Die führende HR Software auf Salesforce

Partner werden

Unternehmen

Kontaktiere uns

flair.hr GmbH

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 7 DS-GVO basierend auf den Standardvertragsklauseln 2021/915 zwischen Verantwortlichem und Auftragsverarbeiter

Abschnitt I Allgemeine Bestimmungen

1 Zweck und Anwendungsbereich

1.1 Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sichergestellt werden.

1.2 Die in Anhang 1 aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

1.3 Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang 2.

1.4 Die Anhänge I bis IV sind Bestandteil der Klauseln.

1.5 Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

1.6 Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

2 Unabänderbarkeit der Klauseln

2.1 Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

2.2 Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

3 Auslegung

3.1 Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

3.2 Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

3.3 Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

4 Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

5 Kopplungsklausel

5.1 Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang 1 unterzeichnet.

5.2 Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang 1.

5.3 Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

Abschnitt II Pflichten der Parteien

6 Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang 2 aufgeführt.

7 Pflichten der Parteien

7.1 Weisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

(b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang 2 genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang 2 angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter ergreift mindestens die in Anhang 3 aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

(b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

(b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

(c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

(d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

(a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

(b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

8 Unterstützung des Verantwortlichen

(a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

(b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

(c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

(i) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

(ii) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

(iii) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(iv) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

(d) Die Parteien legen in Anhang 3 die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

9 Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

(a) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

(i) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

(ii) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

(A) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

(B) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(C) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(b) Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

(c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

(a) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

(i) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

(ii) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(iii) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(b) Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

(c) Die Parteien legen in Anhang 3 alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

Abschnitt III Schlussbestimmungen

10 Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

(i) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

(ii) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;

(iii) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

(d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

Anhang 1 Liste der Parteien

Verantwortliche(r): [Name und Kontaktdaten des/der Verantwortlichen (Kunde) und gegebenenfalls des Datenschutzbeauftragten des Verantwortlichen]

1. Name:

Anschrift:

Name, Funktion und Kontaktdaten der Kontaktperson:

Unterschrift und Beitrittsdatum:

Auftragsverarbeiter:

flair.hr GmbH

c/o The BYRO

Müllerstrasse 27

80469 Munich

Kontaktperson und Datenschutzbeauftragter: Evgenii Pavlov, [email protected]

Unterschrift und Beitrittsdatum:

_____________________________________________________________________

Anhang 2 Beschreibung der Verarbeitung

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

Mit flair HR werden Daten zu Mitarbeitern verarbeitet. Die Gruppen stellen sich in der Regel wie folgt da:

● Mitarbeiter

● Freelancer

● Aushilfen

● Auszubildende

● Werksstudenten

● Zeitarbeiter

Kategorien personenbezogener Daten, die verarbeitet werden

In der Regel handelt es sich um Daten die im Rahmen eines Beschäftigungsverhältnisses durch den Arbeitgeber gespeichert und/oder verarbeitet werden. Hierbei kann es Abweichungen und Unterschiede geben, da Daten durch den Auftraggeber individuell im System angelegt werden können. In der Regel handelt es sich um folgende personenbezogene Daten:

● Personenstammdaten (z.B.Name, Vorname, Geschlecht, Geburtsdatum/-ort, Identifikationsnummern, Nationalität etc.)

● Daten zu persönlichen/beruflichen Verhältnissen & Merkmalen

● Daten zum Ehegatten oder Kindern, Familienstand, Portraitfoto, etc.

● Kommunikationsdaten (z.B. Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer)

● Daten zur Nutzung von Onlinediensten (Zugangsdaten, IP-Adresse, sonstige Metadaten)

● Vertragsstammdaten (z.B. Vertragsbeziehung, Produkt- bzw. Vertragsinteresse, gekaufte Produkte, Datum Kaufvertrag, Kaufpreis)

● Vertrags-, Abrechnungs- und Zahlungsdaten

● Nutzungsdaten

● Planungs- und Steuerungsdaten

● Besondere Kategorien personenbezogener Daten (sensible Daten):

● rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten (Fingerabdruck, Spracherkennung, Iris-Scan, etc.), Daten über Gesundheit, Daten über Sexualleben oder sexuelle Orientierung.

● Auskunftsangaben (von Dritten) (z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen etc.)

