Vereinbarung
über die
Auftragsverarbeitung nach Art. 28 DSGVO

Der Verantwortliche
Der für die Verarbeitung verantwortlicher Kunde der 5P Consulting GmbH
(im Folgenden Auftraggeber)

Der Auftragsverarbeiter
5P Consulting GmbH
Brahmsplatz 3/4
1040 Wien
(im Folgenden Auftraggeber)

Diese Auftragsverarbeitungsvereinbarung ist integraler Bestandteil der allgemeinen Geschäftsbedingungen des Auftragnehmers oder anderer Verträge zwischen Auftraggeber und Auftragnehmer. Sie gilt zwischen Auftraggeber und Auftragnehmer immer dann, wenn der Auftragnehmer im Rahmen der Inanspruchnahme seiner Dienstleistungen personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.

1.    HINTERGRUND UND SPEZIFIKATION DER DATENVERARBEITUNG

1.1 Die 5P Consulting GmbH ist ein Beratungsunternehmen im Bereich Talent & Leadership, mit dem Ziel vorhandene Potenziale von Führungskräften und Mitarbeiter:innen hin zu größtmöglicher Leistung und Wirksamkeit zu entwickeln.
1.2 Der Auftraggeber ist ein Unternehmen, welches plant, die Dienstleistungen des Auftragnehmers in den unter 1.1. genannten Bereichen in Anspruch nehmen. 
1.3 Diese Auftragsverarbeitungsvereinbarung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch den Auftragnehmer unter Billigung des Auftraggebers in Übereinstimmung mit der Allgemeinen Datenschutzverordnung (DSGVO) fest.


2.    ART, ZWECK, GEGENSTAND UND RECHTSGRUNDLAGE DER DATENVERARBEITUNG
2.1 Die Leistungen des Auftragsnehmers sind in den diesbezüglich abgeschlossenen Verträgen bzw. den vom Auftragnehmer an den Auftraggeber gelegten Angeboten beschrieben und können insbesondere Leistungen in den Bereichen Management und Kommunikation, Management-Ausbildung, Training zu Managementkompetenzen, Abhaltung von Schulungen und Workshops für Potentials und Führungskräfte, Führungskräfteentwicklung und Entwicklung von Potentials, Aufsetzen von Potenzialprogrammen, Coaching (Gruppen- und individuelles Coaching), Kommunikationstraining, Shadowing (begleitende Beobachtung von Personen in unterschiedlichen Arbeitssituationen mit anschließender Diagnose und Feedback samt allfällig daraus resultierenden Empfehlungen), Unterstützung bei Burnout, Projektbegleitung, Diagnostik und Beratung im Bereich Personal- und Organisationsentwicklung, u. dgl. für den Verantwortlichen umfassen.
2.2 Im Zuge der Beratungsdienstleistung stellt der Auftraggeber dem Auftragnehmer die für die Beratungsdienstleistung erforderlichen personenbezogenen Daten auf elektronischem Weg (z.B.: per E-Mail) zur Verfügung. Weiters können über Gespräche und Analysen in Workshops oder der Ausübung anderer vertraglich geregelter Tätigkeiten personenbezogene Daten auf mündlichem Weg oder über Software-Tools erhoben werden.
2.3 Die Verarbeitung personenbezogener Daten kann insbesondere durch Organisation, Ordnen, Speicherung sowie gegebenenfalls Anpassung oder Veränderung, Abfragen, Verknüpfung, Einschränkung, Löschen, Kombination, Kopieren, Ausblenden, Verbindung, Analyse, Lesen, Empfangen, Senden, Aktualisierung erfolgen, soweit dies jeweils für die Erbringung der vereinbarten Leistungen erforderlich ist.
2.4 Der Zweck der Verarbeitung besteht in der vertraglich festgelegten Leistungserbringung gegenüber dem Auftraggeber.
2.5 Der Auftragnehmer ist nicht verpflichtet, die Rechtmäßigkeit der zugrundeliegenden Datenverarbeitungen des Auftraggebers zu prüfen.


