1.1 Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, welche mit dem Vertragsgegenstand in Zusammenhang stehen und bei denen der KUNDE personenbezogene Daten, die von KERN im Zuge der Tätigkeit als Personalberater übermittelt worden sind, verarbeitet.
1.2 Sowohl KERN als auch der KUNDE gelten beide in Bezug auf diese Verarbeitung als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO. Die beiden Verantwortlichen sind im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung eigenständig und gesondert verantwortlich. Dies ist damit begründet, dass KERN die Daten von Kandidaten im Zuge ihrer Geschäftstätigkeit selbst erhebt und in ihren „Talente Pool“ aufnimmt, unabhängig vom einzelnen konkreten Auftrag des Kunden und somit die Mittel zur Personalsuche und -auswahl selbst bestimmt. Durch die Übermittlung der personenbezogenen Daten an den KUNDEN übergibt KERN diese in dessen Verantwortungsbereich, insofern ist der KUNDE für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Das Suchen und Rekrutieren von Kandidaten ist Unternehmensgegenstand von KERN und erfolgt daher zu eigenen Zwecken. Nach Übermittlung der Kandidatendaten erfolgt die Entscheidung über den Kandidaten ausschließlich beim KUNDEN aufgrund von ihm selbst gewählter Mittel. Sohin verarbeitet der KUNDE abschließend die ausgewählten Kandidatendaten zum eigenen Zwecke der Kandidatenauswahl.
1.3 Gegenstand, Dauer und Umfang richten sich ausschließlich nach der Geschäftsbeziehung, insofern nicht in diesem Vertrag aus rechtlichen Notwendigkeiten abweichende Erfordernisse getroffen werden mussten.
2.1 Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) „KERN“ oder „Verantwortlicher I“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.
b) „KUNDE“ oder „Verantwortlicher II“ bezeichnet den für die Verarbeitung Verantwortlichen, der vom Verantwortlichen I personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieses Vertrags entgegennimmt.
c) „KANDIDAT“ oder „betroffene Person“ bezeichnet jene Person, die sich bei KERN zum Zwecke der Jobvermittlung bewirbt.
3.1 Die Zulässigkeit der Übermittlung personenbezogener Kandidatendaten an den KUNDEN bestimmt sich nach Art. 6 Abs. 1 DSGVO. Gegenständlich erfolgt die Datenübermittlung der Kandidatendaten, insbesondere aufgrund einer der nachstehenden Rechtsgrundlagen:
4.1 Der KUNDE verarbeitet im Einzelnen folgende Daten:
5.1 Beide Verantwortliche führen für die Verarbeitung ein Verzeichnis der bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO. Die Verantwortlichen stellen auf wechselseitige Anforderung die für diesen Vertrag notwendigen Angaben gemäß Art. 30 DSGVO zur Verfügung.
6.1 KERN sichert zu, dass die personenbezogenen Daten nach den geltenden (datenschutzrechtlichen) Gesetzen gesammelt, verarbeitet und übermittelt werden.
7.1 Der KUNDE verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Vereinbarung sowie der geltenden datenschutzrechtlichen Bestimmungen zu Zwecken der Mitarbeitersuche, -auswahl und -einstellung zu verarbeiten. Der KUNDE bestätigt und garantiert mit dieser Erklärung, dass sämtliche ihn betreffenden datenschutzrechtlichen Bestimmungen eingehalten werden.
7.2 Zudem ist der KUNDE verpflichtet, personenbezogene Daten von Kandidaten, die von KERN übermittelt werden, nach Ende der Behaltefrist von 6 Monaten nach Beendigung des Bewerbungsprozesses zu löschen, insofern diese, beispielsweise nach Ablehnung der Bewerbung, nicht mehr vertragsgemäß verwendet werden. Überdies ist der KUNDE verpflichtet, nach Aufforderung von KERN, die Daten von Kandidaten zu löschen, insofern dem keine zwingenden rechtlichen Erfordernisse entgegenstehen.
7.3 Der KUNDE verarbeitet somit die personenbezogenen Daten zu den im Vertragsgegenstand dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.