● Empfänger und Versender von Nachrichten, die an den Auftraggeber gerichtet sind oder von ihm ausgehen

● Kundensystemzugangsdaten

● Wirkdaten der Kundensysteme (Produktions- und Echtdaten)

● Log-Dateien des Kunden (Namen von Nutzern von IT-Systemen oder Anwendungen, IP-Adressen)

● Sowie alle weiteren durch den Kunden selbst konfigurierten erhobenen Daten

Betroffen von der Speicherung ihrer Daten sind folgende Kategorien von Personen

● Beschäftigte des Auftraggebers

● dem Auftraggeber zurechenbare Ansprechpartner des Auftragnehmers (jede natürliche Person die nicht unter den Mitarbeiterbegriff fällt wie Partnerfirmen-Mitarbeiter (Mitarbeiter eines Lieferanten, Dienstleisters, Joint-Ventures, Leiharbeitsfirma), Konzern-Mitarbeiter (Mitarbeiter einer anderen Konzerngesellschaft)

● Empfänger und Versender von Nachrichten, die an den Auftraggeber gerichtet sind oder von ihm ausgehen

● Kinder (Die Beurteilung, ob es sich um ein Kind handelt, ergibt sich aus dem jeweiligen Landesrecht).

Angewandte Beschränkungen oder Garantien für sensible Daten (soweit diese durch den Verantwortlichen bereitgestellt werden)

● Strenge Zweckbindung

● Zugangsbeschränkungen

○ Zugang nur für Mitarbeiter, die ein striktes Bedürfnis haben, diese Daten zu verarbeiten

○ Zugang nur für Mitarbeiter, die über die Bedeutung sensibler Daten unterrichtet wurden

● Aufzeichnungen über den Zugang zu sensiblen Daten

● Personalisierte Logins für flair Supportmitarbeiter

● Beschränkungen für Weiterübermittlungen an Dritte

● Verschlüsselung bei der Übermittlung und während der Speicherung

Art der Verarbeitung

Die Daten werden über die flair HR App in der Salesforce Instanz des Auftraggebers erfasst, verarbeitet und gespeichert. Durch die Konfiguration sowie durch die Vergabe der Lizenzen wird klar definiert, welcher Nutzer Zugriff auf welche Daten erhält. Der Zugriff auf Daten kann im System individuell eingeschränkt werden, sodass die Verwendung, Abfragen, Analysen, Backups, Sichtbarkeit und die Löschung nur durch autorisierte Nutzer erfolgen kann.

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

flair HR ist eine HR Software die auf der Salesforce Plattform gebaut wurde und bietet eine benutzerfreundliche Oberfläche für das HR Management und Recruiting an. flair HR ist für Unternehmen jeder Größe und jedes Arbeitsstils geeignet und hilft dabei, HR-Aufgaben zu verbessern. Hierzu zählen: Bewerbermanagement, Zeiterfassung, Abwesenheitsmanagement, Dokumentenmanagement, Digitale Personalakte, Vorbereitung der Gehaltsabrechnung, Mitarbeiter Self- Service-Portal, Feedback Cycles, Performance Reviews, Umfragen.

1 Dauer der Auftragsverarbeitung

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des SaaS-Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der auf der Grundlage der Allgemeinen Geschäftsbedingungen für SaaS von flair.hr geschlossen wurde.

2 Gegenstand des Auftrages

Der Gegenstand der Verarbeitung wird durch den SaaS-Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter über die Nutzung der vom Auftragsverarbeiter bereitgestellten SaaS-Lösung durch den Verantwortlichen bestimmt. Bei der SaaS-Lösung handelt es sich um eine HR-Softwarelösung, die auf der Salesforce-Plattform aufbaut und eine benutzerfreundliche Schnittstelle für das Personalmanagement und die Personalbeschaffung bietet. Die SaaS-Lösung eignet sich für Unternehmen jeder Größe und jedes Arbeitsstils und hilft bei der Verbesserung von HR-Prozessen, einschließlich Bewerbermanagement, Zeiterfassung, Abwesenheitsmanagement, Dokumentenmanagement, digitale Mitarbeiterakten, Lohn- und Gehaltsabrechnung, Mitarbeiter-Self-Service, Feedback-Zyklen, Leistungsbewertungen und Mitarbeiterbefragungen.

Umfasst die Durchführung folgender Aufgaben durch den Auftragnehmer:

flair.HR GmbH hat nur dann Zugriff auf Daten des Auftraggebers, d.h. des Verantwortlichen, sofern der Zugriff über einen Support User Access an flair HR GmbH erteilt wird. Der Support User Access kann zu jederzeit durch den Auftraggeber deaktiviert werden.

