Auftragsverarbeitungsvertrag / Processing Agreement
Last Updated: 6 June 2023
Präambel
Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsdatenverarbeitung ergeben (nachfolgend als “Vertrag” bezeichnet). Der Gegenstand der Auftragsdatenverarbeitung durch den Auftragsverarbeiter ist im Vertrag über die Erbringung von SHL‘s Produkten und/oder Dienstleistungen (dem „Hauptvertrag“) zwischen dem Auftragsverarbeiter und dem Verantwortlichen geregelt. Art und Zweck der Auftragsverarbeitung, die von der Verarbeitung umfassten Arten von Daten sowie der von der Verarbeitung betroffenen Kategorien von Personen ergibt sich aus Anlage 1. Der Vertrag gilt für alle Maßnahmen im Zusammenhang mit den in Anlage 1 aufgeführten Zwecken, bei denen die Mitarbeiter des Auftragnehmers oder ein für den Auftragnehmer handelnder Dritter mit den persönlichen Daten des Auftraggebers in Berührung kommt. Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages.
§ 1
Definitionen
(1) „Personenbezogene Daten“
"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 DS-GVO)
(2) „Weisung“
Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiters mit personenbezogenen Daten gerichtete schriftliche Anordnung des Verantwortlichen. Die Weisungen werden anfänglich durch den Vertrag festgelegt können vom Verantwortlichen danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
§ 2
Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies umfasst Tätigkeiten, die in Anlage 1 konkretisiert sind. Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4, 24 Abs. 1 DS-GVO).
(2) Die Inhalte dieses Vertrages gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
§ 3
Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter darf Daten nur im Rahmen des Auftrages und der dokumentierten Weisungen des Verantwortlichen verarbeiten. Im Rahmen der Regelungen der Auftragsverarbeitung nach diesem Vertrag hat der Verantwortliche ein Weisungsrecht in schriftlicher Form im Hinblick auf den Umfang und die Art und Weise der Datenverarbeitung im Einzelfall. Sofern der Auftragsverarbeiter durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er – sofern dies rechtlich zulässig ist – den Verantwortlichen vor Beginn der Verarbeitung auf diesen Umstand hin. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. Sämtliche Änderungen des Gegenstandes der Datenverarbeitung müssen vereinbart und gemeinsam niedergelegt werden. Der Auftragsverarbeiter darf nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen Informationen an Dritte oder den Betroffen weitergeben.
(2) Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Verantwortlichen sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Eine Darstellung dieser technischen und organisatorischen Maßnahmen ist als Anlage 2 diesem Vertrag beigefügt. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Der Auftragsverarbeiter stellt sicher, dass es den mit der Verarbeitung der Daten des Verantwortlichen befassten Mitarbeitern und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Verantwortlichen zu verarbeiten. Ferner gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Das Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
(4) Der Auftragsverarbeiter hat einen Datenschutzbeauftragten zu bestellten, soweit dies gesetzlich – insbesondere nach Art. 37 DS-GVO - vorgeschrieben ist. Der Auftragsverarbeiter teilt dem Verantwortlichen die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach geltendem Datenschutzrecht.
(6) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Verantwortlichen bekannt werden. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Verantwortlichen ab
(7) Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Verantwortlichen. Der Auftragsverarbeiter hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Der Auftragsverarbeiter berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Verantwortliche dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Verantwortlichen. Daten, Datenträger sowie sämtliche sonstigen Materialien sind nach Auftragsende auf schriftliches Verlangen des Verantwortlichen entweder herauszugeben oder zu löschen.
(8) Der Auftragsverarbeiter gewährleistet, seine Pflichten nach Art. 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährung der Sicherheit der Verarbeitung einzusetzen. Bei einer Konzerngesellschaft des Auftragsverarbeiters ist ein Sicherheitsdirektor beschäftigt, der regelmäßig die Datenschutzerfordernisse und die Datensicherheit innerhalb des Konzerns dementsprechend überprüft.
(9) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten.
§ 4
Pflichten des Verantwortlichen
(1) Der Verantwortliche und der Auftragsverarbeiter sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.
(2) Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Verantwortliche.
