Vertrag zur
Auftragsdatenverarbeitung
abgeschlossen zwischen Ihnen als unserem Kunden,
– nachstehend als „Verantwortlicher“ bezeichnet –
und
RIFFBIRD GmbH
Raiffeisenstraße 12 H
9020 Klagenfurt am Wörthersee
Österreich
– nachstehend als „Auftragsverarbeiter“ bezeichnet –
– und gemeinsam als die „Parteien“ bezeichnet–
schließen den folgenden Vertrag zur Auftragsdatenverarbeitung („ADV“),
der die Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter regelt.
§ 1 Präambel
Der Verantwortliche hat mit dem Auftragsverarbeiter einen Vertrag („Hauptvertrag“) über die Erbringung bestimmter Dienstleistungen geschlossen. Die Parteien schließen den vorliegenden ADV ab, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen nach Maßgabe der geltenden Datenschutzgesetze erfolgt.
§ 2 Begriffsbestimmungen
Sämtliche in dieser ADV verwendeten Begriffe sind im Sinne der EU Datenschutzgrundverordnung (EU/2016/679) zu verstehen, sofern nicht anders ausdrücklich vereinbart.
§ 3 Verarbeitung personenbezogener Daten
Im Rahmen der Erstellung von Recruiting Kampagnen werden personenbezogene Daten von insbesondere Bewerbern, jedoch auch Websitebesuchern und anderen Personen je nach Auftrag sowie individueller oder allgemeiner Weisung des datenschutzrechtlich Verantwortlichen an unterschiedliche Subauftragsverarbeiter und Empfänger übermittelt:
• Hosting: Zum Zweck der Vertragserfüllung werden Verbindungsdaten der Websitebesucher der Website des datenschutzrechtlich Verantwortlichen sowie die vom Verantwortlichen auf dem Server gespeicherten, personenbezogenen Daten für die Dauer der Vertragsleistung gespeichert. Die Verarbeitung und Speicherung erfolgt je nach Vereinbarung in Zusammenarbeit mit einem unserer Subauftragsverarbeitern
- ONEPAGE GmbH, Neue Rothofstraße 13-19, 60313 Frankfurt am Main, Deutschland oder der
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland.
• Datenverwaltung und -übermittlung (Dropbox, Google G-Suit): Zum Zweck der Speicherung und der Übermittlung von personenbezogenen Daten des Verantwortlichen, dessen Mitarbeitern sowie Bewerbern des Verantwortlichen werden personenbezogene Daten in Zusammenarbeit mit unserem Subauftragsverarbeiter, der
- Dropbox International Unlimited Company, Willy-Brandt-Straße 23, 20457 Hamburg, Deutschland verarbeitet sowie
- Google Inc. 1600 Amphitheatre Parkway Mountain View, Carlifornien 94043, USA sowie der europäischen Niederlassung Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland
Der Datentransfer erfolgt aufgrund des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss)
Die Zertifizierung ist abrufbar unter: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active
• Support/Fernwartung: Zum Zweck der Bearbeitung von Supportanfragen und zur Fehlerbehebung werden via Fernzugriff Verbindungsdaten und personenbezogene Daten von Kunden und Mitarbeitern des Verantwortlichen für die Dauer der jeweiligen Fehlerbehebung sowie einer allfälligen Dokumentation des Supportfalles verarbeitet. Die Verarbeitung erfolgt in Zusammenarbeit mit unserem Subauftragsverarbeiter, der
- TeamViewer Germany GmbH, Bahnhofsplatz 2, 73033 Göppingen, Deutschland.
• Videokonferenzen: Zum Zweck der Abwicklung von Bewerbungsgesprächen werden in Einzelfällen personenbezogene Daten von Bewerbern im Rahmen der Abwicklung von Videokonferenzen in Zusammenarbeit mit unseren Subauftragsverarbeitern der
- One Microsoft Way, Redmond, WA 98052-6399, USA sowie
Der Datentransfer erfolgt aufgrund des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss)
Die Zertifizierung ist abrufbar unter: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000KzNaAAK&status=Active
- Zoom Video Communications, Inc, 55 Almaden Blvd, Suite 6, San Jose, USA; Lionheart Squared Ltd, Attn: Data Privacy, 2 Pembroke House, Upper Pembroke Street 28-32, Dublin, DO2 EK84, Republic of lreland verarbeitet.
