Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 31. März 2026

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Nutzungsbedingungen zwischen Kit („Auftragsverarbeiter", „wir", „uns") und dem Kunden („Verantwortlicher", „Sie") und regelt die Verarbeitung personenbezogener Daten durch Kit im Auftrag des Kunden.

Dieser AVV tritt in Kraft zum früheren der folgenden Zeitpunkte: (a) Annahme der Nutzungsbedingungen durch den Kunden oder (b) erstmalige Nutzung des Dienstes durch den Kunden. Im Falle von Widersprüchen gilt folgende Rangordnung: (1) die jeweils anwendbaren Standardvertragsklauseln; (2) dieser AVV; (3) die Nutzungsbedingungen; (4) die Datenschutzerklärung von Kit. Eine gegengezeichnete Kopie dieses AVV ist für Geschäftskunden auf Anfrage erhältlich.

1. Begriffsbestimmungen

In diesem AVV haben die folgenden Begriffe die nachstehend festgelegte Bedeutung. Nicht hier definierte Begriffe haben die ihnen in der DSGVO oder in den Nutzungsbedingungen zugewiesene Bedeutung.

  • Kundendaten bezeichnet alle personenbezogenen Daten, die Kit im Auftrag des Kunden im Rahmen der Bereitstellung des Dienstes verarbeitet. Dies umfasst Bewerber- und Kandidatendaten, Daten der Mitglieder des Einstellungsteams sowie Kommunikationsdaten, die auf der Plattform eingereicht oder generiert werden.
  • Kontodaten bezeichnet personenbezogene Daten, die sich auf die Geschäftsbeziehung des Kunden mit Kit beziehen, einschließlich Rechnungsinformationen, Nutzungsanalysen und Kontoverwaltungsdaten. Kit ist Verantwortlicher für Kontodaten gemäß seiner Datenschutzerklärung.
  • Verantwortlicher bezeichnet die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (der Kunde).
  • Auftragsverarbeiter bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Kit).
  • Unterauftragsverarbeiter bezeichnet jeden Dritten, der vom Auftragsverarbeiter mit der Verarbeitung von Kundendaten beauftragt wird.
  • Betroffene Person bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
  • DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung).
  • UK GDPR bezeichnet die DSGVO in der durch den Data Protection Act 2018 und die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 in das Recht des Vereinigten Königreichs übernommenen Fassung.
  • Schweizer DSG bezeichnet das Schweizerische Bundesgesetz über den Datenschutz (revidierte Fassung vom 25. September 2020). Verweise auf „DSGVO" in diesem AVV umfassen, soweit anwendbar, auch die UK GDPR und das Schweizer DSG.
  • Personenbezogene Daten, Verarbeitung, Verletzung des Schutzes personenbezogener Daten und Aufsichtsbehörde haben die ihnen in Artikel 4 der DSGVO zugewiesene Bedeutung.
  • Standardvertragsklauseln (SVK) bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission.
  • Datenschutzgesetze bezeichnet die DSGVO, die UK GDPR, das Schweizer DSG, den California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung („CCPA") sowie alle sonstigen anwendbaren Datenschutzgesetze.

2. Rollen der Parteien

Die Parteien erkennen an und vereinbaren, dass:

  • In Bezug auf Kundendaten der Kunde der Verantwortliche und Kit der Auftragsverarbeiter ist. Dieser AVV regelt die Verarbeitung von Kundendaten durch Kit.
  • In Bezug auf Kontodaten Kit eigenständiger Verantwortlicher ist und diese Daten gemäß seiner Datenschutzerklärung verarbeitet.

Diese Unterscheidung stellt klar: Die personenbezogenen Daten Ihrer Bewerber und Kandidaten werden ausschließlich nach Ihren Weisungen verarbeitet, während Kit die für die Kontoverwaltung und Bereitstellung des Dienstes erforderlichen Daten eigenständig verwaltet.

