Vertrag zur Auftragsverarbeitung
nach Art. 28 DSGVO · Bestandteil des Vertrags mit Organisations-Kunden · Stand: Juni 2026
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") ergänzt die B2B-AGB und wird mit Abschluss eines Vertrags über die Buchung von Plätzen wirksam. Er regelt die Verarbeitung personenbezogener Daten der vom Kunden eingeladenen Nutzer durch den Anbieter im Auftrag des Kunden.
§ 1 Parteien und Rollen
(1) Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde (die buchende Organisation).
(2) Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist der Anbieter: andi24.de Einzelunternehmen, Inhaber Andreas Oberfeld, Innstr. 36a, 83022 Rosenheim, info@andi24.de.
§ 2 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand ist die Bereitstellung und der Betrieb der Plattform „Bewerbungsassistent", über die die vom Kunden eingeladenen Nutzer eine persönliche Bewerbungs-Website erstellen, KI-gestützte Anschreiben erzeugen und eine PDF-Bewerbungsmappe erstellen.
(2) Art der Verarbeitung: Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, technische Aufbereitung (z. B. Bildzuschnitt), Bereitstellen sowie Löschen personenbezogener Daten mittels automatisierter Verfahren.
(3) Zweck ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen für die Nutzer des Kunden. Eine Verarbeitung zu eigenen Zwecken des Anbieters findet nicht statt.
(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags und endet mit den Lösch-/Rückgabepflichten nach § 8.
§ 3 Art der Daten und Kategorien betroffener Personen
(1) Gegenstand der Verarbeitung sind insbesondere folgende Datenarten:
- Stamm- und Kontaktdaten (Name, E-Mail-Adresse, ggf. Anschrift, Telefonnummer)
- Bewerbungsinhalte (Anschreiben, beruflicher Werdegang, Ausbildung, Kenntnisse, Stärken, frei eingegebene Texte)
- Bild- und Dokumentdaten (Bewerbungsfoto, Unterschrift, hochgeladene PDF-Dokumente wie Lebenslauf oder Zeugnisse)
- Nutzungs- und Metadaten (Konto-Status, Veröffentlichungsstatus, Aktivitätszeitpunkte)
(2) Die Bewerbungsinhalte können von den Nutzern freiwillig angegebene besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erkennen lassen (z. B. Gesundheits- oder Religionsbezug); deren Eingabe liegt allein im Ermessen des jeweiligen Nutzers.
(3) Kategorien betroffener Personen: die vom Kunden eingeladenen Nutzer (Mitarbeitende bzw. Teilnehmende des Kunden).
§ 4 Weisungsbindung
(1) Der Anbieter verarbeitet die Daten ausschließlich im Rahmen des Vertrags und nach den dokumentierten Weisungen des Kunden, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet. Die Bedienung des Dienstes durch den Kunden und seine Nutzer (z. B. Einladen, Veröffentlichen, Löschen) gilt als Weisung.
(2) Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 5 Vertraulichkeit
Der Anbieter setzt zur Verarbeitung nur Personen ein, die auf die Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff auf die Daten ist auf das für den Betrieb notwendige Minimum beschränkt.
§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Anbieter trifft dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere:
- ausschließlich verschlüsselte Übertragung (TLS/HTTPS) sämtlicher Seiten und Schnittstellen;
- Speicherung von Passwörtern ausschließlich als kryptografischer Hash (kein Klartext);
- Hosting in einem Rechenzentrum in Deutschland mit Zutritts- und Zugangskontrolle;
- Beschränkung der Zugriffsrechte auf das notwendige Minimum (Need-to-know);
- Trennung der Daten verschiedener Nutzer und Organisationen auf Anwendungsebene; der Verwaltungszugang des Kunden zeigt nur Fortschritts-Metadaten, keine Bewerbungsinhalte der Nutzer;
- protokollierte sicherheitsrelevante Ereignisse und regelmäßige Datensicherung;
- Schutz der Formulare gegen automatisierten Missbrauch ohne Einbindung von Drittanbieter-Trackern.
Der Anbieter darf die Maßnahmen fortentwickeln, solange das vereinbarte Schutzniveau nicht unterschritten wird.
§ 7 Sub-Auftragsverarbeiter
(1) Der Kunde erteilt die allgemeine Genehmigung zum Einsatz von Sub-Auftragsverarbeitern. Der Anbieter setzt derzeit ein:
- netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe — Hosting/Infrastruktur (Server in Deutschland);
- Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich — KI-gestützte Texterzeugung und Dokument-Analyse; Verarbeitung auf Servern in der EU und ausschließlich dann, wenn ein Nutzer die KI-Funktion aktiv auslöst. Nach den Bedingungen der Mistral-API werden die Inhalte nicht zum Training der Modelle verwendet.
(2) Der Zahlungsdienstleister (Stripe) verarbeitet die Zahlungs- und Rechnungsdaten des Kunden in eigener datenschutzrechtlicher Verantwortung und ist insoweit kein Sub-Auftragsverarbeiter für die Daten der Nutzer.
(3) Der Anbieter informiert den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern in Textform. Der Kunde kann einer Änderung innerhalb von zwei Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall steht beiden Seiten ein Sonderkündigungsrecht zu.
(4) Der Anbieter verpflichtet jeden Sub-Auftragsverarbeiter auf ein Datenschutzniveau, das dem dieses AVV im Wesentlichen entspricht.
§ 8 Löschung und Rückgabe
Nach Abschluss der Verarbeitung löscht der Anbieter die Daten der betreffenden Nutzer nach Wahl des Kunden oder gibt sie zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Nutzer können ihre Daten zudem jederzeit selbst exportieren und ihr Konto löschen. Gibt der Kunde einen Platz frei oder endet der Hauptvertrag, richten sich Aufbewahrung und Löschung der einzelnen Nutzerkonten nach den für die Nutzer geltenden Regelungen.
§ 9 Unterstützung des Verantwortlichen
(1) Der Anbieter unterstützt den Kunden im Rahmen des technisch Möglichen bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO). Wendet sich ein Nutzer unmittelbar an den Anbieter, leitet dieser das Anliegen an den Kunden weiter, soweit es dessen Verantwortungsbereich betrifft.
(2) Der Anbieter unterstützt den Kunden bei der Einhaltung der Pflichten aus den Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung) in angemessenem Umfang.
(3) Der Anbieter meldet dem Kunden eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die Daten der Nutzer betrifft, unverzüglich.
§ 10 Nachweise und Kontrollen
Der Anbieter stellt dem Kunden die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem, den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigendem Rahmen — vorrangig durch Auskunft und Vorlage geeigneter Nachweise.
§ 11 Ort der Verarbeitung
Die Verarbeitung findet ausschließlich in der Europäischen Union statt. Eine Übermittlung in ein Drittland erfolgt nicht, es sei denn, sie ist gesetzlich vorgeschrieben oder mit dem Kunden gesondert vereinbart und durch geeignete Garantien nach Kapitel V DSGVO abgesichert.
§ 12 Schlussbestimmungen
(1) Bei Widerspruch zwischen diesem AVV und den B2B-AGB gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
(2) Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.