8.1 Der KUNDE verpflichtet sich, KERN unverzüglich zu informieren, wenn der KUNDE, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten oder vertrauliche Informationen unter Verstoß gegen diese Vereinbarung weitergegeben wurden. Ebenso unterrichtet der KUNDE die Firma KERN unverzüglich über schwerwiegende Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
9.1 Der KUNDE gestaltet die innerbetriebliche Organisation so, dass ein Sicherheitsniveau gewährleistet ist, dass den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten und damit den besonderen Anforderungen des Datenschutzes gerecht wird. Der KUNDE hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, womit die unbeabsichtigte oder rechtswidrige Zerstörung oder der unbeabsichtigte Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder der unberechtigte Zugriff verhindert werden kann (Art. 32 DSGVO). Dies beinhaltet beispielsweise folgende Maßnahmen, die vor Missbrauch und Verlust der Daten schützen, wie beispielsweise:
Maßnahme sind beispielsweise die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens. Bei Änderung der getroffenen Sicherheitsmaßnahmen muss sichergestellt sein, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
10.1 Der KUNDE erklärt, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere die Mitarbeiter und Vertragspartner, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der DSGVO und die in dieser Vereinbarung geregelten Voraussetzungen mit schriftlicher Bestätigung verpflichtet worden sind. Vertrauliche Informationen werden nur an berechtigte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten. Insbesondere bleibt die Verschwiegenheitsverpflichtung, der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden bei den Vertragsparteien aufrecht.
10.2 Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.
11.1 Der KUNDE haftet gegenüber KERN für Schäden, die er durch einen Verstoß gegen diesen Vertrag verursacht. Diese Haftung ist auf den tatsächlich erlittenen Schaden begrenzt. Im Übrigen haften der KUNDE und KERN gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
12.1 Weiters verpflichtet sich die Verantwortlichen, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Bestimmungen der § 15 (Auskunftsrecht), § 16 (Recht auf Berichtigung, § 17 (Recht auf Löschung/Recht auf Vergessenwerden), § 18 (Recht auf Vergessenwerden), § 19 (Recht auf Mitteilung von Änderungen), § 20 (Recht auf Datenübertragbarkeit), und § 21 (Recht auf Widerspruch) DSGVO gegenüber Betroffenen innerhalb der gesetzlichen Fristen entsprochen werden kann. Die Verantwortlichen verpflichten sich hierzu zum wechselseitigen Informationsaustausch.
13.1 Bei einer Streitigkeit oder einer Klage einer betroffenen Person oder der Datenschutzbehörde gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten, hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung. Weiters verpflichten sich die Parteien, sich bei Erfüllung der Anfragen und Ansprüche oder Abwehr der Ansprüche Art. 12 -23 DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten im Rahmen der Möglichkeiten zu unterstützen.
14.1 Verstößt der KUNDE gegen seine Verpflichtungen aus dieser Vereinbarung, kann KERN die Übermittlung personenbezogener Daten vorläufig aussetzen, bis der Verstoß beseitigt oder der dieser Vereinbarung zugrunde liegender Vertrag beendet ist.
14.2 Tritt einer der folgenden Fälle ein, kann KERN den dieser Vereinbarung zugrunde liegenden Vertrag endgültig beenden:
14.3 Die Parteien vereinbaren, dass sie auch nach der Beendigung dieser Vereinbarung, ungeachtet des Zeitpunkts, der Umstände oder der Gründe, weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Vereinbarung in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind. Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch KERN, werden die Daten nach Wahl von KERN berichtigt oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der KUNDE die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Anforderung durch KERN oder gibt diese Datenträger an KERN zurück, sofern nicht im Vertrag bereits vereinbart. KERN ist jeweils hierüber seitens des KUNDEN gegebenenfalls ein geeigneter Nachweis zu erbringen (Protokoll). Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der KUNDE.
15.1 Es gilt ausschließlich das Recht der Republik Österreich. Gerichtsstand für sämtliche Vertragsbeziehungen zwischen KERN und dem Auftraggeber ist das für 4020 Linz sachlich zuständige Gericht.
15.2 Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.
16.1 Sollten die Daten des KUNDEN durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der KUNDE den Verantwortlichen I unverzüglich darüber zu informieren.
17.1 Diese Vereinbarung wird mit Zustimmung durch den Vertragspartner oder konkludenter Annahme des zugrunde liegenden Angebots/Vertrags rechtskräftig.
17.2 Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung der Vereinbarung handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.
18.1 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollte eine Bestimmung dieser Vereinbarung ungültig sein oder werden, bleibt die Vereinbarung selbst, samt aller übrigen Bestimmungen gültig und aufrecht.
19.1 Im Sinne einer leichteren Lesbarkeit wurde auf die Unterscheidung in weibliche und männliche Schreibweise verzichtet und jeweils die männliche Form verwendet. Das betreffende Wort bezieht sich jedoch auf beide Geschlechter.
KERN engineering careers GmbH
Zuletzt aktualisiert: 19. Juli 2023
Als PDF herunterladen