Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen

  1. Allgemeines:

    1.1 Die allgemeinen Geschäftsbedingungen (im folgenden “AGB”) gelten für sämtliche Verträge/die gesamte Geschäftsverbindung zwischen StepStone Österreich GmbH (im folgenden “StepStone.at” genannt) und ihrem jeweiligen Vertragspartner. Die wechselseitigen Rechte und Pflichten zwischen StepStone.at und dem Vertragspartner bestimmen sich, soweit nicht ausdrücklich Abweichendes vereinbart ist, nach dem Inhalt des Auftrages und diesen AGB.1.2 Der Vertragspartner stimmt zu, dass für die gesamte Geschäftsverbindung ausschließlich von den AGB von StepStone.at auszugehen ist. Allfällige entgegenstehende oder den AGB´s von StepStone.at abweichende allgemeine Geschäftsbedingungen des Vertragspartners gelten nur insoweit als wirksam, wenn deren Geltung von StepStone ausdrücklich schriftlich bestätigt wurden, sodass diese nur dann Vertragsbestandteil werden können, wenn eine gesonderte Zustimmung von StepStone.at vorliegt.

  2. Anzeigenvertrag:

    2.1 Definition:Ein Anzeigenvertrag ist der Vertrag über die Einschaltung eines oder mehrerer Online-Inserate eines Stellenanbieters oder sonstiger Auftraggeber in den Online-SeDaten von StepStone.at zum Zweck der Verbreitung im Medium Internet.

    2.2 Vertragsabschluss:Der Anzeigenvertrag kommt zustande, wenna) StepStone.at den Auftrag schriftlich bestätigt. Die Schriftform wird durch die Zusendung eines Fax oder einer E-Mail gewahrt, oderb) StepStone.at die Stellenanzeige im Internet verbreitet.Der Vertragspartner ist an den von ihm erteilten Auftrag gebunden. Nach Zugang dieses Auftrages bei StepStone (sei es schriftlich, per Fax oder per E-Mail) kann der Vertragspartner seinen Auftrag nicht widerrufen (stornieren).2.3 Ablehnungsbefugnis:
    StepStone.at behält sich vor, Anzeigenaufträge wegen ihres Inhaltes, der Herkunft oder der technischen Form nicht zu veröffentlichen. Dies gilt insbesondere, wenn der Inhalt der Stellenanzeige gegen gesetzliche oder behördliche Verbote oder Vorgaben sowie gegen die guten Sitten und/oder die Allgemeinen Geschäftsbedingungen verstößt oder die Veröffentlichung für StepStone.at aus sonstigen Gründen unzumutbar ist. Der Vertragspartner wird hiervon unverzüglich unterrichtet. Für den Fall der berechtigten Ablehnung stehen dem Vertragspartner gegen StepStone.at keine Ansprüche zu. Eine Ablehnungsbefugnis besteht insbesondere auch, wenn folgende Anforderungen nicht eingehalten werden:

  • Jobtitel und Tätigkeitsbeschreibung müssen korrekt bezeichnet und dürfen nicht irreführend oder missverständlich sein.
  • Verschlagwortung, Kategorisierung, Titel und Anzeigentext der Anzeige müssen im Zusammenhang zu der in der Anzeige ausgeschriebenen Stelle stehen.
  • Die Inhalte müssen sich auf eine freie Position oder Tätigkeit beziehen. Werbung für Klub- oder Vereinsmitgliedschaften sind unzulässig. Unzulässig ist ferner Werbung für die Teilnahme an illegalen Strukturvertrieben.
  • Der Vertragspartner verpflichtet sich insbesondere, Anzeigen in Entsprechung zum Gleichbehandlungsgesetz zu gestalten. Dazu gehört auch, das geltende kollektivvertragliche oder das durch Gesetz oder andere Normen der kollektiven Rechtsgestaltung geltende Mindestentgelt für den ausgeschriebenen Arbeitsplatz anzugeben und auf die Bereitschaft zur Überzahlung hinzuweisen, wenn eine solche besteht.
  • Textverweise und/oder Verlinkungen innerhalb der Anzeige zu weiteren, nicht auf StepStone veröffentlichten Stellenangeboten und anderen Jobseiten sind nicht zulässig.
  • Für Jobkategorien, Branchen und Regionen kann eine maximale Zahl der möglichen Indexierungen gelten, diese Höchstzahlen sind einzuhalten. Weitere Informationen über Höchstbeträge teilen wir gerne auf Nachfrage mit.
  • Zulässige Links sind nur als sogenannte “no follow” Links zulässig, das heißt, sie sind so einzustellen, dass sie von Suchmaschinen nicht zur Berechnung der Linkpopularität herangezogen werden sollen.
  • Sämtliche Inhalte einer Anzeige müssen für den Nutzer direkt sichtbar sein. Soweit sie nicht explizit von StepStone als Teil besonderer Anzeigenprodukte angeboten werden, sind eigene Tracking Codes des Kunden und interaktive Elemente, die bspw. durch Klicks oder Mouse Over steuerbar sind, unzulässig. Ausgenommen hiervon sind Links auf andere Seiten und E-Mail-Adressen, die den Anforderungen dieser Ziffer im Übrigen genügen. In jedem Fall müssen Links so gestaltet sein, dass erkennbar ist, wenn sie auf externe Seiten verlinken.
  • Sämtliche Inhalte der Anzeige sind an StepStone zu übergeben und dürfen nicht über Frames oder andere Formen durch Abruf von anderen Servern eingebunden werden.
  • Jede Einflussnahme auf die Suchergebnislisten außerhalb der von StepStone vorgesehenen Möglichkeiten (Verschlagwortung und Kategorisierung, Titel und sichtbarer Text der Anzeige) ist unzulässig.
  • Die Anzeigen werden in HTML erstellt. In den Anzeigentext können nur die von StepStone zugelassenen Dateiformate eingebunden werden. Wir teilen auf Nachfrage gerne mit, welche Dateiformate zugelassen sind.

2.4 Rechte an der Anzeige / Urheberrechte:

2.4.1 StepStone.at ist für den Inhalt der zur Schaltung der Anzeige zur Verfügung gestellten Texte und Bildunterlagen nicht verantwortlich. StepStone.at ist insbesondere nicht verpflichtet, die Anzeige auf die allfällige Beeinträchtigung von Rechten Dritter hin zu überprüfen. Der Vertragspartner ist verpflichtet, StepStone.at auf Grund von Ansprüchen Dritter, die in irgendeiner Weise aus der Ausführung des Anzeigenauftrages gegen StepStone.at erwachsen, vollständig schad- und klaglos zu halten. Wird StepStone.at in Anspruch genommen, so steht ihr allein die Entscheidung zu, wie sie darauf reagiert, ohne dass der für den Inhalt verantwortliche Vertragspartner den Einwand unzureichender Rechtsverteidigung erheben kann.

2.4.2 Sofern im Rahmen der Veröffentlichung der Anzeige geschützte Markenrechte benutzt werden, wird mit Vertragsabschluss die Genehmigung zu deren Nutzung erteilt. Der Vertragspartner sichert zu, dass er zur Erteilung der Genehmigung berechtigt ist.

