← Zurück

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: Juni 2026

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen dem Geschäftskunden (nachfolgend „Verantwortlicher") und Akram Abbas (nachfolgend „Auftragsverarbeiter") im Rahmen der Nutzung der SaaS-Plattform stelltex. Die Laufzeit entspricht der des Nutzungsvertrags.

💡 Dieser AVV gilt durch Akzeptanz der AGB als abgeschlossen. Auf Anfrage stellen wir eine unterzeichnete Einzelvereinbarung zur Verfügung: legal@stelltex.de

1. Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Leistung: KI-gestützte Erstellung von Stellenanzeigen über die Plattform stelltex. Eine Verarbeitung zu anderen Zwecken erfolgt nicht.

2. Art der verarbeiteten Daten

Folgende Datenkategorien können im Rahmen der Nutzung betroffen sein:

  • Kontaktdaten des Ansprechpartners (Name, E-Mail-Adresse, Telefonnummer)
  • Unternehmensbezogene Daten (Firmenname, Adresse, Branche)
  • Nutzungsdaten (Login-Zeitstempel, generierte Anzeigen)

Hinweis: Eingabedaten zur Stellenanzeige (Jobtitel, Anforderungen, Benefits etc.) enthalten in der Regel keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.

3. Kategorien betroffener Personen

  • Mitarbeiter und Beschäftigte des Verantwortlichen, die stelltex nutzen

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Vertraulichkeit der Daten zu gewährleisten und nur befugten Personen Zugang zu gewähren
  • Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe Ziffer 6)
  • Unterauftragnehmer nur mit Zustimmung des Verantwortlichen einzusetzen (Zustimmung zu Ziffer 5 gilt als erteilt)
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Nach Vertragsende alle Daten zu löschen
  • Den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO zu unterstützen, soweit diese die verarbeiteten Daten betreffen (Art. 28 Abs. 3 lit. f DSGVO)
  • Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO)
  • Alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen

5. Audit-Recht des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Bestimmungen dieses AVV durch den Auftragsverarbeiter zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

Die Überprüfung kann erfolgen durch:

  • Schriftliche Anfragen und Auskunftsersuchen an legal@stelltex.de
  • Anforderung von Nachweisen und Zertifikaten zu technischen und organisatorischen Maßnahmen
  • Vor-Ort-Audits nach schriftlicher Ankündigung mit einer Vorlaufzeit von mindestens 14 Tagen

Audits werden auf Kosten des Verantwortlichen durchgeführt. Der Auftragsverarbeiter ist berechtigt, Audits abzulehnen, die die Sicherheit anderer Kunden gefährden oder unverhältnismäßig aufwändig sind. In diesem Fall stellt er geeignete Nachweise zur Verfügung.

6. Unterauftragnehmer

Der Verantwortlicher erteilt Zustimmung zum Einsatz folgender Unterauftragnehmer:

OpenAI, LLCSan Francisco, USA
Zweck:KI-Textgenerierung
Absicherung:EU-SCC + EU-US Data Privacy Framework
Supabase, Inc.San Francisco, USA
Zweck:Hosting, Datenbank, Authentifizierung
Absicherung:EU-SCC (EU-Datenregion soweit verfügbar)
Stripe Payments Europe Ltd.Dublin, Irland
Zweck:Zahlungsabwicklung
Absicherung:EU-Recht (Sitz in der EU)

Änderungen an Unterauftragnehmern werden dem Verantwortlichen per E-Mail mindestens 14 Tage im Voraus mitgeteilt. Der Verantwortliche kann innerhalb dieser Frist widersprechen.

7. Technische und organisatorische Maßnahmen

🔐

Zugriffskontrolle

Authentifizierung über Supabase Auth, Passwörter ausschließlich gehasht (bcrypt/argon2), Row Level Security (RLS)

🔒

Übertragungssicherheit

Alle Verbindungen verschlüsselt via TLS 1.2 / 1.3, ausschließlich HTTPS

🗑️

Datensparsamkeit

Generierte Anzeigen nach 48 Stunden automatisch gelöscht, Logs ohne Inhalt der Anzeigen, Retention 30 Tage

💾

Verfügbarkeit

Automatische Backups über Supabase, Hosting in EU-Region soweit verfügbar

8. Meldung von Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden, nach Bekanntwerden einer Datenpanne, die übermittelte Daten betrifft.

Meldung an: legal@stelltex.de

9. Löschung oder Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO).

Auf ausdrücklichen Wunsch des Verantwortlichen können die Daten vor der Löschung in einem gängigen Format exportiert und übergeben werden. Der entsprechende Antrag ist vor Vertragsende zu stellen an: legal@stelltex.de

Der Auftragsverarbeiter bestätigt die erfolgte Löschung auf Anfrage schriftlich.

10. Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist Stadtallendorf.

Unterzeichnete Einzelvereinbarung anfordern

Für Geschäftskunden die eine individuell unterzeichnete Version dieses AVV benötigen:

AVV per E-Mail anfordern →