Zur App wechseln
Auftragsverarbeitungsvertrag (AVV)

Alle Informationen rund um Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 28.09.2025

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVOVersion: 1.0 Gültig ab: [TT.MM.JJJJ]

zwischen [Unternehmen des Kunden] (nachfolgend „Verantwortlicher“) [Rechtsform, Adresse, Vertretungsberechtigte] und Karriyo (nachfolgend „Auftragsverarbeiter“) [Firmenname/Inhaber], [Adresse], [USt-ID], [Handelsregister, Nr.]

1. Gegenstand und Dauer der Auftragsverarbeitung

  1. 1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bewerbungsverwaltung über die Plattform Karriyo (Veröffentlichung von Stellenanzeigen, Entgegennahme/Übermittlung von Bewerbungen und Nachrichten zwischen Bewerber:innen und dem Verantwortlichen).

  2. 2. Die AVV gilt ab Unterzeichnung/Akzeptanz bis zur Beendigung des zugrunde liegenden Hauptvertrags (AGB/Leistungsbeschreibung) und der Löschung/ Rückgabe sämtlicher Daten gemäß Ziff. 10.

2. Rollenverständnis

  1. 1. Der Verantwortliche entscheidet allein über Zwecke und Mittel der Verarbeitung im Rahmen seiner Recruiting-Aktivitäten.

  2. 2. Der Auftragsverarbeiter verarbeitet Daten ausschließlich weisungsgebunden (Art. 28 Abs. 3 lit. a DSGVO).
  3. 3. Eigenverantwortliche Verarbeitung des Auftragsverarbeiters: Für eigene Plattformfunktionen (Nutzerkonto, Sicherheit/Logging, Abrechnung, Betrugsprävention) ist Karriyo eigener Verantwortlicher. Diese Verarbeitungen sind nicht Gegenstand dieser AVV und werden in der Datenschutzerklärung des Auftragsverarbeiters geregelt.

3. Art und Zweck der VerarbeitungBetrieb der Stellenplattform, Bereitstellung der Inserats- und Bewerbungsfunktion, Übermittlung von Nachrichten/Dateien, technischer Support, Speicherung/Hosting, Sicherung, Protokollierung, Missbrauchs-/Spam-Erkennung.4. Kategorien betroffener Personen, Datenarten

•Betroffene: Bewerber:innen, Kontaktpersonen des Verantwortlichen.

•Datenarten (typisch, je nach Nutzung): Stammdaten (Name, Kontaktdaten), Profildaten, Bewerbungsunterlagen (CV, Zeugnisse, Zertifikate, Freitexte), Kommunikationsinhalte, Metadaten (Zeitstempel, IP, Geräteinformationen), Organisationsdaten des Verantwortlichen (Firmenprofil, Ansprechpartner). •Besondere Kategorien (Art. 9 DSGVO): können freiwillig in Unterlagen enthalten sein (z. B. Gesundheitsdaten). Der Verantwortliche darf diese nur verarbeiten, wenn eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt; Weisung nötig (vgl. Ziff. 6.5).

5. Rechtsgrundlagen (Verantwortlicher)Der Verantwortliche stellt sicher, dass für alle übermittelten/abgerufenen Daten eine geeignete Rechtsgrundlage besteht (z. B. Art. 6 Abs. 1 lit. b oder f DSGVO; für besondere Kategorien Art. 9 Abs. 2 DSGVO).

6. Pflichten des Auftragsverarbeiters1.Weisungen: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen. Weisungen mind. in Textform.

  1. 1. Weisungen: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen. Weisungen mind. in Textform.

  2. 2. Vertraulichkeit: Personen beim Auftragsverarbeiter sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
  3. 3. Sicherheit: Umsetzung der technischen und organisatorischen Maßnahmen (TOM) gemäß Anlage 2; angemessen nach Art. 32 DSGVO.
  4. 4. Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung von Betroffenenrechten, bei Datenschutz-Folgenabschätzungen und bei Meldungen an Aufsichtsbehörden (Art. 28 Abs. 3 lit. f, g DSGVO).
  5. 5. Besondere Kategorien: Werden besondere Kategorien verarbeitet, informiert der Verantwortliche den Auftragsverarbeiter vorab schriftlich; Verarbeitung erfolgt nur nach ausdrücklicher Weisung unter geeigneten zusätzlichen Schutzmaßnahmen.
  6. 6. Datenlöschung/-rückgabe: Nach Vertragsende gemäß Ziff. 10.
  7. 7. Nachweispflichten: Bereitstellung aller erforderlichen Informationen, um die Einhaltung der in dieser AVV niedergelegten Pflichten nachzuweisen; Ermöglichung/ Duldung von Audits gemäß Ziff. 9.

