Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen für gewerbliche Kunden

§ 1 Geltungsbereich
1.1 Die nachfolgenden Bedingungen gelten für alle gewerblichen Unternehmen (nachstehend „Kunden“), die sich auf der Plattform www.badische-jobs.de (nachstehend „Portal“) und der auf dem Portal angebotenen Leistungen. Das Portal wird von Recruiting Now GmbH, Mangfallstraße 3, 83703 Gmund am Tegernsee betrieben (nachfolgend "Anbieter").

1.2 Abweichungen von diesen Nutzungsbedingungen gelten nur dann als vereinbart, wenn sie vom Anbieter ausdrücklich schriftlich bestätigt wurden.

§ 2 Inhalte
2.1 Das Portal bietet eine Plattform zur Entwicklung individueller Karrierechancen für Privatpersonen bzw. zur gezielten Personalrekrutierung und -entwicklung für Unternehmen. Im Rahmen des Angebotes haben Privatpersonen die Möglichkeit, ihr berufliches Profil interessierten Unternehmen zugänglich zu machen, sich auf Stellenausschreibungen zu bewerben oder von Unternehmen bezüglich zu besetzender Stellen angesprochen zu werden. Für die Nutzung dieses Service ist eine Registrierung erforderlich mit Verifizierung der vom Kunden angegebenen E-Mail Adresse. Die Nutzung des Service ist für private Nutzer (Stellenbewerber) kostenlos. Auf dem Portal werden sowohl kostenpflichtig für das Portal in Auftrag gegebene Stellenausschreibungen veröffentlicht wie auch Stellenangebote, die anderweitig veröffentlicht wurden und vom Anbieter unter Hinweis auf die Quelle in die Datenbank des Portals eingestellt werden.

2.2 Alle Inhalte auf dem Portal sind urheberrechtlich geschützt. Die Registrierung beinhaltet keine Übertragung von Eigentums- oder Nutzungsrechten, Lizenzen oder sonstigen Rechten auf den Kunden. Alle Rechte an der genutzten Software, an Kennzeichen, Titeln, Marken und Urheber- und sonstigen Rechten verbleiben uneingeschränkt beim Anbieter. Gewerbsmäßige Adressbeschaffung sowie das Kopieren von Inhalten, insbesondere auch von Profilen oder Kontaktdaten der Nutzer, und deren anderweitige Veröffentlichung ohne schriftliche Genehmigung des Anbieters ist nicht gestattet.

§ 3 Zugangsberechtigung / Registrierungspflicht
3.1 Zugangsberechtigt sind Unternehmen aller Branchen.

3.2 Unternehmen können sich erst dann auf dem Portal darstellen, nachdem Sie sich als Kunde registriert haben. Dies erfolgt unter Angabe unternehmensbezogener und personenbezogener Daten (Firmenname, Anschrift, Unternehmensgröße, Name und E-Mail Adresse des zuständigen Ansprechpartners usw.) und setzt die Anerkennung dieser Allgemeinen Geschäftsbedingungen voraus. Der Benutzername entspricht der E-Mail Adresse, das Passwort kann vom Kunden im Nachhinein selbst geändert werden. Jeder Kunde darf sich nur einmal anmelden. Er muss sich bei jeder weiteren Nutzung mit den bei der Erstanmeldung zugeteilten Benutzerdaten (Benutzername und Passwort) einloggen. Die Berechtigung gilt nur für den vom Kunden angegebenen Ansprechpartner persönlich und ist nur an andere Mitarbeiter des Kunden übertragbar. Der Kunde ist zur Geheimhaltung seiner Zugangsdaten verpflichtet; er haftet insoweit uneingeschränkt für sämtliche Mitarbeiter. Sollte einem Kunden die missbräuchliche Nutzung seines Logins bekannt werden, hat er dies dem Anbieter unverzüglich mitzuteilen und sein Passwort unverzüglich zu ändern, um den Zugang nicht autorisierter Personen zu verhindern. Der Anbieter übernimmt keinerlei Haftung für Schäden, die aus der unberechtigten bzw. unsachgemäßen Verwendung passwortgeschützter Logins des Kunden resultieren.

3.3 Der Kunde ist verpflichtet, bei der Registrierung ausschließlich wahrheitsgemäße und vollständige Informationen / Daten zu übermitteln und diese bei späteren Änderungen unverzüglich zu aktualisieren. Dasselbe gilt für später vom Kunden in das Portal eingestellten Inhalte.

3.4 Der Kunde stellt sicher, dass er für den Anbieter jederzeit unter den im Rahmen der Registrierung angegebenen Kontaktdaten, insbesondere per E- Mail, erreichbar ist.

3.5 Der Anbieter behält sich vor, die Registrierung einzelner Unternehmen ohne Angabe von Gründen abzulehnen. Ferner behält sich der Anbieter vor, auch bereits aktive Kunden aus wichtigem Grund (z.B. wegen Verstoß gegen diese AGB) zu sperren.

3.6 Die Registrierung von Unternehmen als Kunden ist kostenfrei. Sämtliche Funktionalitäten des Portals können jedoch nur genutzt werden, wenn der Kunde zusätzliche, kostenpflichtige Leistungen („Premium-Leistungen“) in Auftrag gegeben hat.

3.7. Ein Vertrag kommt - soweit nicht anders ausdrücklich individuell vereinbart - erst mit erfolgreichem Abschluss des Registrierungsvorgangs durch Bestätigung des Anbieters in Textform (E-Mail) zustande.

§ 4 Pflichten des Kunden und Leistungsstörungen
4.1 Der Kunde darf den Service des Anbieters nur sachgerecht nutzen. Er wird insbesondere:

  • die Zugriffsmöglichkeiten auf den Service nicht rechtsmissbräuchlich, insbesondere nicht im Widerspruch zu den Allgemeinen Geschäftsbedingungen nutzen und die Gesetze sowie die Rechte Dritter respektieren;
  • zum Schutz der Daten den anerkannten Grundsätzen der Datensicherheit Rechnung tragen und die Verpflichtungen der Datenschutzvereinbarung beachten;
  • gegebenenfalls an den Anbieter beziehungsweise Dritte ausgehende E-Mails und Abfragen mit größtmöglicher Sorgfalt auf Viren überprüfen;
  • gesetzliche, behördliche und technische Vorschriften einhalten.

4.2 Der Kunde hat dem Anbieter in dem zuvor geschilderten Fall den aus solchen schuldhaften Pflichtverletzungen resultierenden Schaden zu ersetzen.

