Auftragsverarbeitungsvertrag (AVV)
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung des Dienstes Teamtreffer nach Maßgabe von Art. 28 DSGVO. Er wird zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der
OperativeX GmbH, Hansering 49, 48231 Warendorf, Deutschland
(nachfolgend „Auftragsverarbeiter“)
geschlossen. Der Verantwortliche schließt diesen AVV im Rahmen der Registrierung durch aktive Bestätigung ab. Er ist Bestandteil des Nutzungsvertrages und geht den AGB im Umfang seines Regelungsgehalts vor.
1. Gegenstand, Art und Zweck der Verarbeitung
1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen, soweit dies zur Erbringung des Dienstes gemäß den AGB erforderlich ist.
1.2 Gegenstand der Verarbeitung ist der Betrieb der Recruiting-Plattform Teamtreffer, insbesondere die Entgegennahme und Speicherung von Bewerbungen, die automatisierte Verarbeitung und KI-gestützte Vorauswahl von Bewerbungsunterlagen, die Kommunikation mit Bewerberinnen und Bewerbern sowie die Verwaltung von Stellen und Bewerbungen.
1.3 Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrages. Sie endet mit dessen Beendigung; die Regelungen zur Löschung und Rückgabe (Ziffer 9) bleiben unberührt.
2. Kategorien betroffener Personen und Datenarten
2.1 Kategorien betroffener Personen:
- Bewerberinnen und Bewerber des Verantwortlichen,
- Beschäftigte und Nutzer des Verantwortlichen (Konten der HR-/Recruiting-Mitarbeitenden).
2.2 Kategorien personenbezogener Daten:
- Stammdaten (Name, Anrede/Geschlecht, Wohnort und Postleitzahl, soweit aus den Unterlagen ableitbar),
- Kontaktdaten (E-Mail-Adresse),
- Bewerbungsdaten (Lebenslauf, Anschreiben, Anhänge, Angaben zur Stelle, gesamte E-Mail-Kommunikation),
- im Rahmen der KI-Vorauswahl erzeugte Bewertungs- und Analysedaten (Score, Begründungen, generierte Interviewfragen),
- Ergebnisse von Online-Aufgaben und Eignungstests,
- Nutzungs- und Protokolldaten (z. B. Zeitstempel, IP-Adresse).
2.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags. Der Verantwortliche wird solche Daten nicht in den Dienst einstellen; erhält er über Bewerbungsunterlagen gleichwohl Kenntnis davon, ist er hierfür allein verantwortlich.
3. Weisungsrecht des Verantwortlichen
3.1 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Verantwortlichen. Die Nutzung des Dienstes gemäß den AGB stellt die grundlegende Weisung dar; einzelne Weisungen werden über die Funktionen der Anwendung erteilt.
3.2 Ergänzende oder abweichende Weisungen sind in Textform an info@operativex.de zu richten. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen; er ist berechtigt, die Ausführung bis zur Bestätigung auszusetzen.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter
- verarbeitet die Daten nur nach Weisung des Verantwortlichen, auch hinsichtlich der Übermittlung in Drittländer (siehe Ziffer 7);
- verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen;
- trifft die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 1);
- unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO;
- meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden (Ziffer 8);
- löscht oder gibt die Daten nach Beendigung des Auftrags nach Wahl des Verantwortlichen zurück (Ziffer 9);
- stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (Ziffer 10).
5. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen. Er ist berechtigt, diese fortzuentwickeln, solange das vereinbarte Schutzniveau nicht unterschritten wird.
6. Unterauftragsverarbeiter
6.1 Der Verantwortliche erteilt mit Abschluss dieses AVV seine allgemeine Genehmigung zur Beauftragung der in Anlage 2 genannten Unterauftragsverarbeiter.
6.2 Der Auftragsverarbeiter stellt vertraglich sicher, dass jeder Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegt, wie sie in diesem AVV vereinbart sind (Art. 28 Abs. 4 DSGVO).
6.3 Beabsichtigt der Auftragsverarbeiter, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende auszutauschen, informiert er den Verantwortlichen vorab in Textform. Der Verantwortliche kann der Änderung innerhalb von zwei Wochen aus wichtigem, datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs, der eine Leistungserbringung unmöglich macht, ist jede Partei zur Kündigung berechtigt.
7. Übermittlung in Drittländer
7.1 Eine Verarbeitung außerhalb der EU/des EWR findet ausschließlich in dem in Anlage 2 genannten Umfang statt (Anbieter mit Sitz bzw. Verarbeitung in den USA).
