Auftragsverarbeitungsvertrag (AVV)

zwischen

[Firmenname des Auftraggebers]
[Adresse]
[Handelsregister]
vertreten durch: [Name, Funktion]
– nachfolgend „Auftraggeber“ oder „Verantwortlicher“ –

und

Stolzenburg Ventures UG (haftungsbeschränkt)
c/o IP-Management #7306
Ludwig-Erhard-Straße 18, 20459 Hamburg
Handelsregister: HRB 39224, Amtsgericht Duisburg
vertreten durch: Markus Stolzenburg, Geschäftsführer
– nachfolgend „Auftragnehmer“ oder „Auftragsverarbeiter“ –

– zusammen „Parteien“, einzeln „Partei“ –

Präambel

Der Auftraggeber nutzt die Plattform „Careertopia“ (careertopia.io) der Auftragnehmerin als SaaS-Dienst. Im Rahmen der Nutzung verarbeitet die Auftragnehmerin personenbezogene Daten im Auftrag des Auftraggebers. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Die Auftragnehmerin verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Plattform Careertopia.

(2) Art, Zweck und Umfang der Datenverarbeitung ergeben sich aus dem Hauptvertrag (Nutzungsvertrag/B2B-Partnervereinbarung) und den Spezifikationen in Anlage 1 dieses Vertrages.

(3) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages. Er endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Speicherung und Verwaltung von Kandidaten-/Nutzerprofilen
KI-gestützte Analyse von Lebensläufen und Karrieredaten
Generierung von strukturierten Profilen und Dokumenten (PDF/DOCX)
Matching von Kandidatenprofilen mit Stellenanforderungen (bei Aktivierung)
Bereitstellung von Analyseergebnissen und Berichten für den Auftraggeber

§ 3 Kategorien betroffener Personen und Datenkategorien

3.1 Betroffene Personen

Kandidaten/Bewerber, deren Daten der Auftraggeber auf die Plattform hochlädt
Mitarbeiter des Auftraggebers, die die Plattform nutzen

3.2 Datenkategorien

Stammdaten: Name, Vorname, Kontaktdaten (E-Mail, Telefon, Adresse)
Berufliche Daten: Berufserfahrung, Positionen, Unternehmen, Qualifikationen
Ausbildungsdaten: Abschlüsse, Zertifikate, Weiterbildungen
Kompetenzdaten: Skills, Sprachen, technische Kenntnisse
Bewerbungsdaten: Lebensläufe (PDF), Anschreiben, Foto (sofern vorhanden)
Assessment-Daten: Ergebnisse psychologischer Assessments (sofern aktiviert)
Nutzungsdaten: Login-Zeitpunkte, Zugriffsprotokolle

Hinweis: Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, es sei denn, der Auftraggeber lädt Lebensläufe hoch, die solche Daten enthalten (z.B. Fotos, aus denen ethnische Herkunft abgeleitet werden könnte, Angaben zu Religion oder Weltanschauung, Gewerkschaftsmitgliedschaft oder Gesundheit wie etwa eine Schwerbehinderung). Der Auftraggeber ist in diesem Fall allein verantwortlich für die Rechtmäßigkeit der Verarbeitung dieser Daten.

§ 4 Pflichten der Auftragnehmerin

(1) Die Auftragnehmerin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem Vertrag und den Funktionen der Plattform. Zusätzliche Weisungen bedürfen der Textform.

(2) Die Auftragnehmerin gewährleistet, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Die Auftragnehmerin ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Die konkreten Maßnahmen sind in Anlage 2 beschrieben.

(4) Die Auftragnehmerin unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, soweit dies erforderlich und zumutbar ist.

(5) Die Auftragnehmerin unterrichtet den Auftraggeber unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(6) Die Auftragnehmerin unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt der Auftragnehmerin die allgemeine Genehmigung zur Einschaltung der in Anlage 3 genannten Unterauftragsverarbeiter.

(2) Die Auftragnehmerin informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage vor der geplanten Änderung per E-Mail. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen aus sachlichen Gründen widersprechen.

(3) Die Auftragnehmerin verpflichtet alle Unterauftragsverarbeiter vertraglich, die datenschutzrechtlichen Anforderungen dieses Vertrages einzuhalten.

§ 6 Meldung von Datenschutzverletzungen

(1) Die Auftragnehmerin unterrichtet den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

(2) Die Benachrichtigung enthält mindestens:

eine Beschreibung der Art der Verletzung
die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
die wahrscheinlichen Folgen der Verletzung
die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung

§ 7 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages löscht die Auftragnehmerin alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

(2) Der Auftraggeber kann vor der Löschung die Herausgabe der Daten in einem gängigen, maschinenlesbaren Format verlangen (Export als PDF, DOCX oder CSV).

