1. Verantwortlicher
Die FanSpaces GmbH als Betreiber der Plattform Best-Places-to-Work-in-Germany legt großen Wert auf den Schutz und die Vertraulichkeit Ihrer Daten. Die Erhebung und Verwendung personenbezogener Daten erfolgt ausschließlich im Rahmen der geltenden Datenschutzbestimmungen. Nachfolgend informieren wir Sie darüber, welche personenbezogenen Daten wir zu welchen Zwecken verarbeiten. Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:FanSpaces GmbH
Projekt: Best-Places-to-Work
Schloßstr. 19
82031 Grünwald
Deutschland
Datenschutzkontakt: datenschutz@best-places-to-work.com
Sie haben ferner ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Für die FanSpaces GmbH ist in der Regel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig. Eine Übersicht über die Aufsichtsbehörden finden Sie hier: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html
2. Erhebung und Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten, wenn Sie unsere Website besuchen, sich registrieren, sich bewerben oder unsere Dienste nutzen. Je nach Nutzungsszenario verarbeiten wir insbesondere folgende Datenkategorien:– Bewerber*innen: z. B. Name, E-Mail-Adresse, Telefonnummer, Profil-/Bewerbungsdaten, Kommunikationsinhalte.
– Unternehmen: z. B. Unternehmensname und -adresse, Ansprechpartner, E-Mail-Adresse, Vertrags- und Abrechnungsdaten, Angaben über Unternehmensprozesse, Angaben über Mitarbeiter, soweit diese rechtlich für die Bereitstellung der Services entsprechend der internen Datenschutzbestimmungen des Unternehmens zur Verfügung gestellt werden dürfen. Falls notwendig wird mit den Unternehmen eine separate Vereinbarung zur Auftragsverarbeitung erstellt.
– Technische Daten: z. B. IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeiten, Protokolldaten (Server-Logs).
Zwecke und Rechtsgrundlagen der Verarbeitung sind insbesondere:
– Bereitstellung von Recruiting-Videos auf Basis des Inputs von Unternehmenskunden
– Betrieb von KI-Assistenten für Unternehmen
– Bereitstellung der Websites/Plattform (www.best-places-to-work.com; ai.best-places-to-work.com, Vertriebswebsites, Jobpages der Kunden), IT-Sicherheit und Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO).
– Registrierung, Nutzerverwaltung und Bereitstellung der Funktionen (Art. 6 Abs. 1 lit. b DSGVO)
– Bearbeitung von Anfragen und Kommunikation (Art. 6 Abs. 1 lit. b oder lit. f DSGVO).
– Analyse/Statistik und Komfortfunktionen (soweit eingesetzt: Art. 6 Abs. 1 lit. a DSGVO über Cookie-Consent).
Eine Pflicht zur Bereitstellung personenbezogener Daten besteht grundsätzlich nicht. Ohne bestimmte Angaben können jedoch einzelne Funktionen (z. B. Registrierung oder kontextrelevante Antworten von KI-Assistenten) nicht genutzt werden. Automatisierte Entscheidungen im Sinne des Art. 22 DSGVO (einschließlich Profiling mit rechtlicher Wirkung) finden grundsätzlich nicht statt.
3. Cookies und Drittanbieter-Dienste
Wir nutzen auf unseren Webseiten (einschließlich unserer Subdomains) Cookies und ähnliche Technologien, um die Nutzung der Website zu ermöglichen, zu verbessern und bestimmte Funktionen bereitzuweisen. Welche Cookies und Technologien eingesetzt werden und wofür, können Sie über unser Cookie-Consent-Banner (Einwilligungsbanner) individuell steuern. Eine Deaktivierung von notwendigen Cookies kann die Funktionalität der Website einschränken. Die in unserem Consent-Banner verwendeten Cookies und Technologien lassen sich in folgende Kategorien unterteilen:– Notwendige Cookies: Diese helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TDDDG.
– Präferenz-Cookies: Sie ermöglichen einer Webseite, sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region, in der Sie sich befinden. Die Verarbeitung erfolgt nur bei Erteilung Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
– Statistik-Cookies: Diese helfen uns zu verstehen, wie Besucher mit den Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden. Die Verarbeitung erfolgt nur bei Erteilung Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
– Marketing-Cookies: Sie werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind. Die Verarbeitung erfolgt nur bei Erteilung Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
– Nicht klassifizierte Cookies: Dies sind Cookies, die wir gerade versuchen zu klassifizieren, zusammen mit Anbietern von individuellen Cookies.
Aktuell eingesetzter Consent-Dienst: Wir nutzen derzeit den Dienst Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark) zur Einholung und Dokumentation Ihrer Einwilligung. Die Cookie-Erklärungen wurden zuletzt am 23.05.2026 (für die Kundenseiten) bzw. am 30.05.2026 (für die Hauptdomain) aktualisiert. Rechtsgrundlage: Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
Hinweis zum bevorstehenden Systemwechsel: Wir stellen unser Cookie-Management in Kürze auf den Dienst CCM19 (CCM19 GmbH, Tannenweg 11, 53757 Sankt Augustin, Deutschland) um. Hierbei handelt es sich um eine serverseitige Cookie-Consent-Lösung, bei der die Daten zur Einwilligung direkt auf unseren Servern bzw. in unserer Infrastruktur verarbeitet werden, was den Datenschutz und die Datensparsamkeit weiter optimiert.