4.3 Der Kunde ist rechtlich allein verantwortlich für die von ihm eingestellten Inhalte und hat sicherzustellen, dass keine rechts- oder sittenwidrigen Inhalte aufgenommen werden oder die Aufnahme solcher Inhalte ermöglicht wird, derartiger Inhalt gespeichert, verbreitet, zugänglich gemacht oder auf ein Angebot mit solchem Inhalt hingewiesen bzw. verlinkt wird. Der Kunde verpflichtet sich insbesondere, bei allen von ihm eingestellten Inhalten und bei jedweder Kommunikation über das Portal nach bestem Wissen und Gewissen nur wahrheitsgemäße Angaben zu machen und die Vorgaben des AGG (Allgemeines Gleichbehandlungsgesetz) zu beachten, insbesondere Stellenangebote nur geschlechtsneutral zu formulieren.

4.4 Ausdrücklich untersagt ist die Einstellung von rassistischen, pornographischen, menschenverachtenden, beleidigenden, zu Straftaten anleitenden und gegen die guten Sitten verstoßenden Inhalten. Ausdrücklich verboten ist die Verbreitung von Inhalten, mit denen zum Hass gegen Teile der Bevölkerung aufgerufen wird (Volksverhetzung) oder mit denen Propaganda für eine verfassungsfeindliche Organisation betrieben wird, sowie verleumderische, beleidigende oder ruf- oder geschäftsschädigende bzw. persönlichkeitsrechtsverletzende Äußerungen sowie Junkmails, Spam, Kettenbriefe und andere Inhalte mit werbendem Charakter. Ebenfalls untersagt ist die Einstellung von Beiträgen, die gegen die Grundsätze der Datensicherheit verstoßen (z.B. mit Viren, Würmern, Trojanern u.ä. behaftete Beiträge und E-Mails).

4.5 Die Entscheidung über die Einstellung von Inhalten des Kunden in das Portal steht im Ermessen des Anbieters. Dieser ist daher jederzeit berechtigt, die Veröffentlichung von Inhalten, insbesondere von Stellenangeboten, ohne Angabe von Gründen zu verweigern bzw. bereits eingestellte Inhalte wieder zu entfernen.

4.6 Der Kunde ist allein und umfassend für die von ihm auf dem Portal eingestellten Inhalte verantwortlich und verpflichtet, dem Anbieter sämtlichen Schaden, einschließlich aller Aufwendungen, zu ersetzen, welche diesem aufgrund schuldhafter Verstöße gegen diese Nutzungsbedingungen entstehen. Der Kunde stellt den Anbieter insoweit ausdrücklich auf erstes Anfordern auch von allen berechtigten Ansprüchen Dritter und den Kosten der damit verbundenen Rechtsverfolgung frei.

4.7 Der Anbieter behält sich darüber hinaus vor, bei Verdacht einer missbräuchlichen Nutzung oder wesentlicher Vertragsverletzungen diesen Vorgängen nachzugehen, entsprechende Vorkehrungen zu treffen und bei einem begründeten Verdacht gegebenenfalls den Zugang des Kunden - mindestens bis zu einer Verdachtsausräumung seitens des Kunden - zu sperren und/oder vom Kunden eingestellte Inhalte zu löschen und/oder gegebenenfalls bei besonders schwerwiegenden Verstößen auch das Vertragsverhältnis fristlos zu kündigen. Soweit der Kunde den Verdacht ausräumt, wird die Sperrung aufgehoben.

§ 5 Nutzungsumfang
5.1 Soweit Inhalte, insbesondere Informationen über Stellensuchende, dem Kunden über das Portal zugänglich gemacht werden, dürfen diese vom Kunden nur für eigene interne Zwecke verwendet werden. Jede Nutzung von Inhalten für gewerbliche externe Zwecke ist untersagt. Eine Archivierung darf nur zu eigenen und internen Zwecken des Kunden dienen, also Dritten nicht zugänglich sein, nicht dazu dienen, Vervielfältigungen für Dritte herzustellen und die Archivnutzung darf nicht zu einer zusätzlichen Verwertung der Inhalte führen. Alle weiteren Nutzungen (z.B. Vervielfältigung zu gewerblichen externen Zwecken einschl. Archivierung, Überlassung an oder Verarbeitung durch Dritte für eigene oder fremde Zwecke oder zur öffentlichen Wiedergabe, Übersetzung, Bearbeitungen usw.) bedürfen der vorherigen schriftlichen Zustimmung des Anbieters.

5.2 Urheberrechtshinweise und/oder Markenbezeichnungen und/oder sonstige Rechtevorbehalte in den Inhalten dürfen weder verändert noch beseitigt werden.

5.3 Stellensuchenden bzw. sonstigen privaten Nutzern ist es nach Registrierung ausdrücklich gestattet, an den dafür vorgesehene Stellen des Portals eigene Inhalte einzustellen. Nutzergenerierte Inhalte stammen nicht vom Anbieter und werden auch nicht im Namen des Anbieters veröffentlicht. Der Anbieter macht sich deren Inhalt und deren Aussagen nicht zu eigen und distanziert sich ausdrücklich von allen nutzergenerierten oder sonst erkennbar fremden, d.h. nicht vom Anbieter stammenden Inhalten.

5.4 Der Kunde räumt dem Anbieter mit Einstellung seiner Inhalte das Recht ein, diese auf dem Portal zu veröffentlichen und/oder veröffentlichen zu lassen, zu verbreiten und/oder verbreiten zu lassen, sowie auf sonstige Weise Dritten öffentlich zugänglich zu machen. Von der Rechteinräumung umfasst ist die Möglichkeit, Beiträge zum Abruf durch Dritte zur Verfügung zu stellen und Beiträge zu archivieren. Mit Einstellung seiner Inhalte sichert der Kunde zu, dass er über die eingeräumten Rechte verfügen kann und dass über diese Rechte nicht bereits anderweitig in einer Art verfügt wurde, welche die vorstehenden Nutzungsrechte des Anbieters beeinträchtigten könnten. Beim Einstellen von Bildern oder Videos sichert der Kunde zu, dass alle darauf erkennbaren Personen der Veröffentlichung zugestimmt haben. Vom Kunden hochgeladene Dateien werden vom Anbieter ggf. in das für die Veröffentlichung auf dem Portal erforderliche Format umformatiert. Bei dieser Umformatierung wird lediglich die Datenstruktur, nicht aber der Dateninhalt verändert.