7. Unterauftragsverarbeiter

  1. 1. Die einsatzfähige Liste der Unterauftragsverarbeiter ist in Anlage 3 enthalten.

  2. 2. Der Auftragsverarbeiter darf weitere Unterauftragsverarbeiter nur mit vorheriger Information des Verantwortlichen einsetzen. Widerspruch innerhalb von 14 Tagen ab Mitteilung; ohne fristgerechten Widerspruch gilt die Zustimmung als erteilt, sofern keine überwiegenden schutzwürdigen Gründe entgegenstehen.
  3. 3. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter schriftlich zu den in dieser AVV festgelegten Datenschutzpflichten (Art. 28 Abs. 4 DSGVO).

8. DrittlandübermittlungErfolgen Übermittlungen in Drittländer, stellt der Auftragsverarbeiter geeignete Garantien sicher (z. B. EU-Standardvertragsklauseln, Art. 46 DSGVO, zusätzliche Maßnahmen nach Schrems II). Details in Anlage 3.

9. Kontrollrechte / Audits

  1. 1. Der Verantwortliche ist berechtigt, die Einhaltung der Vereinbarung beim Auftragsverarbeiter zu prüfen oder durch Prüfer (beruflich zur Verschwiegenheit verpflichtet) prüfen zu lassen.

  2. 2. Audits erfolgen mit angemessener Vorankündigung (mind. 14 Tage), während üblicher Geschäftszeiten, unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie Sicherheitsinteressen.
  3. 3. Der Auftragsverarbeiter kann geeignete Nachweise bereitstellen (z. B. Zertifizierungen, Prüfberichte), die ein Vor-Ort-Audit ganz oder teilweise ersetzen.

10. Löschung und Rückgabe von DatenNach Abschluss der Verarbeitung oder Beendigung des Vertrags:

  • nach Wahl des Verantwortlichen: Rückgabe in einem gängigen Format oder Löschung aller personenbezogenen Daten (einschl. Kopien) innerhalb von [30] Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Protokollierung der Löschung auf Anfrage.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, i. d. R. innerhalb von 48 Stunden nach Kenntnis, jede Verletzung des Schutzes personenbezogener Daten mit den gemäß Art. 33 Abs. 3 DSGVO erforderlichen Informationen (soweit verfügbar) und unterstützt bei Untersuchungen/Benachrichtigungen.

12. VergütungDie Unterstützungspflichten (z. B. Auskünfte, Audits, Export) sind grundsätzlich durch die im Hauptvertrag vereinbarte Vergütung abgegolten; zusätzliche, nicht im Standardumfang enthaltene Unterstützungsleistungen können angemessen vergütet werden.

13. HaftungDie Haftung richtet sich nach dem Hauptvertrag (AGB) und den gesetzlichen Bestimmungen. Keine Klausel dieser AVV beschränkt Haftung in Fällen von Vorsatz, grober Fahrlässigkeit, Verletzung von Leben, Körper, Gesundheit oder zwingendem Recht.

14. Vertraulichkeit / GeheimhaltungBeide Parteien behandeln alle im Rahmen der Auftragsverarbeitung erlangten Informationen vertraulich; gesetzliche Offenbarungspflichten bleiben unberührt.

15. Schlussbestimmungen

  1. 1. Rangfolge: Diese AVV geht bei datenschutzrechtlichen Widersprüchen dem Hauptvertrag vor.

  2. 2. Änderungen/Ergänzungen bedürfen der Textform.
  3. 3. Gerichtsstand/Anwendbares Recht: Entsprechend Hauptvertrag (B2B).
  4. 4. Salvatorische Klausel: Unwirksame Bestimmungen berühren die Wirksamkeit der übrigen nicht.

Anlage 1: Beschreibung der Verarbeitung

Gegenstand: Betrieb einer Job-/Ausbildungsplattform (Karriyo) zur Veröffentlichung von Stellenanzeigen, Entgegennahme/Verwaltung von Bewerbungen und Kommunikation.