2.4.3 StepStone.at erwirbt an allen von ihr erstellten und veröffentlichten Stellenanzeigen die alleinigen Urheberrechte und/oder anderen Leistungsschutzrechte. Mit der Zahlung des Entgeltes durch den Auftraggeber, u.a. für die Erstellung des HTML-Layouts durch StepStone.at, ist, soweit nichts anderes schriftlich vereinbart wurde, keine Abtretung von Urheberrechten und/oder anderen Leistungsschutzrechten an den Vertragspartner oder den für diesen tätige Agentur verbunden. Sofern die von StepStone.at veröffentlichten Stellenanzeigen durch den Vertragspartner selbst oder eine für diesen tätige Agentur – einschließlich des HTML-Quelltextes – erstellt wurden, räumt der Vertragspartner StepStone.at das ausschließliche Nutzungsrecht ein, die Stellenanzeige in Bezug auf alle Nutzungsarten zu nutzen, die im Zusammenhang mit der Veröffentlichung der Stellenanzeige stehen. Der Vertragspartner sichert zu, dass er zur Übertragung dieser Rechte berechtigt ist. Insbesondere wird StepStone.at auch berechtigt, rechtswidrige Eingriffe in das Urheberrecht durch Dritte im Rahmen der Veröffentlichung im eigenen Namen abzuwehren und daraus resultierende Schadenersatzansprüche geltend zu machen.

2.4.4 Sämtliche von StepStone.at veröffentlichten Informationen (Texte, Bilder usw.) unterliegen dem Urheberrecht von StepStone.at. Ausgenommen hiervon sind ausschließlich die von StepStone.at veröffentlichten Informationen, deren Erstellung – einschließlich des HTML-Quelltextes – vom Vertragspartner selbst oder von einem für diesen tätigen Dritten unverändert zur Veröffentlichung übernommen wurden. Der Vertragspartner erklärt verbindlich, dass er zur Übertragung der Urheberrechte berechtigt ist und StepStone.at widrigenfalls gegenüber Ansprüchen Dritter schad- und klaglos halten wird. Insbesondere wird StepStone.at hierdurch auch berechtigt, rechtswidrige Eingriffe in Urheberrechte durch Dritte im Rahmen der Veröffentlichung im eigenen Namen abzuwehren oder hieraus resultierende Schadenersatzansprüche geltend zu machen.

2.5 Beginn der Veröffentlichung:

Die Anzeige ist zum vereinbarten Zeitpunkt zu veröffentlichen. Ist kein Veröffentlichungszeitpunkt vereinbart worden, so erfolgt die Veröffentlichung unverzüglich nach Abschluss des Anzeigenvertrages. Der Vertragspartner ist verantwortlich für die vollständige Anlieferung einwandfreier, geeigneter Anzeigenmittel. Verzögerungen, die infolge des Inhaltes des durch den Auftraggeber zur Veröffentlichung gestellten Anzeigentextes entstehen, seien sie inhaltlich oder technisch bedingt, sind allgemein durch StepStone.at nicht zu vertreten.

2.6 Ort der Veröffentlichung / Linking / Framing:

2.6.1 StepStone.at ist aufgrund des Anzeigenvertrages beauftragt, die Veröffentlichung der Stellenanzeigen des Vertragspartners auf ihren Internet-Seiten sowie im Rahmen von Kooperationen auf den Plattformen der Kooperationspartner von StepStone.at zu veranlassen.

2.6.2 StepStone.at ist berechtigt, jedoch nicht verpflichtet, die Stellenanzeigen auch in jedem von ihr frei bestimmbaren Printmedium zu veröffentlichen oder durch Dritte veröffentlichen zu lassen.

2.6.3 Der Vertragspartner nimmt zur Kenntnis, dass nach dem gegenwärtigen Stand der Technik nicht gänzlich ausgeschlossen werden kann, dass die von StepStone.at veröffentlichten Stellenanzeigen auch durch andere Internet-Anbieter kopiert, gelinkt und/oder mit Hilfe von Frames, als eigenes Angebot getarnt, zusätzlich veröffentlicht werden. Der Vertragspartner erteilt StepStone.at bereits jetzt alle gegebenenfalls erforderlichen Zustimmungserklärungen, um StepStone.at zu ermöglichen, im Rahmen des technisch und rechtlich Möglichen ein Kopieren, ein Linking und/oder Framing im vorgenannten Sinne zu unterbinden. Sollte es dennoch zu einem unberechtigten Linking und/oder Framing kommen, so kann der Vertragspartner daraus gegen StepStone.at keinerlei Ansprüche herleiten.

2.6.4 Festgehalten wird, dass der Vertragspartner ungeachtet des Anzeigenvertrages mit StepStone.at berechtigt ist, Dritte mit der Einschaltung eines gleichlautenden Online-Inserates zu beauftragen.

2.7 Änderung des Anzeigentextes:

2.7.1 StepStone.at ist verpflichtet, auf Aufforderung des Vertragspartners Änderungen an der durch sie verbreiteten Stellenanzeige des Vertragspartners während des Veröffentlichungszeitraumes vorzunehmen, sofern dies StepStone.at technisch und inhaltlich zumutbar ist. Ausgeschlossen sind jedenfalls Veränderungen, die die Identität der Anzeige betreffen, sodass im Falle der Änderung nicht mehr die ursprüngliche, sondern eine neue Stelle ausgeschrieben würde.

2.7.2 Änderungen, die mit geringem Aufwand durch StepStone.at zu bewirken sind, werden kostenlos durchgeführt. Darüber hinausgehende Änderungen werden nur gegen aufwandabhängiges Entgelt durchgeführt. In diesem Fall wird StepStone.at den Vertragspartner hierüber vorab unterrichten und die gewünschten Änderungen der Stellenanzeige erst dann vornehmen, wenn eine entsprechende schriftliche Bestätigung des Vertragspartners vorliegt.

2.7.3 StepStone.at ist nicht verpflichtet, nach Beendigung des Stellenanzeigevertrages die geschaltete Anzeige aufzubewahren. Allenfalls vom Vertragspartner zur Verfügung gestellte Vorlagen für die Stellenanzeige sind von StepStone.at nur auf ausdrückliche schriftliche Aufforderung des Vertragspartners aufzubewahren (maximal 3 Monate) und zurückzusenden.

2.7.4 Stellenanzeigen können von Nutzern, die einen persönlichen Account bei StepStone angelegt haben, in deren persönlichem StepStone Account für einen Zeitraum von maximal sechs Monaten abgespeichert werden und können für solche Nutzer dort auch über die vereinbarte Vertragslaufzeit einsehbar sein.

2.8 Veröffentlichungen auf Seiten unserer Kooperationspartner

Für Anzeigen, die auf Seiten geschaltet werden, die nicht von der StepStone Österreich GmbH betrieben werden, können zusätzliche Beschränkungen und Anforderungen gelten. Für Anzeigen auf stepstone.de gilt, dass der Aufruf zu Initiativ-Bewerbungen nicht zulässig ist. Wir weisen darauf hin, dass in anderen Ländern auch bestimmte gesetzliche Vorgaben und Verbote für Stellenanzeigen bestehen können (bspw. in Frankreich die Verpflichtung, Anzeigen nur in Französisch zu veröffentlichen). Diese sind einzuhalten. Konkrete Informationen über weitere Anforderungen und Beschränkungen für die nicht von StepStone Österreich betriebenen Seiten teilen wir gerne auf Nachfrage mit.

