📄 Anlage 1: Vereinbarung zur Auftragsverarbeitung (AVV)

zwischen

dem Kunden (nachfolgend „Verantwortlicher“)

und

baito UG (haftungsbeschränkt), Silbersteinstraße 124, 12051 Berlin (nachfolgend „Auftragsverarbeiter“)

1. Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Zusammenhang mit dem Produkt TalentAlert. Dabei verarbeitet er personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

(2) Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags über die Nutzung von TalentAlert.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden, abschließend definierten Zwecken:

  • Speicherung und Verwaltung von E-Mail-Adressen sowie weiterer Angaben, die der Verantwortliche im Anmeldeformular definiert (z. B. Standort, Jobkategorien, Links zu beruflichen Profilen wie LinkedIn oder Xing)
  • Durchführung eines Double-Opt-in-Verfahrens zur Bestätigung der Anmeldung zum Job-Alert (Versand einer Bestätigungs-E-Mail mit eindeutigem Bestätigungslink; Aktivierung des Abonnements erst nach erfolgreicher Bestätigung)
  • Versand von Job-Newslettern und Job-Alerts per E-Mail ausschließlich an bestätigte Abonnent:innen
  • Jede über TalentAlert verschickte E-Mail enthält einen deutlich gekennzeichneten, jederzeit verfügbaren Abmelde-Link, über den sich die betroffene Person mit einem Klick vollständig und dauerhaft vom Newsletter bzw. Job-Alert abmelden kann. Die Abmeldung wird automatisiert und unverzüglich wirksam umgesetzt, ohne dass weitere Schritte oder eine erneute Identifikation erforderlich sind.
  • Versand von E-Mails zur erneuten Bestätigung der Einwilligung (Re-Confirm), sofern der Verantwortliche entsprechende Zeiträume (z. B. 12 oder 24 Monate ohne Interaktion) konfiguriert
  • Verarbeitung technischer Zugriffsdaten (z. B. IP-Adresse, Browserinformationen) ausschließlich zur Sicherstellung des technischen Betriebs, zur Missbrauchsvermeidung und zur IT-Sicherheit
  • Optionale serverseitige Auswertung von Öffnungs- und Klickereignissen über eindeutige, personalisierte Links

Klarstellung zu Tracking und Technik

  • TalentAlert setzt keine Cookies und keine Tracking- oder Analyse-Skripte auf Endgeräten der Nutzer ein.
  • Die Auswertung von Öffnungs- und Klickereignissen erfolgt ausschließlich serverseitig über eindeutige, personalisierte Links in E-Mails.
  • Tracking- und Auswertungsfunktionen sind optional, abschaltbar und vollständig weisungsgebunden.
  • Der Verantwortliche kann Tracking jederzeit deaktivieren oder einschränken.
  • Die Nutzung von Tracking- oder Auswertungsfunktionen erfolgt ausschließlich
    • auf dokumentierte Weisung des Verantwortlichen und
    • nur, sofern der Verantwortliche hierfür eine wirksame Einwilligung der betroffenen Personen eingeholt hat.

3. Kategorien personenbezogener Daten und betroffene Personen

a) Datenarten:
  • E-Mail-Adresse (Pflichtangabe)
  • Weitere freiwillige oder durch den Verantwortlichen als Pflicht definierte Angaben (z. B. Standort, Jobkategorien, Links zu beruflichen Profilen)
  • Technische Daten (z. B. IP-Adresse, Browserinformationen)
  • Nutzungsdaten (Öffnungs- und Klickereignisse über eindeutige Links)
b) Betroffene Personen: Bewerber:innen und Interessent:innen, die sich für Job-Benachrichtigungen über TalentAlert anmelden.

4. Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
  • die Einholung ausdrücklicher Einwilligungen für den Versand von Job-Alerts (Direktwerbung)
  • die Implementierung und rechtmäßige Ausgestaltung des Double-Opt-in-Verfahrens
  • die Information der betroffenen Personen gemäß Art. 13 und 14 DSGVO
  • die Wahrung der Betroffenenrechte
  • die rechtmäßige Gestaltung zusätzlicher Datenfelder
  • die Festlegung von Speicherfristen sowie von Zeiträumen für Re-Confirm-E-Mails

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • das vom Verantwortlichen konfigurierte Double-Opt-in-Verfahren technisch zu unterstützen und sicherzustellen, dass Job-Alerts ausschließlich an bestätigte Empfänger:innen versendet werden
  • alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten
  • geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
  • den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Auskunft, Löschung, Widerruf) zu unterstützen
  • personenbezogene Daten unverzüglich zu löschen oder für den Versand zu sperren, wenn der Verantwortliche dies anweist (z. B. bei Widerruf der Einwilligung oder Abmeldung vom Job-Alert)
  • den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
  • den Verantwortlichen bei Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO zu unterstützen
  • nach Vertragsende sämtliche personenbezogenen Daten zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht

6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt unter anderem folgende Maßnahmen um:

  • Hosting auf Servern der Hetzner Online GmbH in Deutschland
  • Verschlüsselte Datenübertragung (TLS)
  • Rollenbasierte Zugriffskontrollen
  • Absicherung administrativer Zugriffe durch starke Passwortrichtlinien
  • Protokollierung von Zugriffen und Systemaktivitäten
  • Regelmäßige Backups und Systemmonitoring
  • Trennung von Produktiv- und Entwicklungsumgebungen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage geeignete Nachweise über die Umsetzung der TOMs zur Verfügung.

7. Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH, Deutschland – Hosting / Datenspeicherung
  • Amazon Web Services EMEA SARL, Deutschland – Versanddienstleister (Amazon Simple Email Service, SES)

(2) Der Einsatz weiterer oder geänderter Unterauftragsverarbeiter erfolgt nur nach vorheriger Information des Verantwortlichen.

Der Verantwortliche kann dem Einsatz neuer oder geänderter Unterauftragsverarbeiter aus berechtigten datenschutzrechtlichen Gründen widersprechen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben beim Auftragsverarbeiter zu prüfen.

Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen und Nachweise zur Verfügung.

9. Haftung

Die Haftung richtet sich nach den Regelungen des Hauptvertrags sowie nach Art. 82 DSGVO.

10. Vorrang individueller Vereinbarungen

Sofern zwischen den Parteien eine individuelle Vereinbarung zur Auftragsverarbeitung abgeschlossen wird, hat diese Vorrang vor der vorliegenden AVV.

11. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

(2) Diese Vereinbarung ist Bestandteil des Hauptvertrags und ohne diesen nicht wirksam.

We use cookies

We use cookies to ensure you get the best experience on our website. For more information on how we use cookies, please see our cookie policy.

By clicking "Accept", you agree to our use of cookies.
Learn more.

Necessary
Marketing
Anlage 1: Vereinbarung zur Auftragsverarbeitung (AVV) | TalentAlert