LINKEDIN DATENVERARBEITUNGSVEREINBARUNG

Diese von dem im jeweiligen LinkedIn Bestelldokument für LinkedIn Dienste genannten LinkedIn Kunden („Kunde“) und dem im Bestelldokument genannten LinkedIn Unternehmen („LinkedIn“) geschlossene Datenverarbeitungsvereinbarung („Datenverarbeitungsvereinbarung“) regelt die Verarbeitung personenbezogener Daten, die der Kunde im Zusammenhang mit den Diensten hochlädt oder LinkedIn anderweitig überlässt, sowie die Verarbeitung aller personenbezogenen Daten, die LinkedIn hochlädt oder dem Kunden im Zusammenhang mit den Diensten oder anderweitig überlässt.

Diese Datenverarbeitungsvereinbarung ist in den entsprechenden LinkedIn Dienstleistungsvertrag eingebunden, der dem zuvor vom Kunden ausgefertigten Bestelldokument beigefügt oder durch Verweis in dieses Dokument aufgenommen wurde, und der in dieser Datenverarbeitungsvereinbarung generisch als „LinkedIn Vertrag“ bezeichnet wird. Die Datenverarbeitungsvereinbarung (samt den in diesem Dokument definierten SCCs), der LinkedIn Vertrag und die dazugehörigen Bestelldokumente werden in dieser Datenverarbeitungsvereinbarung als die „Vereinbarung“ bezeichnet. Bei Widersprüchlichkeiten oder Unstimmigkeiten zwischen einer der Bestimmungen der Vereinbarung haben die Bestimmungen der folgenden Dokumente (in dieser Rangordnung) Vorrang: (a) die SCCs, (b) diese Datenverarbeitungsvereinbarung, (c) der LinkedIn Vertrag und (d) das anwendbare Bestelldokument zum LinkedIn Vertrag. Vorbehaltlich einer ausdrücklichen Änderung in dieser Datenverarbeitungsvereinbarung bleiben der LinkedIn Vertrag und das anwendbare Bestellformular unverändert und in vollem Umfang in Kraft und wirksam.

1. BEGRIFFSBESTIMMUNGEN.

„SCCs Verantwortlicher-an-Verantwortlicher“ bezeichnet die Standardvertragsklauseln (Übermittlungen Verantwortlicher an Verantwortlicher, Satz II) im Anhang der Entscheidung der Europäischen Kommission vom 27. Dezember 2004 in der von der Europäischen Kommission jeweils geänderten oder ersetzten Fassung.

„SCCs Verantwortlicher-an-Verarbeiter“ bezeichnet die Standardvertragsklauseln (Verarbeiter) im Anhang der Entscheidung der Europäischen Kommission vom 5. Februar 2010 in der von der Europäischen Kommission jeweils geänderten oder ersetzten Fassung.

„Personenbezogene Kundendaten“ sind personenbezogene Daten, (i) die der Kunde im Zusammenhang mit der Nutzung der Dienste von LinkedIn hochlädt oder LinkedIn anderweitig überlässt, oder (ii) für die der Kunde anderweitig ein Datenverantwortlicher ist.

„Datenverantwortlicher“ bezeichnet den Kunden.

„Datenverarbeiter“ bezeichnet LinkedIn.

„Datenschutzanforderungen“ bezeichnet die Richtlinie, die Datenschutz-Grundverordnung, lokale Datenschutzgesetze, alle untergeordneten Gesetze und Vorschriften zur Umsetzung der Datenschutz-Grundverordnung sowie alle Datenschutzgesetze.

„Richtlinie“ bezeichnet die EU-Datenschutzrichtlinie 95/46/EG (in der jeweils gültigen Fassung).

„Personenbezogene EU-Daten“ sind personenbezogene Daten, deren Weitergabe gemäß dieser Vereinbarung durch die Richtlinie, die Datenschutz-Grundverordnung und die lokalen Datenschutzgesetze geregelt ist.

„Datenschutz-Grundverordnung“ ist die Verordnung der Europäischen Union zum Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und zum freien Datenverkehr, und zur Aufhebung der Richtlinie 95/46/EG.

„Lokale Datenschutzgesetze“ sind alle untergeordneten Gesetze und Vorschriften zur Umsetzung der Richtlinie oder der Datenschutz-Grundverordnung, die auf die Vereinbarung Anwendung finden könnten.

