Stand: Juni 2026

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen dem jeweiligen Kunden der Pickr-Plattform (nachfolgend „Auftraggeber") und Pickr (Agusta GmbH), Oberdorferstraße 4, 6850 Dornbirn, Österreich (nachfolgend „Auftragnehmer").


§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Pickr-Plattform (Applicant Tracking System, nachfolgend „Dienst"). Der genaue Gegenstand ergibt sich aus dem Hauptvertrag (Nutzungsbedingungen) zwischen den Parteien.

(2) Dauer

Die Auftragsverarbeitung beginnt mit Abschluss dieses Vertrages und endet mit der Beendigung des Hauptvertrages, sofern sich aus diesem AVV keine weitergehenden Regelungen ergeben.

§ 2 Konkretisierung des Auftragsinhalts

(1) Art der Verarbeitung

Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Veränderung, Auslesung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.

(2) Zweck der Verarbeitung

Betrieb eines cloudbasierten Bewerbermanagementsystems (ATS) zur Unterstützung von Recruitingprozessen des Auftraggebers, einschließlich KI-gestützter Analyse und Kommunikationsfunktionen.

(3) Art der betroffenen Daten

  • Stammdaten von Bewerbern (Name, Kontaktdaten, Adresse)
  • Bewerbungsunterlagen (Lebenslauf, Anschreiben, Zeugnisse)
  • Kommunikationsdaten (E-Mails, Gesprächsnotizen)
  • Bewertungsdaten (Scorecards, Interview-Auswertungen)
  • Beschäftigungsbezogene Daten (Gehaltsvorstellungen, Verfügbarkeit)
  • Nutzungsdaten der Plattform (Log-Dateien, Aktivitätsprotokolle)

(4) Kategorien betroffener Personen

  • Bewerber und Kandidaten
  • Mitarbeiter des Auftraggebers (Recruiter, Hiring Manager)
  • Ggf. Kontaktpersonen bei Kunden des Auftraggebers

§ 3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese Maßnahmen können vom Auftragnehmer angepasst werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

§ 4 Berichtigung, Löschung und Sperrung von Daten

Der Auftragnehmer darf die Daten nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer wendet, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter.

§ 5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

  • die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten;
  • die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
  • den Auftraggeber unverzüglich zu informieren, wenn eine erteilte Weisung gegen datenschutzrechtliche Vorschriften verstößt;
  • alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung zu stellen;
  • Überprüfungen und Audits durch den Auftraggeber oder beauftragte Prüfer zu ermöglichen und zu unterstützen.

§ 6 Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)

(1) Genehmigte Sub-Auftragsverarbeiter

Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Sub-Auftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) Änderungen

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bezüglich der Hinzuziehung oder des Austauschs von Sub-Auftragsverarbeitern. Der Auftraggeber hat das Recht, Änderungen zu widersprechen.

(3) Pflichten gegenüber Sub-Auftragsverarbeitern

Der Auftragnehmer verpflichtet Sub-Auftragsverarbeiter vertraglich zu denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind.

§ 7 Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung der Regelungen über den Datenschutz und die Datensicherheit beim Auftragnehmer in angemessener Weise zu kontrollieren. Kontrollen sind mit einer Ankündigungsfrist von mindestens 2 Wochen anzukündigen und dürfen den Betrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.

§ 8 Mitteilung bei Verstößen

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Er unterrichtet den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten.

§ 9 Weisungsrecht des Auftraggebers

Der Auftraggeber ist berechtigt, dem Auftragnehmer jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können mündlich erteilt werden, sind jedoch schriftlich zu bestätigen.

§ 10 Löschung und Rückgabe von Daten

Nach Abschluss der Dienstleistungserbringung hat der Auftragnehmer alle personenbezogenen Daten zu löschen oder — nach Wahl des Auftraggebers — zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht. Die Löschung erfolgt spätestens 30 Tage nach Beendigung des Hauptvertrages.

§ 11 Haftung

Die Haftung der Parteien bestimmt sich nach den Regelungen des Hauptvertrages sowie den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.

§ 12 Schlussbestimmungen

Dieser Vertrag unterliegt dem Recht der Republik Österreich. Gerichtsstand ist Dornbirn, Österreich. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.


Anlage 1: Technische und organisatorische Maßnahmen (TOM)

§ 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Serverinfrastruktur wird ausschließlich bei zertifizierten Cloud-Anbietern (Supabase/AWS Frankfurt) betrieben. Physischer Zugang ist auf autorisiertes Personal beschränkt.

