AUFTRAGSVERARBEITUNG

XXtalents verarbeitet personenbezogene Daten im Auftrag des Kunden im Sinne des Art. 28 Datenschutzgrundverordnung („DSGVO“) nach den folgenden Bestimmungen. Die vorliegende AVV gilt insoweit für den Kunden, als er die hier beschriebenen Produkte nutzt.

1.           Art der Verarbeitung

Die Beschreibung der Verarbeitungen, bei denen XXtalents als Auftragsdatenverarbeiter für den Kunden tätig wird, sowie die von der Verarbeitung betroffenen Personen, die Art der personenbezogenen Daten, der Zweck und die Dauer der Verarbeitung, befinden sich in Anlage 1 zu dieser AVV.

2.           Rahmen der Verarbeitung

XXtalents verarbeitet personenbezogenen Daten ausschließlich im Rahmen eines Auftrags und gemäß den dokumentierten Weisungen des Kunden. Es sei denn, es liegt ein Ausnahmefall im Sinne von Art. 28 (3) lit. a DSGVO vor.

3.           Ort der Verarbeitung

Die Auftragsverarbeitung erfolgt in Mitgliedsstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, soweit nicht eine anderweitige Weisung erteilt wurde und eine Übermittlung nach den Regelungen der Art. 44 bis 49 DSGVO zulässig ist. Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Kunden und bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DSGVO. Der Kunde gestattet eine Datenübermittlung in ein Drittland an die in Anlage 2 genannten Empfänger. In der Anlage werden die vom Kunden genehmigten Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus aus Art. 44 ff. DSGVO im Rahmen der Unterbeauftragung spezifiziert. Soweit der Kunde eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DSGVO verantwortlich.

4.           Pflichten des Kunden als Auftraggeber

Der Kunde ist gemäß Art. 4 Nr. 7 DSGVO Verantwortlicher im datenschutzrechtlichen Sinne für die von XXtalents vertragsgemäß erhobenen und verarbeiteten personenbezogenen Daten. Der Kunde informiert XXtalents unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. Der Kunde führt ein Verzeichnis für Verarbeitungstätigkeiten gemäß Art. 30 (1) DSGVO.

5.           Pflichten von XXtalents als Auftragnehmer

XXtalents informiert den Kunden unverzüglich, wenn XXtalents der Auffassung ist, dass eine Weisung vom Kunden gegen anwendbare Gesetze verstößt. XXtalents darf die Umsetzung der Weisung so lange aussetzen, bis diese vom Kunden als zulässig bestätigt wurde oder abgeändert wurde.

XXtalents hält die Bestimmungen dieser Auftragsverarbeitungsvereinbarung und einschlägige anwendbare Datenschutzrechte, insbesondere der DSGVO, ein. XXtalents trifft geeignete technische und organisatorische Maßnahmen entsprechend den einschlägigen Datenschutzgesetzen, insbesondere deren Art. 32 DSGVO, um die personenbezogenen Daten der Betroffenen und ihre Rechte und Freiheiten unter Berücksichtigung von Implementierungskosten, dem Stand der Technik, Art, Umfang und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos zu schützen. Diese Schutzmaßnahmen sind in der Übersicht zu technisch-organisatorischen Maßnahmen festgehalten, welche unter Anlage 3 eingesehen werden können. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist XXtalents zur Wirkungsüberprüfung und entsprechender Anpassung bei Fortschritten nach dem Stand der Technik verpflichtet. Alternative Sicherheitsmaßnahmen sind gestattet, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und dem Kunden unverzüglich anzuzeigen. Werden die Maßnahmen so geändert, sodass diese keinen gleichwertigen oder einen höheren Schutz der Daten garantieren können, hat der Kunde nach erfolgloser Erteilung von Weisungen das Recht zur außerordentlichen Kündigung in Bezug auf die nach diesen Zusatzbedingungen zur Auftragsverarbeitung erfassten Leistungen. Gleiches gilt bei unterlassener Anzeige solcher Änderungen. Alle Personen, die auftragsgemäß auf im Auftrag des Kunden verarbeitete personenbezogene Daten zugreifen können, sind gemäß Art. 28 (3) lit. b DSGVO zur Vertraulichkeit zu verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung zu belehren.

XXtalents ist zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage von XXtalents leicht zugänglich hinterlegt.

