Stand: 19.11.2025
Die Parteien verarbeiten personenbezogene Daten als gemeinsame Verantwortliche im Sinne des Art. 26 Datenschutzgrundverordnung („DSGVO“) nach den folgenden Bestimmungen. Der vorliegende Vertrag gilt nur zwischen den Parteien, wenn der Kunde eine oder mehrere der hier beschriebenen Produkte nutzt.
Diese Vereinbarung regelt die Rechte und Pflichten der Verantwortlichen (in Folge auch „Parteien“ genannt) bei der gemeinsamen Verarbeitung personenbezogener Daten. Diese Vereinbarung findet auch auf Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch eine Partei oder durch beide Parteien beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien einigen sich auf die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten.
Die Beschreibung der Verarbeitungen, bei denen die Parteien als gemeinsame Verantwortliche tätig werden, sowie die von der Verarbeitung betroffenen Personen, die Art der personenbezogenen Daten, der Zweck und die Dauer der Verarbeitung, und die Beschreibung der jeweiligen Wirkbereiche der Parteien befinden sich in Anlage 1 zu diesem Vertrag.
Für Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Soweit die Vertragsparteien datenschutzrechtlich gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind, gelten die folgenden Vereinbarungen:
Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.
Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind und für die die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Im Übrigen beachten beide Vertragsparteien den Grundsatz der Datenminimierung im Sinne von Art. 5 (1) lit. c DSGVO.
5.1.
Die Parteien verpflichten sich, der betroffenen Person die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Parteien sind sich einig, dass der Kunde die Informationen zur Verarbeitung personenbezogener Daten der beiden Wirkbereiche bereitstellt. meinestadt.de wird den Kunden bei der Formulierung und Beschaffung der dafür erforderlichen Informationen unterstützen.
5.2.
Betroffene Personen können die ihnen aus Art. 15 bis 22 DSGVO zustehenden Rechte gegenüber beiden Vertragsparteien geltend machen. Soweit sich eine betroffene Person in Wahrnehmung ihrer Betroffenenrechte an eine der Parteien wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die andere Partei weiterzuleiten.
5.3.
Die Parteien verpflichten sich, der Auskunftspflicht gemäß Art. 15 DSGVO nachzukommen und den betroffenen Personen die diesen gemäß Art. 15 DSGVO zustehenden Auskünfte auf Nachfrage zur Verfügung zu stellen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Vertragspartei, bei der die Anfrage gestellt wurde. Die Parteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Wirkbereich gegenseitig zur Verfügung. Der hierfür zuständige Ansprechpartner der Parteien ist eine mit dem Datenschutz beauftragte Person aus der Organisation der Parteien. Ein Wechsel des jeweiligen Ansprechpartners ist der anderen Partei unverzüglich mitzuteilen. Die Parteien haben ihre Verpflichtung nach Satz 5 jedoch auch dann erfüllt, wenn die in der Datenschutzerklärung oder im Impressum einer Partei angegebene Person, die für den Datenschutz beauftragt ist, kontaktiert wird.
5.4.
Sollen personenbezogene Daten im Rahmen einer Löschanfrage der Betroffenen gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.
Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten oder der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen. Zudem informieren sich die Parteien unverzüglich, sofern Bewerber:innen eine erteilte Einwilligung, soweit diese als Rechtsgrundlage der Verarbeitung personenbezogener Daten der Bewerber:innen im Rahmen der gemeinsamen Verantwortlichkeit der Parteien dient, widerrufen.
Die Parteien verpflichten sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den betroffenen Personen gemäß Art. 26 (2) DSGVO zur Verfügung zu stellen.
Beiden Parteien obliegen den aus Art. 33, 34 DSGVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich, soweit möglich, gegenseitig vorab über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.
Ist eine Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.
10.1.
Dokumentationen im Sinne von Art. 5 (2) DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.
10.2.
Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 32 ff. DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den Artikeln 28 (3), 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
12.1.
Die Implementierung, Voreinstellung und der Betrieb der Systeme sind unter Beachtung der Vorgaben der DSGVO und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.
12.2.
