HireSift
ENKostenlos testen
Zurück zum Trust Center

Auftragsverarbeitungsvertrag (AVV) — Template

Standard-AVV nach Art. 28 DSGVO zur Vorlage. Individueller Abschluss auf Anfrage: hello@hiresift.ai

Als Markdown herunterladen

Auftragsverarbeitungsvertrag (AVV / DPA)

Version: 1.0 Stand: April 2026 Rechtsgrundlage: Art. 28 DSGVO

Vertragsparteien

Verantwortlicher (im Folgenden "Kunde")

[Firma]
[Adresse]
[UID-Nr.]
vertreten durch [Name, Funktion]

Auftragsverarbeiter

S&C Holding GmbH
Halbgasse 1a, 1070 Wien, Österreich
FN 366123t (Handelsgericht Wien)
UID: ATU70341613
vertreten durch Mag. Markus Höfinger, Geschäftsführer
E-Mail: hello@hiresift.ai

(im Folgenden "HireSift")

Präambel

HireSift betreibt eine SaaS-Plattform zur KI-gestützten Analyse und Vorsortierung von Bewerbungsunterlagen. Der Kunde nutzt HireSift zur Bearbeitung eingehender Bewerbungen. Dabei werden personenbezogene Daten von Bewerbern verarbeitet. Der Kunde ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, HireSift ist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

Dieser Vertrag regelt die Rechte und Pflichten beider Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

(1) Gegenstand

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten gemäß der nachstehenden Beschreibung durch HireSift im Auftrag des Kunden im Zusammenhang mit der Nutzung der HireSift-Plattform.

(2) Dauer

Der Auftrag beginnt mit Abschluss dieses Vertrags und endet mit Beendigung des zwischen den Parteien bestehenden Haupt-Nutzungsvertrags oder durch Kündigung des AVV aus wichtigem Grund.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung

  • Entgegennahme von Bewerbungsunterlagen (PDF, DOCX) über Upload, Bewerbungsformulare oder dedizierte E-Mail-Adressen
  • Automatisierte Extraktion strukturierter Daten aus Lebenslauf-Dokumenten mithilfe von Large Language Models
  • Bewertung der extrahierten Daten gegen vom Kunden konfigurierte Stellenkriterien (Matching-Score)
  • Speicherung der Rohdaten und abgeleiteten Ergebnisse
  • Bereitstellung einer Oberfläche für den Kunden zur Sichtung, Filterung und Auswertung der Bewerbungen
  • Versand transaktionaler E-Mails (Bewerbungsbestätigungen, Benachrichtigungen) im Auftrag des Kunden

(2) Zweck der Verarbeitung

Unterstützung des Kunden bei der Vorauswahl von Bewerbern für offene Stellen. HireSift trifft keine Einstellungs- oder Ablehnungsentscheidungen. Die Entscheidungsfindung verbleibt beim Kunden.

(3) Kategorien betroffener Personen

  • Bewerber:innen des Kunden
  • Mitarbeiter des Kunden, die die HireSift-Plattform bedienen (Recruiter)

(4) Kategorien personenbezogener Daten

Von Bewerbern:

  • Identifikationsdaten: Name, Titel, Geburtsdatum (falls im CV angegeben), Staatsangehörigkeit (falls im CV angegeben)
  • Kontaktdaten: E-Mail, Telefon, Adresse
  • Berufliche Daten: Ausbildungsverlauf, Berufserfahrung, Qualifikationen, Sprachkenntnisse, Führerscheinbesitz
  • Bewerbungsspezifische Daten: Motivationsschreiben, Gehaltsvorstellungen, Kündigungsfrist, Bereitschaft zum Umzug
  • Vollständiger Lebenslauf als Datei (PDF/DOCX)
  • Aus dem CV abgeleitete Bewertungen: Senioritätsstufe, Jahre Berufserfahrung, Matching-Score, KI-generierte Begründung

Von Mitarbeitern des Kunden (Recruitern):

