Joint Controller Agreement
Vereinbarung gemäß Art 26 Abs 1 S 1 DSGVO zwischen taxado und der Kanzlei als gemeinsame Verantwortliche
(Joint Controller Agreement)
§ 1
(1) Diese Vereinbarung regelt die Rechte und Pflichten der Verantwortlichen (in Folge auch „Parteien“ genannt) bei der gemeinsamen Verarbeitung personenbezogener Daten. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt.
(2) Zur Suche und Verwaltung von passenden Talenten für von der Kanzlei ausgeschriebenen Stellen werden personenbezogene Daten innerhalb der taxado-Plattform verarbeitet. Je nach Prozessabschnitt erfolgt die Verarbeitung dieser Daten im Kanzlei-Dashboard. Die Parteien legen dabei die Prozessabschnitte fest, in denen personenbezogene Daten in gemeinsamer Verantwortlichkeit verarbeitet werden (Art 26 DSGVO).
Für die übrigen Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Soweit die Vertragsparteien datenschutzrechtliche gemeinsam Verantwortliche im Sinne von Art. 26 DS-GVO sind, gelten die folgenden Vereinbarungen:
§ 2
(1) Im Rahmen der gemeinsamen Verantwortlichkeit ist taxado für die Verarbeitung der personenbezogenen Daten von auf der Plattform registrierten Talenten im Rahmen von Talent-Profilen und im Zuge von Bewerbungen für von Kanzleien ausgeschriebenen Stellen (Wirkbereich A) zuständig. Gegenstand der Verarbeitung, deren Rechtsgrundlage die Erfüllung des Vertrags mit dem Talent gemäß Art 6 Abs 1 lit b DSGVO ist, sind die Datenarten/-kategorien, die von den Talenten angegeben werden (Anrede, Titel, Name, Passwort, Beruf, Geburtsdatum, Geschlecht, Adresse, E-Mail-Adresse, Telefonnummer, Foto, Ausbildung, Berufserfahrung, Publikationen, Fähigkeiten, Auszeichnungen, Fremdsprachen, Gehaltsvorstellungen, Social Media Profil-Verknüpfungen mit LinkedIn und Facebook ,weitere vom Talent angegebene personenbezogene Daten).
(2) Die Kanzlei ist im Rahmen der gemeinsamen Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten mit dem Empfang von Bewerbungen im Dashboard der Kanzlei (Wirkbereich B) zuständig. Gegenstand der Verarbeitung, deren Rechtsgrundlage die Einwilligung der Talente in die Überlassung an die jeweilige Kanzlei ist, sind die Datenarten/-kategorien, die von den Talenten angegeben werden (Anrede, Titel, Name, Beruf, Geburtsdatum, Geschlecht, Adresse, E-Mail-Adresse, Telefonnummer, Foto, Ausbildung, Berufserfahrung, Publikationen, Fähigkeiten, Auszeichnungen, Fremdsprachen, Gehaltsvorstellungen, weitere vom Talent angegebene personenbezogene Daten; weiters von der Kanzlei ergänzte Daten im Rahmen von Bewerbungsprozessen).
§ 3
Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.
§ 4
(1) Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format.
(2) Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind und für die die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Im Übrigen beachten beide Vertragsparteien den Grundsatz der Datenminimierung im Sinne von Art 5 Abs 1 c DSGVO.
§ 5
Die Parteien verpflichten sich, der betroffenen Person die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Parteien sind sich einig, dass taxado die Informationen zur Verarbeitung personenbezogener Daten im Wirkbereich A und die Kanzlei die Informationen für die Verarbeitung der personenbezogenen Daten im Wirkbereich B bereitstellt.
§ 6
Betroffene Personen können die ihnen aus Art. 15 bis 22 DS-VO zustehenden Rechte gegenüber beiden Vertragsparteien geltend machen. Sie erhalten die Auskunft grundsätzlich von der Vertragspartei, bei der die Anfrage gestellt wurde.
§ 7
(1) Die Parteien verpflichten sich, der Auskunftspflicht gemäß Art 15 DSGVO nachzukommen.
(2) Die Parteien verpflichten sich, den betroffenen Personen die diesen gemäß Art 15 DSGVO zustehenden Auskünfte auf Nachfrage zur Verfügung zu stellen.
Die Parteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Wirkbereich gegenseitig zur Verfügung. Die hierfür zuständigen Ansprechpartner der Parteien sind den Datenschutzerklärungen der Parteien, die in aktuellster Form auf der Website der jeweiligen Partei zu finden ist, zu entnehmen.
§ 8
(1) Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die andere Partei weiterzuleiten. Diese ist verpflichtet, der anfragenden Vertragspartei die zur Auskunftserteilung notwendigen Informationen aus ihrem Wirkbereich unverzüglich zur Verfügung zu stellen.
(2) Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.
§ 9
Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten und der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
§ 10
Taxado verpflichtet sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den betroffenen Personen zur Verfügung zu stellen (Art 26 Abs 2 DSGVO) und wird die aktuellste Version dieser Vereinbarung unter taxado.com/jca abrufbar halten.
§ 11
Beiden Parteien obliegen die aus Art 33, 34 DSGVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.
§ 12
Ist eine Datenschutz-Folgeabschätzung gemäß Art 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.
§ 13
Dokumentationen im Sinne von Art 5 Abs 2 DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.
§ 14
(1) Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
(2) Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art 32 ff DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
(3) Die Implementierung, Voreinstellung und der Betrieb der Systeme sind unter Beachtung der Vorgaben der DSGVO und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.
(4) Die im Zuge der Abwicklung der Leistungen auf der taxado-Plattform bzw. im Dashboard der Kanzlei zu verarbeitenden personenbezogenen Daten werden auf besonders geschützten Servern gespeichert.
§ 15
(1) Die Parteien können Auftragsverarbeiter heranziehen, um bestimmte Verarbeitungstätigkeiten im Namen des jeweiligen Verantwortlichen auszuführen. Diesen Auftragsverarbeitern sind im Wege eines Vertrages dieselben Datenschutzpflichten wie dem jeweiligen Verantwortlichen aufzuerlegen, wobei insbesondere hinreichend Garantien dafür geboten werden müssen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend des anwendbaren Datenschutzrechts erfolgt.
(2) Die Parteien verpflichten sich, jeweils einen Vertrag nach Art 28 DSGVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten abzuschließen.
§ 16
(1) Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung (siehe § 1) einen Vertrag nach Art 28 DSGVO abzuschließen und nur solche Auftragsverarbeiter heranzuziehen, die den Anforderungen des Datenschutzrechts und den dem jeweiligen Verantwortlichen vertraglich auferlegten datenschutzrechtlichen Pflichten nachkommen.
(2) Die Kanzlei übermittelt taxado auf Anfrage eine vollständige Liste der beauftragten Auftraggeber. Taxado hat das Recht, die Beauftragung eines bestimmten Auftragsverarbeiters bei Vorliegen wichtiger Gründe zu untersagen. Nicht als Leistungen von Subunternehmern im Sinne dieser Regelung gelten Dienstleistungen, die die Vertragsparteien bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nehmen, beispielsweise Telekommunikations-dienstleistungen und Wartungen. Die Parteien sind jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der personenbezogenen Daten auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
§ 17
Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.
§ 18
(1) Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen.
(2) Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind.