraussetzungen mit schriftlicher Bestätigung verpflichtet worden sind. Vertrauliche Informationen werden nur an berechtigte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen.
    9. Der Auftragsverarbeiter erklärt, dass ausreichende Sicherheitsmaßnahmen im Sinne der DSGVO ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden.
    10. Der Auftragsverarbeiter gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Maßnahmen („TOMs“) zum angemessenen Schutz der Daten des Verantwortlichen, die den Anforderungen iSd Art 32 DSGVO genügen.
    11. Eine Darstellung der TOMs ist unter https://www.karriere.at/kunden... tagesaktuell abrufbar. Dem Verantwortlichen sind diese TOMs bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
    12. Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch den Verantwortlichen, insofern dies vom Weisungsrecht umfasst ist, werden die Daten nach Wahl des Verantwortlichen berichtigt oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Verantwortlichen oder gibt diese Datenträger an den Verantwortlichen zurück, sofern nicht im Vertrag bereits vereinbart. Dem Verantwortlichen ist jeweils hierüber seitens des Auftragsverarbeiters gegebenenfalls ein geeigneter Nachweis zu erbringen (Protokoll). Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Verantwortlichen.
    13. Der Auftragsverarbeiter ist bei Vertragsschluss nicht verpflichtet, gemäß Art 37 DSGVO einen Datenschutzbeauftragten zu benennen. Allerdings benennt der Auftragsverarbeiter dem Verantwortlichen einen entsprechenden allgemeinen Kontakt auf seiner Website.
  1. Umsetzung von Rechten betroffener Personen
    1. Weiters verpflichtet sich der Auftragsverarbeiter, alle technischen und organisatorischen Voraussetzungen zu treffen, damit der Verantwortliche seine Verpflichtungen nach Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung, Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) DSGVO gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen.
    2. Der Auftragsverarbeiter verpflichtet sich auch, während der Vertragslaufzeit mit sämtlichen personenbezogenen Daten nach genauer Anweisung des Verantwortlichen zu handeln und diese auf Anforderung zu löschen, zu sperren, zu berichtigen, zu übertragen oder hierüber Auskunft zu geben. Soweit eine betroffene Person sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Sperrung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
    3. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen geeignete Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragsverarbeiter kann den Nachweis beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbringen.
  1. Data Breach
    1. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen unverzüglich zu informieren, wenn der Auftragsverarbeiter, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten unter Verstoß gegen diese Vereinbarung unbefugten Dritten zugänglich wurden.
    2. Ebenso unterrichtet der Auftragsverarbeiter den Verantwortlichen unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten.
    3. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Verantwortlichen ab.
    4. Ist der Verantwortliche verpflichtet, Meldung an die Aufsichtsbehörde oder an die betroffenen Personen zu erstatten, steht der Auftragsverarbeiter dem Verantwortlichen unter Berücksichtigung der 72 Stunden Frist für Abstimmungen und weitere Informationen zur Verfügung. Der Verantwortliche ist seinerseits verpflichtet, den Auftragsverarbeiter so rechtzeitig über den Sachverhalt zu informieren, dass dieser mindestens 36 Stunden an Werktagen für die Bereitstellung der zuerst angeforderten Informationen hat.
  1. Haftung
    1. Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen grundsätzlich gemäß Art 82 DSGVO.
    2. Im Falle einer Inanspruchnahme des Verantwortlichen durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art 82 DSGVO verpflichtet sich der Auftragsverarbeiter, den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche oder Abwehr der Ansprüche Artt 12 -23 DSGVO sowie bei der Einhaltung der in Art 33 bis 36 DSGVO genannten Pflichten im Rahmen seiner Möglichkeiten zu unterstützen.
    3. Wird der Auftragsverarbeiter von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Verantwortlichen liegen, etwa die Verarbeitung in rechtswidriger, zweckwidriger oder in sonstiger unzulässiger Weise, so hält der Verantwortliche den Auftragsverarbeiter zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Verantwortlichen ein eigenes Verfahren geführt wurde.
    4. Zudem ist der Auftragsverarbeiter im Falle einer Inanspruchnahme nach 10.3. berechtigt, den Account des Verantwortlichen zu sperren. Der vereinbarte Entgeltsanspruch des Auftragsverarbeiters bleibt davon unberührt.
  1. Schriftform, Gerichtsstand, Sonstiges
    1. Dieser Vertrag wird mit seiner Unterfertigung oder mit Zustimmung durch den Verantwortlichen rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Annahme des Hauptvertrages erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.
    2. Es gilt österreichisches Recht. Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist das für den Auftragsverarbeiter sachlich und örtlich zuständige Gericht. Dabei steht es dem Auftragsverarbeiter frei, etwaige Ansprüche aus dieser Vereinbarung auch bei dem für den Sitz des Verantwortlichen sachlich und örtlich zuständigen Gericht geltend zu machen. Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.
    3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollte eine Bestimmung dieser Vereinbarung ungültig sein oder werden, bleibt die Vereinbarung selbst, samt aller übrigen Bestimmungen gültig und aufrecht.

