Datenschutzvereinbarung mit Kunden

1. Geltungsbereich

1.1 Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, welche mit dem Vertragsgegenstand in Zusammenhang stehen und bei denen der KUNDE personenbezogene Daten, die von KERN im Zuge der Tätigkeit als Personalberater übermittelt worden sind, verarbeitet.

1.2 Sowohl KERN als auch der KUNDE gelten beide in Bezug auf diese Verarbeitung als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO. Die beiden Verantwortlichen sind im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung eigenständig und gesondert verantwortlich. Dies ist damit begründet, dass KERN die Daten von Kandidaten im Zuge ihrer Geschäftstätigkeit selbst erhebt und in ihren „Talente Pool“ aufnimmt, unabhängig vom einzelnen konkreten Auftrag des Kunden und somit die Mittel zur Personalsuche und -auswahl selbst bestimmt. Durch die Übermittlung der personenbezogenen Daten an den KUNDEN übergibt KERN diese in dessen Verantwortungsbereich, insofern ist der KUNDE für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Das Suchen und Rekrutieren von Kandidaten ist Unternehmensgegenstand von KERN und erfolgt daher zu eigenen Zwecken. Nach Übermittlung der Kandidatendaten erfolgt die Entscheidung über den Kandidaten ausschließlich beim KUNDEN aufgrund von ihm selbst gewählter Mittel. Sohin verarbeitet der KUNDE abschließend die ausgewählten Kandidatendaten zum eigenen Zwecke der Kandidatenauswahl.

1.3 Gegenstand, Dauer und Umfang richten sich ausschließlich nach der Geschäftsbeziehung, insofern nicht in diesem Vertrag aus rechtlichen Notwendigkeiten abweichende Erfordernisse getroffen werden mussten.

2. Begriffsbestimmung

2.1 Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) „KERN“ oder „Verantwortlicher I“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.
b) „KUNDE“ oder „Verantwortlicher II“ bezeichnet den für die Verarbeitung Verantwortlichen, der vom Verantwortlichen I personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieses Vertrags entgegennimmt.
c) „KANDIDAT“ oder „betroffene Person“ bezeichnet jene Person, die sich bei KERN zum Zwecke der Jobvermittlung bewirbt. 

3. Rechtsgrundlage

3.1 Die Zulässigkeit der Übermittlung personenbezogener Kandidatendaten an den KUNDEN bestimmt sich nach Art. 6 Abs. 1 DSGVO. Gegenständlich erfolgt die Datenübermittlung der Kandidatendaten, insbesondere aufgrund einer der nachstehenden Rechtsgrundlagen:

• zur Durchführung vorvertraglicher Maßnahmen (Interesse an einem Job) auf Anfrage des Kandidaten; oder
• nach wirksamer Einwilligung des Kandidaten in die Übermittlung an den KUNDEN; oder
• zur Erfüllung eines Vertrages, dessen Vertragspartei der Kandidat ist; oder
• zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses (beispielsweise Begründung einer Arbeitskräfteüberlassung); oder
• zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt; oder
• zur Wahrung berechtigter Interessen von KERN, sofern nicht schutzwürdige Interessen oder die Grundrechte und Grundfreiheiten des Kandidaten am Ausschluss einer solchen Übermittlung überwiegen.

4. Beschreibung der Datenverarbeitung

4.1 Der KUNDE verarbeitet im Einzelnen folgende Daten:

• Stammdaten (Vorname, Nachname, Geburtsdatum, Titel, Geschlecht, Nationalität);
• Adressdaten (Straße, PLZ, Ort);
• Kontaktdaten (Telefonnummer, Mobiltelefonnummer, E-Mail-Adresse);
• Bewerbungsdokumente (Lebenslauf, Zeugnisse);
• Lichtbild des Kandidaten (ohne Verwendung einer Software um biometrische Merkmale auslesen zu können);
• Ausbildung (Angaben zu Schul- und Studienabschlüssen);
• Kenntnisse und Sprachkenntnisse;
• Beruflicher Werdegang (Angaben zu ihren bisherigen Beschäftigungen);
• Weitere personenbezogene Daten, die aus dem Bewerbungsschreiben und dem Lebenslauf hervorgehen im Rahmen des Bewerbungsprozesses und Bewerbermanagements sowie zum Support und zur Wartung des Systems;
• Einschätzungen des Recruiters zur qualitativen Beurteilung der Kenntnisse und Eigenschaften des Kandidaten;
• Mitarbeiterdaten von KERN: Name, Vorname, Firmenemailadresse, Firmentelefonnummer im Rahmen der vertraglichen Zusammenarbeit sowie zum Support und zur Wartung des Systems.

