DATENSCHUTZVEREINBARUNG (die “Vereinbarung”), abgeschlossen am 28. November 2022, zwischen

1. TU Career Center GmbH, eine österreichische Gesellschaft mit beschränkter Haftung, mit dem Sitz in Wien und der Geschäftsanschrift Wiedner Hauptstraße 15/2/5, 1040 Wien, eingetragen in das Firmenbuch des Handelsgerichts Wien unter FN 296928i ("TUCC");

2. Sindbad – Mentoring für Jugendliche Österreich, ein österreichischer Verein, mit dem Sitz in Wien und der Geschäftsanschrift Sparkassaplatz 3, 1150 Wien, eingetragen in das Vereinsregister der Landespolizeidirektion Wien unter ZVR 409303455 ("Sindbad" und gemeinsam mit TUCC, die "Parteien", jede eine "Partei").

PRÄAMBEL

A. Die Parteien schließen am oben genannten Datum eine Kooperationsvereinbarung bezüglich des "TU Impact Buddy Programm" ab (die "Kooperationsvereinbarung"), in dessen Rahmen personenbezogene Daten im Sinne des Art 4 Z 1 Datenschutz-Grundverordnung (DSGVO) erhoben werden sollen.
B. Die Parteien regeln deshalb in dieser Vereinbarung ihre Rechte und Pflichten als gemeinsame Verantwortliche gemäß Art 26 Abs 1 DSGVO für alle Tätigkeiten, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Parteien verarbeiten.

DIES VORAUSGESCHICKT, vereinbaren die Parteien wie folgt:

I. Definitionen und Anwendungsbereich

§ 1.1 Definitionen.  In dieser Vereinbarung kursiv gesetzte, nicht definierte Begriffe haben die ihnen in der Kooperationsvereinbarung zugewiesene Bedeutung.

§ 1.2 Anwendungsbereich.  Im Rahmen des "TU Impact Buddy Programm" (der "Anwendungsbereich") werden personenbezogene Daten in gemeinsamer Verantwortlichkeit verarbeitet (Art 26 DSGVO). Die Verarbeitung dieser Daten erfolgt laut der Kooperationsvereinbarung. Für Zwecke, welche nicht von der Kooperationsvereinbarung erfasst sind, ist jede Partei eigenständiger Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.

II. Wirkungsbereiche

§ 2.1 Wirkungsbereich TUCC.  Im Rahmen der gemeinsamen Verantwortlichkeit ist TUCC für die Verarbeitung der personenbezogenen Daten zuständig, welche im Rahmen der Serviceleistungen von TUCC (wie in der Kooperationsvereinbarung definiert) erhoben werden (der "Wirkungsbereich TUCC"). Gegenstand der Verarbeitung, deren Rechtsgrundlage die [Einwilligung der Programmteilnehmer] ist, sind die Datenarten/-kategorien 
(a) allgemeine Personendaten, unter anderem Geschlecht, Name, Geburtstag und Adresse;
(b) Bewerbungsdaten, unter anderem Lebenslauf, Antworten auf den Erwartungscheck und Strafregisterbescheinigung; und
(c) Studiendaten, unter anderem Matrikelnummer, Studienfortschritt und Sammelzeugnis.

§ 2.2 Wirkungsbereich Sindbad.  Im Rahmen der gemeinsamen Verantwortlichkeit ist Sindbad für die Verarbeitung der personenbezogenen Daten zuständig, welche im Rahmen der Serviceleistungen von Sindbad (wie in der Kooperationsvereinbarung definiert) erhoben werden (der "Wirkungsbereich Sindbad"). Gegenstand der Verarbeitung, deren Rechtsgrundlage die [Einwilligung der Programmteilnehmer  ] ist, sind die Datenarten/-kategorien 
(a) allgemeine Personendaten, unter anderem Geschlecht, Name, Geburtstag und Adresse;
(b) Bewerbungsdaten, unter anderem Lebenslauf, Antworten auf den Erwartungscheck und Strafregisterbescheinigung; und
(c) Studiendaten, unter anderem Matrikelnummer, Studienfortschritt und Sammelzeugnis.

III. Datenverarbeitung

§ 3.1 Datenspeicherung.  Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format. Die im Zuge der Abwicklung der Serviceleistungen zu verarbeitenden personenbezogenen Daten werden auf besonders geschützten Servern gespeichert.

§ 3.2 Datenerhebung.  TUCC und Sindbad tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind. Im Übrigen beachten die Parteien den Grundsatz der Datenminimierung im Sinne von Art 5 Abs 1 lit c DSGVO.

§ 3.3 Datenlöschung.  Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft. 

§ 3.4 Gegenseitige Information.
(a) Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die andere Partei weiterzuleiten. Diese ist verpflichtet, der anfragenden Partei die zur Auskunftserteilung notwendigen Informationen aus ihrem Wirkbereich unverzüglich zur Verfügung zu stellen.
(b) Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten und/oder der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

§ 3.5 Vertraulichkeit.
(a) Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß Art 28 Abs 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
(b) Die Implementierung, Voreinstellung und der Betrieb der Systeme sind unter Beachtung der Vorgaben der DSGVO und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.

§ 3.6 Verarbeitungsverzeichnis.  Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.

IV. Verpflichtungen

§ 4.1 Informationspflichten.  Die Parteien verpflichten sich, der betroffenen Person die gemäß Art 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Parteien sind sich einig, dass TUCC die Informationen zur Verarbeitung personenbezogener Daten im Wirkungsbereich TUCC und Sindbad die Informationen für die Verarbeitung der personenbezogenen Daten im Wirkungsbereich Sindbad bereitstellt.