5.5 Der Kunde räumt dem Anbieter darüber hinaus das Recht ein, zum Zwecke der Bewerbung der Portale bzw. des Anbieters die Tatsache zu veröffentlichen bzw. veröffentlichen zu lassen, dass der Kunde über die Portale des Anbieters Personal sucht bzw. gesucht hat ("Referenzen"). Der Kunde räumt dem Anbieter in diesem Zusammenhang auch das Recht ein, die Firmenbezeichnung des Kunden und/oder dessen Unternehmenskennzeichen (Logo, Schriftzug usw.) zu nutzen.

5.6 Kunden, die eine "PremiumFlat" gebucht haben, räumen dem Anbieter das Recht ein, während der Laufzeit der PremiumFlat Stellenangebote, die der Kunde außerhalb des Portals (z.B. auf seiner Homepage oder in anderen Medien) bewirbt, unter Quellenangabe (s. Ziffer 2.1 am Ende) in das Portal aufzunehmen. Der Kunde hat jederzeit das Recht, der Aufnahme einzelner oder aller derartiger Stellenangebote zu widersprechen.

§ 6. Pflichten des Anbieters
6.1 Der Kunde kann je nach vertraglich vereinbarter Leistung im Rahmen seines Unternehmensprofils Stellenangebote und weitere unternehmensbezogene Inhalte veröffentlichen. Der Kunde kann die Inhalte in einem vom Anbieter vorgegebenen Eingabeformular selbst eingeben. Der Anbieter wird die Inhalte des Kunden Interessenten über das Internet zur Verfügung stellen. Des Weiteren kann der Kunde Kontakt zu Arbeitssuchenden aufnehmen, die seinen Wunschkriterien entsprechen und gezielt Unternehmensinformationen in sein Profil einpflegen.

6.2 Die vom Kunden eingestellten Inhalte, insbesondere Stellenangebote, sind zeitlich begrenzt auf dem Portal abrufbar. Die Dauer der Verfügbarkeit ergibt sich aus den jeweiligen, mit dem Kunden getroffenen Vereinbarungen. Die auf www.badische-jobs.de beworbenen Arbeitsplätze müssen sich jedoch in dem Gebiet befinden, welches im Rahmen der Vereinbarung mit dem Kunden im vorab festgelegt wird (räumliche Beschränkung). Dieses Gebiet wird, falls nichts anderes vereinbart, durch folgende Karte definiert (Link) .

6.3 Der Anbieter beteiligt sich inhaltlich nicht an der Kommunikation, dem Informationsaustausch oder der Stellenvermittlung zwischen Unternehmen und privaten Nutzern. Insofern übernimmt der Anbieter keinerlei Gewähr für die Richtigkeit und Vollständigkeit der von den privaten Nutzern über die Services verbreiteten Informationen und überprüft diese auch nicht.

6.4 Soweit Unternehmen und private Nutzer über das Portal untereinander Verträge abschließen, entstehen daraus keinerlei vertragliche Verpflichtungen für den Anbieter.

6.5 Der Anbieter behält sich Änderungen seiner Leistungen vor, soweit solche Änderungen nicht die Kernleistungen verändern und unter Berücksichtigung der Interessen des Kunden für diesen zumutbar sind.

6.6 Der Anbieter ist berechtigt, die ihm obliegenden Leistungen ganz oder teilweise durch Dritte erbringen zu lassen.

§ 7 Personenbezogene Daten
Die Verwendung, Verarbeitung und Nutzung personenbezogener Daten erfolgt gemäß den jeweils gültigen gesetzlichen Bestimmungen und den Datenschutzregelungen des Anbieters.

§ 8 Gewährleistung
8.1 Der Anbieter wird versuchen, im Rahmen der technischen Möglichkeiten, mehr als unerhebliche Störungen und Fehler schnellstmöglich zu beseitigen und unerhebliche Beeinträchtigungen in angemessener Frist zu beseitigen. Der Anbieter wird sich bemühen, die angebotenen Leistungen auf dem Portal stets zugänglich zu halten. Der Kunde hat jedoch keinen Anspruch auf die ständige Verfügbarkeit und Störungsfreiheit der Leistungen.

8.2 Der Anbieter ist für den eventuellen Erfolg einer Stellenvermittlung in keiner Weise verantwortlich und haftet nicht, falls keine Stellenvermittlung zustande kommt.

8.3 Dem Kunden ist bekannt, dass es nach dem derzeitigen Stand der Technik nicht möglich ist, alle Risiken aus der Nutzung des Internet auszuschließen. Daher übernimmt der Anbieter keine Gewährleistung für technische Mängel, insbesondere für die ständige und ununterbrochene Verfügbarkeit der Datenbank und ihrer Inhalte oder für die vollständige und fehlerfreie Wiedergabe der vom Kunden eingestellten Inhalte.

8.4 Sämtliche Downloads – gleich ob unmittelbar von dem Portal oder von mit dem Portal verlinkten Seiten – erfolgen auf eigenes Risiko.

§ 9 Haftungsbeschränkung des Anbieters
9.1 Der Anbieter haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Anbieter im Zusammenhang mit der Erbringung der vertragsgemäßen Leistungen verursachten Schäden unbeschränkt.

9.2 Bei leichter Fahrlässigkeit haftet der Anbieter im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

9.3 Im Übrigen haftet der Anbieter nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt.

9.4 Soweit die Haftung des Anbieters nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Anbieters.

9.5. Schadensersatzansprüche verjähren innerhalb von 12 Monaten nach dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Kunde von den Anspruch begründenden Umständen und der Person des Schädigers Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste.

