AVV Auftragsverarbeitung für HR-Tools: Was Personaler wirklich prüfen müssen
Du setzt ein neues Bewerber-Management-System ein. Der Anbieter schickt dir einen vorausgefüllten AVV. Du unterschreibst, weil du weißt, dass du musst — aber weißt du, was darin stehen sollte? Und was passiert, wenn etwas fehlt?
Dieser Leitfaden erklärt die Auftragsverarbeitung nach Art. 28 DSGVO konkret für HR-Tools. Du erfährst, wann ein AVV Pflicht ist, was er enthalten muss und worauf du bei US-Anbietern und KI-Tools besonders achten musst.
Was ist ein AVV — und wann brauchst du einen?
Ein Auftragsverarbeitungsvertrag (AVV), auf Englisch auch Data Processing Agreement (DPA) genannt, regelt die Beziehung zwischen dir als Verantwortlichem und einem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet.
Wann liegt Auftragsverarbeitung vor?
Auftragsverarbeitung liegt vor, wenn ein externer Anbieter Daten für dich verarbeitet und dabei deinen Weisungen unterliegt. Typische Beispiele im HR-Bereich:
- Ein ATS-System speichert Bewerberdaten auf Servern des Anbieters.
- Ein KI-Tool analysiert Lebensläufe in deinem Auftrag.
- Eine Video-Interview-Plattform zeichnet Gespräche auf und wertet sie aus.
Verarbeitet der Anbieter Daten hingegen für eigene Zwecke — etwa zur Produktverbesserung oder Weitergabe an Dritte — handelt er als eigenverantwortlicher Verarbeiter. Dann brauchst du keinen AVV, aber andere vertragliche Schutzmaßnahmen.
Pflicht nach Art. 28 DSGVO: Sobald Auftragsverarbeitung vorliegt, muss ein schriftlicher AVV vorhanden sein. Ohne ihn verstößt du gegen die DSGVO — unabhängig davon, wie datenschutzfreundlich der Anbieter tatsächlich agiert.
Was muss in einem AVV für HR-Tools stehen?
Art. 28 Abs. 3 DSGVO gibt vor, was ein AVV mindestens regeln muss. Hier ist die Checkliste für HR-Tools:
1. Gegenstand, Dauer und Zweck der Verarbeitung
Der AVV muss klar benennen, welche Daten verarbeitet werden, wie lange und wozu. Bei einem ATS könnte das so aussehen:
- Gegenstand: Verarbeitung von Bewerberdaten (Name, Kontaktdaten, Lebensläufe, Anschreiben, Kommunikation)
- Dauer: Dauer der Vertragsbeziehung plus gesetzliche Aufbewahrungsfristen
- Zweck: Unterstützung des Recruiting-Prozesses
Vage Formulierungen wie "Bereitstellung der Software-Dienste" reichen nicht aus. Bestehe auf Konkretheit.
2. Art der personenbezogenen Daten und Kategorien betroffener Personen
Welche Datenkategorien verarbeitet der Anbieter? Bei HR-Tools typischerweise:
- Stammdaten der Bewerber (Name, Adresse, Geburtsdatum)
- Bewerbungsunterlagen (Lebenslauf, Zeugnisse, Foto)
- Kommunikationsdaten (E-Mails, Gesprächsnotizen)
- Ggf. besondere Kategorien: Schwerbehinderung, Gesundheitsdaten (nur wenn erhoben)
Achtung: Besondere Kategorien nach Art. 9 DSGVO (Gesundheit, Behinderung, Gewerkschaftszugehörigkeit) erfordern zusätzliche Schutzmaßnahmen. Prüfe, ob dein Tool solche Daten erhebt.
3. Rechte und Pflichten des Verantwortlichen
Der AVV muss klarstellen, dass du als Verantwortlicher die Hoheit über die Daten behältst. Der Auftragsverarbeiter darf die Daten nur nach deiner Weisung verarbeiten.
