Auftragsverarbeitungsvertrag (AVV)

Wien, 01.01.2025

Zwischen

Norphluchs FlexKapG

Hans-Weigel-Gasse 23, 2344 Maria Enzersdorf

im Folgenden „Auftragsverarbeiter“ genannt -

und

Kunden sowie Nutzern der Software Norphluchs

- nachfolgend bezeichnet als 'Verantwortlicher'

- Auftragsverarbeiter und Verantwortlicher werden nachfolgend als 'Vertragsparteien' bezeichnet -

Alle Begrifflichkeiten verstehen sich geschlechtsneutral.

wird der folgende Auftragsverarbeitungsvertrag geschlossen:

Präambel

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) durchführt.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen.

Die Verarbeitung erfolgt für den Zweck der Bereitstellung eines RAG KI-Chatbots zur Unterstützung von HR-Prozessen, einschließlich der Verarbeitung von Geschäftspartner- und Bewerberdaten (z. B. Lebensläufe, Urkunden, Motivationsschreiben).

Diese Vereinbarung ist als Ergänzung zum Hauptvertrag (= Zustimmung der AGBs bei der Plattform-Registrierung) zu verstehen.

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrages. Nach Beendigung der Datenverarbeitung werden alle personenbezogenen Daten gemäß § 9 dieses Vertrages gelöscht.

2. Art und Zweck der Verarbeitung

Art der Verarbeitung:

  • Verarbeitung von Lebensläufen, Zeugnisse, Urkunden, Motivationsschreiben, Referenzen, und weitere Bewerberunterlagen.
  • Abgleich von angegebenen Arbeitgebern in Lebensläufen mit aktuellen Firmeninformationen online.
  • Verifizierung der Echtheit von Dokumenten wie z.B. Bewerberunterlagen.

Zweck der Verarbeitung:

  • Unterstützung des Verantwortlichen bei der Bewertung und Verifizierung von Bewerberdaten.
  • Temporäre Nutzung der Daten während einer offenen Session, ohne Speicherung darüber hinaus.

3. Kategorien betroffener Personen und Daten

Betroffene Personen:

  • Bewerber, deren Daten vom Verantwortlichen zur Verfügung gestellt werden.
  • Geschäftspartner, deren Daten vom Verantwortlichen zur Verfügung gestellt werden.

Kategorien personenbezogener Daten:

  • Identifikationsdaten (z. B. Name, Geburtsdatum).
  • Kontaktdaten (z.B. Adresse, E-Mail, Telefonnummer).
  • Berufsbezogene Daten (z. B. Lebenslauf, Arbeitgeberinformationen).
  • Dokumente (z. B. Zeugnisse, Urkunden, Motivationsschreiben).
  • Vertragsdaten

4. Pflichten des Auftragsverarbeiters

Weisungsgebundenheit:

Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

Vertraulichkeit:

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

Sicherheit:

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage /1 technische und organisatorische Maßnahmen (TOMs) zu entnehmen).

TDer Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

Unterstützung:

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

Verarbeitungsverzeichnis:

Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

Löschung:

Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich, insbesondere für die Einholung erforderlicher Einwilligungen von betroffenen Personen.

Der Verantwortliche stellt sicher, dass die an den Auftragsverarbeiter übermittelten Daten rechtmäßig erhoben wurden.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

Der Verantwortliche hat den Auftragsverarbeiter unverzüglich über Änderungen, die die Verarbeitung betreffen, zu informieren.

6. Subauftragsverarbeitung

Der Verantwortliche genehmigt die Hinzuziehung von Microsoft Azure als Subauftragsverarbeiter.

Der Auftragsverarbeiter stellt sicher, dass der Subauftragsverarbeiter denselben datenschutzrechtlichen Verpflichtungen unterliegt wie der Auftragsverarbeiter.

Eine weitere Subauftragsverarbeitung bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen.

7. Unterstützungsleistungen des Auftragsverarbeiters

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DPIA) gemäß Art. 35 DSGVO.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung eines hohen Schutzniveaus für die Daten.

8. Haftung und Schadensersatz

Die Parteien haften für Verstöße gegen die DSGVO entsprechend Art. 82 DSGVO.

Der Auftragsverarbeiter haftet ausschließlich für Schäden, die durch eine Verarbeitung verursacht wurden, bei der er gegen seine spezifischen Verpflichtungen aus diesem Vertrag verstoßen hat.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen, die personenbezogene Daten betreffen, und unterstützt bei der Meldung an die Aufsichtsbehörden.

9. Audit und Nachweise

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieses Vertrags nachzuweisen.

Der Verantwortliche ist berechtigt, Audits durchzuführen oder durch Dritte durchführen zu lassen, um die Einhaltung der datenschutzrechtlichen Anforderungen zu prüfen.

10. Schlussbestimmungen

Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform.

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt.

Dieser Vertrag unterliegt dem Recht der Europäischen Union und ergänzend dem Recht der Republik Österreich.