Im Rahmen des Onboardings und technischen Setups bietet flair.HR GmbH Services an bei denen der Zugriff auf Daten des Auftraggebers, d.h. des Verantwortlichen, temporär erforderlich ist. Zum Beispiel beim Upload der Daten in die flair HR App, oder bei anderen Teilen oder Funktionen der SaaS-Lösung.

Anhang 3 Technische und organisatorische Maßnahmen

Dieser Anhang 3 beschreibt die als verbindlich festgelegten und vom Auftragsverarbeiter umgesetzten technischen und organisatorischen Maßnahmen im Zusammenhang mit den Auftragsverarbeitungsvorgängen zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter).

1 Datenschutz- und Datensicherheitskonzept

1.1 Der folgende Maßnahmenkatalog beschreibt die im Rahmen der Auftragsverarbeitung zu treffenden technischen und organisatorischen Einzelmaßnahmen nach Art. 24 Abs. 1 EU-DS-GVO. Die EU-DS-GVO verpflichtet Unternehmen die Datenverarbeitung personenbezogener Daten durch angemessene, technische und organisatorische Maßnahmen abzusichern und personenbezogene Daten nach Möglichkeit zu pseudonymisieren. Die getroffenen Maßnahmen müssen dabei dem Risiko des jeweiligen Datenverarbeitungsvorgangs Rechnung tragen und dem derzeitigen Stand der Technik entsprechen. Diese Anforderungen erfüllt der Auftragnehmer durch ein wirksames Zusammenspiel aus Datenschutzmanagement und Informationssicherheitsmanagement und hat angemessene Maßnahmen zur Absicherung der Datenverarbeitungsvorgänge getroffen. Insbesondere die Schutzwerte: Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit. Den Schutzwerten werden dabei folgende informationssicherheitsrelevanten Definitionen zugrunde gelegt:

(a) Vertraulichkeit: Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen.

(b) Integrität: Der Begriff Integrität bezieht sich auf die Korrektheit der verarbeiteten Informationen und Daten.

(c) Verfügbarkeit: Der Begriff der Verfügbarkeit bezieht sich auf Informationen, Daten, Applikationen sowie Systeme und betrifft deren Funktionsfähigkeit bzw. Abrufbarkeit.

(d) Belastbarkeit: Die Belastbarkeit stellt als besonderen Aspekt der Verfügbarkeit die Anforderung, dass Systeme auch im Störfall, Fehlerfall oder bei hoher Belastung möglichst widerstandsfähig ausgestaltet sein müssen.

2 Physische Sicherheit der Infrastruktur

2.1 Standort / Unternehmensräumlichkeiten

(a) Die Unternehmensräumlichkeiten sind vom öffentlichen Bereich abgegrenzt durch:

(i) Abschließbare Tür

(ii) Abgetrennte Räumlichkeiten in Gebäudekomplex

(b) Es befinden sich keine weitere Parteien im Gebäude, die Zutritt zu den Unternehmensräumlichkeiten haben.

(c) Im Unternehmen wird ein Zutrittskontrollsystem eingesetzt, um den Zutritt zu Räumen, in denen personenbezogene Daten verarbeitet werden, zu schützen.

(d) Das Unternehmensgelände bzw. Teile davon werden durch einen Pförtner oder Wachschutz bewacht. Das Unternehmensgebäude wird mit einer Alarmanlage gesichert.

(e) Im Unternehmen erfolgt die Besucheranmeldung durch:

(i) Besucherausweise

(ii) Besucherbuch

(iii) Empfang / Rezeption

(f) Im Unternehmen sind Räume abschließbar, in denen Zugriff auf personenbezogene Daten möglich ist. Im Unternehmen sind personenbezogene Daten in Bereichen mit Publikumsverkehr nicht frei zugänglich.

(g) Im Unternehmen werden Arbeitsplätze zur Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Bewerber-/Gesundheitsdaten) räumlich von anderen Arbeitsplätzen getrennt.

3 Serversysteme

3.1 Server-Infrastruktur

Es werden virtualisierte Server im Unternehmen eingesetzt.

4 Netzwerkstruktur

4.1 Netzwerkarchitektur

(a) Das WLAN ist wie folgt verschlüsselt:

(i) WPA 3

(b) Es besteht eine Client-Server-Segmentierung.