Die Parteien treffen geeignete organisatorische und technische Maßnahmen entsprechend den einschlägigen Datenschutzgesetzen, einschließlich der DSGVO und insbesondere deren Art. 32 DSGVO, um die personenbezogenen Daten der Betroffenen und ihre Rechte und Freiheiten unter Berücksichtigung von Implementierungskosten, dem Stand der Technik, Art, Umfang und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos zu schützen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit sind die Parteien zur Wirkungsüberprüfung und entsprechender Anpassung bei Fortschritten nach dem Stand der Technik verpflichtet. Alternative Sicherheitsmaßnahmen sind gestattet, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und der jeweils anderen Partei unverzüglich anzuzeigen.
12.3.
Die im Zuge der Abwicklung der Leistungen auf der meinestadt.de Plattform, bzw. im Kundencenter zu verarbeitenden personenbezogenen Daten werden auf besonders geschützten Servern gespeichert.
13.1.
Die in Anlage 2 zu dieser Anlage aufgelisteten Auftragsverarbeiter erbringen Dienstleistungen im Auftrag der jeweils dort genannten Partei. Die Parteien können Aufträge an weitere Auftragsverarbeiter vergeben und werden der jeweils anderen Partei eine aktualisierte Liste der Auftragsverarbeiter zur Information zukommen lassen, soweit dadurch der Anwendungsbereich dieser Vereinbarung berührt wird.
13.2.
Die Parteien informieren sich gegenseitig über Änderungen von Auftragnehmer, die in den Anwendungsbereich dieser Vereinbarung fallen. Erhebt die andere Partei innerhalb von vier Wochen nach Benachrichtigung Einspruch gegen die Änderung, ist die ändernde Partei verpflichtet, die Dienstleistung ihres Wirkbereichs einzustellen, ohne dass sich hieraus ein Kündigungsrecht des Hauptvertrages ergeben würde. Ein Einspruch gegen eine Änderung kann nur bei Vorliegen wichtiger Gründe erhoben werden, insbesondere, wenn zur Ausführung des Auftrags ein Datentransfer in einen Drittstaat notwendig ist.
13.3.
Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung einen Vertrag nach Art. 28 DSGVO abzuschließen und nur solche Subunternehmer zu beauftragen, die die Anforderungen des Datenschutzrechts und die Festlegungen dieses Vertrages erfüllen. Beauftragt eine Partei einen Auftragsverarbeiter in einem Land außerhalb der EU hat sie für die Einhaltung der gesetzlichen Anforderungen nach Art. 44 ff. DSGVO Sorge zu tragen und erforderlichenfalls zusätzliche Maßnahmen zu ergreifen, damit ein angemessenes Datenschutzniveau gewährleistet werden kann. Kann in dem Drittland ein angemessenes Datenschutzniveau nicht gewährleistet werden, darf eine Übermittlung personenbezogener Daten an den Auftragsverarbeiter in dem Drittland nicht erfolgen.
13.4.
Dienstleistungen, die bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch genommen werden, gelten nicht als Auftragsverarbeiter. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Die Parteien sind jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Überprüfungsmaßnahmen zu ergreifen.
Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.
Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind.
1.1. Beschreibung der Verarbeitung, Art der Daten und betroffene Personen
Soweit die Übertragung von Statusinformationen (auch Qualitätssignale genannt) durch den Kunden an meinestadt.de technisch eingerichtet und möglich ist, wird der Kunde meinestadt.de Informationen zum Bewerbungsstatus der Kandidat:innen übermitteln. Der Kunde stellt meinestadt.de nur die Statusinformationen solcher Kandidat:innen zur Verfügung, die sich beim Kunden über die meinestadt.de Plattform beworben haben und die bei meinestadt.de mit einem Nutzerkonto registriert sind. Statusinformationen sind Informationen zum Bewerbungsstatus von Kandidat:innen beim Kunden. Dies beinhaltet z.B. den Erhalt der Bewerbung, das Öffnen der Bewerbung oder die Ablehnung von Kandidat:innen. meinestadt.de stellt sicher, dass eine datenschutzrechtliche Rechtsgrundlage für die Übertragung und Verarbeitung dieser personenbezogenen Daten von Kandidat:innen vorliegt.