3. Umfang und Zweck der Verarbeitung

Kit verarbeitet Kundendaten ausschließlich zum Zweck der Bereitstellung des Bewerbermanagement- und Recruiting-Dienstes, wie in den Nutzungsbedingungen beschrieben und in Anlage 1 näher spezifiziert. Kit wird:

  • Kundendaten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, die Verarbeitung ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, vorgeschrieben (Art. 28 Abs. 3 lit. a DSGVO).
  • Den Verantwortlichen unverzüglich informieren, wenn eine Weisung nach Auffassung von Kit gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstößt.

3.1 Kalifornische und US-amerikanische Datenschutzgesetze

Soweit der California Consumer Privacy Act (CCPA) oder andere US-amerikanische Datenschutzgesetze auf die Verarbeitung von Kundendaten durch Kit Anwendung finden, handelt Kit als „Service Provider" (CCPA) bzw. „Processor" (gemäß dem jeweils anwendbaren einzelstaatlichen Recht). Kit wird Kundendaten weder verkaufen noch weitergeben, Kundendaten nicht aufbewahren, verwenden oder offenlegen, es sei denn, dies ist zur Erbringung des Dienstes erforderlich oder anderweitig nach geltendem Recht zulässig.

4. Vertraulichkeit

Kit stellt sicher, dass sich die zur Verarbeitung von Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

5. Sicherheitsmaßnahmen

Kit trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 der DSGVO. Diese Maßnahmen sind in Anlage 2 im Einzelnen beschrieben und umfassen unter anderem:

  • Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand
  • Mandantentrennung durch kontobezogene Datenbankabfragen
  • Rollenbasierte Zugriffskontrolle innerhalb der Arbeitgeberkonten
  • Verschlüsselung sensibler Datenfelder auf Anwendungsebene (Active Record Encryption)
  • Infrastruktur mit Standort in der EU (Hetzner Cloud, Nürnberg, Deutschland)
  • Regelmäßige Sicherheitsscans und Schwachstellenmanagement

Kit überprüft und aktualisiert diese Maßnahmen regelmäßig, um ein angemessenes Schutzniveau aufrechtzuerhalten. Die hier beschriebenen Maßnahmen entsprechen branchenüblichen Sicherheitspraktiken; sofern vorhanden, werden spezifische Zertifizierungen in Anlage 2 aufgeführt.

6. Unterauftragsverarbeiter

6.1 Allgemeine Genehmigung

Der Verantwortliche erteilt Kit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern mit der Verarbeitung von Kundendaten, vorbehaltlich der in diesem Abschnitt 6 festgelegten Bedingungen (Art. 28 Abs. 2 DSGVO).

6.2 Aktuelle Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter ist in Anlage 3 aufgeführt. Der Verantwortliche nimmt die dort genannten Unterauftragsverarbeiter zum Zeitpunkt des Inkrafttretens dieses AVV zur Kenntnis und genehmigt diese.

6.3 Benachrichtigung über Änderungen

Kit wird den Verantwortlichen mindestens 30 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters oder dem Ersatz eines bestehenden per E-Mail benachrichtigen. Die Benachrichtigung enthält den Namen des Unterauftragsverarbeiters, dessen Standort und die durchzuführenden Verarbeitungstätigkeiten.

6.4 Widerspruchsrecht

Der Verantwortliche kann der Beauftragung eines neuen Unterauftragsverarbeiters innerhalb von 15 Tagen nach Erhalt der Benachrichtigung schriftlich mit angemessener Begründung widersprechen. Kann Kit dem Widerspruch nicht in angemessener Weise Rechnung tragen, kann der Verantwortliche den betroffenen Dienst durch schriftliche Mitteilung an Kit kündigen.

6.5 Pflichten der Unterauftragsverarbeiter

Kit verpflichtet jeden Unterauftragsverarbeiter vertraglich zur Einhaltung von Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV festgelegten (Art. 28 Abs. 4 DSGVO). Kit haftet uneingeschränkt für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters.

