Joint Control Arrangement

Vereinbarung gemäß DSGVO Art. 26 Abs. 1 S.

1. Vertragsparteien

Zwischen dem Auftragsverarbeiter, iswipe GmbH, ansässig in Altenmarkterstraße 6, 8430 Leibnitz, UID: ATU77954304, nachfolgend als "Verarbeiter" bezeichnet, Und dem Verantwortlichen, iswipe GmbH, Altenmarkterstraße 6, 8430 Leibnitz, UID: ATU77954304, nachfolgend als "Verantwortlicher" bezeichnet, wird nachfolgender Vertrag geschlossen.

2. Präambel, Gegenstand und Zweck der Vereinbarung

iswipe betreibt unter der Domain iswipe.jobs eine Jobbörse und damit verbundene Dienstleistungen in den Bereichen Personalvermittlung, Unternehmensberatung, Marketing- & IT-Dienstleistungen.

iswipe.jobs steht Endverbrauchern, welche in der Regel Arbeitssuchende oder Jobsuchende sind (im Folgenden „Jobsuchende“), sowie Unternehmen nach einer Business-Registrierung (im Folgenden „Unternehmen“) uneingeschränkt zur Verfügung.

Unter dem Begriff Unternehmen werden auch sämtliche dazugehörige Standorte, Zweigniederlassungen, Betriebsstätten und Filialen verstanden, die unter der gleichen UID-Nummer tätig sind, sowie sämtlicher unternehmensinternen Nutzer und Anwender.

Dieser Vertrag gilt der von iswipe betriebenen Website iswipe.jobs auch für weitere Websites, Produkte, Services oder Dienstleistungen die von iswipe unter der Domain „iswipe“ oder im Zusammenhang mit dem Produkt „iswipe“ betrieben werden, deren mobilen Applikationen, die zusammengefasst im Folgenden als „iswipe“ bezeichnet werden.

Falls der Auftraggeber diesem Vertrag nicht zustimmt, können die auf iswipe angebotenen Dienstleistungen nicht genutzt werden. Eine andere Vereinbarung zur Auftragsdatenverarbeitung gem. DSGVO Art. 26 findet keine Anwendung oder müsste individuell vereinbart werden.

Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung, welche im Zuge der Registrierung des Auftraggebers auf iswipe abgeschlossen wird. Der Auftragnehmer ermöglicht dem Auftraggeber die Nutzung von Produkten, Services oder Dienstleistungen von iswipe.

iswipe erbringt im Wesentlichen, jedoch nicht ausschließlich folgende angebotenen Produkte, Services oder Dienstleistungen:

  • Registrierung des Auftraggebers auf iswipe
  • Veröffentlichung von Stellenanzeigen des Auftraggebers auf iswipe
  • Personalsuche des Auftraggebers auf iswipe
  • Aktive Ansprache potenziell passender Kandidaten durch den Auftraggeber via iswipe
  • Erstellung und Repräsentation eines Arbeitgeberprofils des Auftraggebers
  • Personalvermittlung durch iswipe an den Auftraggeber
  • Nutzung der damit verbundenen Services, wie z.B.: Verwaltung empfangener Bewerbungen und freigeschalteter Profile von Jobsuchenden, Auswertungen zur erreichten Performance

Der Auftraggeber nutzt iswipe im Zuge von Recruiting-Tätigkeiten. Je nach angebotenem Produkten, Services oder Dienstleistungen bietet iswipe dem Auftraggeber die Möglichkeit, auf die von Nutzer eingegebenen Daten zuzugreifen und Kandidaten kontaktieren zu können.

iswipe ist gemäß der DSGVO Verantwortlicher, da es die Daten von Nutzern von iswipe gemäß ihren eigenen Strukturen zum Zwecke der Zusammenführung mit potentiellen Arbeitgebern (Auftraggeber) verarbeitet. Sohin hat es einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie personenbezogene Daten verarbeitet werden.

Ebenso ist der Auftraggeber, je nach angebotenen Preis- & Leistungsmodellen in gewissen Prozessen gemäß DSGVO Verantwortlicher, da ihm durch die angebotenen Produkte, Services und Dienstleistungen die Möglichkeit eröffnet wird, selbst auf Daten von Nutzern zugreifen und diese bearbeiten und verwalten zu können. Der Auftraggeber hat ab diesem Zeitpunkt ebenso wie iswipe einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden.

Der Erlaubnistatbestand der Übermittlung an und die Verarbeitung durch den Auftraggeber liegt in der Einwilligung des Nutzers durch die freiwilligen Überlassung der Daten an iswipe sowie mit der damit verbundenen Einwilligung des Nutzers in der optionalen Überlassung der Daten an den Auftraggeber. Es handelt sich daher um die Übermittlung von einem Verantwortlichen (iswipe) an einen anderen Verantwortlichen (Auftraggeber).

