Zum Inhalt springen
Jobflare

Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO

Stand: März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen:

Auftragsverarbeiter:

DevNest UG (haftungsbeschränkt)

Herlingsburg 8, 22529 Hamburg

Vertreten durch: Lucas Weber

E-Mail: lucas@devnest.com

(nachfolgend „Auftragnehmer“ oder „Jobflare“)

und

Verantwortlicher:

Der Kunde, der sich bei Jobflare registriert und den Dienst nutzt.

(nachfolgend „Auftraggeber“)

Der Auftraggeber nutzt die SaaS-Plattform „Jobflare“ zur Erstellung und Veröffentlichung von Stellenanzeigen. Dabei werden personenbezogene Daten von Bewerbern im Auftrag des Auftraggebers verarbeitet. Dieser AVV regelt die Rechte und Pflichten beider Parteien gemäß Art. 28 DSGVO.

Dieser AVV wird mit der Registrierung und Nutzung von Jobflare automatisch Bestandteil des Nutzungsvertrags (AGB).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Jobflare-Plattform.

(2) Die Verarbeitung umfasst insbesondere:

  • Empfang, Speicherung und Bereitstellung von Bewerberdaten
  • Speicherung und Bereitstellung von Bewerbungsdokumenten (Lebensläufe, Anschreiben)
  • Statusverwaltung von Bewerbungen (Mini-ATS)
  • Benachrichtigungen über eingehende Bewerbungen per E-Mail
  • Export von Bewerberdaten (CSV)
  • Analytik und Reporting über Stellenanzeigen (aggregiert, nicht personenbezogen)

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung des Vertrags werden alle personenbezogenen Daten gemäß § 10 dieses AVV gelöscht.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der Jobflare-Plattform für den Auftraggeber, insbesondere:

  • Entgegennahme und Speicherung von Online-Bewerbungen
  • Bereitstellung der Bewerberdaten im Kunden-Dashboard
  • Versand von Benachrichtigungs-E-Mails an den Auftraggeber und Bestätigungs-E-Mails an Bewerber
  • Bereitstellung von Export-Funktionen für Bewerberdaten

§ 3 Kategorien betroffener Personen und personenbezogener Daten

Betroffene Personen:

  • Bewerber, die sich über die Stellenanzeigen des Auftraggebers bewerben

Kategorien personenbezogener Daten:

  • Stammdaten: Name, E-Mail-Adresse
  • Kontaktdaten: Telefonnummer (optional)
  • Bewerbungsunterlagen: Lebenslauf, Anschreiben (PDF/Word-Dateien)
  • Profilinformationen: LinkedIn-Profil, Portfolio/Website (optional)
  • Bewerbungsinhalte: Freitext-Nachricht, Gehaltsvorstellung, gewünschter Starttermin, Antworten auf individuelle Fragen
  • Metadaten: Bewerbungsdatum, Bewerbungsstatus, DSGVO-Einwilligungszeitpunkt
Besondere Kategorien (Art. 9 DSGVO): Jobflare ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten vorgesehen. Der Auftraggeber stellt sicher, dass über individuelle Fragen keine Gesundheitsdaten, religiöse Überzeugungen oder andere besonders geschützte Daten erhoben werden.

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich.
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu treffen. Die aktuellen TOM sind in Anlage 1 (TOM) dokumentiert.
  • Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Einschätzung des Auftragnehmers gegen datenschutzrechtliche Vorschriften verstößt.
  • Den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
  • Den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen nach Art. 15–22 DSGVO zu unterstützen.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter).