6.6 Vom Kunden bestimmte Auftragsverarbeiter

Wenn der Kunde Integrationen mit Drittanbieterdiensten unter Verwendung seiner eigenen Zugangsdaten oder API-Schlüssel konfiguriert (z. B. KI-Anbieter im Rahmen einer Bring-Your-Own-Key-Vereinbarung), handelt es sich bei diesen Anbietern um vom Kunden bestimmte Auftragsverarbeiter. Kit ermöglicht die technische Integration, wählt diese Anbieter jedoch nicht aus, kontrolliert sie nicht und schließt keine Verträge mit ihnen ab. Der Kunde ist dafür verantwortlich sicherzustellen, dass seine eigene Vereinbarung mit solchen Anbietern den anwendbaren Datenschutzanforderungen entspricht.

7. Betroffenenrechte

Kit unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht, Anträgen auf Ausübung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen (Art. 28 Abs. 3 lit. e DSGVO). Diese Rechte umfassen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Kit stellt die folgenden Plattformfunktionen bereit, um den Verantwortlichen bei der Beantwortung solcher Anträge zu unterstützen:

  • Datenexportfunktion für einzelne Kandidatendatensätze und kontoweite Exporte
  • Werkzeuge zur Löschung und Anonymisierung von Kandidatendaten
  • Konfigurierbare Aufbewahrungsfristen mit automatischem Ablauf
  • Einwilligungsmanagement mit Verlängerungs- und Widerrufsnachverfolgung

Kit beantwortet Anfragen betroffener Personen nicht direkt. Kandidaten und Bewerber richten ihre Anfragen an den Verantwortlichen (den Arbeitgeber). Kit wird den Verantwortlichen unverzüglich benachrichtigen, wenn Kit eine Anfrage direkt von einer betroffenen Person erhält.

8. Internationale Datenübermittlungen

Die primäre Infrastruktur von Kit befindet sich in der Europäischen Union (Hetzner Cloud, Nürnberg, Deutschland). Kundendaten werden standardmäßig innerhalb der EU gespeichert und verarbeitet.

8.1 Übermittlungsmechanismen

Soweit Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, stellt Kit sicher, dass geeignete Garantien für die Übermittlung personenbezogener Daten bestehen, darunter:

  • EU-US-Datenschutzrahmen (DPF): Sofern der Unterauftragsverarbeiter DPF-zertifiziert ist.
  • Standardvertragsklauseln (SVK): Die SVK von 2021 (Durchführungsbeschluss (EU) 2021/914 der Kommission) werden gegebenenfalls durch Verweis einbezogen.
  • Angemessenheitsbeschlüsse: Sofern die Europäische Kommission festgestellt hat, dass das Drittland ein angemessenes Schutzniveau bietet.

Der spezifische Übermittlungsmechanismus für jeden Unterauftragsverarbeiter ist in Anlage 3 angegeben.

8.2 SVK-Modulauswahl

Soweit SVK Anwendung finden, werden die folgenden Module verwendet:

  • Modul 2 (Verantwortlicher an Auftragsverarbeiter): Gilt zwischen dem Kunden (als Verantwortlicher) und Kit, wenn der Kunde im EWR niedergelassen ist und Kit Kundendaten außerhalb des EWR verarbeitet.
  • Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter): Gilt zwischen Kit und seinen in Anlage 3 aufgeführten Unterauftragsverarbeitern außerhalb des EWR.

Für beide Module gilt: Klausel 7 (Andockklausel) ist enthalten; Klausel 9(a) Option 2 (allgemeine schriftliche Genehmigung) ist gewählt; Klausel 17 Option 1 (Recht eines EU-Mitgliedstaats als anwendbares Recht) ist gewählt, wobei irisches Recht gilt.

8.3 Übermittlungen in das Vereinigte Königreich und die Schweiz

Für Übermittlungen, die der UK GDPR unterliegen, gilt das International Data Transfer Addendum zu den EU-SVK (herausgegeben vom UK Information Commissioner's Office). Für Übermittlungen, die dem Schweizer DSG unterliegen, gelten die SVK mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geforderten Anpassungen.

