Vereinbarung zur Datenverarbeitung

VEREINBARUNG ÜBER DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Wir sind Jobbatical OÜ, ein estnisches Unternehmen mit der Registernummer 12671900 (Jobbatical, wir, uns und unser). Wir betreiben eine Online-Plattform unter https://app.jobbatical.com (die Plattform), um bestimmte Dienstleistungen im Zusammenhang mit der Umsiedlung von Arbeitnehmern/zukünftigen Arbeitnehmern sowie deren Familienangehörigen von einem Land an den Arbeitsort in einem anderen Land (die Dienstleistungen) anzubieten.

Der Begriff "Kunde" oder "Sie" bezieht sich auf eine juristische Person, die in dem von Jobbatical und dem Kunden unterzeichneten Dienstleistungsvertrag (der Dienstleistungsvertrag) als Kunde genannt wird. Diese Vereinbarung über die Verarbeitung personenbezogener Daten (die DSGVO) ist Teil eines Dienstleistungsvertrags zwischen Jobbatical und dem Kunden (jeweils auch eine Partei und zusammen die Parteien).

Im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen des Dienstleistungsvertrags verarbeitet Jobbatical bestimmte personenbezogene Daten im Namen des Kunden. Um die sichere, korrekte und rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten, haben die Parteien vereinbart, den Dienstleistungsvertrag zu ergänzen und diese DPA als Teil des Dienstleistungsvertrags abzuschließen.

Im Falle eines Widerspruchs zwischen einem anderen Dokument, das Teil des Dienstleistungsvertrags ist, und dieser Datenschutzrichtlinie in Bezug auf die Verarbeitung personenbezogener Daten hat die Datenschutzrichtlinie Vorrang und ist anwendbar.

1. ALLGEMEINE BESTIMMUNGEN

  1.1 Die in der DSGVO verwendeten Begriffe werden in der Bedeutung verwendet, die ihnen in Artikel 4 der Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO) oder in der Bedeutung, die ihnen in der Dienstleistungsvereinbarung gegeben wird.  

  1.2 Im Zusammenhang mit Artikel 28 GDPR ist der Kunde der Datenverantwortliche für die persönlichen Daten, die Jobbatical im Zuge der Erbringung der Dienstleistungen übermittelt oder zur Verfügung gestellt werden, und Jobbatical ist der Datenverarbeiter.

2. ALLGEMEINE VERPFLICHTUNGEN VON JOBBATICAL

  2.1 Jobbatical verarbeitet personenbezogene Daten nur in Übereinstimmung mit dem geltenden Recht, den Bestimmungen des Dienstleistungsvertrags und den Bestimmungen dieser DPA.

  2.2 Jobbatical verarbeitet personenbezogene Daten nur für die in Anhang A dieser Datenschutzrichtlinie beschriebenen Zwecke.

  2.3 Jobbatical verarbeitet personenbezogene Daten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, einschließlich derjenigen in dieser DPA.

  2.4 Sofern dies nach geltendem Recht erforderlich ist, benennt Jobbatical einen zuständigen Datenschutzbeauftragten in Übereinstimmung mit dem geltenden Recht.

  2.5 Jobbatical führt Aufzeichnungen über alle Datenverarbeitungstätigkeiten, die im Auftrag des Kunden durchgeführt werden. Die Aufzeichnungen über die Datenverarbeitungstätigkeiten müssen den in Artikel 30 (2) der DSGVO festgelegten Anforderungen genügen.

  2.6 Auf Anfrage des Kunden stellt Jobbatical dem Kunden unverzüglich und kostenlos, spätestens jedoch innerhalb von 15 (fünfzehn) Werktagen nach der Anfrage des Kunden, die in Abschnitt 2.5 beschriebenen Unterlagen über die im Auftrag des Kunden verarbeiteten personenbezogenen Daten zur Verfügung.

  2.7 Jobbatical wird unter Berücksichtigung der Art der Verarbeitung in angemessener Weise mit dem Kunden zusammenarbeiten und ihn durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um auf Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen des DSG zu reagieren. Falls eine solche Anfrage direkt an Jobbatical gerichtet wird, wird Jobbatical ohne vorherige Genehmigung des Kunden nicht direkt auf eine solche Mitteilung reagieren, es sei denn, es besteht eine gesetzliche Verpflichtung dazu. Wenn Jobbatical verpflichtet ist, auf eine solche Anfrage zu antworten, wird Jobbatical den Kunden unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zukommen lassen, sofern dies nicht gesetzlich verboten ist.

