abgeschlossen zwischen
Ihnen, als datenschutzrechtlich Verantwortlichem
im Folgenden kurz „Auftraggeber“ genannt, einerseits
und
Staffing Software Solutions GmbH, FN 570269g, Talpagasse 1A/Obj. C 1, 1230 Wien, als Auftragsverarbeiter
im Folgenden kurz „Auftragnehmer“ genannt, andererseits
gemeinsam im Folgenden kurz „Vertragsparteien“
wie folgt:
1.1
Diese vertragliche Regelung nach Art 28 DSGVO regelt die Verarbeitung von personenbezogenen Daten (im Folgenden auch kurz als „Daten“ bezeichnet) des Auftraggebers durch den Auftragnehmer.
1.2
Der Gegenstand und Umfang dies Auftrages ergibt sich aus dem Angebot des Auftragnehmers an den Kunden und den Nutzungsbedingungen (https://templink.at/nutzungsbedingungen) (gemeinsam im Folgenden kurz „Leistungsvereinbarung“).
1.3
Der Auftragnehmer bietet dem Auftraggeber eine cloudbasierte Plattform [„Templink“] (im Folgenden „Plattform“) an, mit welcher der Auftraggeber in der Lage ist, seinen Arbeitskräftebedarf an personalvermittelnde Unternehmen zu melden. Beim Auftraggeber handelt es sich um ein personalsuchendes Unternehmen. Personalvermittelnde Unternehmen haben die Möglichkeit, nach Einladung des Auftraggebers, diese Plattform zu benutzen und personenbezogene Daten auf die Cloud des Auftragnehmers zu laden, welcher diese Daten – entsprechend seinem Auftrag – dem Auftraggeber (seinen Kunden) mittels einer SaaS-Lösung zur Verfügung stellt.
1.4
Dieser Auftragsverarbeitervertrag gilt in seiner jeweiligen Fassung auch für künftige Verträge im Zusammenhang mit der Plattform, ohne dass der Auftragnehmer jeweils gesondert auf diesen Auftragsverarbeitervertrag hinweisen muss. Der Auftragnehmer wird den Auftraggeber über jegliche Änderungen dieses Auftragsverarbeitervertrages ohne unnötigen Aufschub informieren. Die jeweils aktuelle und gültige Fassung dieses Auftragsverarbeitervertrages wird auf der Homepage des Auftragnehmers unter https://templink.at/auftragsverarbeitung publiziert.
1.5
Änderungen des Auftragsverarbeitervertrages in der laufenden Geschäftsbeziehung werden wirksam, wenn der geänderte Auftragsverarbeitervertrag dem Auftraggeber mindestens 6 Wochen vor Inkrafttreten der Änderungen in Textform bekannt gegeben wird. Sollte der Auftraggeber durch die Änderungen nicht lediglich einen rechtlichen Vorteil erlangen oder werden nicht bloß redaktionelle Änderungen vorgenommen (z.B. Korrektur von offensichtlichen Unrichtigkeiten), so ist er berechtigt, dem geänderten Auftragsverarbeitervertrag bis zu dessen Inkrafttreten schriftlich zu widersprechen. Individuelle Vertragsabreden gehen diesem Auftragsverarbeitervertrag in jedem Fall vor.
1.6
Die Regelung der wirtschaftlichen und rechtlichen Konditionen und eine genaue technische oder fachmännische Beschreibung der zu erbringenden Dienstleistungen des Auftragnehmers sind nicht Gegenstand dieser vertraglichen Regelung. Diese vertragliche Regelung nach Art 28 DSGVO bezweckt vielmehr, die Anforderungen der EU-Datenschutz-Grundverordnung („DSGVO“) und im Speziellen die Regelungen nach Art 28 DSGVO betreffend einer Auftragsverarbeitung durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zu erfüllen. In dieser vertraglichen Regelung nach Art 28 DSGVO verwendete Begriffe haben die Bedeutung, die ihnen nach der DSGVO zukommen.
2.1
Die Laufzeit dieses Auftragsverarbeitervertrages ergibt sich aus der Leistungsvereinbarung und kann nach den in der Leistungsvereinbarung normierten Gründen unter Einhaltung der dort normierten Fristen zu den dort normierten Gründen gekündigt werden.
3.1
Die Art, der Zweck, der Umfang sowie die Mittel der im Rahmen der Auftragserfüllung notwendigen Verarbeitungen personenbezogener Daten durch den Auftragnehmer sind in der Leistungsvereinbarung beschrieben. Festgehalten sei hier nur, dass im gegenständlichen Fall personenbezogene Daten von Personalvermittlern und personalvermittelnden Unternehmen auf die Cloud des Auftragnehmers geladen werden, welcher diese Daten – entsprechend seinem Auftrag – personalsuchenden Unternehmen mittels einer SaaS-Lösung zur Verfügung stellt.