2.2. Umfang der gemeinsamen Verantwortlichkeit
Die Parteien erheben personenbezogene Daten der Bewerber:innen im Rahmen des Bewerbungsprozesses unter Nutzung der meinestadt.de Plattform. Der Kunde übermittelt die Statusinformationen der Kandidat:innen an meinestadt.de, die meinestadt.de wiederum den Kandidat:innen in ihrem Profil anzeigt.
2.3. Wirkbereiche der Parteien
Im Rahmen der gemeinsamen Verantwortlichkeit ist meinestadt.de für die Verarbeitung der personenbezogenen Daten von auf meinestadt.de registrierten Kandidat:innen im Rahmen des Bewerbungsprozesses auf eine Stellenausschreibung des Kunden (Wirkbereich A) zuständig. Konkret ist dies die Anzeige von Statusinformationen im Nutzerprofil der Kandidat:innen, die meinestadt.de vom Kunden übermittelt worden sind. Gegenstand der Verarbeitung, deren Rechtsgrundlage gemäß Art. 6 (1) lit. b DSGVO, sind Informationen zum Bewerbungsstatus der Kandidat:innen.
Der Kunde ist im Rahmen der gemeinsamen Verantwortlichkeit für die Verarbeitung der Statusinformationen von Kandidat:innen im Rahmen des Bewerbungsprozesses (Wirkbereich B) zuständig. Rechtsgrundlage der Übermittlung dieser Statusinformationen ist gemäß Art. 6 (1) lit. b DSGVO der Vertrag zwischen Kunden und meinestadt.de. Gegenstand der Verarbeitung sind die Statusinformationen zum Stand der Bewerbung von Kandidat:innen.
Die im Folgenden aufgelisteten Unterauftragsverarbeiter von der The meinestadt.de Group Deutschland GmbH werden bei Erteilung des Auftrags genehmigt.
The Stepstone Group GmbH, Völklinger Str. 1, 40219 Düsseldorf, Deutschland
Leistungen:
• Hosting and damit verbundene Sicherheitsleistungen
• Back-Up Leistungen
• Kundendienst-Unterstützung zur Fehlerbehebung
• Zur Verfügungtellung einer Web-Application Firewall
The Stepstone Group EMEA GmbH, Völklinger Straße 1, 40219 Düsseldorf, Deutschland
Leistungen:
• Hosting and damit verbundene Sicherheitsleistungen
• Back-Up Leistungen
• Kundendienst-Unterstützung zur Fehlerbehebung
The Stepstone Group Belgium NV., Wolstraat 70 Rue aux Laines, 1000 Brussel, Belgien
Leistungen:
• Hosting and damit verbundene Sicherheitsleistungen
• Back-Up Leistungen
• Kundendienst-Unterstützung und Fehlerbehebung
The Stepstone Group Polska sp. z o.o. Domaniewska 50, 02-672 Warschau, Polen
Leistungen:
• Kundendienst-Unterstützung zur Fehlerbehebung
MongoDB Ltd., Building 2, Number One Ballsbridge, Shelbourne Rd, Ballsbridge
1.1. Zutrittskontrolle:
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, gewährleistet durch:
Die Datencenter haben eine vielschichtige Sicherheitsstruktur. Die Außenbereiche der Datencenter sind durch Hochsicherheitszäune und Mauern ausgestattet. Die Eingänge sind durch Sicherheitspersonal 24 Stunden, sieben Tage die Woche geschützt. Die Anlagen werden mit Sicherheitskameras überwacht. Zugang zu den Serverräumen ist durch Magnetkarten gesichert. Die Anlagen sind in verschlossenen Serverschränken aufbewahrt.
Umfassende Sicherheitsmaßnahmen bestehen auch bei den jeweiligen meinestadt.de-Standorten. Zutritt ist nur mittels Magnetkarten möglich und Besuchern muss speziell Zutritt gewährt werden.