(4) Erteilt der Verantwortliche Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang gemäß Anlage 1 hinausgehen, sind die dadurch begründeten Kosten vom Verantwortlichen zu tragen.
(5) Der Verantwortliche nennt dem Auftragsverarbeiter den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
§ 5
Anfragen Betroffener
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragsverarbeiter, wird der Auftragsverarbeiter den Betroffenen an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach den Angaben des Betroffenen möglich ist. Der Verantwortliche erstattet dem Auftragsverarbeiter die durch diese Unterstützung entstandenen Kosten.
§ 6
Nachweis- und Kontrollpflichten
(1) Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der in Art. 28 DS-GVO und diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
(2) Verantwortlicher stimmt zu, dass der Auftragsverarbeiter sämtliche Inspektionsanfragen des Verantwortlichen durch den Nachweis der Einhaltung seiner Pflichten durch die momentane Zertifizierung ISO 27001 befriedigt und der Auftragsverarbeiter dem Verantwortlichen solche Berichte auf Anfrage zur Verfügung stellt.
(3) Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer in Bezug auf die Einhaltung dieser Vereinbarung und den Pflichten nach Art. 28 DS-GVO durch den Auftragsverarbeiter erforderlich sein, werden diese unter den folgenden Voraussetzungen durchgeführt: (i) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs; (ii) nach schriftlicher Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit; (iii) der Verantwortliche wird dem Auftragnehmer tatsächliche und zumutbare, durch Zeit- und Materialaufwand entstandene Kosten bis zu einer Höhe von 5000 Euro erstatten; (iv) Inspektionen können nur innerhalb eines Zeitraumes von 12 Monaten nach Beendigung des Hauptvertrages durchgeführt werden; (v) Inspektionen sind auf die für die Verarbeitung benutzten Systeme begrenzt.
(4) Außer in dem angemessenen Umfang, in dem ein solcher Zugang erforderlich ist, damit der Verantwortliche sein Prüfungsrecht gemäß § 6 Abs. 3 ausüben kann, ist Auftragsverarbeiter nicht verpflichtet, dem Verantwortlichen und den von ihm Beauftragten Zugang zu (i) jeglichen wirtschaftlich sensiblen Daten (einschließlich Firmen- oder Geschäftsgeheimnissen sowie finanziellen Informationen des Auftragsverarbeiters bezüglich Kosten, Aufwände oder Margen) oder zu (ii) jeglichen vertraulichen Informationen aufgrund des Gesetzes oder gegenüber anderen Kunden des Auftragsverarbeiters zu verschaffen. Auftragsverarbeiter wird die effektive Ausübung der Kontrolle derart ermöglichen, dass die Offenlegung solcher Informationen insbesondere durch geeignete organisatorische (z.B. Eskortieren des Kontrollierenden, zur Verfügung Stellung der Daten in einem Datenraum) oder technische Maßnahmen verhindert wird.
(5) Der Auftragsverarbeiter darf die Inspektionen von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung abhängig machen. Sollte der durch den Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragsnehmer stehen, hat der Auftragsnehmer gegen diesen ein Einspruchsrecht.
(6) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Verantwortlichen eine Inspektion vornehmen, gilt grundsätzlich § 6 Abs. 2 dieses Vertrages entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7
Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter darf sich zur Erfüllung des Vertrages Unterauftragsverarbeitern bedienen. Vor der Hinzuziehung oder Ersetzung von Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mit einer Frist von vier Wochen in Textform. Der Verantwortliche kann der Änderung nur aus wichtigem Grund widersprechen. Der Widerspruch hat binnen 14 Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, verfällt das Recht auf Widerspruch in dieser Unterauftragsverarbeitung.
(2) Über die im Folgenden aufgeführten, bei Vertragsschluss bereits bestehenden, Unterauftragsverarbeiter und Teilleistungen erfolgt keine gesonderte Information. Ein Widerspruchsrecht des Verantwortlichen besteht für die im Hauptvertrag vereinbarten, die im entsprechenden Auftrag erlaubten und die folgenden Unterauftragsverarbeiter nicht.
