Datenverarbeitungs-Vereinbarung

Zwischen JobTender24 als Verarbeiter (später Auftragnehmer) und dem Unternehmen oder Headhunter als Verarbeiter (später Auftraggeber)

– in Verbindung mit den Allgemeinen Geschäftsbedingungen und den Datenschutzbestimmungen der JobTender24 GmbH, Erftstadt, Deutschland – 

auch als “Teile” bezeichnet.

Diese Vereinbarung ist ab dem 25. Mai 2018 gültig.

1. Zweck, Dauer und Definitionen

Die Parteien vereinbaren schriftlich und elektronisch die Nutzung des JobTender24-Systems.

Je nach Nutzertyp können die Kunden Konten für ihre Kollegen und/oder Mitarbeiter anlegen und verwalten, Dienstleistungen buchen, Jobs einstellen oder an ihnen teilnehmen, Kandidaten vorschlagen oder generieren und die damit verbundenen Prozesse steuern und überwachen. Außerdem können die Kunden das System nutzen, um Bestellungen aufzugeben oder anzunehmen. JobTender24 übernimmt als Plattform – neben anderen Dienstleistungen – die Übermittlung von Informationen zwischen und im Auftrag der Parteien.

Die folgenden Dienstleistungen sind inbegriffen:

Registrierung der Benutzer

Übermittlung, Veröffentlichung und Versand von Ausschreibungen, einschließlich der Bedingungen für Headhunter

  • Übermittlung, Veröffentlichung, Übersendung von Bewerbungsvorschlägen, einschließlich Bedingungen an Unternehmen
  • Auswertungen und Berichte über Nutzeraktivitäten, Kosten und Erfolge
  • Versand von automatischen E-Mails mit Nachrichten und Informationen, einschließlich technischer Informationen
  • Ausstellung von Rechnungen, Eingang von Zahlungen
  • Übermittlung von Informationen und Kommunikation zwischen den beiden Parteien
  • Aufzeichnung von Rechteeinstellungen, CRM-Einträgen usw.

Zweck dieser Datenverarbeitungsvereinbarung ist es, die Verarbeitung personenbezogener Daten des Auftragnehmers für den Auftraggeber im Einklang mit den in solchen Fällen geltenden Datenschutzgesetzen zu regeln.

Die Verarbeitung personenbezogener Daten unterliegt den Anforderungen und Verpflichtungen des geltenden Rechts. Die vertraglich vereinbarte Leistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.  Eine Übermittlung der Dienstleistung oder von Teilen davon in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. der DSGVO erfüllt sind.

Der Vertrag ist von unbestimmter Dauer. Die Kündigungsfrist ist der späteste der in den Allgemeinen Geschäftsbedingungen oder in den zusätzlichen Lizenzvereinbarungen genannten Termine.

Im Falle eines schwerwiegenden Verstoßes des Auftragnehmers gegen datenschutzrechtliche Bestimmungen oder gegen die Bestimmungen dieses Vertrages, wenn der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder wenn der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert, kann der Auftraggeber den Vertrag jederzeit fristlos kündigen. Die Nichteinhaltung der in diesem Vertrag vereinbarten Verpflichtungen, die sich aus Art. 28 DSGVO ergeben, stellt ebenfalls einen schwerwiegenden Verstoß dar.

Die Parteien verpflichten sich, diese Datenverarbeitungsvereinbarung in dem Maße zu ergänzen, wie es die DSGVO und die neue Verordnung über die elektronische Kommunikation (“ePrivacy”) in Übereinstimmung mit der deutschen Umsetzung erfordern.

“Personenbezogene Daten” sind alle Informationen, die sich auf eine natürliche Person im Sinne des geltenden Rechts und der DSGVO beziehen. Dazu gehören auch die von Headhuntern bereitgestellten Bewerberdaten.