§ 4.2 Auskunftspflichten. 
(a) Geltendmachung.  Betroffene Personen können die ihnen aus Art 15 bis 22 DSGVO zustehenden Rechte gegenüber beiden Parteien geltend machen.
(b) Ansprechpartner.  Die für die der Auskunftspflicht gemäß Art 15 DSGVO zuständigen "Ansprechpartner" der Parteien sind 
i. für TUCC [Daniela Mühlbacher], [0664 60 588 78 21 und [email protected]]; und
ii. für Sindbad [Matthias Lovrek], [0650 3633349, [email protected]]. 
Ein Wechsel des eines Ansprechpartners ist der anderen Partei unverzüglich mitzuteilen
(c) Auskunftserteilung.  Jede Partei verpflichtet sich, der Auskunftspflicht gemäß Art 15 DSGVO für ihren Wirkungsbereich nachzukommen und den betroffenen Personen auf Nachfrage diese Auskünfte zur Verfügung zu stellen. Die Anfrage ist an den zuständigen Ansprechpartner der nach Art. II zuständigen Partei ehestmöglich weiterzuleiten. Die Parteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Wirkungsbereich gegenseitig zur Verfügung. Die Auskunft an die betroffene Person ist schriftlich, per Einschreiben oder E-Mail, vorzunehmen und zu dokumentieren.

§ 4.3 Melde- und Benachrichtigungspflicht.  Sämtliche Parteien obliegt die aus Art 33 und 34 DSGVO resultierende Melde- und Benachrichtigungspflichte gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.

§ 4.4 Datenschutzfolgenabschätzung.  Ist eine Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.   

§ 4.5 Aufbewahrungspflicht.
(a) Dokumentationen im Sinne von Art 5 Abs 2 DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.
(b) Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art 32 ff DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.

V. Offenlegung

§ 5.1 TUCC verpflichtet sich, den wesentlichen Inhalt dieser Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den Mentor:innen und Firmenpartner:innen (wie in der Kooperationsvereinbarung definiert) zur Verfügung zu stellen (Art 26 Abs 2 DSGVO). 

§ 5.2 Sindbad verpflichtet sich, den wesentlichen Inhalt dieser Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den Mentees (wie in der Kooperationsvereinbarung definiert) und sonstigen betroffenen Personen zur Verfügung zu stellen (Art 26 Abs 2 DSGVO).   

VI. Auftragsverarbeiter

§ 6.1 Vertragspflicht.  Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich einen Vertrag gemäß Art 28 DSGVO abzuschließen und die schriftliche Zustimmung der anderen Partei vor Abschluss des Vertrages einzuholen. Jede Partei hat das Recht, die Beauftragung eines bestimmten Auftragsverarbeiters bei wichtigem Grund zu untersagen.

§ 6.2 Änderung der Verarbeiter.  Die Parteien informieren sich gegenseitig rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von als Subunternehmer eingesetzten Auftragsverarbeitern und beauftragen nur solche Subunternehmer, die die Anforderungen des Datenschutzrechts und die Festlegungen dieses Vertrages erfüllen. Nicht als Leistungen von Subunternehmern im Sinne dieser Regelung gelten Dienstleistungen, die die Vertragsparteien bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nehmen, beispielsweise Telekommunikationsdienstleistungen und Wartungen. Die Parteien sind jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der personenbezogenen Daten auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

VII. Gewährleistung und Haftung

§ 7.1 Gewährleistung.  Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.

§ 7.2 Haftung.
(a) Außenverhältnis. Unbeschadet der Regelungen dieser Vereinbarung haften die Parteien für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen.  [42law note – Das ist zwingendes Recht .]
(b) Innenverhältnis. Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkungsbereiches entstanden sind.
(c) Schad- und Klagloshaltung.  Verletzt eine Partei ihre hierin festgelegten Verpflichtungen, ohne vorhergehende schriftliche Zustimmung der anderen Partei, so hat sie die jeweils andere Partei klag- und schadlos hinsichtlich sämtlicher Ansprüche Dritter, die daraus resultieren, zu halten. Dies gilt unabhängig davon, ob der Schaden durch die jeweilige Partei selbst, von der Partei beauftragten Dritten, oder sonstigen Dritten verursacht worden ist.
(d) Haftungsausschluss.  Vorbehaltlich des vorstehenden Absatzes und ausgenommen bei Vorsatz und grober Fahrlässigkeit schließen die Parteien jede Gewährleistung oder Haftung aus oder im Zusammenhang mit dem Abschluss und der Durchführung dieser Vereinbarung gegenüber der jeweils anderen Partei aus.

VIII. Schlussbestimmungen

§ 8.1 Anwendbares Recht.  Es gilt ausschließlich österreichisches Recht.

§ 8.2 Schriftform.  Es wird festgehalten, dass keine mündlichen Nebenabreden getroffen wurden. Änderungen und Ergänzungen dieser Vereinbarung, einschließlich dieses § 8.2, bedürfen zu ihrer Wirksamkeit der Schriftform.

§ 8.3 Salvatorische Klausel.  Sollten einzelne Bestimmungen dieser Vereinbarung ungültig sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, welche dem Sinn und Zweck der unwirksamen Bestimmung und der Zwecksetzung der Parteien am nächsten entspricht.

§ 8.4 Gerichtsstand.  Alle Streitigkeiten aus und in Zusammenhang mit diesem Vertrag sind ausschließlich vor dem Handelsgericht Wien auszutragen.

§ 8.5 Wirksamkeit.  Dieser Vertrag wird wirksam zum späteren Zeitpunkt aus
(a) der Unterzeichnung dieses Vertrags; oder
(b) am Tag der Unterzeichnung der Kooperationsvereinbarung durch die TUCC und Sindbad.