LINKEDIN AUFTRAGSVERARBEITUNGSVEREINBARUNG

Diese Auftragsverarbeitungsvereinbarung (die „DPA“) wird abgeschlossen zwischen dem LinkedIn-Kunden, welcher in der jeweils geltenden LinkedIn Bestellung für LinkedIn Dienste („Kunde“) genannt ist, und der LinkedIn-Gesellschaft, welche in der Bestellung genannt wird („LinkedIn“).  Diese DPA regelt die Verarbeitung personenbezogener Daten, die der Kunde hochlädt oder anderweitig LinkedIn im Zusammenhang mit den Leistungen zur Verfügung stellt sowie die Verarbeitung von personenbezogenen Daten, die LinkedIn hochlädt oder anderweitig dem Kunden im Zusammenhang mit den Leistungen  zur Verfügung stellt.

Diese DPA ist Bestandteil des entsprechenden LinkedIn-Hauptvertrags („LinkedIn-Vertrag“), der zuvor zwischen den Parteien – entweder durch Verweis in der Bestellung oder eigenständig – abgeschlossen wurde. Im Folgenden, werden diese DPA (einschließlich der SCC‘s, wie hier definiert), der LinkedIn-Vertrag und die Bestellung als die „Vereinbarung“ bezeichnet. Im Falle von Widersprüchen zwischen den vorgenannten Dokumenten gelten die Bestimmungen gemäß folgender festgelegter Reihenfolge: (a) die SCCs; (b) die DPA; (c) der LinkedIn-Vertrag; und (d) die geltende Bestellung. Sofern nicht ausdrücklich in dieser DPA geändert, bleiben der LinkedIn-Vertrag und die geltende Bestellung unverändert und in vollem Umfang gültig. Die deutsche Version der DPA hat lediglich informatorischen Charakter. Die zwischen den Parteien bindende Version ist die englische Version.

1. BEGRIFFSBESTIMMUNGEN

„Controller-to-Controller SCCs“ bedeutet die Standardvertragsklauseln (Controller to Controller Transfers - Set II) im Anhang zur Entscheidung der Europäischen Kommission vom 27. Dezember 2004, oder von der Europäische Kommission etwaige abgeänderte aktuellere Fassungen.

„Controller-to-Processor SCCs“ bedeutet die Standardvertragsklauseln (Prozessoren) im Anhang zum Beschluss der Europäischen Kommission vom 5. Februar 2010, oder von der Europäische Kommission etwaige abgeänderte aktuellere Fassungen.

„Personenbezogene Daten des Kunden“ bedeutet personenbezogene Daten (i), die der Kunde in Verbindung mit der Nutzung der Leistungen von LinkedIn hochlädt oder anderweitig LinkedIn zur Verfügung stellt oder (ii) für die der Kunde anderweitig Verantwortlicher ist.

 „Verantwortlicher Auftraggeber“ bedeutet Kunde.

 „Auftragsverarbeiter“ bedeutet LinkedIn.

„Anforderungen an den Datenschutz“ bezeichnet die Richtlinie, die Datenschutz-Grundverordnung, Lokale Datenschutzgesetze, alle untergeordneten Gesetze und Vorschriften zur Umsetzung der Datenschutz-Grundverordnung und alle Datenschutzgesetze.

 „Richtlinie“ bezieht sich auf die EU-Datenschutzrichtlinie 95/46/EG (in der jeweils gültigen Fassung).

 „EU-Personenbezogene Daten“ bedeutet personenbezogene Daten, deren Weitergabe, gemäß dieser Vereinbarung durch die die Richtlinie, die Datenschutz-Grundverordnung sowie Lokale Datenschutzgesetze reguliert wird.

 „Datenschutz-Grundverordnung“ bezeichnet die Verordnung der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG.

„Lokale Datenschutzgesetze“ bedeutet alle untergeordneten Gesetze und Vorschriften zur Umsetzung der Richtlinie oder der Datenschutz-Grundverordnung, die für die Vereinbarung gelten können.

