Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO · Datenschutz-Grundverordnung
Stand: März 2026
Hinweis zur Geltung: Dieser Auftragsverarbeitungsvertrag (AVV) gilt automatisch für alle Kunden der RekrutSchlau-Plattform, die im Rahmen ihrer Nutzung personenbezogene Daten Dritter (insbesondere Mitarbeiter- und Bewerberdaten) verarbeiten. Der AVV wird durch die Registrierung und Nutzung der Plattform akzeptiert und ist Bestandteil der vertraglichen Vereinbarung mit dem Anbieter.
1. Vertragsparteien
Auftragsverarbeiter (AV)
HuReSCo e.kfr. Inh. Solveig Deisler
Hauptstraße 5
[19246 Zarrentin am Schaalsee]
Deutschland
E-Mail: info@huresco.org
vertreten durch: Solveig Deisler
Verantwortlicher (VV)
Der jeweilige Kunde
Das Unternehmen, das sich für die Nutzung von RekrutSchlau registriert hat und personenbezogene Daten in die Plattform einpflegt.
Die konkreten Kontaktdaten des Verantwortlichen ergeben sich aus dem Kundenkonto.
Auftragsverarbeiter und Verantwortlicher werden nachfolgend gemeinsam als „Parteien" bezeichnet.
2. Gegenstand und Dauer
Gegenstand
Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Bereich HR-Software (Software-as-a-Service) in Form der Plattform „RekrutSchlau". Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.
Dieser AVV regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO.
Dauer
Dieser AVV gilt für die gesamte Dauer der Nutzung der RekrutSchlau-Plattform durch den Verantwortlichen und endet automatisch mit Beendigung des Hauptvertrags (Nutzungsvertrag). Die Regelungen zur Löschung und Rückgabe von Daten gelten über die Vertragslaufzeit hinaus (siehe § 10).
3. Details der Verarbeitung
Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:
- Speicherung, Verwaltung und Anzeige von Mitarbeiterdaten
- Verwaltung von Onboarding-Prozessen und -Aufgaben
- Verarbeitung von Bewerberdaten im Recruiting-Modul
- Erstellung von Berichten und Analysen
- Versand von Benachrichtigungs-E-Mails im Auftrag des Verantwortlichen
Kategorien betroffener Personen
| Kategorie |
Beschreibung |
| Mitarbeiter |
Aktuelle und ehemalige Beschäftigte des Verantwortlichen |
| Bewerber |
Personen, die sich beim Verantwortlichen beworben haben |
| HR-Nutzer |
Mitarbeiter des Verantwortlichen, die die Plattform administrieren |
Kategorien personenbezogener Daten
| Datenkategorie |
Beispiele |
| Stammdaten |
Name, Vorname, E-Mail-Adresse, Telefonnummer, Adresse |
| Beschäftigungsdaten |
Position, Abteilung, Eintrittsdatum, Beschäftigungsart, Probezeit |
| Onboarding-Daten |
Aufgabenstatus, Meilensteine, Feedback, Review-Ergebnisse |
| Bewerberdaten |
Lebenslauf, Anschreiben, Bewerbungsunterlagen, Interview-Notizen |
| Zugangsdaten |
E-Mail (Benutzername), Passwort-Hash (verschlüsselt), Login-Zeitstempel |
Besondere Kategorien (Art. 9 DSGVO): Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Gewerkschaftszugehörigkeit, biometrische Daten) vorgesehen. Der Verantwortliche ist verantwortlich dafür, dass solche Daten nicht in die Plattform eingepflegt werden, sofern keine ausdrückliche Einwilligung vorliegt und keine geeignete Rechtsgrundlage besteht.
4. Pflichten des Auftragsverarbeiters
4.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform durch den Verantwortlichen stellt eine solche Weisung dar. Darüber hinausgehende Weisungen bedürfen der Textform.
Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Vorschriften verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.
4.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.3 Technisch-organisatorische Maßnahmen
Der Auftragsverarbeiter ergreift alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (siehe § 8 dieses AVV).
4.4 Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung von Anfragen betroffener Personen und bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO.
4.5 Meldung von Datenpannen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
4.6 Nachweispflicht
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Überprüfungen (einschließlich Inspektionen). Inspektionen sind mit angemessener Frist anzukündigen und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.
5. Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er ist insbesondere verpflichtet:
- Sicherzustellen, dass eine geeignete Rechtsgrundlage für die Verarbeitung der eingegebenen personenbezogenen Daten besteht (z.B. Einwilligung, Vertrag, berechtigtes Interesse)
- Betroffene Personen (Mitarbeiter, Bewerber) über die Verarbeitung ihrer Daten zu informieren
- Weisungen an den Auftragsverarbeiter ausschließlich in rechtmäßiger Weise zu erteilen
- Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne geeignete Rechtsgrundlage in die Plattform einzupflegen
- Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt
- Einen eigenen Datenschutzbeauftragten zu benennen, sofern dies gesetzlich vorgeschrieben ist
6. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen gemäß Kapitel III DSGVO, insbesondere bei:
- Auskunftsrecht (Art. 15 DSGVO) – Bereitstellung von Datenauszügen auf Anfrage
- Recht auf Berichtigung (Art. 16 DSGVO) – Ermöglichung der Korrektur unrichtiger Daten durch den Verantwortlichen
- Recht auf Löschung (Art. 17 DSGVO) – Löschung von Datensätzen auf Anweisung des Verantwortlichen
- Recht auf Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung auf Anweisung
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Export von Daten in maschinenlesbarem Format (CSV/Excel)
Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet. Der Auftragsverarbeiter beantwortet solche Anfragen nicht eigenständig, es sei denn, der Verantwortliche hat ihn dazu ausdrücklich bevollmächtigt.
