Vereinbarung zur Auftragsdatenverarbeitung gem. Art 28 DSGVO
1. Vertragsparteien
Zwischen dem Auftragsverarbeiter, der
iswipe GmbH
Altenmarkterstraße 6
8430 Leibnitz
UID: ATU77954304
im Folgenden als „Auftragnehmer“ bezeichnet,
und dem Verantwortlichen,
*Name des Unternehmens*
*Adresse*
*PLZ* *Ort*
im Folgenden als „Auftraggeber“ bezeichnet,
wird nachfolgender Vertrag beschlossen.
2. Präambel
iswipe betreibt unter der Domain iswipe.jobs eine Jobbörse und damit verbundene Dienstleistungen in den Bereichen Personalvermittlung Unternehmensberatung, Marketing-, & IT-Dienstleistungen.
iswipe.jobs steht Endverbrauchern, welche in der Regel Arbeitssuchende oder Jobsuchende sind
(im Folgenden „Jobsuchende“), sowie Unternehmen nach einer Business-Registrierung
(im Folgenden „Unternehmen“) uneingeschränkt zur Verfügung.
Unter dem Begriff Unternehmen, werden auch sämtliche dazugehörige Standorte, Zweigniederlassungen, Betriebsstätten und Filialen verstanden, die unter der gleichen UID-Nummer tätig sind, sowie sämtlicher unternehmensinternen Nutzer und Anwender.
Dieser Vertrag gilt der von iswipe betriebene Website iswipe.jobs auch für weitere Websites, Produkte, Services oder Dienstleistungen die von iswipe unter der Domain „iswipe“ oder im Zusammenhang mit dem Produkt „iswipe“ betrieben werden, deren mobilen Applikationen, die zusammengefasst im Folgenden als „iswipe“ bezeichnet werden.
Falls der Auftraggeber diesem Vertrag nicht zustimmt, können die auf iswipe angebotenen Dienstleistungen nicht genutzt werden. Eine andere Vereinbarung zur Auftragsdatenverarbeitung gem. Art 28 DSGVO findet keine Anwendung oder müssten individuell vereinbart werden.
3. Gegenstand und Zweck der Vereinbarung
Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung, welche im Zuge der Registrierung des Auftraggebers auf iswipe abgeschlossen wird. Der Auftragnehmer ermöglicht dem Auftraggeber die Nutzung von Produkten, Services oder Dienstleistungen von iswipe.
iswipe erbringt im Wesentlichen, jedoch nicht ausschließlich folgende angebotenen Produkte, Services oder Dienstleistungen:
Registrierung des Auftraggebers auf iswipe
Veröffentlichung von Stellenanzeigen des Auftraggebers auf iswipe
Personalsuche des Auftraggebers auf iswipe
aktive Ansprache potenziell passender Kandidaten durch den Auftraggeber via iswipe
Erstellung und Repräsentation eines Arbeitgeberprofils des Auftraggebers
Personalvermittlung durch iswipe an den Auftraggeber
Nutzung der damit verbundenen Services, wie z.B.: Verwaltung empfangener Bewerbungen und freigeschalteter Profile von Jobsuchenden, Auswertungen zur erreichten Performance,…
4. Kategorien betroffener Personen
Der Auftragnehmer verarbeitet folgende Kategorien an betroffenen Personen:
Nutzer, Mitarbeiter des Auftraggebers
Der Auftraggeber verarbeitet folgende Kategorien an betroffenen Personen:
Nutzer, Mitarbeiter des Auftragnehmers
5. Kategorien personenbezogenen Daten
5.1. Der Auftragnehmer verarbeitet folgende Kategorien personenbezogener Daten:
Nutzerdaten: Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfasst.
Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.
Mitarbeiter des Auftraggebers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung auf iswipe erfasst werden.
5.2. Der Auftraggeber verarbeitet folgende Kategorien personenbezogener Daten:
Nutzerdaten: Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfasst. Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.
Mitarbeiter des Auftragnehmers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung auf iswipe erfasst werden.
6. Dauer der Verarbeitung
Die Dauer der Verarbeitung richtet sich nach dem Hauptvertrag und damit verbundene Kündigungsfristen (AGB).