2.9  StepStone schaltet auf Wunsch des Vertragspartners bei den Stellenanzeigen einen Button, der mit „Jetzt Bewerben“ oder ähnlich beschriftet ist. Je nach Auswahl des Vertragspartners kann dieser Button entweder auf eine vom Vertragspartner benannte Seite verlinken oder auf ein von StepStone auf seinen Plattformen betriebenes und standardisiertes Bewerbungsformular, mit dem die Bewerber die mit dem Formular abgefragten Daten durch StepStone an den Vertragspartner übermitteln lassen können. Der Vertragspartner kann die Bewerbung nach seinem Wunsch im StepStone Kundencenter entgegennehmen. Dann wird StepStone die Bewerbung in das spezifische Account des Vertragspartners in die Bewerberverwaltung im StepStone Kundencenter übermitteln.

2.10   Wurde dem Vertragspartner nach Ziff. 2.9 eine Bewerbung  in das spezifische Account des Vertragspartners in die Bewerberverwaltung im StepStone Kundencenter übermittelt, kann der Vertragspartner diese dort einsehen und dabei auch Notizen zum jeweiligen Kandidaten erfassen und gegebenenfalls, je nach Funktionalität, einen Status der Bewerbung festhalten und mit dem Bewerber kommunizieren.

2.11  Im Zusammenhang mit der Bewerbung kann der Vertragspartner über die Bewerberverwaltung auch auf ein eventuelles Kandidatenprofil des Bewerbers zugreifen. Diese Zugriffsmöglichkeit auf das Kandidatenprofil besteht jedoch nur solange, wie es auch aktiv ist, d.h. ändert der Bewerber seine entsprechenden Einstellungen oder löscht sein Profil, ist auch kein Zugriff auf das Profil mehr möglich. Die vom Bewerber übermittelten Bewerbungsdaten bleiben davon unberührt.

2.12   Im Rahmen der Leistungen nach Ziff. 2.10  verarbeitet StepStone personenbezogene Daten im Auftrag des Vertragspartners im Sinne des Art. 28 DSGVO, es gelten hierfür die Zusatzbedingungen zur Auftragsverarbeitung. Die Leistungen nach Ziff. 2.11 erfolgen nicht als Auftragsverarbeitung, hier stellt StepStone lediglich die vom Bewerber bei StepStone gespeicherten Inhalte bereit und bleibt datenschutzrechtlich Verantwortlicher; soweit der Vertragspartner diese Daten nutzt, wird er gegebenenfalls weiterer Verantwortlicher.

3. Bewerberdatenbank:

3.1 Definition:

StepStone.at bietet Vertragspartnern die Möglichkeit, passwortgesichert und gegen gesonderte Vergütung auf die Datenbank für Stellensuchende (im Folgenden “Bewerberdatenbank”), in der sämtliche aktuellen Kandidatenprofile gesammelt sind, zuzugreifen. Dadurch können die Vertragspartner die Kandidaten über StepStone.at einzeln kontaktieren.

Je nach Wahl des Kandidaten kann auf Kandidatenprofile entweder in einer Form zugegriffen werden, in der nur bestimmte Daten offengelegt werden („teilweise aktives Profil“), oder so, dass sämtliche Daten seines Profils unmittelbar in der Datenbank offen einsehbar sind („offenes Profil“). Der Vertragspartner, der einen Zugang zur Bewerberdatenbank bucht, kann dort offene Profile mit den persönlichen Daten unmittelbar einsehen und eine Nachricht sowie bei anonymen Profilen eine Kontaktanfrage eingeben, die StepStone dann dem Kandidaten per Email übermittelt.

3.2 Weiterhin kann der Vertragspartner als kostenlose Zusatzleistung zu Kandidaten, deren Profile er anonym oder öffentlich einsehen kann, Kommentare in seinem Account speichern. Diese Kommentare speichert und verarbeitet StepStone im Auftrag des Vertragspartners im Sinne des Art. 28 DSGVO, es gelten hierfür die Zusatzbedingungen zur Klarstellend wird festgehalten, dass die übrigen Leistungen im Rahmen der Bewerberdatenbank nicht als Auftragsverarbeitung erfolgen, hier stellt StepStone lediglich die vom Bewerber bei StepStone gespeicherten Inhalte bereit und bleibt datenschutzrechtlich Verantwortlicher. Soweit der Vertragspartner diese Daten nutzt, wird er gegebenenfalls weiterer Verantwortlicher. Löscht ein Kandidat sein Kandidatenprofil oder schaltet es inaktiv, so ist ein Zugriff auf das Kandidatenprofil nicht mehr möglich, der jeweilige nach Ziff. 1.3 gespeicherte Kommentar ist dann ebenfalls nicht mehr verfügbar.

3.3 Der Vertragspartner verpflichtet sich persönliche Daten von Kandidaten nicht weiterzugeben, soweit dies nicht zur Besetzung einer konkret freien Stelle erforderlich ist, diese vertraulich zu behandeln und sämtliche datenschutzrechtlichen Bestimmungen einzuhalten. Die Daten von Kandidaten dürfen nur im Zusammenhang mit der Besetzung einer konkret freien Stelle verarbeitet und die Kandidaten nur zu diesem Zweck kontaktiert werden. StepStone geht davon aus, dass eine Speicherung für maximal 12 Monate, auch unter Berücksichtigung eventueller Abwehr von Ansprüchen wegen behaupteter Diskriminierung erforderlich ist, so dass der Vertragspartner sich verpflichtet, jegliche bei sich gespeicherte und von StepStone erhaltene Daten des Betroffenen spätestens 12 Monate nach Zugriff auf die Daten zu löschen. StepStone behält sich vor, bei Zuwiderhandlung den Zugang des Vertragspartners zu blockieren.
Der Vertragspartner weiß, dass für den Datentransfer aus dem Geltungsbereich der Europäischen Union oder des EWR hinaus besondere Regeln gelten. Der Vertragspartner wird daher personenbezogene Daten nur unter den Voraussetzungen der Artt. 44-49 DSGVO in Drittstaaten übermitteln.

3.4 Vertragsabschluss:

Der Vertrag über die Berechtigung zum Zugriff auf die Bewerberdatenbank kommt zustande, wenn StepStone.at den Auftrag schriftlich bestätigt. Die Schriftform wird auch durch die Zusendung eines Fax oder einer E-Mail gewahrt.

Der Vertragspartner ist an den von ihm erteilten Auftrag gebunden. Nach Zugang dieses Auftrages bei StepStone (sei es schriftlich, per Fax oder per E-Mail) kann der Vertragspartner seinen Auftrag nicht widerrufen (stornieren).

