Joint Control Arrangement

Vereinbarung gemäß DSGVO Art. 26 Abs. 1 S.

1.  Vertragsparteien

Die iswipe GmbH,
Altenmarkterstraße 6,
8430 Leibnitz,
UID: ATU77954304

im Folgenden als „iswipe“ bezeichnet,
und

«Firmenname»,
«Straße» «Nr»,
«Postleitzahl» «Ort»,
UID: «UID-Nr.»

im Folgenden als „Auftraggeber“ bezeichnet und gemeinsam „die Verantwortlichen“,

wird nachfolgender Vertrag beschlossen.

2.  Präambel

iswipe  betreibt unter der Domain iswipe.jobs eine intelligente Smart Recruiting und Talent Pool Börse. Diese steht Endverbrauchern, welche in der Regel Arbeitssuchende oder Bewerber sind (im Folgenden „Nutzer“), sowie Unternehmen nach einer Business-Registrierung, (im Folgenden „Auftraggeber“), uneingeschränkt zur Verfügung.

Dieser Vertag gilt neben der von iswipe betriebene Website iswipe.jobs auch für weitere Websites, die von iswipe unter der Domain „iswipe“ oder als Produkt „iswipe“ betrieben werden, deren mobilen Applikationen, die zusammengefasst im Folgenden als „Börse“ bezeichnet werden. Falls der Auftraggeber diesem Vertrag nicht zustimmt, können die auf der Börse angebotenen Dienstleistungen nicht genutzt werden.

Der Auftraggeber nutzt die Börse, um aktiv neue Mitarbeiter zu suchen. iswipe bietet hierfür dem Auftraggeber auf der Börse die Möglichkeit, auf die von Nutzer eingegebenen Daten zuzugreifen und Kandidaten kontaktieren zu können. Dabei werden entweder automatisiert durch einen Matching-Algorithmus potentiell passende Kandidatenprofile aufgrund des ausgeschriebenen Stelleninserats von der Börse vorgeschlagen, oder der Auftraggeber hat die Möglichkeit, über eine Suche Nutzer zu finden. Der Auftraggeber sieht zunächst ausschließlich anonymisierte Profile von Nutzer.

Profilfreischaltung im Zuge einer Bewerbung oder der aktiven Personalsuche:

Auf das vollständig freigeschaltete Profil, welches die persönlichen Daten zur Kontaktaufnahme inkludiert, kann der Auftraggeber nur zugreifen, wenn der Nutzer sein Profil selbst im Zuge einer Bewerbung freischaltet, oder wenn der Auftraggeber im Zuge der aktiven Personalsuche das Profil des Nutzers freischaltet. Die Freischaltung eines Nutzerprofils kann vom Nutzer als auch vom Auftraggeber mit einer 14-tätigen Auflösungsfrist wieder anonymisiert werden.

Profilfreischaltung im Zuge der Listung im Talent oder Mitarbeiter Pool:

Sollte ein Profil eines Nutzers nicht schon vorab (z.B. durch eine vorherige Bewerbung) für den Auftraggeber freigeschaltet sein, so kann die Freischaltung automatisch im Zuge einer Anfrage zur Listung in einem Talent-Pool oder Mitarbeiter-Pool freigeschaltet werden. Nutzer und Auftraggeber müssen beidseitig der Listung im unternehmenseigenen Talent-Pool oder Mitarbeiter-Pool zustimmen. Die Zustimmung erfolgt durch eine Anfrage vom Nutzer oder Auftraggeber, oder durch die anschließende jeweilige positive Zusage zur Anfrage der jeweils anderen Partei. Die Listung erfolgt ab dem Moment der Zusage. Eine Austragung vom Talent-Pool oder Mitarbeiter-Pool kann vom Nutzer oder vom Auftraggeber täglich unter Einhaltung einer 14 tägigen Auflösungsfrist erfolgen.

Profilanonymisierung:

Wird das vollständig freigeschaltete Profil eines Nutzers nicht unter beidseitiger Zusage vom Nutzer und Auftraggeber in entsprechende Talent- oder Mitarbeiterpools vom Auftraggeber eingetragen und somit einem längerfristigen Zugriff des freigeschalteten Profils zugesagt, so erfolgt die Anonymisierung des Profils eines Nutzers entweder durch eine aktive Auflösung oder einer aktiven Absage durch dem Auftraggeber oder des Nutzers unter Einhaltung einer Auflösungsfrist von 14 Tagen. Tritt keiner dieser Punkte ein, anonymisiert die Börse das Profil des Nutzers nach spätestens 6 Monate bzw. nach aktuell geltender österreichischer DSGVO Verordnungen.