“Verarbeitung” personenbezogener Daten ist jede Nutzung und jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisch erhoben, übermittelt, gespeichert, verändert oder offengelegt werden, wie im geltenden Recht und in der DSGVO näher definiert.

Drittländer” sind Länder außerhalb des EU-/EWR-Raums, die anerkanntermaßen keinen angemessenen Schutz personenbezogener Daten bieten.

Nutzer”, “Kunde” oder “Auftraggeber” ist jede registrierte natürliche oder juristische Person, die Zugang zu JobTender24 hat.

2. Verantwortung des Auftraggebers

2.1 Um auf das JobTender24-System zugreifen zu können, muss der Kunde bei JobTender24 registriert sein und die allgemeinen Geschäftsbedingungen akzeptiert haben und dabei dem Auftragnehmer bestimmte Daten zur Verfügung stellen, darunter den korrekten Namen, die Kontaktdaten und die E-Mail-Adresse der Nutzer des Kunden.

Darüber hinaus können die Kunden je nach Art des Nutzers auch Stellenangebote oder Bewerberdaten beim Auftragnehmer einstellen oder Kollegen oder Headhunter zur Nutzung des Systems einladen.

Darüber hinaus müssen die Nutzer des Dienstes dem Auftragnehmer gestatten, Informationen über ihre Nutzung des Dienstes unter Verwendung von “Cookies” zu speichern und abzurufen, die erforderlich sind, um die im Rahmen des Dienstes verwendeten Anmelde- und Löschverfahren zu ermöglichen und sicherzustellen, dass Unbefugte keinen Zugang zu dem Dienst haben.

2.2 Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass alle vom Kunden im Rahmen der Nutzung des Dienstes hochgeladenen personenbezogenen Daten, insbesondere die personenbezogenen Daten der hochgeladenen Kandidaten sowie die Nutzungsstatistiken, an einen oder mehrere Dritte (Subunternehmer) mit Sitz im Europäischen Wirtschaftsraum (EWR) übermittelt werden können, die das Hosting des Dienstes, einschließlich der Bereitstellung sämtlicher Hardware, Software, Infrastruktur, Datenspeicherung und Kommunikationsleitungen, übernehmen werden. Dazu gehört u.a. die Firma Placement24 GmbH, Kronprinzenstraße 97, 40217 Düsseldorf, Deutschland, die derzeit den Online-Service, die Rechteverwaltung und ein CRM-System für den Auftragnehmer bereitstellt. Die Verpflichtungen des Dritten in Bezug auf personenbezogene Daten werden in einer gesonderten Datenverarbeitungsvereinbarung zwischen dem Auftragnehmer und dem Dritten geregelt. Alle Servicedaten werden auf Servern in Europa gespeichert.

2.3 Der Kunde bestätigt, dass er:

  • er über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt;
  • wenn er Daten und Informationen über den Auftragnehmer von Dritten hochlädt und auf diese Weise anderen Unternehmen präsentiert, hat er das Recht, dies in nachweisbarer Weise zu tun;
  • hat das Recht, den Auftragnehmer anzuweisen, personenbezogene Daten zu verarbeiten;
  • ist verantwortlich für die Richtigkeit, Vollständigkeit, den Inhalt, die Zuverlässigkeit und die Rechtmäßigkeit der personenbezogenen Daten
  • das geltende Recht in Bezug auf die Meldung und Genehmigung bei den zuständigen Behörden einhält;
  • die betroffene Person, deren Daten verarbeitet werden, im Einklang mit dem geltenden Recht informiert hat und
  • verarbeitet oder speichert die Daten, die sie über den Auftragnehmer erhält, ausschließlich im Einklang mit dem geltenden Recht.

