Wirksamkeitsdatum: 12. Juni 2018
Die hier aufgeführten Bedingungen gelten für jeden Vertrag (den „Vertrag„), in den sie durch einen Verweis aufgenommen wurden.
In Übereinstimmung mit der Datenschtz-Grundverordnung ((EU) 2016/679) („DSGVO„) legt dieser Datenschutznachtrag (dieses „Addendum„) die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten (wie unten definiert) durch Radancy gemäß dem Vertrag fest. Die hierin enthaltenen Bestimmungen gelten ausschließlich in dem Umfang, in dem die Datenverarbeitungsgesetzgebung auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet.
1. Definitionen
1.1 Die in der Vereinbarung definierten Begriffe haben die gleiche Bedeutung, wenn sie in diesem Addendum verwendet werden, es sei denn, sie sind nachstehend definiert. Darüber hinaus gelten die nachstehenden Definitionen für dieses Addendum.
Verantwortlicher: ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter: ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Datenschutzvorschrift: bezeichnet (i) die DSGVO und alle nationalen Umsetzungsgesetze, Verordnungen und abgeleiteten Rechtsvorschriften in ihrer jeweils geänderten oder aktualisierten Fassung; und (ii) im Vereinigten Königreich alle Nachfolgegesetze zur DSGVO und/oder zum Data Protection Act 1998.
Betroffene Person: hat die Bedeutung, die in der Definition von personenbezogenen Daten angegeben ist.
Personenbezogene Daten: sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Verarbeitung: bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
2. Datenschutz
- Beide Parteien werden alle geltenden Anforderungen der Datenschutzvorschrift einhalten. Diese Klausel 2.1 gilt als Ergänzung und entbindet, entfernt oder ersetzt die Verpflichtungen einer Partei gemäß Datenschutzvorschrift nicht.
- 2.2 Die Parteien erkennen an, dass im Sinne der Datenschutzvorschrift der Kunde der Verantwortliche und Radancy der Auftragsverarbeiter ist.
- 2.3 Artikel 3 dieses Nachtrags legt den Umfang, die Art und den Zweck der Verarbeitung durch Radancy, die Dauer der Verarbeitung sowie die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen fest.
- 2.4 Unbeschadet der Allgemeingültigkeit von Klausel 2.1 dieses Nachtrags stellt der Kunde sicher, dass er über alle erforderlichen angemessenen Zustimmungen und Mitteilungen verfügt, um die rechtmäßige Übermittlung der personenbezogenen Daten an Radancy für die Dauer und die Zwecke des TalentBrew-Vertrags zu ermöglichen.
- 2.5 Unbeschadet der Allgemeingültigkeit von Klausel 2.1 dieses Nachtrags wird Radancy in Bezug auf personenbezogene Daten, die im Zusammenhang mit der Erfüllung der Verpflichtungen von Radancy aus dem TalentBrew-Vertrag und/oder diesem Nachtrag verarbeitet werden:
- Diese personenbezogenen Daten ausschließlich auf schriftliche Anweisung des Kunden verarbeiten, es sei denn, Radancy ist nach dem Recht eines Mitgliedsstaates der Europäischen Union oder nach dem auf Radancy anwendbaren Recht der Europäischen Union zur Verarbeitung personenbezogener Daten verpflichtet („Anwendbares Recht„).
- Beruft sich Radancy auf das Recht eines Mitgliedstaates der Europäischen Union oder auf das Recht der Europäischen Union als Grundlage für die Verarbeitung personenbezogener Daten, wird Radancy den Kunden unverzüglich darüber informieren, bevor sie die nach den Anwendbaren Gesetzen erforderliche Verarbeitung vornimmt, es sei denn, die Anwendbaren Gesetze verbieten es Radancy, den Kunden entsprechend zu informieren.
- Sicherstellen, dass Radancy angemessene technische und organisatorische, vom Kunden überprüfte und genehmigte Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung personenbezogener Daten und vor versehentlichem Verlust oder versehentlicher Zerstörung oder Beschädigung personenbezogener Daten getroffen hat, die dem Schaden, der durch die unbefugte oder unrechtmäßige Verarbeitung oder den versehentlichen Verlust, die versehentliche Zerstörung oder Beschädigung entstehen könnte, und der Art der zu schützenden Daten angemessen sind, unter Berücksichtigung des Stands der Technik und der Kosten für die Durchführung der Maßnahmen (diese Maßnahmen können gegebenenfalls die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit ihrer Systeme und Dienste, die Sicherstellung, dass die Verfügbarkeit von und der Zugang zu personenbezogenen Daten nach einem Vorfall rechtzeitig wiederhergestellt werden kann, sowie die regelmäßige Bewertung und Evaluierung der Wirksamkeit der von ihr getroffenen technischen und organisatorischen Maßnahmen umfassen).
- Sicherstellen, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben und/oder diese verarbeiten, verpflichtet sind, die personenbezogenen Daten vertraulich zu behandeln.
- Keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums zu übertragen, es sei denn, die vorherige schriftliche Zustimmung des Kunden wurde eingeholt und die folgenden Bedingungen sind erfüllt:
- Radancy oder der Empfänger hat angemessene Sicherheitsvorkehrungen in Bezug auf die Übermittlung getroffen;
- die betroffene Person verfügt über durchsetzbare Rechte und wirksame Rechtsbehelfe;
- Radancy erfüllt seine Verpflichtungen im Rahmen der Datenschutzvorschrift, indem es ein angemessenes Schutzniveau für alle übertragenen personenbezogenen Daten gewährleistet;
- Radancy hält sich an die angemessenen Anweisungen, die ihm im Voraus vom Kunden in Bezug auf die Verarbeitung der personenbezogenen Daten mitgeteilt werden.