(2) Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

DienstleisterZweckStandort
Supabase, Inc.Datenbank-Hosting, Datei-SpeicherungEU (Frankfurt, eu-central-1)
Netlify, Inc.Website-Hosting, Serverless FunctionsUSA (EU-DPF zertifiziert)
Resend, Inc.Transaktionaler E-Mail-VersandUSA (EU-DPF zertifiziert)
Stripe, Inc.ZahlungsabwicklungUSA (EU-DPF zertifiziert)
Functional Software, Inc. (Sentry)Fehler-MonitoringUSA (EU-DPF zertifiziert)
PostHog, Inc.Produkt-Analytics (optional, nur bei Einwilligung)EU (eu.posthog.com); Sitz USA — Art. 6 Abs. 1 lit. a DSGVO + EU-DPF / SCCs

Anschrift PostHog, Inc.: 2261 Market Street #4008, San Francisco, CA 94114, USA. Die Verarbeitung erfolgt in der EU-Region (eu.posthog.com). Rechtsgrundlage für den Einsatz ist die Einwilligung des Nutzers nach § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO; soweit eine Übermittlung in die USA stattfindet, ist der EU-DPF und ergänzend die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) Übermittlungsgrundlage.

(3) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.

(4) Mit allen Unterauftragsverarbeitern bestehen Verträge, die den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechen.

§ 6 Drittlandtransfers

(1) Die primäre Datenspeicherung (Datenbank und Dateien) erfolgt ausschließlich innerhalb der Europäischen Union (Supabase, Region Frankfurt/eu-central-1).

(2) Soweit Unterauftragsverarbeiter in den USA ansässig sind, erfolgt die Übermittlung auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO) und/oder der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

§ 7 Rechte betroffener Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Bewerber) nach Art. 15–22 DSGVO.

(2) Der Auftraggeber kann Bewerberdaten über das Jobflare-Dashboard jederzeit einsehen, exportieren und löschen.

(3) Anfragen von Bewerbern, die direkt beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet.

§ 8 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch 48 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten gem. Art. 33 DSGVO.

(2) Die Meldung umfasst mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 9 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der datenschutzrechtlichen Anforderungen durch den Auftragnehmer zu überprüfen, einschließlich Inspektionen.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen sind nach angemessener Vorankündigung (mindestens 14 Tage) und unter Berücksichtigung der Betriebsgeheimnisse des Auftragnehmers durchzuführen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Der Auftraggeber kann vor Vertragsende einen Export seiner Daten über das Dashboard (CSV-Export) oder die API anfordern.

(3) Die Löschung umfasst auch alle in der Datei-Speicherung (Supabase Storage) hinterlegten Bewerbungsdokumente (Lebensläufe, Anschreiben).

(4) Darüber hinaus führt Jobflare automatisierte Datenbereinigungen durch: Bewerbungen für geschlossene Stellen werden nach 180 Tagen, alle Bewerbungen spätestens nach 365 Tagen automatisch gelöscht (einschließlich zugehöriger Dateien).

§ 11 Pflichten des Auftraggebers

Der Auftraggeber ist verpflichtet:

  • Bewerber in seiner Datenschutzerklärung über die Datenverarbeitung im Rahmen des Bewerbungsverfahrens zu informieren, einschließlich der Nutzung von Jobflare als Auftragsverarbeiter.
  • Sicherzustellen, dass eine gültige Rechtsgrundlage für die Verarbeitung der Bewerberdaten vorliegt (in der Regel Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 26 BDSG bzw. Art. 88 DSGVO).
  • Über individuelle Fragen im Bewerbungsformular keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) zu erheben.
  • Den Auftragnehmer unverzüglich über Anfragen betroffener Personen zu informieren, soweit sie die Auftragsverarbeitung betreffen.

§ 12 Schlussbestimmungen

(1) Dieser AVV tritt mit der Registrierung bei Jobflare in Kraft und gilt für die Dauer des Nutzungsvertrags.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg.

Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

Die aktuellen technischen und organisatorischen Maßnahmen sind unter jobflare.de/tom einsehbar und Bestandteil dieses AVV.

Kontakt

Bei Fragen zu diesem AVV nutzen Sie bitte unser Kontaktformular oder schreiben Sie an lucas@devnest.com.