XXtalents gewährleistet den Schutz der Rechte betroffener Personen und unterstützt den Kunden im notwendigen Umfang bei der Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten gemäß Art. 12 bis 23 DSGVO. XXtalents informiert den Kunden unverzüglich, falls sich ein Betroffener zum Zwecke der Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner personenbezogenen Daten unmittelbar an XXtalents wendet.

XXtalents unterstützt den Kunden bei der Durchführung von Datenschutz- Folgenabschätzungen gemäß Art. 35 DSGVO und der daraus resultierenden Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO im notwendigen Umfang.

XXtalents unterstützt den Kunden im Hinblick auf die Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzverletzungen im Sinne von Art. 33 und 34 DSGVO. XXtalents unterrichtet den Kunden unverzüglich in Textform bei Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO im Zusammenhang mit der Datenverarbeitung oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten für den Kunden. XXtalents hat im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen, soweit die Datenschutzverletzung in der Verantwortung von XXtalents lag. Bei Ermittlungen der Datenschutzbehörde bei XXtalents, ist der Kunde – soweit diese Ermittlungen den Vertragsgegenstand betreffen – unverzüglich zu informieren.

Für den Fall, dass XXtalents eine Verarbeitung von Daten vom Kunden – einschließlich einer Übermittlung in ein Drittland oder an eine internationale Organisation – beabsichtigt, ohne hierzu vom Kunden angewiesen worden zu sein, d.h. weil XXtalents hierzu entsprechend Art. 28 (3) S. 1 lit. a DSGVO verpflichtet ist, wird XXtalents den Kunden unverzüglich über Zweck, Rechtsgrund und betroffene Daten informieren, soweit und solange XXtalents eine solche Mitteilung nicht gesetzlich untersagt ist.

6.           Überprüfungen einschließlich Inspektionen

XXtalents stellt dem Kunden alle erforderlichen Informationen zum Nachweis der in diesem Vertrag niedergelegten Pflichten zur Verfügung. XXtalents ermöglicht dem Kunden vor Beginn und während der Laufzeit dieser Vereinbarung und nach angemessener vorherige Ankündigung sowie während der üblichen Geschäftszeiten (9:00-17.00 Uhr) die Durchführung von Überprüfungen, einschließlich Inspektionen nach Maßgabe des Art. 28 (3) lit. h DSGVO. Der Kunde ist berechtigt, sich selbst oder durch geeignete, zur Berufsverschwiegenheit verpflichtete Dritte vor Beginn und während der Auftragsverarbeitung, nach rechtzeitiger Anmeldung in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis dieser Überprüfungen wird jeweils dokumentiert und ist von beiden Parteien zu unterschreiben. Zum Nachweis der technischen und organisatorischen Maßnahmen kann XXtalents auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.

7.           Weitere Auftragsverarbeiter

Mit Erteilung des Auftrags werden die im unter untenstehender Anlage 2 abrufbaren Unterauftragnehmerverzeichnis aufgelisteten Unterauftragsverarbeiter genehmigt. XXtalents kann Aufträge an weitere Auftragsverarbeiter (Unterauftragsverarbeiter) vergeben, indem XXtalents den Kunden vorab über die Hinzuziehung oder Ersetzung neuer Unterauftragsverarbeiter durch Mitteilung über die Änderung des Unterauftragsverzeichnisses in Textform informiert und der Kunde binnen 4 Wochen keinen Einspruch erhebt. Im Falle eines Einspruches ist XXtalents berechtigt, die Leistung, einzustellen. XXtalents hat den Unterauftragsverarbeitern dieselben Datenschutzpflichten aufzuerlegen, die in dieser Auftragsverarbeitungsvereinbarung festgelegt sind, so dass die Verarbeitung den Anforderungen der DSGVO entspricht.

Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); wenn der neue Unterauftragsnehmer die vertraglichen Regelungen diese Auftragsverarbeitungsvertrag nicht erfüllt.

Dienstleistungen, die bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch genommen werden, gelten nicht als Unterauftragsverarbeiter. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. XXtalents ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten vom Kunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Überprüfungsmaßnahmen zu ergreifen.

8.           Löschung und Rückgabe von personenbezogenen Daten

XXtalents erstellt Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Kunden – spätestens aber mit Beendigung der Leistungsvereinbarung – hat XXtalents sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten.