3.5 Der Vertragspartner nimmt zur Kenntnis, dass er seinen durch das Passwort gesicherten Zugriff vor Dritten zu schützen, insbesondere dass Passwort geheim zu halten und nicht Dritten weiter zu geben hat. Der Vertragspartner wird StepStone.at hinsichtlich sämtlicher Schäden, die StepStone.at auf Grund der vom Vertragspartner im Rahmen der Nutzung der Bewerberdatenbank vom Vertragspartner durchgeführten Handlungen entstehen, schad- und klaglos halten.

3.6 Ablehnungsbefugnis:

Die Versendung von Kontaktnachrichten an die Stellensuchenden im Rahmen des Zugriffs auf die Bewerbungsdatenbank ist unzulässig, soweit zweifelhafte Inhalte versendet werden, ein Verstoß gegen die guten Sitten vorliegt oder StepStone.at eine Duldung des Vorgehens aus sonstigen Gründen unzumutbar ist. Der Vertragspartner ist verpflichtet, im Rahmen des Zugriffes die einschlägigen datenschutzrechtlichen Bestimmungen einzuhalten. StepStone.at ist berechtigt, bei Nichteinhaltung bzw. Vorliegen vorgenannter Fälle/Verstöße die Leistungserbringung zu unterlassen und den Zugriff ohne vorherige Abmahnung des Vertragspartners zu sperren. Der Vertragspartner wird in diesem Fall unverzüglich unterrichtet und stehen diesem bei berechtigter Ablehnung der Leistungserbringung gegen StepStone.at keine Ansprüche zu.

4. Preise

4.1 Die Preise von StepStone.at bestimmen sich – vorbehaltlich einer abweichenden schriftlichen Vereinbarung – nach den jeweils gültigen Preislisten, die im Internet online über die Domain von StepStone.at “www.StepStone.at.” abrufbar sind. Maßgebend ist die Preisliste, die zum Zeitpunkt des Zuganges des Antrages des Vertragspartners von StepStone.at im Internet veröffentlicht ist.

4.2 Sämtliche von StepStone.at genannten Preise verstehen sich als Nettopreise exklusive sämtlicher Steuern.

5. Zahlungsbedingungen:

5.1 StepStone.at erstellt die Rechnung unverzüglich nach Auftragserteilung und übersendet diese an den Vertragspartner. Als Rechnungsadresse gilt neben der firmenmäßigen Anschrift auch die vom Vertragspartner bei Vertragsschluss selbst angegebene Adresse als vereinbart. Die Rechnung ist zahlbar unmittelbar nach Erhalt und haben Zahlungen an StepStone.at mit schuldbefreiender Wirkung ausschließlich auf das in der Rechnung von StepStone.at namhaft gemachte Konto zu erfolgen. Für die Rechtzeitigkeit der Zahlung ist bei Überweisungen die Gutschrift auf dem von StepStone.at bekannt gegebenen Konto maßgebend.

5.2 Wenn nichts anderes vereinbart wurde, sind alle Zahlungen spesen- und abzugsfrei unverzüglich nach Zugang der Rechnung an den Vertragspartner zu leisten.

5.3 Die Umsatzsteuer ist vom Gesamtpreis nach Rechnungslegung in voller Höhe zu leisten, wenn auch für die Bezahlung des Kaufpreises andere Zahlungskonditionen vereinbart wurden. Vom Vertragspartner sind die Mehrwertsteuergesetze zu berücksichtigen.

5.4 Bei Überschreitung des Zahlungszieles ist StepStone.at berechtigt, Verzugszinsen und Zinseszinsen in der Höhe von 12% p.a. zu berechnen. Pro Mahnung fallen Kosten in Höhe von EUR 30,- zzgl. USt an. Im Falle der Säumnis ist der Vertragspartner verpflichtet, neben den Verzugszinsen auch alle sonstigen prozessualen und außerprozessualen Kosten der Einbringlichmachung, auch die Kosten eines von StepStone.at beigezogenen Rechtsanwaltes, zu ersetzen. Darüber hinaus ist jeder weitere Schaden, insbesondere auch der Schaden, der dadurch entsteht, dass in Folge der Nichtzahlung entsprechend höhere Zinsen auf allfällige Kreditkonten von StepStone.at anfallen, unabhängig vom Verschulden am Zahlungsverzug zu ersetzen. Gegen den Vertragspartner geltend gemachte Ansprüche berechtigen diesen nicht, vereinbarte Zahlungen zurückzuhalten.

5.5 Bei Zahlungsverzug entfallen die dem Vertragspartner allenfalls eingeräumte Rabatte.

5.6 Die Aufrechnung mit Gegenforderungen oder die Zurückbehaltung von Zahlungen durch den Vertragspartner – aus welchen Gründen auch immer – ist mangels ausdrücklicher Vereinbarung unzulässig.

5.7 Für den Fall des Zahlungsverzuges oder der Zahlungsunfähigkeit des Vertragspartners ist StepStone.at berechtigt, die vertragliche Verpflichtungsausführung von Aufträgen bis zur vollständigen Bezahlung fälliger Rechnungsbeträge einstweilig einzustellen. In diesen Fällen ist StepStone.at auch berechtigt, bei Folgeaufträgen eine Vorausvergütung zur Bedingung für die Leistungserbringung zu machen. Weiters ist StepStone.at in diesen Fällen berechtigt, ohne Setzung einer Nachfrist den Rücktritt vom Vertrag zu erklären.

6. Gewährleistung, Schadenersatz, Irrtumsanfechtung:

6.1 StepStone.at stellt dem Vertragspartner die Möglichkeit des Zugriffs auf eigen Dienste sowie die ihrer nationalen wie internationalen Partner im Rahmen des Partnernetzwerkes “The Network” zur Verfügung. StepStone.at übernimmt keine Gewähr für die Richtigkeit der in ihren Diensten von den Stellensuchenden angegebenen Daten. StepStone.at unternimmt alle Anstrengungen, die angebotenen Dienste rund um die Uhr zur Verfügung zu stellen. Der Vertragspartner nimmt zustimmend zur Kenntnis, dass StepStone.at auf Grund von nicht beeinflussbaren äußeren Einwirkungen keine 100%-ige Verfügbarkeit der Dienste gewährleisten kann.

6.2 Die Gewährleistungsfrist beträgt 6 Monate. Die Einschaltung ist vom Vertragspartner unverzüglich, spätestens aber innerhalb von 3 Tagen nach der Veröffentlichung unter Bekanntgabe von Art und Umfang des Mangels zu prüfen. Feststellbare Mängel sind bei sonstigem Ausschluss jeglicher Ansprüche detailliert schriftlich StepStone.at mitzuteilen. Wird eine Mängelrüge nicht oder nicht rechtzeitig erhoben, gilt die Einschaltung als genehmigt. Die Geltendmachung von Gewähr- oder Schadenersatzansprüche, sowie das Recht auf Irrtumsanfechtung, sind in diesen Fällen ausgeschlossen.

6.3 StepStone.at behält sich das Recht vor, den Gewährleistungsanspruch nach ihrer Wahl durch Verbesserung/Austausch oder Preisminderung zu erfüllen. Preisminderung oder Wandlung können nur verlangt werden, sofern kein weiterer Verbesserungsversuch dem Vertragspartner zumutbar ist.