Dadurch entsteht in gewissen Prozessen der angebotenen Produkte, Services oder Dienstleistungen eine gemeinsame Verantwortung und die Verantwortlichen schließen diese Vereinbarung zur gemeinsamen Datenverarbeitung gemäß Art 26 DSGVO (Joint Control Arrangement).

3. Kategorien der betroffenen Personen und personenbezogenen Daten

Beide Vertragsparteien verarbeiten Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfassen. Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.

Ergänzend verarbeitet iswipe folgende Daten:

Mitarbeiterdaten des Auftraggebers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, Position, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung auf iswipe erfasst werden.

Ergänzend verarbeitet der Auftraggeber folgende Daten:

Mitarbeiterdaten von iswipe: Nachname, Vorname, E-Mail Adresse, Telefonnummer, Position, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung auf iswipe erfasst werden.

4. Zweck der Verarbeitung

Die Datenverarbeitung des Auftraggebers erfolgt zum Zwecke von Recruiting-Maßnahmen, dem Employer-Branding, Personal-Marketing und damit verbundene Tätigkeiten.

5. Pflichten der Verantwortlichen

Mit der erfolgten Einwilligung der Nutzer zur Überlassung der Daten innerhalb dieser Vereinbarung verpflichten sich die Verantwortlichen jeweils, die Daten ausschließlich innerhalb der Rahmenbedingungen der DSGVO zu verarbeiten. Der Auftraggeber verpflichtet sich zudem, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzung von iswipe, des Joint Control Arrangements sowie der Allgemeinen Geschäftsbedingungen von iswipe zu verarbeiten.

Der Auftraggeber darf Daten von Nutzern nur im Rahmen dieser Vereinbarung zu den hierin genannten Zwecken verarbeiten. Verwendet der Auftraggeber die Daten außerhalb der Bestimmungen dieser Vereinbarung, obliegt es allein seiner Verantwortung, für die Rechtmäßigkeit der Verarbeitung gemäß Art 6 DSGVO zu sorgen.

Die Verantwortlichen führen jeweils ein Verzeichnis über die bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art 30 DSGVO. Auf wechselseitige Anforderung werden diese zur Verfügung gestellt.

iswipe ist zur Dokumentation der Rechtmäßigkeit der Datenverarbeitung gemäß Art 6 DSGVO verpflichtet und stellt die Daten von Nutzern ausschließlich an Auftraggeber zur Verfügung, die der gegenständlichen Vereinbarung zustimmen und personenbezogene Daten gemäß den geltenden datenschutzrechtlichen Standards verarbeiten.

Die Verantwortlichen erklären, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere Mitarbeiter, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der geltenden Datenschutzbestimmungen geschult und verpflichtet wurden. Der Auftraggeber gibt im Zuge dieses Vertragsverhältnisses jene Personen bekannt, die Zugriff auf die Daten betroffener Personen haben. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten, die die Verantwortlichen im Zusammenhang mit dem von Auftraggeber beauftragten Leistungen durchführen. Vertrauliche Informationen werden nur an beauftragte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen. Diese Verschwiegenheitsverpflichtung der mit dem Datenverkehr beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftraggeber aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten.

Die Verantwortlichen erklären, dass ausreichende Sicherheitsmaßnahmen, insbesondere im Sinne des Art 32 DSGVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Auf Anfrage stellen sie einander eine Auflistung der technischen und organisatorischen Maßnahmen („TOMs“) zur Verfügung. Diese Maßnahmen sind beispielsweise Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen, aber auch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren.

Die Verantwortlichen können sich Auftragsverarbeiter im Sinne der DSGVO bedienen, sofern die Auftragsverarbeiter dieselben Verpflichtungen eingehen, die dem Verantwortlichen auf Grund dieser Vereinbarung obliegen.

Der Auftraggeber räumt iswipe hinsichtlich der Verarbeitung der von ihr überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen beim Auftraggeber ein. Die Einsichtnahmen werden nur nach Vereinbarung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durchgeführt.

Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch iswipe werden die Daten nach Wahl von iswipe vom Auftraggeber anonymisiert oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien. Der Auftraggeber erbringt über diese Maßnahmen einen geeigneten Nachweis. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Die Verantwortlichen benennen einen Datenschutzbeauftragten, soweit die Voraussetzungen des Art 37 DSGVO vorliegen. Muss kein Datenschutzbeauftragter benannt werden, benennen die Verantwortlichen einen Ansprechpartner. Der Ansprechpartner von iswipe ist unter datenschutz@iswipe.jobs erreichbar.

6. Umsetzung von Rechten betroffener Personen

Die Verantwortlichen sind verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten aus der DSGVO , insbesondere der Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung), Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen entsprochen werden kann.

Soweit eine betroffene Person sich zwecks Durchsetzung seiner Rechte unmittelbar an einen Verantwortlichen wenden sollte, aber erkennbar ist, dass beide Verantwortliche angesprochen sind, wird der kontaktierte Verantwortliche dem anderen Verantwortlichen dieses Ersuchen unverzüglich weiterleiten. Die Verantwortlichen vereinbaren dabei eine gegenseitige Antwortfrist von max. 4 Wochen.

