Gratis starten Gratis starten

Auftragsverarbeitungsvertrag

Version 2.5. (12.01.2021)

zwischen der

New Work SE
Strandkai 1,
20457 Hamburg
(im ff. „Prescreen“)

und dem
Auftraggeber
(im ff. „Kunde“)

sowie ggf. verbundene Unternehmen des Auftraggebers

 

1. Gegenstand der Vereinbarung und Geltungsbereich

Diese Vereinbarung bezieht sich auf das Vertragsverhältnis zwischen Prescreen und dem Kunden zur Nutzung des E-Recruiting-Systems „Prescreen“ unter den Domains *.prescreenapp.io und *.jobbase.io (nachfolgend: „Prescreen.io“), auf dem der Kunde Stellenanzeigen schaltet sowie Bewerbungen empfängt und verwalten kann. Prescreen ist in diesem Verhältnis als „Auftragsverarbeiter“ gem. Art. 4 Nr. 8 EU-Datenschutz-Grundverordnung („DSGVO“) und der Kunde als „Verantwortlicher“ gem. Art. 4 Nr. 7 DSGVO zu qualifizieren.

Die Nutzung von Prescreen.io erfolgt durch Personen, die vom Kunden eigens dafür autorisiert werden (nachfolgend „Unternehmensnutzer“).
Prescreen.io dient dazu, den Kunden hinsichtlich der Personalsuche zu unterstützen. Über Prescreen.io kann der Kunde Bewerbungen von Kandidaten empfangen und verwalten. Innerhalb eines Prescreen.io-Zugangs können mehrere Unternehmensnutzer bei der Personalsuche zusammenarbeiten und Informationen untereinander austauschen.

Der Umfang der Nutzungsmöglichkeiten von Prescreen.io ergibt sich aus dem zwischen den Vertragsparteien abgeschlossenen Vertrag (im Folgenden Hauptvertrag). Das Vertragsverhältnis tritt mit Unterzeichnung durch beide Vertragspartner in Kraft und läuft so lange wie der durch Unterzeichnung des Angebots abgeschlossene Hauptvertrag. Das ordentliche Kündigungsrecht entspricht dem des Hauptvertrages.

Soweit sich aus anderen Vereinbarungen zwischen dem Kunden und Prescreen anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.

Ein vollständiges Anlagenverzeichnis aller in diesem Vertrag referenzierten Anlagen inklusive Rangordnung bei sich widersprechenden Regelungen ist am Ende dieses Vertrages angeführt.

Prescreen.io steht den mit dem Kunden verbundenen Unternehmen zur Nutzung zur Verfügung. Die verbundenen Unternehmen sind der Anlage 1 zu entnehmen. Sofern mit diesen verbundenen Unternehmen nicht ein separater Auftragsverarbeitungsvertrag abgeschlossen wurde, werden diese ebenfalls Vertragspartner des Auftragsverarbeitungsvertrags. Somit gelten alle Regelungen dieses Vertrags auch für die verbundenen Unternehmen.

Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

2. Zweck der Verarbeitung

Diese Vereinbarung regelt die im Auftrag des Kunden durch Prescreen erfolgende Verarbeitung von personenbezogenen Daten (auch kurz als „Daten“ bezeichnet). Die Regelung der wirtschaftlichen Konditionen und eine genaue fachmännische Beschreibung der zu erbringenden Dienstleistungen des Auftragsverarbeiters sind nicht Gegenstand dieser Vereinbarung.

Sie bezweckt, die Anforderungen der DSGVO an die Regelung der Auftragsverarbeitung von Prescreen im Auftrag des Kunden zu erfüllen.
Zweck der Verarbeitung personenbezogener Daten durch Prescreen ist die Unterstützung des Kunden und seiner Kandidaten im Rahmen des Recruitings durch Bereitstellung einer Online-Plattform zum Empfangen und Verwalten von Bewerbungen sowie zum Zweck von weiteren Informationen und Kommunikationen zwischen Kandidaten und Unternehmen.