5. Pflichten der Verantwortlichen

5.1 Beide Verantwortliche führen für die Verarbeitung ein Verzeichnis der bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO. Die Verantwortlichen stellen auf wechselseitige Anforderung die für diesen Vertrag notwendigen Angaben gemäß Art. 30 DSGVO zur Verfügung.

6. Pflichten von KERN

6.1 KERN sichert zu, dass die personenbezogenen Daten nach den geltenden (datenschutzrechtlichen) Gesetzen gesammelt, verarbeitet und übermittelt werden.

7. Pflichten des KUNDEN

7.1 Der KUNDE verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Vereinbarung sowie der geltenden datenschutzrechtlichen Bestimmungen zu Zwecken der Mitarbeitersuche, -auswahl und -einstellung zu verarbeiten. Der KUNDE bestätigt und garantiert mit dieser Erklärung, dass sämtliche ihn betreffenden datenschutzrechtlichen Bestimmungen eingehalten werden.

7.2 Zudem ist der KUNDE verpflichtet, personenbezogene Daten von Kandidaten, die von KERN übermittelt werden, nach Ende der Behaltefrist von 6 Monaten nach Beendigung des Bewerbungsprozesses zu löschen, insofern diese, beispielsweise nach Ablehnung der Bewerbung, nicht mehr vertragsgemäß verwendet werden. Überdies ist der KUNDE verpflichtet, nach Aufforderung von KERN, die Daten von Kandidaten zu löschen, insofern dem keine zwingenden rechtlichen Erfordernisse entgegenstehen.

7.3 Der KUNDE verarbeitet somit die personenbezogenen Daten zu den im Vertragsgegenstand dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.

8. Data Breach Notification

8.1 Der KUNDE verpflichtet sich, KERN unverzüglich zu informieren, wenn der KUNDE, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten oder vertrauliche Informationen unter Verstoß gegen diese Vereinbarung weitergegeben wurden. Ebenso unterrichtet der KUNDE die Firma KERN unverzüglich über schwerwiegende Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

9. Technische und organisatorische Maßnahmen

9.1 Der KUNDE gestaltet die innerbetriebliche Organisation so, dass ein Sicherheitsniveau gewährleistet ist, dass den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten und damit den besonderen Anforderungen des Datenschutzes gerecht wird. Der KUNDE hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, womit die unbeabsichtigte oder rechtswidrige Zerstörung oder der unbeabsichtigte Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder der unberechtigte Zugriff verhindert werden kann (Art. 32 DSGVO). Dies beinhaltet beispielsweise folgende Maßnahmen, die vor Missbrauch und Verlust der Daten schützen, wie beispielsweise: 

• Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
• zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
• dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
• dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten, die der KUNDE an Auftragsverarbeiter übermittelt, nur entsprechend seinen Weisungen verarbeitet werden (Auftragskontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
• dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

Maßnahme sind beispielsweise die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens. Bei Änderung der getroffenen Sicherheitsmaßnahmen muss sichergestellt sein, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

10. Verpflichtung zur Verschwiegenheit

10.1 Der KUNDE erklärt, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere die Mitarbeiter und Vertragspartner, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der DSGVO und die in dieser Vereinbarung geregelten Voraussetzungen mit schriftlicher Bestätigung verpflichtet worden sind. Vertrauliche Informationen werden nur an berechtigte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten. Insbesondere bleibt die Verschwiegenheitsverpflichtung, der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden bei den Vertragsparteien aufrecht.

10.2 Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.

11. Haftung und Rechte Dritter

11.1 Der KUNDE haftet gegenüber KERN für Schäden, die er durch einen Verstoß gegen diesen Vertrag verursacht. Diese Haftung ist auf den tatsächlich erlittenen Schaden begrenzt. Im Übrigen haften der KUNDE und KERN gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. 