Zugangskontrolle: Zugang zur Plattform nur mit gültigem Benutzerkonto. Passwörter werden nach aktuellem Stand der Technik gehasht (bcrypt). Passwortmindestlänge von 8 Zeichen.

Zugriffskontrolle: Rollenbasiertes Zugriffssteuerungssystem (RBAC) mit mindestens 6 Hierarchieebenen. Datenbankzugriff über Row-Level Security (RLS) auf Datenbankebene. Mehrstufige Authentifizierung (MFA) steht zur Verfügung.

Trennungskontrolle: Mandantentrennung auf Datenbankebene mittels organisationsbasierter Datenisolierung (org_id). Vollständige Datentrennung zwischen verschiedenen Kundenorganisationen.

§ 2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: Alle Datenübertragungen erfolgen verschlüsselt über TLS 1.2 oder höher. API-Zugänge sind durch API-Schlüssel gesichert.

Eingabekontrolle: Änderungen an personenbezogenen Daten werden protokolliert. Audit-Logs dokumentieren sicherheitsrelevante Ereignisse.

§ 3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle: Automatisierte Backups der Datenbank. Redundante Infrastruktur beim Cloud-Anbieter. Monitoring und Alerting für Systemausfälle.

Wiederherstellbarkeit: Point-in-Time Recovery (PITR) für die Datenbank. Definierte Recovery Time Objective (RTO) und Recovery Point Objective (RPO).

§ 4 Verfahren zur regelmäßigen Überprüfung

Regelmäßige Sicherheitsüberprüfungen der Infrastruktur. Dependency-Updates und Sicherheitspatches werden zeitnah eingespielt. Jährliche Überprüfung und Aktualisierung der TOMs.


Anlage 2: Genehmigte Sub-Auftragsverarbeiter

AnbieterSitzZweckRechtsgrundlage Drittland
Supabase, Inc.USA (Datenspeicherung: EU/Frankfurt)Datenbankhosting, AuthentifizierungEU-Standardvertragsklauseln
Vercel, Inc.USA (Serverless: Frankfurt)ApplikationshostingEU-Standardvertragsklauseln
Anthropic, PBCUSAKI-Verarbeitungsdienste (Textanalyse, Zusammenfassungen)EU-Standardvertragsklauseln
Voyage AI (Voyage AI Lab, Inc.)USAKI-Verarbeitungsdienste (semantische Suche / Embeddings)EU-Standardvertragsklauseln
Deepgram, Inc.USATranskription von Interview-AudioEU-Standardvertragsklauseln
Daily (Pluot Labs, Inc.)USAVideo-Interview-InfrastrukturEU-Standardvertragsklauseln
Resend (Plus Five Five, Inc.)USATransaktionaler E-Mail-VersandEU-Standardvertragsklauseln
Stripe, Inc.USAZahlungsabwicklungEU-Standardvertragsklauseln
Google LLCUSAE-Mail-Integration (Gmail, optional)EU-Standardvertragsklauseln
Microsoft CorporationUSAE-Mail-Integration (Outlook, optional)EU-Standardvertragsklauseln
HeyReachEULinkedIn-Outreach-Integration (optional, nur bei aktivierter Kanalerweiterung)EU-Standardvertragsklauseln
Meta Platforms Ireland LimitedEU/EWRWhatsApp-Integration (optional, nur bei aktivierter Kanalerweiterung)Innerhalb EU/EWR

Hinweis zu Kanal-Integrationen: HeyReach und WhatsApp (Meta) sind optionale Erweiterungen. Bei aktivierter Integration werden Nachrichteninhalte über die jeweilige Infrastruktur des Drittanbieters verarbeitet. Die Datenschutzbestimmungen dieser Anbieter gelten für den Nachrichteninhalt. Pickr speichert ausschließlich Metadaten (Absender, Zeitstempel, Kandidatenzuordnung) für den Unified Inbox.


Anlage 3: Kontaktdaten Datenschutz

Auftragnehmer:

Agusta GmbH
Oberdorferstraße 4
6850 Dornbirn
Österreich
E-Mail: datenschutz@pickr.dev

Für Fragen zur Datenverarbeitung und zur Geltendmachung von Betroffenenrechten wenden Sie sich bitte an die oben genannte E-Mail-Adresse.


Stand: Juni 2026 · Agusta GmbH, Dornbirn, Österreich