§ 10 Vertraulichkeit und Datenschutz
10.1. “Vertrauliche Informationen" sind alle technischen und/oder geschäftlichen Informationen, die eine der Parteien in gleich welcher Form mit oder während der Durchführung eines darunterfallenden Einzelvertrages von der anderen Partei durch mündliche oder Textform- Mitteilung, Vorführungen, Geräte, Modelle, jegliche Art von Muster und visuelle Erfassung des Besagten erhält, einschließlich Informationen in Bezug auf die jeweiligen Geschäftstätigkeiten oder Abläufe. Die mittels der Plattform verarbeiteten Daten gelten als Vertrauliche Information des Kunden. Nicht als vertrauliche Informationen gelten solche Informationen,
(i) die frei zugänglich sind, ohne dass dies auf einem Versäumnis der anderen Partei ihrer vertraglichen Verpflichtungen nachzukommen beruht,
(ii) der anderen Partei bereits bekannt oder nachweislich bereits im Besitz der anderen Partei waren,
(iii) die nachweislich bereits unabhängig von einer Partei durch die andere Partei entwickelt wurden, oder
(iv) die die andere Partei ohne Einschränkungen in Bezug auf die Offenlegung von Informationen erhalten hat.
10.2 Beide Parteien verpflichten sich übereinstimmend, (a) die vertraulichen Informationen der anderen Partei geheim zu halten und dabei denselben Sorgfaltsmaßstab an den Tag zu legen mit der sie gewöhnlich ihre eigenen Informationen zu schützen pflegt, zumindest aber zumutbare Sorgfalt walten lässt, (b) die von der anderen Partei offengelegten vertraulichen Informationen nur für den Abschluss oder die Durchführung dieses Vertrages oder einem darunter fallenden Einzelvertrags zu verwenden, (c) die vertraulichen Informationen der anderen Partei nur restriktiv zu verwenden und ihren Angestellten oder den Angestellten eines ihrer verbundenen Unternehmen, Trägern oder anderen Drittunternehmen, die sie beauftragen nur insoweit offenzulegen, als diese sie unbedingt kennen müssen, und die vertraulichen Informationen darüber hinaus nicht Dritten offenzulegen, vorausgesetzt, dass der jeweilige Empfänger sich schriftlich an die vorliegenden Geheimhaltungsverpflichtungen bindet, (d) ihre Mitarbeiter und Erfüllungsgehilfen auf ihre Verpflichtungen hinsichtlich der vertraulichen Informationen der anderen Partei hinzuweisen.
10.3 Jede der Parteien, verpflichtet sich, das anwendbare Datenschutzrecht zu beachten. Im Anwendungsbereich von Art. 28 DSGVO gelten die Besonderen Bestimmungen zur Auftragsverarbeitung (AV) gemäß der Allgemeinen Geschäftsbedingungen für gewerbliche Kunden.

§ 11 Laufzeit, Vergütung und Abrechnung
11.1 Die Laufzeit für die Nutzung der jeweiligen Services ist vertraglich festgelegt. Eine Kündigung zu einem davon abweichenden Zeitpunkt ist – außer bei Vorliegen eines wichtigen Grundes – nicht möglich. Im Falle einer Verlängerung der Laufzeit erfolgt diese zu dem im Zeitpunkt der Verlängerung aus der jeweiligen Preisliste bzw. Produktbeschreibung gültigen Preis. Soweit das Lastschriftverfahren als Zahlungsmittel vereinbart wurde, ist es möglich, dass die Forderung innerhalb eines Tages nach Information des Kunden über die Vorabankündigung (Pre-Notification) zur Zahlung fällig wird und eingezogen werden kann. Der Anbieter behält sich vor, Preise und Produkte für die Zukunft zu ändern. Der Anbieter wird den Kunden über Änderungen, die ihn betreffen, rechtzeitig informieren.
11.2 Entscheidet sich der Kunde zu einer Vertragsänderung hinsichtlich Produkt oder Laufzeit, kann ein neuer Vertrag mit neuerlich festgelegter Laufzeit zustande kommen.

§ 12 Sonstige Regelungen
12.1 Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird.
12.2 Ist der Nutzer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist der Sitz des Diensteanbieters ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis.
12.3 Sollten einzelne Bestimmungen dieser Nutzungsbedingungen unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Besonderen Bedingungen zur Auftragsverarbeitung (im Weiteren: „AV“)

Stand: 14.08.2023

Die AV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien, die sich einem zwischen den Parteien abgeschlossenen Allgemeinen Geschäftsbedingungen für gewerbliche Kunden über die Plattform (im Weiteren: der „Hauptvertrag“) ergeben.

1.Gegenstand und Dauer der AV, Rangfolge bei Widersprüchen
1.1.Anwendungsbereich der AV: Die AV findet Anwendung auf alle Tätigkeiten bei denen Beschäftigte des Anbieters oder Beauftragte des Anbieters personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (im Weiteren: „Daten“) des Kunden gemäß Art. 28 DSGVO verarbeiten (im Weiteren: „Auftragsverarbeitung“). Sofern in dieser AV der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
1.2.Dauer der Vereinbarung, Kündigung: Die AV wird mit Abschluss des Hauptvertrages gültig und gilt für die Dauer des Hauptvertrages. Soweit durch den Anbieter faktisch über die Laufzeit der AV hinaus personenbezogene Daten des Kunden verarbeitet werden (z.B. bei Speicherung von Daten aufgrund gesetzlicher Aufbewahrungspflichten denen der Anbieter unterfällt), gelten die vertraglichen Vereinbarungen zur Zweckbindung und Einhaltung der technischen und organisatorischen Maßnahmen fort.
1.3.Einzelheiten zur Datenverarbeitung:_ Art der Daten, Art und Zweck der Datenverarbeitung sowie Kategorien der betroffenen Personen werden im Hauptvertrag und der dazugehörigen Leistungsbeschreibung sowie der Anlage B konkretisiert
1.4.Rangfolge: Bei Widersprüchen zwischen Inhalten dieser AV und Bestimmungen des Hauptvertrags insbesondere der Allgemeinen Geschäftsbedingungen für gewerbliche Kunden hinsichtlich datenschutzrechtlicher Themen, gilt die AV vorrangig. Im Übrigen bleiben die Bestimmungen des Hauptvertrages unberührt und gelten für diese AV entsprechend.

2.Verantwortlichkeit
2.1.Zulässigkeit der Datenverarbeitung: Dem Kunden ist bewusst, dass er im Rahmen des Hauptvertrages als verantwortliche Stelle („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO) alleine die Verantwortung für Einhaltung der gesetzlichen Bestimmungen der geltenden Datenschutzgesetze, insbesondere die Verantwortung für die Rechtmäßigkeit der Datenweitergabe an den Anbieter, sowie die Rechtmäßigkeit der Datenverarbeitung trägt und wird in seinem Verantwortungsbereich die Voraussetzungen schaffen, dass der Anbieter die vereinbarten Leistungen rechtsverletzungsfrei erbringen kann.
2.2.Weisungen: Dem Kunden steht die Weisungsbefugnis aus dem Hauptvertrag zu. Die Weisungen werden durch den Hauptvertrag festgelegt und können vom Kunden in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden („Einzelanweisung“) vor. Mündliche Weisungen sind vom Kunden unverzüglich mindestens in Textform (E-Mail ist ausreichend) zu bestätigen.