Verarbeitungstätigkeiten (Beispiele):
  • Anlegen/Verwalten von Unternehmensprofilen, Publizieren/Verwalten von Stellen,
  • Upload/Speicherung/Anzeige von Bewerbungsunterlagen,
  • Chat/Benachrichtigungen zwischen Bewerber:innen und Verantwortlichem,
  • Protokollierung, Sicherung, Fehlerdiagnose, Missbrauchserkennung.
Kategorien personenbezogener Daten: siehe Ziff. 4. Betroffene Personengruppen: Bewerber:innen; Ansprechpersonen des Verantwortlichen. Dauer der Verarbeitung / Löschfristen:
  • Bewerberdaten: [vom Verantwortlichen vorzugeben] (z. B. 6 Monate nach Abschluss des Bewerbungsverfahrens, sofern keine Einwilligung zur längeren Aufbewahrung vorliegt).
  • Plattform-Logs/Metadaten: gemäß Datenschutzerklärung des Auftragsverarbeiters (eigene Verantwortlichkeit).
Weisungswege / Ansprechpartner:
  • Weisungen an: [Kontakt beim Auftragsverarbeiter, E-Mail]
  • Datenschutzkontakt Verantwortlicher: [E-Mail]
  • Datenschutzkontakt Auftragsverarbeiter: [E-Mail]

Anlage 2: Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

Organisatorisch

  • Vertraulichkeitsverpflichtung, Rollen-/Berechtigungskonzepte, Need-to-know.
  • Schulungen & Awareness, Richtlinien für sichere Entwicklung/Deployment.
  • Auftrags-/Änderungsmanagement, Incident-Response-Prozess (inkl. 72h-Prozedur).
  • Aufbewahrungs-/Löschkonzept, Test-/Audit-Protokolle.
Physisch
  • Hosting in Rechenzentren mit Zutrittskontrolle (z. B. Google Cloud/Firebase: zertifizierte Rechenzentren).
  • Redundanz/USV, Brand-/Einbruchsschutz gemäß Provider-Standards.
Technisch
  • Verschlüsselung in Transit (TLS ≥ 1.2) und at Rest (Provider-seitig).
  • Härtung/Isolierung (VPC/Firewall-Regeln), WAF/Rate-Limiting (falls vorhanden).
  • Starke Authentifizierung für Admins, MFA, Secret-Management.
  • Protokollierung/Monitoring, Alarmierung bei Anomalien.
  • Regelmäßige Backups/Restore-Tests.
  • Rollenkonzepte in der App (z. B. Business/Private), Zugriffsbeschränkungen in Firestore/Storage-Rules.
  • Sicherer Datei-Upload (Typ-/Größenprüfung, Virenprüfung [falls eingesetzt]).
Zertifizierungen/Nachweise (Cloud-Provider)
  • z. B. ISO 27001/27017/27018, SOC 2 (soweit vom jeweiligen Unterauftragsverarbeiter bereitgestellt).

Anlage 3: Unterauftragsverarbeiter & Drittlandübermittlungen

Hinweis: Diese Liste bitte aktuell halten. Änderungen werden dem Verantwortlichen vorab mitgeteilt (Widerspruchsrecht, Ziff. 7).

Anbieter Zweck Standort/Verarbeitung Rechtsinstrument (Art. 46) Link/Info
Google Firebase / Google Cloud
 Hosting/DB/Storage, Auth, Functions EU (primär), ggf. weltweite Stützpunkte SCC, technische Zusatzmaßnahmen [Dokumentations-Link einsetzen]
Stripe Payments
 Zahlungsabwicklung (falls genutzt) EU/USA SCC, ggf. zusätzliche Maßnahmen [Dokumentations-Link einsetzen]
E-Mail-/Mailing-Provider
 Transaktionsmails EU/USA (je nach Anbieter) SCC/ AV-Vertrag [Anbieter + Link]
Logging/Monitoring
 Protokolle, Fehlerdiagnose EU/USA (je nach Anbieter) SCC/ AV-Vertrag [Anbieter + Link]
Mechanismus für neue Unterauftragsverarbeiter: Veröffentlichung der aktualisierten Liste unter [URL zur Sub-Processor-Liste] und Mitteilung per E-Mail/In-App.

Signatur / Bestätigung

Durch elektronische Zustimmung (z. B. Checkbox im Business-Onboarding oder „zahlungspflichtig buchen“) schließen die Parteien diesen AVV nach Art. 28 DSGVO ab.

  • Verantwortlicher: [Firma, Name, Funktion] – Datum: [TT.MM.JJJJ]
  • Auftragsverarbeiter: Karriyo, [Name, Funktion] – Datum: [TT.MM.JJJJ]
Zuletzt aktualisiert: [TT.MM.JJJJ]