„Personenbezogene Daten“ sind Daten und Angaben zu einer Person, die (a) verwendet werden können, um eine bestimmte Person zu identifizieren, zu kontaktieren oder zu finden, einschließlich Daten, die der Kunde LinkedIn aus Dienstleistungen wie Bewerbermanagementsystemen (ATS) oder Customer-Relationship-Management-Diensten (CRM) überlässt, (b) mit anderen Informationen kombiniert werden können, welche zur Identifizierung, Kontaktaufnahme oder zum Auffinden einer bestimmten Person verwendet werden können, oder (c) durch geltende Gesetze oder Vorschriften in Bezug auf die Erhebung, Verwendung, Speicherung oder Offenlegung von Informationen über eine identifizierbare Person als „personenbezogene Daten“ oder „personenbezogene Informationen“ definiert sind.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede(n) versehentliche(n) oder rechtswidrige(n) Vernichtung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Kundendaten.

„Datenschutzgesetze“ bezeichnet alle einschlägigen Gesetze, Verordnungen und sonstigen gesetzlichen Vorschriften in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung, Textnachrichten, E-Mail und andere Kommunikation sowie (b) die Nutzung, Erfassung, Aufbewahrung, Speicherung, Sicherheit, Offenlegung, Übermittlung, Entsorgung und sonstige Verarbeitung personenbezogener Daten.

„Verarbeitung“ und verwandte Begriffe bezeichnen jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Aufruf, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Form von Überlassung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.   

„SCCs“ bezeichnet alle zwischen den Parteien im Rahmen der Vereinbarung geschlossen SCCs Verantwortlicher-an-Verarbeiter und SCCs Verantwortlicher-an-Verantwortlicher.

„Unterauftragsverarbeiter“ bezeichnet jede Rechtseinheit, die LinkedIn Verarbeitungsdienstleistungen zur Förderung der Verarbeitung von LinkedIn im Namen des Kunden erbringt.

„Aufsichtsbehörde“ bezeichnet eine unabhängige Behörde, die von einem Mitgliedstaat der Europäischen Union gemäß Artikel 51 der Datenschutz-Grundverordnung eingerichtet wird.

2. ART DER DATENVERARBEITUNG.

Jede Partei verpflichtet sich, die im Rahmen der Vereinbarung erhaltenen personenbezogenen Daten nur für die in der Vereinbarung festgelegten Zwecke zu verarbeiten. Um Zweifel auszuschließen, sind die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der Betroffenen, die dieser Datenverarbeitungsvereinbarung unterliegen, in Anlage A zu dieser Datenverarbeitungsvereinbarung beschrieben.

3. EINHALTUNG VON GESETZEN.

Jede der Parteien wird ihre jeweiligen Verpflichtungen aus allen geltenden Datenschutzanforderungen erfüllen.

4. PFLICHTEN DES KUNDEN.

Der Kunde verpflichtet sich:

4.1    LinkedIn Anweisungen zu erteilen und die Zwecke und allgemeinen Mittel für die Verarbeitung personenbezogener Kundendaten unter der Vereinbarung durch LinkedIn festzulegen, und

4.2    die den Datenverantwortlichen in den Datenschutzanforderungen vorgeschriebenen Schutz-, Sicherheits- und sonstigen Verpflichtungen in Bezug auf personenbezogene Kundendaten zu befolgen, durch: (a) die Einrichtung und Pflege eines Verfahrens zur Ausübung der Rechte der Personen, deren personenbezogenen Kundendaten im Namen des Kunden verarbeitet werden, (b) die Verarbeitung lediglich von Daten, die rechtmäßig und berechtigterweise erhoben wurden, sowie die Sicherstellung, dass diese Daten für die jeweilige Nutzung relevant und verhältnismäßig sind, und (c) die Sicherstellung der Einhaltung der Bestimmungen dieser Vereinbarung durch sein Personal oder durch Dritte, die in seinem Namen auf personenbezogene Kundendaten zugreifen oder diese nutzen.