7. Unterauftragnehmer
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung von Unterauftragnehmern. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Ersatz) bei Unterauftragnehmern. Der Verantwortliche hat das Recht, Änderungen zu widersprechen.
Aktuell eingesetzte Unterauftragnehmer:
Strato AG / DigitalOcean
Serverstandort: Deutschland (Strato) / Frankfurt (DigitalOcean) · EU-ansässig
Zweck: Hosting der Plattform und Datenbankbetrieb
Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower, Dublin, Irland · EU-ansässig
Zweck: Zahlungsabwicklung (verarbeitet ausschließlich Zahlungs- und Rechnungsdaten)
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland · EU-ansässig
Zweck: Website-Analyse (Google Analytics, nur Landing Page, nur nach Einwilligung)
Mit allen Unterauftragnehmern wurden Auftragsverarbeitungsverträge oder gleichwertige Datenschutzvereinbarungen abgeschlossen.
8. Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:
🔐 Zutrittskontrolle
- Serverhosting in gesicherten Rechenzentren
- Physischer Zugang nur für autorisiertes Personal
- Keine eigenen Serverräume beim Anbieter
🔑 Zugangskontrolle
- Passwortgeschützter Zugang zur Plattform
- Passwörter werden nur als Hash (bcrypt/Argon2) gespeichert
- Session-Timeout nach Inaktivität
- Rollenbasiertes Berechtigungssystem
🛡️ Zugriffskontrolle
- Mandantentrennung: Jede Firma sieht nur eigene Daten
- Rollenbasierte Zugriffsrechte (Super-Admin, FA-Admin, HR-Manager, Mitarbeiter)
- Protokollierung von Login-Ereignissen
📡 Übertragungskontrolle
- Verschlüsselte Übertragung via HTTPS/TLS
- SSL-Zertifikat für alle Verbindungen
- Keine unverschlüsselte Datenübertragung
💾 Verfügbarkeitskontrolle
- Tägliche automatische Datensicherung
- Backup-Aufbewahrung: 4 Wochen
- Monitoring der Serverinfrastruktur
- Redundante Infrastruktur beim Hosting-Anbieter
🔍 Trennungskontrolle
- Logische Trennung der Kundendaten durch company_id
- Produktiv- und Testumgebung getrennt
- Keine gemeinsame Nutzung von Kundendaten
📋 Organisatorische Maßnahmen
- Verpflichtung aller Mitarbeiter auf Vertraulichkeit
- Regelmäßige Sensibilisierung für Datenschutz
- Dokumentiertes Verfahren zur Meldung von Datenpannen
🔄 Wiederherstellbarkeit
- Regelmäßige Überprüfung der Backup-Integrität
- Dokumentierter Notfallplan
- Wiederherstellung aus Backup innerhalb von 24h
9. Datenübermittlung in Drittländer
Die Hauptverarbeitung der personenbezogenen Daten (Hosting, Datenbank) erfolgt ausschließlich auf Servern in Deutschland bzw. innerhalb der Europäischen Union.
Im Zusammenhang mit eingesetzten Unterauftragnehmern können Daten in Drittländer übermittelt werden:
- Google Analytics (USA): Datenübermittlung auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). IP-Anonymisierung ist aktiviert. Nur nach Einwilligung des Nutzers.
- Stripe (Irland/USA): Verarbeitung auf Grundlage von Standardvertragsklauseln. Betrifft ausschließlich Zahlungsdaten, keine HR-Daten.
Personenbezogene Daten, die im Rahmen der Nutzung der RekrutSchlau-Plattform (Mitarbeiter- und Bewerberdaten) verarbeitet werden, verlassen zu keinem Zeitpunkt die Europäische Union.
10. Rückgabe und Löschung nach Vertragsende
Nach Beendigung des Hauptvertrags verfährt der Auftragsverarbeiter wie folgt:
- 60 Tage nach Vertragsende: Die Daten bleiben abrufbar und können vom Verantwortlichen exportiert werden. Der Auftragsverarbeiter empfiehlt, diesen Zeitraum für einen vollständigen Datenexport zu nutzen.
- Nach 60 Tagen: Die Daten werden archiviert und sind nicht mehr über die Plattform zugänglich.
- Nach Ablauf gesetzlicher Aufbewahrungsfristen: Vollständige und unwiderrufliche Löschung aller personenbezogenen Daten.
Auf Anfrage kann der Auftragsverarbeiter dem Verantwortlichen eine schriftliche Bestätigung der vollständigen Datenlöschung ausstellen.
Wichtig: Der Verantwortliche ist selbst verantwortlich dafür, vor Vertragsende einen vollständigen Datenexport durchzuführen. Der Auftragsverarbeiter haftet nicht für Datenverluste nach Ablauf der 60-Tage-Frist.
11. Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.
Gemäß Art. 82 DSGVO haftet jede Partei für Schäden, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht werden. Der Auftragsverarbeiter ist von der Haftung befreit, wenn er nachweist, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist.
Im Innenverhältnis haften die Parteien anteilig entsprechend ihrem jeweiligen Verschulden.
12. Änderungen dieses AVV
Der Auftragsverarbeiter behält sich vor, diesen AVV mit einer Ankündigungsfrist von mindestens 30 Tagen zu aktualisieren, um ihn an geänderte rechtliche oder technische Anforderungen anzupassen. Änderungen werden dem Verantwortlichen per E-Mail mitgeteilt.
Der jeweils aktuelle AVV ist unter onboarding.huresco.org/avv.html abrufbar.
Für Kunden, die einen individuell unterzeichneten AVV benötigen (z.B. für interne Compliance-Anforderungen), steht dieser auf Anfrage zur Verfügung:
Stand dieses AVV: März 2026