3.Pflichten des Anbieters

3.1.Durchführung der Datenverarbeitung: Der Anbieter darf Daten nur im Rahmen des im Hauptvertrag genannten Zwecks und gemäß der Weisungen des Kunden verarbeiten, sofern nicht ein Ausnahmefall nach Art. 28 Abs.3 lit.a DSGVO vorliegt. Ist der Anbieter aufgrund ihrer Branchen- bzw. Fachkenntnis der Ansicht, dass eine Weisung des Kunden gegen anwendbare Vorschriften über den Datenschutz verstößt, hat er den Kunden unverzüglich darauf hinzuweisen. Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Kunden schriftlich bestätigt oder geändert wird. Sofern der Anbieter der Auffassung ist, dass eine weisungsgerechte Verarbeitung zu einer Haftung des Anbieters (z.B. nach Art. 82 DSGVO) führen kann, ist der Anbieter berechtigt, die weitere Verarbeitung bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen. Zu einer materiell-rechtlichen Prüfung von Weisungen auf ihre Rechtmäßigkeit hin ist der Anbieter jedoch nicht verpflichtet.
3.2.Unterstützung bei Pflichten des Verantwortlichen: Der Anbieter wird unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Kunden im erforderlichen Umfang und im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis Art. 36 DSGVO genannten Pflichten des Auftraggebers, auf Anfrage angemessen unterstützen, insbesondere bei:
a)Zurverfügungstellung von Informationen für das Verzeichnis der Verarbeitungstätigkeiten des Auftraggebers hinsichtlich der vom Hauptvertrag umfassten Datenverarbeitungsprozesse
b)Durchführung einer etwaig erforderlichen Datenschutzfolgeabschätzung hinsichtlich der vom Hauptvertrag umfassten Datenverarbeitungsprozesse
c)vorheriger Konsultation eine Datenschutzaufsichtsbehörde
d)Zurverfügungstellung von Informationen an die zuständige Aufsichtsbehörde, wenn der Auftraggeber schriftlich dazu auffordert, wird oder dies durch anwendbares Recht verlangt wird
e)Audits oder Durchsuchungen die die zuständige Aufsichtsbehörde oder andere Behörden (bspw. Untersuchungsbehörden) beim Auftraggeber durchführen
3.3.Zuverlässigkeit der Mitarbeiter: Die vom Anbieter mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter und andere für den Anbieter tätigen Personen werden vom Anbieter mit den für sie maßgeblichen Vorschriften des Datenschutzes vertraut gemacht und in geeigneter Weise zu Verschwiegenheit verpflichtet. Den Mitarbeitern des Anbieters wird dabei untersagt, Daten des Kunden außerhalb der Weisung zu verarbeiten und Daten des Kunden vertraulich zu behandeln. Diese Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrages fort.
3.4.Ansprechpartner auf Seiten des Anbieters: Der Anbieter benennt dem Kunden auf Anfrage einen Ansprechpartner für die im Rahmen dieser AV anfallende Datenschutzfragen. Ein Wechsel des Ansprechpartners wird Der Anbieter dem Kunden unverzüglich mitteilen.
3.5.Vorgehen bei Datenschutzverletzungen: Der Anbieter unterrichtet den Kunden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Kunden bekannt werden. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Kunden nach Art. 33 und Art. 34 DSGVO. Der Anbieter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Kunden ab. Der Anbieter wird den Kunden erforderlichenfalls bei dessen Pflichten nach Art. 33 und 34 DSGVO angemessen unterstützen. Meldungen nach Art. 33 und Art. 34 DSGVO sind ausschließlich dem Kunden vorbehalten, soweit seine Daten betroffen sind.

4.Pflichten des Kunden
4.1.Unterstützung durch den Kunden: Der Kunde hat den Anbieter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
4.2.Ansprechpartner auf Seiten des Kunden: Der Kunde nennt dem Anbieter auf Anfrage einen ausreichend bevollmächtigten Ansprechpartner für sämtliche im Rahmen der AV anfallende Datenschutzfragen. Einen Wechsel des Ansprechpartners wird der Kunde dem Anbieter unverzüglich mitteilen.

5.Technische und organisatorische Maßnahmen zum Datenschutz (Art. 32 DSGVO)
5.1.Technische/Organisatorische Maßnahmen: Der Anbieter wird seine innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes im erforderlichen Umfang gerecht wird. Hierfür wird der Anbieter technische und organisatorische Maßnahmen zum angemessenen Schutz der im Auftrag des Kunden verarbeiteten Daten treffen, die den Anforderungen des Art. 32 DSGVO genügen. Die von Der Anbieter zum Zeitpunkt des Abschlusses dieser AV getroffenen technischen und organisatorischen Maßnahmen sind in Anlage A beigefügt. Der Kunde hat diese Maßnahmen vor dem Hintergrund der konkret vereinbarten Datenverarbeitungsvorgänge im Hinblick auf ein angemessenes Schutzniveau bewertet und für ausreichend befunden.
5.2.Anpassungen: Der Anbieter ist berechtigt, die getroffenen Maßnahmen jederzeit zu ändern, sofern sichergestellt ist, dass das vereinbarte Schutzniveau nicht unterschritten wird. Der Anbieter wird den Kunden über wesentliche Überarbeitungen seiner technischen und organisatorischen Maßnahmen informieren.

6.Berichtigung, Löschung und Sperrung von Daten
6.1.Unterstützung bei Berichtigung, Löschung, Sperrung: Der Anbieter hat nach Weisung des Kunden die im Auftrag verarbeiteten Daten jederzeit zu berichtigen, zu löschen oder zu sperren, sofern berechtigte Interessen des Anbieters nicht entgegenstehen.
6.2.Abschluss vertraglicher Arbeiten, Rückgabe oder Löschung: Für die Beendigung der Auftragsverarbeitung beauftragt der Kunde den Anbieter zur Löschung der noch beim Anbieter vorhandenen Daten des Kunden.
6.3.Aufbewahrung durch den Anbieter: Aufbewahrungspflichten, denen der Anbieter unterliegt, bleiben von den vorstehenden Regelungen unberührt. Der Anbieter ist berechtigt, Dokumentationen und andere Daten, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend den jeweiligen Aufbewahrungsfristen über das Ende der Auftragsverarbeitung hinaus aufzubewahren. Soweit solche berechtigte Interessen des Anbieters einer Löschung entgegensteht, werden die betroffenen Daten des Kunden erst nach Wegfall des Interesses gelöscht.