5. PFLICHTEN VON LINKEDIN.

5.1    Verarbeitungsanforderungen. LinkedIn wird:

a.    personenbezogene Kundendaten (i) nur zum Zwecke der Erbringung, Unterstützung und Verbesserung der Dienste von LinkedIn (einschließlich der Lieferung von Erkenntnissen und anderen Berichten) unter Verwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen sowie (ii) unter Beachtung der vom Kunden erhaltenen Anweisungen verarbeiten. LinkedIn wird die personenbezogenen Kundendaten nicht für andere Zwecke verwenden oder verarbeiten. LinkedIn wird den Kunden unverzüglich schriftlich informieren, wenn LinkedIn die Anforderungen der Abschnitte 5 bis 8 dieser Datenverarbeitungsvereinbarung nicht erfüllen kann; in diesem Fall steht es dem Kunden frei, die Vereinbarung zu kündigen oder andere angemessene Maßnahmen einschließlich der Aussetzung der Datenverarbeitung zu ergreifen,

b.    den Kunden umgehend informieren, wenn eine Anweisung des Kunden nach Meinung von LinkedIn einschlägige Datenschutzanforderungen verletzt,

c.    wenn LinkedIn personenbezogene Kundendaten von Einzelpersonen im Namen des Kunden erhebt, die Anweisungen des Kunden bezüglich der Erhebung personenbezogener Kundendaten (einschließlich der Benachrichtigung und der Ausübung der Wahlmöglichkeit) befolgen,

d.    wirtschaftlich vertretbare Maßnahmen ergreifen, um sicherzustellen, dass (i) die von LinkedIn beschäftigten Personen und (ii) andere Personen, die im Namen von LinkedIn mit der Durchführung von Aufträgen beauftragt sind, die Bestimmungen der Vereinbarung befolgen,

e.    sicherstellen, dass die Mitarbeiter, Bevollmächtigten und Unterauftragsverarbeiter von LinkedIn verpflichtet werden, auch nach Beendigung ihres jeweiligen Arbeitsverhältnisses, Vertrags oder Einsatzes die Vertraulichkeit der personenbezogenen Kundendaten zu beachten, zur Kenntnis zu nehmen und zu respektieren,

f.    wenn Unterauftragsverarbeiter beauftragt werden sollen, um LinkedIn bei der Erfüllung seiner Verpflichtungen nach dieser Datenschutzvereinbarung zu unterstützen oder die Verarbeitung ganz oder teilweise an diese Unterauftragsverarbeiter zu delegieren, (i) exklusive der von LinkedIn online geführten Liste von Unterauftragsverarbeitern (derzeit unter https://legal.linkedin.com/customer-subprocessors verfügbar), die vorherige schriftliche Zustimmung des Kunden zu einer solchen Untervergabe einholen, wobei diese Zustimmung ohne angemessene Begründung nicht verweigert werden darf, (ii) dem Kunden für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz haften, wenn solche Unterauftragsverarbeiter auf Anweisungen von LinkedIn handeln, und (iii) vertragliche Vereinbarungen mit solchen Unterauftragsverarbeitern treffen, die sie verpflichten, das gleiche Maß an Datenschutz und Informationssicherheit wie hier vorgesehen zu gewährleisten,

g.    auf Verlangen dem Kunden eine Zusammenfassung der Datenschutz- und Sicherheitsrichtlinien von LinkedIn überlassen, und

h.    den Kunden informieren, wenn LinkedIn eine unabhängige Sicherheitsüberprüfung vornimmt.

5.2    Mitteilung an den Kunden. LinkedIn wird den Kunden informieren, wenn LinkedIn von Folgendem Kenntnis erhält:

a.    einer Nichteinhaltung der Abschnitte 5 bis 8 dieser Datenverarbeitungsvereinbarung oder der Datenschutzanforderungen in Bezug auf den Schutz personenbezogener Kundendaten durch LinkedIn oder durch die Mitarbeiter von LinkedIn,

b.    einem rechtsverbindliche Antrag auf Offenlegung personenbezogener Kundendaten durch eine Strafverfolgungsbehörde, es sei denn, es ist LinkedIn anderweitig gesetzlich untersagt, den Kunden zu informieren, z. B. um die Vertraulichkeit einer Untersuchung durch die Strafverfolgungsbehörden zu wahren,

c.    einer Mitteilung, Anfrage oder Untersuchung durch eine Aufsichtsbehörde in Bezug auf personenbezogene Kundendaten, oder

d.    einer Beschwerde oder Anfrage (insbesondere von Anträgen auf Zugang, Berichtigung oder Sperrung personenbezogener Kundendaten), die direkt von Betroffenen des Kunden eingeht. LinkedIn wird eine solche Anfrage nur nach schriftlicher Genehmigung des Kunden beantworten.