2.4 Der Kunde ist verpflichtet

auf Anfragen von betroffenen Personen bezüglich der Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung über die Datenverarbeitung zu reagieren;

dem Auftragnehmer auf Anfrage schriftlich zu bestätigen, dass er ausreichende technische und organisatorische Maßnahmen ergriffen hat, um die Einhaltung der DSGVO seit deren Inkrafttreten zu gewährleisten.

die zuständigen Behörden und erforderlichenfalls die betroffenen Personen unverzüglich über Verstöße gegen die geltenden Datenschutzgesetze gemäß dem geltenden Recht zu unterrichten

alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über personenbezogene Daten anderer Nutzer des Dienstes sowie Geschäftsgeheimnisse und Sicherheitsmaßnahmen der Daten des Auftragnehmers vertraulich zu behandeln.

3. Haftung des Auftragnehmers

3.1 Einhaltung des Datenschutzes

Der Auftragnehmer hält alle Bestimmungen über den Schutz personenbezogener Daten ein, die in dieser Vereinbarung über die Verarbeitung personenbezogener Daten und in den für die Verarbeitung personenbezogener Daten geltenden Datenschutzvorschriften enthalten sind.

3.2 Beschränkungen und Genehmigungen für die Verwendung

Der Auftragnehmer verarbeitet personenbezogene Daten für die Erbringung seiner Dienstleistungen. Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung des Auftraggebers oder ohne schriftliche Anweisungen des Auftraggebers keine personenbezogenen Daten verarbeiten, die über das hinausgehen, was für die Erfüllung seiner vertraglichen Verpflichtungen gegenüber dem Auftraggeber erforderlich ist.

Die vereinbarte und genehmigte Verarbeitung und Archivierung umfasst die Erfassung und Archivierung der Nutzerdaten des Kunden, die Übermittlung von Angeboten mit allen relevanten Informationen an die Headhunter, die Übermittlung von Bewerbungen von den Headhuntern an die Unternehmen, die Übermittlung von Kandidatenvorschlägen von den Headhuntern an die Unternehmen, den Versand von Angeboten und Vorgängen, die Übermittlung von Informationen zu Angeboten, die Erstellung von Statistiken und Berichten, die Kundenbetreuung, die Rechnungsstellung und den Zahlungseingang sowie die Werbung.

Sofern in den Allgemeinen Geschäftsbedingungen nicht anders angegeben,

  • der Auftragnehmer hat keine Entscheidungsbefugnis in Bezug auf die hochgeladenen Informationen in Bezug auf die Änderung oder Löschung dieser Daten,

  • der Auftragnehmer ist weisungsgebunden, was mit den Daten geschieht,

  • ohne die Zustimmung des Auftraggebers wird der Auftragnehmer nur die Daten verarbeiten, über die er verfügt, und darf sie ohne die Zustimmung des Auftraggebers nicht verändern

  • der Auftragnehmer wird die Daten nur für die in den allgemeinen Geschäftsbedingungen und den gebuchten Lizenzen und Zusatzbedingungen genannten Zwecke verwenden. Er wird die Daten nicht ohne Zustimmung des Kunden für andere Zwecke verarbeiten oder nutzen.

  • Der Anbieter hat keine (vertragliche) Beziehung zu den Bewerbern, es sei denn, diese haben sich registriert und sind damit selbst zu Nutzern geworden,

  • der Auftragnehmer im Auftrag des Auftraggebers eine eventuelle automatische Anreicherung und Anhäufung der zur Verfügung gestellten Daten als Information für eigene und fremde Nutzer (z.B. Berichte, Auswertungen, Statistiken) vornimmt

     

3.3 Informationssicherheit

3.3.1 Pflicht zur Information

Der Auftragnehmer gewährleistet durch geplante, systematische, organisatorische und technische Maßnahmen eine angemessene Informationssicherheit in Bezug auf Vertraulichkeit, Integrität und Zugänglichkeit im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß den Bestimmungen des geltenden Datenschutzrechts.