7.Begründung von Unterauftragsverhältnissen / Datenverarbeitungen in einem unsicheren Drittland
7.1.Unterauftragsverarbeiter: „Unterauftragsverarbeiter“ im Sinne dieser AV sind solche vom Anbieter eingesetzte Drittunternehmer, die Leistungen erbringen die direkt auf die Erbringung der Hauptleistung des Hauptvertrages bezogen sind, die im Kernbereich auf eine Verarbeitung von personenbezogenen Daten ausgerichtet sind und der Drittunternehmer dabei Zugriff auf die Daten des Kunden erhält (z.B. Rechenzentren). Leistungen, die der Anbieter bei Drittunternehmern als reine Nebenleistung in Anspruch nimmt, um ihre geschäftliche Tätigkeit auszuüben und die nicht im Kernbereich auf eine Verarbeitung von personenbezogenen Daten des Kunden ausgerichtet sind, sind hiervor ausgenommen (beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste). Der Anbieter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Drittunternehmen erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten des Kunden zu gewährleisten.
7.2.Allgemeine schriftliche Genehmigung: Die Beauftragung von Unterauftragsverarbeitern wird dem Anbieter hiermit allgemein genehmigt. Dies steht unter dem Vorbehalt, dass der Anbieter den Kunden über die beabsichtigte Beauftragung des Unterauftragsverarbeiters vorab informiert, so dass der Kunde bei Vorliegen wichtiger Gründe die Beauftragung durch Einspruch untersagen kann. Liegt ein Einspruch des Kunden nicht binnen 2 Wochen nach Information durch den Anbieter vor, gilt die Zustimmung des Kunden als erteilt. Der Anbieter hat sicherzustellen, dass (a) der Unterauftragsverarbeiter in der Lage ist, den gleichen wie die zwischen den Parteien vereinbarten datenschutzrechtlichen Anforderungen zu genügen, sowie (b) die vertragliche Gestaltung mit dem Unterauftragsverarbeiter so gestaltet ist, dass sie den Regelungen dieser AV-Vereinbarung gemessen an der vom Unterauftragsverarbeiter vorgenommenen Datenverarbeitung entspricht, (c) der Kunde in angemessener Weise Auskunft über den wesentlichen Vertragsinhalt mit dem Unterauftragsverarbeiter und dessen Umsetzung der datenschutzrechtlichen Verpflichtungen erhält (erforderlichenfalls durch Einsicht in die relevanten Vertrags- oder Prüfungsunterlagen), um seinen gesetzlichen Rechenschaftspflichten nachkommen zu können. Die vom Anbieter eingesetzten Unterauftragsverarbeiter werden in Anlage B aufgeführt. Für diese Unterauftragsverarbeiter gilt die Zustimmung des Kunden mit Abschluss des Hauptvertrages als erteilt.
7.3.Datenverarbeitung in unsicheren Drittländern: Eine Verarbeitung der Daten durch den Auftragnehmer ausschließlich oder auch in einem unsicheren Drittland, darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Wenn die Verarbeitung der Daten durch den Anbieter oder einen vom Anbieter beauftragten Unterauftragsverarbeiter oder Drittunternehmer in einem unsicheren Drittland erfolgt, gelten die mit dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 erlassenen EU-Standardvertragsklauseln („EU-Standardvertragsklauseln“) bezüglich dieser Verarbeitung, soweit die Datenübermittlung nicht auf eine andere Grundlage gemäß Art. 44 ff. DSGVO gestützt werden kann. Verarbeiten Unterauftragnehmer im Sinne von Ziff. 7.1 der AV oder Drittunternehmer Daten in einem unsicheren Drittland, stellt der Anbieter in Ergänzung zu den in Ziff. 7.3 der AV genannten Voraussetzungen vor Beginn der Verarbeitung durch diese Unterauftragnehmer den Abschluss der EU-Standardvertragsklauseln sicher, soweit die Datenübermittlung nicht auf eine andere Grundlage gemäß Art. 44 ff. DSGVO gestützt werden kann. Auf Verlangen des Auftraggebers stellt der Auftragnehmer diesem eine Kopie der mit den Unterauftragnehmern abgeschlossenen EU-Standardvertragsklauseln zur Verfügung oder benennt die ansonsten in Frage kommende Rechtsgrundlage für den Datentransfer und stellt dem Kunden die erforderlichen Angaben und Informationen zum Nachweis der Einhaltung der gesetzlichen Vorschriften für Datenexporte in Drittländer zur Verfügung. Zum Zeitpunkt des Abschlusses dieser AV bestehende Verarbeitungen in bzw. Übermittlungen an ein Drittland ergeben sich aus Anlage B.
7.4.Sub-Unterauftragsverarbeiter: Für den Einsatz von Sub-Unterauftragsverarbeiter gilt diese Ziff. 7 entsprechend.

8.Nachweismöglichkeiten & Kontrollrechte
8.1.Überprüfungen, Nachweis durch den Anbieter: Der Kunde kann auf eigene Kosten die Einhaltung der datenschutzrechtlichen Vorschriften und Pflichten dieser AV durch den Anbieter durch Einholung von Auskünften oder Nachweisen im Hinblick auf die betroffenen Datenverarbeitungsvorgänge kontrollieren. Der Anbieter wird dem Kunden auf dessen Verlangen innerhalb angemessener Frist die Einhaltung seiner Pflichten nach dieser AV mit geeigneten Mitteln seiner Wahl nachweisen (beispielsweise durch Durchführung eines Selbstaudits, Vorlage eines aktuellen Testats oder einer Selbstauskunft, durch Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) Zertifikate zum Datenschutz und/oder Informationssicherheit (z.B. nach BSI-Grundschutz oder ISO 270001) oder Zertifikate nach Art. 42 DSGVO.
8.2.Inspektionen: Der Kunde wird vorrangig prüfen, ob die in Ziff. 8.1. eingeräumten Überprüfungsmöglichkeiten ausreichen. Sollten darüber hinaus in zu begründenden Ausnahmefällen (beispielsweise bei berechtigten Zweifeln, dass Nachweise i.S.v. 8.1 unzureichend oder unzutreffend sind, oder nicht vorgelegt werden, oder bei besonderen Vorfällen nach Art. 33 Abs. 1 DSGVO) Kontrollen des Kunden oder durch einen von diesem auf seine Kosten beauftragten Prüfers im Einzelfall erforderlich sein, werden diese zu den üblichen Geschäftszeiten des Anbieters, ohne Störung dessen Betriebsablaufs nach Anmeldung durchgeführt. Der Anbieter darf Kontrollmaßnahmen des Kunden von der vorherigen schriftlichen Anmeldung mit angemessener Vorlaufzeit (mindestens 14 Tage) und Benennung mindestens dreier alternativer Termine sowie von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen, sofern nicht besondere Vorfälle eine davon abweichende Kontrolle rechtfertigen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zum Anbieter stehen, hat der Anbieter gegen diesen ein Einspruchsrecht. Kontrollen des Kunden vor Ort, sind außer bei Vorliegen wichtiger datenschutzrechtlicher Gründe, grundsätzlich als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und auf maximal auf einen Tag pro Kalenderjahr zu begrenzen.