(3) Die Auftragnehmerin bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 8 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieses Vertrages zu überprüfen, einschließlich durch Inspektionen vor Ort nach angemessener Vorankündigung (mindestens 14 Tage).

(2) Die Auftragnehmerin stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

(3) Die Auftragnehmerin kann den Nachweis auch durch aktuelle Zertifikate, Berichte unabhängiger Prüfer oder geeignete Nachweise der technischen und organisatorischen Maßnahmen erbringen.

§ 9 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Gerichtsstand ist Hamburg.

Auftraggeber

Ort, Datum, Unterschrift

[Name, Funktion]

Auftragnehmer

Ort, Datum, Unterschrift

Markus Stolzenburg, Geschäftsführer

Anlage 1: Gegenstand der Auftragsverarbeitung

Aspekt	Beschreibung
Gegenstand	Bereitstellung der KI-gestützten Karriereplattform Careertopia als SaaS-Dienst
Art der Verarbeitung	Erheben, Speichern, Verändern (Anreicherung durch KI-Analyse), Auslesen, Abfragen, Übermitteln, Löschen
Zweck	KI-gestützte Karriereanalyse, Profilaufbereitung, Dokumentengenerierung, Matching (bei Aktivierung)
Betroffene	Kandidaten/Bewerber, deren Daten der Auftraggeber auf die Plattform hochlädt; Mitarbeiter des Auftraggebers
Datenkategorien	Stammdaten, berufliche Daten, Ausbildungsdaten, Kompetenzdaten, Bewerbungsunterlagen, ggf. Assessment-Ergebnisse
Dauer	Entsprechend der Laufzeit des Hauptvertrages; Löschung innerhalb von 30 Tagen nach Vertragsende

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Cloud-basierte Infrastruktur bei zertifizierten Rechenzentren (Supabase EU Frankfurt, Vercel)
Zugangskontrolle: Authentifizierung per E-Mail/Passwort mit verschlüsselter Speicherung, Rate Limiting, 2FA für Admin-Konten
Zugriffskontrolle: Rollenbasiertes Zugriffskonzept (RBAC), Row-Level-Security auf Datenbankebene, Principle of Least Privilege
Trennungskontrolle: Logische Trennung der Mandantendaten durch Row-Level-Security, separate Speicherbereiche pro Partner

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: TLS/SSL-Verschlüsselung aller Datenübertragungen (HTTPS), verschlüsselte API-Kommunikation
Eingabekontrolle: Validierung aller Eingaben mittels Zod-Schemas, Audit-Logging für Admin-Aktionen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle: Hosting bei Vercel (Edge-Infrastruktur mit automatischer Skalierung), Supabase (managed PostgreSQL mit Backups)
Rasche Wiederherstellbarkeit: Automatisierte Backups der Datenbank, Deployment-Rollback-Möglichkeit

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Regelmäßige Überprüfung der TOM, Dokumentation der Verarbeitungstätigkeiten
Incident-Response: Definierter Prozess für Datenschutzverletzungen (Meldung innerhalb 48h)
Auftragsverarbeitung: Überprüfung der Unterauftragsverarbeiter, vertragliche Absicherung

Anlage 3: Genehmigte Unterauftragsverarbeiter

Stand: 10. Februar 2026

Unternehmen	Zweck	Standort/Region	Garantie Drittland
Supabase Inc.	Datenbank, Auth, Storage	EU (Frankfurt)	Kein Drittlandtransfer
Vercel Inc.	Hosting, Edge Functions	USA / EU Edge	EU-U.S. DPF, SCCs
Microsoft (Azure OpenAI)	KI-Analyse, CV-Parsing	EU (Schweden)	Kein Drittlandtransfer
Microsoft (Azure AI Foundry)	KI-Fallback (Claude)	EU / Global*	Azure DPA, SCCs
Stripe, Inc.	Zahlungsabwicklung	EU (Irland) / USA	EU-U.S. DPF, SCCs
Brevo SAS	E-Mail-Marketing	EU (Frankreich)	Kein Drittlandtransfer
Resend, Inc.	Transaktionale E-Mails	USA	SCCs

DPF = Data Privacy Framework | SCCs = Standardvertragsklauseln | DPA = Data Processing Agreement

* Azure AI Foundry: Datenresidenz kann je nach Modellverfügbarkeit variieren. Microsoft wendet Azure-Datenschutzbestimmungen an.