3.2
Folgende Kategorien personenbezogener Daten werden vom Auftragnehmer zur Auftragserfüllung verarbeitet:
Dokumentenkategorien:
3.3
Die zur Auftragserfüllung notwendigen Verarbeitungen betreffen folgende Betroffenenkategorien:
3.4
Im Rahmen der Auftragserfüllung ist der Auftragnehmer auch ohne gesonderte schriftliche Weisung des Auftraggebers befugt, die folgenden Kategorien von Verarbeitungstätigkeiten hinsichtlich der ihm im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten durchführen:
Der Auftragnehmer nimmt keine selbstständige Bearbeitung und/oder Manipulation von Daten des Auftraggebers vor. Darüberhinausgehende Verarbeitungen der ihm im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten darf der Auftragsnehmer nur nach vorheriger schriftlicher Weisung des Auftraggebers durchführen.
4.1
Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu den im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten sowie daraus resultierenden Verarbeitungsergebnissen hat, dürfen diese Daten ausschließlich entsprechend den Bestimmungen dieses Vertrages sowie allfälligen zusätzlichen schriftlichen Weisungen des Auftraggebers für Zwecke und im Rahmen der Auftragserfüllung verarbeiten, es sei denn, dass sie gesetzlich zur darüber hinausgehenden Verarbeitung verpflichtet sind. In diesem Fall teilt der Auftragsnehmer dem Auftraggeber diese gesetzlichen Verpflichtungen bzw. Anforderungen vor der Verarbeitung mit, sofern nicht eine solche Mitteilung gesetzlich untersagt ist. Die überlassenen Daten dürfen vom Auftragnehmer und jeder ihm unterstellten Person, die Zugang zu diesen Daten hat, ausschließlich dem Auftraggeber zurückzugeben oder nur nach dessen schriftlicher Weisung an Dritte übermittelt werden. Eine Verwendung der vom Auftraggeber überlassenen personenbezogenen Daten für eigene auftragsfremde Zwecke durch den Auftragnehmer ist nicht zulässig.
4.2
Der Auftragnehmer hat alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten und den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32 DSGVO zu unterstützen. Der Auftragnehmer hat dem Auftraggeber vor Beginn der Auftragserfüllung folgende Informationen zur Überprüfung eines risikoangemessenes Schutzniveaus iSd. Art. 32 DSGVO zur Verfügung gestellt:
[TOMs laut Beiblatt]
Der Auftragnehmer verpflichtet sich, dieses dem Auftraggeber gegenüber bekanntgegebene Schutzniveau durch etwaige Änderungen der getroffenen technischen und organisatorischen Maßnahmen nicht zu unterschreiten. Der Auftraggeber darf regelmäßig die vom Auftragnehmer zum Schutz der vom Auftraggeber überlassenen personenbezogenen Daten getroffenen technischen und organisatorischen Maßnahmen kontrollieren, um sicherzustellen, dass diese dem Stand der Technik entsprechen.
4.3
Der Auftragnehmer ist verpflichtet unterstützend mitzuwirken, dass der Auftraggeber die ihm obliegenden gesetzlichen Pflichten zur Auskunftserteilung, zur Berichtigung und Löschung, zur Einschränkung der Verarbeitung sowie zur Übertragung gegenüber den von der Datenverarbeitung betroffenen Personen innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und stellt dem Auftraggeber auf Anfrage unverzüglich alle hierzu notwendigen Informationen zur Verfügung. Eine eigenmächtige Auskunftserteilung, Berichtigung oder Löschung, Einschränkung der Verarbeitung oder Übertragung der im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten durch den Auftragnehmer ist nicht zulässig und darf nur nach schriftlicher Weisung des Auftraggebers erfolgen. Soweit sich eine betroffene Person unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
4.4
Der Auftragnehmer verpflichtet sich, den Auftraggeber – soweit gesetzlich zulässig – unverzüglich über Maßnahmen der Datenschutzbehörde, welche den Auftrag betreffen, zu informieren. Weiters verpflichtet sich der Auftragnehmer, den Auftraggeber in Verfahren aller Art, welche mit der Auftragserfüllung im Zusammenhang stehen, zu unterstützen.