- SHL Group Ltd, The Pavillon, 1 Atwell Place, Thames Ditton, Surrey, KT7 0NE, Vereinigtes Königreich
- SHL (India) Private Limited, 9th Floor, Tower 10-B, DLF Cyber City, Phase-II, Gurgaon 122 002, Indien
- SHL US LLC, 5111 Washington Avenue South, Suite 500, Minneapolis, MN 55401 USA
- SHL Saville & Holdsworth (Proprietary) Limited, Erdgeschoss, Block D, Southdowns Office Park, Ecke John Voster Road und Karee Road, Iren Ext 54, Centurion 0157, South Africa
(3) Möchte der Auftragsverarbeiter einen weiteren Unterauftragsverarbeiter einschalten, informiert er den Verantwortlichen über die Identität und den Sitz des Unternehmens sowie darüber, welche Leistungspflichten von diesem Unternehmen als Unterauftragsverarbeiter erbracht werden sollen.
(4) Erteilt der Auftragsverarbeiter Aufträge an Unterauftragsverarbeiter, so obliegt es dem Auftragsverarbeiter, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Unterauftragsverarbeiter ebenfalls aufzuerlegen.
(5) Bei der Unterbeauftragung sind dem Verantwortlichen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung beim Unterauftragsverarbeiter einzuräumen. Dies umfasst auch das Recht des Verantwortlichen, vom Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
§ 8
Haftung
(1) Der Auftragsverarbeiter ist für die Implementierung der in diesem Vertrag festgelegten Maßnahmen verantwortlich. Der Auftragsverarbeiter haftet nicht für den Fall, dass diese Maßnahmen sich als unzureichend erweisen.
(2) Jegliche Haftung des Auftragsverarbeiters aufgrund zurechenbarem Ausfall der Ausführung dieses Vertrages oder aus jeglichem anderen Grund, untersteht der im Hauptvertrag vereinbarten Haftungsbegrenzung.
§9
Informationspflichten,Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen als „Verantwortlicher“ im Sinne der DS-GVO liegen.
(2) Änderungen und Ergänzungen dieses Vertrages und alles seiner Bestandteile - einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
(4) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.
(5) Die deutsche Version dieses Vertrages ist bei Unklarheiten ausschlaggebend.
Anlage 1
Art, Zweck und Spezifizierung der Auftragsverarbeitung durch den Auftragsverarbeiter für den Verantwortlichen
Zweck 1: Beratungsleistungen
Art und Zweck der Auftragsverarbeitung: Beratung oder Erbringung fachlicher Dienstleistungen. Die Erbringung der Dienstleistungen ist beratender oder vermittelnder Art. Es werden in begrenzter Form (unten näher beschrieben) persönliche Daten von den Bewerbern über die SHL Onlinesysteme erhoben, ebenso wie Antworten auf Assessment Fragen. Diese Daten werden analysiert, um einen Report mit den Assessment Ergebnissen zu erstellen.
Betroffene Kategorien von Personen sind: Verantwortlicher und Bewerber.
Die Arten von Daten umfassen (auf Ersuchen von Verantwortlichen): Persönliche Angaben, wie Name und Email Adresse.
Einzelheiten der Aus- und Fortbildung,
Einzelheiten der Beschäftigung,
Datenübermittlung:
Zur Erfüllung seiner vertraglichen Verpflichtungen aus dem Hauptvertrag nutzt SHL die SHL Group Ltd, um Hosting, Disaster Re-Covery und First-Line-Support für die SHL-Bewertungssysteme in seinen Rechenzentren in Deutschland sowie dem Disaster Recovery-Standort in Irland bereitzustellen.
Das von SHL verwendete Rechenzentrum ist eine Cloud-gehostete Lösung, die von Amazon Web Services bereitgestellt wird.
Darüber hinaus nimmt SHL Dienste von SHL Group Limited, ansässig in Großbritannien, SHL US LLC mit Firmensitz in den USA, SHL Saville & Holdsworth (Proprietary) Limited („SHL Südafrika“) mit Firmensitz in Südafrika sowie der SHL (Indien) Private Limited („SHL Indien“) mit Firmensitzen in Indien in Anspruch, um eine Unterstützung in Bezug auf die Netzwerkinfrastruktur und weitere Unterstützung der Kunden zur Verfügung zu stellen sowie Systemfehler zu beheben. Eine eingeschränkte Anzahl an Mitarbeitern der SHL Group Limited, SHL US LLC, SHL Indien und SHL Südafrika kann gelegentlich Zugang zu den personenbezogenen Daten erhalten, die in den SHL Auswahl-Systemen in der Europäischen Union gespeichert sind.