9.Anfragen betroffener Personen
9.1.Meldung von Anfragen: Soweit ein Betroffener sich unmittelbar an den Anbieter zwecks Berichtigung, Löschung seiner Daten oder Auskunft wenden sollte, wird der Anbieter die betroffene Person an den Kunden verweisen, sofern eine Zuordnung mit den Angaben der betroffenen Person möglich ist. Der Anbieter wird das Ersuchen des Betroffenen unverzüglich an den Kunden weiterleiten.
9.2.Unterstützung bei Betroffenenrechten: Der Anbieter unterstützt den Kunden auf dessen Weisung mit Informationen die der Kunde für die Erfüllung von Betroffenenanfragen benötigt.
9.3.Verantwortlichkeit für Betroffenenrechten: Der Anbieter haftet nicht, wenn das Ersuchen der betroffenen Person vom Kunden nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

10.Maßnahmen Dritter oder Rechte Dritte im Hinblick auf Daten
Sollten Gegenstände, die Daten enthalten, durch Maßnahmen Dritter (etwa Pfändungen oder Beschlagnahmungen) oder von Rechten Dritter (Sicherungsübereignung) betroffen sein, so hat der Anbieter den Kunden unverzüglich zu informieren. Der Anbieter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung liegen.

11.Haftung
11.1.Haftung: Die zwischen den Parteien im Hauptvertrag getroffene Haftungsregelung gilt auch für die zwischen den Parteien vorliegende Auftragsverarbeitung, sofern nicht ausdrücklich eine abweichende Vereinbarung getroffen wurde.
11.2.Gegenseitige Unterstützung: Im Falle einer Inanspruchnahme einer der Parteien durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO oder einer Aufsichtsbehörde aufgrund oder im Zusammenhang mit diese AV, verpflichtet sich die jeweils andere Partei, die in Anspruch genommene Partei bei der Abwehr der Ansprüche angemessen zu unterstützen
11.3.Verantwortungsbereich Auftraggeber, Freistellung: Soweit durch eine unzulässige oder unrichtige Datenverarbeitung im Rahmen dieses Auftragsdatenverarbeitungsverhältnisses ein Schaden entsteht und dieser Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Kunden erteilten Weisung entstanden ist, haftet hierfür alleine der Auftraggeber. Der Kunde stellt den Anbieter von allen Ansprüchen frei, die im Zusammenhang mit der konkreten Umsetzung der beauftragten Dienstleistung oder der vom Kunden erteilten Weisung gegen den Anbieter erhoben werden. Unter diesen Voraussetzungen ersetzt der Kunde dem Anbieter ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
11.4.Ziff. 11 gilt entsprechend im Falle von Schäden, die Mitarbeiter des Anbieters oder sonstige Erfüllungsgehilfen, einschließlich Unterauftragsverarbeiter, im Zusammenhang mit der Erbringung der geschuldeten Verarbeitung von Daten des Kunden schuldhaft verursachen.

12.Anlagen
Die nachfolgend aufgezählten Anlagen werden zum Bestandteil dieser AV:
Anlage A: Technische und Organisatorische Maßnahmen nach Art. 32 DSGVO
Anlage B: Einzelheiten zur Auftragsverarbeitung

Anlage A: Technisch-organisatorische Maßnahmen (TOMs)
Diese Anlage A beschreibt die vom Anbieter oder deren Unterauftragsverarbeitern im Rahmen ihrer Leistungserbringung und der damit vom Anbieter für den Kunden veranlassten Verarbeitung von personenbezogenen Daten des Kunden ergriffenen Maßnahmen zur Datensicherheit im Sinne von Art. 32 DSGVO. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

Organisatorische Maßnahmen
Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.
a)Der Anbieter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung.
b)Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist in unternehmensweite Prozesse und Verfahren integriert.
c)Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan, Schwachstellenscans und Penetrationstests, durchgeführt.
d)Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung von ungewöhnlichen Einträgen.
e)Der Anbieter führt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch. Das Verfahren ist entsprechend dem PDCA-Zyklus aufgebaut und besteht aus einer kontinuierlichen Beobachtung der technischen und organisatorischen Maßnahme sowie Festlegung des Istzustandes, als auch des zu erreichenden Soll-Zustandes mit folgender Umsetzungs- und sich daran anschließenden Überprüfungsphase sowie Evaluierung der Umsetzung und Ableitung der gewonnenen Erfahrungen für künftige Optimierungen und Vorgehen im Hinblick auf die Sicherheitsstandards.
f)Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet.
g)Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Kunden gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Kunden, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.
h)Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Kunden, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.
i)Sicherheitsvorkommnisse werden konsequent dokumentiert, auch wenn sie nicht zu einer externen Meldung (z. B. an die Aufsichtsbehörde, betroffene Personen) führen (sogenanntes "Security Reporting").
j)Konsultation und Einbindung des Datenschutzbeauftragten bei Sicherheitsfragen und in Sicherheitsverfahren, die den Schutz personenbetroffener Daten betreffen.
k)Ausreichende fachliche Qualifikation des Datenschutzbeauftragten für sicherheits-relevante Fragestellungen und Möglichkeiten zur Fortbildung in diesem Fachbereich.
l)Drittunternehmer, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Projekt- und Kollaborationsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern Drittunternehmer im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Kunden erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten des Kunden besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet.
m)Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt.
n)Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z.B. abgelaufene Betriebssysteme).
o)Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.
p)Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Löschkonzept vor. Bei Der Anbieter werden Daten ausschließlich digital verarbeitet. Mitarbeiter wurden über Löschfristen und soweit zuständig, über Vorgaben für die Datenlöschung oder Gerätevernichtung durch Dienstleister unterrichtet.
q)Die Verarbeitung der Daten des Kunden, die nicht entsprechend den Vereinbarungen der AV gelöscht wurden (z.B. in Folge der gesetzlichen Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt.

Datenschutz auf Mitarbeiterebene
Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit personenbezogenen Daten beschäftigten Mitarbeiter, über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen.
a)Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datengeheimnis) verpflichtet.
b)Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung werden, wenn es die Umstände erfordern, wiederholt.
c)Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden (Home- und Mobileoffice), werden Mitarbeiter über die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet.
d)Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
e)Mitarbeiter werden verpflichtet, ihre Arbeitsumgebung aufgeräumt zu hinterlassen und so insbesondere den Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten zu verhindern (Clean Desk Policy).