„Personenbezogene Daten“ bedeutet Informationen über eine Person, die (a) genutzt werden können um die Person zu identifizieren, kontaktieren oder eine bestimmte Person zu lokalisieren, einschließlich der Daten, die der Kunde LinkedIn aus Diensten wie Bewerber-Tracking-Systemen (ATS) oder CRM-Systemen freiwillig zur Verfügung stellt; (b) mit anderen Informationen kombiniert werden kann, die dann genutzt werden können, um eine bestimmte Person identifizieren, kontaktieren oder lokalisieren zu können; oder (c) definiert sind als "personenbezogene Daten" oder "persönliche Informationen" durch geltende Gesetze oder Vorschriften in Bezug auf die Erhebung, Nutzung, Speicherung oder Offenlegung von Informationen über identifizierbare Einzelperson.

„Verletzung des Schutzes personenbezogener Daten“ bedeutet jede versehentlich oder unrechtmäßige Zerstörung, Verlust, Veränderung, unberechtigte Offenlegung oder unberechtigter Zugriff auf personenbezogene Kundendaten.

„Datenschutzgesetze“ bedeutet alle geltenden Gesetze, Verordnungen und anderen rechtlichen Anforderungen in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung und Textmessaging, E-Mail und andere Kommunikationen; und (b) die Nutzung, Sammlung, Aufbewahrung, Speicherung, Sicherheit, Offenlegung, Übertragung, Entsorgung und sonstige Verarbeitung personenbezogener Daten.

„Verarbeiten“ und artverwandte Worte bezeichnet jeden Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, sei es durch automatische oder manuelle Mittel, wie beispielsweise Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Vorgänge um die Daten zugänglich zu machen, Ausrichtung oder Kombination, Sperrung, Löschung oder Zerstörung von Daten.

„SCC’s“ bedeutet alle Controller-to-Processor SCC‘s und Controller-to-Controller SCC‘s, die zwischen den Vertragsparteien vereinbart wurden.

„Subprozessor“ / „Unterauftragsverarbeiter“ bedeutet jede Entität, die Datenverarbeitungsdienste für LinkedIn zur Förderung der Verarbeitung von personenbezogenen Kundendaten durch LinkedIn im Namen des Kunden erbringt.

„Aufsichtsbehörde“ bedeutet eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat der Europäischen Union, gemäß Artikel 51 der Datenschutz-Grundverordnung errichtet wurde.

2. ZWECK DER DATENVERARBEITUNG.

Die Parteien verpflichten sich, personenbezogene Daten, die diese im Rahmen dieser Vereinbarung erhalten, nur für die Zwecke zu verarbeiten, die in der Vereinbarung festgelegt sind. Zur Klarstellung sind die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der unter dieses Datenschutzgesetz fallenden Personen in Anlage A zu diesem DPA beschrieben.

3. EINHALTUNG DER RECHTSVORSCHRIFTEN.

Die Parteien werden ihren jeweiligen Verpflichtungen aus den für sie jeweils geltenden Anforderungen den Datenschutz nachkommen.

4. PFLICHTEN DES KUNDEN.

Der Kunde ist verpflichtet:

4.1.    Weisungen an LinkedIn zu erteilen und die Zwecke und allgemeine Mittel der Verarbeitung personenbezogener Daten durch LinkedIn gemäß dieser Vereinbarung festzulegen; und

4.2.    den Vorgaben und Anforderungen für Verantwortliche für Schutz, Sicherheit und sonstigen Verpflichtungen in Bezug auf personenbezogene Daten nachzukommen durch: (a) Einführung und Aufrechterhaltung von Verfahren für die Ausübung der Rechte der betroffenen Personen, deren personenbezogene Daten im Auftrag des Kunden verarbeitet werden; (b) nur Daten zu verarbeiten, die rechtmäßig und ordnungsgemäß erhoben wurden und sicherzustellen, dass solche Daten lediglich im erforderlichen und angemessenen Umfang sowie zweckgebunden verwendet werden; und (c) die Einhaltung der Bestimmungen dieser Vereinbarung durch sein Personal oder von Dritten, die Zugriff auf personenbezogenen des Kunden haben, sicherzustellen.