Die Verantwortlichen können vereinbaren, dass die Kommunikation gegenüber der betroffenen Person weiterhin über den erstkontaktierten Verantwortlichen geführt wird.

Die Verantwortlichen haben die Rechte der betroffenen Personen in ihrer eigenen Sphäre durchzuführen und sind allein für die rechtmäßige Umsetzung haftbar.

7. Data Breach

Die Verantwortlichen verpflichten sich, einander im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art 33 DSGVO wechselseitig unverzüglich zu informieren und sich, wenn nötig, die Informationen gemäß Art 33 Abs 3 DSGVO gegenseitig zu überlassen.

Sind beide Verantwortlichen verpflichtet, Meldung an die Aufsichtsbehörde zu erstatten, werden sie die gemeinsame Umsetzung unter Berücksichtigung der 72 Stunden Frist abstimmen. Dasselbe gilt für Meldungen, die gemäß Art 34 DSGVO durchzuführen sind.

Ebenso unterrichten sich die Verantwortlichen unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Die Vertragsparteien treffen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und sprechen sich hierzu unverzüglich mit dem anderen Verantwortlichen ab.

8. Haftung

Die Verantwortlichen haften entsprechend Art 82 Abs 2 DSGVO gegenüber betroffenen Personen jeweils selbst. Im Falle einer Inanspruchnahme eines Verantwortlichen durch eine betroffene Person nach Art 82 DSGVO, oder beim Verdacht einer Meldepflicht nach Art 33 und 34 DSGVO verpflichtet sich der andere Verantwortliche zur Erfüllung der Anfragen und Ansprüche, Meldung an die Aufsichtsbehörde oder Abwehr der Ansprüche.

Wird iswipe von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Auftraggebers liegen, so hält der Auftraggeber iswipe zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Auftraggeber ein eigenes Verfahren geführt wurde.

Keiner der Verantwortlichen kann sich beim anderen Verantwortlichen wegen eines zumindest überwiegend in der eigenen Sphäre verursachten Fehlers oder Verstoßes gegen die Bestimmungen dieser Vereinbarung oder der anzuwendenden datenschutzrechtlichen Bestimmungen schad- und klaglos halten.

Verwendet der Auftraggeber personenbezogene Daten, die im Rahmen dieser Vereinbarung übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise, haftet er allein und zur Gänze bei Inanspruchnahme durch eine betroffene Person oder Aufsichtsbehörde bzw. kann iswipe sich bei Inanspruchnahme zur Gänze an ihm schad- und klaglos halten. Zudem ist iswipe berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Der vereinbarte Entgeltsanspruch von iswipe bleibt davon unberührt.

9. Schriftform und Gültigkeit

Dieser Vertrag wird mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Registrierung des Auftraggebers auf iswipe, erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.

10. Sonstige Bestimmungen

Die Vertragspartner vereinbaren hinsichtlich sämtlicher Rechtsbeziehungen aus diesem Vertrag, gegenwärtiger wie auch zukünftiger, nach Erfüllung des Vertrages, die Anwendung jenen Rechts, für den Staat in dem iswipe seinen Sitz hat. Andere Vereinbarungen zum anwendbaren Recht sind nur dann verbindlich und gültig, wenn sie von zeichnungsberechtigten Ansprechpartnern von iswipe ausdrücklich schriftlich bestätigt wurden. Das UN Kaufrecht kommt jedenfalls nicht zur Anwendung.

Als Erfüllungsort für alle beiderseitigen Leistungen aus dem Vertrag wird der Sitz von iswipe vereinbart. Vertragssprache ist deutsch.

Für sämtliche Streitigkeiten aus mit iswipe geschlossenen Verträgen gilt die ausschließliche Zuständigkeit des sachlich am Sitz von iswipe zuständigen Gerichts im Sinne des § 104 JN als vereinbart.

Wenn das Unternehmen seinen Sitz außerhalb von Österreich hat, kann die Zuständigkeit für Streitigkeiten mit iswipe so vereinbart werden, dass dafür das am Sitz des Unternehmens zuständige Gericht anzurufen ist. Eine solche Vereinbarung ist nur dann verbindlich und gültig, wenn sie von zeichnungsberechtigten Ansprechpartnern von iswipe ausdrücklich schriftlich bestätigt wurden.

Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.

Sollten die Daten vom Auftragnehmer beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber dem Auftragnehmer unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftragnehmer liegen. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor.

11. Salvatorische Klausel

Für den Fall der teilweisen oder gänzlichen Unwirksamkeit einzelner Bestimmungen dieser Bestimmungen gilt, dass ihre Geltung im Übrigen unberührt bleibt. Eine solche Bestimmung ist durch eine ihrem eigentlichen Zweck möglichst nahe kommende zu ersetzen.