4.5
Der Auftragnehmer ist verpflichtet, den Auftraggeber bei Feststellung von Verletzungen des Schutzes personenbezogener Daten („Datenpannen“) im Sinne der Art. 33 und 34 DSGVO unverzüglich zu informieren und diesem die in Art. 33 Abs. 3 DSGVO genannten Informationen zur Verfügung zu stellen. Der Auftragnehmer hat den Auftraggeber auch bei der Erfüllung der Meldepflichten iSd. Art 33 und 34 DSGVO, bei der Vornahme von Datenschutz-Folgenabschätzungen sowie bei der Durchführung vorheriger Konsultationen im Sinne des Art. 36 DSGVO zu unterstützen.
4.6
Der Auftragnehmer wird ohne schriftliche Genehmigung des Auftraggebers keine Kopien der im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten erstellen. Hiervon ausgenommen sind Sicherheitskopien, welche zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.
4.7
Wenn der Auftragnehmer der Ansicht ist, dass eine Bestimmung dieser vertraglichen Regelung nach Art 28 DSGVO oder eine Weisung des Auftraggebers gegen Datenschutzbestimmungen der Europäischen Union oder Österreichs verstößt, wird der Auftragnehmer, den Auftraggeber unverzüglich darüber informieren.
4.8
Der Auftraggeber verpflichtet sich, nur personenbezogene Daten auf die Plattform des Auftragnehmers zu verarbeiten, zu deren Verarbeitung er berechtigt ist. Weiters versichert der Auftraggeber, dass es sich bei den personenbezogenen Daten nur um „gewöhnliche“ personenbezogene Daten und nicht um besondere Kategorien personenbezogener Daten iSd Art 9 und 10 DSGVO handelt. Sollte der Auftraggeber gegen diese Zusagen verstoßen, hält er den Auftragnehmer für alle daraus resultierenden Konsequenzen schad- und klaglos.
5.1
Der Auftragnehmer wird alle mit der zur Auftragserfüllung notwendigen Datenverarbeitung befassten Personen vor Aufnahme ihrer Tätigkeit zur Wahrung der Vertraulichkeit und des Datengeheimnisses verpflichten sowie dazu, dass diese Verschwiegenheitsverpflichtung auch nach Beendigung der Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht bleibt.
5.2
Der Auftragnehmer leistet Gewähr, dass die Erbringung der zur Auftragserfüllung notwendigen Datenverarbeitung ausschließlich in der EU stattfindet.
5.3
Eine Datenverarbeitung in einem Drittland darf nur nach vorheriger schriftlicher Genehmigung des Auftraggebers erfolgen und soweit dabei zur Wahrung eines angemessenen Datenschutzniveaus die Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden. Das angemessene Datenschutzniveau ergibt sich dabei aus:
6.1
Der Auftragnehmer darf Sub-Auftragnehmer (Sub-Auftragsverarbeiter) in Anspruch nehmen. Vor der beabsichtigten Inanspruchnahme von Sub-Auftragnehmern oder der Ersetzung bereits genehmigter Sub-Auftragnehmer informiert der Auftragnehmer den Auftraggeber mindestens 1 Monat im Voraus. Wenn der Auftragnehmer nicht binnen 14 Tage Einspruch gegen die Heranziehung des Sub-Auftragnehmers erhebt, gilt die Heranziehung als genehmigt.
6.2
Bereits genehmigte Sub-Auftragnehmer sind:
6.3
Der Auftragnehmer hat mit einem vom Auftraggeber im Sinne des Punktes 6.1. genehmigten Sub-Auftragnehmer einen schriftlichen Sub-Auftragsverarbeitervertrag im Sinne des Art. 28 Abs. 4 DSGVO abschließen, in welchem durch entsprechende Gewährleistungen des Sub-Auftragnehmers sicherzustellen ist, dass dem Sub-Auftragsnehmer dieselben datenschutzrechtlichen Verpflichtungen (insbesondere technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten) obliegen, an die auch der Auftragsnehmer aufgrund des Gesetzes sowie aufgrund dieser Vereinbarung gebunden ist. Der Auftraggeber ist jederzeit berechtigt, Einsicht in die schriftlichen Sub-Auftragsverarbeiterverträge zu nehmen bzw. diesen vor Genehmigung eines Sub-Auftragsverarbeiters zu prüfen. Erbringt der Sub-Auftragnehmer seine Leistung außerhalb der EU bzw. des EWR, so hat der Auftragnehmer die datenschutzrechtliche Zulässigkeit der vom Sub-Auftragnehmer vorzunehmenden Datenverarbeitungen durch entsprechende Gewährleistungszusagen durch den Sub-Auftragnehmer sicherzustellen.
