Stand: Juni 2026
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
zwischen dem jeweiligen Kunden der Pickr-Plattform (nachfolgend „Auftraggeber") und Pickr (Agusta GmbH), Oberdorferstraße 4, 6850 Dornbirn, Österreich (nachfolgend „Auftragnehmer").
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Pickr-Plattform (Applicant Tracking System, nachfolgend „Dienst"). Der genaue Gegenstand ergibt sich aus dem Hauptvertrag (Nutzungsbedingungen) zwischen den Parteien.
(2) Dauer
Die Auftragsverarbeitung beginnt mit Abschluss dieses Vertrages und endet mit der Beendigung des Hauptvertrages, sofern sich aus diesem AVV keine weitergehenden Regelungen ergeben.
§ 2 Konkretisierung des Auftragsinhalts
(1) Art der Verarbeitung
Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Veränderung, Auslesung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.
(2) Zweck der Verarbeitung
Betrieb eines cloudbasierten Bewerbermanagementsystems (ATS) zur Unterstützung von Recruitingprozessen des Auftraggebers, einschließlich KI-gestützter Analyse und Kommunikationsfunktionen.
(3) Art der betroffenen Daten
- Stammdaten von Bewerbern (Name, Kontaktdaten, Adresse)
- Bewerbungsunterlagen (Lebenslauf, Anschreiben, Zeugnisse)
- Kommunikationsdaten (E-Mails, Gesprächsnotizen)
- Bewertungsdaten (Scorecards, Interview-Auswertungen)
- Beschäftigungsbezogene Daten (Gehaltsvorstellungen, Verfügbarkeit)
- Nutzungsdaten der Plattform (Log-Dateien, Aktivitätsprotokolle)
(4) Kategorien betroffener Personen
- Bewerber und Kandidaten
- Mitarbeiter des Auftraggebers (Recruiter, Hiring Manager)
- Ggf. Kontaktpersonen bei Kunden des Auftraggebers
§ 3 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese Maßnahmen können vom Auftragnehmer angepasst werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
§ 4 Berichtigung, Löschung und Sperrung von Daten
Der Auftragnehmer darf die Daten nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer wendet, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter.
§ 5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
- die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
- den Auftraggeber unverzüglich zu informieren, wenn eine erteilte Weisung gegen datenschutzrechtliche Vorschriften verstößt;
- alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung zu stellen;
- Überprüfungen und Audits durch den Auftraggeber oder beauftragte Prüfer zu ermöglichen und zu unterstützen.
§ 6 Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)
(1) Genehmigte Sub-Auftragsverarbeiter
Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Sub-Auftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 2 aufgeführt.
(2) Änderungen
Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bezüglich der Hinzuziehung oder des Austauschs von Sub-Auftragsverarbeitern. Der Auftraggeber hat das Recht, Änderungen zu widersprechen.
(3) Pflichten gegenüber Sub-Auftragsverarbeitern
Der Auftragnehmer verpflichtet Sub-Auftragsverarbeiter vertraglich zu denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind.
§ 7 Kontrollrechte des Auftraggebers
Der Auftraggeber ist berechtigt, die Einhaltung der Regelungen über den Datenschutz und die Datensicherheit beim Auftragnehmer in angemessener Weise zu kontrollieren. Kontrollen sind mit einer Ankündigungsfrist von mindestens 2 Wochen anzukündigen und dürfen den Betrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.
§ 8 Mitteilung bei Verstößen
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Er unterrichtet den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten.
§ 9 Weisungsrecht des Auftraggebers
Der Auftraggeber ist berechtigt, dem Auftragnehmer jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können mündlich erteilt werden, sind jedoch schriftlich zu bestätigen.
§ 10 Löschung und Rückgabe von Daten
Nach Abschluss der Dienstleistungserbringung hat der Auftragnehmer alle personenbezogenen Daten zu löschen oder — nach Wahl des Auftraggebers — zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht. Die Löschung erfolgt spätestens 30 Tage nach Beendigung des Hauptvertrages.
§ 11 Haftung
Die Haftung der Parteien bestimmt sich nach den Regelungen des Hauptvertrages sowie den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.
§ 12 Schlussbestimmungen
Dieser Vertrag unterliegt dem Recht der Republik Österreich. Gerichtsstand ist Dornbirn, Österreich. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
§ 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle: Serverinfrastruktur wird ausschließlich bei zertifizierten Cloud-Anbietern (Supabase/AWS Frankfurt) betrieben. Physischer Zugang ist auf autorisiertes Personal beschränkt.
