Auftragsverarbeitungsvertrag (AVV)

1. Parteien

Dieser Auftragsverarbeitungsvertrag ("AVV") wird geschlossen zwischen:

• Verantwortlicher ("Kunde"): Das Unternehmen, das den HireStates-Nutzungsbedingungen zugestimmt hat.
• Auftragsverarbeiter ("HireStates"): KVN-International US Inc., 16192 Coastal Highway, Lewes, Delaware 19958, USA.

2. Gegenstand und Zweck

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch HireStates im Auftrag des Kunden im Zusammenhang mit der HireStates-Compliance-Plattform. HireStates verarbeitet personenbezogene Daten ausschliesslich zur Erbringung der in den Nutzungsbedingungen beschriebenen Dienste, einschliesslich: Erstellung von Beschaeftigungsdokumenten, KI-gestuetzte Compliance-Beratung und Ueberwachung von Arbeitsrechtsaenderungen.

3. Art der verarbeiteten personenbezogenen Daten

• Mitarbeiterdaten: Namen, Berufsbezeichnungen, Verguetungsdetails, Beschaeftigungsdaten und weitere vom Kunden eingegebene Daten zur Dokumentenerstellung.
• Kontodaten: Kundenname, E-Mail, Organisationsname und Abrechnungsinformationen.
• Nutzungsdaten: Chat-Sitzungsinhalte, Dokumentenerstellungsverlauf und Compliance-Anfragen.

4. Betroffene Personen

Die betroffenen Personen sind die Mitarbeiter des Kunden, potenzielle Mitarbeiter und autorisierte Nutzer der HireStates-Plattform.

5. Laufzeit

Dieser AVV gilt fuer die Dauer der Nutzung der HireStates-Dienste durch den Kunden. Nach Beendigung loescht HireStates alle personenbezogenen Kundendaten innerhalb von 30 Tagen, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben.

6. Pflichten von HireStates (Auftragsverarbeiter)

HireStates wird:

• Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, einschliesslich fuer Uebermittlungen in Drittlaender (Standardvertragsklauseln gelten wo erforderlich).
• Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
• Geeignete technische und organisatorische Massnahmen umsetzen, einschliesslich Verschluesselung bei der Uebertragung (TLS 1.3) und im Ruhezustand.
• Keinen weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Kunden einsetzen. Aktuelle Unterauftragsverarbeiter sind in Abschnitt 10 aufgefuehrt.
• Den Kunden bei der Beantwortung von Betroffenenanfragen unterstuetzen (Auskunft, Berichtigung, Loeschung, Uebertragbarkeit, Einschraenkung, Widerspruch).
• Den Kunden bei der Einhaltung der Pflichten zur Meldung von Datenschutzverletzungen (innerhalb von 72 Stunden) unterstuetzen.
• Alle personenbezogenen Daten nach Beendigung der Dienste loeschen oder zurueckgeben, nach Wahl des Kunden.
• Dem Kunden alle Informationen zur Verfuegung stellen, die zum Nachweis der Einhaltung der Pflichten aus DSGVO Art. 28 erforderlich sind.

7. Datenstandort und Uebermittlungen

Alle Kundendaten werden innerhalb der Europaeischen Union gespeichert und verarbeitet:

• Datenbank: Neon PostgreSQL, EU (Frankfurt, Deutschland)
• Vektordatenbank: Upstash Vector, EU (Frankfurt, Deutschland)
• Cache: Upstash Redis, EU (Frankfurt, Deutschland)
• Anwendungshosting: Vercel, EU (Frankfurt, Deutschland)

Soweit Daten ausserhalb der EU uebermittelt werden muessen (z.B. fuer KI-Verarbeitung ueber Anthropic oder OpenAI APIs), gelten die von der Europaeischen Kommission angenommenen Standardvertragsklauseln. Personenbezogene Daten werden nicht ausserhalb der EU gespeichert.

8. Sicherheitsmassnahmen

• Verschluesselung bei Uebertragung: TLS 1.3 fuer alle Verbindungen
• Verschluesselung im Ruhezustand: AES-256 fuer Datenbankspeicherung
• Zugriffskontrolle: Rollenbasierter Zugriff (Eigentuemer, Admin, Bearbeiter, Betrachter)
• Authentifizierung: Sichere Sitzungsverwaltung mit httpOnly-Cookies
• Audit-Protokollierung: Alle Datenzugriffe und -aenderungen werden protokolliert
• Rate-Limiting: Schutz vor Missbrauch und automatisierten Angriffen
• Sicherheitsheader: HSTS, X-Frame-Options, CSP, CSRF-Schutz
• Regelmaessige Sicherheitsueberpruefungen und Schwachstellenbewertungen

9. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt HireStates den Kunden unverzueglich und spaetestens 48 Stunden nach Bekanntwerden. Die Benachrichtigung umfasst: Art der Verletzung, Kategorien und ungefaehre Anzahl betroffener Personen, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Massnahmen.

10. Unterauftragsverarbeiter

HireStates nutzt die folgenden Unterauftragsverarbeiter:

• Neon Inc. - Datenbankhosting (EU-Region)
• Upstash Inc. - Vektordatenbank und Caching (EU-Region)
• Vercel Inc. - Anwendungshosting und Edge-Funktionen (EU-Region)
• Anthropic PBC - KI-Sprachmodell fuer Compliance-Beratung (Daten verarbeitet, nicht gespeichert)
• OpenAI Inc. - Embedding-Generierung fuer Suche (Daten verarbeitet, nicht gespeichert)
• Stripe Inc. - Zahlungsabwicklung (PCI DSS konform)
• Resend Inc. - Transaktionale E-Mail-Zustellung

Der Kunde wird ueber beabsichtigte Aenderungen an Unterauftragsverarbeitern mit mindestens 30 Tagen Vorlauf informiert.

11. Betroffenenrechte

HireStates stellt folgende Mechanismen fuer Betroffenenrechte bereit:

• Auskunftsrecht: Nutzer koennen alle ihre Daten ueber die Einstellungsseite einsehen.
• Recht auf Berichtigung: Nutzer koennen ihr Profil und Unternehmensdaten jederzeit bearbeiten.
• Recht auf Loeschung: Nutzer koennen ihr Konto und alle zugehoerigen Daten ueber die Einstellungen loeschen.
• Recht auf Datenuebertragbarkeit: Nutzer koennen alle ihre Daten im JSON-Format ueber die Einstellungen exportieren.
• Recht auf Einschraenkung: Kontakt ueber hirestates@kvn-international.com.
• Widerspruchsrecht: Kontakt ueber hirestates@kvn-international.com.

12. Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Fuer EU-Kunden bestimmt sich die zustaendige Aufsichtsbehoerde nach DSGVO Art. 55.

13. Kontakt

KVN-International US Inc., 16192 Coastal Highway, Lewes, DE 19958, USA. E-Mail: hirestates@kvn-international.com