Die Erforderlichkeit und der Umfang der Datenerhebung beurteilen sich u.a. nach der zu besetzenden Position. Wenn die angestrebte Position mit der Wahrnehmung besonders vertraulicher Aufgaben, einer verstärkten personellen und/ oder finanziellen Verantwortung verbunden ist, oder an gewisse körperliche und gesundheitliche Voraussetzungen geknüpft ist, können umfangreichere Datenerhebungen erforderlich sein.

3. Art der Daten

3.1 Art der Daten aus Sicht der Kandidaten

Zur Durchführung des Bewerbungsverfahrens können mit Hilfe der Online-Plattform prescreen.io folgende Daten bzw. Datenkategorien verarbeitet werden. Die genauen Daten bzw. Datenkategorien können vom Kunden frei gewählt werden und müssen in der Datenschutzerklärung für Kandidaten (Vorlage Standard-Datenschutzerklärung für Kandidaten: Anlage 4) direkt in prescreen.io angepasst werden.

● Bewerberstammdaten (Vorname, Name, Anrede, E-Mail-Adresse, Telefonnummer, Anschrift, Geburtsdatum, Staatsbürgerschaft)
● Qualifikationsdaten (Anschreiben, Motivationsschreiben, Lebenslauf, bisherige Tätigkeiten, fachliche Qualifikation und Kompetenzen)
● freiwillige Angaben, wie z.B. ein Bewerbungsfoto, Angaben zur Schwerbehinderteneigenschaft oder sonstige Informationen, die der Kandidat in seiner Bewerbung freiwillig mitteilt oder freiwillig hochlädt
● von der jeweiligen Ausschreibung abhängige Zusatzfragen (z.B. Führerschein, Staatsbürgerschaft)
● Kommunikation zwischen dem Kunden und dem Kandidaten sowie Kommentare und Bewertungen, die im Zuge des Bewerbungsprozesses zum Kandidaten verfasst werden
● weitere Daten/ Datenkategorien, z.B. öffentlich zugänglich gemachte, berufsbezogene Daten, z.B. ein Profil bei beruflichen Social Media-Netzwerken wie XING oder LinkedIn
● Besondere Kategorien personenbezogener Datengemäß Art. 9 Abs. 1 DSGVO, z.B. Angaben zur Gesundheit (z.B. Schwerbehinderteneigenschaft) oder Angaben, die Rückschlüsse auf die sexuelle Orientierung oder auf die ethnische Herkunft oder Religion erlauben.

3.2 Art der Daten aus Sicht der Unternehmensnutzer

Für die Nutzung der Plattform prescreen.io ist es nötig, dass eine Reihe von personenbezogenen Daten von Unternehmensnutzern verarbeitet werden (z.B. zur Registrierung neuer Nutzer).

Folgende Daten können bei der Registrierung verarbeitet werden:
a. Name
b. E-Mail-Adresse
c. Passwort
d. Telefonnummer

Folgende Daten können bei der Nutzung verarbeitet werden:
● Von Unternehmensnutzern verfasste Nachrichten an Bewerber oder andere Unternehmensnutzer.
● Von Unternehmensnutzern verfasste persönliche Kommentare und Bewertungen.
● Aktivitätsdaten, die während der Nutzung entstehen (z.B. Statusänderungen von Bewerbungen, Bedarfsmeldungen für neue Stelleninserate, etc.).
● Weitere personenbezogene Daten, die ein Unternehmensnutzer hinterlegt, wenn er eine persönliche Signatur oder Nachrichtenvorlage erstellt.

Folgende Daten können bei der Inanspruchnahme von Support-Leistungen durch Prescreen verarbeitet werden:
● E-Mail-Adresse
● Name
● Kontext der Anfrage
● Sonstige personenbezogene Daten, die ein Unternehmensnutzer an den Support übermittelt.