Zugangskontrolle: Zugang zur Plattform nur mit gültigem Benutzerkonto. Passwörter werden nach aktuellem Stand der Technik gehasht (bcrypt). Passwortmindestlänge von 8 Zeichen.
Zugriffskontrolle: Rollenbasiertes Zugriffssteuerungssystem (RBAC) mit mindestens 6 Hierarchieebenen. Datenbankzugriff über Row-Level Security (RLS) auf Datenbankebene. Mehrstufige Authentifizierung (MFA) steht zur Verfügung.
Trennungskontrolle: Mandantentrennung auf Datenbankebene mittels organisationsbasierter Datenisolierung (org_id). Vollständige Datentrennung zwischen verschiedenen Kundenorganisationen.
§ 2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle: Alle Datenübertragungen erfolgen verschlüsselt über TLS 1.2 oder höher. API-Zugänge sind durch API-Schlüssel gesichert.
Eingabekontrolle: Änderungen an personenbezogenen Daten werden protokolliert. Audit-Logs dokumentieren sicherheitsrelevante Ereignisse.
§ 3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle: Automatisierte Backups der Datenbank. Redundante Infrastruktur beim Cloud-Anbieter. Monitoring und Alerting für Systemausfälle.
Wiederherstellbarkeit: Point-in-Time Recovery (PITR) für die Datenbank. Definierte Recovery Time Objective (RTO) und Recovery Point Objective (RPO).
§ 4 Verfahren zur regelmäßigen Überprüfung
Regelmäßige Sicherheitsüberprüfungen der Infrastruktur. Dependency-Updates und Sicherheitspatches werden zeitnah eingespielt. Jährliche Überprüfung und Aktualisierung der TOMs.
Anlage 2: Genehmigte Sub-Auftragsverarbeiter
| Anbieter | Sitz | Zweck | Rechtsgrundlage Drittland |
|---|---|---|---|
| Supabase, Inc. | USA (Datenspeicherung: EU/Frankfurt) | Datenbankhosting, Authentifizierung | EU-Standardvertragsklauseln |
| Vercel, Inc. | USA (Serverless: Frankfurt) | Applikationshosting | EU-Standardvertragsklauseln |
| Anthropic, PBC | USA | KI-Verarbeitungsdienste (Textanalyse, Zusammenfassungen) | EU-Standardvertragsklauseln |
| Voyage AI (Voyage AI Lab, Inc.) | USA | KI-Verarbeitungsdienste (semantische Suche / Embeddings) | EU-Standardvertragsklauseln |
| Deepgram, Inc. | USA | Transkription von Interview-Audio | EU-Standardvertragsklauseln |
| Daily (Pluot Labs, Inc.) | USA | Video-Interview-Infrastruktur | EU-Standardvertragsklauseln |
| Resend (Plus Five Five, Inc.) | USA | Transaktionaler E-Mail-Versand | EU-Standardvertragsklauseln |
| Stripe, Inc. | USA | Zahlungsabwicklung | EU-Standardvertragsklauseln |
| Google LLC | USA | E-Mail-Integration (Gmail, optional) | EU-Standardvertragsklauseln |
| Microsoft Corporation | USA | E-Mail-Integration (Outlook, optional) | EU-Standardvertragsklauseln |
| HeyReach | EU | LinkedIn-Outreach-Integration (optional, nur bei aktivierter Kanalerweiterung) | EU-Standardvertragsklauseln |
| Meta Platforms Ireland Limited | EU/EWR | WhatsApp-Integration (optional, nur bei aktivierter Kanalerweiterung) | Innerhalb EU/EWR |
Hinweis zu Kanal-Integrationen: HeyReach und WhatsApp (Meta) sind optionale Erweiterungen. Bei aktivierter Integration werden Nachrichteninhalte über die jeweilige Infrastruktur des Drittanbieters verarbeitet. Die Datenschutzbestimmungen dieser Anbieter gelten für den Nachrichteninhalt. Pickr speichert ausschließlich Metadaten (Absender, Zeitstempel, Kandidatenzuordnung) für den Unified Inbox.
Anlage 3: Kontaktdaten Datenschutz
Auftragnehmer:
Agusta GmbH
Oberdorferstraße 4
6850 Dornbirn
Österreich
E-Mail: datenschutz@pickr.dev
Für Fragen zur Datenverarbeitung und zur Geltendmachung von Betroffenenrechten wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
Stand: Juni 2026 · Agusta GmbH, Dornbirn, Österreich