1.2. Zugangskontrolle:
Keine unbefugte Systembenutzung, gewährleistet durch:
Der Kunde kann ausschließlich auf die in seinem Auftrag verarbeiteten Daten zugreifen, nachdem er sich in den Kundenbereich mit dem von ihm definierten Passwort eingeloggt hat. meinestadt.de speichert die Log-In Details ausschließlich in verschlüsselter Form. Der Datenfluss zwischen Nutzern und dem System ist standardmäßig Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird. meinestadt.de hat eine interne Passwortrichtlinie für seine Mitarbeiter, die unter anderem erfordert, dass Passworte mindestens acht Zeichen lang sein und regelmäßig gewechselt werden müssen, nicht identisch oder ähnlich mit dem Benutzernamen sein dürfen,
mindestens drei der vier folgenden Zeichen enthalten müssen: i) Großbuchstaben, ii) Kleinbuchstaben, iii) Ziffern, iv) Symbole.
1.3. Zugriffskontrolle:
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, gewährleistet durch:
Die Zugriffsrechte des Kunden sind streng begrenzt auf die Daten, die tatsächlich im Auftrag des jeweiligen Kunden verarbeitet werden. Nur spezifisch definiertes meinestadt.de- Personal kann auf Daten zugreifen, die im Auftrag des Kunden verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Kunden erforderlich ist. Das System protokolliert sämtliche Vorgänge über Datenverarbeitungen im Auftrag des Kunden.
1.4. Trennungskontrolle:
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, gewährleistet durch:
Das meinestadt.de Kundencenter ist mandantenfähig, so dass jeder einzelne eingeloggte Kunde nur die Daten einsehen kann, die mit seinem Account verbunden sind.
1.5. Pseudonymisierung
Pseudonymisierung (Art. 32 (2) lit. a DSGVO; Art. 25 (1) DSGVO): Ist nicht einschlägig, da der Kunde einen nicht-pseudonymisierten Zugriff auf die Daten benötigt.
2.1.
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, gewährleistet durch: Sämtliche über öffentlich zugängliche Netzwerke gesendete Daten sind Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird
2.2.
Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind, gewährleistet durch: Das meinestadt.de System protokolliert die Aktivitäten eines jeden Log-Ins und Log-Outs sowie jegliche Bearbeitung, Hinzufügung, Veränderung und Löschung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).
3.1.
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, gewährleistet durch:
Antivirusproramme und Firewalls werden eingesetzt. Die Hosting Umgebung ist mit Feuermeldern, Wasserundichtigkeitsdetektoren und erhöhten Böden ausgestattet. Temperatur und Luftfeuchtigkeit werden konstant überwacht, um vordefinierte Werte einzuhalten. Es besteht eine ununterbrochene Stromversorgung von mindestens 72 Stunden.
3.2.
Rasche Wiederherstellbarkeit (Art. 32 (1) lit. c DSGVO), wird gewährleistet durch
• Back-up Prozeduren;
• Ununterbrochene Stromversorgung (USV);
• Getrennte Speicherung;
• Virenschutz und Firewalls;
• Notfallpläne und Krisenpläne;
• Mitarbeiterschulungen;
4.1.
meinestadt.de veranstaltet regelmäßige Prüfungen mit externen Dienstleistern, um seine Datensicherheitsstandards und-prozesse zu prüfen. Network Penetration Tests werden regelmäßig durchgeführt.
4.2.
Wir verfolgen und überprüfen Protokolle auf zwei Ebenen, bevor die entsprechende Anfrage unsere Anwendungsserver erreicht. Dies erfolgt auf einer Firewall und einer Web Application Firewall Ebene. Dadurch können wir sämtliche außergewöhnlichen Anfragen auf Datenbereitstellungsebene an die Datenbank analysieren und sperren, und dadurch SQL injection-Versuche unterbinden. Das System selbst protkolliert fehlerhafte Anmeldeversuche, wenn die Anfrage durch Firewall und WAF erfolgte.
4.3.
Unsere Datenschutzmaßnahmen werden kontinuierlich in einem PDCA-Zyklus überprüft.
Google Chrome
Mozilla Firefox
Microsoft Edge