Vereinbarung zur Auftragsdatenverarbeitung gem. Art 28 DSGVO

1.      Vertragsparteien

Zwischen dem Auftragsverarbeiter, der

iswipe GmbH,
Altenmarkterstraße 6,
8430 Leibnitz,
UID: ATU77954304

im Folgenden als „Auftragnehmer“ bezeichnet,

und dem Verantwortlichen,

«Firmenname»,
«Straße» «Nr»,
«Postleitzahl» «Ort»,
UID: «UID-Nr.»

im Folgenden als „Auftraggeber“ bezeichnet, wird nachfolgender Vertrag beschlossen.

2.      Präambel

Der Auftragnehmer  betreibt unter der Domain iswipe.jobs eine intelligente Smart Recruiting und Talent Pool Börse. Diese steht Endverbrauchern, welche in der Regel Arbeitssuchende oder Bewerber sind (im Folgenden „Nutzer“), sowie Unternehmen nach einer Business-Registrierung, (im Folgenden „Auftraggeber“), uneingeschränkt zur Verfügung.

Dieser Vertag gilt neben der vom Auftragnehmer betriebene Website iswipe.jobs auch für weitere Websites, die von iswipe unter der Domain „iswipe“ oder als Produkt „iswipe“ betrieben werden, deren mobilen Applikationen, die zusammengefasst im Folgenden als „Börse“ bezeichnet werden.

Falls der Auftraggeber diesem Vertrag nicht zustimmt, können die auf der Börse angebotenen Dienstleistungen nicht genutzt werden. Eine andere Vereinbarung zur Auftragsdatenverarbeitung gem. Art 28 DSGVO findet keine Anwendung.

3.      Gegenstand und Zweck der Vereinbarung

Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung, welche im Zuge der Registrierung des Auftraggebers auf der Börse abgeschlossen wird. Der Auftragnehmer ermöglicht dem Auftraggeber die Nutzung der Börse, welche im Wesentlichen folgende Dienstleistungen erbringt:

    • Registrierung des Auftraggebers auf der Börse
    • Veröffentlichung von Stellenanzeigen des Auftraggebers auf der Börse
    • Aktive Personalsuche des Auftraggebers
    • Erstellung und Repräsentation eines Arbeitgeberprofils des Auftraggebers
    • Erstellung und Verwaltung eines Talent- und Mitarbeiter Pools des Auftraggebers
    • Nutzung der damit verbundenen Services, wie z.B.: Verwaltung empfangener Bewerbungen und freigeschalteter Profile von Nutzer, Verwaltung der Nutzer im Talent- und Mitarbeiter Pool, Kommunikation mit Nutzer, Auswertungen zur erreichten Performance.

4.      Kategorien betroffener Personen

Der Auftragnehmer verarbeitet folgende Kategorien an betroffenen Personen:

Nutzer, Mitarbeiter des Auftraggebers

Der Auftraggeber verarbeitet folgende Kategorien an betroffenen Personen:

Nutzer, Mitarbeiter des Auftragnehmers

5.      Kategorien personenbezogenen Daten

5.1.   Dar Auftragnehmer verarbeitet folgende Kategorien personenbezogener Daten:

Nutzerdaten:  Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfasst. Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.

Mitarbeiter des Auftraggebers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung der Börse erfasst werden.

5.2.   Dar Auftraggeber verarbeitet folgende Kategorien personenbezogener Daten:

Nutzerdaten:  Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfasst. Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.

Mitarbeiter des Auftragnehmers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung der Börse erfasst werden.

6.      Dauer der Verarbeitung

Die Kündigungsfrist richtet sich nach dem Hauptvertrag, der im Zuge der Registrierung auf der Börse abgeschlossen wird und in dem unter anderem vereinbart ist:

Der Auftraggeber ist berechtigt, jederzeit seinen Account unter Einhaltung einer 2 monatigen Kündigungsfrist, die jeweils am Kalenderersten des nächsten Kalendermonats beginnt, zu kündigen.

