DATENVERARBEITUNGSVEREINBARUNG (DATA PROCESSING AGREEMENT – „DPA")

Zwischen:

[NAME DES VERANTWORTLICHEN / „DATA CONTROLLER"]

Ein Beschaffungspartner (Sourcing Partner), Arbeitgeber oder eine andere Einheit, die gemäß den Definitionen der Datenschutz-Grundverordnung (DSGVO / GDPR) als Verantwortlicher (Data Controller) handelt, mit Hauptgeschäftssitz unter [Adresse einfügen] oder einem anderen rechtmäßigen Sitz.

Im Folgenden als „Verantwortlicher" oder „Data Controller" bezeichnet.

Und:

TALENTSURE („Die Plattform") („Der Aggregator") („DATA PROCESSOR")

Eine globale Aggregator-Plattform, die in erster Linie personenbezogene Daten von Kandidaten im Auftrag von Beschaffungspartnern, Arbeitgebern oder anderen autorisierten Parteien verarbeitet.

Geschäftsanschrift:
Certif-ID International GmbH
Scheffelstr. 58a
50935 Köln
Deutschland

1. EINLEITUNG & ZWECK

1.1 Kontext

Diese Datenverarbeitungsvereinbarung („DPA") legt die Bedingungen fest, unter denen TalentSure (der „Auftragsverarbeiter" / Data Processor) personenbezogene Daten im Auftrag des Verantwortlichen (Controller) verarbeitet (dies kann ein Arbeitgeber, ein Beschaffungspartner oder jede Organisation sein, die als Data Controller nach der DSGVO gilt).

1.2 Verpflichtungen auf Basis der DSGVO

Der Hauptzweck dieser DPA besteht darin, die Anforderungen aus Artikel 28 DSGVO zu erfüllen und festzulegen, wie der Auftragsverarbeiter den Weisungen des Verantwortlichen folgt und dabei strenge Sicherheits- und Compliance-Maßnahmen einhält.

1.3 Plattform als Aggregator

TalentSure bietet eine globale Aggregator-Plattform, die auf Aufgaben im Bereich der grenzüberschreitenden Rekrutierung spezialisiert ist. Diese Umgebung führt in der Regel Daten aus mehreren Quellen zusammen oder verarbeitet sie – von Beschaffungspartnern, Arbeitgebern oder anderen Aggregator-Rollen –, wobei die endgültige Kontrolle immer beim benannten Verantwortlichen liegt, der TalentSure anweist.

1.4 Ausschluss interner Arbeitsabläufe

Während TalentSure eigene interne oder proprietäre Arbeitsabläufe nutzt, um Aufgaben zu koordinieren, werden diese in dieser DPA nicht offengelegt. Dieses Dokument konzentriert sich ausschließlich auf die DSGVO-konforme Datenverarbeitung und die damit verbundenen rechtlichen Verpflichtungen.

1.5 Rangfolge von Vereinbarungen

Diese DPA ist Teil einer übergeordneten Vereinbarung oder wird diesen angefügt. Bei Widersprüchen zu Datenschutzbestimmungen hat diese DPA Vorrang vor den allgemeinen Geschäftsbedingungen.

2. DEFINITIONEN & AUSLEGUNGEN

Im Rahmen dieser DPA gelten folgende Begriffsbestimmungen:

„DSGVO" (GDPR): Datenschutz-Grundverordnung (EU) 2016/679
„Personenbezogene Daten" (Personal Data): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
„Verarbeitung" (Processing): Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten.
„Verantwortlicher" (Data Controller): Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
„Auftragsverarbeiter" (Data Processor): Die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet – hier TalentSure.
„Betroffene Person" (Data Subject): Die natürliche Person, deren Daten verarbeitet werden.
„Unterauftragsverarbeiter" (Sub-Processor): Jeder vom Auftragsverarbeiter beauftragte Dritte, der personenbezogene Daten für die in dieser DPA festgelegten Zwecke verarbeitet.

3. GEGENSTAND & DAUER DER VERARBEITUNG

3.1 Gegenstand

Diese DPA deckt jede Verarbeitung personenbezogener Daten ab, die der Verantwortliche TalentSure zur Durchführung anweist. In der Regel betrifft dies Daten von Kandidaten im grenzüberschreitenden Kontext: Lebensläufe, Ausweisdokumente, Sprachzertifikate, Berufsanerkennungen, Interviewplanungen oder Vertragsannahmen.