  2.8 Jobbatical unterstützt den Kunden bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO unter Berücksichtigung der Art der Verarbeitung und der Jobbatical zur Verfügung stehenden Informationen.

3. ALLGEMEINE PFLICHTEN DES AUFTRAGGEBERS

  3.1 Der Kunde garantiert, dass er bei der Übermittlung von personenbezogenen Daten an Jobbatical über eine angemessene Rechtsgrundlage für die Übermittlung dieser personenbezogenen Daten an Jobbatical verfügt.

  3.2 Der Kunde garantiert, dass Jobbatical bei der Übermittlung personenbezogener Daten an Jobbatical berechtigt ist, diese personenbezogenen Daten für die Zwecke der Erfüllung des Dienstleistungsvertrags weiter zu verarbeiten.

  3.3 Der Kunde garantiert bei der Übermittlung von persönlichen Daten an Jobbatical, dass alle vom Kunden an Jobbatical übermittelten persönlichen Daten korrekt, wahrheitsgemäß, relevant und für die Erfüllung des Dienstleistungsvertrags erforderlich sind.

4. VERTRAULICHKEIT

  4.1 Jobbatical gewährleistet die Vertraulichkeit der im Auftrag des Kunden verarbeiteten personenbezogenen Daten.

  4.2 Jobbatical sorgt dafür, dass keine unbefugten Dritten Zugang zu den im Namen des Kunden verarbeiteten personenbezogenen Daten haben.

  4.3 Jobbatical sorgt dafür, dass alle Vertreter, Mitarbeiter von Jobbatical und andere Personen, die über Jobbatical mit den im Auftrag des Kunden verarbeiteten personenbezogenen Daten in Berührung kommen, der vertraglich oder gesetzlich festgelegten Geheimhaltungspflicht unterliegen, und Jobbatical sorgt dafür, dass ihre Vertreter, Mitarbeiter und andere Personen, die zu ihren Gunsten handeln, die vollständige Vertraulichkeit der personenbezogenen Daten wahren.

  4.4 Jobbatical stellt sicher, dass alle Vertreter und Mitarbeiter von Jobbatical, die mit den im Namen des Kunden verarbeiteten personenbezogenen Daten in Berührung kommen, eine angemessene Schulung und Unterweisung für die Verarbeitung personenbezogener Daten in Übereinstimmung mit dem Dienstleistungsvertrag, dem DSG und dem geltenden Recht erhalten haben.

5. SICHERHEITSMASSNAHMEN

  5.1 Jobbatical gewährleistet die Sicherheit der Verarbeitung personenbezogener Daten, um diese vor versehentlicher oder unbefugter Verarbeitung, Offenlegung oder Zerstörung zu schützen, indem es die in Artikel 32 der DSGVO geforderten Maßnahmen umsetzt.

  5.2 Unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Daten sowie des Risikos für die Rechte und Freiheiten natürlicher Personen, das sich aus der Verarbeitung personenbezogener Daten mit unterschiedlicher Wahrscheinlichkeit und Schwere ergeben kann, wendet Jobbatical bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen an, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Eine detailliertere Beschreibung der technischen und organisatorischen Maßnahmen findet sich in Anhang B zu dieser Datenschutzrichtlinie.        

6. AUDIT

  6.1 Der Kunde hat das Recht, einmal alle zwölf (12) Monate nach vorheriger schriftlicher Ankündigung mit einer Frist von fünfzehn (15) Arbeitstagen die für die Erfüllung der DPA relevanten Tätigkeiten von Jobbatical zu überprüfen. Wenn der vom Kunden vorgeschlagene Termin für Jobbatical nicht geeignet ist, kann der Kunde einen anderen Termin festlegen, der nicht später als fünfzehn (15) Arbeitstage nach dem ursprünglichen Termin liegen darf. Die Audit-Methode wird von den Parteien vor der Durchführung des Audits festgelegt. Die Kosten des Audits gehen zu Lasten des Auftraggebers.

  6.2 Die Prüfung muss an einem Werktag während der Arbeitszeit von Jobbatical durchgeführt werden und darf den Geschäftsablauf von Jobbatical nicht unangemessen stören oder die Vertraulichkeit von Informationen Dritter, die sich im Besitz von Jobbatical befinden, gefährden. Jobbatical verpflichtet sich, nach Treu und Glauben mit dem Kunden zusammenzuarbeiten, an Inspektionen und Prüfungen durch den Kunden mitzuwirken und dem Kunden die Informationen in Bezug auf diese DSGVO zur Verfügung zu stellen, die der Kunde vernünftigerweise anfordert, um nachzuweisen, dass er in Übereinstimmung mit der DSGVO gehandelt hat.

7. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

  7.1 Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Jobbatical den Kunden so schnell wie möglich darüber informieren. Jobbatical sendet dem Kunden eine Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten, die die folgenden Informationen enthält:

     7.1.1 eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;    

     7.1.2 den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson von Jobbatical, falls zutreffend;

     7.1.3 die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten, einschließlich der voraussichtlichen Folgen für die betroffene Person;

     7.1.4 Maßnahmen, die Jobbatical ergriffen hat oder ergreifen will, um die Verletzung des Schutzes personenbezogener Daten zu beheben oder deren mögliche nachteilige Auswirkungen abzumildern.

  7.2. Jobbatical sendet die in Abschnitt 7.1 genannte Benachrichtigung unverzüglich und nach Möglichkeit innerhalb von 48 Stunden nach Auftreten der Verletzung des Schutzes personenbezogener Daten an den Kunden.

  7.3. Falls und soweit Jobbatical nicht in der Lage ist, dem Kunden die in Abschnitt 7.1 beschriebenen Informationen innerhalb der in Abschnitt 7.2 genannten Frist zu übermitteln, kann Jobbatical dem Kunden die Informationen schrittweise, aber ohne unangemessene weitere Verzögerung unter Angabe einer Begründung für die Verzögerung übermitteln.

  7.4. Jobbatical arbeitet umfassend mit dem Kunden zusammen, um Verletzungen des Schutzes personenbezogener Daten zu verhindern. Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet Jobbatical uneingeschränkt mit dem Kunden zusammen, um die Verletzung des Schutzes personenbezogener Daten so effizient und schnell wie möglich zu beheben und/oder ihre möglichen negativen Auswirkungen abzumildern.

  7.5. Jobbatical dokumentiert alle Verletzungen des Schutzes personenbezogener Daten, einschließlich der Fakten der Verletzung des Schutzes personenbezogener Daten, ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen.

8. RÜCKGABE, LÖSCHUNG UND VERNICHTUNG VON PERSONENBEZOGENEN DATEN

  1. Auf Anfrage des Kunden und/oder nach Beendigung des Dienstleistungsvertrags löscht Jobbatical alle im Namen des Kunden verarbeiteten personenbezogenen Daten innerhalb von vierzehn (14) Kalendertagen, es sei denn, Jobbatical hat eine Rechtsgrundlage für die Aufbewahrung bestimmter Daten.

9. UNTERAUFTRAGSVERARBEITER UND ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER

  9.1. Der Kunde erteilt Jobbatical eine allgemeine Erlaubnis, die im Rahmen dieser DPA durchgeführte Verarbeitung personenbezogener Daten an Unterauftragsverarbeiter zu vergeben, sofern:

     9.1.1. die Beauftragung des Unterauftragsverarbeiters für die Erbringung der Dienstleistungen erforderlich ist;

     9.1.2. Jobbatical hat eine schriftliche Vereinbarung abgeschlossen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser DPA. Jobbatical haftet für etwaige Verstöße des Unterauftragsverarbeiters gemäß den Bestimmungen dieser DPA;

    9.1.3. Jobbatical wird die Sicherheits-, Datenschutz- und Vertraulichkeitspraktiken eines Unterauftragsverarbeiters vor seiner Auswahl bewerten, um sicherzustellen, dass er in der Lage ist, das in dieser DSGVO geforderte Schutzniveau für personenbezogene Daten zu gewährleisten. Bei der Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums stellt Jobbatical sicher, dass die personenbezogenen Daten entweder in ein Land übermittelt werden, für das die Europäische Kommission entschieden hat, dass das Land ein angemessenes Schutzniveau gewährleistet, oder, falls es keinen Angemessenheitsbeschluss über das Land, das Gebiet oder den Sektor für die Übermittlung gibt, stellt Jobbatical sicher, dass die Übermittlung den in der DSGVO aufgeführten angemessenen Garantien unterliegt.

  9.2. Die Liste der Unterauftragsverarbeiter, die der Kunde zum Zeitpunkt des Abschlusses dieser DPA genehmigt hat, ist in Anhang C dieser DPA aufgeführt. Jobbatical informiert den Kunden über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch anderer Unterauftragsverarbeiter und gibt dem Kunden die Möglichkeit, diesen Änderungen zu widersprechen. Es wird davon ausgegangen, dass der Kunde mit den Änderungen bei den Unterauftragsverarbeitern einverstanden ist, sofern er nicht innerhalb von zehn (10) Arbeitstagen nach Erhalt der Mitteilung Einspruch erhebt.