  • Authentifizierungsdaten: E-Mail, Name, Passwort (gehashed durch Clerk)
  • Organisationszugehörigkeit und Rolle
  • Nutzungsdaten: Login-Zeitpunkte, Klick-Aktionen innerhalb der Plattform (Produkt-Analytics, nur mit Consent)

(5) Ausschluss besonderer Kategorien

Der Kunde wird besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nicht gezielt durch die Plattform verarbeiten lassen. Soweit Bewerber entsprechende Daten von sich aus im Lebenslauf angeben (z. B. Angaben zu Behinderungen, Religionszugehörigkeit, Gewerkschaftszugehörigkeit), liegt die Verantwortung für die rechtmäßige Verarbeitung beim Kunden als Verantwortlichem.

§ 3 Pflichten des Auftragsverarbeiters

HireSift verpflichtet sich:

  1. Die Daten nur im Rahmen dieser Vereinbarung und ausschließlich auf dokumentierte Weisung des Kunden zu verarbeiten, einschließlich in Bezug auf Datenübermittlungen in Drittländer (Art. 28 Abs. 3 lit. a DSGVO).
  2. Die Vertraulichkeit der verarbeiteten Daten gegenüber Dritten zu wahren und seine Mitarbeiter sowie etwaige weitere Berechtigte schriftlich zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
  3. Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen. Diese sind in Anlage 1 (TOMs) spezifiziert.
  4. Weitere Auftragsverarbeiter ausschließlich unter den Voraussetzungen des § 5 dieses Vertrags einzubinden.
  5. Den Kunden bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO) zu unterstützen, indem auf Anfrage Daten einzelner Betroffener exportiert, berichtigt, eingeschränkt oder gelöscht werden können.
  6. Den Kunden bei der Umsetzung der Pflichten aus Art. 32–36 DSGVO zu unterstützen (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
  7. Dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Art. 28 DSGVO-Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (siehe § 7 Kontrollrechte).

§ 4 Technische und organisatorische Maßnahmen

Die von HireSift umgesetzten technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1 (TOMs), die Bestandteil dieses Vertrags ist. HireSift wird die TOMs während der Vertragslaufzeit so anpassen, dass sie dem jeweiligen Stand der Technik entsprechen.

Wesentliche Änderungen der TOMs, die das Schutzniveau verringern würden, werden dem Kunden rechtzeitig mitgeteilt.

§ 5 Unterauftragsverhältnisse

(1) Genehmigte Unterauftragsverarbeiter

Der Kunde stimmt der Einbindung der in Anlage 2 (Liste der Unterauftragsverarbeiter) genannten Unterauftragsverarbeiter ausdrücklich zu.

(2) Neue Unterauftragsverarbeiter

HireSift wird dem Kunden jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mindestens 30 Tage im Voraus per E-Mail an die vom Kunden benannte Datenschutzadresse mitteilen. Der Kunde hat das Recht, der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen schriftlich zu widersprechen. Im Fall eines Widerspruchs sind die Parteien zu Verhandlungen über eine einvernehmliche Lösung verpflichtet. Kommt keine Einigung zustande, steht dem Kunden ein Sonderkündigungsrecht zu.

(3) Pflichten von HireSift

HireSift ist verpflichtet, die Unterauftragsverarbeiter sorgfältig auszuwählen und mit ihnen vertragliche Regelungen zu schließen, die den Anforderungen des Art. 28 DSGVO entsprechen und mindestens den gleichen Schutz gewährleisten wie dieser Vertrag.

§ 6 Betroffenenrechte

HireSift unterstützt den Kunden bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO durch:

  • Bereitstellung einer technischen Möglichkeit zur Auskunftserteilung (Export der zu einem Bewerber gespeicherten Daten)
  • Möglichkeit zur Berichtigung fehlerhafter Daten (Art. 16 DSGVO)
  • Möglichkeit zur Löschung einzelner Bewerber-Datensätze (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in maschinenlesbarem Format (Art. 20 DSGVO)

Wenden sich Betroffene direkt an HireSift, leitet HireSift die Anfrage unverzüglich an den Kunden weiter. Der Kunde ist als Verantwortlicher für die inhaltliche Bearbeitung der Anfragen zuständig.