7. Geheimhaltung
Der Auftragnehmer verpflichtet sich, alle Informationen, insbesondere wirtschaftliche Informationen sowie Absichten, Erfahrungen, Erkenntnisse und Unterlagen, die ihm unter dieser Vereinbarung vom Auftraggeber zugänglich gemacht werden, oder die er vom Auftraggeber erhält, vertraulich zu behandeln, Dritten nicht zugänglich zu machen, vor dem Zugriff Dritter zu schützen, nur für Zwecke dieser Vereinbarung zu verwenden und nur an Mitarbeiter weiterzugeben, die zur Einhaltung der Vertraulichkeit verpflichtet sind, solange zwischen den Vertragsparteien nichts anderes schriftlich vereinbart worden ist.
Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen,
die dem Auftragnehmer nachweislich bereits vor Inkrafttreten dieser Vereinbarung bekannt waren,
die der Auftragnehmer nachweislich rechtmäßig von Dritten ohne Auferlegung einer Vertraulichkeitsverpflichtung erhält,
die allgemein bekannt sind oder ohne Verstoß gegen die in dieser Vereinbarung enthaltenen Verpflichtungen allgemein bekannt werden,
die der Auftragnehmer nachweislich im Rahmen eigener unabhängiger Entwicklungen erarbeitet hat.
Der Auftragnehmer verpflichtet sich, seinen Mitarbeitern, die von diesen Informationen Kenntnis erhalten, die gleichen Verpflichtungen, wie sie vorstehend der Auftragnehmer eingegangen ist, aufzuerlegen, sofern diese Mitarbeiter nicht bereits in gleichem Umfang durch die jeweiligen Arbeitsverträge zur Geheimhaltung verpflichtet sind. Die Vertraulichkeitsverpflichtungen hinsichtlich Informationen, die während der Laufzeit zugänglich wurden, dauern auch nach Ende der Laufzeit fort.
8. Pflichten des Auftragnehmenrs
Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Auftrags des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
Der Auftragnehmer erklärt, dass ausreichende Sicherheitsmaßnahmen, insbesondere im Sinne des Art 32 DSGVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Auf Anfrage stellt der Auftragnehmer dem Auftraggeber eine Auflistung der technischen und organisatorischen Maßnahmen („TOMs“) zur Verfügung. Diese Maßnahmen sind beispielsweise Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen, aber auch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren.
Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
Nach Beendigung der Zusammenarbeit oder nach Aufforderung des Auftragnehmers werden die Daten nach Wahl vom Auftragnehmer vom Auftraggeber anonymisiert oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien. Der Auftraggeber erbringt über diese Maßnahmen einen geeigneten Nachweis. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
Soweit die Voraussetzungen des Art 37 DSGVO erfüllt werden müssen, benennt der Auftragnehmer einen Datenschutzbeauftragten, ansonsten einen Ansprechpartner. Der Datenschutzbeauftragte oder Ansprechpartner ist unter datenschutz@iswipe.jobs erreichbar.
9. Subunternehmer
Der Auftragnehmer darf Subunternehmer oder freie Mitarbeiter auch ohne vorheriger Zustimmung des Auftraggebers zur Durchführung von Verarbeitungen heranziehen. Der Auftragnehmer hat dem Auftraggeber jedoch in Textform darüber zu informieren. Widerspricht der Auftraggeber einer Änderung, führt dies zu einer Kündigung des Hauptvertrages. Keinesfalls können daraus etwaige Schadenersatzforderungen oder andere Ansprüche gegen den Auftragsverarbeiter gegründet sein.
Für die unter Anlage 2 aufgeführten Subunternehmer und die dort genannten Aufgabenbereiche gilt die Zustimmung des Auftraggebers mit Vertragsschluss als erteilt. Der Auftragnehmer stellt sicher, dass diese Subunternehmer die technischen und organisatorischen Anforderungen ebenso einhalten wie der Auftragsverarbeiter selbst.
10. Umsetzung von Rechten betroffener Personen
Der Auftraggeber ist verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten aus der DSGVO , insbesondere der Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung), Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen entsprochen werden kann.
Der Auftragnehmer verpflichtet sich, während der Vertragslaufzeit mit sämtlichen personenbezogenen Daten nach genauer Anweisung des Auftraggebers zu handeln und diese auf Anforderung zu löschen, zu sperren, zu berichtigen oder hierüber Auskunft zu geben. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung oder Sperrung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber geeignete Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind (z.B. aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln).