Anlage 1 zur XXtalents Auftragsverarbeitung – Prozessbeschreibung

1.           Kommentarfunktion in der Lebenslaufdatenbank

• • Beschreibung der Verarbeitung

XXtalents verarbeitet personenbezogene Daten im Auftrag des Kunden, soweit die Kommentarfunktion der XXtalents Lebenslaufdatenbank durch den Kunden genutzt wird. Mithilfe der Lebenslaufdatenbank ist es dem Kunden möglich, Profile von Kandidaten*innen einzusehen und insbesondere Kommentare zu den jeweiligen Profilen zu speichern. Nur für den Fall der Nutzung der Kommentarfunktion (Speicherung der jeweiligen Kommentare zu einem Kandidaten*innen Profil), verarbeitet XXtalents personenbezogene Daten im Auftrag des Kunden. Im Übrigen wird festgehalten, dass die weiteren Leistungen im Rahmen der Lebenslaufdatenbank nicht als Auftragsverarbeitung erfolgen, hier stellt XXtalents lediglich die von Kandidat*innen bei XXtalents gespeicherten Inhalte bereit und bleibt datenschutzrechtlich Verantwortlicher. Soweit der Kunde diese Daten nutzt, wird er gegebenenfalls weiterer Verantwortlicher.

• • Betroffene Personen

Sind Kandidat*innen, an deren Lebensläufe Kommentare durch den Kunden hinterlegt werden.

• • Art der Daten

Es werden solche personenbezogenen Daten über Kandidaten*innen verarbeitet, die der Kunde über Kandidat*innen erlangt hat und den Profilen hinzufügt.

• • Zweck der Datenverarbeitung

Die Verarbeitung personenbezogener Daten, erfolgt zum Zweck der Organisation des Bewerbungsprozesses und um Kunden das Management bei der Suche von Kandidaten*innen zu erleichtern.

• • Dauer der Verarbeitung

Die Dauer der Auftragsverarbeitung entspricht der Dauer der Nutzung der jeweiligen Dienstleistungen. Entfernen Kandidat*innen ihren Lebenslauf aus der Datenbank, so werden Kommentare zum entsprechenden Lebenslauf gelöscht.

XXtalents Kundencenter

• • Beschreibung der Verarbeitung

Im XXtalents Kundencenter kann der Kunde ein Kundenkonto anlegen, auf das auch mehrere User des Kunden zugreifen können. Im XXtalents Kundencenter kann der Kunde Stellenanzeigen anlegen und auf der XXtalents Plattform veröffentlichen. Wenn Kandidat*innen sich auf diese Stellen über die XXtalents-Plattform bewerben, werden diese Bewerbungen an das XXtalents Kundenkonto geschickt, um dort vom Kunden verwaltet zu werden. Im Rahmen dieser Verwaltung kann der Kunde im Kundenkonto Notizen zu dem Bewerber*innen anlegen, Organisationszugehörigen des Kunden die Bewerbungen zugänglich machen, Nachrichten versenden, Bewerbungsgespräche vereinbaren, sowie Kandidat*innen ab- und zusagen

• • Betroffene Personen

Die Betroffenen sind in diesem Zusammenhang Personen, die sich auf die Stellen der Kunden bewerben und im XXtalents Kundencenter hinterlegt sind oder solche, deren Nutzerprofile die Kunden mit eigenen Kommentaren versehen können, sowie Mitarbeitende des Kunden, die Zugriff oder Zugang zum Kundencenter durch den Kunden erhalten.

• • Art der Daten

Im Kundencenter werden die personenbezogenen Daten der Kandidat*innen verarbeitet, die die Kandidat*innen mit ihrer Bewerbung an den Kunden teilen. Darunter fallen insbesondere Name, Kontaktdaten und Lebenslauf, sowie weitere Notizen zu den Kandidaten*innen, die die Kunden innerhalb des XXtalents Kundencenters zu den jeweiligen Kandidat*innen anfertigen, sowie der Bewerbungsstatus.

• • Zweck der Datenverarbeitung

Die Verarbeitung personenbezogener Daten, erfolgt zum Zweck der Organisation des Bewerbungsprozesses und um Kunden das Management bei der Suche von Kandidaten*innen zu erleichtern.

• • Dauer der Verarbeitung

Die Dauer der Auftragsverarbeitung entspricht der Dauer der Nutzung der jeweiligen Dienstleistungen. In diesem Fall werden die Bewerber*innendaten 3 Monate nach Beendigung des Bewerbungsverfahrens, spätestens jedoch 6 Monate nach Eingang der jeweiligen Bewerbung gelöscht, wenn keine Anhaltspunkte für die Beendigung des Bewerbungsverfahrens vorliegen.

