Anhang zum Datenschutz

Jobilla DACH GmbH
Anhang zum Datenschutz
Version: 25. August 2020

Diese Geschäftsbedingungen gelten zwischen Jobilla DACH GmbH ("Jobilla", "Datenverarbeiter" oder "Prozessor") und einem Kunden ("Kunde", "Datenverantwortlicher" oder "Controller"), mit dem Jobilla eine Vereinbarung getroffen hat, wenn Jobilla als Datenverarbeiter und der Kunde als Datenverantwortlicher im Sinne der EU-Datenschutzgrundverordnung gilt.

Definitionen

Die hier verwendeten Begriffe haben dieselbe Bedeutung wie in der Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46 / EG (die „Verordnung“). Zu diesen Begriffen gehören ohne jede Einschränkung Datenverantwortlicher, Auftragsverarbeiter, personenbezogene Daten, betroffene Person, Verarbeitung und Verletzung des Schutzes personenbezogener Daten.

Zweck

Mit diesen Geschäftsbedingungen vereinbaren die Parteien, dass der Kunde, der Datenverantwortliche, Jobilla als seinen Datenverarbeiter beauftragt, die personenbezogenen Daten des Kunden während der Laufzeit einer Vereinbarung zu den hier vereinbarten Bedingungen zu verarbeiten.

Der Verarbeiter verarbeitet die personenbezogenen Daten nur, um seine in einer Vereinbarung festgelegten Verpflichtungen gemäß den schriftlichen Anweisungen des Datenverantwortlichen zu erfüllen.

Der Datenverantwortliche ist der alleinige Verantwortliche für die personenbezogenen Daten und ist für die Einhaltung der Verpflichtungen verantwortlich, die die Verordnung und andere geltende Gesetze dem Datenverantwortliche auferlegen, wie z. B. die Sicherstellung, dass es eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, die Information der betroffenen Personen über die Verarbeitungstätigkeiten mit Datenschutzrichtlinien, die Einhaltung anderer Dokumentationspflichten des Datenverantwortlichen und die Sicherstellung der Richtigkeit der Daten. Wenn und soweit die Einwilligung des Einzelnen die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist, haftet der Datenverantwortliche dafür, die Einwilligung einzuholen und gemäß den Bestimmungen der Verordnung zu verwalten.

Der Datenverarbeiter ist nicht berechtigt, die personenbezogenen Daten für andere Zwecke oder für andere Personen zu verarbeiten. Der Datenverarbeiter ist berechtigt, personenbezogene Daten außerhalb der EU oder des EWR zu übermitteln, sofern die Übermittlung im Einklang mit den Verpflichtungen erfolgt, die in der Verordnung im Hinblick auf angemessene Schutzmaßnahmen bei internationalen Datenübertragungen festgelegt sind. Der Datenverarbeiter muss den Datenverantwortlichen unverzüglich benachrichtigen, wenn er der Ansicht ist, dass die schriftlichen Anweisungen des Datenverantwortlichen zur Verarbeitung personenbezogener Daten gegen die Verordnung oder die nationalen Datenschutzgesetze verstoßen. Zusätzlich zu den Bestimmungen dieses Anhangs vereinbaren die Parteien, die für jede Partei geltende Verordnung einzuhalten.

Zusätzliche Details zur Verarbeitung können in der Vereinbarung oder in einem separaten Dokument beschrieben werden.

Vergabe eines Unterauftrags

Der Datenverarbeiter ist berechtigt, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten einzusetzen. Zusätzliche Informationen über Unterauftragsverarbeiter können auf Anfrage zur Verfügung gestellt werden. Wenn der Datenverarbeiter plant, Änderungen an seinen Unterauftragsverarbeitern vorzunehmen, benachrichtigt er den Datenverantwortlichen unter Einhaltung einer Frist von mindestens 5 Tagen schriftlich. Die Meldepflicht des Datenverarbeiters betrifft das beabsichtigte Hinzufügen, Entfernen oder Ändern eines Unterauftragsverarbeiters. Nach Erhalt der Benachrichtigung hat der für die Datenverantwortliche das Recht, gegen die beabsichtigte Änderung des Einsatzes eines Unterauftragsverarbeiters Einspruch zu erheben. Wenn der für die Datenverantwortliche gegen die beabsichtigte Änderung Einspruch erhebt und der Datenverarbeiter vernünftigerweise keinen anderen Unterauftragsverarbeiter oder keine andere Methode zur Verarbeitung der personenbezogenen Daten einsetzen kann, haftet der Datenverarbeiter nicht für Schäden oder Nachteile, die durch diesen Einspruch verursacht werden. In diesem Fall ist der Datenverarbeiter berechtigt, die Vereinbarung mit einer Frist von mindestens einem Monat schriftlich gegenüber dem Datenverantwortlichen zu kündigen.