5.3    Unterstützung des Kunden. LinkedIn wird dem Kunden bei folgenden Fragen angemessene Unterstützung leisten:

a.    bei Anfragen Betroffener von Kunden in Bezug auf den Zugang zu oder auf die Berichtigung, Löschung, Beschränkung, Portabilität, Sperrung oder Löschung von personenbezogenen Kundendaten, die LinkedIn für den Kunden verarbeitet. Falls ein Betroffener eine solche Anfrage direkt an LinkedIn sendet, wird LinkedIn diese Anfrage umgehend an den Kunden senden,

b.    bei der Untersuchung von Verletzungen des Schutzes personenbezogener Daten und der Mitteilung an die Aufsichtsbehörde und an die betroffenen Personen des Kunden über solche Verletzungen des Schutzes personenbezogener Daten, und

c.    gegebenenfalls bei der Vorbereitung von Folgenabschätzungen zum Datenschutz und bei Bedarf bei der Durchführung von Konsultationen mit einer Aufsichtsbehörde.

5.4    Erforderliche Verarbeitung. Wenn LinkedIn nach den Datenschutzanforderungen verpflichtet ist, personenbezogene Kundendaten aus einem anderen Grund als der Erbringung der in der Vereinbarung beschriebenen Dienstleistungen zu verarbeiten, wird LinkedIn den Kunden vor jeder Verarbeitung über diese Anforderung informieren, es sei denn, es ist LinkedIn gesetzlich untersagt, den Kunden über diese Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungsvorschriften, die nach den geltenden Gesetzen der EU-Mitgliedstaaten bestehen können).

5.5    Sicherheit LinkedIn wird:

a.    angemessene organisatorische und technische Sicherheitsmaßnahmen (insbesondere in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke, Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitsverletzungen, Vorfallreaktion, Verschlüsselung personenbezogener Kundendaten während des Transports und in Ruhe) zum Schutz vor Zugriff, Verlust, Veränderung, Offenlegung oder Vernichtung von personenbezogenen Kundendaten, ob unbefugt oder versehentlich, pflegen,

b.    Verantwortung für die ausreichenden Sicherheits-, Datenschutz- und Vertraulichkeitsvorkehrungen aller LinkedIn Mitarbeiter in Bezug auf personenbezogene Kundendaten und die Haftung für eine Nichtbeachtung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch solche LinkedIn Mitarbeiter übernehmen,

c.    angemessene Schritte unternehmen, um sich zu vergewissern, dass alle LinkedIn Mitarbeiter die Sicherheit, den Datenschutz und die Vertraulichkeit der personenbezogenen Kundendaten im Einklang mit den Anforderungen dieser Datenschutzrichtlinie schützen, und

d.    den Kunden über Verletzungen des Schutzes personenbezogener Daten durch LinkedIn, seine Unterauftragsverarbeiter oder andere Dritte, die im Namen von LinkedIn handeln, unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu informieren.

6. PRÜFUNG, ZERTIFIZIERUNG.

6.1    Prüfung durch eine Aufsichtsbehörde. Wenn eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungseinrichtungen verlangt, in denen LinkedIn personenbezogene Daten des Kunden verarbeitet, um die Einhaltung der Datenschutzanforderungen des Kunden zu überprüfen oder zu überwachen, wird LinkedIn bei einer solchen Prüfung kooperieren. Der Kunde trägt alle Kosten und Gebühren in Verbindung mit einer solchen Prüfung, einschließlich aller angemessenen Kosten und Gebühren für alle Zeiträume, die LinkedIn für eine solche Prüfung aufwendet, wie auch die Sätze für die von LinkedIn erbrachten Leistungen.