5 Netzwerkfernzugriff

5.1 Im Unternehmen werden Netzwerkgeräte (Hubs, Switches) nach aktuellem Stand der Technik eingesetzt.

5.2 Es werden sichere Verfahren für den Fernzugriff auf das Unternehmensnetzwerk genutzt.

5.3 Folgende sichere Verfahren für den Fernzugriff werden genutzt:

(a) SSH (Secure Shell)

5.4 Der Fernzugriff ist wie folgt abgesichert:

(a) Benutzername & Passwort

6 Business Continuity

6.1 Wiederherstellbarkeit

(a) Im Unternehmen werden (regelmäßig) Datensicherungen der relevanten Systeme durchgeführt. Im Unternehmen ist für die Durchführung von Sicherungen verantwortlich:

(i) Cloud-Anbieter

(ii) Externer Dienstleister

(b) Die Wiederherstellungsmöglichkeiten umfassen folgende Bereiche:

(i) Log-Daten

(ii) Konfigurationen (Einstellungen und Freigaben)

(iii) Daten

(iv) Benutzerkonten

(i) Inkrementelle Sicherung

(d) Im Unternehmen werden Sicherungen in einem separaten Brandabschnitt gelagert.

(e) Im Unternehmen werden Datensicherungsverfahren regelmäßig getestet und bei Bedarf angepasst. Im Unternehmen werden Datensicherungen verschlüsselt gespeichert.

7 Notfallvorsorge

7.1 Verantwortliche Personen wurden definiert und sensibilisiert.

7.2 Im Unternehmen wurde für den Notfall ein Administratorenzugang hinterlegt.

7.3 Im Unternehmen wird der Zugriff auf die hinterlegten Administratorenzugänge protokolliert.

8 Endgeräte

8.1 Clientstruktur und –management

(a) Im Unternehmen existiert ein dokumentierter Prozess zur Ausgabe von unternehmenseigenen Gegenständen an Mitarbeiter.

(b) Im Unternehmen wird sichergestellt, dass sämtliche unternehmenseigene Gegenstände mit Bezug zu personenbezogenen Daten von einer ausscheidenden Person zurückgefordert werden.

(c) Geräte werden über ein geregeltes Wiedereingliederungsmanagement wieder dem IT-Inventar zur Weiterverwendung zugeführt.

9 Datenträgermanagement

9.1 Im Unternehmen existiert ein Test- und Freigabeverfahren für Mobiltelefon-/Tabletcomputer-Applikationen.

9.2 Im Unternehmen wurden Benutzer von mobilen Endgeräten auf die geeignete Aufbewahrung (z. B. in einem verschließbaren Container) verpflichtet.

9.3 Diese Endgeräte verfügen über Zugriffssperren.

9.4 Im Unternehmen existieren komplexe Zugriffssperren für die eingesetzten mobilen Endgeräte.

9.5 Im Unternehmen werden Datenträger (auch Papierakten) regelmäßig entsorgt.

10 Datentransfers

10.1 Datenübertragung & Kommunikation

(a) Folgende Verschlüsselungsverfahren werden beim Emailversand benutzt:

(i) Im Unternehmen werden Emails bei der Übertragung mit entsprechenden Verfahren/Protokollen (SSL/TLS) verschlüsselt.

10.2 Im Unternehmen werden langfristig archivierte E-Mails verschlüsselt gespeichert.

10.3 Einzelne Daten-Objekte, wie z.B. Container, Ordner oder einzelne Dateien (File & Folder Encryption), werden vor dem Datentransfer verschlüsselt.

11 Personal

11.1 Mitarbeiter Awareness & Sensibilisierung

(a) Im Unternehmen erfolgt eine Sensibilisierung des Personals zum Umgang mit externen Personen/Unternehmen/Parteien.

(b) Im Unternehmen sind relevante Informationen, Richtlinien und Handlungsempfehlungen für die Mitarbeiter leicht auffindbar.

12 Berechtigungsmanagement

12.1 Im Unternehmen erfolgt die Vergabe von Zugangs- und Zugriffsberechtigungen anhand der Funktion der Zugangs- bzw. Zugriffsberechtigten.

12.2 Im Unternehmen existiert ein Funktionstrennungsprozess, um Berechtigungen zu vermeiden, die miteinander in Konflikt stehen.

12.3 Im Unternehmen wird sichergestellt, dass sämtliche Zugangsberechtigungen und Zugriffsberechtigungen einer ausscheidenden Person zeitnah gesperrt und ggf. gelöscht werden.