5. PFLICHTEN VON LINKEDIN

5.1.    Pflichten des Auftragsverarbeiters. LinkedIn wird:

a.     Personenbezogene Daten des Kunden (i) nur zum Zwecke der Erbringung, Unterstützung und Verbesserung der Leistungen von LinkedIn (einschließlich der Bereitstellung von Insights und anderen Berichten) unter Verwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen und (ii) in Übereinstimmung mit den Anweisungen des Kunden verarbeiten. LinkedIn wird die personenbezogenen Daten des Kunden zu keinem anderen Zweck verwenden oder verarbeiten. LinkedIn wird dem Kunden unverzüglich in Textform oder schriftlich mitteilen, wenn LinkedIn die Anforderungen gemäß Klauseln 5 – 8 dieses DPA nicht erfüllen kann. In diesem Fall kann der Kunde den Vertrag kündigen oder andere angemessene Maßnahmen ergreifen, einschließlich der Einstellung der Datenverarbeitung;

b.     den Kunden umgehend informieren, wenn  LinkedIn der Meinung ist, dass eine Weisung des Kunden die Anforderungen an den Datenschutz verletzt.

c.      für den Fall, dass LinkedIn personenbezogene Daten für den Kunden erhebt, wird Linked den Weisungen des Kunden im Hinblick auf Personenbezogene Daten des Kunden und deren Erhebung folgen (dies umfasst auch die Hinweispflichten des Kunden gegenüber den Betroffenen sowie eventuelle Möglichkeiten des Betroffenen zur Ausübung seiner Rechte);

d.     wirtschaftlich angemessene Maßnahmen ergreifen, um sicherzustellen, dass (i) die von ihm beschäftigten Personen und (ii) andere Personen, die mit der Verarbeitung im Namen von LinkedIn beauftragt sind, die Regelungen der Vereinbarung einhalten;

e.     sicherstellen, dass seine Mitarbeiter, Beauftragten und alle Subprozessoren die Vertraulichkeit der persönlichen Daten des Kunden beachten, anerkennen und respektieren; dies gilt auch nach Beendigung ihrer jeweiligen Beschäftigung, des Vertrages oder des Auftrages;

f.      sollte LinkedIn beabsichtigen, Subprozessoren einzuschalten, um seinen Verpflichtungen gemäß dieser DPA nachzukommen oder zumindest einen Teil der Verarbeitung an Subprozessoren auszulagern, so muss LinkedIn (i) die vorherige schriftliche (oder in Textform) Zustimmung des Kunden einholen, wobei eine solche Zustimmung nicht unangemessen verweigert werden darf, ausgenommen der Liste der Subprozessoren, die Linkedin online zur Verfügung stellt (derzeit verfügbar unter: https://legal.linkedin.com/customer-subprocessors); (ii) gegenüber dem Kunden  für Handlungen und Unterlassungen des Subprozessor hinsichtlich des Datenschutzes haftbar bleiben; in Fällen, wo solche Subprozessoren auf Anweisungen von LinkedIn handeln; und (iii) vertragliche Vereinbarungen mit Subprozessoren treffen, die das gleiche Maß an Datenschutz und Datensicherheit gewährleistet ist;

g.     auf Anfrage des Kunden, dem Kunden eine Zusammenfassung der Datenschutz- und Sicherheitsrichtlinien von LinkedIn zur Verfügung zu stellen; und

h.     den Kunden informieren, wenn LinkedIn eine unabhängige Sicherheitsüberprüfung durchführt.

5.2    Benachrichtigungen für den Kunden. LinkedIn wird den Kunden informieren, falls LinkedIn folgendes bekannt wird:

a.     Jede Nichteinhaltung der Pflichten in den Klauseln 5 – 8 von LinkedIn oder einem seiner Mitarbeiter oder der Anforderungen an den Datenschutz in Bezug auf den Schutz personenbezogener Daten des Kunden unter dieser DPA;

b.     Alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten des Kunden, es sei denn, es wäre LinkedIn anderweitig
untersagt den Kunden zu informieren, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

c.      Jede Mitteilung, Anfrage oder Untersuchung einer Aufsichtsbehörde in Bezug auf Personenbezogene Daten des Kunden; oder

d.     Jede Beschwerde oder Anfrage (insbesondere Anträge auf Zugriff, Berichtigung oder Sperrung von personenbezogenen Daten des Kunden), die direkt von Betroffenen im Hinblick auf Personenbezogene Daten des Kunden an LinkedIn gerichtet wurde. LinkedIn wird auf eine solche Anfrage ohne vorherige schriftliche (oder in Textform) Genehmigung des Kunden nicht antworten.

