zwischen FachPower UG (haftungsbeschränkt) Friedrichstraße 68, 10117 Berlin vertreten durch die Geschäftsführer Raphael von Hoch und Daniel Weschta – nachfolgend „Auftragsverarbeiter“ – und dem jeweiligen Kunden (Praxis, Unternehmen oder Organisation) – nachfolgend „Verantwortlicher“ – gemeinsam auch „Parteien“ genannt. Stand: 3. November 2025 1. Gegenstand und Dauer der Verarbeitung (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Unterstützung bei der Personalgewinnung durch Social-Recruiting-Kampagnen, insbesondere: Erstellung und Verwaltung digitaler Werbekampagnen (z. B. Meta, Google, TikTok) Betrieb und Hosting von Bewerbungsformularen, Landingpages und Funnel-Systemen Übermittlung, Speicherung und Organisation von Bewerber-Leads Begleitende technische Analysen, Reporting und Kampagnenoptimierung (2) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen müssen in Textform (z. B. per E-Mail oder Ticket-System) erfolgen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. (3) Die Dauer richtet sich nach der Vertragslaufzeit der Hauptvereinbarung (Angebot / Agenturvertrag). Nach Vertragsende werden die Daten gemäß § 10 gelöscht oder zurückgegeben. 2. Art und Zweck der Datenverarbeitung Zweck: Abwicklung von Recruiting-, Marketing- und Lead-Management-Prozessen Art der Verarbeitung: Erhebung, Speicherung, Organisation, Auswertung, Übermittlung, Löschung Kategorien betroffener Personen: Bewerber:innen, Interessent:innen, ggf. Praxis-/Unternehmensmitarbeitende Kategorien personenbezogener Daten: Kontaktdaten, Berufsdaten, Kommunikations-/Formularinhalte, Tracking-Daten (Pixel, UTM), interne Notizen, Freigabe-Informationen Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) werden verarbeitet. 3. Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter verpflichtet sich: Daten ausschließlich nach dokumentierter Weisung zu verarbeiten; Vertraulichkeit der Mitarbeitenden sicherzustellen (schriftliche Verpflichtung nach Art. 28 Abs. 3 S. 2 lit. b DSGVO); geeignete technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO umzusetzen; den Verantwortlichen bei der Wahrung von Betroffenenrechten (Art. 12–22 DSGVO) zu unterstützen; im Fall von Datenpannen unverzüglich zu informieren (Art. 33 Abs. 2 DSGVO); bei Datenschutz-Folgenabschätzungen und Behördenanfragen mitzuwirken; alle Verarbeitungstätigkeiten zu dokumentieren und Nachweise bereitzuhalten; Unterauftragsverarbeiter nur mit vorheriger Genehmigung gem. § 6 einzusetzen.

Die Haftung des Auftragsverarbeiters für leichte Fahrlässigkeit ist ausgeschlossen. Für grobe Fahrlässigkeit ist sie auf den vertragstypisch vorhersehbaren Schaden begrenzt. Eine Haftung für entgangenen Gewinn, mittelbare Schäden oder Bußgelder Dritter ist ausgeschlossen, soweit gesetzlich zulässig. 4. Pflichten des Verantwortlichen Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass: alle erforderlichen Rechtsgrundlagen (z. B. Einwilligung, § 26 BDSG) vorliegen, Betroffene über die Datenverarbeitung ordnungsgemäß informiert wurden, nur Daten bereitgestellt werden, die für den Zweck erforderlich sind, Weisungen schriftlich oder in Textform erteilt werden, unzulässige oder rechtswidrige Weisungen unterbleiben. Bußgelder oder Ansprüche Dritter aufgrund unzulässiger Weisungen trägt der Verantwortliche.