4. Pflichten des Auftragsverarbeiters
Laut Art. 28 Abs. 3 DSGVO muss der Anbieter sich verpflichten:
- Daten nur auf Weisung zu verarbeiten
- Vertraulichkeit sicherzustellen (eigene Mitarbeiter + Subunternehmer)
- Technische und organisatorische Maßnahmen (TOMs) umzusetzen
- Dir bei der Erfüllung deiner Pflichten zu helfen (Auskunft, Löschung, Datenschutz-Folgenabschätzung)
- Daten am Ende der Zusammenarbeit zu löschen oder zurückzugeben
- Dir alle erforderlichen Informationen zur Verfügung zu stellen
5. Technische und organisatorische Maßnahmen (TOMs)
TOMs sind konkrete Sicherheitsmaßnahmen. Sie sollten im AVV oder einem Anhang spezifiziert sein. Typische TOMs für HR-Software:
- Verschlüsselung der Daten in Übertragung und Speicherung (TLS, AES-256)
- Zugriffskontrollen und Rollen-Berechtigungen
- Regelmäßige Backups und Wiederherstellungstest
- Penetrationstests und Sicherheitsaudits
- Datenpannen-Reaktionspläne (Incident Response)
Prüfe, ob die TOMs konkret oder nur pauschal formuliert sind. "Wir setzen branchenübliche Sicherheitsstandards ein" ist zu vage.
6. Unterauftragsverarbeiter
Fast jeder SaaS-Anbieter nutzt Unterauftragsverarbeiter — Cloud-Hosts (AWS, Azure, Google Cloud), E-Mail-Dienste, Support-Tools. Der AVV muss regeln:
- Welche Unterauftragsverarbeiter eingesetzt werden (Anhang oder veröffentlichte Liste)
- Dass Änderungen dir angekündigt werden (mit Widerspruchsrecht)
- Dass der Anbieter gegenüber Unterauftragsverarbeitern dieselben Pflichten durchsetzt
US-Anbieter: Was gilt bei Schrems II, Cloud Act und SCCs?
Viele HR-Tools kommen aus den USA — Greenhouse, Workday, Lever, Avature. Nach dem Schrems-II-Urteil des EuGH aus 2020 ist die Datenübermittlung in die USA ohne zusätzliche Maßnahmen unzulässig.
Was musst du prüfen?
Standardvertragsklauseln (SCCs)
Seit 2021 gibt es neue EU-SCCs der Kommission. Der Anbieter muss diese verwenden oder ein anderes gültiges Transferinstrument vorweisen (z.B. UK IDTA für UK-Übermittlungen nach Brexit).
Transfer Impact Assessment (TIA)
Seit Schrems II verlangen Datenschutzbehörden, dass du vor der Übermittlung in Drittländer ein Transfer Impact Assessment durchführst. Du musst prüfen, ob die SCCs im konkreten Fall ausreichen oder ob weitere Maßnahmen nötig sind (Verschlüsselung, Pseudonymisierung).
Cloud Act
Der US CLOUD Act erlaubt US-Behörden, auf Daten zuzugreifen, die US-Unternehmen kontrollieren — auch wenn die Server in Europa stehen. Dies ist ein Restrisiko, das du im TIA dokumentieren musst.
Praktisches Vorgehen:
- Frage den Anbieter nach dem Rechtsrahmen für Drittlandübermittlungen.
- Lass dir die aktuellen SCCs und das TIA aushändigen.
- Dokumentiere deine eigene Einschätzung des Risikos.
- Erwäge EU-basierte Alternativen, wenn das Risiko nicht akzeptabel ist.
HireSift hostet alle Daten ausschließlich in der EU und bietet einen vollständigen, DSGVO-konformen AVV ohne Drittlandübermittlungen.
KI-Recruiting-Tools und der EU AI Act
Wenn dein HR-Tool KI einsetzt — für CV-Parsing, Kandidaten-Ranking oder automatisierte Vorauswahl — gelten ab 2026 zusätzliche Anforderungen durch den EU AI Act.
Hochrisiko-KI im Recruiting
KI-Systeme, die für die Einstellung, Beurteilung oder Auswahl von Personen eingesetzt werden, fallen unter die Hochrisiko-Kategorie des EU AI Acts. Das bedeutet für den Anbieter:
- Umfangreiche Dokumentationspflichten
- Bias-Tests und Genauigkeitsnachweise
- Möglichkeit menschlicher Aufsicht und Übersteuerung
- Transparenz gegenüber Betroffenen
Was du prüfen solltest:
- Ist das KI-Tool als Hochrisiko-System nach EU AI Act klassifiziert?