Anlage 2 Technische und organisatorische Maßnahmen
Die in dieser Anlage enthaltenen Angaben sind zum Zeitpunkt des Datums dieses Vertrages zutreffend. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in diesem Anlage 2 festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Allgemeines
SHL ist sich der Sensibilität der Daten, die sie im Auftrag von Kunden verarbeitet, bewusst und unternimmt alle zweckmäßigen Schritte, um sicherzustellen, dass die Sicherheitsmaßnahmen den höchsten Standards entsprechen. Sämtliche Leistungen von SHL werden von Rechenzentren aus erbracht, die ISO 27001 und/oder SAS70 Typ II zertifiziert sind. Die Einzelheiten aller relevanten Aspekte der Informationssicherheit sind im beigefügten Dokument Informationssicherheit bei SHL in Anhang 1 der Anlage 2 näher geregelt.
Die im Anhang 1 festgelegten technischen und organisatorischen Maßnahmen erfüllen insbesondere folgende Voraussetzungen:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems; - Trennungskontrolle
Logische Trennung der Daten nach der Client ID;
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Datenschutz-Management;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Verantwortlichen.
Anhang 1 – Informationssicherheit bei SHL
https://www.shl.com/legal/security-and-compliance/information-security/
Preamble
This agreement specifies the data protection obligations of the parties which arise from contract data processing on behalf of a third party (hereinafter referred to as “Agreement”), the subject matter of the data processing to be carried out by the Processor being stipulated by the contract entered into between Controller and Processor for SHL’s products and/or services (the “Main Contract”) and the nature and purpose of the commissioned data processing, the types of data and the categories of persons that are data subjects stipulated in Exhibit 1. It applies to all activities performed in connection with the purposes in Exhibit 1 in which the staff of the Processor or a third party acting on behalf of the Processor may come into contact with personal data of the Controller. The term of this Agreement shall follow the term of the Main Contract.
§ 1
Definitions
(1) “Personal Data"
‘Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person (Art. 4 GDPR).
(2) ”Instruction”
Instruction means the written instruction, issued by Controller to Processor, and directing the same to perform a specific action with regard to Personal Data (including, but not limited to, depersonalizing, blocking, deletion, making available). Instructions are laid out in this Agreement and may, from time to time thereafter, be amended, amplified, or replaced by Controller in separate written instructions (individual instructions). Instructions beyond the agreed services in this Agreement will be treated as request to amend these services.
§ 2
Scope and Responsibility
(1) Processor shall process Personal Data on behalf of Controller. Processing shall include such actions as may be specified in Exhibit 1. Within the scope of this Agreement, Controller shall be solely responsible for complying with the statutory requirements relating to data protection, in particular regarding the transfer of Personal Data to the Processor and the Processing of Personal Data (acting as "Controller" as defined in Art. 4, 24 GDPR).
(2) The regulations of this Agreement shall equally apply if testing or maintenance of automatic processes or of Processing equipment is performed on behalf of Controller, and access to Personal Data in such context cannot be excluded.
§ 3
Obligations of Processor
(1) Processor shall process Personal Data only within the scope of Controller's documented Instructions. Under the terms of the data processing on behalf of a third party as described in this Agreement, the Controller retains a right of instruction in writing as to the nature, scope and method of data processing in individual cases. Where Processor is obligated by national or European laws to perform processing in a way that deviates therefrom, Processor shall notify Controller thereof – to the extent legally permissible – prior to the beginning of the processing. The Processor shall then be entitled to suspend the execution of the relevant instructions until the Controller confirms or changes them. Any changes to the subject-matter of the processing must be agreed and documented together. The Processor may only pass on information to third parties or to the data subject with the prior written consent of the Controller.