• Legalweb: Zum Zweck der rechtskonformen Ausgestaltung der Website des datenschutzrechtlich Verantwortlichen werden insbesondere Verbindungsdaten von Websitebesuchern der Website des Verantwortlichen in Zusammenarbeit mit unserem Subauftragsverarbeiter der
- legal web GmbH, Fürbergstraße 42a, 5020 Salzburg, Österreich verarbeitet.
• Schnittstellentool: Zur einfacheren Kommunikation, zum einfacheren Datentransfer und der Automatisierung von Verarbeitungsprozessen zwischen den an der Datenverarbeitung beteiligten Unternehmen werden personenbezogene Daten von Bewerbern, Kunden und Mitarbeitern des Verantwortlichen je nach Auftrag mit unserem Subauftragsverarbeitern der
- Zapier, Inc. A. 548 Market St. #62411, San Francisco, CA 94104-5401, USA
Der Datentransfer erfolgt aufgrund des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss)
Die Zertifizierung ist abrufbar unter: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TNk2AAG&status=Active oder der
- make.com, Menclova 2538/2, 180 00 Prague, Czech Republic verarbeitet.
• monday: Im Rahmen des Projektmanagements und der Projektabwicklung erfolgt eine Verarbeitung der erhobenen personenbezogenen Datensätzen in Zusammenarbeit mit unserem Subunternehmer der
- monday.com, 20 Rathbone Place, London, W1T 1HY, UK
Der Datentransfer nach UK erfolgt auf Basis der Durchführungsverordnung (EU) 2021/1772 der Kommission vom 28. Juni 2021 (Angemessenheitsbeschlusses), abrufbar unter:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D1772
• Social Media Kampagnen:
Der datenschutzrechtlich Verantwortliche ist Inhaber / Betreiber von Social-Media-Kanälen und sohin aus datenschutzrechtlicher Sicht als Verantwortlicher für die jeweils stattfindenden Datenverarbeitungsprozesse zu qualifizieren. Gemäß der Rechtsprechung des Europäischen Gerichtshofs (EuGH) besteht eine Gemeinsame Verantwortung des Seitenbetreibers mit dem Betreiber der Social Media Plattformen (Facebook, Instagram, TikTok etc.).
Aus der Sicht des Auftragsverarbeiters „Riffbird“ sind die Betreiber der Social Media Plattformen sohin nicht als Subauftragsverarbeiter sondern als „gemeinsame Verantwortliche“ bzw. je nach Verarbeitungsprozess allenfalls als Empfänger zu qualifizieren.
Bei darüber hinaus gehenden Verarbeitungsprozessen ergeben sich Gegenstand, Zweck, Art und Dauer der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus den jeweils individuellen Weisungen des datenschutzrechtlich Verantwortlichen gemäß §4, welche einen integralen Bestandteil dieses Vertrages bildet.
§ 4 Rechte und Pflichten des Verantwortlichen
Aufgrund der strengen Weisungsgebundenheit des Auftragsverarbeiters ist der für die Datenverarbeitung Verantwortliche aufgrund der einschlägigen rechtlichen Bestimmungen verpflichtet, den Inhalt der vertragsgegenständlichen Verarbeitung personenbezogener Daten, die beauftragten Verarbeitungsvorgänge und das benötigte Schutzniveau vorzugeben.
Dies umfasst insbesondere:
a) die Erteilung und Dokumentation von Weisungen an den Auftragsverarbeiter, damit der Auftragsverarbeiter die vom Verantwortlichen gewünschten Leistungen umsetzen kann (Art. 28 Abs 3 lit a DSGVO)
b) als für den Verarbeitungsprozess Verantwortlicher eine Beurteilung der rechtlichen Zulässigkeit der erteilten Weisungen (Verarbeitungsprozesse) durchzuführen (Art. 5, 6 DSGVO) und ausschließlich Weisungen zu erteilen, welche im Einklang mit den geltenden Datenschutzgesetzen stehen
c) die Erfüllung der Betroffenenrechte gemäß den Datenschutzgesetzen (Art. 15ff DSGVO). Der Auftragsverarbeiter wird den Verantwortlichen bei der Durchführung der Betroffenenrechte gemäß § 5 f) dieses Vertrags unterstützen.
d) die Berechtigung zur Durchführung von Überprüfungen - einschließlich Inspektionen - zur Kontrolle der Einhaltung der dem Auftragsverarbeiter auferlegten vertraglichen Verpflichtungen sowie Verpflichtungen gemäß den Datenschutzgesetzen
e) die Berechtigung zur Kontrolle und Überprüfung sowie Verpflichtung zur Abnahme und laufenden Evaluierung der vom Auftragsverarbeiter getroffenen Technisch Organisatorischen Maßnahmen (Art. 32 ff DSGVO). Eine Übersicht über die zum Zeitpunkt der Unterzeichnung dieser ADV umgesetzten Maßnahmen ist unter https://www.riffbird.com/tom einsehbar.