Der Account des Nutzers auf der Börse und die dort hinterlegten personenbezogenen Daten, im speziellen auch sämtliche Daten, die im Zuge einer Profilfreischaltung für den Auftraggeber ersichtlich sind, können vom Nutzer unter Einhaltung einer Kündigungsfrist von 14 Tagen gelöscht werden.

iswipe ist gemäß der DSGVO Verantwortlicher, da es die Daten von Nutzern der Börse gemäß ihren eigenen Strukturen zum Zwecke der Zusammenführung mit potentiellen Arbeitgebern (Auftraggeber) verarbeitet. Sohin hat es einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie personenbezogene Daten verarbeitet werden.

Ebenso ist der Auftraggeber gemäß der DSGVO Verantwortlicher, da ihm durch die bewusste Einwilligung zur Nutzung der Börse die Möglichkeit eröffnet wird, auf Daten von Nutzern zugreifen zu können, bzw. er einwilligt, Daten von Nutzern in Form von Bewerbungen oder der Listung im Talent-Pool übermittelt zu bekommen. Der Auftraggeber hat ab diesem Zeitpunkt ebenso wie iswipe einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden.

Der Erlaubnistatbestand der Übermittlung an und die Verarbeitung durch den Auftraggeber liegt in der Einwilligung des Nutzers durch die freiwilligen Überlassung der Daten an iswipe sowie mit der damit verbundene Einwilligung des Nutzers in der optionalen Überlassung der Daten an den Auftraggeber. Es handelt sich daher um die Übermittlung von einem Verantwortlichen (iswipe) an einen anderen Verantwortlichen (Auftraggeber).

Dadurch entsteht eine gemeinsame Verantwortung und die Verantwortlichen schließen diese Vereinbarung zur gemeinsamen Datenverarbeitung gemäß Art 26 DSGVO (Joint Control Arrangement).

3.  Gegenstand der Vereinbarung

Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung, welche im Zuge der Registrierung des Auftraggebers auf der Börse abgeschlossen wird. Diese Vereinbarung findet sohin auf alle Tätigkeiten Anwendung, welche mit der damit verbundenen Nutzung der Börse in Zusammenhang stehen und bei denen die Verantwortlichen personenbezogene Daten verarbeiten.

4.  Kategorien der betroffener Personen und personenbezogenen Daten

Beide Vertragsparteien verarbeiten  Nachname, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, sowie weitere personenbezogene Daten, die Nutzer im Zuge der Profilerstellung erfasst. Das sind unter anderem: Berufserfahrung, ausgeübte Tätigkeiten, Ausbildung, Kenntnisse, zukünftige Jobvorstellungen wie Wunschbranche, Reisebereitschaft, Benefits, sowie umfangreiche Soft-Skills in Form von Charakter-, der Stärke- und Potenzialanalysen. Optional und je nach Verfügbarkeit werden auch Dokumente wie Leistungsnachweise, Referenzen, Zeugnisse, Zertifikate verarbeitet.

Ergänzend verarbeitet iswipe folgende Daten:

Mitarbeiterdaten des Auftraggebers: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung der Börse erfasst werden.

Ergänzend verarbeitet der Auftraggeber folgende Daten:

Mitarbeiterdaten von iswipe: Nachname, Vorname, E-Mail Adresse, Telefonnummer, sowie weitere Kontaktdaten, die im Zuge der vertraglichen Zusammenarbeit sowie zum Support, zur Wartung, zur Fehlerbehebung und zur Weiterentwicklung der Börse erfasst werden.

5. Zweck der Verarbeitung

Die Datenverarbeitung des Auftraggebers erfolgt zum Zwecke des Recruitings, dem Talent-Management, dem Employer Branding und damit verbundenen Tätigkeiten.