Maßnahmen, die der internen Kontrolle des Auftragnehmers dienen, sind dem Auftraggeber auf Wunsch zur Verfügung zu stellen. Dazu gehören neben Verhaltenstrainings insbesondere die Kontrolle des Zugangs zum Büro, der Zugriff auf Daten nur mit individuellem Benutzernamen und Passwort sowie die Unkenntlichmachung von Kundenpasswörtern.

Das Ergebnis der Kontrollen muss dokumentiert werden. Der Anbieter erklärt sich damit einverstanden, dass der Kunde – grundsätzlich im Auftrag des Kunden – berechtigt ist, die Einhaltung der Datenschutz- und Datensicherheitsvorschriften und der vertraglichen Vereinbarungen entweder selbst oder durch vom Kunden beauftragte Dritte in angemessenem und erforderlichem Umfang zu überwachen.

3.3.2 Bewertung der Maßnahmen

Bei der Entscheidung, welche technischen und organisatorischen Maßnahmen durchzuführen sind, hat der Auftragnehmer Folgendes zu berücksichtigen

den technischen Stand

die geschätzten Kosten der Durchführung im Verhältnis zu Art und Umfang der Verarbeitung sowie zu Kontext und Zweck der Verarbeitung,

die Schwere der Risiken, die die Verarbeitung der personenbezogenen Daten für die Rechte und Freiheiten der betroffenen Person mit sich bringt.

Der Auftragnehmer muss dies berücksichtigen:

die Verwendung von Pseudonymen und die Verschlüsselung von personenbezogenen Daten;
die Fähigkeit, jederzeit die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten; und
die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle physischer oder technischer Ereignisse rechtzeitig wiederherzustellen;

ein Verfahren zur regelmäßigen und kontinuierlichen Überprüfung, Überwachung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

3.3.3 Anträge von interessierten Parteien

In Anbetracht der Art der Verarbeitung ergreift der Auftragnehmer geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei der Erfüllung seiner Verpflichtung zu unterstützen, auf Anfragen zur Ausübung der Rechte der betroffenen Personen zu antworten.

3.3.4 Kundenbetreuung

Auf Wunsch unterstützt der Auftragnehmer den Auftraggeber bei der Einhaltung des geltenden Rechts, soweit dies sinnvoll und möglich ist. Die Unterstützungsmaßnahmen des Auftragnehmers werden unter Berücksichtigung ihrer Notwendigkeit durchgeführt. Dabei sind die Bedürfnisse des Auftraggebers, die Art der Bearbeitung sowie die dem Auftragnehmer zur Verfügung stehenden Informationen und Möglichkeiten zu berücksichtigen. Die vom Auftragnehmer geleistete Unterstützung wird vom Auftraggeber nach den üblichen Bedingungen und Preisen des Auftragnehmers vergütet.

3.4 Meldung von Datenschutzverletzungen und anderen Abweichungen

Jede Nutzung von Computersystemen und personenbezogenen Daten, die eindeutig von der normalen Nutzung des Systems abweicht oder nicht den geltenden Datenschutzgesetzen entspricht, sowie jede Verletzung der Sicherheit wird als Abweichung behandelt.

Der Auftragnehmer muss über systematische Verfahren und Prozesse zur Rückverfolgung von Abweichungen verfügen, die die Wiederherstellung des Normalzustands, die Beseitigung der Ursache der Abweichung und die Verhinderung ihres erneuten Auftretens umfassen, sofern dies technisch möglich ist.

Der Auftragnehmer informiert den Auftraggeber unverzüglich über jede Verletzung dieser Datenverarbeitungsvereinbarung oder über jeden versehentlichen, unrechtmäßigen oder unbefugten Zugang, jede unrechtmäßige oder unbefugte Nutzung oder Offenlegung personenbezogener Daten oder über die Tatsache, dass personenbezogene Daten gefährdet sein könnten oder dass die Integrität personenbezogener Daten beeinträchtigt wurde.