11. Data Breach
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn der Auftragnehmer, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten unter Verstoß gegen diese Vereinbarung unbefugten Dritten zugänglich wurden. Ebenso unterrichtet der Auftragnehmer dem Auftraggeber unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
Ist der Auftraggeber verpflichtet, Meldung an die Aufsichtsbehörde oder an die betroffenen Personen zu erstatten, steht der Auftragnehmer dem Auftraggeber für Abstimmungen und weitere Informationen zur Verfügung. Der Auftraggeber ist seinerseits verpflichtet, den Auftragnehmer so rechtzeitig über den Sachverhalt zu informieren, dass dieser mindestens 36 Stunden an Werktagen für die Bereitstellung der zuerst angeforderten Informationen hat.
12. Haftung
Auftragnehmer und Auftraggeber haften entsprechend Art 82 Abs 2 DSGVO gegenüber betroffenen Personen jeweils selbst. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person nach Art 82 DSGVO, oder beim Verdacht einer Meldepflicht nach Art 33 und 34 DSGVO verpflichtet sich der Auftragnehmer zur Erfüllung der Anfragen und Ansprüche, Meldung an die Aufsichtsbehörde oder Abwehr der Ansprüche der Art 12 bis 23 DSGVO sowie bei der Einhaltung der in Art 33 bis 36 DSGVO genannten Pflichten im Rahmen seiner Möglichkeiten zu unterstützen.
Wird der Auftragnehmer von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Auftraggebers liegen, etwa die Verarbeitung in rechtswidriger, zweckwidriger oder in sonstiger unzulässiger Weise, so hält der Auftraggeber den Auftragnehmer zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Auftraggeber ein eigenes Verfahren geführt wurde. Zudem ist der Auftragnehmer im Falle einer Inanspruchnahme berechtigt, den Account des Auftraggebers zu sperren. Der vereinbarte Entgeltanspruch des Auftraggebers bleibt davon unberührt.
Verwendet der Auftraggeber personenbezogene Daten, die im Rahmen dieser Vereinbarung übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise, haftet er allein und zur Gänze bei Inanspruchnahme durch eine betroffene Person oder Aufsichtsbehörde bzw. kann iswipe sich bei Inanspruchnahme zur Gänze an ihm schad- und klaglos halten. Zudem ist iswipe berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Der vereinbarte Entgeltsanspruch von iswipe bleibt davon unberührt.
13. Schriftform und Gültigkeit
Dieser Vertrag wird mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Registrierung des Auftraggebers auf iswipe, erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.
14. Sonstige Bestimmungen
Die Vertragspartner vereinbaren hinsichtlich sämtlicher Rechtsbeziehungen aus diesen AGB, gegenwärtiger wie auch zukünftiger, nach Erfüllung des Vertrages, die Anwendung jenen Rechts, für den Staat in dem iswipe seinen Sitz hat. Andere Vereinbarungen zum anwendbaren Recht sind nur dann verbindlich und gültig, wenn sie von zeichnungsberechtigten Ansprechpartnern von iswipe ausdrücklich schriftlich bestätigt wurden. Das UN Kaufrecht kommt jedenfalls nicht zur Anwendung.
Als Erfüllungsort für alle beiderseitigen Leistungen aus dem Vertrag wird der Sitz von iswipe vereinbart. Vertragssprache ist deutsch.
Für sämtliche Streitigkeiten aus mit iswipe geschlossenen Verträgen gilt die ausschließliche Zuständigkeit des sachlich am Sitz von iswipe zuständigen Gerichts im Sinne des § 104 JN als vereinbart.
Wenn das Unternehmen seinen Sitz außerhalb von Österreich hat, kann die Zuständigkeit für Streitigkeiten mit iswipe so vereinbart werden, dass dafür das am Sitz des Unternehmens zuständige Gericht anzurufen ist. Eine solche Vereinbarung ist nur dann verbindlich und gültig, wenn sie von zeichnungsberechtigten Ansprechpartnern von iswipe ausdrücklich schriftlich bestätigt wurden.
Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.
Sollten die Daten vom Auftragnehmer beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber dem Auftragnehmer unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftragnehmer liegen. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor.
15. Salvatorische Klausel
Für den Fall der teilweisen oder gänzlichen Unwirksamkeit einzelner Bestimmungen dieser Bestimmungen gilt, dass ihre Geltung im Übrigen unberührt bleibt. Eine solche Bestimmung ist durch eine ihrem eigentlichen Zweck möglichst nahe kommende zu ersetzen.