8.4 Ergänzende Maßnahmen

Kit hat für jeden Unterauftragsverarbeiter außerhalb des EWR eine Transfer-Folgenabschätzung durchgeführt. Zum Datum dieses AVV hat Kit keine behördlichen Anfragen zum Zugriff auf Kundendaten erhalten. Kit verpflichtet sich, jeden behördlichen Zugangsantrag anzufechten, den Kit vernünftigerweise als rechtswidrig oder unverhältnismäßig erachtet, und den Verantwortlichen zu benachrichtigen, sofern dies nicht gesetzlich untersagt ist.

9. Meldung von Datenschutzverletzungen

Kit wird den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, benachrichtigen (Art. 28 Abs. 3 lit. f und Art. 33 DSGVO). Die Benachrichtigung enthält:

  • Eine Beschreibung der Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
  • Den Namen und die Kontaktdaten der Anlaufstelle bei Kit für weitere Informationen
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Kit wird mit dem Verantwortlichen zusammenarbeiten und angemessene Schritte unternehmen, um bei der Untersuchung, Eindämmung und Behebung der Verletzung zu unterstützen.

10. Datenschutz-Folgenabschätzungen

Kit unterstützt den Verantwortlichen in angemessenem Umfang bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit dies nach den Artikeln 35 und 36 der DSGVO erforderlich ist, unter Berücksichtigung der Art der Verarbeitung und der Kit zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).

11. Überprüfungsrechte

Kit stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der DSGVO festgelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

Überprüfungen unterliegen den folgenden Bedingungen:

  • Der Verantwortliche hat eine Überprüfung mit einer Frist von mindestens 30 Tagen schriftlich anzukündigen
  • Überprüfungen sind während der üblichen Geschäftszeiten durchzuführen und dürfen den Betrieb von Kit nicht unangemessen beeinträchtigen
  • Der Verantwortliche trägt seine eigenen mit der Überprüfung verbundenen Kosten
  • Überprüfungen sind auf einmal pro Zwölfmonatszeitraum beschränkt, es sei denn, es ist eine Verletzung des Schutzes personenbezogener Daten eingetreten oder eine Aufsichtsbehörde verlangt eine zusätzliche Überprüfung
  • Kit kann Überprüfungsanfragen durch Bereitstellung relevanter Dokumentation, Sicherheitsberichte, Zusammenfassungen von Penetrationstests oder Prüfberichte Dritter, soweit verfügbar, nachkommen

Kit führt ein Verzeichnis der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 der DSGVO und bewahrt dieses Verzeichnis mindestens drei (3) Jahre auf.

12. Laufzeit, Löschung und Rückgabe von Daten

Kit verarbeitet Kundendaten für die Laufzeit der Nutzungsbedingungen. Bei Beendigung oder Ablauf der Nutzungsbedingungen:

  • Gewährt Kit ein 30-tägiges Zeitfenster, innerhalb dessen der Verantwortliche alle Kundendaten über die Datenexportfunktion der Plattform exportieren kann
  • Löscht Kit nach Ablauf des Exportzeitraums alle Kundendaten aus seinen Systemen, einschließlich aus Sicherungssystemen, innerhalb einer angemessenen Frist, es sei denn, das Recht der Europäischen Union oder der Mitgliedstaaten verlangt eine weitere Speicherung (Art. 28 Abs. 3 lit. g DSGVO)
  • Der Verantwortliche kann jederzeit während der Vertragslaufzeit die Löschung bestimmter Kundendaten über die Löschungs- und Anonymisierungswerkzeuge der Plattform veranlassen

Anonymisierte und aggregierte Daten, die keiner betroffenen Person mehr zugeordnet werden können, stellen keine personenbezogenen Daten dar und können von Kit zu Zwecken der Produktverbesserung und Analyse aufbewahrt werden.

13. Haftung

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den in den Nutzungsbedingungen festgelegten Haftungsbeschränkungen und -ausschlüssen. Die Gesamthaftung des Auftragsverarbeiters aus oder im Zusammenhang mit diesem AVV ist auf die Gesamtsumme der Gebühren beschränkt, die der Verantwortliche dem Auftragsverarbeiter in den zwölf (12) Monaten vor dem haftungsbegründenden Ereignis gezahlt hat.

