Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist der im Impressum genannte Anbieter (nachfolgend „PHE"). Kontakt für Datenschutzanliegen: die im Impressum genannte E-Mail-Adresse.

2. Welche Daten wir verarbeiten

• Unternehmenskund:innen: Name, geschäftliche E-Mail, Firmenzugehörigkeit, Zugangsdaten sowie Stellenanzeigen.
• Kandidat:innen: Name, E-Mail, Telefon, Adresse, Lebenslauf, Qualifikationen, Gehaltsvorstellung und Verfügbarkeit. Kandidat:innen werden von Recruitern angelegt; ein eigener Login besteht nicht.
• Protokolldaten: datenschutzrelevante Aktionen (Audit-Log), technische Server-Logs.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung der Plattform und Vertragserfüllung gegenüber Unternehmenskund:innen — Art. 6 Abs. 1 lit. b DSGVO.
• Anonymes, regelbasiertes Matching von Profilen auf Stellen — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Personalvermittlung).
• Freigabe von Klardaten einer Kandidatin / eines Kandidaten an ein Unternehmen — ausschließlich nach ausdrücklicher Einwilligung der betroffenen Person, Art. 6 Abs. 1 lit. a DSGVO.

4. Anonymität und Einwilligung

Profile von Kandidat:innen werden Unternehmen zunächst ausschließlich anonymisiert angezeigt (ohne Name und Kontaktdaten). Bekundet ein Unternehmen Interesse, erhält die betroffene Person einen einmaligen, zeitlich befristeten Freigabe-Link per E-Mail. Erst nach aktiver Zustimmung werden Name und Lebenslauf für dieses eine Unternehmen sichtbar. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

5. Auftragsverarbeiter und Sub-Dienstleister

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge (Art. 28 DSGVO) bestehen:

• Supabase — Datenbank-Hosting (Region EU).
• Vercel — Anwendungs-Hosting (Region Frankfurt, EU).
• Resend — Versand von Transaktions-E-Mails.
• OpenAI — automatisierte Text-Extraktion aus hochgeladenen Lebensläufen und Stellenanzeigen. Hierbei werden die betreffenden Dokumentinhalte an OpenAI übermittelt. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungs- vertrags; es findet eine Übermittlung in die USA statt (siehe Abschnitt 6).

6. Übermittlung in Drittländer

Im Rahmen der KI-gestützten Text-Extraktion (OpenAI) werden personenbezogene Daten in die USA übermittelt. Die Übermittlung wird durch geeignete Garantien abgesichert (EU-Standardvertragsklauseln bzw. Zertifizierung nach dem EU-US Data Privacy Framework). Eine Kopie der Garantien kann über die im Impressum genannte Kontaktadresse angefordert werden.

7. Sicherheit

Kontaktdaten von Kandidat:innen (Name, E-Mail, Telefon, Adresse) werden mit AES-256-GCM verschlüsselt gespeichert. Der Zugriff ist durch rollenbasierte Zugriffskontrolle auf Datenbankebene (Row Level Security) und einen verschlüsselten Transport (TLS) abgesichert.

8. Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind oder eine betroffene Person die Löschung verlangt. Löschanträge nach Art. 17 DSGVO werden innerhalb von 30 Tagen bearbeitet, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie auf Widerspruch (Art. 21). Erteilte Einwilligungen können Sie jederzeit widerrufen. Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde. Zur Ausübung genügt eine formlose Nachricht an die im Impressum genannte Adresse.