Zutrittskontrolle
Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenanlagen oder Verfahren physisch zu nähern:
a)Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Kunden werden bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert. Auf Anfrage hin kann die Beschreibung der Maßnahmen des jeweiligen Unterauftragsverarbeiters zur Verfügung gestellt werden.
b)Der Zutritt zu Datenverarbeitungsanlagen ist zusätzlich gesichert und nur befugten Mitarbeitern möglich.
c)Es findet eine Personenkontrolle beim Pförtner oder am Empfang des Rechenzentrumsanbieters statt.

Zugangskontrolle
Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zur Plattform verhindert wird.
a)Ein Passwortkonzept legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen.
b)Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.
c)Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt (Zertifikate, Tokens) übertragen.
d)Es wird eine Passwort-Management-Software eingesetzt.
e)Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt.
f)Einsatz von Software-Firewall(s).

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)
Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung der IT-Umgebung von Der Anbieter Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten eingegeben, verändert, entfernt worden sind.
a)Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist. Hinweis: Das Berechtigungskonzept stellt sicher, dass Mitarbeiter des Anbieters keinen Zugriff auf Bewerberdaten haben.
b)Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert.
c)Anmeldungen in den Verarbeitungssystemen werden protokolliert.
d)Die Protokoll-, bzw. Logdateien werden vor Veränderung sowie vor Verlust und gegen unberechtigten Zugriff geschützt.
e)Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert.
f)Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z.B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept).

Weitergabekontrolle
Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass bei der elektronischen Übertragung von Daten oder während ihres Transports oder ihrer Speicherung auf Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
a)Beim Zugriff auf betriebsinterne Systeme von außen, werden verschlüsselte Übertragungstechnologien verwendet (z.B. VPN, SSL).
b)Mobile Datenträger werden verschlüsselt.
c)E-Mails werden während der Übertragung verschlüsselt, was bedeutet, dass die E-Mails auf dem Weg vom Absender zum Empfänger davor geschützt sind, von jemandem gelesen zu werden, der Zugang zu den Netzwerken hat, durch die die E-Mail gesendet wird.
d)Die Übermittlung und Verarbeitung von personenbezogenen Daten des Kunden über laletu.de, erfolgt geschützt mittels einer TLS oder einer gleichwertig sicheren Verschlüsselung.

Auftragskontrolle, Zweckbindung und Trennungskontrolle
a)Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass die Datenverarbeitung im Auftrag nur entsprechend den Weisungen des Kunden verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten des Kunden getrennt werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Nutzung dieser Daten erfolgt.
b)Die für den Kunden durchgeführten Verarbeitungsprozesse werden in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert.
c)Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.
d)Die Einhaltung von Weisungen des Kunden und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft.
e)Die für die Verarbeitung der personenbezogenen Daten des Kunden geltenden Löschfristen werden innerhalb des Löschkonzepts des Anbieters - sofern erforderlich, gesondert – dokumentiert.
f)Erforderliche Auswertungen und Analysen der Verarbeitung der personenbezogenen Daten des Kunden werden, soweit möglich und zumutbar, anonymisiert verarbeitet (d. h. ohne jeglichen Personenbezug) oder zumindest entsprechend Art. 4 Nr. 5 DSGVO pseudonymisiert verarbeitet (d. h. in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können wobei diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden).
g)Die personenbezogenen Daten des Kunden werden von Daten anderer Verarbeitungsverfahren von Der Anbieter logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z.B. in unterschiedlichen Datenbanken, Cluster oder durch angemessene Attribute).
h)Produktiv- und Testdaten werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrieben.

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen
Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die Daten des Kunden gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.
a)Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.
b)Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent, insbesondere auf Verfügbarkeit, Fehler sowie Sicherheitsvorfälle überwacht und kontrolliert.
c)Die personenbezogenen Daten des Kunden werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung. Hinweis: Entsprechende Unterlagen können dem Kunden auf Anfrage hin zur Verfügung gestellt werden.
d)Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden.
e)Die zur Verarbeitung eingesetzten Serversysteme und Dienste werden in angemessenen Abständen Belastbarkeitstests und Hardwaretests unterzogen.
f)Die Datensätze des Kunden werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups).
g)Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.
h)Es werden regelmäßig in einem angemessenen Zeitabstand Wiederherstellungstests zur Überprüfung durchgeführt, dass die Datensicherungen tatsächlich wieder eingespielt werden können (Datenintegrität der Backups).

Anlage B: Einzelheiten zur Auftragsverarbeitung
Diese Anlage B regelt in Verbindung mit der AV ergänzend zum Hauptvertrag die Modalitäten zur Verarbeitung von Daten im Auftrag des Kunden durch den Anbieter.

Genehmigte Unterauftragsverhältnisse im Zeitpunkt des Abschlusses der Vereinbarung
Der Anbieter setzt im Rahmen der Auftragsverarbeitung folgende Unterauftragsverarbeiter ein:
Joblocal GmbH (Rosenheimerstraße 64a, 83059 Kolbermoor)
Verarbeitete Datenkategorien: Alle
Art der Teilleistung: Cloud-Service-Provider zum Betrieb der Plattform, Softwareentwicklung, Wartung und Support der Plattform

Beschreibung der Auftragsverarbeitung
Gegenstand der Datenverarbeitung
Der Zweck der Datenverarbeitung ist die Bereitstellung und Betrieb einer internetbasierten Bewerbungsplattform. Diese Plattform wird Kunden des Anbieters mit dem Ziel bereitgestellt, dass der Kunde dort Stellangebote schalten kann und Bewerber bzw. Interessenten sich direkt darauf bewerben können.
Weitere Einzelheiten hierzu sowie zum Umfang, Gegenstand und Art der Datenverarbeitung ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung

Art der Daten, Kategorien der Betroffenen
Betroffen von der Datenverarbeitung sind folgende Datenarten/Datenkategorien:

  • Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum)
  • Kontaktdaten (Name, Benutzername, E-Mail) der Bewerber und Mitarbeiter des Kunden
  • Protokolldaten (Logfiles über Nutzungsvorgänge)
  • Bewerberdaten die von den Nutzern der Plattform an den Kunden übermittelt werden
    Betroffen von der Datenverarbeitung sind folgende Kategorien von Personen (Mehrfachbenennungen möglich):
  • Besucher der Webseite
  • Bewerber
  • Softwarenutzer (Personalverantwortliche des Kunden)