Auftragsverarbeitungsvereinbarung
Letzte Aktualisierung: 2026-04-17
Version 17. April 2026 · Gemäß Art. 28 DSGVO · Integraler Bestandteil der Allgemeinen Geschäftsbedingungen
Diese Auftragsverarbeitungsvereinbarung ("Vereinbarung") wird zwischen dem Kunden ("Verantwortlicher") und Triad B.V., handelnd unter dem Namen LeadGrid.io ("Auftragsverarbeiter"), mit Sitz in Parallel Boulevard 17 A, 2202 HK Noordwijk, Niederlande, eingetragen bei der Handelskammer der Niederlande unter der Nummer 42034623, geschlossen. Sie gilt als vereinbart, wenn der Verantwortliche ein Abonnement für den Dienst abschließt.
1. Begriffsbestimmungen
In dieser Vereinbarung verwendete Begriffe haben die in der DSGVO festgelegte Bedeutung. Darüber hinaus gelten die Definitionen der Allgemeinen Geschäftsbedingungen. Bei Widersprüchen hat diese Vereinbarung hinsichtlich der Verarbeitung personenbezogener Daten Vorrang.
2. Gegenstand, Art und Zweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung und für Rechnung des Verantwortlichen, im Rahmen der Bereitstellung des LeadGrid.io-Dienstes: Recruitment- und Vertriebspipeline-Management, Verfolgung von Kandidaten und Leads, KI-gestützte Lebenslaufzusammenfassungen, Entwürfe für Ablehnungs-E-Mails, Kontaktextraktion, eingehende und ausgehende E-Mails sowie Integrationen über die öffentliche REST-API.
Kategorien von betroffenen Personen und personenbezogene Daten sind in Anhang 1 beschrieben.
3. Laufzeit
Diese Vereinbarung tritt mit Abschluss des Abonnements in Kraft und läuft so lange, wie der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen verarbeitet. Nach Beendigung bleiben die Bestimmungen zu Vertraulichkeit, Haftung und anwendbarem Recht in dem erforderlichen Umfang in Kraft.
4. Weisungen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf schriftliche Weisung des Verantwortlichen. Die Allgemeinen Geschäftsbedingungen, diese Vereinbarung und die Konfiguration des Dienstes durch den Verantwortlichen stellen solche Weisungen dar. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
5. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle Personen, die unter seiner Aufsicht personenbezogene Daten verarbeiten, entweder gesetzlich oder vertraglich zur Vertraulichkeit verpflichtet sind.
6. Sicherheitsmaßnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten gegen Verlust, unbefugten Zugriff und andere rechtswidrige Verarbeitung, wie in Anhang 2 beschrieben. Der Auftragsverarbeiter überprüft diese Maßnahmen regelmäßig und aktualisiert sie nach Bedarf unter Berücksichtigung des Stands der Technik und des Risikos für die betroffenen Personen.
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung der in Anhang 3 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter durch schriftliche Vereinbarung dieselben Verpflichtungen auf, die sich aus dieser Vereinbarung ergeben, soweit anwendbar.
Der Auftragsverarbeiter informiert den Verantwortlichen im Voraus über beabsichtigte Änderungen an der Liste der Unterauftragsverarbeiter (Hinzufügungen oder Ersetzungen). Der Verantwortliche kann binnen dreißig (30) Tagen nach Benachrichtigung begründeten Widerspruch einlegen. Wenn die Parteien keine Lösung finden können, kann der Verantwortliche das Abonnement zum Zeitpunkt des Inkrafttretens der Änderung kündigen.
8. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch). Der Auftragsverarbeiter leitet alle direkt bei ihm eingehenden Anfragen an den Verantwortlichen weiter.
9. Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Entdeckung über eine Verletzung des Schutzes personenbezogener Daten. Der Auftragsverarbeiter stellt alle verfügbaren Informationen zur Verfügung, die der Verantwortliche für die Erfüllung seiner eigenen gesetzlichen Melde- und Dokumentationspflichten benötigt, einschließlich:
- der Art des Verstoßes und der betroffenen Datenkategorien
- des (geschätzten) Ausmaßes und der möglichen Folgen
- der bereits ergriffenen und vorgeschlagenen Maßnahmen
- der Kontaktdaten für weitere Informationen
Der Auftragsverarbeiter wird die Aufsichtsbehörde (Autoriteit Persoonsgegevens) oder betroffene Personen nicht im Namen des Verantwortlichen benachrichtigen, sofern er nicht ausdrücklich dazu angewiesen wird.
10. Unterstützung bei DSFAs und vorheriger Konsultation
Der Auftragsverarbeiter unterstützt den Verantwortlichen auf begründeten Antrag bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und jeder anschließenden vorherigen Konsultation der Aufsichtsbehörde, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter vorliegenden Informationen.
11. Rückgabe und Löschung von Daten
Nach Beendigung des Abonnements gewährt der Auftragsverarbeiter dem Verantwortlichen eine Frist von 30 Tagen für den Export personenbezogener Daten (über die REST-API oder das Dashboard). Danach löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. steuerliche Aufbewahrungspflichten für Abrechnungsunterlagen). Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.
12. Prüfung
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser Vereinbarung nachzuweisen. Der Verantwortliche kann einmal pro Jahr — oder häufiger bei begründetem Verdacht auf Nichteinhaltung — eine Prüfung durchführen (oder durchführen lassen). Die Prüfung findet an Werktagen, während der Geschäftszeiten, nach rechtzeitiger Ankündigung und in einer Weise statt, die den Dienst nicht unverhältnismäßig beeinträchtigt. Die Kosten der Prüfung trägt der Verantwortliche, sofern keine wesentlichen Mängel festgestellt werden.
Der Auftragsverarbeiter kann stattdessen einen aktuellen unabhängigen Prüfbericht oder eine ISO 27001 / SOC 2-Attestierung seiner (Unter-)Auftragsverarbeiter vorlegen, die der Verantwortliche in der Regel akzeptieren wird.
13. Internationale Übermittlungen
Wenn eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums stattfindet, basiert sie auf geeigneten Garantien gemäß Art. 46 DSGVO, einschließlich der Standardvertragsklauseln der Europäischen Kommission (2021/914) oder des EU-US-Datenschutzrahmens, ergänzt durch technische Zusatzmaßnahmen, wo angemessen.
14. Haftung
Die Haftung der Parteien aus dieser Vereinbarung richtet sich nach der Haftungsklausel der Allgemeinen Geschäftsbedingungen. Jede Partei haftet gemäß Art. 82 DSGVO gegenüber betroffenen Personen für Schäden, die durch die Nichteinhaltung ihrer DSGVO-Pflichten durch diese Partei verursacht wurden.
15. Sonstiges
Bei Widersprüchen zwischen dieser Vereinbarung und anderen Dokumenten zwischen den Parteien hat diese Vereinbarung hinsichtlich der Verarbeitung personenbezogener Daten Vorrang. Änderungen sind wirksam, wenn sie über den Dienst oder per E-Mail angekündigt werden, vorbehaltlich einer angemessenen Frist zum Widerspruch oder zur Kündigung des Abonnements. Diese Vereinbarung unterliegt niederländischem Recht; Streitigkeiten werden dem Bezirksgericht Den Haag (Rechtbank Den Haag) vorgelegt.
