DSGVO & Auftragsverarbeitung (AVV)

Auf Anfrage stellen wir jedem Unternehmenskunden einen unterzeichneten AVV gemäß Art. 28 DSGVO zur Verfügung.

Anfragen an: legal@swarly.ai

1. Rollen und Verantwortlichkeiten

Ihr Unternehmen (Kunde) ist der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO für die Verarbeitung der Bewerberdaten, da Sie über Zweck und Mittel der Verarbeitung entscheiden.

Jan Hassan - Einzelunternehmen ist der Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO, da wir die Daten ausschließlich weisungsgebunden in Ihrem Auftrag verarbeiten.

2. Gegenstand der Auftragsverarbeitung

Jan Hassan - Einzelunternehmen verarbeitet im Auftrag des Kunden folgende personenbezogene Daten von Bewerbern: Inhalte von Lebensläufen (Name, Berufserfahrung, Ausbildung, Kontaktdaten soweit im CV enthalten), Inhalte von Anschreiben, vom Kunden eingegebene Bewerberinformationen (Name, E-Mail-Adresse), Outcome-Tracking-Daten nach erfolgter Einstellung.

3. Zweck der Verarbeitung

• KI-gestützte Analyse von Lebensläufen zur Berechnung von Retention-Scores.
• Generierung von Interview-Fragen und Risikobewertungen.
• Erstellung von Candidate-Reports.
• Outcome-Tracking nach Einstellung.

4. Pflichten des Auftragsverarbeiters

• Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
• Sicherstellung der Vertraulichkeit durch Verpflichtung aller Mitarbeiter.
• Implementierung technisch-organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
• Unterstützung bei der Erfüllung von Betroffenenrechten.
• Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung des Auftrags.
• Unverzügliche Meldung von Datenschutzverletzungen (max. 24h nach Kenntnis).

5. Technisch-organisatorische Maßnahmen (TOM)

Vertraulichkeit: Verschlüsselte Übertragung (TLS 1.3), Verschlüsselung at rest (AES-256), strikte Zugriffskontrolle (RBAC), Zwei-Faktor-Authentifizierung für alle internen Systeme.

Integrität: Row Level Security (RLS) in der Datenbank, vollständiges Audit-Log aller Datenbankzugriffe, automatische Backups (täglich, 30 Tage, EU-Region).

Verfügbarkeit: Hosting auf redundanter EU-Infrastruktur Frankfurt, SLA 99,0% (Scale/Enterprise 99,5%), Disaster Recovery mit RTO < 4h, RPO < 1h.

Datensparsamkeit: Rohe CV-Dateien werden nach Analyse nicht dauerhaft gespeichert. Nur extrahierte, strukturierte Analyseergebnisse werden persistiert. IP-Adressen anonymisiert nach 7 Tagen.

6. Unterauftragsverarbeiter

• Supabase Inc. — Datenbankhosting, EU-Frankfurt
• OpenAI LP — KI-Analyse, USA (Zero Data Retention, SCCs vorhanden)
• Stripe Inc. — Zahlungen, EU
• Resend Inc. — E-Mail-Versand, EU
• Vercel Inc. — Hosting, EU-Frankfurt

Der Einsatz weiterer Unterauftragsverarbeiter erfolgt nur nach vorheriger schriftlicher Genehmigung oder nach Ablauf einer 14-tägigen Einspruchsfrist nach Ankündigung.

7. Drittlandtransfers

Die Nutzung von OpenAI LP (USA) ist abgesichert durch: EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss 2021/914, Zero Data Retention Agreement mit OpenAI, Transfer Impact Assessment (TIA) liegt vor.

8. AVV anfordern

Für einen unterzeichneten AVV: legal@swarly.ai, Betreff: AVV-Anfrage + Ihr Unternehmensname. Wir stellen Ihnen den AVV innerhalb von 2 Werktagen zur Verfügung.

9. Datenschutzbeauftragter

Jan Hassan - Einzelunternehmen hat geprüft, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Aufgrund der aktuellen Unternehmensgröße besteht keine gesetzliche Pflicht.

Bei datenschutzrechtlichen Fragen: privacy@swarly.ai