Datenverarbeitungsplan

ANLAGE B

Datenverarbeitungsplan

Dieser Plan befasst sich mit den in der DSGVO (unten definiert) festgelegten Verpflichtungen und gilt für Organisationen, die entweder ihren Sitz in Europa haben, natürlichen Personen in Europa Waren und Dienstleistungen anbieten, oder die das Verhalten von natürlichen Personen in Europa unter Verwendung der Dienstleistungen von SHL beobachten, die dem Unternehmen im Rahmen eines Auftrags bereitgestellt werden. Dieser Plan ist Bestandteil des Vertrages. Sofern ein Auftrag Geschäftsbedingungen enthält, die nicht im Einklang mit diesem Plan stehen, hat dieser Plan Vorrang.

Datenschutzrecht bezieht sich auf das Datenschutzgesetz aus dem Jahr 1998 (Data Protection Act 1998) und auf die Richtlinie 95/46/EG sowie auf alle anderen geltenden Gesetze oder Vorschriften im Zusammenhang mit der Verarbeitung personenbezogener Daten und Datenschutz, in der jeweils geänderten, überarbeiteten oder ersetzten Fassung, einschließlich kraft Rechts der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“).

A. Datenverarbeitung gemäß Artikel 28 (Auftragsverarbeiter) der DSGVO

1. Artikel 28 (1) – Angemessene technische und organisatorische Maßnahmen

Dies wird Abschnitt 3.3 der Geschäftsbedingungen folgendermaßen festgelegt:

Als Auftragsverarbeiter ist SHL verpflichtet: (i) die Personenbezogenen Daten gemäß den angemessenen Anweisungen des Unternehmens oder im Rahmen der Bestimmungen dieser Geschäftsbedingungen zu verarbeiten und (ii) angemessene administrative, technische und physische Sicherheitskontrollen einzuführen, um die Personenbezogenen Daten vor unautorisiertem Zugriff, unautorisierter Nutzung oder Offenlegung, unautorisierter Änderung oder gesetzwidriger Zerstörung oder versehentlichem Verlust zu schützen. SHL Group verpflichtet sich zu einer Mitwirkung in Bezug auf  Anfragen des Unternehmens hinsichtlich Personenbezogener Daten, die SHL von dem Unternehmen oder über das Unternehmen übermittelt wird, sofern eine solche Anfrage nicht gegen die Geschäftsbedingungen der Vereinbarung verstößt.

2. Artikel 28 (2) – Genehmigung eines Unterauftragsverarbeiters

Dies wird in den Abschnitten 3.4 und 10.5 der Geschäftsbedingungen behandelt, wie in den folgenden Paragraphen (a), bzw. (b) gezeigt wird:

(a) SHL oder seine Verbundenen Unternehmen dürfen Personenbezogene Daten im gesetzlich zulässigen Rahmen unter den folgenden begrenzten Umständen gegenüber Dritten (wie nachstehend beschrieben) offenlegen, (i) wenn SHL oder sein jeweiliges Verbundenes Unternehmen Betriebsvermögen kauft oder verkauft (dies umfasst nicht Marketinglisten oder aus Marketingzwecken), (ii) wenn SHL oder ein Verbundenes Unternehmen einen Vertrag mit Dritten schließt, um bestimmte Dienstleistungen für SHL oder eines seiner Verbundenen Unternehmen zu erbringen oder bereitzustellen, oder (iii) wenn SHL oder ein Verbundenes Unternehmen verpflichtet ist, die Personenbezogenen Daten offenzulegen, um einer gesetzlichen Verpflichtung nachzukommen. SHL oder sein jeweiliges Verbundenes Unternehmen verpflichtet sich, jeden Käufer von Vermögenswerten, die sich im Besitz von SHL oder seinen Verbundenen Unternehmen befinden und die Personenbezogene Daten enthalten, oder jeden Dritten, der für SHL oder seine Verbundenen Unternehmen Dienstleistungen erbringt, vertraglich zu verpflichten, dasselbe Schutzniveau für die Personenbezogenen Daten zu gewährleisten, das in diesen Geschäftsbedingungen und den anzuwendenden Datenschutzgesetzen vorgeschrieben ist. Für die Zwecke dieses Abschnitts bezeichnet „Dritte“ eine natürliche Person oder Rechtssubjekt mit Ausnahme des Unternehmens, mit SHL verbundene Unternehmen, eines Datenverantwortlichen oder Auftragsverarbeiters oder anderer Personen, die vom Datenverantwortlichen für die Datenverarbeitung autorisiert wurden.

(b) Um seinen Verpflichtungen aufgrund des Vertrags nachzukommen, kann SHL seine Verbundenen Unternehmen oder qualifizierte Subunternehmer einsetzen. In einem solchen Fall werden die Verbundenen Unternehmen nicht als Subunternehmer angesehen. SHL bleibt in diesen Fällen zu jeder Zeit für die eingesetzten Unternehmen verantwortlich.