- Welche Transparenzpflichten bestehen gegenüber Bewerbern?
- Kannst du automatisierte Entscheidungen manuell überprüfen und aufheben?
Ergänze deinen AVV um eine Klausel zur Konformität mit dem EU AI Act, wenn dein Anbieter KI-gestützte Entscheidungen trifft.
Was tun bei fehlender oder mangelhafter AVV?
Fehlende AVV
Wenn du kein AVV hast, hast du ein Problem. Gehe so vor:
- Kontaktiere den Anbieter sofort und fordere den AVV an.
- Die meisten seriösen Anbieter haben Standardverträge — frag nach.
- Prüfe, ob du die Software bis zur Unterzeichnung pausieren musst.
- Dokumentiere deinen Kontaktversuch.
Mangelhafte AVV
Wenn der AVV lückenhaft ist:
- Liste die fehlenden Pflichtbestandteile (Checkliste oben).
- Formuliere konkrete Ergänzungswünsche.
- Seriöse Anbieter werden verhandeln — bei Totalverweigerung ist das ein schlechtes Zeichen.
Dokumentationspflicht
Nach Art. 30 DSGVO musst du ein Verzeichnis von Verarbeitungstätigkeiten führen. Der AVV ist Bestandteil dieser Dokumentation. Bewahre ihn mindestens für die Dauer der Zusammenarbeit plus drei Jahre auf.
Praxis-Checkliste: AVV für HR-Tools prüfen
Nutze diese Checkliste, wenn du einen AVV erhalten hast:
- Gegenstand, Zweck und Dauer der Verarbeitung konkret beschrieben?
- Datenkategorien und betroffene Personengruppen benannt?
- Verarbeitungspflichten auf Weisung des Verantwortlichen beschränkt?
- Vertraulichkeitspflicht für Mitarbeiter und Subunternehmer vorhanden?
- TOMs konkret im Anhang spezifiziert?
- Liste der Unterauftragsverarbeiter vorhanden mit Änderungsmitteilungspflicht?
- Unterstützungspflichten bei Betroffenenanfragen und Behörden geregelt?
- Löschpflicht nach Vertragsende festgelegt?
- SCCs oder anderes Transferinstrument für Drittlandübermittlungen vorhanden?
- Bei KI-Tools: Regelungen zu EU AI Act und automatisierten Entscheidungen?
Fazit
Ein AVV ist mehr als Bürokratie — er schützt dich rechtlich und gibt dir Kontrolle darüber, was mit Bewerberdaten passiert. Viele HR-Tools liefern Standardverträge, die gut sind. Manche haben Lücken. Und einige Anbieter — besonders aus dem US-Markt — bringen Drittlandfragen mit, die du aktiv adressieren musst.
Nimm dir 30 Minuten, geh die Checkliste durch und dokumentiere deine Prüfung. Das ist die günstigste Investition in deine DSGVO-Compliance, die du machen kannst.
HireSift stellt einen vollständigen, rechtssicheren AVV bereit und hostet alle Daten in der EU — ohne Drittlandproblematik. Teste HireSift kostenlos und überzeuge dich selbst.
Weniger screenen. Mehr einstellen.
HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.
7 Tage kostenlos testenWeitere Artikel
CLOUD Act und US-Anbieter im Recruiting: Was HR-Teams wissen müssen
Der CLOUD Act gibt US-Behörden Zugriff auf Daten bei US-Cloud-Anbietern – auch auf Bewerberdaten in Greenhouse, Workday oder Lever. Was das für dein Recruiting bedeutet.
Schrems II und Recruiting-Software: Was du jetzt wirklich tun musst
US-Clouds im Recruiting bleiben riskant. So prüfst du deine Software nach Schrems II und machst dein Setup belastbar.
EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst
Bewerberdaten in US-Clouds speichern? Das ist ein echtes Risiko. Wir erklären, was EU-Datensouveränität im Recruiting bedeutet und wie du dich schützt.