LISTE DER TECHNISCHEN / ORGANISATORISCHEN MASSNAHMEN
#

TYP ID Bereich Zusammenfassung
Organisatorisch TOM-37 Auftragskontrolle Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit und DSGVO-Compliance)
Organisatorisch TOM-38 Auftragskontrolle Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
Organisatorisch TOM-39 Auftragskontrolle Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag)
Organisatorisch TOM-40 Auftragskontrolle Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags (laut Auftragsdatenverarbeitungsvertrag)
Organisatorisch TOM-41 Auftragskontrolle Verpflichtung der Mitarbeiter*in des Auftragnehmers auf das Datengeheimnis Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags (laut Auftragsdatenverarbeitungsvertrag)
Organisatorisch TOM-43 Auftragskontrolle Vorherige Prüfung der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen und entsprechender Dokumentation
Organisatorisch TOM-44 Auftragskontrolle Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbaren Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags (laut Auftragsdatenverarbeitungsvertrag)
Technisch TOM-64 Auftragskontrolle Dokumentation von technischen Support-Anfragen in einem zentralen System
Technisch TOM-32 Eingabekontrolle Systeme zur Protokollierung der Eingabe, Änderung und Löschung von Daten.
Organisatorisch TOM-35 Eingabekontrolle ”Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzer*innennamen (nicht Benutzer*innengruppen)”
Organisatorisch TOM-36 Eingabekontrolle ”Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts”
Technisch TOM-57 Trennungsgebot Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
Technisch TOM-58 Trennungsgebot Trennung von Produktiv- und Testsystem
Organisatorisch TOM-60 Trennungsgebot Berechtigungskonzept
Organisatorisch TOM-61 Trennungsgebot Festlegung von Datenbankrechten
Organisatorisch TOM-62 Trennungsgebot Logische Mandantentrennung (softwareseitig)
Technisch TOM-45 Verfügbarkeitskontrolle Feuerlöschgeräte in Serverräumen
Technisch TOM-46 Verfügbarkeitskontrolle Feuer- und Rauchmeldeanlagen
Technisch TOM-47 Verfügbarkeitskontrolle Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
Technisch TOM-48 Verfügbarkeitskontrolle Klimaanlage in Serverräumen
Technisch TOM-49 Verfügbarkeitskontrolle Schutzsteckdosenleisten in Serverräumen
Technisch TOM-50 Verfügbarkeitskontrolle Unterbrechungsfreie Stromversorgung (USV)
Organisatorisch TOM-51 Verfügbarkeitskontrolle ”Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort”
Organisatorisch TOM-52 Verfügbarkeitskontrolle Backup- & Recoverykonzept
Organisatorisch TOM-54 Verfügbarkeitskontrolle Testen von Datenwiederherstellung
Organisatorisch TOM-55 Verfügbarkeitskontrolle Serverräume nicht unter sanitären Anlagen
Technisch TOM-28 Weitergabekontrolle Einrichtungen von VPN-Tunneln
Organisatorisch TOM-65 Weitergabekontrolle Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
Technisch TOM-6 Zugangskontrolle Authentifikation mit Benutzer + Passwort
Technisch TOM-7 Zugangskontrolle Einsatz von Anti-Viren-Software
Technisch TOM-8 Zugangskontrolle Einsatz von Firewalls
Technisch TOM-9 Zugangskontrolle Einsatz von VPN-Technologie
Technisch TOM-10 Zugangskontrolle Gehäuseverriegelung
Technisch TOM-11 Zugangskontrolle Verschlüsselung von Datenträgern
Organisatorisch TOM-12 Zugangskontrolle Benutzerberechtigungen verwalten
Organisatorisch TOM-13 Zugangskontrolle Erstellen von Benutzerprofilen
Organisatorisch TOM-14 Zugangskontrolle Passwortvergabe / Passwortregeln
Organisatorisch TOM-16 Zugangskontrolle Sorgfältige Auswahl von Sicherheitspersonal
Technisch TOM-17 Zugriffskontrolle Einsatz von Aktenvernichtern
Technisch TOM-18 Zugriffskontrolle Ordnungsgemäße Vernichtung von Datenträgern (DIN 32757)
Technisch TOM-19 Zugriffskontrolle Physische Löschung von Datenträgern vor deren Wiederverwendung
Organisatorisch TOM-22 Zugriffskontrolle Anzahl der Administrator*innen auf das „Notwendigste” reduzieren
Organisatorisch TOM-23 Zugriffskontrolle Einsatz von Dienstleistern zur Akten- und Datenvernichtung (nach Möglichkeit mit Zertifikat)
Organisatorisch TOM-25 Zugriffskontrolle Passwortrichtlinie inkl. Länge und Wechsel
Organisatorisch TOM-26 Zugriffskontrolle Sichere Aufbewahrung von Datenträgern
Organisatorisch TOM-27 Zugriffskontrolle Verwaltung der Benutzungsrechte durch Systemadministrator*innen
Technisch TOM-2 Zutrittskontrolle Alarmanlage
Technisch TOM-3 Zutrittskontrolle Automatisches Zugangskontrollsystem
Technisch TOM-4 Zutrittskontrolle Sicherheitsschlösser

LISTE DER SUBAUFTRAGSVERARBEITER #

  1. easyname GmbH, Hosting, 1100 Wien
  2. Emarsys, E-Mail, 1150 Wien
  3. eRecruiter, Bewerbungsverwaltung, 4020 Linz
  4. conova communications GmbH, Karolingerstraße 36A, 5020 Salzburg
  5. ghostwood film GmbH, 1130 Wien
  6. HubSpot, Inc., USA
  7. Bannerflow AB, Schweden, Produktion Videoinserate