(2) Within Processor's area of responsibility, Processor shall structure Processor's internal corporate organisation to ensure compliance with the specific statutory requirements of the protection of Personal Data. Processor shall take the appropriate technical and organisational measures as laid down in Exhibit 2 to adequately protect Controller's Personal Data. The measures shall be intended to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services on a long-term basis. Controller is aware of these technical and organisational measures. It is responsible for ensuring a level appropriate to the risk of the data to be processed.
An overview of the technical and organisational measures shall be attached to this Agreement as Exhibit 2. Processor may change the technical and organisational measures taken insofar as it is ensured that the contractually agreed level of protection is met.
(3) Processor shall ensure that it is prohibited for employees involved in the processing of Controller’s data and other persons working for Processor to process the data outside of Controller’s instructions. In addition, Processor shall ensure that the persons authorized to process the personal data have entered into a non-disclosure agreement or are subject to an appropriate statutory duty of professional secrecy. The confidentiality and secrecy obligation shall continue after the termination of the Agreement.
(4) The Processor has to appoint in writing a data protection official where stipulated by law – especially under Article 37 GDPR. Processor shall notify to Controller the contact details of the Processor's data protection official.
(5) The Processor shall immediately notify the Controller of any monitoring activities and measures undertaken by the supervisory authority pursuant the applicable data protection laws.
(6) Processor shall, without undue delay, inform Controller in case Processor becomes aware of infringements of the protection of Controller’s personal data. Processor shall take appropriate measures to safeguard the data and reduce any adverse effects on the data subjects and shall coordinate such with Controller without undue delay.
(7) Controller shall retain title as to any carrier media provided to Processor as well as any copies or reproductions thereof. Processor shall store such media safely and protect them against unauthorised access by third parties. Processor shall, upon Controller's request, provide to Controller all information on Controller's Personal Data and information. Processor shall rectify or delete contractual data where instructed by Controller and where covered by the scope of the instructions. Where deletion in accordance with data protection requirements or a corresponding limitation on data processing is not possible, Processor shall be responsible for destroying the data storage media and other materials in compliance with data protection laws based on an individual instruction by Controller, unless otherwise agreed herein.
(8) Processor undertakes to meet its obligations under Article 32 (1) d GDPR and to use a process for regularly testing the effectiveness of technical and organisational measures for ensuring the security of the processing. Within the Processor’s Group Company a Security Director is employed who regularly monitors data protection requirements and security within the group accordingly.
(9) Processor shall support Controller to the extent possible and within the scope of the contractually owed services in the fulfilment of the enquiries and claims of data subjects in accordance with Chapter III GDPR, as well as with regard to compliance with the obligations stated in Art. 32 to 36 GDPR.
§ 4
Obligations of Controller
(1) Controller and Processor shall be separately responsible for conforming with such statutory data protection regulations as are applicable to them.
(2) Controller shall inform Processor without undue delay and comprehensively about any errors or irregularities related to statutory provisions on the Processing of Personal Data detected during a verification of the results of such Processing.
(3) Any additional cost arising in connection with the return or anonymisation of Personal Data after the termination or expiration of the Agreement shall be borne by Controller.
(4) Any cost arising out of Processor's performance under Instructions outside the scope of services included in Exhibit 1 shall be borne by Controller.
(5) Controller shall designate to Processor the contact person for issues of data protection arising within the scope of the agreement
§ 5
Enquiries by Data Subjects
If a data subject contacts Processor with requests for rectification, deletion or access to personal data, Processor shall refer the data subject to Controller where an assignment to Controller is possible based on the information provided by the data subject. Controller reimburses Processor for the costs arising from this assistance.
§ 6
Verification and Audit Obligations
(1) Processor shall provide Controller with proof of compliance with the obligations laid down in Article 28 GDPR and in this Agreement by appropriate means.
(2) Controller agrees that Processor’s current ISO 27001 certification will be used to satisfy any audit or inspection requests by or on behalf of Controller, and Processor shall make such reports available to Controller upon request.
(3) Should in individual cases inspections by Controller or an inspector commissioned by Controller regarding the compliance of the obligations of this Agreement and Art. 28 GDPR be necessary, such inspections shall be performed subject to the following conditions: (i) during regular business hours without any interruption to operations; (ii) Inspections must be announced an appropriate time in advance in writing; (iii) Controller will reimburse Processor for actual, reasonable costs related to time and materials required to cooperate with such audits up to a maximum of 5,000 Euros; (iv)only during the term of the Main Contract and for 12 months following the expiry or termination of the Main Contract; and (vi) such inspection will be limited to the system used to perform the Services.
