CV Schmied

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen dem Kunden (nachfolgend "Auftraggeber") und L&H Consulting, Hagen Marggraf (nachfolgend "Auftragnehmer")

Stand: April 2026

§ 1 Gegenstand und Dauer

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung des Dienstes "CV Schmied" (KI-gestützte Formatierung von Kandidaten-Lebensläufen).

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Vertragsende gelten die Regelungen in § 10 dieses AVV.

(3) Art und Zweck der Verarbeitung:

  • KI-gestütztes Parsing und Extraktion strukturierter Daten aus Lebensläufen
  • Erstellung von Management-Summarys mittels KI
  • Formatierung und Generierung von Ausgabedokumenten (PDF, DOCX, PPTX, XLSX)
  • Speicherung und Verwaltung von Kandidatendaten
  • Anonymisierung von Kandidatendaten auf Weisung des Auftraggebers

§ 2 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Vor- und Nachname des Kandidaten
  • Kontaktdaten (E-Mail, Telefon, Adresse)
  • Berufserfahrung und Ausbildung
  • Qualifikationen und Zertifikate
  • Gehaltsvorstellungen und Gehaltsspannen
  • Kündigungsfristen und Verfügbarkeit
  • Sprachkenntnisse
  • Vom Auftraggeber eingegebene Notizen und Bewertungen
  • Fotos (sofern im Lebenslauf enthalten)

Besondere Kategorien (Art. 9 DSGVO): Der Auftraggeber ist angehalten, keine besonderen Kategorien personenbezogener Daten über den Dienst zu verarbeiten, es sei denn, eine explizite Einwilligung des Kandidaten liegt vor.

§ 3 Kategorien betroffener Personen

Betroffene Personen sind Kandidaten (Bewerber/Fachkräfte), deren Lebensläufe der Auftraggeber über den Dienst verarbeitet.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anfragen betroffener Personen auf Ausübung ihrer Rechte (Art. 15-22 DSGVO).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenpannen, Datenschutz-Folgenabschätzung).

(6) Der Auftragnehmer löscht nach Wahl des Auftraggebers alle personenbezogenen Daten nach Abschluss der Auftragsverarbeitung oder gibt sie an den Auftraggeber zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (siehe § 10).

(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (siehe § 9).

§ 5 Weisungen

(1) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können schriftlich, in Textform oder über die Funktionen des Dienstes erteilt werden.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(3) Der Auftragnehmer darf die Daten nicht zu eigenen Zwecken verarbeiten, insbesondere nicht zum Training von KI-Modellen.

§ 6 Meldepflichten

(1) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, jede Verletzung des Schutzes personenbezogener Daten (Datenpanne).

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO.

§ 7 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter).

(2) Aktuelle Unterauftragsverarbeiter:

| Unterauftragnehmer | Zweck | Standort | |---|---|---| | Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | EU (Frankfurt) | | Vercel Inc. | Hosting, Serverless Functions | EU + USA | | Anthropic | KI-Verarbeitung (Parsing, Summarys) | USA | | Stripe Inc. | Zahlungsabwicklung | Irland (EU) | | Resend Inc. | Transaktionaler E-Mail-Versand | USA | | Functional Software Inc. (Sentry) | Fehlerüberwachung und -meldung | USA |

(3) Der Auftragnehmer informiert den Auftraggeber per E-Mail über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber hat das Recht, innerhalb von 14 Tagen nach Benachrichtigung gegen die Änderung Einspruch zu erheben.

(4) Bei begründetem Einspruch wird der Auftragnehmer die Änderung nicht vornehmen oder dem Auftraggeber ein Sonderkündigungsrecht einräumen.

(5) Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie dem Auftragnehmer in diesem AVV.

§ 8 Übermittlung in Drittländer

(1) Eine Verarbeitung personenbezogener Daten in Drittländern erfolgt nur auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO).

(2) Für Übermittlungen in die USA stützt sich der Auftragnehmer auf das EU-US Data Privacy Framework.

(3) Zusätzliche Schutzmaßnahmen bei KI-Verarbeitung:

  • Pseudonymisierung personenbezogener Daten vor der Übermittlung
  • Zero-Data-Retention-Policy des KI-Anbieters (keine Speicherung, kein Training)
  • Minimierung der übermittelten Daten auf das erforderliche Minimum

§ 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV durch den Auftragnehmer zu überprüfen.

(2) Überprüfungen können erfolgen durch:

  • Einsichtnahme in die TOMs und relevante Dokumentation (remote)
  • Vorlage von Zertifizierungen, Audit-Berichten oder Erklärungen unabhängiger Dritter
  • In begründeten Ausnahmefällen: Vor-Ort-Prüfung auf Kosten des Auftraggebers nach vorheriger Abstimmung

(3) Der Auftragnehmer stellt die erforderlichen Informationen innerhalb angemessener Frist (max. 30 Tage) zur Verfügung.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags hat der Auftraggeber 90 Tage Zeit, seine Daten über die Export-Funktion des Dienstes herunterzuladen.