5.3.    Unterstützung für den Kunden. LinkedIn wird den Kunden in angemessener Weise unterstützen bei:

a.     allen Anfragen von Betroffenen,  in Bezug auf Zugang zu oder Berichtigung, Einschränkung, Portabilität, Sperrung oder Löschung von personenbezogenen Daten des Kunden, die LinkedIn für den Kunden verarbeitet. Im Falle, dass ein Betroffener eine solche Anfrage direkt an LinkedIn richtet, wird LinkedIn diese Anfrage unverzüglich an den Kunden weiterleiten;

b.     Untersuchungen von Verletzungen gegen den Schutz personenbezogener Daten des Kunden (data breach) sowie die Mitteilung an die Aufsichtsbehörde des Kunden und an die jeweils
durch die Verletzung Betroffenen des Kunden; und,

c.      soweit notwendig, der Erstellung von Datenschutz-Folgenabschätzungen und der Durchführung von Konsultationen mit Aufsichtsbehörden.

5.4.    Vorgeschriebene Verarbeitung. Falls LinkedIn durch Anforderungen an den Datenschutz Personenbezogene Daten des Kunden für einen anderen Grund als die beschriebene Leistungserbringung in der Vereinbarung verarbeiten muss, wird
LinkedIn den Kunden über diese Anforderungen im Vorfeld der Verarbeitung informieren, es sei denn, es ist LinkedIn gesetzlich untersagt ist, den Kunden über die Verarbeitung (z. B. durch Geheimhaltungsanforderungen, die nach geltenden EU-Mitgliedstaat-Vorschriften bestehen können) zu informieren.

5.5.    Sicherheit. LinkedIn wird:

a.     angemessene technische und organisatorische Sicherheitsmaßnahmen (einschließlich Personal, Räumlichkeiten,
Hard- und Software, Speicher und Netzwerke, Zugangskontrollen, Überwachung und Protokollierung, Verletzlichkeit und Verstoß-Erkennung, Vorfallsreaktion, Verschlüsselung personenbezogener Daten des Kunden während des Transits und im Ruhezustand) zum Schutz vor nicht autorisierten oder versehentlichen Zugriff, Verlust, Veränderung, Weitergabe oder Vernichtung der personenbezogenen Kundendaten umsetzen;

b.     für die Angemessenheit der Sicherheit, Datenschutz und Einhaltung der Vertraulichkeitsbestimmung des gesamten Personals von LinkedIn in Bezug auf Personenbezogene
Daten des Kunden verantwortlich sein und für sämtliche Versäumnisse des LinkedIn Personals, die Bedingungen des DPA zu erfüllen, haften;

c.      angemessene Schritte ergreifen, um sicherzustellen, dass alle Mitarbeiter von LinkedIn die Sicherheit, Privatsphäre und Vertraulichkeit personenbezogener Daten des Kunden im Einklang mit den Anforderungen dieses DPA schützen; und

d.     den Kunden unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden  über Verletzungen des Schutzes  personenbezogener Daten des Kunden durch LinkedIn, seine Subprozessoren oder andere Dritte, die im Auftrag von LinkedIn handeln, zu benachrichtigen.

6. AUDITS, ZERTIFIZIERUNG.

6.1.    Aufsichtsbehörde. Verlangt eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungseinrichtungen, in denen LinkedIn Personenbezogene Daten des Kunden verarbeitet, um die Einhaltung der Datenschutzbestimmungen festzustellen oder zu überwachen, so wird LinkedIn an einer solchen Prüfung mitwirken. Der Kunde erstattet LinkedIn die angemessenen Kosten für die Zusammenarbeit mit der Prüfung, einschließlich aller angemessenen Kosten und Gebühren für jegliche Zeit, die LinkedIn auf diese Abschlussprüfung verwendet, zusätzlich zu den Gebühren für Leistungen, die von LinkedIn ausgeführt worden sind.  