6.2   Prüfungen. LinkedIn muss auf Verlangen des Kunden (maximal eine Anfrage pro Kalenderjahr) per E-Mail an DPO@linkedin.com die Einhaltung der Abschnitte 5 bis 8 dieser Datenverarbeitungsvereinbarung schriftlich bestätigen. LinkedIn wird dem Kunden jedes Jahr eine Stellungnahme oder einen Kontrollbericht einer akkreditierten externen Prüfungsgesellschaft laut Statement on Standards for Attestation Engagements (Erklärung über Normen für Bescheinigungsaufträge, SSAE) No. 16 („SSAE 16“) (Reporting on Controls at a Service Organization) oder dem International Standard on Assurance Engagements (ISAE) 3402 („ISAE 3402“) (Assurance Reports on Controls at a Service Organization) für die im Rahmen der Vereinbarung für die Dienstleistungen geltenden Normen vorlegen (jeder dieser Berichte ein „Bericht“). Wenn ein Bericht nach begründetem Ermessen des Kunden keine ausreichenden Informationen liefert, um die Einhaltung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch LinkedIn zu bestätigen, kann der Kunde oder eine akkreditierte externe Prüfungsgesellschaft, auf die sich sowohl der Kunde als auch LinkedIn geeinigt haben, die Einhaltung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch LinkedIn während der gewöhnlichen Geschäftszeiten mit angemessener Ankündigung an LinkedIn und unter Einhaltung angemessener Vertraulichkeitsverfahren überprüfen. Der Kunde trägt alle Kosten und Gebühren in Verbindung mit dieser Prüfung, einschließlich aller angemessenen Kosten und Gebühren für alle Zeiträume, die LinkedIn für eine solche Prüfung aufwendet, wie auch die Sätze für die von LinkedIn erbrachten Leistungen.  Vor Beginn einer solchen Prüfung werden der Kunde und LinkedIn gemeinsam Umfang, Zeitpunkt und Dauer der Prüfung vereinbaren. Der Kunde wird LinkedIn unverzüglich über alle während einer Prüfung festgestellten Verstöße informieren.  Der Kunde darf LinkedIn nur einmal jährlich überprüfen.

7. DATENÜBERMITTLUNG.

Für die Übermittlung personenbezogener EU-Daten an LinkedIn zur Verarbeitung durch LinkedIn in einem Rechtshoheitsgebiet außerhalb der EU, des EWR oder eines der von der Europäischen Kommission zugelassenen Ländern, die einen „angemessenen“ Datenschutz bieten, verpflichtet sich LinkedIn, (a) für mindestens das gleiche Maß an Datenschutz für personenbezogene EU-Daten zu sorgen, wie es nach den Datenschutzvorschriften des EU-US-Datenschutzschildes und des Schweiz-US-Datenschutzschildes erforderlich ist, oder (b) das unter https://business.linkedin.com/c/15/10/eu-scc. verfügbare Formblatt der SCCs Verantwortlicher-an-Verarbeiter zu verwenden. Wenn die Datenübermittlung gemäß Abschnitt 7 dieser Datenverarbeitungsvereinbarung auf SCCs Verantwortlicher-an-Verarbeiter angewiesen ist, um die im vorstehenden Satz beschriebene rechtmäßige Übermittlung personenbezogener Daten aus der EU zu ermöglichen, vereinbaren die Parteien, dass die Betroffenen, für die eine LinkedIn Einheit personenbezogene EU-Daten verarbeitet, Drittbegünstigte im Rahmen der SCCs Verantwortlicher-an-Verarbeiter sind. Wenn LinkedIn zur Erfüllung dieser Anforderungen derzeit oder in Zukunft außerstande ist, werden personenbezogene EU-Daten ausschließlich im Hoheitsgebiet eines Mitgliedstaates der Europäischen Union verarbeitet und verwendet, wobei jede Übermittlung personenbezogener EU-Daten in ein Drittland der vorherigen schriftlichen Zustimmung des Kunden bedarf. LinkedIn wird den Kunden unverzüglich über jede Unfähigkeit von LinkedIn zur Einhaltung der Bestimmungen dieses Abschnitts 7 informieren.

8. DATENRÜCKGABE UND LÖSCHUNG.

Die Parteien vereinbaren, dass LinkedIn nach Beendigung der Datenverarbeitungsdienste oder auf angemessenen Wunsch des Kunden alle personenbezogenen Kundendaten und Kopien dieser Daten nach Wahl des Kunden an den Kunden zurückgibt oder sicher vernichtet und zur Zufriedenheit des Kunden nachweist, dass LinkedIn diese Maßnahmen ergriffen hat, und seine Unterauftragsverarbeiter anweist, dasselbe zu tun, es sei denn, die Datenschutzanforderungen hindern LinkedIn daran, die offenbarten personenbezogenen Kundendaten ganz oder teilweise zurückzugeben oder zu vernichten. In einem solchen Fall verpflichtet sich LinkedIn, die Vertraulichkeit der von LinkedIn gespeicherten personenbezogenen Kundendaten zu wahren und diese erst nach einem solchen Datum aktiv zu verarbeiten, um die einschlägigen Gesetze zu befolgen.