(4) Except to the extent such access is reasonably required to allow Controller to exercise its right to audit under clause § 6 (3), Processor shall not be required to provide Controller and its auditors access to: (i) any commercially sensitive information (including any trade or business secrets as well as any financial information of Processor revealing its own costs, overheads or margins); or (ii) any information subject to confidentiality obligations of Processor under law or other customers of Processor. Processor will enable the effective exercise of the audit or inspection in a manner designed to prevent the disclosure of such information, in particular by taking appropriate organizational (e.g. escorting the auditor, making available data in the data room) or technical measures.
(5) Processor may make such inspections dependent on the signing of an appropriate confidentiality agreement. Should the inspector commissioned by Controller be competing with Processor, Processor shall be entitled to a right of objection.
(6) Should a data protection authority or another public supervisory authority of Controller perform an inspection, § 6 (2) of this Agreement shall be applicable mutatis mutandi. The signing of a confidentiality agreement shall not be necessary where the supervisory authority is subject to a professional or statutory obligation of confidentiality, for which the criminal code provides punishment in case of infringement.
§ 7
Subprocessors
(1) Processor may subcontract contractual obligations hereunder. Prior to subcontracting or changes to existing subprocessors Processor informs Controller with a notice period of four weeks in text form. Controller shall object to the subcontracting only on material grounds. The objection has to be issued within 14 days and has to contain all material grounds. In case there is no objection, the subcontracting is deemed as approved.
(2) There will be no further information on already existing subprocessors at the time of the conclusion of the contract which are listed below. A right to objection by Controller does not exist in regards to subprocessors agreed upon in the Main Contract, permitted within the applicable order and the following subprocessors:
- SHL Group Ltd, The Pavilion, 1 Atwell Place, Thames Ditton, Surrey, KT7 0NE, United Kingdom
- SHL (India) Private Limited, 9th Floor, Tower 10-B, DLF Cyber City, Phase-II, Gurgaon 122 002, India.
- SHL US LLC with address at 5111 Washington Avenue South, Suite 500, Minneapolis, MN 55401, USA
- SHL Saville & Holdsworth (Proprietary) Limited, with address at Ground Floor, Block D, Southdowns Office Park, CNR of John Voster Road and Karee Road, Iren Ext 54, Centurion 0157, South Africa
(3) If the Processor wishes to commission another sub-processor Processor shall inform Controller about the identity of the subprocessor and its seat as well as on which obligations hereunder shall be sub-contracted.
(4) Where Processor engages subprocessors, Processor shall be obliged to pass on Processor's contractual obligations regarding data protection hereunder to such subprocessors.
(5) The above mentioned obligation especially also has to comprise the obligation to grant to the Controller the right to monitor and inspect the subprocessor in accordance with this Agreement. This also includes the right of the Controller to obtain information from the Processor, upon written request, on the substance of the contract and the implementation of the data protection obligations within the subcontract relationship, where necessary by inspecting the relevant contract documents.
§ 8
Liability
(1) Processor is responsible for the implementation of the measures as set out in this Agreement. Processor is not liable if these measures turn out to be insufficient.
(2) Any liability of Processor on account of imputable failure to perform the agreement or on any other ground, is governed by the limitation of liability as agreed upon in the Main Contract.
§9
Duties to Inform, Mandatory Written Form, Choice of Law
(1) Where Controller's Personal Data becomes subject to search and seizure, an attachment order, confiscation during bankruptcy or insolvency proceedings, or similar events or measures by third parties while being Processed, Processor shall inform Controller without undue delay, Processor shall, without undue delay, notify to all pertinent parties in such action, that any Personal Data affected thereby is in Controller's sole property and area of responsibility, that Personal Data is at Controller's sole disposition, and that Controller is the responsible body in the sense of the GDPR.