3.3 Im Zusammenhang mit der Nutzung der Plattform werden folgende weitere Daten verarbeitet:

a) Automatisiert erhobene Nutzungsdaten aus Sicht der Kandidaten und Unternehmensnutzer
Beim Zugriff auf prescreen.io übermittelt der Internetbrowser des Kandidaten oder des Unternehmensnutzers aus technischen Gründen automatisiert bestimmte Nutzungsdaten. Diese Informationen werden getrennt von anderen Daten in sogenannten Log-Dateien gespeichert. Dabei werden folgenden Informationen von Prescreen erfasst:

● Datum und Uhrzeit sowie Dauer des Zugriffs,
● Browsertyp/ -version,
● verwendetes Betriebssystem,
● URL der zuvor besuchten Webseite,
● übertragene Datenmenge,
● anhand der IP-Adresse wird ein GeoIP Lookup durchgeführt,
● Name der abgerufenen Dateien,
● http-Status-Code (z.B. „Anfrage erfolgreich“),
● URL der aufgerufenen Webseite,
● Zugriffsart (GET, POST).

Diese Daten sind technisch erforderlich, um die Funktionen von prescreen.io anzubieten und dessen Stabilität und Sicherheit zu gewährleisten. Sie werden von Prescreen für einen Zeitraum von 12 Monate gespeichert. Daten, deren weitere Aufbewahrung zu Dokumentationszwecken (z.B. auf Grund von rechtlichen Vorschriften) erforderlich ist, sind davon ausgenommen.

b) Cookies
Prescreen setzt Cookies ein. Diese dienen dazu, die Onlinebewerbung nutzerfreundlicher und effektiver zu machen. Die Cookies sind technisch notwendig. Ohne den Einsatz der Cookies wäre der Betrieb der Webseite nicht möglich. Es gibt daher keine Möglichkeit, dem Einsatz der Cookies zu widersprechen. Unsere verwendeten Cookies finden Sie in unseren Datenschutzhinweisen unter: https://prescreen.io/de/datenschutzerklaerung/

4. Kreis der Betroffenen

Der Kreis der durch die Datenverarbeitung im Auftrag betroffenen Personengruppen umfasst:
● Kandidaten/ Bewerber des Kunden
Prescreen stellt dem Kunden eine Vorlage der Datenschutzhinweise für Kandidaten zur Verfügung, die aktuelle Version ist im Tool hinterlegt. Diese Vorlage dient nur als Hilfestellung und muss vom Kunden direkt in prescreen.io angepasst werden.

● Unternehmensnutzer (z.B. Beschäftigte des Kunden)
Die Korrespondenz und Informationen, die im Rahmen eines Bewerbungsprozesses von Unternehmensnutzern erfasst werden, bleiben auch nach deren Ausscheiden als Unternehmensnutzer für eine Dauer von drei Jahren gespeichert und sind über den Prescreen.io-Zugang des Unternehmens für aktuelle und zukünftige Unternehmensnutzer sichtbar. Die Korrespondenz zwischen Kandidaten und Unternehmensnutzern, wird gelöscht, sobald der Kandidat gelöscht wird, da diese Korrespondenz mit dem Kandidaten-Profil verknüpft ist.
Die Information über die Datenverarbeitung betreffend der Unternehmensnutzer obliegt dem Kunden.

5. Technische und organisatorische Maßnahmen

Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

Die Beschreibung der technischen und organisatorischen Maßnahmen ist im Tool hinterlegt. Auf Anfrage senden wir Ihnen diese gerne zu.

Die technischen und organisatorischen Maßnahmen unterliegen dem Fortschritt und der Weiterentwicklung. Insoweit ist es Prescreen gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das angemessene Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dabei zu dokumentieren und dem Kunden auf Wunsch mitzuteilen.

6. Geltendmachung von Betroffenenrechten

Der Kunde ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Prescreen stellt die technischen und organisatorischen Voraussetzungen sicher, damit der Kunde seine datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs‑, Löschungs‑, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, innerhalb der vorgegebenen Fristen erfüllen kann.