6. Pflichten der Verantwortlichen

Mit der erfolgten Einwilligung der Nutzer zur Überlassung der Daten innerhalb dieser Vereinbarung verpflichten sich die Verantwortlichen jeweils, die Daten ausschließlich innerhalb der Rahmenbedingungen der DSGVO zu verarbeiten. Der Auftraggeber verpflichtet sich zudem, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzung der Börse, des Joint Control Arrangements sowie der Allgemeinen Geschäftsbedingungen von iswipe zu verarbeiten.

Der Auftraggeber darf Daten von Nutzern nur im Rahmen dieser Vereinbarung zu den hierin genannten Zwecken verarbeiten. Verwendet der Auftraggeber die Daten außerhalb der Bestimmungen dieser Vereinbarung, obliegt es allein seiner Verantwortung, für die Rechtmäßigkeit der Verarbeitung gemäß Art 6 DSGVO zu sorgen.

Die Verantwortlichen führen jeweils ein Verzeichnis über die bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art 30 DSGVO. Auf wechselseitige Anforderung werden diese zur Verfügung gestellt.

iswipe ist zur Dokumentation der Rechtmäßigkeit der Datenverarbeitung gemäß Art 6 DSGVO verpflichtet und stellt die Daten von Nutzern ausschließlich an Auftraggeber zur Verfügung, die der gegenständlichen Vereinbarung zustimmen und personenbezogene Daten gemäß den geltenden datenschutzrechtlichen Standards verarbeiten.

Die Verantwortlichen erklären, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere Mitarbeiter, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der geltenden Datenschutzbestimmungen geschult und verpflichtet wurden. Der Auftraggeber gibt im Zuge dieses Vertragsverhältnisses jene Personen bekannt, die Zugriff auf die Daten betroffener Personen haben. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten, die die Verantwortlichen im Zusammenhang mit dem von Auftraggeber beauftragten Leistungen durchführen. Vertrauliche Informationen werden nur an beauftragte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen. Diese Verschwiegenheitsverpflichtung der mit dem Datenverkehr beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftraggeber aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten.

Die Verantwortlichen erklären, dass ausreichende Sicherheitsmaßnahmen, insbesondere im Sinne des Art 32 DSGVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Auf Anfrage stellen sie einander eine Auflistung der technischen und organisatorischen Maßnahmen („TOMs“) zur Verfügung. Diese Maßnahmen sind beispielsweise Zutrittskontrollen, Zugangskontrolle, Zugriffskontrollen, aber auch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren.

Die Verantwortlichen können sich Auftragsverarbeiter im Sinne der DSGVO bedienen, sofern die Auftragsverarbeiter dieselben Verpflichtungen eingehen, die dem Verantwortlichen auf Grund dieser Vereinbarung obliegen.

Der Auftraggeber räumt iswipe hinsichtlich der Verarbeitung der von ihr überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen beim Auftraggeber ein. Die Einsichtnahmen werden nur nach Vereinbarung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durchgeführt.

Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch iswipe werden die Daten nach Wahl von iswipe vom Auftraggeber anonymisiert oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien. Der Auftraggeber erbringt über diese Maßnahmen einen geeigneten Nachweis. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Die Verantwortlichen benennen einen Datenschutzbeauftragten, soweit die Voraussetzungen des Art 37 DSGVO vorliegen. Muss kein Datenschutzbeauftragter benannt werden, benennen die Verantwortlichen einen Ansprechpartner. Der Ansprechpartner von iswipe ist unter datenschutz@iswipe.jobs erreichbar.

7. Umsetzung von Rechten betroffener Personen

Die Verantwortlichen sind verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten aus der DSGVO , insbesondere der Art 15 (Auskunftsrecht), Art 16 (Recht auf Berichtigung), Art 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art 18 (Recht auf Vergessenwerden), Art 19 (Recht auf Mitteilung von Änderungen), Art 20 (Recht auf Datenübertragbarkeit), und Art 21 (Recht auf Widerspruch) gegenüber betroffenen Personen innerhalb der gesetzlichen Fristen entsprochen werden kann.

Soweit eine betroffene Person sich zwecks Durchsetzung seiner Rechte unmittelbar an einen Verantwortlichen wenden sollte, aber erkennbar ist, dass beide Verantwortliche angesprochen sind, wird der kontaktierte Verantwortliche dem anderen Verantwortlichen dieses Ersuchen unverzüglich weiterleiten. Die Verantwortlichen vereinbaren dabei eine gegenseitige Antwortfrist von max. 4 Wochen.