6.2.    Zertifizierung. LinkedIn wird, auf Anfrage des Kunden (maximal eine Anfrage pro Kalenderjahr), per E-Mail an DPO@linkedin.com, die Einhaltung der Klauseln 5 – 8 dieser DPA schriftlich oder in Textform bestätigen. LinkedIn wird dem Kunden jedes Jahr eine Stellungnahme oder einen SOC-Bericht, entsprechend den Standards for Attestation Engagements (SSAE) No. 16 (“SSAE 16”)  oder dem internationalen Standard of Assurance Engagements (ISAE) 3402 ("ISAE 3402")  von einer akkreditierten Prüfungsgesellschaft bezüglich der gemäß dieser Vereinbarung zu erbringenden Leistung zur Verfügung stellen. unter der Anweisung der Standards . Sollte, nach vernünftigem Ermessen des Kunden, der Bericht nicht ausreichend Informationen enthalten, die die Einhaltung der Bestimmungen dieser DPA durch LinkedIn versichern, dann kann der Kunde oder eine zugelassene Prüfungsgesellschaft, auf welche sich der Kunde und LinkedIn geeinigt haben, die Einhaltung der Bestimmungen dieser DPA, während der regulären Geschäftszeiten, prüfen („Audit“), jedoch vorausgesetzt, dass eine angemessene Vorankündigung an LinkedIn übermittelt wurde und vorbehaltlich angemessener Geheimhaltungsverfahren. Der Kunde erstattet LinkedIn die angemessenen Kosten für die Zusammenarbeit hinsichtlich des Audits, einschließlich aller angemessenen Kosten und Gebühren für jegliche Zeit, die LinkedIn auf das Audit verwendet, zusätzlich zu den Gebühren für Leistungen, die von LinkedIn ausgeführt worden sind.  Vor dem Beginn eines solchen Audits, müssen sich der Kunde und LinkedIn über den Rahmen, Zeitpunkt und Dauer des Audits einig werden.  Der Kunde wird LinkedIn sofort über jeglichen Verstoß, der während des Audits aufgedeckt werden, informieren. Der Kunde darf nur ein Audit pro Kalenderjahr durchführen.

7. DATENÜBERMITTLUNG.

Für die Übertragung von EU-personenbezogenen Daten an LinkedIn zur Verarbeitung in einem Land das nicht in der EU oder dem EWR liegt oder einem Land in dem laut Europäischer Kommission kein"angemessenes Datenschutzniveau" herrscht, wird LinkedIn entweder (a) das gleiche Maß an Datenschutz wie durch den U.S.-EU und U.S.-Swiss Privacy Shield mindestens festgelegten Schutz herstellen; oder (b) Controller-to-Processor SCCs, erhältlich unter https://business.linkedin.com/c/15/10/eu-scc , abschließen. Falls die Datenübermittlungen im Rahmen dieser Klausel auf Controller-to-Processor SCCs beruhen, um – gemäß dem vorstehenden Satz – eine rechtmäßige Übermittlung EU-personenbezoger Daten sicherzustellen, vereinbaren die Parteien, dass Betroffene, für die eine LinkedIn-Entität EU-personenbezogene Daten verarbeitet, Drittbegünstigte im Rahmen der Controller-to-Prozessor SCCs sind. Sollte LinkedIn nicht in der Lage sein oder zukünftig nicht mehr in der Lage sein, den vorstehenden Anforderungen zu entsprechen, wird LinkedIn EU-Personenbezogene Daten des Kunden ausschließlich im Hoheitsgebiet eines Mitgliedstaats der Europäischen Union verarbeiten und nutzen. Jeder Transfer der EU-personenbezogenen Daten des Kunden in ein Nicht-EU-Land erfordert dann die vorherige schriftliche (oder in Textform) Zustimmung des Kunden. LinkedIn wird den Kunden unverzüglich darüber informieren, wenn LinkedIn nicht mehr in der Lage ist die Bestimmungen dieser Klausel 7 einzuhalten..