Der Auftraggeber stellt dem Auftragnehmer alle Informationen zur Verfügung, die erforderlich sind, um sicherzustellen, dass der Auftragnehmer die geltenden Datenschutzbestimmungen einhält, und um auf alle Anfragen der zuständigen Behörden zu reagieren.

3.5 Vertraulichkeit

Der Auftragnehmer ist verpflichtet, alle personenbezogenen Daten und sonstigen vertraulichen Informationen vertraulich zu behandeln. Der Auftragnehmer stellt sicher, dass jeder Mitarbeiter des Auftragnehmers, ob Angestellter oder Unterauftragnehmer, der Zugang zu personenbezogenen Daten hat oder an deren Verarbeitung beteiligt ist, (i) sich zur Wahrung der Vertraulichkeit verpflichtet hat und (ii) über seine Verpflichtungen aus dieser Datenverarbeitungsvereinbarung informiert ist und diese einhält.

3.6 Sicherheitskontrollen

Der Auftragnehmer führt regelmäßig Sicherheitsaudits der Systeme und dergleichen durch, die für die Verarbeitung der unter diese Datenverarbeitungsvereinbarung fallenden personenbezogenen Daten relevant sind.

3.7 Unterauftragnehmer (Auftragnehmerfirma)

Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen, und der Auftraggeber muss den Einsatz von Unterauftragnehmern akzeptieren. Der Auftragnehmer muss durch eine schriftliche Vereinbarung mit einem Unterauftragnehmer sicherstellen, dass die Verarbeitung personenbezogener Daten durch den Unterauftragnehmer den gleichen Verpflichtungen und Beschränkungen unterliegt wie die, die dem Auftragnehmer im Rahmen dieser Datenverarbeitungsvereinbarung auferlegt werden

3.8 Übermittlung von personenbezogenen Daten an Dritte

Wenn der Auftragnehmer einen Unterauftragnehmer außerhalb des EU-/EWR-Raums mit der Verarbeitung personenbezogener Daten beauftragt, muss diese Verarbeitung im Einklang mit dem EU-Datenschutzrahmen, den EU-Standardvertragsklauseln für Übermittlungen in Drittländer oder einer anderen ausdrücklich genannten Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland erfolgen. Dies gilt im Zweifelsfall auch, wenn die Daten in der EU/im EWR gespeichert werden, aber von einem Unterauftragnehmer außerhalb der EU/des EWR abgerufen werden können. Headhunter gelten für die Zwecke dieses Abschnitts 3.8 nicht als Unterauftragnehmer.

4. Haftung, Verstöße

Im Falle eines Verstoßes gegen diese Datenschutzvereinbarung oder eines Verstoßes gegen eine Verpflichtung nach geltendem Recht in Bezug auf die Verarbeitung personenbezogener Daten gilt, soweit gesetzlich zulässig, Folgendes:

JobTender24 kann technisch nicht mit Sicherheit feststellen, ob ein auf den JobTender24-Websites registrierter Nutzer tatsächlich diejenige Person ist, die der Nutzer vorgibt zu sein. JobTender24 übernimmt daher keine Garantie für die Identität oder die tatsächlichen Daten eines Nutzers.

JobTender24 haftet für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer Pflichtverletzung von JobTender24, eines gesetzlichen Vertreters oder eines Erfüllungsgehilfen von JobTender24 beruhen, sowie für Schäden, die durch das Fehlen einer von JobTender24 garantierten Beschaffenheit oder im Falle arglistigen Verhaltens von JobTender24 entstanden sind. Darüber hinaus haftet JobTender24 unbeschränkt für Schäden, die von JobTender24 oder einem ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursacht wurden.

Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten haftet JobTender24 der Höhe nach begrenzt auf den vertragstypischen, vorhersehbaren Schaden. Wesentliche Vertragspflichten sind abstrakt solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung die Vertragsparteien regelmäßig vertrauen dürfen. Im Übrigen ist die Haftung von JobTender24 ausgeschlossen.

