Die Grundlage für die Verarbeitung von personenbezogenen Daten ist die Kooperationsvereinbarung ("Lizenzvertrag") über die Nutzung der Leadbacker-Anwendung, welche das Unternehmen ("Arbeitgeber") mit Leadbacker GmbH, FN 492771p, Lindengasse 56, 1070 Wien ("Leadbacker") abgeschlossen hat.
Leadbacker ist in diesem Zusammenhang datenschutzrechtlicher Auftragsverarbeiter des Arbeitgebers gemäß Art 28 der Datenschutz-Grundverordnung (EU-VO 2016/679; "DSGVO"); der Arbeitgeber ist Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.
Die Datenverarbeitung erfolgt auf Grundlage der Einwilligung der Benutzer gemäß Art. 6 Abs. 1 lit. a der DSGVO. Diese Einwilligung erteilen die Benutzer durch Ihre aktive Zustimmung beim ersten Start der Leadbacker-Anwendung oder bei der ersten Registrierung auf der Leadbacker Website. Sie können diese Einwilligung jederzeit durch eine E-Mail an gdpr@leadbacker.at widerrufen.
Die Registrierung bei der Leadbacker-Anwendung und Nutzung dieser durch Benutzer erfolgt ausschließlich auf freiwilliger Basis. Im Folgenden informieren wir über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Leadbacker-Anwendung sowie über die den Benutzern zustehenden Rechte.
Die Leadbacker-GmbH verarbeitet, entsprechend der durch den Arbeitgeber gewünschten Konfiguration, folgende personenbezogene Informationen:
Vorname, Nachname, E-Mail-Adresse
Seniorität, Standort- und Abteilungszugehörigkeit
Vorname, Nachname, E-Mail-Adresse der/des Vorgesetzten beziehungsweise Verbindung zu dieser/diesem
Profil-Bild
Geschlecht, Alter, Standort und Dauer der Zugehörigkeit zum Unternehmen
Ihr Passwort für den Leadbacker Login (trifft bei Nutzung von Single -Sign-on nicht zu)
Die IP-Adresse und Plattform-Informationen des für die Nutzung von Leadbacker verwendeten Endgerätes
Antworten auf vom Arbeitgeber definierte Checkpunkte und beobachtbare Verhalten
Sonstige Daten, die Benutzer oder Arbeitgeber während der Nutzung der Leadbacker-Anwendung eingeben ("Inhalte")
Optional: Über die Kommunikationsplattform des Arbeitgebers gesendete oder empfangene Nachrichten, sofern diese in die Leadbacker-Anwendung integriert ist (z.B. Slack, MS Teams, E-Mail-Programm wie MS Outlook oder GMail)
Insbesondere definiert der Arbeitgeber in eigener Verantwortung die Inhalte, die den Benutzern von der Leadbacker Anwendung vorgelegt werden und stellt die Benutzer-Stammdaten zur Verfügung (durch manuelle Eingabe oder automatisierten Datentransfer wie API).
Auf Wunsch des Arbeitgebers erhält Leadbacker E-Mail-Adresse, Benutzername und den Authentifizierungsstatus von einem externen Authentifizierungsdienst, wenn Single-Sign-on im Einsatz ist.
Auf Verlangen des Arbeitgebers tauscht Leadbacker auch eingegebene Nachrichten, Namen und E-Mail-Adressen mit externen Unternehmens- und Kommunikationsplattformen aus, die von Ihrem Arbeitgeber genutzt werden. (wie z.B. E-Mail, Slack, MS Teams)
Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt, es sei denn die Weitergabe an unsere Dienstleister ist für die Erfüllung der oben angegebenen Zwecke erforderlich und erfordert die ausdrückliche Zustimmung des Arbeitgebers, die i.d.R. in einem AVV abgedeckt ist (siehe auch Abschnitt 3.11. bis 3.14.).
Die erhobenen Daten und deren Auswertung werden ausschließlich dem Arbeitgeber in pseudonymisierter Form zur Verfügung gestellt. Daten und Auswertungen in nicht pseudonymiserter Form werden Ihrem Arbeitgeber ausschließlich nach Schriftlicher Bestätigung Ihres Arbeitgebers zur Verfügung gestellt.
Für die Speicherung und Auswertung der erhobenen Daten sowie für den Betrieb der mobilen App greifen wir auf technische Dienstleistungen der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855, Luxemburg zurück. Ihre Daten werden in Frankfurt, Deutschland gespeichert und verarbeitet. Eine Weitergabe der Daten durch Leadbacker oder Amazon an Dritte ist ausgeschlossen. Wir haben mit Amazon einen Auftragsverarbeiter-Vertrag abgeschlossen.