(2) Nach Ablauf der 90-Tage-Frist werden alle personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht, einschließlich:

  • Kandidaten-CVs und zugehörige Daten
  • KI-generierte Summarys und Dokumente
  • Templates und Branding-Daten
  • Benutzerkonten und Zugangsdaten

(3) Ausgenommen von der Löschung sind:

  • Rechnungsdaten (10 Jahre Aufbewahrungspflicht, § 257 HGB)
  • Anonymisierte Audit-Log-Einträge
  • Einwilligungsnachweise (3 Jahre Nachweispflicht)

(4) Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen schriftlich.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB.

§ 12 Schlussbestimmungen

(1) Dieser AVV tritt mit Annahme durch den Auftraggeber (Checkbox bei Registrierung) in Kraft und gilt für die Dauer des Nutzungsvertrags.

(2) Änderungen dieses AVV bedürfen der Textform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des übrigen AVV unberührt.

(4) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

Anlage 1: Technisch-Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO

1. Vertraulichkeit

Zutrittskontrolle:

  • Ausschließlich cloudbasierte Infrastruktur (kein physischer Server)
  • Rechenzentren der Dienstleister sind nach ISO 27001 zertifiziert

Zugangskontrolle:

  • Passwort-Anforderungen: Mindestens 10 Zeichen, Stärkeprüfung (zxcvbn)
  • Optionale Zwei-Faktor-Authentifizierung (2FA)
  • Automatische Sitzungsbeendigung bei Inaktivität
  • Captcha nach 5 fehlgeschlagenen Anmeldeversuchen

Zugriffskontrolle:

  • Rollenbasiertes Berechtigungssystem (Admin, Team-Mitglied, Mitglied)
  • Row-Level Security (RLS) auf Datenbankebene mit organisationsbezogener Trennung
  • Jeder Datenbankzugriff erfordert Authentifizierung und Autorisierungsprüfung
  • Getrennte Datenbankclients für Server, Client und Administration

Trennungskontrolle:

  • Mandantentrennung durch Row-Level Security (org_id)
  • Kein Cross-Tenant-Zugriff technisch möglich
  • Getrennte Storage-Pfade pro Organisation

2. Integrität

Weitergabekontrolle:

  • Verschlüsselung aller Datenübertragungen mit TLS 1.3
  • Signierte URLs mit begrenzter Gültigkeit für Datei-Downloads (5 Minuten) und -Uploads (10 Minuten)
  • Keine unverschlüsselte Datenübertragung

Eingabekontrolle:

  • Vollständiges Audit-Log aller datenverändernden Operationen
  • Protokollierung von: Benutzer, Zeitpunkt, Art der Änderung, betroffene Datensätze
  • Audit-Log ist unveränderlich (append-only)

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle:

  • Tägliche automatisierte Datenbank-Backups
  • Soft-Delete-Konzept (gelöschte Daten werden markiert, nicht sofort entfernt)
  • Automatisiertes Monitoring und Alerting (Sentry)
  • Health-Check-Endpoint für kontinuierliche Verfügbarkeitsprüfung

Belastbarkeitskontrolle:

  • Automatische Skalierung der Serverless Functions
  • Connection-Pooling für Datenbankverbindungen (PgBouncer)
  • Queue-basierte Verarbeitung rechenintensiver Aufgaben (KI, Batch)
  • Rate-Limiting zum Schutz vor Überlastung

4. Verfahren zur regelmäßigen Überprüfung

Auftragskontrolle:

  • Verarbeitung ausschließlich gemäß den Weisungen des Auftraggebers
  • Dokumentierte Prozesse für den Umgang mit personenbezogenen Daten
  • Keine Nutzung von Kundendaten zum Training von KI-Modellen

Datenschutz-Management:

  • Regelmäßige Überprüfung der technisch-organisatorischen Maßnahmen
  • Incident-Response-Plan für Datenpannen
  • Automatisierte Löschroutinen für abgelaufene Daten

5. Pseudonymisierung und Verschlüsselung

Pseudonymisierung bei KI-Verarbeitung:

  • Vor Übermittlung an KI-Dienste werden folgende Daten durch Platzhalter ersetzt:
    • Vor- und Nachname → [KANDIDAT_001]
    • E-Mail-Adresse → [EMAIL_001]
    • Telefonnummer → [TEL_001]
    • Postanschrift → [ADRESSE_001]
    • Arbeitgeber (bei Summary) → [FIRMA_001]
  • Zuordnungstabelle bleibt ausschließlich in der EU-Datenbank
  • Nach KI-Verarbeitung werden Platzhalter wieder durch Originaldaten ersetzt

Verschlüsselung:

  • Transportverschlüsselung: TLS 1.3
  • Verschlüsselung ruhender Daten: AES-256 (Supabase)
  • Zusätzliche Spaltenverschlüsselung (pgcrypto) für: Gehaltsangaben, vertrauliche Notizen

Stand: April 2026 L&H Consulting, Hagen Marggraf