§ 5 Rechte und Pflichten des Auftragsverarbeiters
a) Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf schriftliche und dokumentierte Weisung des Verantwortlichen und nur nach Maßgabe der geltenden Datenschutzgesetze. Zudem verarbeitet der Auftragsverarbeiter die diesem zu Verfügung gestellten Datensätze nur in dem Umfang, welcher notwendig ist, um seine Verpflichtungen aus diesem ADV sowie dem Hauptvertrag zu erfüllen. Sollte der Auftragsverarbeiter zur Verarbeitung der Ihm im Rahmen des Vertragsverhältnisses zur Verfügung gestellten Datensätze aufgrund von Datenschutzgesetzen verpflichtet sein, ist eine Verarbeitung ohne dokumentierter Weisung ausnahmsweise zulässig. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, außer das betreffende Recht verbietet eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses.
b) Vertraulichkeit der Daten
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zudem stellt der Auftragsverarbeiter sicher, dass diese Geheimhaltungspflicht über die Beendigung von Beschäftigungsverträgen und Dienstleistungsverträgen fortgilt.
c) Mitteilungspflicht
Der Auftragsverarbeiter unterliegt einer umfassenden Mitteilungspflicht. Diese umfasst insbesondere:
(i) die Mitteilung von Datenschutzverletzungen
Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen sowie begründete Verdachtsfälle des Schutzes personenbezogener Daten unverzüglich mit. Diese Mitteilung hat zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen), die betroffenen Kategorien der personenbezogenen Daten, die ungefähre Zahl der betroffenen Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(ii) die Mitteilung bei Störungen der Verarbeitung personenbezogener Daten sowie Verstöße gegen datenschutzrechtliche Bestimmungen
Unverzüglich mitzuteilen sind dem Verantwortlichen erhebliche Störungen bei der Verarbeitung personenbezogener Daten sowie Verstöße des Auftragsverarbeiter oder beauftragten Subauftragsverarbeitern gegen datenschutzrechtliche Bestimmungen oder die in diesem ADV getroffene Rechte und Pflichten.
(iii) die Mitteilung sofern Weisungen gegen Datenschutzgesetze verstoßen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, sofern dieser der Ansicht ist, dass Weisungen des Verantwortlichen gegen geltende Datenschutzgesetze verstoßen.
(iv) die Mitteilung der Kommunikationsaufnahme von Betroffenen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen umgehend über Anfragen, Beschwerden, Nachrichten, Ersuchen oder eine wie auch immer geartete Kommunikationsaufnahme einer betroffenen Person soweit diese Bezüge zur Auftragsdatenverarbeitung aufweisen.
(v) die Mitteilungspflicht bei Behördenermittlungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
d) Sicherheit der Verarbeitung
Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
e) Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Eine Übersicht über die zum Zeitpunkt der Unterzeichnung dieser ADV umgesetzten Maßnahmen ist unter https://www.riffbird.com/tom einsehbar. Diese technischen und organisatorischen Maßnahmen wurden vom Verantwortlichen überprüft und als hinreichende Garantien abgenommen. Für die laufende Evaluierung und Aktualisierung der Maßnahmen ist der Verantwortliche verantwortlich. Nur soweit dies, z.B. im Hauptvertrag, schriftlich vereinbart ist, hat der Auftragsverarbeiter diese Maßnahmen im vereinbarten Ausmaß zu evaluieren und zu aktualisieren.
f) Betroffenenrechte
Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Datenschutzgesetzen gewährleisteten Rechten der betroffenen Personen (Auskunftsrecht, Recht auf Berichtigung und Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit, Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht) nachzukommen. Insbesondere wird der Auftragsverarbeiter dem Verantwortlichen Informationen und Dokumente in Form von Datensätzen zur Verfügung zu stellen, die notwendig sind, damit der Verantwortliche diese Anfragen innerhalb der in den Datenschutzgesetzen jeweils festgelegten gesetzlichen Fristen beantworten kann. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.