- Unterstützung des Kunden auf dessen Kosten bei der Beantwortung von Anfragen einer betroffenen Person und bei der Sicherstellung der Einhaltung seiner Verpflichtungen im Rahmen der Datenschutzvorschrift in Bezug auf Sicherheit, Benachrichtigungen über Datenschutzverletzungen, Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden oder Regulierungsbehörden
- den Kunden unverzüglich, in jedem Fall aber innerhalb von zweiundsiebzig (72) Stunden, zu benachrichtigen, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
- Auf schriftliche Anweisung des Kunden die personenbezogenen Daten und Kopien davon bei Beendigung der Vereinbarung zu löschen oder an den Kunden zurückzugeben, es sei denn, das geltende Recht verpflichtet zur Aufbewahrung der personenbezogenen Daten.
- Stellt dem Kunden alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und gestattet dem Kunden und seinen Drittvertretern, die Einhaltung dieses Zusatzes durch Radancy während der Laufzeit des TalentBrew-Vertrags mit einer Frist von mindestens fünf (5) Werktagen zu überprüfen. Radancy wird dem Kunden und seinen Drittvertretern alle angemessene und notwendige Unterstützung bei der Durchführung solcher Audits gewähren.
- 2.6 Ungeachtet des Vorstehenden erkennt der Kunde an und erklärt sich damit einverstanden, dass personenbezogene Daten vom Auftragsverarbeiter in die Vereinigten Staaten übermittelt und dort verarbeitet werden.
- 2.7 Der Kunde erklärt sich damit einverstanden, dass Radancy Drittverarbeiter von personenbezogenen Daten ernennt, wie in Artikel 3 dieses Nachtrags dargelegt. Radancy bestätigt, dass es mit dem Drittverarbeiter einen schriftlichen Vertrag abgeschlossen hat oder (gegebenenfalls) abschließen wird, der Bedingungen enthält, die im Wesentlichen den in diesem Artikel 2 dargelegten Bedingungen entsprechen. Im Verhältnis zwischen dem Kunden und Radancy haftet Radancy in vollem Umfang für alle Handlungen oder Unterlassungen eines von Radancy gemäß diesem Artikel 2.7 beauftragten Drittverarbeiters.
3. Verarbeitung durch Radancy
- In Verbindung mit Personalmarketingdiensten verarbeitet der Auftragsverarbeiter personenbezogene Daten wie folgt:
- UMFANG – Informationen, die über Formulare gesammelt werden, die über markengeschützte Job-Websites eingereicht werden, sowie Tracking-Technologien, die auf solchen Sites eingesetzt werden.
- ART – Radancy verarbeitet personenbezogene Daten, unter anderem durch Erfassung, Aufzeichnung, Strukturierung, Speicherung, Änderung, Abruf, Verwendung, Kombination, Löschung und Vernichtung ausschließlich zum Zweck der Erbringung von Dienstleistungen für den Kunden.
- ZWECK DER VERARBEITUNG – Zur Vermarktung von Stellenangeboten an Bewerber und zur Verbesserung von Marketingkampagnen für offene Stellen sowie zur Erstellung von Analyseberichten über die Wirksamkeit eines solchen Marketings.
- DAUER DER VERARBEITUNG – Laufzeit des TalentBrew-Vertrags.
- 3.2 Arten von personenbezogenen Daten: Vorname, Nachname, E-Mail-Adresse, Standort, Jobpräferenzen, zusammen mit vom Kunden zur Verfügung gestellten Bewerbungsdaten und IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, gerätespezifische Informationen, Verbindungsdaten und Standortdaten).
- 3.3 Kategorien von betroffenen Personen: Potenzielle Bewerber oder Bewerber für eine Beschäftigung beim Kunden.
- 3.4 Drittverarbeiter:
- Von Radancy beauftragte Drittverarbeiter. Der Kunde erkennt an und erklärt sich damit einverstanden, dass der Auftragsverarbeiter die auf der Website des Auftragsverarbeiters unter www.Radancy.com/gdpr aufgeführten Drittverarbeiter einsetzt. Änderungen an Drittverarbeitern werden rechtzeitig auf der Website bekannt gegeben, dass der Kunde die Möglichkeit hat, diesen Änderungen zu widersprechen. Erhebt der Kunde keine Einwände, so wird davon ausgegangen, dass er der Änderung zugestimmt hat.
- Andere vom Kunden beauftragte Datenverarbeiter. Radancy wird die angemessenen Anweisungen des Kunden zur Zusammenarbeit mit Drittverarbeitern, die direkt vom Kunden beauftragt wurden, befolgen, einschließlich, aber nicht beschränkt auf die Platzierung von Tracking-Tags dieser Drittverarbeiter für den Kunden. Der Kunde erklärt sich damit einverstanden, sicherzustellen, dass diese Dritten alle anwendbaren Datenschutzgesetze einhalten, und wird Radancy von allen Ansprüchen oder Verlusten, die sich aus der Nichteinhaltung aller anwendbaren Datenschutzvorschriften durch diese Drittverarbeiter ergeben, entschädigen und schadlos halten.