7.      Geheimhaltung

Der Auftragnehmer verpflichtet sich alle Informationen, insbesondere wirtschaftliche Informationen sowie Absichten, Erfahrungen, Erkenntnisse und Unterlagen, die ihm unter dieser Vereinbarung vom Auftraggeber zugänglich gemacht werden, oder die er vom Auftraggeber erhält, vertraulich zu behandeln, Dritten nicht zugänglich zu machen, vor dem Zugriff Dritter zu schützen, nur für Zwecke dieser Vereinbarung zu verwenden und nur an Mitarbeiter weiterzugeben, die zur Einhaltung der Vertraulichkeit verpflichtet sind, solange zwischen den Vertragsparteien nichts anderes schriftlich vereinbart worden ist.

Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen,

    • die dem Auftragnehmer nachweislich bereits vor Inkrafttreten dieser Vereinbarung bekannt waren,
    • die der Auftragnehmer nachweislich rechtmäßig von Dritten ohne Auferlegung einer Vertraulichkeitsverpflichtung erhält,
    • die allgemein bekannt sind oder ohne Verstoß gegen die in dieser Vereinbarung enthaltenen Verpflichtungen allgemein bekannt werden,
    • die der Auftragnehmer nachweislich im Rahmen eigener unabhängiger Entwicklungen erarbeitet hat.

Der Auftragnehmer verpflichtet sich, seinen Mitarbeitern, die von diesen Informationen Kenntnis erhalten, die gleichen Verpflichtungen, wie sie vorstehend der Auftragnehmer eingegangen ist, aufzuerlegen, sofern diese Mitarbeiter nicht bereits in gleichem Umfang durch die jeweiligen Arbeitsverträge zur Geheimhaltung verpflichtet sind. Die Vertraulichkeitsverpflichtungen hinsichtlich Informationen, die während der Laufzeit zugänglich wurden, dauern auch nach Ende der Laufzeit fort.

8.      Pflichten der Auftragnehmers

Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Auftrags des Auftraggebers zu verarbeiten.  Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

Der Auftragnehmer erklärt, dass ausreichende Sicherheitsmaßnahmen, insbesondere im Sinne des Art 32 DSGVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Auf Anfrage stellt der Auftragnehmer dem Auftraggeber eine Auflistung der technischen und organisatorischen Maßnahmen („TOMs“) zur Verfügung. Diese Maßnahmen sind beispielsweise Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen, aber auch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren.

Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

Nach Beendigung der Zusammenarbeit oder nach Aufforderung des Auftragnehmers werden die Daten nach Wahl vom Auftragnehmer vom Auftraggeber anonymisiert oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien. Der Auftraggeber erbringt über diese Maßnahmen einen geeigneten Nachweis. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Der Auftragnehmer benennt einen Datenschutzbeauftragten, soweit die Voraussetzungen des Art 37 DSGVO vorliegen. Muss kein Datenschutzbeauftragter benannt werden, benennt der Auftragnehmer einen Ansprechpartner. Der Ansprechpartner bzw. der Datenschutzbeauftragte des Auftragnehmers ist unter datenschutz@iswipe.jobs erreichbar.

9.      Subunternehmer

Der Auftragnehmer darf Subunternehmer oder freie Mitarbeiter auch ohne vorheriger Zustimmung des Auftraggebers zur Durchführung von Verarbeitungen heranziehen. Der Auftragnehmer hat dem Auftraggeber jedoch in Textform darüber zu informieren. Widerspricht der Auftraggeber einer Änderung, führt dies zu einer Kündigung des Hauptvertrages. Keinesfalls können daraus etwaige Schadenersatzforderungen oder andere Ansprüche gegen den Auftragsverarbeiter gegründet sein.

Für die unter Anlage 2 aufgeführten Subunternehmer und die dort genannten Aufgabenbereiche gilt die Zustimmung des Auftraggebers mit Vertragsschluss als erteilt. Der Auftragnehmer stellt sicher, dass diese Subunternehmer die technischen und organisatorischen Anforderungen gemäß Anlage 1 dieses Vertrags (Technisch Organisatorische Maßnahmen) ebenso einhalten wie der Auftragsverarbeiter selbst. Werden im Laufe der Vertragsbeziehungen Subunternehmer ausgetauscht oder hinzugefügt, so bedarf dies der Zustimmung des Auftraggebers in Textform.

10.  Umsetzung von Rechten betroffener Personen

Der Auftraggeber ist verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten aus der DSGVO , insbesondere der Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung), Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen entsprochen werden kann.

Der Auftragnehmer verpflichtet sich, während der Vertragslaufzeit mit sämtlichen personenbezogenen Daten nach genauer Anweisung des Auftraggebers zu handeln und diese auf Anforderung zu löschen, zu sperren, zu berichtigen oder hierüber Auskunft zu geben. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung oder Sperrung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber geeignete Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftraggeber kann den Nachweis beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbringen.

11.  Data Breach

Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn der Auftragnehmer, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten unter Verstoß gegen diese Vereinbarung unbefugten Dritten zugänglich wurden. Ebenso unterrichtet der Auftragnehmer dem Auftraggeber unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

Ist der Auftraggeber verpflichtet, Meldung an die Aufsichtsbehörde oder an die betroffenen Personen zu erstatten, steht der Auftragnehmer dem Auftraggeber für Abstimmungen und weitere Informationen zur Verfügung. Der Auftraggeber ist seinerseits verpflichtet, den Auftragnehmer so rechtzeitig über den Sachverhalt zu informieren, dass dieser mindestens 36 Stunden an Werktagen für die Bereitstellung der zuerst angeforderten Informationen hat.

12.  Haftung

Auftragnehmer und Auftraggeber haften entsprechend Art 82 Abs 2 DSGVO gegenüber betroffenen Personen jeweils selbst. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person nach Art 82 DSGVO, oder beim Verdacht einer Meldepflicht nach Art 33 und 34 DSGVO verpflichtet sich der Auftragnehmer zur Erfüllung der Anfragen und Ansprüche, Meldung an die Aufsichtsbehörde oder Abwehr der Ansprüche der Art 12 bis 23 DSGVO sowie bei der Einhaltung der in Art 33 bis 36 DSGVO genannten Pflichten im Rahmen seiner Möglichkeiten zu unterstützen.

Wird der Auftragnehmer von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Auftraggebers liegen, etwa die Verarbeitung in rechtswidriger, zweckwidriger oder in sonstiger unzulässiger Weise, so hält der Auftraggeber den Auftragnehmer zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Auftraggeber ein eigenes Verfahren geführt wurde.

Zudem ist der Auftragnehmer im Falle einer Inanspruchnahme berechtigt, den Account des Auftraggebers zu sperren. Der vereinbarte Entgeltanspruch des Auftraggebers bleibt davon unberührt.

Verwendet der Auftraggeber personenbezogene Daten, die im Rahmen dieser Vereinbarung übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise, haftet er allein und zur Gänze bei Inanspruchnahme durch eine betroffene Person oder Aufsichtsbehörde bzw. kann iswipe sich bei Inanspruchnahme zur Gänze an ihm schad- und klaglos halten. Zudem ist iswipe berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Der vereinbarte Entgeltsanspruch von iswipe bleibt davon unberührt.

13.  Schriftform und Gültigkeit

Dieser Vertrag wird mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Registrierung des Auftraggebers auf der Börse, erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.

14.  Sonstige Bestimmungen

Der Auftragnehmer und der Auftraggeber vereinbaren hinsichtlich sämtlicher Rechtsbeziehungen aus diesem Vertrag, gegenwärtiger wie auch zukünftiger, nach Erfüllung des Vertrages, die Anwendung österreichischen Rechts, unter Ausschluss des UN-Kaufrechts. Vertragssprache ist deutsch. Als Erfüllungsort für alle Leistungen aus dem Vertrag wird der Sitz des Auftragnehmers vereinbart. Für sämtliche Streitigkeiten aus mit dem Auftragnehmer geschlossenen Verträgen gilt die ausschließliche Zuständigkeit des sachlich am Sitz des vom Auftragnehmer zuständigen Gerichts im Sinne des § 104 JN als vereinbart. Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.

Sollten die Daten vom Auftragnehmer beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber dem Auftragnehmer unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftragnehmer liegen. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor.

15.  Salvatorische Klausel

Für den Fall der teilweisen oder gänzlichen Unwirksamkeit einzelner Bestimmungen dieser Bestimmungen gilt, dass ihre Geltung im Übrigen unberührt bleibt. Eine solche Bestimmung ist durch eine ihrem eigentlichen Zweck möglichst nahe kommende zu ersetzen.