6.4 Die Haftung von StepStone.at ist auf Schäden, die bei der Stellenanzeige selbst auftreten, beschränkt, wobei StepStone.at nicht für durch die in Punkt 6.1 genannten Partner verursachte Schäden haftet. Die Haftung von StepStone.at für Folgeschäden, entgangenen Gewinn sowie sonstige indirekte Schäden wird – so weit gesetzlich zulässig – ausgeschlossen. Im Übrigen ist die Haftung von StepStone.at für Schäden wegen leichter oder grober Fahrlässigkeit ausgeschlossen. Etwaige Schadenersatzansprüche sind binnen 6 Monaten nach Eintritt des Schadens bei sonstiger Präklusion gerichtlich geltend zu machen.

6.5 Die Stellenanzeigen durch StepStone.at basieren ausschließlich auf den vom Vertragspartner erteilten Selbstauskünften und werden auf ihre inhaltliche Richtigkeit von StepStone.at nicht geprüft. StepStone.at kann daher von unrichtigen Angaben nicht zur Haftung herangezogen werden. Für den Inhalt, insbesondere dessen Richtigkeit und rechtliche Zulässigkeit der zur Schaltung der Anzeigen zur Verfügung gestellten Text- und Bildunterlagen trägt daher allein der Vertragspartner die Verantwortung.

6.6 Da die Vertragspartner einen Log-In-Namen sowie ein Passwort benutzen, sind sie für diese selbst verantwortlich und haften für Schäden, die durch missbräuchliche Verwendung oder Verlust entstehen.

6.7 Wartungsarbeiten, Aktualisierungen oder ähnliche Arbeiten werden von StepStone.at, wenn möglich so vorgenommen, dass Nutzungsausfallzeiten nicht auftreten. Soweit als möglich werden diese Arbeiten im Netz bekannt gegeben. Bei Unterbrechungen – aus welchen Gründen auch immer – können Ansprüche gegen den Betreiber nicht gestellt werden. Unterbrochene Übertragungen, die auf Netzausfälle zurückzuführen sind, auf die StepStone.at keinen Einfluss hat, sowie unterbrochene Übertragungen, die durch höhere Gewalt verursacht werden, können gegenüber StepStone.at keine Ansprüche begründen.

7. Gerichtsstand und anwendbares Recht:

7.1 Für alle Streitigkeiten aus oder im Zusammenhang mit einem Vertragsverhältnis, an welchem StepStone.at als Vertragspartner beteiligt ist, ist die ausschließliche Zuständigkeit des sachlich zuständigen Gerichtes in Wien vereinbart.

7.2 Es wird die ausschließliche Anwendbarkeit des österreichischen Rechtes unter Ausschluss des UN-Kaufrechtes vereinbart. Die Vertrags-, Bestell-, Beschwerde- und Geschäftssprache ist Deutsch.

8. Sonstiges:

8.1 Sollten etwaige Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, so bleiben die übrigen Bestimmungen hierdurch in ihrer Wirksamkeit unberührt. Anstelle einer etwa unwirksamen Bestimmung gilt als vereinbart, was in rechtlich zulässiger Weise der unwirksamen Bestimmung wirtschaftlich am nächsten kommt.

8.2 Mündliche Nebenabreden bestehen nicht. Sämtliche Vereinbarungen, nachträgliche Änderungen, Ergänzungen, Nebenabreden usw. bedürfen zu ihrer Gültigkeit der Schriftform. Dies gilt auch für das Abgeben von Schriftformerfordernis.

8.3 Der Vertragpartner hat Änderungen seiner Anschrift unverzüglich schriftlich bekannt zu geben. Schriftstücke gelten als dem Vertragspartner zugegangen, wenn sie an seine zuletzt bekannt gegebene Anschrift gesandt wurden.

8.4 Der Vertragspartner erteilt seine ausdrückliche und jederzeit widerrufbare Einwilligung, dass er über seine an StepStone.at mitgeteilten Kontaktdaten von StepStone.at zu Werbezwecken informiert wird.

8.5 StepStone.at behält sich das Recht vor, einzelne Bestimmungen dieser Vereinbarung zu ändern. StepStone.at wird solche Änderungen auf der Website veröffentlichen und wird dem Vertragspartner damit die Möglichkeit einräumen, den Vertrag unter Einhaltung einer einmonatigen Kündigungsfrist zum Monatsletzten aufzukündigen, wobei Schriftform als vereinbart gilt. Macht der Vertragspartner von dieser Kündigungsmöglichkeit keinen Gebrauch, gilt dies als Einverständnis zu den vorgenommenen Änderungen.

8.6 Die Vertragsbedingungen sind für Unternehmer als Vertragspartner konzipiert. Sollten Vertragspartner aber Verbraucher sein, so gelten die Bestimmungen für diese nur insoweit, als zwingenden Bestimmungen des Verbraucherschutzes nicht widersprochen wird.

 

Zusatzbedingungen zur Auftragsverarbeitung

  1. Auftragsverarbeitung

1.1 Im Rahmen der Kommentierungsfunktion nach Ziff. 3.2 und der Leistungen nach Ziff. 2.10 der Allgemeinen Geschäftsbedingungen verarbeitet StepStone für den jeweils dort beschriebenen Zweck in der jeweils beschriebenen Art personenbezogene Daten im Auftrag des Vertragspartners im Sinne des Art. 28 DSGVO unter Beachtung nachfolgender Regelungen.

1.2 StepStone verarbeitet die personenbezogenen Daten ausschließlich im Rahmen des Auftrages und gemäß den dokumentierten Weisungen des Vertragspartners außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor.

1.3 Die Auftragsverarbeitung erfolgt ausschließlich in Mitgliedsstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, soweit nicht eine anderweitige Weisung erteilt wurde und eine Übermittlung nach den Regelungen der Artt. 44 bis 49 DSGVO zulässig ist. Bereits mit Vertragsschluss wird die Weisung erteilt, im Rahmen der nach Ziff. 3 zu treffenden Maßnahmen personenbezogene Daten an den weiteren Auftragsverarbeiter Akamai Technologies, Inc., 150 Broadway, Cambridge, 02142 MA, USA gemäß untenstehendem Abschnitt 6 zu übermitteln. Die Übermittlung ist nach Art. 45 DSGVO zulässig, da Akamai Technologies, Inc Privacy Shield zertifiziert ist und somit nach dem Durchführungsbeschluss der Kommission (EU) 2016/1250 (http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016D1250&from=DE) ein angemessenes Datenschutzniveau besteht. Die Zertifizierung kann unter https://www.privacyshield.gov/participant?id=a2zt0000000Gn4RAAS&status=Active eingesehen werden.

1.4 Die Dauer der Auftragsverarbeitung entspricht der Dauer der Nutzung des Kundencenters, wobei Ende der Vertragslaufzeit über Anzeigenschaltungen oder die Nutzung der Bewerberdatenbank (DirectSearch Database) der entsprechende Zugriff deaktiviert wird, bei Abschluss eines neuen Vertrages wird der Zugriff wieder aktiviert, wenn nicht vorher der Vertrag über die Nutzung des zum Kundencenters beendet wurde.

