Datenschutz- und Vertraulichkeitsvereinbarung

1. Gegenstand der Vereinbarung

(1) Zwischen den Parteien besteht ein Vertragsverhältnis („Hauptvertrag - Geschäftsbedingungen“), das die gemeinsame Durchführung des Projektes „Allgemeine Geschäftsbedingungen zur Vermittlung von Bewerbern“ durch die Verantwortlichen (A) und (B) beinhaltet. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht.

(2) Dieser Vertrag stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 DSGVO zwischen den Parteien dar. In diesem Vertrag werden Regelungen dazu getroffen, wer welchen Verpflichtungen der DSGVO im Zusammenhang mit gemeinsame Verarbeitung personenbezogener Daten nachkommt.

2. Beschreibung der Datenverarbeitung

(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Parteien geschlossenen Hauptvertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen.

(2) Die Art der Daten sowie die Kategorien betroffener Personen sind:

a) Art(en) der personenbezogenen Daten

- Vorname

- Nachname

- Anschrift

- Email-Adresse

- Passwort

b) Kategorien betroffener Person

- Kunden der Verantwortlichen

- Beschäftigte der Verantwortlichen

3. Verantwortlichkeit und Zuständigkeiten für Verarbeitungsschritte/-phasen

(1) Die Parteien haben in der Anlage 1 dieses Vertrages die Verarbeitungsschritte, die der gemeinsamen Verantwortlichkeit unterliegen, beschrieben und die jeweiligen Verantwortlichkeiten zugewiesen. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Verarbeitung der jeweiligen Datenart(en) verantwortlich sind.

(2) In der Anlage 1 können die Parteien ferner Verantwortlichkeiten für die Bearbeitung und Umsetzung von Maßnahmen festlegen, die anlässlich der Wahrnehmung der Rechte von Betroffenen aus den Art. 15-21 DSGVO zu treffen sind. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen verantwortlich sind.

(3) Ungeachtet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die nach Anlage 1 dieses Vertrages zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.

4. Umsetzung von Betroffenenrechten

(1) Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungschritt(e)/-phase(n) im Sinne der Ziff. 3 dieses Vertrages zuständig ist. Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

(2) Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.

(3) Die Parteien können in einem weiteren Anhangprimäre Verantwortlichkeiten für die Erfüllung der Informationspflichten aus den Art. 12-14 DSGVO vereinbaren.

5. Datensicherheit

Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO besteht.

6. Meldepflichten bei Datenschutzverletzungen

(1) Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und seiner Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

(2) Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

(3) Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

7. Gemeinsame Pflichten

Beide Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

8. Auftragsverarbeiter

(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DSGVO durch eine Partei muss die jeweilige Partei überprüfen und jede Partei ist für die adäquate Auswahl von Dienstleistern selbst verantwortlich.

(2) Die jeweils andere Partei kann vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art. 28 DSGVO zu überprüfen.

(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der Auftraggeber gegenüber der jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, so muss die Datenübermittlung in einen Drittstaat durch geeignete Garantien i.S.v. Art. 46 DS-GVO sichergestellt werden.

(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des Auftraggebers gegenüber der jeweils anderen Partei dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DSGVO führt, kann die jeweils andere Vertragspartei von dem Auftraggeber eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DSGVO eingehalten werden.

9. Zusammenarbeit mit Aufsichtsbehörden

(1) Jede Partei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

(2) Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

10. Aufbewahrungs- bzw. Löschfristen

Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 32 ff. DS-GVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.

11. Verpflichtung der Mitarbeiter auf das Datengeheimnis

Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs. 3, 29 und 32 DS-GVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

12. Haftung

(1) Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.

13. Schlussbestimmungen

(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.

(3) Es gilt deutsches Recht einschließlich der DSGVO.

Anlage 1