Beim Einsatz von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten erklärt sich der Datenverarbeiter damit einverstanden, dass er jedem von ihm beauftragten Unterauftragsverarbeiter Datenschutzbedingungen auferlegt, die die personenbezogenen Daten auf demselben Standard schützen, wie es in diesem Anhang vorgesehen ist. Der Datenverarbeiter ist in vollem Umfang dafür verantwortlich, dass seine Unterauftragsverarbeiter die Anforderungen dieses Anhangs einhalten.

Vertraulichkeit

Alle personenbezogenen Daten, die der Datenverarbeiter im Auftrag des Datenverantwortlichen verarbeitet, gelten als vertrauliche Informationen des Datenverantwortlichen und der Datenverarbeiter darf die personenbezogenen Daten an niemanden weitergeben oder sie für einen anderen als für den vereinbarten Zweck verwenden. Der Datenverarbeiter stellt sicher, dass nur solche Personen Zugang zu den personenbezogenen Daten haben, die für die Erfüllung der Verpflichtungen des Datenverarbeiters in Bezug auf den Zweck erforderlich sind, und dass diese Personen einer strengen vertraglichen oder gesetzlichen Geheimhaltungspflicht unterliegen und keiner Person die Verarbeitung der personenbezogenen Daten gestatten, die nicht einer solchen Geheimhaltungspflicht unterliegt. Die Vertraulichkeitspflichten bleiben auch nach Beendigung oder dem Ablauf der Vereinbarung bestehen.

Sicherheit

Der Datenverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um die in seinem Besitz befindlichen personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung oder unberechtigter Weitergabe oder unberechtigtem Zugang zu den personenbezogenen Daten zu schützen. Diese Maßnahmen müssen den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Zur Klarstellung: Diese Datensicherheitsverpflichtung betrifft nicht Datensysteme oder Software, die Eigentum des Datenverantwortlichen sind oder deren geistige Eigentumsrechte dem Datenverantwortlichen oder einem Dritten gehören.

Zu diesen Maßnahmen können gegebenenfalls gehören:

a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit zur Gewährleistung des Fortbestands der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten;
c) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und
d) ein Verfahren für die regelmäßige Prüfung, Beurteilung und Analyse der Effektivität der technischen und organisatorischen Maßnahmen zur Gewährleistung der Verarbeitungssicherheit.

Verletzung des Schutzes personenbezogener Daten

Der Datenverarbeiter muss den für die Datenverantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten, von denen er Kenntnis erlangt, informieren, damit der Datenverantwortliche die Bestimmungen der Verordnung über die Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten innerhalb der festgelegten Fristen einhalten kann. Bei der Benachrichtigung des Datenverantwortlichen muss der Datenverarbeiter die notwendigen Einzelheiten über die Verletzung des Schutzes personenbezogener Daten angeben und dem Datenverantwortlichen auch sonst angemessene Unterstützung leisten. Der Datenverarbeiter muss auch alle anderen notwendigen Maßnahmen ergreifen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu mildern oder zu beheben und weitere Verletzungen zu verhindern.

Datenschutz-Folgenabschätzung

Wenn dem Datenverarbeiter bewusst wird, dass die geplante Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, muss er dies dem Datenverantwortlichen mitteilen und diesen gegebenenfalls bei der Durchführung einer Datenschutz-Folgenabschätzung unterstützen.

Rechte der betroffenen Person

Unter Berücksichtigung der Art der Datenverarbeitung muss der Datenverarbeiter den Datenverantwortlichen in angemessener Weise und unverzüglich unterstützen, auch durch geeignete technische und organisatorische Maßnahmen, um jedem Antrag einer betroffenen Person auf Ausübung ihrer Rechte gemäß der Verordnung nachzukommen. Zu diesen Rechten können, wie in der Verordnung beschrieben, das Recht auf Zugang, Berichtigung, Widerspruch, Löschung („Recht auf Vergessenwerden“) und Datenübertragbarkeit gehören. Werden solche Anfragen direkt an den Datenverarbeiter gestellt, muss dieser den Datenverantwortlichen unverzüglich über die Anfrage unterrichten.