1.5 Die Betroffenen sind im Rahmen der Bewerberverwaltung Personen, die sich auf eine offene Stelle beim Vertragspartner über das StepStone Bewerbungsformular beworben haben und im Rahmen der Direct Search Personen, die ein Profil bei StepStone

1.6 Die Art der personenbezogenen Daten sind im Rahmen der Bewerberverwaltung Lebenslaufdaten, wie insbesondere Kontaktdaten, Angaben zum Bildungsweg, zur Berufserfahrung und zu Kenntnissen und Interessen sowie weitere gegebenenfalls vom jeweiligen Kandidaten übermittelte Daten und vom Vertragspartner erfasste Daten zur Bewerbung, wie Kommentare des Vertragspartners oder ein vom Vertragspartner erstellter Status der Bewerbung.
Im Rahmen der Direct Search sind die Art der personenbezogenen Daten die vom Vertragspartner erstellten Kommentare zu den dort Betroffenen im Zusammenhang mit der Besetzung offener Stellen.

1.7 Gegenstand und Zweck der Verarbeitung ist im Rahmen der Bewerberverwaltung, dass die von Bewerbern übermittelten Bewerbungsdaten im StepStone Kundencenter für den Vertragspartner nach dessen Login im Kundencenter bereitgestellt werden und dort von ihm eingesehen werden können. Erstellt der Vertragspartner einen Kommentar oder einen Status der Bewerbung (funktionsabhängig), um diese zu verwalten, wird dies dort ebenfalls gespeichert. Soweit ein Status der Bewerbung angelegt werden kann, beauftragt der Vertragspartner StepStone bei Eingabe eines Status, den Bewerber unmittelbar über diesen Status zu unterrichten.

1.8 Gegenstand und Zweck der Verarbeitung ist im Rahmen der Bewerberdatenbank, dass der Vertragspartner Kommentare zu ihm über die Direct Search zugängliche Bewerber speichern kann.

1.9 Verweise in diesen Zusatzbedingungen zur Auftragsverarbeitung auf die Datenschutzgrundverordnung (DSGVO) sind bis zum 24.05.2018 als Verweise auf die entsprechende Regelung im Datenschutzgesetz 2000 (DSG 2000) auszulegen. Sofern es keine entsprechende Regelung im DSG 2000 gibt, entfällt die genannte Verpflichtung bis zum 24.05.2018 und findet erst mit Wirkung ab dem 25.05.2018 Anwendung.

2. Pflichten des Vertragspartners als Auftraggeber

2.1 Der Vertragspartner ist gemäß Art. 4 Nr. 7 DSGVO Verantwortlicher im datenschutzrechtlichen Sinne für die bei StepStone vertragsgemäß verarbeiteten personenbezogenen Daten.

2.2 Der Vertragspartner informiert StepStone unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

2.3 Der Vertragspartner führt ein Verzeichnis für Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO.

 3. Pflichten von StepStone als Auftragnehmer

3.1 StepStone informiert den Vertragspartner unverzüglich, wenn StepStone der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. StepStone darf die Umsetzung der Weisung solange aussetzen, bis sie vom Vertragspartner bestätigt oder abgeändert wurde.

3.2 StepStone hält die Bestimmungen dieses Vertrages und einschlägige Datenschutzrechte, einschließlich der DSGVO, ein.

3.3 StepStone trifft geeignete organisatorische und technische Maßnahmen entsprechend den einschlägigen Datenschutzgesetzen, einschließlich der DSGVO und insbesondere deren Art. 32, um die personenbezogenen Daten der Betroffenen und ihre Rechte und Freiheiten unter Berücksichtigung von Implementierungskosten, dem Stand der Technik, Art, Umfang und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos zu schützen. Diese Schutzmaßnahmen sind in der Übersicht zu technisch-organisatorischen Maßnahmen festgehalten, welches unter Anlage 2 abgerufen werden kann. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist StepStone zur Wirkungsüberprüfung und entsprechender Anpassung bei Fortschritten nach dem Stand der Technik berechtigt. Alternative Sicherheitsmaßnahmen sind gestattet, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und dem Vertragspartner unverzüglich anzuzeigen. Werden die Maßnahmen so geändert, dass aus der Sicht des Vertragspartners StepStone keinen gleichwertigen oder einen höheren Schutz der Daten garantieren kann, hat der Vertragspartner nach erfolgloser Erteilung von Weisungen das Recht zur außerordentlichen Kündigung. Gleiches gilt bei unterlassener Anzeige solcher Änderungen.

3.4 StepStone stellt dem Vertragspartner die für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung und führt gemäß Art. 30 Abs. 2 bis 5 DSGVO ein eigenes Verzeichnis zu allen Kategorien von im Auftrag von Vertragspartner durchgeführten Tätigkeiten der Verarbeitung.

3.5 Alle Personen, die auftragsgemäß auf im Auftrag des Vertragspartners verarbeitete personenbezogene Daten zugreifen können, sind gemäß Art. 28 Abs. 3 b) DSGVO zur Vertraulichkeit zu verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung zu belehren.

3.6 StepStone ist zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage von StepStone leicht zugänglich hinterlegt.

3.7 StepStone gewährleistet den Schutz der Rechte betroffener Personen und unterstützt den Vertragspartner im notwendigen Umfang bei der Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten gemäß Art. 12 – 23 DSGVO. StepStone informiert den Vertragspartner unverzüglich, falls sich ein Betroffener zum Zwecke der Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner personenbezogenen Daten unmittelbar an StepStone wendet.

StepStone unterstützt den Vertragspartner bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und der daraus resultierenden Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO im notwendigen Umfang. StepStone unterstützt den Vertragspartner im Hinblick auf die Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzverletzungen im Sinne von Art. 33 und 34 DSGVO.

3.8 StepStone unterrichtet den Vertragspartner unverzüglich in Textform bei Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO im Zusammenhang mit der Datenverarbeitung oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten für den Vertragspartner. StepStone hat im Benehmen mit dem Vertragspartner angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen, soweit die Datenschutzverletzung der Verantwortung von StepStone lag.

3.9 Bei Ermittlungen der Datenschutzbehörde bei StepStone ist der Vertragspartner, soweit diese Ermittlungen den Vertragsgegenstand betreffen, unverzüglich zu informieren.

3. 10 Für den Fall, dass StepStone eine Verarbeitung von Daten vom Vertragspartner – einschließlich einer Übermittlung in ein Drittland oder an eine internationale Organisation – beabsichtigt, ohne hierzu vom Vertragspartner angewiesen worden zu sein, d.h. weil StepStone hierzu entsprechend Art. 28 Abs. 3 S. 1 a DSGVO verpflichtet ist, wird StepStone den Vertragspartner unverzüglich über Zweck, Rechtsgrund und betroffene Daten informieren, soweit und solange StepStone eine solche Mitteilung nicht gesetzlich untersagt ist.