12 Rechte von betroffenen Personen

12.1 Weiters verpflichtet sich die Verantwortlichen, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Bestimmungen der § 15 (Auskunftsrecht), § 16 (Recht auf Berichtigung, § 17 (Recht auf Löschung/Recht auf Vergessenwerden), § 18 (Recht auf Vergessenwerden), § 19 (Recht auf Mitteilung von Änderungen), § 20 (Recht auf Datenübertragbarkeit), und § 21 (Recht auf Widerspruch) DSGVO gegenüber Betroffenen innerhalb der gesetzlichen Fristen entsprochen werden kann. Die Verantwortlichen verpflichten sich hierzu zum wechselseitigen Informationsaustausch.

13. Beilegung von Streitigkeiten mit betroffenen Personen oder der Datenschutzbehörde

13.1 Bei einer Streitigkeit oder einer Klage einer betroffenen Person oder der Datenschutzbehörde gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten, hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung. Weiters verpflichten sich die Parteien, sich bei Erfüllung der Anfragen und Ansprüche oder Abwehr der Ansprüche Art. 12 -23 DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten im Rahmen der Möglichkeiten zu unterstützen.

14. Beendigung des Vertrags

14.1 Verstößt der KUNDE gegen seine Verpflichtungen aus dieser Vereinbarung, kann KERN die Übermittlung personenbezogener Daten vorläufig aussetzen, bis der Verstoß beseitigt oder der dieser Vereinbarung zugrunde liegender Vertrag beendet ist.

14.2 Tritt einer der folgenden Fälle ein, kann KERN den dieser Vereinbarung zugrunde liegenden Vertrag endgültig beenden:

• Die Übermittlung personenbezogener Daten an den KUNDEN wird von KERN gemäß Zi 1 länger als einen Monat ausgesetzt;
• der KUNDE missachtet Zusicherungen, die er im Rahmen dieser Vereinbarung gegeben hat, in erheblichem Umfang oder fortdauernd;
• ein Gericht oder eine Datenschutzbehörde stellt rechtskräftig fest, dass der KUNDE gegen die DSGVO verstoßen hat;

14.3 Die Parteien vereinbaren, dass sie auch nach der Beendigung dieser Vereinbarung, ungeachtet des Zeitpunkts, der Umstände oder der Gründe, weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Vereinbarung in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind. Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch KERN, werden die Daten nach Wahl von KERN berichtigt oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der KUNDE die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Anforderung durch KERN oder gibt diese Datenträger an KERN zurück, sofern nicht im Vertrag bereits vereinbart. KERN ist jeweils hierüber seitens des KUNDEN gegebenenfalls ein geeigneter Nachweis zu erbringen (Protokoll). Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der KUNDE.

15. Anwendbares Recht und Gerichtsstand

15.1 Es gilt ausschließlich das Recht der Republik Österreich. Gerichtsstand für sämtliche Vertragsbeziehungen zwischen KERN und dem Auftraggeber ist das für 4020 Linz sachlich zuständige Gericht.

15.2 Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.

16. Exekution/Insolvenz

16.1 Sollten die Daten des KUNDEN durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der KUNDE den Verantwortlichen I unverzüglich darüber zu informieren.

17. Form/Schriftform

17.1 Diese Vereinbarung wird mit Zustimmung durch den Vertragspartner oder konkludenter Annahme des zugrunde liegenden Angebots/Vertrags rechtskräftig. 

17.2 Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung der Vereinbarung handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.

18. Salvatorische Klausel

18.1 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollte eine Bestimmung dieser Vereinbarung ungültig sein oder werden, bleibt die Vereinbarung selbst, samt aller übrigen Bestimmungen gültig und aufrecht.

19. Hinweis zur Sprachregelung

19.1 Im Sinne einer leichteren Lesbarkeit wurde auf die Unterscheidung in weibliche und männliche Schreibweise verzichtet und jeweils die männliche Form verwendet. Das betreffende Wort bezieht sich jedoch auf beide Geschlechter.

KERN engineering careers GmbH
Zuletzt aktualisiert:  19. Juli 2023
Als PDF herunterladen