JobTender24 haftet nicht für fehlende oder – aus Sicht der Nutzer – zu wenige Bewerbungen von Headhuntern, Bewerbungsvorschläge oder Kandidatenqualität oder sonstige Aktivitäten, Verhaltensweisen und Beiträge der Nutzer. Ein Anspruch auf Schadensersatz wegen mangelnder Nutzungsmöglichkeit ist ausgeschlossen.

Die Haftung nach dem Produkthaftungsgesetz bleibt hiervon unberührt.

Die Nutzer von JobTender stellen den Betreiber von allen Schäden frei, die sie anderen Nutzern oder Dritten durch die Verletzung ihrer Rechte oder sonstige Rechtsverstöße zufügen. Darüber hinaus übernimmt der Betreiber keine Haftung für Schäden, die durch die Nutzung von JobTender entstehen. Dieser Haftungsausschluß erstreckt sich auch auf alle Vertreter und sonstigen Erfüllungsgehilfen des Betreibers.

Soweit Nutzer über JobTender24 untereinander Verträge abschließen, ist JobTender24 hieran nicht beteiligt und wird daher auch nicht Vertragspartner. Die Nutzer sind für die Abwicklung und Erfüllung der zwischen ihnen geschlossenen Verträge allein verantwortlich. JobTender24 haftet nicht für Pflichtverletzungen der Nutzer aus den zwischen den Nutzern geschlossenen Verträgen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er Grund zu der Annahme hat, dass er seine Verpflichtungen aus dieser Datenschutzvereinbarung nicht erfüllen kann.

5. Dauer und Beendigung der Datenschutzvereinbarung, Änderungen

Diese Datenverarbeitungsvereinbarung gilt ab dem Datum ihrer Annahme durch beide Parteien und bis zur Beendigung der Verpflichtungen des Auftragnehmers in Bezug auf die Erbringung von lizenzierten Dienstleistungen gemäß den allgemeinen Geschäftsbedingungen von JobTender24.

Die Nutzung von JobTender24 beinhaltet die Zustimmung zu dieser Vereinbarung durch den Auftragnehmer.

Nach Beendigung dieser Datenverarbeitungsvereinbarung werden die personenbezogenen Daten gelöscht. Ausgenommen sind vertragsrelevante Daten, allgemeine Informationen über das Unternehmen des Kunden und anonyme Daten für Auswertungen und Statistiken, die keine Rückschlüsse auf eine einzelne Person zulassen. Einträge in CRM-Systemen, die der Pflege weiterer Kundenbeziehungen dienen, werden auf zusätzliche Aufforderung gelöscht.

Der Auftragnehmer hat dem Auftraggeber auf Verlangen eine schriftliche Erklärung abzugeben, in der er versichert, dass alle derartigen personenbezogenen Daten oder sonstigen Daten entsprechend den Weisungen des Auftraggebers gelöscht worden sind und dass der Auftragnehmer die Daten nicht kopiert, ausgedruckt oder auf einem Datenträger gespeichert hat, soweit nicht gesetzlich etwas anderes bestimmt ist.

Die Vertragsparteien ändern diese Datenschutzvereinbarung, wenn sich das geltende Recht entsprechend ändert.

6. Gerichtsstand und anwendbares Recht

Erfüllungsort ist der Sitz der JobTender24 GmbH. Gerichtsstand für Kaufleute oder juristische Personen des Handelsgesetzbuches (HGB) ist der Sitz der JobTender24 GmbH, derzeit Düsseldorf, Deutschland. Der Betreiber ist berechtigt, den Nutzer abweichend von dieser Gerichtsstandsvereinbarung auch an jedem anderen gesetzlichen Gerichtsstand zu verklagen. Es gilt deutsches Recht unter Ausschluss des internationalen Privatrechts und des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf, das in das deutsche Recht aufgenommen wurde.