← Datenschutz

Vereinbarung zur Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO

Version: 2026-06-01

Stand: 1. Juni 2026

Präambel

Mit Veröffentlichung einer Stellenanzeige auf der MIHRA-Plattform (go.mihra.de) verarbeitet der Plattformbetreiber personenbezogene Daten von Bewerbenden im Auftrag des veröffentlichenden Unternehmens. Diese Vereinbarung regelt die Bedingungen dieser Auftragsverarbeitung gem. Art. 28 DSGVO.

Hinweis: Mit dem Setzen des Häkchens „Ich habe die AVV gelesen und akzeptiere sie" im Veröffentlichungsschritt schließt der Auftraggeber diese Vereinbarung in der zum jeweiligen Zeitpunkt geltenden Version ab.

§ 1 Vertragspartner

Auftraggeber (Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO):

Das Unternehmen / die natürliche Person, die als „Arbeitgeber" eine Stellenanzeige auf der MIHRA-Plattform veröffentlicht (identifiziert durch die im Veröffentlichungs-Prozess angegebene E-Mail-Adresse).

Auftragsverarbeiter:

TalentLogik GmbH

Ritterstraße 8

33602 Bielefeld

Deutschland

Kontakt: info@mihra.de

(Vollständige Anbieterkennung gem. § 5 TMG: siehe Impressum unter https://go.mihra.de/impressum)

§ 2 Gegenstand und Dauer der Auftragsverarbeitung

2.1 Gegenstand

Der Auftragsverarbeiter stellt dem Auftraggeber eine Software-as-a-Service-Plattform zur Erstellung und Verwaltung von Stellenanzeigen zur Verfügung. Im Rahmen dieser Plattform werden personenbezogene Daten von Bewerbenden (nachfolgend „Betroffene") an den Auftraggeber weitergeleitet und temporär gespeichert.

2.2 Dauer

Diese Vereinbarung gilt ab Akzeptanz durch den Auftraggeber für die Dauer der Nutzung der MIHRA-Plattform durch den Auftraggeber. Sie endet mit der Löschung des Auftraggeber-Accounts (identifiziert per E-Mail-Adresse) oder schriftlicher Kündigung.

§ 3 Art und Zweck der Verarbeitung

3.1 Art der Verarbeitung

  • Annahme von Bewerbungen über die öffentliche Stellenanzeigen-Seite
  • Temporäre Speicherung der Bewerbungsdaten zur Übermittlung an den Auftraggeber
  • Weiterleitung der Bewerbungsdaten per E-Mail an den vom Auftraggeber angegebenen Empfänger
  • Bereitstellung einer Verwaltungs-Oberfläche zur Sichtung eingegangener Bewerbungen
  • Tracking anonymisierter Nutzungsstatistiken (Aufrufe der Stellenanzeige) zur Erfolgsmessung

3.2 Zweck der Verarbeitung

Ermöglichung des Bewerbungsprozesses zwischen Bewerbenden und dem Auftraggeber als potenziellem Arbeitgeber.

§ 4 Art der personenbezogenen Daten und Kategorien Betroffener

4.1 Datenkategorien

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Datenkategorien verarbeitet:

  • Stammdaten: Vor- und Nachname der Bewerbenden
  • Kontaktdaten: E-Mail-Adresse, optional Telefonnummer
  • Bewerbungsinhalte: Anschreiben, Lebenslauf (CV als Datei-Upload, soweit vom Auftraggeber als Option aktiviert), strukturierte Antworten auf wizard-geführte Bewerbungsfragen
  • Technische Daten: IP-Adresse (gehasht zum Zeitpunkt der Bewerbungs-Abgabe für Rate-Limiting und Audit-Zwecke), User-Agent

4.2 Kategorien Betroffener

Natürliche Personen, die sich über die durch den Auftraggeber veröffentlichte Stellenanzeige bewerben.

§ 5 Weisungen des Auftraggebers

5.1 Verarbeitung nur auf dokumentierte Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers. Die initialen Weisungen ergeben sich aus dieser AVV sowie aus den jeweils aktivierten Funktionen der MIHRA-Plattform.

5.2 Informationspflicht bei rechtswidrigen Weisungen

Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert er den Auftraggeber unverzüglich.