14. Anwendbares Recht

Dieser AVV unterliegt demselben Recht wie die Nutzungsbedingungen, ohne Berücksichtigung kollisionsrechtlicher Grundsätze. Streitigkeiten aus diesem AVV unterliegen der in den Nutzungsbedingungen bestimmten ausschließlichen Zuständigkeit.

15. Kontakt

Bei Fragen oder Anliegen zu diesem AVV kontaktieren Sie uns bitte unter [email protected].

Anlage 1: Verarbeitungsdetails

Kategorien betroffener Personen

  • Kandidaten und Bewerber
  • Nutzer auf Arbeitgeberseite (Mitglieder des Einstellungsteams, Recruiter, Administratoren)
  • Interviewer und Gutachter

Kategorien personenbezogener Daten

  • Identitätsdaten: Name, E-Mail-Adresse, Telefonnummer, Profilfoto
  • Bewerbungsdaten: Lebenslauf/CV, Anschreiben, Antworten auf Bewerbungsformulare, Portfoliomaterialien
  • Bewertungsdaten: Interviewnotizen, Bewertungsergebnisse, Gutachterkommentare, Einreichungen zu Programmieraufgaben
  • Kommunikationsdaten: E-Mail-Korrespondenz, interne Notizen, Slack-Kanalnachrichten (sofern integriert)
  • Beschäftigungsbezogene Daten: aktueller Arbeitgeber, Stellenbezeichnung, LinkedIn-Profil, beruflicher Werdegang
  • Technische Daten: IP-Adresse (verschlüsselt), Browser-/Geräteinformationen für Einwilligungsnachweise
  • Dokumente und Anhänge: hochgeladene Dateien im Zusammenhang mit Bewerbungen

Besondere Kategorien personenbezogener Daten

Kit erhebt nicht absichtlich besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO). Lebensläufe und Bewerbungsunterlagen, die von Kandidaten eingereicht werden, können jedoch beiläufig solche Daten enthalten (z. B. Angaben zu Behinderung, ethnischer Herkunft, Religionszugehörigkeit). Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass eine Rechtsgrundlage für die Verarbeitung etwaiger besonderer Kategorien personenbezogener Daten vorliegt, die in Bewerbungsunterlagen enthalten sein können.

Zweck der Verarbeitung

Bewerbermanagement und Recruiting im Auftrag des Verantwortlichen, einschließlich: Empfang und Speicherung von Bewerbungen, Verwaltung von Einstellungspipelines, Ermöglichung der Kandidatenbewertung und Teamzusammenarbeit, Terminierung von Vorstellungsgesprächen, Angebotsverwaltung und damit verbundene Recruiting-Workflows.

Dauer der Verarbeitung

Für die Laufzeit der Vereinbarung zwischen dem Verantwortlichen und Kit, zuzüglich des in Abschnitt 12 beschriebenen Löschungszeitraums nach Vertragsende. Der Verantwortliche kann innerhalb der Plattform kürzere Aufbewahrungsfristen konfigurieren, die Kit automatisch umsetzt.

Anlage 2: Technische und organisatorische Maßnahmen

Kit trifft die folgenden Maßnahmen gemäß Artikel 32 der DSGVO:

Verschlüsselung

  • Alle Daten werden bei der Übertragung mit TLS 1.2 oder höher verschlüsselt
  • Sensible personenbezogene Datenfelder werden auf Anwendungsebene mit Active Record Encryption verschlüsselt (deterministische und nicht-deterministische Verschlüsselung je nach Anwendungsfall)
  • Datenbank-Backups werden verschlüsselt

Zugriffskontrolle

  • Mandantentrennung auf Datenbankabfrageebene (kontobezogene Abfragen)
  • Rollenbasierte Zugriffskontrolle innerhalb jedes Arbeitgeberkontos (Inhaber-, Administrator-, Mitgliederrollen)
  • Authentifizierung über sichere Sitzungsverwaltung mit konfigurierbarer Multi-Faktor-Authentifizierung
  • API-Zugriff über bereichsbezogene API-Token mit granularen Berechtigungen