Die Verantwortlichen können vereinbaren, dass die Kommunikation gegenüber der betroffenen Person weiterhin über den erstkontaktierten Verantwortlichen geführt wird.

Die Verantwortlichen haben die Rechte der betroffenen Personen in ihrer eigenen Sphäre durchzuführen und sind allein für die rechtmäßige Umsetzung haftbar.

8. Data Breach

Die Verantwortlichen verpflichten sich, einander im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art 33 DSGVO wechselseitig unverzüglich zu informieren und sich, wenn nötig, die Informationen gemäß Art 33 Abs 3 DSGVO gegenseitig zu überlassen.

Sind beide Verantwortlichen verpflichtet, Meldung an die Aufsichtsbehörde zu erstatten, werden sie die gemeinsame Umsetzung unter Berücksichtigung der 72 Stunden Frist abstimmen. Dasselbe gilt für Meldungen, die gemäß Art 34 DSGVO durchzuführen sind.

Ebenso unterrichten sich die Verantwortlichen unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Die Vertragsparteien treffen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und sprechen sich hierzu unverzüglich mit dem anderen Verantwortlichen ab.

9. Haftung

Die Verantwortlichen haften entsprechend Art 82 Abs 2 DSGVO gegenüber betroffenen Personen jeweils selbst. Im Falle einer Inanspruchnahme eines Verantwortlichen durch eine betroffene Person nach Art 82 DSGVO, oder beim Verdacht einer Meldepflicht nach Art 33 und 34 DSGVO verpflichtet sich der andere Verantwortliche zur Erfüllung der Anfragen und Ansprüche, Meldung an die Aufsichtsbehörde oder Abwehr der Ansprüche.

Wird iswipe von einer betroffenen Person oder Aufsichtsbehörde für Verstöße gegen geltende Datenschutzgesetze in Anspruch genommen, die im alleinigen oder überwiegenden Verantwortungsbereich des Auftraggebers liegen, so hält der Auftraggeber iswipe zur Gänze schad- und klaglos, unabhängig davon, ob gegen den Auftraggeber ein eigenes Verfahren geführt wurde.

Keiner der Verantwortlichen kann sich beim anderen Verantwortlichen wegen eines zumindest überwiegend in der eigenen Sphäre verursachten Fehlers oder Verstoßes gegen die Bestimmungen dieser Vereinbarung oder der anzuwendenden datenschutzrechtlichen Bestimmungen schad- und klaglos halten.

Verwendet der Auftraggeber personenbezogene Daten, die im Rahmen dieser Vereinbarung übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise, haftet er allein und zur Gänze bei Inanspruchnahme durch eine betroffene Person oder Aufsichtsbehörde bzw. kann iswipe sich bei Inanspruchnahme zur Gänze an ihm schad- und klaglos halten. Zudem ist iswipe berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Der vereinbarte Entgeltsanspruch von iswipe bleibt davon unberührt.

10. Schriftform und Gültigkeit

Dieser Vertrag wird mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Registrierung des Auftraggebers auf der Börse, erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.

11. Sonstige Bestimmungen

Die Verantwortlichen vereinbaren hinsichtlich sämtlicher Rechtsbeziehungen aus diesem Vertrag, gegenwärtiger wie auch zukünftiger, nach Erfüllung des Vertrages, die Anwendung österreichischen Rechts, unter Ausschluss des UN-Kaufrechts. Vertragssprache ist deutsch. Als Erfüllungsort für alle beiderseitigen Leistungen aus dem Vertrag wird der Sitz von iswipe vereinbart. Für sämtliche Streitigkeiten aus mit iswipe geschlossenen Verträgen gilt die ausschließliche Zuständigkeit des sachlich am Sitz von iswipe zuständigen Gerichts im Sinne des § 104 JN als vereinbart. Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.

Sollten die Daten von iswipe beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber iswipe unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei iswipe liegen.

Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor.

12. Salvatorische Klausel

Für den Fall der teilweisen oder gänzlichen Unwirksamkeit einzelner Bestimmungen dieser Bestimmungen gilt, dass ihre Geltung im Übrigen unberührt bleibt. Eine solche Bestimmung ist durch eine ihrem eigentlichen Zweck möglichst nahe kommende zu ersetzen.