Der dokumentierte Prozess ist in docs/legal/betroffenenrechte-prozess.md hinterlegt.

§ 7 Kontrollrechte

Der Kunde hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch HireSift zu überprüfen. HireSift stellt hierzu auf Anfrage bereit:

  1. Aktuelle TOMs (Anlage 1) und Liste der Unterauftragsverarbeiter (Anlage 2)
  2. Security Questionnaire mit ausführlichen Antworten zur Infrastruktur
  3. Einsicht in relevante Zertifizierungen und Audit-Berichte, soweit vorhanden
  4. Auf schriftliche Anfrage mit mindestens 30 Tagen Vorlauf: Einsicht in die Verarbeitungstätigkeiten durch den Kunden oder einen von ihm beauftragten Prüfer, soweit dies zur Erfüllung datenschutzrechtlicher Pflichten erforderlich ist. Die Kosten einer solchen Prüfung trägt der Kunde, sofern sich kein grober Verstoß von HireSift gegen diesen Vertrag feststellen lässt.

§ 8 Meldung von Datenschutzverletzungen

HireSift wird den Kunden unverzüglich nach Kenntnis, spätestens innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten, die die vom Kunden verarbeiteten Daten betrifft, per E-Mail an die vom Kunden benannte Datenschutzadresse informieren.

Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl betroffener Personen und Datensätze
  • Name und Kontaktdaten eines Ansprechpartners
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der getroffenen und vorgeschlagenen Maßnahmen

Der Kunde ist für die Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO selbst verantwortlich. HireSift unterstützt ihn dabei mit allen erforderlichen Informationen.

§ 9 Rückgabe und Löschung nach Vertragsende

Nach Beendigung dieses Vertrags wird HireSift:

  1. Dem Kunden auf Wunsch innerhalb von 30 Tagen nach Vertragsbeendigung eine vollständige Kopie aller verarbeiteten Daten in maschinenlesbarem Format (JSON-Export plus Original-PDF-Dokumente) zur Verfügung stellen.
  2. Anschließend die Daten aus produktiven Systemen innerhalb von 30 Tagen vollständig löschen.
  3. Die Daten aus Backups innerhalb weiterer 60 Tage (insgesamt 90 Tage ab Vertragsende) löschen.
  4. Auf Verlangen des Kunden eine schriftliche Bestätigung der Löschung ausstellen.

Abweichend davon bleiben gesetzliche Aufbewahrungspflichten unberührt.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach den einschlägigen Bestimmungen des Haupt-Nutzungsvertrags zwischen den Parteien.

Für Schäden, die durch eine Datenverarbeitung verursacht werden, haften die Parteien gemäß Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei die Haftung entsprechend ihrem Verschuldensanteil.

§ 11 Schlussbestimmungen

(1) Vorrang

Im Fall von Widersprüchen zwischen diesem AVV und dem Haupt-Nutzungsvertrag gehen die Regelungen dieses AVV vor, soweit sie Datenschutz betreffen.

(2) Schriftform

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

(3) Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(4) Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Republik Österreich unter Ausschluss der UN-Kaufrechtsabkommens und der Verweisungsnormen. Gerichtsstand ist Wien.

Anlagen

  • Anlage 1: Technische und organisatorische Maßnahmen (TOMs) — docs/legal/toms.md
  • Anlage 2: Liste der Unterauftragsverarbeiter — docs/legal/subprocessor-list.md

Unterschriften:

Für den Kunden:
_______________________________
Ort, Datum, Unterschrift

Für HireSift (S&C Holding GmbH):
_______________________________
Wien, ________________, Mag. Markus Höfinger