12.4 Im Unternehmen erfolgt eine vorübergehende Sperrung von Zugangs- bzw. Zugriffsberechtigungen bei längeren Abwesenheiten.

12.5 Im Unternehmen wurde für alle IT-Systeme und IT-Netze Administratoren sowie deren Stellvertreter bestimmt.

12.6 Im Unternehmen werden spezielle Administratorenkonten eingesetzt.

12.7 Im Unternehmen werden die Aktivitäten innerhalb der Administratorenkonten protokolliert.

13 Authentifizierungsverfahren

13.1 Im Unternehmen wird ein Passwort-Manager eingesetzt.

13.2 Der eingesetzte Passwort-Manager bietet eine ausreichende Zugriffskontrolle und eine verschlüsselte Speicherung

13.3 Im Unternehmen wird eine Multi-Faktor-Authentifizierung eingesetzt.

13.4 Im Unternehmen wird ein Single-Sign-On Verfahren zum Login eingesetzt.

13.5 Im Unternehmen wird zur Anmeldung mittels Single-Sign-On eine Multi-Faktor-Authentifizierung eingesetzt.

13.6 Im Unternehmen erfolgt eine Vergabe von eindeutigen Kennungen für individuelle Nutzer von IT-Systemen, durch die personenbezogene Daten verarbeitet werden.

13.7 Im Unternehmen existieren keine unverschlüsselten Passwortlisten.

14 Organisation

14.1 Auftragskontrolle

(a) Mit allen Dienstleistern, die einen Teilbereich der Verarbeitung personenbezogener Daten auf die Weisung des Unternehmens übernehmen, wurde ein Auftragsverarbeitungsvertrag abgeschlossen.

(b) Weisungen zur Verarbeitung personenbezogener Daten werden ausschließlich schriftlich an Auftragsverarbeiter erteilt.

15 Entwicklung und Auswahl von Software

15.1 Im Unternehmen werden Produktiv- und Entwicklungs-/Testsysteme voneinander getrennt.

15.2 Im Unternehmen wird der Zugang zum Source-Code bei der Entwicklung von Software beschränkt.

15.3 Im Unternehmen wurde ein Berechtigungskonzept in den Test- und Entwicklungsumgebungen umgesetzt.

15.4 Im Unternehmen wird eine Mandantenfähigkeit von entwickelter Software sichergestellt.

15.5 Reale Nutzerdaten werden nicht in Test- und Entwicklungsumgebungen genutzt.

15.6 Im Unternehmen wird Software regelmäßig aktualisiert und etwaige Schwachstellen geschlossen.

15.7 Im Unternehmen werden Standardsoftware und entsprechende Updates nur aus vertrauenswürdigen Quellen bezogen.

16 Sonstige organisatorische Maßnahmen

16.1 Im Unternehmen existiert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

16.2 Im Unternehmen besteht die Möglichkeit auf Antrag personenbezogene Daten zu sperren und zu löschen.

16.3 Im Unternehmen wird jede Verarbeitung von personenbezogenen Daten protokolliert.

Anhang 4 Liste der Unterauftragnehmer

Unterauftragsverhältnisse beim Auftragnehmer zum Zeitpunkt des Abschlusses dieser Vereinbarung:

Unterauftragnehmer (Firma, Adresse)	Verarbeitete Datenkategorien	Art der Teilleistung (Verarbeitungsschritte / Zweck der Unterauftragsverarbeitung)	Ort der Leistungserbringung
Salesforce.com Germany GmbH	Je nach Konfiguration des Kunden alle in Art. 9 DS-GVO aufgeführten Kategorien	Hosting des HRMS	Frankfurt oder Zürich
AWS Germany	Je nach Konfiguration des Kunden alle in Art. 9 DS-GVO aufgeführten Kategorien	Hosting des Mitarbeiterportals	Frankfurt
Fa. Yousign SAS	Je nach Konfiguration des Kunden alle in Art. 9 DS-GVO aufgeführten Kategorien	Nutzung von E-Signaturen	Amazon Web Services EMA SARL (Frankreich)
Textkernel BV	Je nach Konfiguration des Kunden alle in Art. 9 DS-GVO aufgeführten Kategorien	CV Parsing - Auswertung des Lebenslauf und der eines Kandidaten	Amazon Web Services EMA SARL (Frankreich)
Delighted LLC	Je nach Konfiguration des Kunden alle in Art. 9 DS-GVO aufgeführten Kategorien	Feedback und Umfragen Versand	Frankfurt