9. SZENARIEN VERANTWORTLICHER-AN-VERANTWORTLICHER.

Jede Partei wird, soweit sie zusammen mit der anderen Partei als Datenverantwortlicher tätig ist, wie der Begriff in den geltenden Datenschutzanforderungen in Bezug auf personenbezogene Daten definiert ist, angemessen mit der anderen Partei zusammenarbeiten, um die Ausübung der in der Datenschutz-Grundverordnung und in anderen Datenschutzanforderungen festgelegten Datenschutzrechte zu ermöglichen. Wenn beide Parteien jeweils für die Verarbeitung personenbezogener Daten verantwortlich sind und die Übermittlung von Daten zwischen den Parteien zu einer Übermittlung personenbezogener EU-Daten in ein Rechtshoheitsgebiet außerhalb der EU, des EWR oder eines der von der Europäischen Kommission zugelassenen Ländern führt, die einen „angemessenen“ Datenschutz bieten, verpflichtet sich jede Partei, (a) für mindestens das gleiche Maß an Datenschutz für personenbezogene EU-Daten zu sorgen, wie es nach den Datenschutzvorschriften des EU-US-Datenschutzschildes und des Schweiz-US-Datenschutzschildes erforderlich ist, oder (b) die SCCs Verantwortlicher-an-Verantwortlicher zu verwenden, die durch Bezugnahme zum Bestandteil dieses Dokuments gemacht werden.  Wenn die Datenübermittlung im Rahmen dieser Datenverarbeitungsvereinbarung auf SCCs Verantwortlicher-an-Verantwortlicher angewiesen ist, um die rechtmäßige Übermittlung personenbezogener Daten gemäß dem vorstehenden Satz zu ermöglichen, vereinbaren die Parteien, dass folgende Bedingungen gelten: (i) Betroffene, für die ein Kunde personenbezogene EU-Daten verarbeitet, sind Drittbegünstigte im Rahmen der SCCs Verantwortlicher-an-Verantwortlicher, (ii) Anlage A zu dieser Datenverarbeitungsvereinbarung gilt als Anhang B der SCCs Verantwortlicher-an-Verantwortlicher, und iii) für die Zwecke von Abschnitt II lit. h verarbeitet der Datenimporteur die personenbezogenen EU-Daten nach eigenem Ermessen gemäß „den einschlägigen Bestimmungen einer Entscheidung der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG, wenn der Datenimporteur die einschlägigen Bestimmungen einer solchen Genehmigung oder Entscheidung einhält und seinen Sitz in einem Land hat, zu dem eine solche Genehmigung oder Entscheidung gehört, aber nicht durch eine solche Genehmigung oder Entscheidung für die Zwecke der Übermittlung(en) der personenbezogenen Daten abgedeckt ist.“ Die Parteien nehmen zur Kenntnis und erklären sich damit einverstanden, dass jede Partei unabhängig als Datenverantwortlicher für personenbezogene Daten handelt und die Parteien nicht gemeinsame Verantwortliche im Sinne der Datenschutz-Grundverordnung sind.

10. FREMDE DATENVERARBEITER.

Der Kunde nimmt zur Kenntnis, dass LinkedIn bei der Erbringung einiger Dienstleistungen (wie ATSs und CRMs) nach Empfang der Anweisungen des Kunden personenbezogene Kundendaten an fremde Datenverarbeiter übertragen und anderweitig mit diesen interagieren darf. Der Kunde verpflichtet sich, im Falle und in dem Umfang, in dem eine solche Übermittlung stattfindet, die Verantwortung zu übernehmen, mit diesen fremden Datenverarbeitern gesonderte vertragliche Vereinbarungen zu treffen, die sie verpflichten, die den Datenschutzanforderungen entsprechenden Verpflichtungen einzuhalten. Vorsorglich wird angemerkt, dass solche fremden Datenverarbeiter keine Unterauftragsverarbeiter sind.