Anlage 2

XXtalents setzt zur Durchführung der Verarbeitung ein externes Rechenzentrum als Unterauftragnehmer ein. Der Unterauftragnehmer wird ausschließlich unter der Maßgabe eingesetzt, dass er die vertraglich vereinbarten Datenschutzstandards und Sicherheitsmaßnahmen einhält und die gesetzlichen Anforderungen nach Art. 28 DSGVO erfüllt. XXtalents verpflichtet den Unterauftragnehmer entsprechend und überwacht die Einhaltung dieser Verpflichtungen regelmäßig.

HostPress GmbH
Bahnhofstraße 34
66571 Eppelborn

Anlage 3 zur XXtalents Auftragsverarbeitung – technisch- organisatorischen Maßnahmen

1.           Vertraulichkeit (Art. 32 (1) lit. b DSGVO)

• Zutrittskontrolle:
  Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, gewährleistet durch eine mehrschichtige Sicherheitsstruktur der Datencenter bestehend aus Überwachungsmaßnahmen, mehrstufigen physischen Barrieren und logischen Zutrittsbarrieren.
• Zugangskontrolle:
  Keine unbefugte Systembenutzung wird durch eine hierarchisches Berechtigungskonzept gewährleistet, so Unbefugte weder logischen noch physischen Zugriff auf die Daten des Kunden erlangen können. Dazu werden entsprechende Zutrittkontrollsystem eingesetzt (physischer Zugang) und über ein mehrstufiges Berechtigungssystem für Wartungs- und Administrationspersonal verhindert, dass Unbefugte Zugriff auf Kundendaten erlangen können.

• Zugriffskontrolle:
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems ist sichergestellt, in dem der Kunde ausschließlich auf die in seinem Auftrag verarbeiteten Daten zugreifen kann, nachdem er sich in den Kundenbereich mit dem von ihm definierten Passwort eingeloggt hat. XXtalents speichert die Log-In Details ausschließlich in verschlüsselter Form. Der Datenfluss zwischen Nutzern und dem System ist standardmäßig Ende-zu-Ende verschlüsselt. Nur spezifisch definiertes XXtalents- Personal kann auf Daten zugreifen, die im Auftrag des Kunden verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Kunden erforderlich ist.

• Trennungskontrolle:
  Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, gewährleistet durch die Mandantenfähigkeit des XXtalents Kundencenter, so dass jeder einzelne eingeloggte Kunde nur die Daten einsehen kann, die mit seinem Account verbunden sind und/oder die er explizit zur Einsicht durch andere  Kunden freigegeben hat.
• Pseudonymisierung
  Pseudonymisierung (Art. 32 (2) lit. a DSGVO; Art. 25 (1) DSGVO): Ist nicht einschlägig, da der Kunde einen nicht-pseudonymisierten Zugriff auf die Daten benötigt.

2.           Integrität (Art. 32 (1) lit. b DSGVO)

2.1.
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, gewährleistet durch: Sämtliche über öffentlich zugängliche Netzwerke gesendete Daten sind Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird

2.2.
Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind, gewährleistet durch: Das XXtalents System protokolliert die Aktivitäten eines jeden Log- Ins und Log-Outs sowie jegliche Bearbeitung, Hinzufügung, Veränderung und Löschung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).

3.           Verfügbarkeit und Belastbarkeit (Art. 32 (1) lit. b DSGVO)

3.1.
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, ist neben dem physischen und logischen Zutrittschutz durch den Einsatz von Antivirusprorammen, Firewalls und Überwachungssoftwarekomponenten gewährleistet.

3.2.
Rasche Wiederherstellbarkeit (Art. 32 (1) lit. c DSGVO), wird u.a. gewährleistet durch

• • Back-up Prozeduren;
  • Getrennte Speicherung;
  • Virenschutz und Firewalls;
  • Notfallpläne und Krisenpläne;
  • Mitarbeiterschulungen;

4.           Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32)

(1) lit. d DSGVO; Art. 25 (1) DSGVO), wird gewährleistet durch:

4.1.
XXtalents veranstaltet regelmäßige Prüfungen mit externen Dienstleistern, um seine Datensicherheitsstandards und-prozesse zu prüfen.

4.2.
Unsere Datenschutzmaßnahmen werden kontinuierlich in einem PDCA-Zyklus überprüft.