(c) Zur Klarstellung und hinsichtlich der Zwecke von Unterabschnitt 2. (b) oben: SHL ist zu jedem Zeitpunkt für sämtliche verbundenen Unternehmen und berechtigten Subunternehmer verantwortlich.

3. Artikel 28 (3) (a) − Anweisungen durch den Verantwortlichen

SHL erklärt sich einverstanden, personenbezogene Daten ausschließlich im Einklang mit den Geschäftsbedingungen des Vertrages, eines anwendbaren Auftrags und den angemessenen, schriftlichen Anweisungen des Unternehmens zu verarbeiten, sofern geltende Gesetze nichts Anderes verlangen. In solch einem Fall wird SHL das Unternehmen unverzüglich noch vor der Verarbeitung der personenbezogenen Daten über die rechtliche Anforderung in Kenntnis setzen, sofern besagtes Recht solch eine Information aus wichtigen Gründen des öffentlichen Interesses nicht verbietet.

4. Artikel 28 (3) (b) − Vertraulichkeit

SHL erklärt sich einverstanden sicherzustellen, dass sämtliches Personal, das zur Verarbeitung der personenbezogenen Daten des Unternehmens berechtigt ist, in Bezug auf besagte personenbezogenen Daten einer verbindlichen Verschwiegenheitspflicht unterliegt.

5. Artikel 28 (3) (c) − Erforderliche Maßnahmen gemäß Artikel 32

(a) SHL stimmt zu, dass es ein effektives Informationssicherheitsprogramm hat und beibehalten wird, welches: (i) administrative, technische und physikalische Sicherheitsvorkehrungen enthält; (ii) angemessene technische und organisatorische Maßnahmen umfasst; und auf jeden Fall ausreicht, die Sicherheit und Vertraulichkeit der personenbezogenen Daten gegenüber möglichen Gefahren oder Bedrohungen der Sicherheit oder Integrität der personenbezogenen Daten zu schützen, unautorisierten Zugriff oder Verwendung der personenbezogenen Daten zu vermeiden, die personenbezogenen Daten vor gesetzeswidriger Bearbeitung oder einer Bearbeitung, die nicht im Einklang mit den Geschäftsbedingungen des Vertrages steht, zu bewahren und den versehentlichen Verlust, Zerstörung, Schäden, Änderung oder Offenlegung der personenbezogenen Daten abzuwehren.

(b) Derartige Sicherheitsvorkehrungen und Maßnahmen müssen ohne Einschränkung der vorausgegangenen Klausel geeignet sein, Schutz vor Schäden zu gewähren, der aus unautorisierter oder gesetzeswidriger Verarbeitung, Verwendung oder Offenbarung resultiert oder durch versehentlichen Verlust, Zerstörung oder Beschädigung der personenbezogenen Daten und der Art der personenbezogenen Daten verursacht wird und hat (mindestens) folgende Schritte zu umfassen: (i) Umsetzung der durch Datenschutzrecht vorgeschriebenen Maßnahmen, bzw. anderer relevanter Geschäftsbedingungen oder Vorgaben des Vertrages oder des Auftrags; (ii) Ergreifen angemessener Schritte, um die Verlässlichkeit von Mitarbeitern sicherzustellen, die Zugriff auf die personenbezogenen Daten haben; und (iii) Umsetzung und Beibehaltung angemessener Entsorgungsmaßnahmen und Training von SHL-Mitarbeitern, die Zugriff auf die personenbezogenen Daten haben.

6. Artikel 28 (3) (d) – Beschäftigung eines Unterauftragsverarbeiters

SHL erklärt sich einverstanden, sofern im Vertrag nichts Anderes vorgesehen ist, keine Verarbeitung der personenbezogenen Daten des Unternehmens ohne das vorherige schriftliche Einverständnis des Unternehmens an Unterauftragsverarbeiter weiterzugeben.

7. Artikel 28 (3) (e) – Angemessene technische und organisatorische Maßnahmen bezüglich der Rechte der betroffenen Person

SHL erklärt sich einverstanden, das Unternehmen soweit angemessen dabei zu unterstützen, die Verpflichtung des Unternehmens zu erfüllen, auf Anfragen eines Kandidaten im Zusammenhang mit der Ausübung der individuellen Rechte des Kandidaten gemäß Kapitel III der DSGVO zu reagieren.

8. Artikel 28 (3) (f) – Einhaltung der Artikel 32 bis 36

SHL erklärt sich einverstanden, angemessener Weise durch das Unternehmen erbetene Informationen und Unterstützung innerhalb eines durch das Unternehmen angemessen definierten Zeitraums bereitzustellen, um dem Unternehmen die Einhaltung seiner Verpflichtungen gemäß geltendem Datenschutzrecht zu ermöglichen. Dies umfasst, soweit zumutbar, die Unterstützung des Unternehmens bei: (i) der Einhaltung der Verpflichtungen des Unternehmens, um die sichere Verarbeitung und Speicherung personenbezogener Daten zu gewährleisten; (ii) der Einhaltung der Verpflichtungen des Unternehmens, Kandidaten über ernstzunehmende Datenschutzverstöße zu informieren; (iii) der Durchführung von Datenschutz-Folgenabschätzung und Prüfung der Einhaltung der Datenschutz-Folgenabschätzung; sowie (iv) gegebenenfalls bei der Beratung der jeweiligen Aufsichtsbehörde unter Einhaltung einer Datenschutz-Folgenabschätzung.