Prüfung

Der Datenverarbeiter gestattet dem Datenverantwortlichen, die Einhaltung dieser Bedingungen durch den Datenverarbeiter zu prüfen, und gewährt dem Datenverantwortlichen Zugang zu allen Systemen, Räumlichkeiten, Ressourcen, Informationen und Mitarbeitern, die für die Durchführung einer solchen Prüfung durch den Datenverantwortlichen erforderlich sind, und stellt diese zur Verfügung. Die Prüfungen werden während der normalen Geschäftszeiten durchgeführt, um den Geschäftsbetrieb des Datenverarbeiters so wenig wie möglich zu stören. Der Datenverantwortliche muss außerdem geplante Prüfungen mindestens 20 Tage im Voraus ankündigen. Beide Parteien sind für ihre eigenen Kosten und Aufwendungen im Zusammenhang mit einer Prüfung verantwortlich. Um unnötige Prüfungen zu vermeiden, sollten Audits nur in Situationen durchgeführt werden, in denen Grund zu der Annahme besteht, dass der Datenverarbeiter gegen diese Bedingungen oder die geltenden Datenschutzgesetze verstößt. Die Prüfungen müssen in englischer Sprache durchgeführt werden.

Sonstige Bestimmungen

Wenn der Datenverarbeiter den Datenverantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Datenschutzverletzungen, Rechte der betroffenen Personen und Datenschutz-Folgenabschätzungen unterstützen muss, ist der Datenverarbeiter berechtigt, den angemessenen tatsächlichen Zeitaufwand für die Unterstützungsaufgaben gemäß den zwischen den Parteien vereinbarten Stundensätzen in Rechnung zu stellen. Die Abrechnung des Zeitaufwands für die Assistenzaufgaben setzt voraus, dass der Datenverantwortliche akzeptiert hat, dass der Datenverarbeiter Zeit für die Durchführung von Assistenzaufgaben verwenden kann.

Jobilla haftet gegenüber dem Kunden nicht für indirekte Schäden, Folgeschäden oder besondere Schäden oder für Ansprüche Dritter. Die Haftung von Jobilla gegenüber dem Kunden in Bezug auf Ansprüche auf Verlust, Beschädigung, Kosten oder Aufwendungen, die einem bestimmten Auftrag zuzurechnen sind, darf in keinem Fall den Betrag übersteigen, der als Haftungsobergrenze in der Haftungsbeschränkungsbestimmung des Handelsvertrags angegeben ist, der von und zwischen den Parteien abgeschlossen wurde.

Laufzeit und Auswirkungen der Kündigung

Diese Geschäftsbedingungen treten am selben Tag in Kraft wie die Vereinbarung zwischen den Parteien und bleiben danach in Kraft, bis die Vereinbarung gemäß ihren Bedingungen gekündigt wird oder ausläuft.

Innerhalb einer angemessenen Frist nach Beendigung oder Ablauf der Vereinbarung löscht der Datenverarbeiter alle personenbezogenen Daten oder gibt sie an den Datenverantwortlichen zurück und löscht auch alle Kopien der personenbezogenen Daten, es sei denn, das nationale Recht oder das Recht der EU oder der Mitgliedsstaaten verpflichtet den Datenverarbeiter, einige oder alle diese Daten aufzubewahren. In diesem Fall ist jede weitere Verarbeitung der personenbezogenen Daten untersagt, es sei denn, dies ist gesetzlich vorgeschrieben. Der Datenverantwortliche ist verpflichtet, dafür zu sorgen, dass er vor der Löschung über Sicherungskopien der Daten verfügt, falls er die Daten noch für erforderlich hält.

Hat der Datenverantwortliche den Datenverarbeiter nicht innerhalb von 12 Monaten nach Beendigung oder Ablauf des Vertrags über die Löschung oder Rückgabe von Daten informiert, muss der Datenverarbeiter alle in seinem Besitz befindlichen personenbezogenen Daten, einschließlich etwaiger Kopien, löschen, es sei denn, das nationale Recht oder das Recht der EU oder der Mitgliedstaaten verpflichtet den Datenverarbeiter, einige oder alle diese Daten aufzubewahren. In diesem Fall ist jede weitere Verarbeitung der personenbezogenen Daten untersagt, es sei denn, dies ist gesetzlich vorgeschrieben. Der Datenverantwortliche ist verpflichtet, dafür zu sorgen, dass er vor der Löschung über Sicherungskopien der Daten verfügt, falls er die Daten noch für erforderlich hält.

BESCHREIBUNG DER VERARBEITUNG

Art der Verarbeitung:

Bereitstellung der Dienstleistungen von Jobilla für seine Kunden. Jobilla sammelt, verarbeitet und speichert personenbezogene Daten seiner Kunden gemäß der Vereinbarung, den geltenden Gesetzen und diesen Bedingungen. Der Kunde kontrolliert, welche Daten in den Jobilla-Service eingegeben werden. Daher können die Daten beispielsweise die folgenden Kategorien personenbezogener Daten enthalten: Name, E-Mail-Adresse, Telefon, Bewerbung, Lebenslauf und andere Daten. Die personenbezogenen Daten betreffen hauptsächlich solche betroffenen Personen, die Arbeitssuchende des Kunden sind.