Betroffene Kandidaten haben im Rahmen der Web-Applikation die Möglichkeit ihre Daten zu löschen oder ein Löschbegehren zu stellen. Der Kandidat kann seine Daten selbst nur löschen, wenn er seine Bewerbung noch nicht abgeschlossen hat, danach kann der Kandidat ein Löschbegehren stellen. Der Kunde setzt Prescreen umgehend in Kenntnis (längstens jedoch binnen sieben Tagen ab Kenntnis der Ausübung von Betroffenenrechten), wenn es zu deren Erfüllung die Unterstützung von Prescreen benötigt.

Sofern sich ein Betroffener unmittelbar an Prescreen zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird Prescreen dieses Ersuchen unverzüglich an den Kunden weiterleiten. Eine über diese Weiterleitung hinausgehende Unterstützung des Kunden bei der Bearbeitung von Anfragen Betroffener wird nach schriftlicher Aufforderung durch den Kunden vorbehaltlich der Übernahme der hierdurch entstehenden Kosten durch Prescreen im Rahmen seiner Möglichkeiten durchgeführt.

Der Kunde kann eigenständig die Daten eines Betroffenen löschen bzw. Auskunft über Informationen geben. Der Support bei der Umsetzung dieser Tätigkeiten im Tool bezüglich einer Betroffenenanfrage ist unentgeltlich.

7. Sonstige Verpflichtungen von Prescreen

Prescreen hat einen fachkundigen und qualifizierten Datenschutzbeauftragten benannt, dessen Name und Kontaktdaten er dem Kunden auf Anfrage mitteilt. Ein späterer Wechsel des Datenschutzbeauftragten wird dem Kunden mitgeteilt, eine Veröffentlichung auf der Homepage von Prescreen ist hierfür ausreichend.

Prescreen verpflichtet sich, unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, den Kunden bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz-Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen.

Prescreen unterrichtet den Kunden über Maßnahmen der Datenschutzaufsichtsbehörde, deren Ursache im Zusammenhang mit der Durchführung des zwischen den Vertragsparteien geschlossenen Hauptvertrages steht. Die möglichen Maßnahmen der Aufsichtsbehörde ergeben sich aus Art. 58, 83 ff. DSGVO.
Wenn Prescreen eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet es diese unverzüglich dem Kunden.

Falls für Ihr Unternehmen das Gesetz über den Kirchlichen Datenschutz (KDG) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) anwendbar ist, unterwirft sich Prescreen.io auch diesen Gesetzen. Die Unterwerfung erstreckt sich auf die Aufgaben und Befugnisse der kirchlichen Datenschutzaufsicht.

8. Weisungsbefugnis des Kunden

Prescreen verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Kunden, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Kunde unverzüglich (mind. Textform). Die anfänglichen Weisungen des Kunden werden durch diesen Vertrag festgelegt.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren (Textform genügt). Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt Prescreen dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung und Vergütung ergeben. Ist Prescreen die Umsetzung der Weisung nicht zumutbar, so ist Prescreen berechtigt, die betreffende Weisung abzulehnen. Die Ablehnung erfolgt unbeschadet des weiterhin bestehenden Hauptvertrags sowie des hiesigen Vertrages zur Datenverarbeitung im Auftrag.

Auskünfte an Dritte oder betroffene Personen darf Prescreen nur nach vorheriger Zustimmung (Textform genügt) durch den Kunden erteilen, es sei denn eine rechtliche Vorschrift steht dem entgegen.

Der Kunde benennt weisungsberechtigte Personen. Die weisungsberechtigten Personen entsprechen den vom Kunden in prescreen.io eingetragenen Unternehmensnutzern mit Administrationsrechten. Für den Fall, dass sich eine weisungsberechtigte Person beim Kunden ändert, wird der Kunde dies in prescreen.io entsprechend anpassen.
Prescreen verwendet die Daten für keine anderen als die vereinbarten Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben, soweit dies nicht durch diesen Vertrag geregelt oder eine Weisung des Kunden besteht.

Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Prescreen verpflichtet sich den Kunden unverzüglich zu informieren, wenn Prescreen der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Prescreen ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen des Kunden bestätigt oder geändert wird.

Prescreen sichert dem Kunden zu, dass ihm unterstellte Personen jegliche Daten, die im Auftrag des Kunden verarbeitet werden, nur zur Erfüllung dieser Vereinbarung, zur Erfüllung einer Weisung des Kunden oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeiten.

9. Ort der Datenverarbeitung

Prescreen wird die Datenverarbeitung im Auftrag grundsätzlich in Mitgliedstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraum (EWR) durchführen. Prescreen ist eine Datenverarbeitung auch außerhalb der EU oder EWR erlaubt, wenn die Voraussetzungen der Art 44-48 DSGVO erfüllt sind bzw. eine Ausnahme i.S.d. Art. 49 DSGVO vorliegt sowie die sonstigen in diesem Vertrag geregelten Anforderungen an Subauftragnehmer eingehalten wurden. Die zum Zeitpunkt der Auftragserteilung vereinbarten Subauftragsverarbeiter sind in Ziffer 10 dargestellt.

10. Subauftragsverarbeiter

Der Kunde stimmt der Beauftragung der nachfolgend genannten Subauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO mit den Subauftragsverarbeitern zu.

1. New Work Austria Xing Kununu Prescreen GmbH, Schottenring 2-6, 1010 Wien, Österreich
2. Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg.

Prescreen ist berechtigt, weitere Subauftragsverarbeiter in Anspruch zu nehmen oder bereits genehmigte Subauftragsverarbeiter zu ersetzen, soweit:
● Prescreen eine solche Auslagerung auf Subauftragsverarbeiter dem Kunden in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt,
● der Kunde nicht binnen 7 Tage nach dieser Anzeige Einspruch schriftlich oder in Textform gegen die geplante Auslagerung erhebt und
● eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.

Ein Einspruch darf dabei nicht ohne wichtigen Grund (z.B. Einsatz von Wettbewerbern des Kunden oder frühere Datenschutzverletzungen des Subauftragsverarbeiters) erfolgen. Sollte ein Einspruch erfolgen, obwohl Prescreen die oben genannten Voraussetzungen einhält, berechtigt dies Prescreen zur außerordentlichen, fristlosten Kündigung des Vertragsverhältnisses. Der Einspruch kann vom Auftraggeber jederzeit in Textform zurückgenommen werden.

Nicht als Subauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die Prescreen bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Prescreen ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Kunden auch bei derartigen Nebenleistungen angemessene und gesetzeskonforme, vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

11. Kontrollrechte des Kunden

Der Kunde hat das Recht, die in Punkt 6 der Anlage 3 nach Art. 32 DSGVO vorgesehene Auftragskontrolle im Einvernehmen mit Prescreen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, sofern diese nicht in einem Wettbewerbsverhältnis mit dem Auftragsverarbeiter stehen oder andere berechtigte Gründe seitens des Auftragsverarbeiters dem entgegenstehen. Er hat das Recht, sich durch Stichprobenkontrollen, die mindestens 14 Tage im Voraus anzumelden sind, von der Einhaltung dieser Vereinbarung durch Prescreen in dessen Geschäftsbetrieb zu überzeugen.

Der Kunde wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe von Prescreen durch die Kontrollen nicht unverhältnismäßig zu stören. Die Parteien gehen davon aus, dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Kunden unter Angabe des Anlasses zu begründen. Jede Partei trägt ihre bei Kontrollen anfallenden Kosten selbst.

Soweit die Mitwirkung von Prescreen im Zusammenhang mit Kontrollen über das erforderliche Maß (zum Beispiel exzessive häufige Prüfung ohne Anlassfall) deutlich hinausgeht, können die dafür anfallenden Kosten von diesem nach branchenüblichen Sätzen in Rechnung gestellt werden. Prescreen verpflichtet sich, dem Kunden auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

Im Hinblick auf Kontrollen des Kunden vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt Prescreen sicher, dass sich der Kunde von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist Prescreen dem Kunden auf Anfrage die Umsetzung der in Anlage 3 beschriebenen technischen und organisatorischen Maßnahmen nach.