8. DATENRÜCKGABE UND LÖSCHUNG

Die Parteien vereinbaren, dass bei Beendigung der Datenverarbeitung oder auf angemessenen Wunsch des Kunden, LinkedIn alle übertragenen personenbezogenen Daten des Kunden und deren Kopien, je nach Wunsch des Kunden, an den Kunden zurückgibt oder sicher löscht und dies dem Kunden gegenüber zu seiner Zufriedenheit bescheinigen wird; LinkedIn wird ebenfalls angemessene Bemühungen unternehmen um sicherzustellen, dass eingesetzte Subprozessoren vorstehenden Verpflichtungen ebenfalls nachkommen. Vorstehende Rückgabe-/Löschverpflichtung gilt nur soweit Anforderungen des Datenschutzes LinkedIn an der Rückgabe oder Löschung der personenbezogenen Daten des Kunden nicht hindern; in diesem Fall wird LinkedIn, die gespeicherten personenbezogenen Daten des Kunden vertraulich behandeln und diese Daten nur noch verarbeiten um anwendbare Gesetze einzuhalten.

9. CONTROLLER-TO-CONTROLLER SZENARIEN.

Jede Partei wird, soweit sie jeweils selbst Verantwortlicher ist, zu bestimmen nach den Anforderungen des Datenschutzes, in angemessenem Umfang mit der jeweils anderen Partei kooperieren, um die Ausübung der Datenschutzrechte im Sinne der allgemeinen Datenschutzverordnung und andere Anforderungen an den Datenschutz zu ermöglichen. Soweit beide Parteien jeweils als Verantwortlicher hinsichtlich personenbezogener Daten agieren und die Übertragung dieser Daten zwischen den Parteien zu einer Übertragung von EU-personenbezogenen Daten außerhalb der EU, des EWR oder einem Land in dem laut Europäischer Kommission kein"angemessenes Datenschutzniveau" herrscht führt, verpflichtet sich jede Partei (a) das gleiche Maß an Datenschutz wie durch den U.S.-EU und U.S.-Swiss Privacy Shield mindestens festgelegten Schutz herzustellen; oder (b) die Controller-to-Controller SCCs zu nutzen, die durch Bezugnahme hierin aufgenommen werden. Falls die Datenübermittlungen im Rahmen dieses DPA auf Controller-to-Controller SCCs angewiesen sind, um die rechtmäßige Übermittlung personenbezogener Daten gemäß dem vorstehenden Satz zu ermöglichen, vereinbaren die Parteien die folgenden Bedingungen: (i) dass Betroffene, für die ein Kunde EU-Personenbezogene Daten verarbeitet, Drittbegünstigte unter den Controller-to-Controller-SCCs sind; und (ii) Plan A zu diesem DPA als Anhang B der Controller-to-Controller-SCCs gelten soll und (iii) zum Zweck des Abschnitts II(h), werden die EU-Personenbezogenen Daten durch den Datenimporteur, nach seiner Wahl, gemäß „den einschlägigen Bestimmungen (1) etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden“. Die Parteien erkennen an und stimmen ein, dass in vorstehenden Fällen jede Partei unabhängig als Verantwortlicher in Bezug auf die personenbezogene Daten agiert und dass die Parteien keine Gemeinsam für die Verarbeitung Verantwortliche sind, wie es in der Datenschutz-Grundverordnung definiert ist.

10. DATENVERARBEITUNG DURCH ANDERE AUFTRAGSVERARBEITER

Der Kunde erkennt an, dass bei der Erbringung bestimmter Leistungen (z. B. ATS und CRM‘s), LinkedIn, nach Erhalt von Weisungen durch den von Kunden, Personenbezogene Daten des Kunden an andere Auftragsverarbeiter des Kunden übertragen oder auf andere Weise mit jenen Auftragsverarbeitern zusammenarbeiten kann. Der Kunde erkennt an, dass er, sollte eine solche Übermittlung erfolgen, dafür verantworltich ist, gesonderte Auftragsverarbeitungsvereinbarungen mit diesen Dritten zu treffen, die diese zur Einhaltung der Anforderungen an den Datenschutz verpflichten. Zur Klarstellung, solche Datenverarbeitungs-Drittanbieter sind keine Subprozessoren.