  9.3. Wenn Jobbatical Unterauftragsverarbeiter einsetzt, übernimmt Jobbatical die volle Verantwortung dafür, dass der Unterauftragsverarbeiter personenbezogene Daten in Übereinstimmung mit dem geltenden Recht und dieser DSGVO verarbeitet.

10. HAFTUNG JA SCHADENSERSATZ

  1. Jobbatical übernimmt die Haftung für Schäden, Bußgelder oder andere Forderungen im Zusammenhang mit der Verletzung des Dienstleistungsvertrags, des DSG oder der geltenden Gesetze durch Jobbatical.

  2. Jobbatical haftet in keinem Fall für ein dem Kunden auferlegtes Bußgeld, einen dem Kunden zugefügten Schaden oder eine gegenüber dem Kunden geltend gemachte Forderung, wenn diese auf einem Verstoß des Kunden beruhen und/oder wenn Jobbatical diesen Verstoß nicht begangen hat.

  3. Der Kunde haftet für Schäden, Bußgelder oder andere Forderungen im Zusammenhang mit der Verletzung des Dienstleistungsvertrags, des DSG oder der Anforderungen des geltenden Rechts durch den Kunden.      

11. VALIDITÄT

  1. Die DPA gilt ab dem Zeitpunkt des Abschlusses des Dienstleistungsvertrags, bis Jobbatical personenbezogene Daten im Auftrag des Kunden verarbeitet, oder bis zum Ende der Laufzeit des Dienstleistungsvertrags, je nachdem, welcher Zeitpunkt später eintritt.

12. SCHLUSSBESTIMMUNGEN

  1. Die DPA unterliegt dem Recht der Republik Estland.

  2. Streitigkeiten, die sich aus der DPA ergeben, werden durch Verhandlungen oder vor estnischen Gerichten beigelegt, wobei das Bezirksgericht Harju die erste Instanz ist.

________________

ANHANG A zum DPA

1. ZWECK DER DATENVERARBEITUNG

Erbringung der Umzugsdienstleistungen für den Kunden gemäß dem Dienstleistungsvertrag.

2. DATENSUBJEKTE

Die vom Kunden benannten Nutzer der Plattform.

3. KATEGORIEN VON PERSONENBEZOGENEN DATEN

Vorname, Nachname, E-Mail-Adresse.

4. VERARBEITUNGSPROZESSE

Jobbatical verarbeitet die personenbezogenen Daten auf der Plattform, um den Mitarbeitern des Kunden und anderen Auftragnehmern die Nutzung der Plattform im Rahmen der Erfüllung des Dienstleistungsvertrags zu ermöglichen.

5. BEARBEITUNGSZEITRAUM

Die Laufzeit des Dienstleistungsvertrags und maximal vierzehn (14) Tage nach Beendigung des Dienstleistungsvertrags, es sei denn, Jobbatical hat nach geltendem Recht das Recht oder die Pflicht, Daten für einen längeren Zeitraum aufzubewahren.

                                 

________________

   

ANHANG B zum DPA - Technische und organisatorische Maßnahmen
1. PRAKTIKEN UND GRUNDSÄTZE DER INFORMATIONSSICHERHEIT

  1. Jobbatical sorgt für ein methodisches und zielgerichtetes Informationssicherheitsmanagement in seiner Organisation, vorzugsweise auf der Grundlage eines allgemein anerkannten Standards (z. B. ISO/IEC 27001, CIS Security Controls, estnischer nationaler Informationssicherheitsstandard E-ITS), der Folgendes gewährleistet:

     1. das Risikomanagement der Informationssicherheit;

     2. zugewiesene Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit;

     3. Zugangsverwaltung;

     4. Management von Informationssicherheitsvorfällen;

     5. Verwaltung der Endpunktsicherheit;

     6. Verwaltung der Kryptographie;

     7. regelmäßige Überprüfung der Maßnahmen zur Informationssicherheit.

  2. Das Personal von Jobbatical muss mindestens einmal jährlich eine Schulung zur Informationssicherheit absolviert haben oder auf andere Weise (z. B. durch Beibehaltung von Informationssicherheitszertifikaten) seine Kompetenz in Sachen Informationssicherheit sicherstellen.

