Schutz persönlicher Daten
1. Einleitende Bestimmungen
Diese Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten (nachfolgend: Richtlinie) regelt die Grundsätze des Schutzes und der Verarbeitung personenbezogener Daten, die der Auftragnehmer im Rahmen der Bereitstellung der Anwendung und der damit verbundenen Dienstleistungen für Kunden im geschäftlichen (B2B-)Umfeld verarbeitet.
Die Richtlinie wurde in Übereinstimmung mit folgenden Vorschriften erstellt:
• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung – DSGVO),
• Gesetz zum Schutz personenbezogener Daten (ZVOP-2),
• geltendem arbeitsrechtlichem Recht der Republik Slowenien,
• sonstigem geltenden Recht der Europäischen Union.
Die Richtlinie ist öffentlich auf der Website des Auftragnehmers zugänglich. Verträge, Bestellungen oder Allgemeine Geschäftsbedingungen des Auftragnehmers können ausdrücklich auf diese Richtlinie verweisen; in diesem Fall bildet sie einen integrierenden Bestandteil derselben in dem im Vertrag festgelegten Umfang.
2. Begriffsbestimmungen
• Auftragnehmer ist eine juristische oder natürliche Person, die die Anwendung bereitstellt und in diesem Zusammenhang als Auftragsverarbeiter personenbezogener Daten auftritt.
• Auftraggeber ist ein Geschäftspartner, der die Anwendung nutzt und als Verantwortlicher für die Verarbeitung personenbezogener Daten auftritt.
• Anwendung ist die Informationslösung des Auftragnehmers.
• Personenbezogene Daten haben die in der DSGVO festgelegte Bedeutung.
• Besondere Kategorien personenbezogener Daten sind die in Artikel 9 DSGVO genannten Daten.
• Audit-Trail (Protokollierung) bezeichnet eine elektronische Aufzeichnung von Zugriffen, Einsichten, Änderungen und Löschungen personenbezogener Daten innerhalb der Anwendung.
3. Rollen bei der Verarbeitung personenbezogener Daten
(1) In Bezug auf personenbezogene Daten der Beschäftigten des Auftraggebers:
– der Auftraggeber handelt als Verantwortlicher,
– der Auftragnehmer handelt als Auftragsverarbeiter gemäß Artikel 28 DSGVO.
(2) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers und ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen.
4. Verantwortlicher und Auftragsverarbeiter
Auftragsverarbeiter (Auftragnehmer):
Kopa, računalni inženiring d.d.
Kidričeva 14
2380 Slovenj Gradec
Slowenien
Tel.: +386 2 88 39 700
E-Mail: info@kopa.si
Verantwortlicher:
Der jeweilige Auftraggeber, wie im einzelnen Vertrag festgelegt.
5. Kategorien betroffener Personen und Arten personenbezogener Daten
5.1 Kategorien betroffener Personen
Beschäftigte sowie andere Personen in einem Arbeits- oder vergleichbaren Rechtsverhältnis zum Auftraggeber.
5.2 Arten personenbezogener Daten
In der Anwendung können folgende personenbezogene Daten verarbeitet werden:
• Identifikations- und Kontaktdaten,
• Daten zum Beschäftigungsverhältnis,
• Daten zur Nutzung der Anwendung,
• besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO, die rechtmäßig in den Personalunterlagen des Auftraggebers geführt werden (z. B. Gesundheitsdaten, Daten zur Behinderung, Gewerkschaftszugehörigkeit).
Der Auftragnehmer bestimmt weder Inhalt, Zweck noch Rechtmäßigkeit dieser Daten.
6. Zweck der Verarbeitung
Personenbezogene Daten werden ausschließlich verarbeitet zum Zweck der:
• Führung und Verwaltung der Aufzeichnungen des Auftraggebers,
• Sicherstellung des Betriebs der Anwendung,
• Verwaltung von Benutzerzugängen,
• Gewährleistung der Informationssicherheit,
• technischen Unterstützung und Fehlerbehebung,
• Erfüllung der vertraglichen Verpflichtungen des Auftragnehmers.
7. Rechtsgrundlage
(1) Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten, ergibt sich aus:
• arbeitsrechtlichen Vorschriften,
• dem berechtigten Interesse des Auftraggebers,
• dem Vertrag zwischen Auftragnehmer und Auftraggeber,
• Artikel 9 Absatz 2 Buchstabe b DSGVO für besondere Kategorien personenbezogener Daten.
(2) Der Auftraggeber ist als Verantwortlicher für das Vorliegen einer geeigneten Rechtsgrundlage verantwortlich.
8. Pflichten des Auftragnehmers als Auftragsverarbeiter
Der Auftragnehmer verpflichtet sich,
• personenbezogene Daten ausschließlich nach Weisung des Auftraggebers zu verarbeiten,
• die Vertraulichkeit der zur Verarbeitung personenbezogener Daten befugten Personen sicherzustellen,
• geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen,
• eine Audit-Trail-Protokollierung aller Zugriffe, Einsichten, Änderungen und Löschungen personenbezogener Daten innerhalb der Anwendung sicherzustellen,
• dem Auftraggeber Einsicht in die Protokolldaten in angemessenem Umfang zu gewähren,
• den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren,
• personenbezogene Daten nach Beendigung des Vertragsverhältnisses zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung entgegensteht.
9. Unterauftragsverarbeiter
Der Auftragnehmer darf Unterauftragsverarbeiter ausschließlich für technische Dienstleistungen (z. B. Hosting, Wartung) einsetzen, wobei er:
• den Abschluss von Vereinbarungen gemäß Artikel 28 DSGVO sicherstellt,
• ein gleichwertiges Datenschutzniveau gewährleistet,
• vollständig für das Handeln der Unterauftragsverarbeiter verantwortlich bleibt.
10. Internationale Datenübermittlungen
Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen erfolgen nur, sofern die Voraussetzungen des Kapitels V der DSGVO erfüllt sind und der Auftraggeber zuvor darüber informiert wurde.
11. Rechte der betroffenen Personen
Beschäftigte des Auftraggebers machen ihre Rechte gegenüber dem Auftraggeber als Verantwortlichem geltend.
Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang bei der Erfüllung dieser Pflichten.
12. Kontrolle und Audit
Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung und in angemessenem Umfang die Einhaltung dieser Richtlinie durch den Auftragnehmer zu überprüfen, einschließlich der Einsichtnahme in Dokumentationen und Audit-Trails.
13. Verhältnis zu Verträgen
Diese Richtlinie gilt in Verbindung mit den zwischen Auftragnehmer und Auftraggeber geschlossenen Verträgen.
Im Falle von Abweichungen gehen die vertraglichen Regelungen vor, sofern sie für den Auftraggeber strengere Anforderungen vorsehen.
14. Änderungen und Inkrafttreten
Der Auftragnehmer behält sich das Recht vor, diese Richtlinie zu ändern. Die jeweils gültige Fassung ist stets auf der Website des Auftragnehmers veröffentlicht.
Diese Richtlinie tritt am 1. Januar 2026 in Kraft. Die Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten findet Anwendung, wenn in den Verträgen oder Allgemeinen Geschäftsbedingungen des Auftragnehmers ausdrücklich auf sie Bezug genommen wird.