Anhang 1 — Daten und Kategorien betroffener Personen
Kategorien betroffener Personen
- Nutzer des Verantwortlichen (Mitarbeiter, Administratoren)
- In Recruitment-Pipelines erfasste Kandidaten
- In Vertriebspipelines erfasste Leads und Interessenten
- Kontaktpersonen bei Organisationen von Leads oder Kandidaten
Kategorien personenbezogener Daten
- Identifikations- und Kontaktdaten: Name, E-Mail-Adresse, Telefon, Unternehmen, Funktion/Titel, LinkedIn oder externe Profil-URL
- Lebenslauf- und Bewerbungsinhalte: hochgeladene Lebensläufe (PDF), Berufserfahrung, Ausbildung, Fähigkeiten, Anhänge
- Kommerzielle Pipeline-Daten: Dealwert, Währung, Phase, Notizen, Besprechungshistorie, zugewiesener Verantwortlicher
- Kommunikationsinhalte: an LeadGrid weitergeleitete E-Mails über eingehende E-Mail, von LeadGrid gesendete ausgehende Nachrichten, an Dossiers angehängte Notizen
- KI-generierte Ableitungsdaten: Kandidatenzusammenfassungen, extrahierte Kontaktdaten, Entwürfe für Ablehnungs-E-Mails, Eignungsbewertungen für Phasen
- Daten verbundener Systeme: Daten, die über die öffentliche REST-API und etwaige vom Verantwortlichen aktivierte Integrationen Dritter gepusht/gepullt werden
- Technische Daten: IP-Adresse, Sitzungs- und Protokolldaten für Sicherheits- und Supportzwecke
Art der Verarbeitung
Erhebung, Speicherung, Abfrage, Strukturierung, Änderung, Kombination, Übermittlung (auch über KI-Dienste zur Klassifizierung und Textgenerierung), Offenlegung gegenüber verbundenen Systemen und Löschung.
Anhang 2 — Sicherheitsmaßnahmen
Der Auftragsverarbeiter hat unter anderem folgende Maßnahmen implementiert:
- TLS 1.2+ für alle Daten in der Übertragung
- Supabase Row-Level Security (RLS) auf jeder Tabelle mit obligatorischer Organisations-ID-Scoping als Defense-in-Depth
- Rollenbasierte Zugangskontrolle (Eigentümer / Administrator / Mitglied) mit serverseitig durchgesetztem Least-Privilege-Prinzip
- Passwort-Hashing (bcrypt) verwaltet von Supabase Auth; Sitzungscookies mit
HttpOnly+Securemarkiert - Öffentliche REST-API gesichert mit gehashten API-Schlüsseln, Ratenlimits pro Schlüssel (60 Anf./min. kostenlos, 600 Anf./min. Wachstum), Scope-Validierung
- Stripe-Webhooks mit HMAC-Signatur verifiziert; idempotente Ereignisverarbeitung über
processed_stripe_events-Tabelle - Eingehender-E-Mail-Endpunkt mit geteiltem Geheimnis und Constant-Time-Vergleich gesichert; Dateigrößen- und Inhaltstyp-Limits für Lebenslauf-Uploads
- Geheimnisverwaltung über Umgebungsvariablen; keine hartcodierten Geheimnisse
- CSP, HSTS, X-Frame-Options
DENY, Referrer-Policy, Permissions-Policy-Hardening auf alle Antworten - Prüfprotokolle sensitiver Aktionen und KI-Anfragen
- Sandbox-mäßige, versionskontrollierte Deployments auf Vercel mit automatisierten Build- und Typprüfungen
- Tägliche verschlüsselte Datenbanksicherungen verwaltet von Supabase; regelmäßige Wiederherstellungstests
- Zugang zu Produktionsdaten beschränkt auf eine kleine Anzahl von Mitarbeitern unter strenger Autorisierung und Vertraulichkeit
- Incident-Response-Prozess mit einer 48-Stunden-Meldepflicht für Verletzungen des Schutzes personenbezogener Daten
Anhang 3 — Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Verarbeitung | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicherung | EU (Irland) |
| Vercel Inc. | Anwendungs-Hosting und Edge-Netzwerk | EU / USA (SCCs) |
| OpenAI, L.L.C. | KI-Klassifizierung und Textgenerierung (kein Training mit Kundeneingaben) | USA (SCCs) |
| Stripe Payments Europe, Ltd. | Abonnementabrechnung und Zahlungsverarbeitung | EU (Irland) / USA (SCCs) |
| Resend, Inc. | Ausgehende Transaktions-E-Mail und eingehende E-Mail-Verarbeitung | USA (SCCs) |