9. Artikel 28 (3) (g) – Datenlöschung

SHL erklärt sich einverstanden, auf schriftliche Anweisung durch das Unternehmens folgende Schritte prompt und auf sichere Weise zu ergreifen: entweder (i) die personenbezogenen Daten an das Unternehmen zurückzugeben; oder (ii) (sofern kein geltendes Recht die weitere Speicherung durch SHL erfordert) die personenbezogenen Daten zu löschen.

10. Artikel 28 (3) (h) − Überprüfung

(a) SHL wird dem Unternehmen sämtliche Informationen zum Nachweis der Einhaltung der in Artikel 28 (Auftragsverarbeiter) der Datenschutz-Grundverordnung (EU) 2016/679 niedergelegten Pflichten zur Verfügung stellen. Das Unternehmen erklärt sich einverstanden, dass das aktuelle ISO 27001-Zertifikat von SHL verwendet wird, um jegliche Überprüfungs- oder Inspektionsanfragen seitens oder im Namen des Unternehmens zu erfüllen. SHL wird dem Unternehmen im Gegenzug entsprechende Berichte zur Verfügung stellen.

(b) SHL wird das Unternehmen unverzüglich darüber in Kenntnis setzen, falls nach Meinung von SHL eine vom Unternehmen gemäß Abschnitt A.10 (a) herausgegebene Anweisung gegen eine Bestimmung des Datenschutzrechts verstößt.

B. Haftung

1. Haftung bei Verstößen gegen die DSGVO

Vorbehaltlich der Abschnitte 5.1 und 5.3 der Geschäftsbedingungen ist die Gesamthaftung von SHL, die sich direkt aus einem Verstoß durch SHL gegen seine Verpflichtungen als Auftragsverarbeiter im Rahmen der DSGVO ergibt, auf die Summe beschränkt, die den Handlungen von SHL, bzw. der mangelnden Einhaltung der DSGVO durch SHL bei der Erbringung seiner Dienstleistungen direkt zugeschrieben werden kann. Folgende Arten des Schadensersatzes gelten als direkter Schadensersatz, der im Rahmen des Vertrages einklagbar ist, und keine der Parteien wird behaupten oder geltend machen, dass besagter Schadensersatz auf einem indirekten, konkreten, zufälligen oder Folgeschaden, bzw. Schaden mit Strafcharakter basiert oder aus einem anderen Grund nicht einklagbar ist, sofern der Schadensersatz sich aus einem Verstoß gegen die DSGVO ergibt: (i) jegliche Kosten und Ausgaben, die dem Unternehmen im Zusammenhang mit einer rechtlich vorgeschriebenen Mitteilung an Dritte (einschließlich betroffener natürlicher Personen) über unautorisierten Zugriff auf oder Verwendung von Daten des Unternehmens entstehen, die mit besagten Personen in Verbindung stehen; (iii) Bußgelder, Strafzahlungen oder Rechtsansprüche, die dem Unternehmen gegenüber als eine Folge des Verstoßes festgestellt werden; sowie (iv) angemessene Rechtsanwaltskosten.

C. Verarbeitung − Zusammenfassung

1. Die Parteien erklären sich einverstanden, dass der folgende Plan die durch die DSGVO verlangten Informationen festlegt

 

Gegenstand der Verarbeitung SHL-Talentbewertungsdienste
Dauer der Verarbeitung Personenbezogene Daten werden auf Anfrage des Unternehmens dessen Anweisungen folgend gelöscht oder zurückgegeben.
Art und Zweck der Verarbeitung Die betroffene Person wird die Bewertung unter Verwendung der Online-Bewertungssysteme von SHL vornehmen.  Bewertungsreaktionen werden ausgewertet, um einen Bewertungsbericht mit Ergebnissen zu generieren, den SHL dem Unternehmen bereitstellen wird. SHL kann auf Anfrage des Unternehmens Umfragen oder andere Verarbeitungstätigkeiten durchführen. Das Unternehmen wird Zugriff auf Kandidatendaten erhalten, einschließlich auf die Bewertungsergebnisse und die Schnittstelle der Plattform.
Art der personenbezogenen Daten Name, E-Mail-Adresse, Geschlecht, Sprache, Unternehmens-ID, demographische Informationen über Mitarbeiter, Reaktionen auf Bewertungen oder Umfragen sowie jegliche andere Informationen, die vom Unternehmen angefragt werden
Kategorien betroffener Personen Unternehmenskandidaten und/oder Mitarbeiter