11. LAUFZEIT.

Diese Datenverarbeitungsvereinbarung bleibt in Kraft, so lange LinkedIn die Verarbeitung personenbezogener Daten im Namen des Kunden durchführt, oder bis zur Beendigung des LinkedIn Vertrags (und bis zur Rückgabe oder Löschung aller personenbezogenen Daten gemäß Abschnitt 8 oben).

12. ANWENDBARES RECHT, SACHLICHE UND ÖRTLICHE ZUSTÄNDIGKEIT.

Ungeachtet anders lautender Bestimmungen in der Vereinbarung unterliegt diese Datenverarbeitungsvereinbarung den Gesetzen Irlands; alle Klagen oder Verfahren im Zusammenhang mit dieser Datenverarbeitungsvereinbarung (einschließlich solcher, die sich aus nicht-vertraglichen Streitigkeiten oder Ansprüchen ergeben) werden in Dublin, Irland, angestrengt.

ANLAGE A

ANHANG B - BESCHREIBUNG DER ÜBERTRAGUNG

1.    Betroffene. Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien von Betroffenen:

Abhängig von den vom Datenexporteur genutzten Diensten:

  • potenzielle und tatsächliche Kandidaten und Mitarbeiter des Datenexporteurs,
  • Vertriebs- und Marketing-Leads des Datenexporteurs, sowie
  • Dritte, die eine Geschäftsbeziehung mit dem Datenexporteur unterhalten oder unterhalten könnten (z. B. Werbetreibende, Kunden, Unternehmensabonnenten und Auftragnehmer).

2.    Zweck der Übermittlung. Die Übermittlung erfolgt für folgende Zwecke:

Die Übermittlung soll dem Datenexporteur ermöglichen, Zweck und Mittel zur Verarbeitung der durch die Produkte des Datenimporteurs gewonnenen personenbezogenen Daten zu bestimmen, um die Verkaufs-, Rekrutierungs-, Marketing-, Bildungs- oder sonstigen Geschäftsmethoden des Datenexporteurs zu unterstützen.

3.    Datenkategorien. Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:

Bei den übermittelten Daten handelt es sich um jene personenbezogenen Daten, die der Datenexporteur dem Datenimporteur im Zusammenhang mit der Nutzung der Online-Rekrutierungs-, Verkaufs-, Marketing- und/oder Lerndienste von LinkedIn Ireland überlässt und die in der LinkedIn Mitgliedschaftsvereinbarung als personenbezogene Kundendaten bezeichnet werden. Zu diesen personenbezogenen Daten können Vorname, Nachname, E-Mail-Adresse, Kontaktinformationen, Ausbildung und beruflicher Werdegang in Lebensläufen, CRM-Daten über Vertriebskontakte und Kundenlisten sowie alle diesbezüglichen Hinweise des Datenexporteurs gehören.

4.    Empfänger. Die übermittelten personenbezogenen Daten dürfen nur an folgende Empfänger oder Kategorien von Empfängern weitergegeben werden:

Mitarbeiter und andere Vertreter des Datenimporteurs, die einen legitimen Geschäftszweck für die Verarbeitung solcher personenbezogenen Daten haben.

5.    Sensible Daten (falls zutreffend). Die übermittelten personenbezogenen Daten betreffen folgende Kategorien sensibler Daten:

Keine.

6.    Informationen zur Registrierung des Datenschutzes des Datenexporteurs (falls zutreffend).

Keine.

7.    Zusätzliche nützliche Informationen (Speichergrenzen und andere relevante Informationen).

Die zwischen den Parteien übermittelten personenbezogenen Daten dürfen nur während des gemäß der Vereinbarung zulässigen Zeitraums aufbewahrt werden. Jede Partei verpflichtet sich, soweit sie zusammen mit der anderen Partei als Datenverantwortliche für personenbezogene Daten auftritt, angemessen mit der anderen Partei zusammenzuarbeiten, um die Ausübung der in den Datenschutzanforderungen festgelegten Datenschutzrechte zu ermöglichen.

8.    Kontaktdaten Anlaufstellen für Datenschutzanfragen:

Datenimporteur: Unterzeichner der Vereinbarung zwischen den Parteien  

Datenexporteur: Unterzeichner der Vereinbarung zwischen den Parteien

Vertrauliche und geschützte Informationen von LinkedIn

Zuletzt aktualisiert: 12. Oktober 2018