(2) No change of or amendment to this Agreement and all of its components (save for changes to Exhibit 2), including any commitment issued by Processor, shall be valid and binding unless made in writing and unless they make express reference to being a change or amendment to these regulations. The foregoing shall also apply to the waiver of this mandatory written form.
(3) In case of any contradiction, provisions of this Agreement on data protection shall take precedence over the provisions of the Main Contract. Should individual parties of this Agreement be ineffective, the effectiveness of the remaining parts of the agreement shall remain unaffected.
(4) This Agreement is governed by the laws of the Federal Republic of Germany.
(5) The German version of this Agreement prevails in case of discrepancies.
Exhibit 1
Nature, purposes and specification of Processing Personal Data by Processor on behalf of Controller:
Purpose 1: Consultancy and Advisory Services
Nature and purpose of processing: Giving advice or rendering professional services. The provision of services of an advisory, consultancy or intermediary nature. A limited amount of personal data (specified below), as well as answers to assessment questions, will be collected from job candidates through SHL’s online systems. That data will be analyzed to produce a report with the assessment results.
Categories of persons that are data subjects:
Clients
Candidates
Data types may include (as requested by the Controller):
Personal Details, including name and email address.
Education and Training Details
Employment Details
Data transfer location:
In order to fulfill its contractual obligations under the Main Agreement SHL uses SHL Group Ltd to provide hosting, disaster recovery, and first line support for the SHL assessment systems at its data centres in Germany with its disaster recovery location in Ireland. The data center SHL utilizes is a cloud-hosted solution delivered by Amazon Web Services.
Additionally SHL relies upon the services of SHL Group Limited which is based in the UK, SHL US LLC, which is based in the United States of America, SHL Saville & Holdsworth (Proprietary) Limited („SHL South Africa“), which is based in South Africa and SHL (India) Private Limited (“SHL India”), which is based in India, to provide network infrastructure support and other support services to clients. SHL India is used for the purposes of providing second line system support and fixing system errors. A limited number of staff from SHL US LLC, SHL India and SHL South Africa may have incidental access to Personal Data stored on the SHL assessment systems in the European Union.
Exhibit 2 TECHNICAL AND ORGANISATIONAL MEASURES
The information contained in this Exhibit is correct at the date of this agreement. The technical and organizational measures are subject to technical progress and development, and the Processor may implement adequate alternative measures. These must not be below the level of security provided by the measures specified in this Exhibit 2 to this Agreement. Any material changes must be documented.
General
SHL recognizes the sensitivity of the data it holds on behalf of customers and so takes all practical steps to ensure that its security arrangements meet the highest standard. All of SHL’s services are delivered from data centres which are ISO 27001 and/or are SAS70 type II certified. Details of all relevant aspects of information security are set out in the attached Information Security at SHL document, Attachment 1 of this Exhibit 2.
The technical and organisational measures defined in Attachment 1 in particular fulfill the following requirements:
1. Confidentiality (Article 32 Paragraph 1 Point b GDPR)
- Physical Access Control
No unauthorised access to data processing facilities - Electronic Access Control
No unauthorised use of the data processing and data storage systems - Internal Access Control (permissions for user rights of access to and amendment of data)
- Isolation Control
Logically isolated data, separated by client ID.
2. Integrity (Article 32 Paragraph 1 Point b GDPR)
- Data Transfer Control
No unauthorised reading, copying, changes or deletions of data with electronic transfer or transport - Data Entry Control
Verification, whether and by whom personal data is entered into a data processing system, is changed or deleted
3. Availability and Resilience (Article 32 Paragraph 1 Point b GDPR)
- Availability Control
Prevention of accidental or wilful destruction or loss - Rapid Recovery (Article 32 Paragraph 1 Point c GDPR) (Article 32 Paragraph 1 Point c GDPR);
4. Procedures for regular testing, assessment and evaluation (Article 32 Paragraph 1 Point d GDPR; Article 25 Paragraph 1 GDPR)
- Data Protection Management;
Incident Response Management; - Data Protection by Design and Default (Article 25 Paragraph 2 GDPR);
- Order or Contract Control
No third party data processing as per Article 28 GDPR without corresponding instructions from the Controller
Attachment 1 – Information Security at SHL
https://www.shl.com/legal/security-and-compliance/information-security/