g) Nachweis der Einhaltung der Audit
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht dem Verantwortlichen Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Verantwortliche hat den Auftragsverarbeiter zumindest drei Wochen im Voraus über eine Inspektion zu informieren. Der Auftragsverarbeiter hat bei Überprüfungen kooperativ beizutragen, ist jedoch berechtigt dem Verantwortlichen ein entsprechendes Entgelt für den Zeitaufwand in Rechnung stellen.
h) Erfüllung datenschutzrechtlicher Verpflichtungen
Der Auftragsverarbeiter versichert die Einhaltung der für Ihn in den Datenschutzgesetzen normierten Pflichten. Zudem versichert der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Datenschutzgesetze zu unterstützen und diesem sämtliche Daten und Informationen zur Verfügung zu stellen, welcher der Verantwortliche zur Einhaltung der Datenschutzgesetze benötigt jedoch selbst nicht besitzt. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.
§ 6 Sub-Auftragsverarbeiter
Der Auftragsverarbeiter ist generell berechtigt, zur Verarbeitung der personenbezogenen Daten weitere Subunternehmer als Auftragsverarbeiter in Anspruch zu nehmen. Die Heranziehung von Subunternehmern ist jedoch in jedem Einzelfall dem Verantwortlichen so zeitgerecht mitzuteilen, dass dieser dagegen Einspruch erheben kann. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auferlegt, die in dem Vertrag zwischen den Parteien festgelegt sind. Insbesondere müssen hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
Die unter § 3 angeführten Subauftragsverarbeiter gelten als genehmigt.
§ 7 Internationaler Datenverkehr
Der Auftragsverarbeiter darf Geschäftsdaten nur an Dritte innerhalb des Europäischen Wirtschaftsraums (EWR) oder in ein Land übertragen, das ein angemessenes Datenschutzschutzniveau gemäß geltender Datenschutzgesetze gewährleistet. Die Übermittlung von Geschäftsdaten an Drittländer bedarf einer vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung des Verantwortlichen. Darüber hinaus darf die Datenübermittlung nur unter Einhaltung der geltenden Datenschutzgesetze (z.B. durch Abschluss von EU Standardvertragsklauseln) erfolgen. Sofern der Auftragsverarbeiter nach Abschluss dieser ADV eine Datenweitergabe außerhalb des EWR („internationaler Datenverkehr“) oder in Länder ohne angemessenem Datenschutzniveau plant, ist er verpflichtet, dem Verantwortlichen unverzüglich schriftlich darüber in Kenntnis zu setzen.
§ 8 Laufzeit und Beendigung
(1) Im Falle einer Beendigung des Hauptvertrages, bleibt die vorliegende ADV solange bestehen, als der Auftragsverarbeiter Geschäftsdaten für den Datenverantwortlichen verarbeitet. Sofern der Verantwortliche weder eine Löschung oder Übertragung der Datensätze gemäß § 8 Abs 2 dieses Vertrages fordert, werden die von Bewerber erhobenen Datensätze unabhängig vom Hauptvertrag aufgrund gesetzlicher Bestimmungen (z.B. 6-monatige Anfechtungsfrist gemäß BEinstG) für zumindest sieben Monate nach Abschluss der jeweiligen Kampagne von dem Auftragsverarbeiter gespeichert.
(2) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragsverarbeiter kann für den Aufwand, der ihm im Zusammenhang mit der Rückgabe der Datensätze entsteht, ein angemessenes Entgelt verlangen.
(3) Nach Beendigung der ADV bleibt die umfassende Vertraulichkeitsverpflichtung des Auftragsverarbeiters weiterhin unbeschränkt in Geltung.
§ 9 Schlussbestimmungen
(1) Es gelten die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.
(2) Alle Formen von Zusatzvereinbarungen, sowohl vor Abschluss dieses ADV als auch während der Vertragslaufzeit bedürfen zu ihrer Gültigkeit der Schriftform. Das gilt auch für das Abweichen vom Schriftformerfordernis.
(3) Sollten einzelne Bestimmungen des Vertrages unwirksam oder undurchführbar sein, so ist die unwirksame Bestimmung durch eine wirksame Bestimmung, die dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt, zu ersetzen.
(4) Auf alle Rechtsbeziehungen und Sachverhalte zwischen den Parteien ist ausschließlich österreichisches Recht unter Ausschluss der internationalen Verweisungsnormen anzuwenden.
(5) Als Gerichtsstand für alle Streitigkeiten zwischen den Parteien wird das sachlich zuständige österreichisches Gericht für Klagenfurt am Wörthersee vereinbart.