Leadbacker verpflichtet sich, als Auftragsverarbeiter des Arbeitgebers personenbezogene Daten und Verarbeitungsergebnisse ausschließlich für die Erfüllung dieses Lizenzvertrages und für die darin vorgesehenen Zwecke (insbesondere den Anwendungsbereich der Leadbacker-Anwendung) zu verwenden. Darüber hinaus werden Kundendaten von Leadbacker zu Analysezwecken pseudonymisiert erhoben und für Zwecke der Produktverbesserung pseudonymisiert und statistisch ausgewertet bzw. zum Training der Auswertungsalgorithmen verwendet. Dabei wird durch Pseudonymisierung sichergestellt, dass kein Bezug zu einer bestimmten Person oder Firma hergestellt werden kann. Diese Datenverarbeitung erfolgt nicht personenbezogen. Dies stellt demnach keine Verarbeitung von personenbezogenen Daten im Sinne der DSGVO dar.
Leadbacker als Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation – zu verarbeiten, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaates der EU, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt Leadbacker als Auftragsverarbeiter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Leadbacker als Auftragsverarbeiter leistet Gewähr, dass sich die zur Verarbeitung der personen-bezogenen Daten befugten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden Leadbacker aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten.
Leadbacker als Auftragsverarbeiter erklärt, dass er ausreichende technische und organisatorische Sicherheitsmaßnahmen im Sinne des Art 32 DSGVO ergriffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Leadbacker als Auftragsverarbeiter verpflichtet sich, den Auftraggeber als Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen.
Weiters verpflichtet sich Leadbacker als Auftragsverarbeiter, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber als Verantwortlichen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung; Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen; Datenschutz-Folgenabschätzung und Konsultation der Datenschutzbehörde) zu unterstützen.
Leadbacker als Auftragsverarbeiter ist innerhalb von einem Monat nach Abschluss der Erbringung der Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten zu löschen oder zurückzugeben, sofern nicht nach Unionsrecht oder dem anwendbaren Recht eines Mitgliedstaates der EU eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Leadbacker wird dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber als Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen.
Der Arbeitgeber als Verantwortlicher erteilt hiermit die allgemeine Zustimmung, dass Leadbacker GmbH als Auftragsverarbeiter berechtigt ist, die Dienste weiterer Auftragsverarbeiter (im Folgenden kurz "Sub-Auftragsverarbeiter" genannt) in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten der Auftragsverarbeitung auszuführen. Leadbacker wird den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Sub-Auftragsverarbeitern informieren. Der Auftraggeber hat die Möglichkeit binnen 14 Tagen Einspruch zu erheben. Macht der Auftraggeber von diesem Einspruchsrecht keinen Gebrauch, so gilt der Sub-Auftragsverarbeiter als genehmigt. Nimmt Leadbacker die Dienste eines Sub-Auftragsverarbeiters in Anspruch, um bestimmte Datenverarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so wird Leadbacker diesem Sub-Auftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten auferlegen, die in diesem Lizenzvertrag festgelegt sind.
Leadbacker wird den Auftraggeber unverzüglich informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere geltende Datenschutzbestimmungen verstößt.
Leadbacker GmbH haftet gegenüber dem Auftraggeber für im Zusammenhang mit der Datenverarbeitung verursachte Schäden nur dann, wenn er seinen maßgeblichen datenschutzrechtlichen Rechtsvorschriften (insbesondere der DSGVO) zu entnehmenden Pflichten nicht nachgekommen ist.
Die Einwilligung zur Verarbeitung personenbezogener Daten können Benutzer jederzeit widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung, die auf Basis der Einwilligung bis zum Zeitpunkt des Widerrufs erfolgt ist, nicht berührt (Art 7 Abs 3 DSGVO). Schließlich sind Benutzer berechtigt, bei der Datenschutzbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Zur kostenfreien Geltendmachung dieser Rechte wenden sich Benutzer bitte per Brief oder E-Mail an den nachfolgenden Kontakt: Leadbacker GmbH, Lindengasse 56, 1070 Wien, Österreich gdpr@leadbacker.com
Bezüglich der Benutzerdaten haben Benutzer die Rechte auf Auskunft, auf Berichtigung unrichtiger oder unvollständiger Daten, auf Löschung unrechtmäßig verarbeiteter Daten und unter gewissen Voraussetzungen auf Einschränkung der Datenverarbeitung (Art 15 bis Art 18 DSGVO); weiters stehen die Rechte auf Datenübertragbarkeit (Art 20 DSGVO) und auf Widerspruch gegen die Datenverarbeitung zu (Art 21 DSGVO), wobei Leadbacker die Daten dennoch weiterverarbeiten darf, wenn überwiegende schutzwürdige Gründe dafür vorliegen oder Leadbacker die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.