11. VERTRAGSDAUER.

Diese DPA bleibt in Kraft, solange LinkedIn die Verarbeitung personenbezogener Daten im Namen des Kunden durchführt oder bis zur Beendigung des LinkedIn-Vertrags (und wenn alle personenbezogenen Daten des Kunden gemäß Klausel 8 zurückgegeben oder gelöscht wurden).

12. ANWENDBARES RECHT/RECHTSSTAND.

Unbeschadet anderslautender Bestimmungen dieser Vereinbarung unterliegt diese DPA irischem Recht. Für alle Streitigkeiten bezüglich dieser DPA (einschließlich nicht vertragliche Streitigkeiten oder Ansprüche) wird der Gerichtsstand Dublin, Irland vereinbart.

PLAN A

ANHANG B - BESCHREIBUNG DER ÜBERTRAGUNG

1.    Betroffene Personen. Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

Abhängig von den Diensten die der Datenexporteur nutzt:

·      Potenzielle und tatsächliche Bewerber
und Mitarbeiter des Datenexporteurs;

·      Vertriebs- und Marketingkontakte des Datenexporteurs; und

·      Dritte, die in Geschäftsbeziehung mit dem Datenexporteur stehen (z. B. Inserenten, Kunden, Unternehmenskunden und
Auftragnehmer).

2.    Zweck der Übertragung. Die Übertragung erfolgt zu folgenden Zwecken:

Die Übertragung erfolgt, um den Datenexporteur die Bestimmung der Zwecke und Mittel der Verarbeitung personenbezogener Daten, welche auch durch Produkte des Datenimporteurs für den
Datenexporteur erhoben werden können, zu ermöglichen. Die Übertragung erfolgt um Vertriebsunterstützung, Rekrutierung, Marketing, Durchführung von Weiterbildungsmaßnahmen
oder anderen Geschäftspraktiken des Datenexporteurs zu ermöglichen.

3.    Kategorien von Daten. Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien:

Die übertragenen Daten sind personenbezogene
Daten des Datenexporteurs (gemäß Vereinbarung als Personenbezogene Daten des Kunden bezeichnet) an den Datenimporteur im Zusammenhang mit der Nutzung von
LinkedIn Ireland's Online-Rekruitierung, Vertrieb, Marketing und/oder Leistungen im Rahmen von (Mitarbeiter-)Weiterbildung. , die als  bezeichnet werden. Zu diesen personenbezogenen
Daten können Vorname, Nachname, E-Mail-Adresse, Kontaktinformationen, Ausbildungs- und Arbeitshistorie in Lebensläufen, CRM-Daten zu Vertriebskontakten und Kundenlisten sowie alle Hinweise des Datenexporteurs zu den vorstehenden Informationen gehören.

4.    Empfänger. Die übermittelten personenbezogenen Daten dürfen nur an folgende Empfänger oder Kategorien von Empfängern weitergegeben werden:

Mitarbeiter und andere Vertreter des Datenimporteurs, die einen rechtmäßigen Geschäftszweck für die Verarbeitung dieser personenbezogenen Daten haben.

5. Besondere Kategorien von Daten (falls zutreffend). Die
übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien:

Keine.

6.    Datenschutz-Registrierungsinformationen des
Datenexporteurs (falls zutreffend).

Keine.

7.    Weitere nützliche Informationen (Speicherdauer und andere relevante Informationen).

Die zwischen den Parteien übermittelten personenbezogenen Daten dürfen nur für die gemäß der Vereinbarung zulässige Dauer gespeichert werden. Die Parteien vereinbaren, dass jede Partei,
insofern sie, zusammen mit der anderen Partei, wie ein Verantwortlicher in Bezug auf persönliche Daten agiert, angemessen mit der jeweils anderen Partei kooperieren wird, um die Ausübung der Datenschutzrechte gemäß der Anforderungen
an den Datenschutz zu ermöglichen.

8.    Kontaktinformationen. Ansprechpartner für Datenschutzanfragen:

Datenimporteur:
Unterzeichner der Vereinbarung zwischen den Parteien

Datenexporteur:
Unterzeichner der Vereinbarung zwischen den Parteien

LinkedIn Confidential and Proprietary

Last Updated: March 13, 2018