Der Auftragsverarbeiter kann den Nachweis der Umsetzung der technischen und organisatorischen Maßnahmen auch durch Vorlage eines aktuellen Testats oder Berichts (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren ), einer aktuellen Zertifizierung (z.B. nach ISO/IEC 27001, VdS 10000, BSI-Grundschutz), durch Datenschutzsiegel oder -prüfzeichen gemäß Art. 42 DSGVO oder durch Vorlage eines den Anforderungen der DSGVO entsprechenden Datenschutz- oder IT-Sicherheitskonzepts erbringen.

12. Kontrollrechte des Kunden

Wird Prescreen eine Verletzung des Schutzes personenbezogener Daten oder ein Verstoß gegen eine vertraglich festgelegte Verpflichtung bekannt, wird diese dem Kunden unverzüglich mitgeteilt.

Darüber hinaus unterstützt Prescreen den Kunden dabei, seiner Meldeverpflichtung über die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und betroffenen Personen fristgerecht nachzukommen. Zu diesem Zweck überlässt Prescreen dem Kunden alle notwendigen Informationen.

Für Mitteilungen zum Thema Datenschutz und für Datenschutzvorfälle hat der Kunde direkt im Tool unter prescreen.io einen speziellen Datenschutzkontakt anzugeben.

13. Löschung von Daten durch Prescreen bei Beendigung des Vertragsverhältnisses

Nach Abschluss der Erbringung von Verarbeitungsleistungen werden personenbezogene Daten von Prescreen gesperrt und für eine Dauer von drei Monaten gespeichert. Innerhalb dieser Frist hat der Kunde die Möglichkeit, alle personenbezogenen Daten, die im Auftrag des Kunden verarbeitet wurden, von Prescreen.io herunterzuladen.

Nach Ablauf der Frist werden die Daten von Prescreen unverzüglich gelöscht, sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, können von Prescreen entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

14. Verarbeitung auch für eigene Zwecke von Prescreen

14.1 Analyse des Nutzungsverhaltens

Prescreen ist berechtigt, die personenbezogenen Daten aus diesem Verarbeitungsverhältnis zu anonymisieren und alle zur Anonymisierung notwendigen Verarbeitungsschritte durchzuführen.

Prescreen analysiert so entstandene anonymisierte Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke sowie anonymisierte Weitergabe an Prescreen-Anwender und Dritte. Hinsichtlich Punkt 14.1. ist Prescreen Verantwortlicher.

14.2 Benachrichtigungen von Unternehmensnutzern und Speicherung

Für Marketingzwecke (zum Beispiel Eventinformationen durch Newsletter und Produktinformationen) verarbeiten wir personenbezogenen Daten von Unternehmensnutzern, wenn der Unternehmensnutzer uns dazu seine gesonderte Einwilligung erteilt hat oder Prescreen sich auf andere gesetzliche Erlaubnis stützen kann.

Wir speichern die Daten für eine maximale Dauer von drei Jahren, beginnend mit dem Tag des letzten Kontaktes mit dem Unternehmensnutzer, da bis zu diesem Zeitpunkt davon auszugehen ist, dass der Unternehmensnutzer Interesse an einer weiteren Inanspruchnahme einer Dienstleistung von Prescreen haben könnte oder die Nutzung des Prescreen.io-Zugangs fortsetzen möchte. Diese in Punkt 14.2. im 1. Absatz beschriebene Verarbeitung führt Prescreen in der Rolle des Verantwortlichen durch.

Während aufrechter Geschäftsbeziehungen, werden die personenbezogenen Daten der Unternehmensnutzer gespeichert, sofern dies zur Erfüllung von vertraglichen Verpflichtungen erforderlich ist.