3.    BETROFFENE PERSONENBEZOGENE DATEN UND KATEGORIE BETROFFENER PERSONEN
3.1 Im Rahmen der vereinbarten Leistungen können die personenbezogenen Daten verarbeitet werden, die für die Leistungserbringung erforderlich sind. Insbesondere können die folgenden Daten sein:

  • Identitätsdaten von Personen, wie:
    • Vor- und Nachname, Adresse, Geburtsdatum, Daten aus dem Lebenslauf, internes Mitarbeiterfoto oder Bewerbungsfoto, Versicherungsvertragsdaten, staatliche Zugehörigkeit, Identifikationsnummer, Identifikationsdaten für Onlinezugriff und Authentifizierung, Technologie-IDs, Telefonie.
  •  Merkmale von Personen, wie:
    • Demografische Daten, wirtschaftliche und finanzielle Daten, Gesundheits- und Krankenakten, Nationalität und Staatsangehörigkeit, persönliche Vorlieben und Interessen.
  • Fähigkeiten und Qualifikationen von Personen, wie:
    • Ausbildung und berufliche Qualifikation, akademische Abschlüsse oder sonstige Abschlüsse von Hochschulen, Universitäten, Einrichtungen der Berufsbildung oder der sonstigen Aus- und Weiterbildung, Informationen zu Beruf und Beschäftigung inklusive Arbeits- und Ausbildungszeugnisse.

3.2 Von der Verarbeitung sind grundsätzlich alle für die Erbringung der vereinbarten Leistungen notwendigen besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) umfasst. Insbesondere können die folgenden besonderen Kategorien von personenbezogenen Daten im Rahmen der vereinbarten Leistungserbringung verarbeitet werden:

  • Personenbezogene Daten, aus denen die religiöse oder weltanschauliche Überzeugung hervorgeht;
  • Personenbezogene Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht;
  • Personenbezogene Daten, aus denen die rassische und ethnische Herkunft hervorgeht;

Sollten besondere Kategorien von personenbezogenen Daten verarbeitet werden, wendet der Auftragnehmer spezielle Beschränkungen und/oder zusätzlichen Garantien an.


3.3 Von der Verarbeitung sind grundsätzlich alle für die Erbringung der vereinbarten Leistungen notwendigen Kategorien von Betroffenen erfasst. Insbesondere fallen darunter die folgenden Kategorien betroffener Personen: 

  • Mitarbeiter des Auftraggebers (einschließlich Zeit- oder Gelegenheitsarbeiter, ehrenamtliche Mitarbeiter, Bevollmächtigte, Praktikanten, Pensionäre);
  • Bewerber, das sind natürliche Personen, die sich um eine Stelle beim Auftraggeber bewerben oder beworben haben und deren Daten mit Zustimmung des Bewerbers beim Verantwortlichen verarbeitet werden dürfen;
  • Führungskräfte des Auftraggebers;
  • Mitarbeiter der Geschäftspartner des Auftraggebers.

3.4 Angesichts der Art der vereinbarten Leistungen erkennt der Auftraggeber an, dass der Auftragnehmer die vorstehende Liste der Kategorien betroffener Personen weitgehend weder überprüfen noch pflegen kann. Daher verpflichtet sich der Auftraggeber, den Auftragnehmer über alle erforderlichen Änderungen an der vorstehenden Liste zu informieren.
3.5 Der Auftragnehmer wird die personenbezogenen Daten des Auftraggebers im Hinblick auf alle vorstehend aufgeführten betroffenen Personen in Übereinstimmung mit den vereinbarten Leistungen verarbeiten. Falls aufgrund von Änderungen an der Liste der Kategorien betroffener Personen Änderungen an den vereinbarten Verarbeitungen erforderlich werden, wird der Auftraggeber dem Auftragnehmer dementsprechende zusätzliche Weisungen erteilen.