4. Überprüfungen einschließlich Inspektionen

4.1 StepStone stellt dem Vertragspartner alle erforderlichen Informationen zum Nachweis der in diesem Vertrag niedergelegten Pflichten zur Verfügung. StepStone ermöglicht dem Vertragspartner vor Beginn und während der Laufzeit dieser Vereinbarung nach angemessener vorherige Ankündigung und während der üblichen Geschäftszeiten (9:00-18.00 Uhr) die Durchführung von Überprüfungen, einschließlich Inspektionen nach Maßgabe des Art. 28 Abs. 3 h) DSGVO. Der Vertragspartner ist berechtigt, sich selbst oder durch geeignete, zur Berufsverschwiegenheit verpflichtete Dritte vor Beginn und während der Auftragsverarbeitung, nach rechtzeitiger Anmeldung in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis dieser Überprüfungen wird jeweils dokumentiert und ist von beiden Parteien zu unterschreiben.

4.2 Zum Nachweis der technischen und organisatorischen Maßnahmen kann StepStone auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.

 5. Weitere Auftragsverarbeiter

5.1 Mit Erteilung des Auftrags werden die im unter Anlage 1 abrufbaren Unterauftragnehmerverzeichnis aufgelisteten Unterauftragsverarbeiter genehmigt. StepStone kann Aufträge an weitere Auftragsverarbeiter (Unterauftragsverarbeiter) vergeben, indem StepStone den Vertragspartner vorab über die Hinzuziehung oder Ersetzung neuer Unterauftragsverarbeiter durch Änderung des Unterauftragsverzeichnisses in Textform informiert und der Vertragspartner binnen 4 Wochen keinen Einspruch erhebt. Im Falle eines Einspruches ist StepStone berechtigt, die Kommentierungsfunktion nach Ziff. 3.2 bzw. die Bewerberverwaltung nach Ziff. 2.10 der Allgemeinen Geschäftsbedingungen einzustellen.

5.2 StepStone hat den Unterauftragsverarbeitern dieselben Datenschutzpflichten aufzuerlegen, die in dieser Produktbezogenen Bedingungen StepStone Auftragsverarbeitung  festgelegt sind, so dass die Verarbeitung den Anforderungen der DSGVO entspricht.

5.3 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

5.4 Dienstleistungen, die bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch genommen werden, gelten nicht als Unterauftragsverarbeiter. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. StepStone ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten vom Vertragspartner auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Überprüfungsmaßnahmen zu ergreifen.

6.Löschung und Rückgabe

Mit Ende des Vertrages über das StepStone Kundencenter löscht StepStone die für den Vertragspartner verarbeiteten Daten. Ansonsten löscht StepStone die Daten spätestens ein Jahr nach Eingang der Bewerbung in der Bewerberverwaltung sowie nach Aufforderung des Auftraggebers.

 

Unterauftragnehmerverzeichnis zu den Zusatzbedingungen zur StepStone Auftragsverarbeitung

Die im Folgenden aufgelisteten Unterauftragsverarbeiter von StepStone werden bei Erteilung des Auftrags genehmigt.

Firma Anschrift Leistung
StepStone GmbH Axel-Springer-Str. 65,
10969 Berlin
Deutschland
–      Hosting and damit verbundene Sicherheitsleistungen

–      Back-Up Leistungen

–      Kundendienst-Unterstützung zur Fehlerbehebung

StepStone Continental Europe GmbH Völklinger Straße 1, 40219 Düsseldorf
Deutschland
–      Hosting and damit verbundene Sicherheitsleistungen

–      Back-Up Leistungen

–      Kundendienst-Unterstützung zur Fehlerbehebung

StepStone N.V. Koningsstraat 47 Rue Royale,
1000 Brussel
Belgien
–      Hosting and damit verbundene Sicherheitsleistungen

–      Back-Up Leistungen

–      Kundendienst-Unterstützung und Fehlerbehebung

StepStone Services sp. z o.o. ul. Domaniewska 50, 02-672 Warschau,
Polen
Kundendienst-Unterstützung zur Fehlerbehebung
Akamai Technologies GmbH Parkring 20-22
85748 Garching
Deutschland
StepStone nutzt Akamai im Rahmen der technisch-organisatorischen Schutzmaßnahmen als Web Application Firewall und liefert Inhalte an die Webseitenbesucher daher über Akamai aus, um seine Systeme zu schützen.

 

Akamai Technologies, Inc. 150 Broadway, Cambridge, 02142 MA, USA Akamai Technologies GmbH schaltet als Subunternehmer Akamai Technologies, Inc ein.
Amazon Webservices, Inc. 410 Terry Drive Ave North
WA 98109-5210 Seattle
USA
Hosting and damit verbundene Sicherheitsleistungen (ausschließlich innerhalb der EU erbracht)

 

Übersicht zu technisch-organisatorischen Maßnahmen zu den Zusatzbedingungen zur StepStone Auftragsverarbeitung

Technisch-organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Zutrittskontrolle

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;

Die Datencenter haben eine vielschichtige Sicherheitsstruktur. Die Außenbereiche der Datencenter sind durch Hochsicherheitszäune und Mauern ausgestattet. Die Eingänge sind durch Sicherheitspersonal 24 Stunden, sieben Tage die Woche geschützt. Die Anlagen werden mit Sicherheitskameras überwacht. Zugang zu den Serverräumen ist durch Magnetkarten gesichert. Die Anlagen sind in verschlossenen Serverschränken aufbewahrt.

Umfassende Sicherheitsmaßnahmen bestehen auch bei den jeweiligen StepStone-Standorten. Zutritt ist nur mittels Magnetkarten möglich und Besuchern muss speziell Zutritt gewährt werden.

  • Zugangskontrolle

Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

Der Vertragspartner kann ausschließlich auf die in seinem Auftrag verarbeiteten Daten zugreifen, nachdem er sich in den Vertragspartnernbereich mit dem von ihm definierten Passwort eingeloggt hat. StepStone speichert die Log-In Details ausschließlich in verschlüsselter Form.

Der Datenfluss zwischen Nutzern und dem System ist standardmäßig Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird

StepStone nutzt die Dienste von Akamai als Web Application Firewall für seine Systeme.

StepStone hat eine interne Passwortrichtlinie für seine Mitarbeiter, die unter anderem erfordert, dass Passworte mindestens acht Zeichen lang sein und regelmäßig gewechselt werden müssen, nicht identisch oder ähnlich mit dem Benutzernamen sein dürfen, mindestens drei der vier folgenden Zeichen enthalten müssen: i) Großbuchstaben, ii) Kleinbuchstaben, iii) Ziffern, iv)Symbole

  • Zugriffskontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

Die Zugriffsrechte des Vertragspartnern sind streng begrenzt auf die Daten, die tatsächlich im Auftrag des jeweiligen Vertragspartnern verarbeitet werden. Nur spezifisch definiertes StepStone-Personal kann auf Daten zugreifen, die im Auftrag des Vertragspartnern verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Vertragspartnern erforderlich ist.

Das System protokolliert sämtliche Vorgänge über Datenverarbeitungen im Auftrag des Vertragspartnern.

  • Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;

Das StepStone Kundencenter ist mandantenfähig, so dass jeder einzelne eingeloggte Vertragspartner nur die Daten einsehen kann, die mit seinem Account verbunden sind.
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

Ist nicht einschlägig, da der Vertragspartner einen nicht-pseudonymisierten Zugriff auf die Daten benötigt.
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Weitergabekontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

Sämtliche über öffentlich zugängliche Netzwerke gesendete Daten sind Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird
  • Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement

 

Das StepStone System protokolliert die Aktivitäten eines jeden Log-Ins und Log-Outs sowie jegliche Bearbeitung, Hinzufügung, Veränderung und Löschung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

 

 

Antivirusproramme und Firewalls werden eingesetzt. StepStone nutzt Akamais Dienste als Web Application Firewall für seine Systeme.

Die Hosting Umgebung ist mit Feuermeldern, Wasserundichtigkeitsdetektoren und erhöhten Böden ausgestattet. Temepratur und Luftfeuchtigkeit werden konstant überwacht, um vordefinierte Werte einzuhalten. Es besteht eine ununterbrochene Stromversorgung von mindestens 72 Stunden.

  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

 

Rasche Wiederherstellbarkeit wird gewährleistet durch

 

·        Back-up Prozeduren;

·        Ununterbrochene Stromversorgung (USV);

·        Getrennte Speicherung;

·        Virenschutz und Firewalls;

·        Notfallpläne und Krisenpläne;

·        Mitarbeiterschulungen;

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) Wir veranstalten regelmäßige Prüfungen mit externen Dienstleistern, um unsere Datensicherheitsstandards und-prozesse zu prüfen. Network Penetration Tests werden regelmäßig durchgeführt.

Wir verfolgen und überprüfen Protokolle auf zwei Ebenen, bevor die entsprechende Anfrage unsere Anwendungsserver erreicht. Dies erfolgt auf einer Firewall und einer Web Application Firewall Ebene. Dadurch können wir sämtliche außergewöhnlichen Anfragen auf Datenbereitstellungsebene an die Datenbank analysieren und sperren, und dadurch SQL injectionVersuche unterbinden. Das System selbst protkolliert fehlerhafte Anmeldeversuche, wenn die Anfrage durch Firewall und WAF erfolgte.

Unsere Datenschutzmaßnahmen werden kontinuierlich in einem PDCA-Zyklus überprüft.

Technisch-organisatorische Maßnahmen
5. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Zutrittskontrolle

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;

Die Datencenter haben eine vielschichtige Sicherheitsstruktur. Die Außenbereiche der Datencenter sind durch Hochsicherheitszäune und Mauern ausgestattet. Die Eingänge sind durch Sicherheitspersonal 24 Stunden, sieben Tage die Woche geschützt. Die Anlagen werden mit Sicherheitskameras überwacht. Zugang zu den Serverräumen ist durch Magnetkarten gesichert. Die Anlagen sind in verschlossenen Serverschränken aufbewahrt.

Umfassende Sicherheitsmaßnahmen bestehen auch bei den jeweiligen StepStone-Standorten. Zutritt ist nur mittels Magnetkarten möglich und Besuchern muss speziell Zutritt gewährt werden.

  • Zugangskontrolle

Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

Der Vertragspartner kann ausschließlich auf die in seinem Auftrag verarbeiteten Daten zugreifen, nachdem er sich in den Vertragspartnernbereich mit dem von ihm definierten Passwort eingeloggt hat. StepStone speichert die Log-In Details ausschließlich in verschlüsselter Form.

Der Datenfluss zwischen Nutzern und dem System ist standardmäßig Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird

StepStone nutzt die Dienste von Akamai als Web Application Firewall für seine Systeme.

StepStone hat eine interne Passwortrichtlinie für seine Mitarbeiter, die unter anderem erfordert, dass Passworte mindestens acht Zeichen lang sein und regelmäßig gewechselt werden müssen, nicht identisch oder ähnlich mit dem Benutzernamen sein dürfen, mindestens drei der vier folgenden Zeichen enthalten müssen: i) Großbuchstaben, ii) Kleinbuchstaben, iii) Ziffern, iv)Symbole

  • Zugriffskontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

Die Zugriffsrechte des Vertragspartners sind streng begrenzt auf die Daten, die tatsächlich im Auftrg des jeweiligen Vertragspartners verarbeitet werden. Nur spezifisch definiertes StepStone-Personal kann auf Daten, die im Auftrag des Vertragspartners verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Vertragspartners erforderlich ist.

Das System protokolliert sämtliche Vorgänge über Datenverarbeitungen im Auftrag des Vertragspartners.

  • Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;

Das StepStone Kundencenter ist mandantenfähig, so dass jeder einzelne eingeloggte Vertragspartner nur die Daten einsehen kann, die mit seiem Account verbunden sind.
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

Ist nicht einschlägig, da der Vertragspartner einen nicht-pseudonymisierten Zugriff auf die Daten benötigt.
6. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Weitergabekontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

 

Sämtliche über öffentlich zugängliche Netzwerke gesendete Daten sind Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird

 

 

  • Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement

 

Das StepStone System protokolliert die Aktivitäten eines jeden Log-Ins und Log-Outs sowie jegliche Bearbeitung, Hinzufügung, Veränderung und Löschung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).
7.  Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

 

  • Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

 

 

Antivirusproramme und Firewalls werden eingesetzt. StepStone nutzt Akamais Dienste als Web Application Firewall für seine Systeme.

Die Hosting Umgebung ist mit Feuermeldern, Wasserundichtigkeitsdetektoren und erhöhten Böden ausgestattet. Temepratur und Luftfeuchtigkeit werden konstant überwacht, um vordefinierte Werte einzuhalten. Es besteht eine ununterbrochene Stromversorgung von mindestens 72 Stunden.

  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

 

Rasche Wiederherstellbarkeit wird gewährleistet durch

·        Back-up Prozeduren;

·        Spiegelung von Festlaufwerken, bspw. RAID-Prozeduren;

·        Ununterbrochene Stromversorgung (USV);

·        Getrennte Speicherung;

·        Virenschutz und Firewalls;

·        Notfallpläne und Krisenpläne;

·        Mitarbeiterschulungen;

8.  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) Wir veranstalten regelmäßige Prüfungen mindestens einmal im Jahr, um unsere Datensicherheitsstandards und-prozesse zu prüfen. Network Penetration Tests werden regelmäßig durchgeführt.

Wir verfolgen und überprüfen Protokolle auf zwei Ebenen, bevor die entsprechende Anfrage unsere Anwendungsserver erreicht. Dies erfolgt auf einer Firewall und einer Web Application Firewall Ebene. Dadurch können wir sämtliche außergewöhnlichen Anfragen auf Datenbereitstellungsebene an die Datenbank analysieren und sperren, und dadurch SQL injectionVersuche unterbinden. Das System selbst protkolliert fehlerhafte Anmeldeversuche, wenn die Anfrage durch Firewall und WAF erfolgte.

Unsere Datenschutzmaßnahmen werden kontinuierlich in einem PDCA-Zyklus überprüft.

 

02.05.2018