Soweit der Auftragsverarbeiter Daten als eigener Verantwortlicher verarbeitet (z. B. Kommunikations-, Abrechnungs-, oder Analyse-Daten), erfolgt dies in eigener Verantwortung nach Art. 4 Nr. 7 DSGVO. 5. Technische und organisatorische Maßnahmen (TOM) Der Auftragsverarbeiter gewährleistet ein dem Risiko angemessenes Schutzniveau, insbesondere durch: Zugriffsbeschränkung und -kontrolle (Passwortschutz, MFA, Zugriffsrechte) Verschlüsselung (Transport Layer + at Rest, wo möglich) Trennung von Mandanten- und Kundendaten Protokollierung von Zugriffen und Änderungen Regelmäßige Backups und Wiederherstellungsverfahren Schulung der Mitarbeitenden im Datenschutz Verfahren zur Sicherstellung der Löschung nach Vertragsende Eine detaillierte TOM-Liste kann auf Anfrage in Textform bereitgestellt werden. 6. Einsatz von Unterauftragsverarbeitern (1) Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter: Meta Platforms Ireland Ltd. – Werbeplattform, Pixel-Tracking OnePage GmbH – Funnel- und Landingpage-Hosting LeadTable GmbH – Bewerber-Management-System Weitere Tools zur Kampagnenanalyse und zur Umsetzung (z. B. Perspective, Google Analytics, Zapier, Make), soweit erforderlich (2) Drittlandübermittlungen erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) oder anderer geeigneter Garantien gemäß Art. 46 DSGVO.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über beabsichtigte Änderungen der Unterauftragsverarbeiter, sodass dieser innerhalb von 14 Tagen widersprechen kann.

(4) Für Datenschutzverstöße von Unterauftragsverarbeitern oder Drittplattformen (z. B. Meta, Google, OnePage) haftet der Auftragsverarbeiter nur, soweit ihn ein Auswahl- oder Überwachungsverschulden trifft.

7. Rechte und Pflichten bei Betroffenenanfragen Geht beim Auftragsverarbeiter eine Anfrage eines Betroffenen ein (z. B. Auskunft, Löschung), leitet dieser sie unverzüglich an den Verantwortlichen weiter. Die Bearbeitung erfolgt ausschließlich durch den Verantwortlichen, sofern keine abweichende Weisung erteilt wurde.

Der Auftragsverarbeiter ist nicht verpflichtet, Anfragen betroffener Personen zu beantworten. Diese werden ausschließlich vom Verantwortlichen bearbeitet. 8. Informations- und Mitwirkungspflichten Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn: Weisungen gegen geltendes Datenschutzrecht verstoßen, eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, Aufsichtsbehörden oder Betroffene sich unmittelbar an ihn wenden. 9. Nachweise, Audits (1) Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung in angemessenem Umfang zu prüfen oder durch unabhängige Prüfer prüfen zu lassen.

(2) Der Auftragsverarbeiter kann Nachweise über die Einhaltung seiner Pflichten in Textform (z. B. ISO-, TOM-, Auditberichte) bereitstellen; eine Vor-Ort-Prüfung ist nur bei berechtigtem Interesse und mit Vorankündigung zulässig.

(3) Beide Parteien tragen ihre eigenen Auditkosten.

(4) Vor-Ort-Audits sind nur bei begründetem Verdacht auf schwerwiegende Datenschutzverstöße zulässig und bedürfen einer Vorankündigung von mindestens 14 Tagen. Der Auftragsverarbeiter kann die Auditdurchführung durch Vorlage geeigneter Zertifizierungen oder Nachweise abwenden.

10. Löschung und Rückgabe Nach Beendigung des Auftrags: werden personenbezogene Daten gelöscht oder auf Wunsch zurückgegeben, Löschung erfolgt spätestens 6 Monate nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht, Nachweis der Löschung erfolgt in Textform.

Die Löschung erfolgt nach schriftlicher Bestätigung des Kunden, dass keine gesetzlichen Aufbewahrungspflichten oder Rückübermittlungswünsche bestehen.

11. Haftung Die Haftung richtet sich nach den Regelungen der AGB der FachPower UG (haftungsbeschränkt). Der Verantwortliche haftet insbesondere für Schäden oder Bußgelder, die durch rechtswidrige oder fehlerhafte Weisungen entstehen. Für leichte Fahrlässigkeit haftet der Auftragsverarbeiter nur bei Verletzung wesentlicher Vertragspflichten und begrenzt auf den typischen, vorhersehbaren Schaden. 12. Vertraulichkeit Alle vom Verantwortlichen übermittelten Daten und Informationen sind vertraulich zu behandeln. Der Auftragsverarbeiter darf sie nur zur Erfüllung dieses Vertrags verwenden. Diese Pflicht gilt auch nach Vertragsende fort. 13. Sonstige Bestimmungen Änderungen und Ergänzungen bedürfen mindestens der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Es gilt deutsches Recht. Gerichtsstand: Sitz des Auftragsverarbeiters (Berlin), soweit gesetzlich zulässig. FachPower UG (haftungsbeschränkt) – Berlin, den 3. November 2025 –