4.    BEDINGUNGEN DER DATENVERARBEITUNG
4.1 Der Auftragnehmer verpflichtet sich, während der gesamten Leistungserbringung sämtliche Vorgaben der DSGVO einzuhalten.
4.2 Der Auftragnehmer verpflichtet sich, personenbezogene Daten nur auf schriftliche Anweisung des Auftraggebers in Form eines Vertrags zu verarbeiten. Abweichungen von diesen Weisungen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers.
4.3.    Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nach dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit c DSGVO und daher nur so weit, als dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
4.4 Der Zugriff auf personenbezogene Daten des Auftraggebers wird ausschließlich Personen erteilt, welche diesen Zugriff auf Grund vertraglicher oder gesetzlicher Bestimmungen benötigen.
4.5 Alle Personen aufseiten des Auftragnehmers, welche Zugriff auf personenbezogene Daten des Auftraggebers haben, sind zur Verschwiegenheit zu verpflichten. Insbesondere bleibt die Verschwiegenheitspflicht der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
4.4 Der Auftragsnehmer ist verpflichtet, alle geeigneten und angemessenen technischen und organisatorischen Maßnahmen zu ergreifen und aufrechtzuerhalten, um die Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten. Eine Liste technischer und organisatorischer Maßnahmen ist dieser Auftragsverarbeitungsvereinbarung als Beilage beigefügt.
4.5 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Verpflichtungen aus der DSGVO, insbesondere in Bezug auf die Rechte der betroffenen Personen.
4.6 Sofern gesetzliche Bestimmungen nicht entgegenstehen, wird der Auftragnehmer den Auftraggeber unverzüglich informieren, wenn er eine Information oder Mitteilung einer betroffenen Person, der Datenschutzaufsichtsbehörde bzw. einer sonstigen Behörde oder eines Dritten erhält und diese Information oder Mitteilung in unmittelbarem oder mittelbarem Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses Auftragsverarbeiter-Vertrags steht.
4.7 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der DSGVO in Bezug auf Artikel 32 (Sicherheit der Verarbeitung) und Artikel 36 (Konsultation der Datenschutzbehörde vor der Durchführung einer risikoreichen Verarbeitung).
4.8 Der Auftragnehmer hat den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, zu informieren, wenn die an ihn überlassenen personenbezogenen Daten unrechtmäßig verwendet wurden und/oder den Betroffenen Schaden droht. Er stellt dem Auftraggeber alle notwendigen Informationen zur Verfügung, damit der Auftraggeber seinen Meldepflichten gegenüber den betroffenen Personen gemäß den Datenschutzgesetzen nachkommen kann.
4.9 Im Zusammenhang mit der beauftragten Datenverarbeitung wird der Auftragnehmer den Auftraggeber – soweit gesetzlich erforderlich – bei der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten, bei der Durchführung der Datenschutz-Folgeabschätzung sowie gegebenenfalls bei vorherigen Konsultationen mit der Datenschutzaufsichtsbehörde iSv Art. 36 DSGVO unterstützen und alle dafür notwendigen Angaben machen und Informationen erteilen. Darüber hinaus wird der Auftragnehmer ein eigenes Verarbeitungsverzeichnis führen und, sofern erforderlich, Datenschutz-Folgenabschätzungen vornehmen und einen Datenschutzbeauftragten bestellen.
4.10 Jede Übermittlung von Daten durch den Auftragnehmer an ein Drittland oder eine internationale Organisation erfolgt im Einklang mit dem Unions- oder nationalem Recht und muss insbesondere mit den Bestimmungen der DSGVO im Einklang stehen.

5.    SUBBEAUFTRAGTE
5.1 Je nach vertraglich vereinbarter Leistungserbringung wird eine spezifische Liste zugelassener Subauftragsverarbeiter in die Datenverarbeitung einbezogen. 
5.2 Durch die Nutzung von Subauftragsverarbeitern kann eine Datenübertragung in Drittländer erfolgen. Der Auftragnehmer stellt sicher, dass bei einer Übermittlung personenbezogener Daten in Drittländer die Anforderungen der Art. 44–49 DSGVO eingehalten werden und informiert den Auftraggeber über die jeweils eingesetzten Garantien (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss). 
5.3 Eine Liste der vom Auftraggeber bei Abschluss der Vereinbarung genehmigten Subauftragsverarbeiter ist in Anhang 1 enthalten.
5.4 Zwischen dem Auftragnehmer und dem Subauftragsverarbeiter muss eine Vereinbarung gemäß Art. 28 Abs. 4 DSGVO geschlossen werden. Der Subauftrag muss den datenschutzrechtlichen Bestimmungen im selben Umfang Rechnung tragen, wie diese zwischen dem Auftraggeber und dem Auftragnehmer in dieser Vereinbarung vereinbart wurden, und die Datenverarbeitung darf nur zu dem in der jeweils gesondert beauftragten Leistung angegebenen Zweck erfolgen. 
5.5 Der Auftragnehmer hat die Subauftragsverarbeiter regelmäßig auf die Einhaltung der nach dieser Auftragsverarbeitungsvereinbarung geltenden Datenschutzpflichten zu prüfen. Sollte dem Auftragnehmer im Rahmen dieser Prüfung zur Kenntnis gelangen, dass der Subauftragsverarbeiter die ihm nach dieser Auftragsverarbeitungsvereinbarung treffenden Datenschutzpflichten nicht oder nicht ausreichend erfüllt, hat er den Auftraggeber unaufgefordert und umgehend darüber zu informieren. 
5.6 Die Weitervergabe an Subauftragsverarbeiter oder die Änderung der bestehenden Subauftragsverarbeiter sind zulässig, sofern:

  • der Auftragnehmer eine solche Weitervergabe an Subauftragsverarbeiter mindestens zwei Wochen im Voraus schriftlich oder in Textform ankündigt und
  • der Auftraggeber bis zum Zeitpunkt der Übermittlung der Daten an den Auftragnehmer schriftlich oder in Textform keine Einwände gegen die geplante Auslagerung erhebt. Im Falle eines Widerspruchs gegen die geplante Einbindung eines Subauftragsverarbeiters darf dieser nicht eingesetzt werden, solange keine Einigung erzielt wurde.

6.    PRÜFUNG UND EINHALTUNG
6.1 Der Auftragnehmer gestattet dem Auftraggeber oder den von ihm benannten Vertretern die Durchführung von Audits zur Überprüfung der Einhaltung der Bestimmungen dieser Auftragsverarbeitungsvereinbarung. Solche Audits sind mit angemessener Vorankündigung durchzuführen und dürfen den Betrieb des Auftragnehmers nicht unangemessen beeinträchtigen.
6.2 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung und arbeitet mit ihm zusammen, um die Einhaltung der DSGVO nachzuweisen


7.    LAUFZEIT UND BEENDIGUNG
7.1 Diese Auftragsverarbeitungsvereinbarung bleibt für die Dauer der Datenverarbeitungstätigkeiten in Kraft und endet mit dem Abschluss der Dienstleistungen oder wie von den Parteien anderweitig vereinbart.
7.2 Bei Beendigung des Auftragsverarbeiter-Vertrags (oder auch jederzeit vorher auf entsprechendes Verlangen des Auftraggebers) wird der Auftragnehmer die verarbeiteten personenbezogenen Daten (einschließlich allfälliger Kopien) nach freier Wahl des Auftraggebers entweder selbst vernichten oder zur Gänze an den Auftraggeber übergeben, sofern dem keine gesetzlichen oder vertraglichen Pflichten zur Aufbewahrung entgegenstehen. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
7.3 Der Auftragnehmer ist gleichermaßen verpflichtet, die Vernichtung oder Übergabe durch allfällige Subverarbeiter herbeizuführen.


8.    SCHLUSSBESTIMMUNGEN
8.1 Änderungen und Ergänzungen dieser Auftragsverarbeitungsvereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form (Textform) erfolgen kann, sowie der ausdrücklichen Angabe, dass es sich um eine Änderung oder Ergänzung dieser Auftragsverarbeitungsvereinbarung handelt. Dies gilt auch für den Verzicht auf diese Formvorschrift.
8.2 Diese Auftragsverarbeitungsvereinbarung unterliegt dem geltenden Recht in Österreich und ist nach diesem auszulegen. Gerichtsstand ist Wien. 
8.3 Sollten einzelne Bestimmungen dieser Auftragsverarbeitungsvereinbarung ungültig oder undurchsetzbar sein oder werden, so bleibt der Rest der Auftragsverarbeitungsvereinbarung davon unberührt. Diese Bestimmungen gelten als durch gültige und durchsetzbare Regelungen ersetzt, die den von den Vertragsparteien beabsichtigten, wirtschaftlichen Zweck am ehesten erreichen.

8.4 Die folgenden Anlagen:

  • Anlage 1 "Subverarbeiter";
  • Anlage 2 „Technische und Organisatorische Maßnahmen“ (TOMs)

bilden einen integrierten Bestandteil dieses Auftragsverarbeitervertrags.
 

Sie können Ihre Einstellungen jederzeit ändern und Ihre Zustimmung widerrufen. Die Rechtmäßigkeit, der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung, wird dadurch nicht berührt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.