7.2 Für diese Übermittlungen bestehen geeignete Garantien nach Kapitel V DSGVO, insbesondere Standardvertragsklauseln der EU-Kommission und – soweit der jeweilige Anbieter zertifiziert ist – die Teilnahme am EU-U.S. Data Privacy Framework.
8. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft. Die Meldung enthält, soweit verfügbar, die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben. Die Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörde und betroffenen Personen (Art. 33, 34 DSGVO) obliegen dem Verantwortlichen.
9. Löschung und Rückgabe nach Auftragsende
9.1 Nach Beendigung des Nutzungsvertrages stellt der Auftragsverarbeiter dem Verantwortlichen die Daten für den in den AGB (Ziffer 9.3) genannten Zeitraum von 30 Tagen zum Export bereit.
9.2 Nach Ablauf dieser Frist löscht der Auftragsverarbeiter die im Auftrag verarbeiteten Daten einschließlich vorhandener Kopien, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung wird auf Anfrage bestätigt.
10. Nachweise und Überprüfungen
10.1 Der Auftragsverarbeiter weist die Einhaltung der Pflichten aus diesem AVV auf Anfrage in geeigneter Weise nach, etwa durch Auskünfte oder eine Beschreibung der getroffenen Maßnahmen (Anlage 1).
10.2 Soweit dies für den Nachweis erforderlich ist, ermöglicht der Auftragsverarbeiter Überprüfungen durch den Verantwortlichen oder einen von diesem beauftragten, zur Verschwiegenheit verpflichteten Prüfer. Prüfungen werden mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Betriebsstörung durchgeführt.
11. Haftung und Schlussbestimmungen
11.1 Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB, soweit sie mit zwingendem Datenschutzrecht vereinbar sind.
11.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen bedürfen der Textform.
11.3 Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Datenverarbeitung im Auftrag die Regelungen dieses AVV vor.
Anlage 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung der Übertragung: Alle Verbindungen zum Dienst erfolgen ausschließlich TLS-verschlüsselt (HTTPS).
- Mandantentrennung: Logische Trennung der Daten je Kunde über eine Tenant-Kennung, zusätzlich durch Row-Level-Security auf Datenbankebene erzwungen – jeder Kunde kann ausschließlich auf seine eigenen Daten zugreifen.
- Zugriffs- und Zugangskontrolle: Die Datenbank ist nur serverintern erreichbar (keine öffentliche Exponierung); administrativer Zugriff ausschließlich über personengebundene, schlüsselbasierte Zugänge. Anwender-Passwörter werden nur als kryptografischer Hash gespeichert.
- Standort der Verarbeitung: Anwendung, Datenbank und hochgeladene Dateien werden in einem Rechenzentrum in Deutschland (Falkenstein) betrieben.
- Datenminimierung: An den KI-Dienstleister werden nur die für die jeweilige Auswertung erforderlichen Inhalte übermittelt; Anfragen erfolgen mandantenbezogen.
- Löschkonzept: Daten werden nach Ablauf der Aufbewahrungsfristen bzw. nach Vertragsende gemäß Ziffer 9 gelöscht.
- Verfügbarkeit und Wiederherstellbarkeit: Regelmäßige Sicherung der Datenbestände zur Wiederherstellung nach einem physischen oder technischen Zwischenfall.
Anlage 2 – Unterauftragsverarbeiter
- Hetzner Online GmbH (Deutschland) – Hosting der Anwendung, der Datenbank und der hochgeladenen Dateien. Verarbeitung in Deutschland.
- OpenAI, L.L.C. (USA) – KI-gestützte Verarbeitung von Bewerbungsinhalten (Extraktion, Vorauswahl, Erstellung von Interviewfragen und Antwortentwürfen). Übermittlung in die USA auf Grundlage von Standardvertragsklauseln / EU-U.S. Data Privacy Framework.
- ActiveCampaign, LLC (Postmark) (USA) – Versand und Empfang von E-Mails, einschließlich eingehender Bewerbungs-E-Mails nebst Anhängen. Übermittlung in die USA auf Grundlage von Standardvertragsklauseln / EU-U.S. Data Privacy Framework.
- Stripe Payments Europe, Ltd. (Irland) – Abwicklung von Zahlungen und Abonnements in kostenpflichtigen Tarifen (Name, Rechnungsanschrift, USt-IdNr., Zahlungsmittel der buchenden Person).
Kontakt
Fragen zu diesem AVV sowie Anforderungen (z. B. Löschbestätigung, Nachweise) richten Sie bitte an:
OperativeX GmbH
Hansering 49, 48231 Warendorf, Deutschland
E-Mail: info@operativex.de