  3. Jobbatical setzt die Anforderungen an das Informationssicherheitsmanagement in seiner gesamten Lieferkette um, soweit dies die personenbezogenen Daten des Kunden betreffen kann.

  4. Der Kunde hat das Recht, das Informationssicherheits-Managementsystem und die Informationssicherheitsmaßnahmen von Jobbatical zu überprüfen, soweit diese die personenbezogenen Daten des Kunden betreffen können.

2. INFORMATIONS- UND ZUGANGSMANAGEMENT

  1. Jobbatical muss den unbefugten Zugang zu vertraulichen Informationen verhindern.

  2. Die Unterlagen müssen mit Klassifizierungsetiketten versehen werden, wenn der Kunde besondere Anweisungen erteilt hat.

  3. Informationen, die in den Informationssystemen des Kunden gespeichert sind und ausschließlich dort verarbeitet werden sollen, dürfen nicht in die Systeme von Jobbatical kopiert werden, sofern nichts anderes vereinbart wurde.

  4. Die Verwaltung des Zugangs zu vertraulichen Informationen muss auf der Grundlage der Notwendigkeit des Wissens und des Prinzips der geringsten Privilegien erfolgen.

  5. Vertrauliche Informationen dürfen nur in verschlüsselter Form über das Internet übertragen werden (z. B. verschlüsselte E-Mail-Anhänge, HTTPS-Websitzungen, TLS-geschützte Tools für die Zusammenarbeit, VPN-Verbindungen).

  6. Vertrauliche Informationen dürfen nur in verschlüsselter Form gespeichert werden (z. B. vollständige Festplattenverschlüsselung, verschlüsselte Dateien, verschlüsselte Datenbank).

  7. Jobbatical wird den Kunden unverzüglich über die Notwendigkeit der Schließung des Benutzerkontos informieren, wenn ein Mitarbeiter von Jobbatical nicht mehr an der Erbringung der Dienstleistungen beteiligt ist.

3. MANAGEMENT VON INFORMATIONSSICHERHEITSVORFÄLLEN

  1. Jobbatical muss den Kunden innerhalb von 48 Stunden über jeden registrierten Vorfall im Bereich der Informationssicherheit informieren, der die persönlichen Daten des Kunden betreffen könnte.

  2. Die Meldung muss detaillierte Informationen über Art, Umfang und technische Merkmale des Vorfalls enthalten, die es dem Kunden ermöglichen, zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen.

  3. Informationen über Vorfälle im Bereich der Informationssicherheit werden als vertraulich betrachtet und müssen verschlüsselt übermittelt werden.

  4. Jobbatical darf in der öffentlichen Kommunikation keine Maßnahmen ergreifen, die eine Identifizierung des Kunden und seiner Sicherheitsmaßnahmen ermöglichen.

  5. Jobbatical arbeitet bei der Behandlung von Informationssicherheitsvorfällen, einschließlich der Analyse, Isolierung und Wiederherstellung der normalen Situation, uneingeschränkt mit dem Kunden zusammen.

  6. Kontaktpersonen für die Meldung von Informationssicherheitsvorfällen und die Übermittlung verschlüsselter Nachrichten sind: dpo@jobbatical.com für Jobbatical und [...] für den Kunden.

Sub-Prozessor Grund Speicherort ISO Wenn ja, welche? SCCs
Auth0 Dient zur Verwaltung der Authentifizierung und Autorisierung verschiedener Arten von Plattformbenutzern EU Ja ISO 27001/27018 Ja
Cloudflare Der Verkehr läuft über Cloudflare für bessere Sicherheit und Zuverlässigkeit EU Ja ISO/IEC 27001 Ja
Directo ERP-Software, die für die Buchhaltung verwendet wird EU Ja ISO/IEC27001 Nein (nur EU)
GCP Jobbatical nutzt Dienste unter GCP. Insbesondere Kubernetes-Engine, Speicherung, Pub-Sub, Build und Protokollierung EU Ja ISO/IEC 27001 Ja
Getstream Zur Unterstützung von In-App-Benachrichtigungen in Echtzeit EU Ja ISO 27001 Nein (nur EU)
LogRocket Frontend- und UX-Überwachungstool EU Nein SOC2 Typ II Ja
MongoDB-Atlas Für die Datenspeicherung verwendet EU Ja ISO/IEC 27001:2013 Ja
Sendgrid Wird verwendet, um Transaktions-E-Mails an die Nutzer der Plattform zu senden EU Ja ISO 27001 Ja
Stichdaten Datenquellen-Aggregator für BI EU Ja ISO/IEC 27001 Ja