Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien gemäß Art. 28 DSGVO im Zusammenhang mit der Nutzung der cloudbasierten Recruiting-Software „Remstal Software".

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Dritte personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand der Auftragsverarbeitung ist die Durchführung folgender Aufgaben durch den Auftragsverarbeiter (Remstal Software GmbH, nachfolgend „Auftragnehmer"):

• Bereitstellung und Betrieb der Recruiting-Software als SaaS
• Speicherung und Verarbeitung von Bewerberdaten, Stellenanzeigen und Kommunikationsinhalten
• KI-gestützte Analyse, Matching und Ranking von Bewerbungsunterlagen
• Bereitstellung von Reporting- und Analytics-Funktionen
• Technischer Support und Wartung

1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB/Bestellung). Nach Beendigung gelten die Regelungen in § 10 dieses AVV.

§ 2 Art und Zweck der Verarbeitung

2.1 Die Verarbeitung umfasst folgende Arten/Kategorien der Verarbeitung:

• Erheben, Erfassen, Organisieren und Speichern
• Anpassen, Verändern und Abfragen
• Auslesen, Verwenden und Übermitteln
• Abgleichen, Verknüpfen und Löschen/Vernichten

2.2 Zweck der Verarbeitung: Bereitstellung der vertragsgemäßen Recruiting-Software-Funktionen einschließlich KI-gestützter Analysefunktionen.

§ 3 Art der personenbezogenen Daten

3.1 Folgende Datenkategorien werden verarbeitet:

• Stammdaten von Bewerbern (Name, Anschrift, Geburtsdatum, Kontaktdaten)
• Bewerbungsunterlagen (Lebenslauf, Anschreiben, Zeugnisse, Zertifikate)
• Kommunikationsdaten (E-Mail-Verkehr, Chat-Nachrichten, Notizen)
• Bewertungsdaten (Scores, Rankings, Matching-Ergebnisse, Interview-Notizen)
• Nutzungsdaten der Plattform (Login-Zeiten, Aktivitäten, IP-Adressen)
• Ggf. besondere Kategorien personenbezogener Daten (nur sofern vom Kunden eingegeben, z.B. Schwerbehindertennachweis)

§ 4 Kreis der betroffenen Personen

4.1 Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Bewerber/innen und Kandidat/innen
• Mitarbeiter/innen und Nutzer/innen des Kunden (Recruiter, HR-Personal, Hiring Manager)
• Ansprechpartner/innen bei Personaldienstleistern und Agenturen (sofern genutzt)

§ 5 Pflichten des Auftragsverarbeiters

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Kunden), es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten hierzu verpflichtet.

5.2 Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Der Auftragnehmer trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Diese sind im Security Addendum beschrieben.

5.4 Der Auftragnehmer unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten, vorherige Konsultation).

5.5 Der Auftragnehmer unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

§ 6 Weisungsrecht

6.1 Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Weisung des Verantwortlichen. Weisungen können in Textform (E-Mail ausreichend) erteilt werden.

6.2 Der Auftragnehmer informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

§ 7 Subunternehmer / Unterauftragsverarbeiter

7.1 Der Auftragnehmer setzt die in der beigefügten Subprozessorenliste (Anlage) genannten Unterauftragsverarbeiter ein. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu.

7.2 Der Auftragnehmer informiert den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in Textform mit einer Frist von mindestens 30 Tagen.

7.3 Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Kommt keine Einigung zustande, steht beiden Parteien ein Sonderkündigungsrecht zum Zeitpunkt der geplanten Änderung zu.

7.4 Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegen wie in diesem AVV festgelegt.

§ 8 Drittlandtransfers

8.1 Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur auf dokumentierte Weisung des Verantwortlichen oder soweit gesetzlich vorgeschrieben.

8.2 Sofern KI-Funktionen Dienste von Drittanbietern nutzen, die Daten außerhalb der EU/des EWR verarbeiten, werden geeignete Garantien gemäß Art. 46 DSGVO sichergestellt (z.B. EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse).

8.3 Ergänzende technische Schutzmaßnahmen (z.B. Verschlüsselung, Pseudonymisierung, Datenminimierung) werden im Security Addendum beschrieben.

§ 9 Kontrollrechte

9.1 Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der DSGVO zu überprüfen, einschließlich Inspektionen und Audits.

9.2 Der Auftragnehmer stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei.

9.3 Audits sind mit einer Vorlauffrist von mindestens 4 Wochen anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Der Verantwortliche trägt die Kosten seiner Prüfungen, sofern keine Verstöße festgestellt werden.

9.4 Anstelle eines Vor-Ort-Audits kann der Auftragnehmer auch aktuelle Zertifikate, Prüfberichte oder Auszüge unabhängiger Sachverständiger vorlegen.

§ 10 Löschung und Rückgabe

10.1 Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen nach Ablauf der Exportfrist (§ 7 Abs. 5 AGB), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10.2 Backups werden gemäß Backup-Retention-Policy des Security Addendum überschrieben/gelöscht.

10.3 Der Auftragnehmer bestätigt die Löschung auf Anfrage in Textform.

§ 11 Meldepflichten bei Datenschutzverstößen

11.1 Der Auftragnehmer informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

11.2 Die Meldung enthält mindestens: Art der Verletzung, betroffene Kategorien und Anzahl der Personen/Datensätze, wahrscheinliche Folgen, ergriffene/vorgeschlagene Maßnahmen.

11.3 Der Auftragnehmer unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33, 34 DSGVO.

§ 12 Datenschutzbeauftragter

12.1 Der Datenschutzbeauftragte des Auftragnehmers ist erreichbar unter: datenschutz@remstal-software.de

12.2 Änderungen teilt der Auftragnehmer dem Verantwortlichen unverzüglich mit.

§ 13 Schlussbestimmungen

13.1 Dieser AVV unterliegt deutschem Recht.

13.2 Im Falle von Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen hat der AVV in datenschutzrechtlichen Belangen Vorrang.

13.3 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.