Längere als genannte Speicherfristen können sich auch daraus ergeben, dass die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor einer Behörde notwendig sind oder gesetzliche Aufbewahrungspflichten bestehen. Die Daten werden so lange gespeichert, wie dies zur Erfüllung dieser Zwecke erforderlich ist.

15. Geheimhaltungsverpflichtung

Die Parteien verpflichten sich, alle im Rahmen der Auftragsverarbeitung erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen sowie von Maßnahmen zur Datensicherheit der jeweils anderen Partei vertraulich zu behandeln. Betriebs- und Geschäftsgeheimnisse sind alle auf das Unternehmen einer der Parteien bezogenen Tatsachen, Umstände und Vorgänge, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung die betreffende Partei ein berechtigtes Interesse hat. Maßnahmen zur Datensicherheit sind alle technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO, die eine Partei getroffen hat. Diese Geheimhaltungspflicht besteht nach Beendigung dieses Vertrags fort.

Prescreen sichert zu, ausschließlich Personen mit der Verarbeitung von Daten des Kunden zu betrauen, die sich zur Wahrung der Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verpflichtung auf die Vertraulichkeit ohne zeitliche Begrenzung für diese Personen auch nach Beendigung ihrer Tätigkeit und nach ihrem Ausscheiden bei Prescreen aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch in Bezug auf Daten, die sich auf bestimmte oder bestimmbare juristische Personen oder Personengemeinschaften beziehen, einzuhalten.

16. Haftungsbeschränkung

Prescreen haftet gegenüber dem Kunden für den durch eine Datenverarbeitung verursachten Schaden nur dann, wenn Prescreen seinen speziell in dieser Vereinbarung auferlegten Pflichten nicht nachkommt. Prescreen haftet gegenüber dem Kunden nicht für einen Schaden, welchen Prescreen bloß leicht fahrlässig verursacht hat.

Hat der Kunde gegenüber Prescreen Regressansprüche aufgrund der Verletzung von Pflichten von Prescreen, so hat der Kunde diese Ansprüche binnen einem Jahr ab Kenntnis des eingetretenen Schadens geltend zu machen. Nach Ablauf dieses Zeitraums sind Regressansprüche des Kunden gegenüber Prescreen verjährt.

Wenn Prescreen der Ansicht ist, dass eine Bestimmung dieser Vereinbarung oder eine Weisung des Kunden gegen Datenschutzbestimmungen der Europäischen Union oder Deutschlands verstößt, ist Prescreen verpflichtet, den Kunden unverzüglich darüber zu informieren.

17. Sonstige Bestimmungen

Diese Vereinbarung muss schriftlich abgeschlossen werden. Auch Nebenvereinbarungen oder Änderungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Ein Absehen vom Schrifterfordernis ist unzulässig – auch wenn dies schriftlich erfolgt.

Diese Vereinbarung unterliegt deutschem Recht unter Ausschluss von Verweisnormen und von UN-Kaufrecht. Gerichtsstand ist Hamburg. Prescreen hat darüber hinaus das Recht, zur Entscheidung von Streitigkeiten auch das am Sitz des Kunden sachlich zuständige Gericht in Anspruch zu nehmen.

Sollte eine Bestimmung dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit ihrer übrigen Bestimmungen nicht. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine neue, wirksame Regelung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Regelung am nächsten kommt. Dasselbe gilt für Lücken in dieser Vereinbarung.

Dieser Auftragsverarbeitungsvertrag ist integraler Bestandteil des Hauptvertrages, der sich aus dem ursprünglichen Angebot ergibt. Eine Kündigung des Hauptvertrages führt ebenfalls zur Beendigung dieses Vertrages gemäß der in dem Hauptvertrag festgelegten Kündigungsfristen. Der Kunde kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß von Prescreen gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, Prescreen eine rechtmäßige Weisung des Kunden nicht ausführen kann oder will oder Prescreen die Kontrollrechte des Kunden vertragswidrig verweigert.