3.2 Dauer

Die Verarbeitung beginnt mit dem Datum, an dem der Verantwortliche TalentSure entsprechende Daten oder Weisungen übermittelt, und dauert bis die DPA oder der zugrunde liegende Vertrag beendet wird oder der Verantwortliche die endgültige Anweisung zur Löschung oder Rückgabe der Daten erteilt.

4. ART & ZWECK DER VERARBEITUNG

4.1 Art

TalentSure speichert, sammelt, organisiert, kombiniert, analysiert und ruft Kandidatendaten gemäß den Weisungen des Verantwortlichen ab. Dies kann auch die Weitergabe an Unterauftragsverarbeiter umfassen, z. B. Übersetzungsdienste oder Anerkennungsstellen.

4.2 Zweck

Der Zweck ist die Unterstützung rechtmäßiger, grenzüberschreitender Rekrutierungsprozesse, einschließlich der Überprüfung von Qualifikationen und der Verbindung von Kandidaten mit Arbeitgebern.

5. ARTEN PERSONENBEZOGENER DATEN & KATEGORIEN BETROFFENER PERSONEN

5.1 Arten personenbezogener Daten

Basisdaten: Name, Geburtsdatum, Kontaktdaten, Staatsangehörigkeit, Adresse
Berufliche Qualifikationen: Lebenslauf, Diplome, Referenzen, Zertifikate
Sprachprüfungen: Testergebnisse, Kursnachweise
Anerkennungsdokumente: Ausweise, Berufslizenzen, Übersetzungen
Vertragsinformationen: Gehalt, Position, Startdatum (falls angeordnet)
Visum-/Immigrationsdaten: Passkopien, Visastatus
Kommunikationsdaten: E-Mail, Chatprotokolle

5.2 Kategorien betroffener Personen

Hauptsächlich: Kandidaten
Gelegentlich: Referenzen oder Notfallkontakte

6. DSGVO-ROLLEN & VERANTWORTLICHKEITEN

6.1 Verantwortlicher

Legt fest, welche Daten zu welchem Zweck verarbeitet werden, und sorgt für eine rechtmäßige Grundlage (Art. 6 DSGVO).

6.2 Auftragsverarbeiter (TalentSure)

Verarbeitet Daten nur nach Weisung des Verantwortlichen.

6.3 Andere Aggregatoren

Können beteiligt sein, bleiben aber eigenständige oder Unterauftragsverarbeiter.

7. GRUNDSÄTZE DES DATENSCHUTZES

Integrität & Vertraulichkeit
Rechtmäßigkeit, Fairness & Transparenz
Zweckbindung
Speicherbegrenzung
Datenrichtigkeit
Rechenschaftspflicht

8. RECHTE & PFLICHTEN DES VERANTWORTLICHEN

Informationspflichten gegenüber Betroffenen
Keine Ausnutzung der Betroffenen
Nachweis der Einwilligung, falls erforderlich
Konsistenz bei Multi-Aggregator-Szenarien
Haftung bei Nichteinhaltung

9. RECHTE & PFLICHTEN DES AUFTRAGSVERARBEITERS

Verarbeitung nur nach dokumentierter Weisung
Vertraulichkeitsvereinbarungen mit Personal
Umsetzung technischer & organisatorischer Maßnahmen (TOMs)
Unterstützung bei Betroffenenanfragen
Meldung unrechtmäßiger Weisungen

10. TECHNISCHE & ORGANISATORISCHE MASSNAHMEN

TalentSure implementiert robuste Sicherheitsmaßnahmen:

Verschlüsselung: TLS 1.2 oder höher bei der Übertragung
Zugriffskontrollen: Rollenbasierte Autorisierung, Passwortschutz
Monitoring: Firewalls, Intrusion-Detection-Systeme
Backups: Regelmäßige Sicherungen in separaten Zonen
Vertraulichkeit: Alle Mitarbeiter unterzeichnen Vertraulichkeitsvereinbarungen

11. INTERNATIONALE ÜBERMITTLUNGEN

Wir bevorzugen Rechenzentren/Unterauftragsverarbeiter im EWR. Ist eine Übermittlung unvermeidbar, stützen wir uns auf Standardvertragsklauseln oder anerkannte Angemessenheitsmechanismen. Sämtliche Unterauftragsverarbeiter/Rechenzentren außerhalb des EWR verpflichten sich vertraglich auf DSGVO-konforme Garantien.

12. KONTAKT

Für Fragen zur Datenverarbeitungsvereinbarung:
E-Mail: admin@certif-id.com