6.4
Die Weitergabe von personenbezogenen Daten an den Sub-Auftragnehmer und dessen erstmaliges Tätigwerden sind erst nach Abschluss des Sub-Auftragsverarbeitervertrages gestattet.
7.1
Der Auftraggeber ist berechtigt, dem Auftragnehmer jederzeit in schriftlicher Form Weisungen im Zusammenhang mit den zur Auftragserfüllung notwendigen Datenverarbeitungen zu erteilen. Weisungen des Auftraggebers sind ausschließlich in Schriftform vorzunehmen und dürfen dem Auftragnehmer keine über die Leistungsvereinbarung und diesen Auftragsverarbeitervertrag hinausgehenden Pflichten auferlegen, wenn dies nicht aus Gründen des Datenschutzrechts zwingend notwendig ist. Sind die Weisungen unrechtmäßig, haftet der Auftragsverarbeiter nicht wegen der Nichtbefolgung der Weisungen.
7.2
Wenn er der Ansicht ist, dass eine Weisung im Sinne des Punktes 7.1. gesetzeswidrig sei ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich darüber in Kenntnis zu setzen.
7.3
Der Auftraggeber hat im Zusammenhang mit der Verarbeitung der von ihm im Rahmen des Auftrages überlassenen personenbezogenen Daten das Recht auf jederzeitige Kontrolle der Einhaltung der Pflichten des Auftragnehmers im Sinne des Art. 28 DSGVO sowie dieses Vertrages. Die Kontrolle ist – um den Betrieb des Auftragnehmers nicht zu überlasten – eine Woche im Voraus anzukündigen und darf nur an Werktagen stattfinden. Der Auftragnehmer hat dem Auftraggeber dabei jene Informationen zur Verfügung zu stellen sowie insoweit Zugang zu seinen Datenverarbeitungseinrichtungen zu gewähren und den Auftraggeber sonst soweit zu unterstützen, wie dies zu einer wirksamen Kontrolle – unter Wahrung des Datenschutzes gegenüber Dritten – notwendig ist. Der Betrieb des Auftragnehmers darf dabei nicht unverhältnismäßig eingeschränkt werden. Eine derartige Kontrolle darf höchstens einmal im Quartal stattfinden.
8.1
Mit Beendigung des Auftrages hat der Auftragnehmer sämtliche im Rahmen des Auftrages vom Auftraggeber überlassenen personenbezogenen Daten sowie daraus resultierende Verarbeitungsergebnisse (inkl. Sicherheitskopien) dem Auftraggeber zu übergeben oder nach vorheriger schriftlicher Weisung des Auftraggebers datenschutzgerecht zu vernichten, soweit und solange nicht aufgrund anwendbarer rechtlicher Bestimmungen eine Verpflichtung zur Speicherung dieser Daten besteht.
9.1
Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
9.2
Dieser Vertrag unterliegt österreichischem Recht unter Ausschluss der Verweisungsnormen des Internationalen Privatrechts sowie des UN-Kaufrechts.
9.3
Gerichtsstand ist der Geschäftssitz des Auftragnehmers.
9.4
Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, so wird jedoch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Vertragsparteien verpflichten sich für diesen Fall, anstelle von ungültigen Vereinbarungen solche gültigen zu treffen, welche dem Sinn und wirtschaftlichem Zweck dieses Vertrages am nächsten kommen. Sollten sich die datenschutzrechtlichen Gegebenheiten oder Vorschriften ändern, verpflichten sich die Vertragsparteien bereits jetzt zur Einhaltung der neuen Standards und zur entsprechenden Anpassung dieser Vereinbarung.
9.5
Als Kontaktperson für Datenschutzangelegenheiten gibt der Auftragnehmer Maximilian Zieger, M.Sc. (office@templink.at) bekannt.
Folge Sie uns, um nichts mehr zu verpassen!
Sie brauchen Hilfe mit Templink?
Copyright © 2024 Staffing Software Solutions GmbH. Alle Rechte vorbehalten.
Zurzeit ist die Webseite nur in Deutsch verfügbar
Currently this website is only available in german
Es sind keine Zahlungsdaten erforderlich für den Testzeitraum
Die gesamte Vorstellung dauert in etwa 20 min. und ist vollkommen unverbindlich und kostenlos
Die gesamte Vorstellung dauert in etwa 20 min. und ist vollkommen unverbindlich und kostenlos
Die gesamte Vorstellung dauert in etwa 20 min. und ist vollkommen unverbindlich und kostenlos