HireSift
ENKostenlos testen
Zurück zum Trust Center

Verzeichnis der Unterauftragsverarbeiter

Alle eingesetzten Dienstleister mit Verarbeitungsort und Rechtsgrundlage. Anlage 2 zum AVV.

Als Markdown herunterladen

Liste der Unterauftragsverarbeiter

Anlage 2 zum Auftragsverarbeitungsvertrag (AVV) Version: 2.0 Stand: April 2026 Verantwortlicher für diese Liste: S&C Holding GmbH, Halbgasse 1a, 1070 Wien (FN 366123t)

Diese Liste ist integraler Bestandteil jedes mit HireSift-Kunden geschlossenen Auftragsverarbeitungsvertrags. Der Kunde stimmt mit Abschluss des AVV der Einbindung der hier genannten Unterauftragsverarbeiter ausdrücklich zu.

Unterauftragsverarbeiter für Bewerberdaten

Die folgenden Unterauftragsverarbeiter verarbeiten personenbezogene Daten von Bewerbern (Lebensläufe, extrahierte Profile, Matching-Scores, E-Mail-Inhalte). Sämtliche Verarbeitung findet ausschließlich innerhalb der EU statt.

# Anbieter Vertragsentität Verarbeitungsort Zweck
1 Supabase Supabase Inc. (über AWS EMEA SARL) EU — Frankfurt am Main, Deutschland (AWS eu-central-1) Datenbank und Datei-Storage für alle Business-Daten inklusive Bewerber-Lebensläufe
2 Vercel Vercel Germany GmbH EU — Frankfurt am Main, Deutschland (Region fra1) Hosting der Web-Anwendung, Serverless Functions, API-Routen
3 Vertex AI Google Ireland Limited EU — Saint-Ghislain, Belgien (Region europe-west4) KI-gestützte Analyse und Bewertung von Lebensläufen durch Large Language Models
4 Mailgun Sinch Email EU Ltd. (vormals Mailgun Europe Ltd.) EU — Irland (api.eu.mailgun.net, SMTP mxa/mxb.eu.mailgun.org) Empfang eingehender Bewerbungs-E-Mails (Inbound Parsing) inklusive Anhänge, sowie Versand transaktionaler E-Mails (Bewerbungsbestätigungen, HR-Benachrichtigungen)

Rechtsgrundlage für die Datenübermittlung: Keine Drittstaatenübermittlung. Alle vier Unterauftragsverarbeiter verarbeiten Bewerberdaten ausschließlich innerhalb des europäischen Wirtschaftsraums.

Unterauftragsverarbeiter für Nutzerverwaltung und Betrieb

Die folgenden Unterauftragsverarbeiter verarbeiten keine Bewerberdaten, sondern ausschließlich Daten der Kunden-Mitarbeiter (Recruiter-Accounts) oder Zahlungsdaten.

# Anbieter Vertragsentität Verarbeitungsort Zweck
5 Mixpanel Mixpanel Inc. EU — Frankfurt am Main, Deutschland (eu.mixpanel.com) Produkt-Analytics: Recruiter-Nutzungsverhalten, Feature-Events. Keine Bewerberdaten. Nur mit Consent des Recruiters aktiv.
6 Stripe Stripe Technology Company, Ltd. EU — Dublin, Irland (primärer Verarbeitungsort) Zahlungsabwicklung, Subscription-Management. Keine Bewerberdaten.
7 Clerk, Inc. Clerk, Inc. USA (DPF-zertifiziert) Authentifizierung der Recruiter-Accounts (E-Mail, Name, Passwort-Hash, Sessions). Keine Bewerberdaten.

Rechtsgrundlage für die Datenübermittlung an Clerk (USA):

  • Clerk Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat mit Angemessenheitsbeschluss vom
    1. Juli 2023 festgestellt, dass DPF-zertifizierte US-Unternehmen ein mit der DSGVO vergleichbares Datenschutzniveau gewährleisten.
  • Zusätzlich wurden mit Clerk Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Absicherung vereinbart.
  • Es wurde vertraglich bestätigt, dass Clerk keine Bewerberdaten (Lebensläufe, Profile, Scores, Bewerbungs-E-Mails) verarbeitet. Die Verarbeitung beschränkt sich auf Recruiter-Authentifizierung (Login-Daten, Sessions, Organisations-Metadaten).

Datenspeicherort-Übersicht

BEWERBERDATEN (CVs, Profile, Scores, E-Mail-Inhalte):
  🇩🇪 Frankfurt am Main ——— Supabase (AWS eu-central-1), Vercel (fra1)
  🇧🇪 Saint-Ghislain   ——— Vertex AI (europe-west4)
  🇮🇪 Irland           ——— Mailgun (eu.mailgun.net, mxa/mxb.eu.mailgun.org)

RECRUITER-AUTH + ZAHLUNGEN:
  🇩🇪 Frankfurt        ——— Mixpanel (eu.mixpanel.com)
  🇮🇪 Dublin           ——— Stripe Technology Company Ltd.
  🇺🇸 USA (DPF+SCC)    ——— Clerk Inc. (nur Recruiter-Accounts)

Bewerberdaten verlassen zu keinem Zeitpunkt den europäischen Wirtschaftsraum. Der einzige verbleibende US-Unterauftragsverarbeiter (Clerk) verarbeitet ausschließlich Authentifizierungsdaten unserer Kunden-Recruiter, niemals Daten von Bewerbern.

Ankündigung neuer Unterauftragsverarbeiter

HireSift wird Kunden jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus per E-Mail an die vom Kunden benannte Datenschutzadresse mitteilen. Der Kunde hat das Recht, der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen schriftlich zu widersprechen.

Geplante Änderungen

Die folgende Änderung ist derzeit in Planung:

  • Evaluierung einer Migration der Authentifizierung von Clerk (USA) zu Supabase Auth (EU Frankfurt). Wird ausgelöst bei strengeren Enterprise-Anforderungen oder wenn das Data Privacy Framework rechtlich infrage gestellt wird. Nach dieser Migration wäre die gesamte Datenverarbeitung (inklusive Recruiter-Authentifizierung) vollständig innerhalb der EU angesiedelt.

Kontakt

Fragen zu dieser Liste oder zum AVV: hello@hiresift.ai

Änderungshistorie:

Version Datum Änderung
1.0 April 2026 Initiale Fassung mit Resend als Mail-Sub-Prozessor
2.0 April 2026 Mailgun EU ersetzt Resend für alle Inbound- und Outbound-Mails. Bewerberdaten verlassen den EU-Datenraum nicht mehr.