§ 6 Sub-Auftragsverarbeiter (Sub-Processors)

6.1 Aktuell eingesetzte Sub-Auftragsverarbeiter

Der Auftraggeber stimmt mit Akzeptanz dieser AVV der Einbindung folgender Sub-Auftragsverarbeiter zu:

Sub-AuftragsverarbeiterZweckSitz / DatenverarbeitungsortDSGVO-Grundlage
Vercel Inc.Hosting der Plattform (Web-App, API)USA / Edge-Lokationen weltweit (Datenverarbeitung primär EU-Region Frankfurt)EU-US Data Privacy Framework + Standardvertragsklauseln
Supabase (Supabase Inc.)Datenbank-Hosting (Bewerbungsdaten, Stellendaten, AVV-Akzeptanz-Log)EU-Region (Frankfurt)Innerhalb EU/EWR
Microsoft Corporation (Azure OpenAI)KI-gestützte Textverarbeitung beim Erstellen der Stellenanzeige; KI-gestütztes Matching bei Eingabe des StellentitelsGermany West Central, Switzerland North, Sweden Central (alle EU/EU-Adequacy)EU/EU-Adequacy
Resend (Resend Inc.)Versand von Transaktions-E-Mails (Stellen-Management-Link, Bewerbungs-Benachrichtigungen)USAEU-US Data Privacy Framework
Plausible AnalyticsCookieless Web-Analytics (anonymisiert)EU (Deutschland)Innerhalb EU/EWR
MicrolinkLogo- und Metadaten-Extraktion beim Onboarding (keine Bewerbungsdaten)USAEU-US Data Privacy Framework — nur Stellendaten, keine Bewerber-PII
Bundesagentur für Arbeit (BERUFENET-API, Entgeltatlas)Build-Time-Cache von öffentlichen Berufstaxonomie- und Gehaltsstatistik-Daten — KEINE Übertragung personenbezogener DatenDeutschlandÖffentliche BA-API, keine PII

6.2 Änderungen der Sub-Auftragsverarbeiter

Der Auftragsverarbeiter informiert den Auftraggeber rechtzeitig (mindestens 14 Tage im Voraus) per E-Mail über geplante Änderungen an der Sub-Auftragsverarbeiter-Liste. Der Auftraggeber kann gegen die Hinzunahme eines neuen Sub-Auftragsverarbeiters innerhalb von 14 Tagen widersprechen. Im Widerspruchsfall ist der Auftragsverarbeiter berechtigt, das Vertragsverhältnis zu kündigen.

6.3 Pflichten gegenüber Sub-Auftragsverarbeitern

Mit jedem Sub-Auftragsverarbeiter wurden bzw. werden Verträge geschlossen, die mindestens das in dieser AVV vorgesehene Schutzniveau gewährleisten (Art. 28 Abs. 4 DSGVO).

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die in dieser AVV vereinbarten und nachfolgend dargestellten technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Art. 32 DSGVO):

7.1 Vertraulichkeit

  • Zutrittskontrolle: Server-Hardware bei Sub-Auftragsverarbeitern (Vercel, Supabase) in zertifizierten Rechenzentren (ISO 27001, SOC 2)
  • Zugangskontrolle: Authentifizierung per E-Mail-basierter Magic-Link (für Auftraggeber-Verwaltung), Service-Role-Keys serverseitig isoliert
  • Zugriffskontrolle: Row-Level-Security (RLS) auf Datenbank-Ebene, anonyme Lese-Zugriffe nur auf veröffentlichte Stellendaten (kein Zugriff auf Bewerber-Daten)
  • Trennung: Daten verschiedener Auftraggeber sind logisch durch eindeutige IDs getrennt

7.2 Integrität

  • Eingabekontrolle: Audit-Logs für veröffentlichende Aktionen (Publish, Status-Änderungen)
  • Transportverschlüsselung: HTTPS/TLS 1.2+ für alle Verbindungen

7.3 Verfügbarkeit

  • Hosting: Vercel-Infrastruktur mit Auto-Scaling
  • Backups: Supabase-Datenbank mit täglichen automatisierten Backups (7 Tage Retention)
  • Wiederherstellbarkeit: Backups testbar wiederherstellbar

7.4 Belastbarkeit und Verfügbarkeit der Systeme

  • Monitoring der Plattform-Verfügbarkeit
  • Plausible Analytics für anonymisierte Nutzungsstatistiken (kein User-Tracking)

7.5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluation

  • Regelmäßige Code-Reviews
  • Pre-Launch DSGVO-Audit (Mai 2026)
  • Updates der TOMs bei wesentlichen Plattform-Änderungen

§ 8 Berichtigung, Einschränkung und Löschung von Daten

8.1 Mitwirkungspflicht

Der Auftragsverarbeiter unterstützt den Auftraggeber, soweit möglich, bei der Erfüllung von Betroffenenrechten (Art. 12-23 DSGVO).

8.2 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder gibt sie zurück, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht.

