Diese AVV gilt zwischen der FachPower UG (haftungsbeschränkt), Friedrichstraße 68, 10117 Berlin, vertreten durch die Geschäftsführer Raphael von Hoch und Daniel Weschta (Auftragsverarbeiter) und dem jeweiligen Kunden (Verantwortlicher), mit dem ein Hauptvertrag über Dienstleistungen der FachPower UG (haftungsbeschränkt) geschlossen wurde.

(1) Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden gemäß Art. 28 DSGVO. (2) FachPower verarbeitet personenbezogene Daten ausschließlich zur Durchführung und Optimierung von Social-Recruiting-Kampagnen, zur Generierung, Qualifizierung und Weiterleitung von Bewerber-Leads sowie für begleitende Reporting-, Analyse- und Kommunikationszwecke. (3) Die Verarbeitung erfolgt nur für die Dauer der Zusammenarbeit zwischen den Parteien und endet mit deren Beendigung. Danach gelten die Löschpflichten gemäß Ziffer 10.

2. Art und Zweck der Verarbeitung Die Verarbeitung umfasst insbesondere:

- Erheben, Erfassen, Speichern und Übermitteln von Bewerberdaten aus Online-Formularen, Landingpages oder Anzeigenkampagnen; - Auswertung und Analyse von Kampagnendaten (Meta-Pixel, Cookies, UTM-Parameter); - Speicherung und Verwaltung von Kommunikations- und Freigabeinformationen; - Übermittlung qualifizierter Bewerbungen an den Kunden; - interne Notizen zur Vorqualifizierung und Abstimmung. Zweck der Verarbeitung ist die Unterstützung des Kunden bei der Personalgewinnung und Arbeitgeberkommunikation.

3. Kategorien betroffener Personen und Daten Kategorie: Bewerber:innen Daten: Name, Kontaktdaten, Ausbildungs-/Berufsdaten, Lebenslauf, Antworten in Formularen, Verfügbarkeit, Gehaltsvorstellungen, Kommunikationshistorie, ggf. Metadaten (UTMs, Trackingdaten).

Kategorie: Mitarbeiter:innen des Kunden Daten: Name, geschäftliche Kontaktdaten, Freigabe-/Feedback-Informationen, Kommunikationsdaten. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht verarbeitet, außer auf ausdrückliche schriftliche Weisung des Kunden.

- Der Kunde bleibt Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. - Er ist verantwortlich für Rechtmäßigkeit, Informationspflichten und Datenquellen. - Weisungen an FachPower sind in Textform zu erteilen. - Der Kunde dokumentiert erteilte Weisungen und trägt etwaige Folgen unzulässiger Anweisungen.

5. Pflichten des Auftragsverarbeiters (FachPower)

- Daten ausschließlich nach dokumentierter Weisung des Kunden zu verarbeiten; - Personen, die Zugriff auf personenbezogene Daten haben, auf Vertraulichkeit zu verpflichten; - technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1); - den Kunden bei Betroffenenanfragen, Datenschutz-Folgenabschätzungen und Meldungen von Datenschutzverletzungen zu unterstützen; - den Kunden unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.

Die von FachPower implementierten Maßnahmen sind in Anlage 1 beschrieben. Diese gewährleisten ein dem Risiko angemessenes Schutzniveau und werden regelmäßig überprüft und bei Bedarf angepasst.

7. Unterauftragsverhältnisse

(1) FachPower ist berechtigt, Unterauftragsverarbeiter einzusetzen. Eine aktuelle Liste befindet sich in Anlage 2. (2) Neue oder geänderte Unterauftragsverarbeiter werden dem Kunden in Textform mitgeteilt. Der Kunde kann aus wichtigem Grund innerhalb von 14 Tagen widersprechen. (3) FachPower stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO abgeschlossen sind.

(1) Werden personenbezogene Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums übermittelt (z. B. durch Meta Platforms oder LeadTable), erfolgt dies ausschließlich auf Grundlage der jeweils gültigen EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses der EU-Kommission. (2) FachPower stellt sicher, dass Subprozessoren geeignete Garantien bieten und diese dokumentiert sind.

9. Unterstützung des Kunden FachPower unterstützt den Kunden bei: - der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO); - der Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO); - Datenschutz-Folgenabschätzungen (Art. 35 DSGVO); - der Sicherstellung der Pflichten nach Art. 32–36 DSGVO. - Etwaiger Mehraufwand wird nach vereinbarten Stundensätzen abgerechnet.

Nach Beendigung der Zusammenarbeit werden alle personenbezogenen Daten, die FachPower im Auftrag verarbeitet hat, unverzüglich gelöscht oder an den Kunden zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Daten werden spätestens nach 6 Monaten nach Vertragsende gelöscht, und FachPower stellt auf Wunsch eine Löschbestätigung in Textform aus.

(1) FachPower stellt dem Kunden alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieser Vereinbarung nachzuweisen. (2) Der Kunde ist berechtigt, ein erleichtertes Audit-Recht wahrzunehmen, d. h. Nachweise in Textform anzufordern. Eine Vor-Ort-Prüfung findet nur bei berechtigtem Anlass statt. (3) FachPower kann Audit-Berichte, Zertifikate oder Sicherheitsnachweise vorlegen, um seine Compliance zu belegen.

Die Haftung richtet sich nach den Hauptvertragsbedingungen (AGB FachPower). Etwaige Bußgelder, die auf unzulässige Weisungen des Kunden zurückzuführen sind, trägt der Kunde.

- Änderungen dieser Vereinbarung bedürfen der Textform. - Es gilt deutsches Recht. - Erfüllungsort und Gerichtsstand ist der Sitz von FachPower. - Diese Vereinbarung ist integraler Bestandteil der Zusammenarbeit und gilt in Verbindung mit den AGB der FachPower UG.

Meta Platforms Ireland Ltd. Zweck: Schaltung & Tracking von Kampagnen Sitz: Irland / ggf. USA Rechtsgrundlage/Garantien: SCC + Meta DPA

OnePage GmbH Zweck: Landingpage-/Formularhosting Sitz: Deutschland / EU Rechtsgrundlage/Garantien: EU-Hosting

LeadTable GmbH Zweck: Bewerber-CRM / Leadverwaltung Sitz: Deutschland / ggf. EU-Cloud Rechtsgrundlage/Garantien: DSGVO-konform laut Anbieterangabe

FachPower UG (haftungsbeschränkt) – Stand: 20. Oktober 2025