Infrastruktursicherheit

  • Gesamte Infrastruktur innerhalb der Europäischen Union gehostet (Hetzner Cloud, Nürnberg, Deutschland, Rechenzentrum nbg1-dc3)
  • Datenbankverkehr auf privatem Netzwerk isoliert, ohne öffentlichen Internetzugang
  • DDoS-Schutz und Web Application Firewall über Cloudflare
  • Regelmäßige automatisierte Sicherheitsscans (Brakeman für Rails-Schwachstellen, bundler-audit für Gem-Schwachstellen, importmap audit für JavaScript-Abhängigkeiten)

Datenminimierung und Aufbewahrung

  • Konfigurierbare Aufbewahrungsfristen pro Arbeitgeberkonto
  • Automatische Anonymisierung von Kandidatendatensätzen bei Ablauf der Einwilligung
  • Einwilligungsmanagement mit Prüfpfad (zeitgestempelte, IP-protokollierte Einwilligungsnachweise)
  • Umfassende Datenexportfunktion für Datenportabilität

Vorfallreaktion

  • Fehlerüberwachung und Benachrichtigung (Sentry)
  • Automatisierte Verfügbarkeitsüberwachung mit öffentlicher Statusseite
  • Definierte Verfahren zur Vorfallreaktion einschließlich Workflows zur Meldung von Datenschutzverletzungen

Organisatorische Maßnahmen

  • Vertraulichkeitsverpflichtungen für alle Mitarbeiter mit Zugang zu personenbezogenen Daten
  • Prinzip der geringsten Berechtigung für den Systemzugang
  • Regelmäßige Überprüfung der Zugriffsberechtigungen

Anlage 3: Liste der Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter sind zum oben auf diesem AVV angegebenen Datum zur Verarbeitung von Kundendaten berechtigt:

Unterauftragsverarbeiter Zweck Standort Übermittlungsmechanismus
Hetzner Online GmbH Infrastruktur-Hosting, Rechenleistung, Lastverteilung, S3-kompatibler Objektspeicher Nürnberg, Deutschland (EU) Entfällt (EU) — Hetzner AVV
Cloudflare, Inc. CDN, DNS, DDoS-Schutz, Web Application Firewall Global (EU-Verarbeitung verfügbar) DPF + SVK — Cloudflare AVV
Stripe, Inc. Zahlungsabwicklung Vereinigte Staaten DPF + SVK — Stripe AVV
Functional Software, Inc. (Sentry) Fehlerüberwachung und Leistungsanalyse Vereinigte Staaten DPF + SVK — Sentry AVV

Vom Kunden bestimmte Auftragsverarbeiter

Die folgenden Integrationen werden vom Kunden unter Verwendung seiner eigenen Zugangsdaten aktiviert und konfiguriert. Kit ermöglicht die technische Anbindung, wählt diese Anbieter jedoch nicht aus und schließt keine Verträge mit ihnen ab:

Integrationstyp Zweck Verantwortung des Kunden
KI-Anbieter (BYOK) KI-gestützte Funktionen (z. B. Kandidatenbewertung, Inhaltsgenerierung), sofern vom Kunden aktiviert Der Kunde ist für seinen eigenen Auftragsverarbeitungsvertrag mit dem gewählten KI-Anbieter verantwortlich. Kit übermittelt keine personenbezogenen Daten von Kandidaten an KI-Anbieter, es sei denn, dies wird ausdrücklich vom Kunden veranlasst.
Slack Kandidatenkanal-Benachrichtigungen und Teamzusammenarbeit (sofern vom Kunden verbunden) Der Kunde ist für seine eigene Vereinbarung mit Slack/Salesforce verantwortlich.
GitHub Repository-Verwaltung für Programmieraufgaben (sofern vom Kunden verbunden) Der Kunde ist für seine eigene Vereinbarung mit GitHub/Microsoft verantwortlich.

Um Benachrichtigungen über Änderungen an dieser Liste der Unterauftragsverarbeiter zu erhalten, kontaktieren Sie bitte [email protected].