Aufbewahrungsfristen:

  • Bewerbungsdaten: 6 Monate nach Bewerbungseingang (sofern nicht durch Auftraggeber bereits früher gelöscht oder Auftraggeber eine längere Speicherung in seiner eigenen Datenschutzerklärung vorgesehen hat — in diesem Fall obliegt die Verantwortung der Speicherdauer dem Auftraggeber)
  • Stellenanzeigen: bis zur Löschung durch den Auftraggeber bzw. 6 Monate nach letzter Aktivität (Sicherheits-Auto-Cleanup). „Letzte Aktivität" bedeutet: Bewerbung eingegangen, Stelle editiert oder Status manuell geändert (z.B. „pausiert"). Eine aktiv genutzte Stelle bleibt damit bestehen, solange sie genutzt wird; eine vergessene Stelle wird nach 6 Monaten Inaktivität automatisch gelöscht.
  • Audit-Logs (inkl. AVV-Akzeptanz-Logs): 3 Jahre (gesetzliche Nachweispflicht)
  • E-Mail-Versand-Logs (Resend): 30 Tage (Sub-Auftragsverarbeiter-Defaults)

§ 9 Kontrollrechte des Auftraggebers

9.1 Auskunfts- und Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung dieser AVV durch den Auftragsverarbeiter zu überprüfen. Anfragen sind schriftlich an die unter § 1 genannte Kontaktadresse zu richten.

9.2 Audit

Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung. Audit-Anfragen sind mindestens 30 Tage im Voraus anzukündigen und auf max. 1× jährlich begrenzt (es sei denn, ein konkreter Anlass besteht).

§ 10 Meldepflichten

10.1 Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens binnen 48 Stunden nach Kenntnisnahme einer Datenschutzverletzung gem. Art. 33 DSGVO. Die Meldung erfolgt per E-Mail an die im Auftraggeber-Profil hinterlegte Adresse.

10.2 Behördliche Anfragen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über Auskunftsersuchen oder Anordnungen von Aufsichtsbehörden, soweit zulässig.

§ 11 Drittlandtransfer

11.1 Übermittlung an Sub-Auftragsverarbeiter in Drittländern

Datenübermittlungen an Sub-Auftragsverarbeiter mit Sitz außerhalb des EWR (insbesondere Vercel und Resend mit US-Sitz, Microlink mit US-Sitz) erfolgen ausschließlich auf Grundlage:

  • des EU-US Data Privacy Framework (für die jeweils zertifizierten US-Anbieter), oder
  • der Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses, SCC), oder
  • ausnahmsweise zulässiger Übermittlungen gem. Art. 49 DSGVO.

11.2 Schutzmaßnahmen

Bei US-Datentransfers werden zusätzliche Schutzmaßnahmen wie Transportverschlüsselung umgesetzt. Sensitive Bewerbungsdaten werden primär in EU/EU-Adequacy-Regionen verarbeitet (Supabase EU-Frankfurt, Azure OpenAI Germany West Central / Switzerland North / Sweden Central).

§ 12 Schlussbestimmungen

12.1 Anwendbares Recht

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

12.2 Salvatorische Klausel

Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt.

12.3 Vorrang der DSGVO

Bei Widersprüchen zwischen dieser AVV und den Bestimmungen der DSGVO gilt die DSGVO.

12.4 Änderungen

Diese AVV kann vom Auftragsverarbeiter mit einer Frist von 14 Tagen geändert werden. Wesentliche Änderungen werden dem Auftraggeber per E-Mail mitgeteilt und erfordern eine erneute Akzeptanz beim nächsten Veröffentlichungs-Vorgang.

⚠️ Wichtiger Hinweis

Diese AVV-Vorlage wurde nach bestem Wissen und Gewissen auf Basis von DSGVO Art. 28 erstellt. Sie ersetzt keine individuelle Rechtsberatung. Eine Überprüfung durch einen auf Datenschutzrecht spezialisierten Anwalt wird ausdrücklich empfohlen, insbesondere für die spezifische Situation des Auftraggebers und vor Verwendung in regulierten Branchen (Gesundheitswesen, öffentliche Verwaltung, etc.).

Für rechtsverbindliche Auslegung oder bei Konflikten gilt der jeweils aktuelle Gesetzestext der DSGVO und ergänzender nationaler Datenschutzgesetze.

Akzeptanz nachgewiesen durch: Eintrag in der public_job_pages-Datenbanktabelle mit Feldern avv_version, avv_accepted_at (Zeitstempel) und avv_ip_hash (gehashter IP zur Audit-Zwecken) zum Zeitpunkt der Stellen-Veröffentlichung.

Diese Seite kann über den Browser-Druckdialog als PDF gespeichert werden.