Zum Inhalt springen
Nicht live-ready. Dieses Dokument ist ein Gerüst. Vor Veröffentlichung müssen alle mit {{ … }} markierten Felder durch reale Daten ersetzt und juristisch geprüft werden.

Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO im Rahmen der Nutzung von CultureFit.

§ 1 Parteien

Verantwortlicher: der Kunde (im Sinne der CultureFit-AGB).
Auftragsverarbeiter: {{ FIRMIERUNG }}, {{ STRASSE_HAUSNUMMER }}, {{ PLZ }} {{ ORT }}.

§ 2 Gegenstand

Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von CultureFit (Erfassung, Speicherung, Auswertung von Kandidaten-Antworten und Erstellung von Match-Scores).

§ 3 Dauer

Laufzeit des Hauptvertrags. Nach Vertragsende werden alle personenbezogenen Daten gemäß § 8 dieses AVV gelöscht oder zurückgegeben.

§ 4 Art & Zweck der Verarbeitung

  • Erstellung und Hosting von Culture-Profile-Builder-Daten
  • Generierung und Auswertung von Verhaltens-Assessments
  • Berechnung von Kulturfit-Scores und Red-Flag-Markierungen
  • Bereitstellung von Dashboards für berechtigte Nutzer:innen des Verantwortlichen

§ 5 Kategorien betroffener Personen

  • Mitarbeitende des Verantwortlichen
  • Bewerber:innen des Verantwortlichen

§ 6 Kategorien personenbezogener Daten

  • Stammdaten: Name (optional), E-Mail-Adresse
  • Antwortdaten zu Verhaltens-Szenarien
  • Aggregierte Score-Daten pro Kulturdimension
  • Technische Logdaten (IP, Browser-Typ, Zeitstempel)

§ 7 Technische und organisatorische Maßnahmen

  • Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256)
  • Mehrstufiges Berechtigungssystem mit Audit-Log
  • Server in Deutschland, regelmäßige Backups
  • Pseudonymisierung wo technisch möglich
  • Regelmäßige Penetrationstests durch unabhängige Dritte

Detail-Liste der TOMs gemäß Anhang. {{ ANHANG_TOMs einbinden }}

§ 8 Löschung & Rückgabe

Standard-Speicherdauer: 12 Monate ab Erfassung, sofern der Verantwortliche keine kürzere Frist konfiguriert. Nach Vertragsende werden alle Daten innerhalb von 30 Tagen gelöscht — auf Wunsch nach vorheriger Übergabe in einem strukturierten Format.

§ 9 Subunternehmer (Sub-Auftragsverarbeiter)

Der Auftragsverarbeiter setzt folgende Subunternehmer ein:

  • {{ HOSTER_NAME, ROLLE, STANDORT }}
  • {{ E-MAIL-DIENSTLEISTER, ROLLE, STANDORT }}
  • {{ KI-ANBIETER falls relevant, ROLLE, STANDORT, ggf. SCC }}

Der Verantwortliche stimmt dem Einsatz dieser Subunternehmer zu. Änderungen werden mit einer Frist von 30 Tagen mitgeteilt; ein Widerspruchsrecht besteht.

§ 10 Mitwirkungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch- und sonstigen Betroffenenrechten sowie bei Datenschutz-Folgenabschätzungen.

§ 11 Meldepflichten

Datenschutzverletzungen werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, gemeldet.

§ 12 Haftung & Schlussbestimmungen

Es gelten die Haftungsregelungen der CultureFit-AGB. Im Übrigen gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.