Eingesetzte Google-Dienste und andere Drittanbieter:
Wir setzen – je nach Ihrer Auswahl im Cookie-Consent – insbesondere Dienste der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) sowie weiterer Drittanbieter ein:
– Google Fonts: Darstellung von Schriftarten zur einheitlichen und ansprechenden Anzeige unserer Online-Angebote. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien und visuell optimierten Darstellung der Webseite).
– Google Translate: Automatische Übersetzung von Inhalten, um unsere Services international zugänglich zu machen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der internationalen Barrierefreiheit unserer Inhalte).
– Google Analytics: Reichweitenmessung und statistische Analyse des Nutzerverhaltens zur Optimierung unseres Angebots. Rechtsgrundlage: Nur mit Ihrer ausdrücklichen Einwilligung über das Consent-Banner (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen auf unserer Website widerrufen. Drittlandtransfer: Im Rahmen der Nutzung von Google Analytics können Daten an die Konzernmutter Google LLC mit Sitz in den USA übertragen werden. Grundlage dieses Drittlandtransfers sind die EU-Standardvertragsklauseln sowie der Angemessenheitsbeschluss zum EU-US Data Privacy Framework. Mehr Informationen zum Datenschutz bei Google: https://policies.google.com/privacy?hl=de
– Google reCAPTCHA & anstehender Wechsel zu TrustComponent: Zum Schutz vor Bots, Spam und missbräuchlichen Eingaben (z. B. in Kontaktformularen oder Registrierungen) nutzen wir aktuell den Dienst Google reCAPTCHA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Webseiten und dem Schutz vor automatisierten Angriffen). Wichtiger Hinweis: Zur Stärkung des Datenschutzes und zur Reduzierung von Datenübertragungen an Drittstaaten stellen wir diesen Schutzdienst in Kürze auf das Captcha von TrustComponent (Tratson GmbH, Schweiz / trustcomponent.com) um. Dieser Dienst ermöglicht eine DSGVO-konforme Bot-Erkennung, die ohne den Einsatz von Tracking-Cookies auskommt und die Privatsphäre der Nutzer schützt. Zukünftige Rechtsgrundlage nach umstellung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gewährleistung der IT-Sicherheit). Mehr Informationen: https://policies.google.com/privacy?hl=de
4. Registrierung, Bewerbungsprozess und Datenweitergabe an Unternehmen
Für die Nutzung unserer Plattform über die reine Betrachtung von Video-Stellenausschreibungen hinaus ist eine Registrierung erforderlich. Die dabei erhobenen Daten verwenden wir zur Bereitstellung unserer Dienste und zur Kommunikation mit Ihnen. Wenn Unternehmen sich auf der Plattform registrieren, werden die von den Unternehmen eingegebenen Daten zur Bereitstellung der hier beschriebenen Services genutzt. Wenn Bewerber*innen sich über die Plattform bei einem Unternehmen bewerben, werden die im Bewerbungsprozess bereitgestellten Daten an das jeweils ausgewählte Unternehmen übermittelt. Das Unternehmen verarbeitet diese Daten regelmäßig als eigenständig Verantwortlicher im Sinne der DSGVO. Für die weitere Verarbeitung durch das Unternehmen gelten dessen Datenschutzhinweise.5. Video-Recruiting Services
Für Recruiting- und Employer Branding Zwecke erstellen wir KI-generierte Videos, die optional auf Wunsch des Unternehmens auf Basis von Fotos von Angestellten des Unternehmens oder Dritten Personen erstellt werden. Das Unternehmen sichert bei Bereitstellung von Fotos die uneingeschränkten Nutzungsrechte zu. Die Erstellung der KI-generierten Videos erfolgt unter Nutzung von Diensten der Google Cloud sowie spezialisierter KI-Videoplattformen (insbesondere HeyGen). Die Erstellung erfolgt ausschließlich mit Personen, die in diese spezifische Verarbeitung zuvor schriftlich und ausdrücklich eingewilligt haben.– Verarbeitete Daten: Bild- und Videoaufnahmen des Gesichts, Stimmaufnahmen, biometrische Merkmale (Gesichts- und Stimmmerkmale als besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO) sowie die hieraus generierten KI-Inhalte.
– Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 26 Abs. 2 BDSG (ausdrückliche, freiwillige Einwilligung im Beschäftigungsverhältnis) sowie Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten). Die Einwilligungen liegen schriftlich vor und können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO); aus einer Verweigerung oder einem Widerruf entstehen den betroffenen Mitarbeitern keinerlei dienstrechtliche Nachteile.
– Auftragsverarbeitung und Drittlandtransfer:
• Google Cloud: Die KI-gestützte Video-Erzeugung erfolgt durch Google Cloud EMEA Limited, Irland, auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO (Google Cloud Data Processing Addendum). Die Konzernmutter Google LLC hat ihren Sitz in den USA.
• HeyGen: Die Erstellung und Bearbeitung der KI-Avatare und -Videos erfolgt zudem über die Plattform HeyGen (eingetragen als Smart Labs Inc., 12180 Millennium Dr, Suite 300, Los Angeles, CA 90094, USA). Mit dem Anbieter wurde ein datenschutzkonformer Auftragsverarbeitungsvertrag (AVV) geschlossen.
• Sicherheiten für den US-Transfer: Für beide US-Dienstleister gelten ergänzend die EU-Standardvertragsklauseln (SCCs) sowie das EU-US Data Privacy Framework (sofern zertifiziert) als Absicherung für den Datentransfer in ein Drittland. Ein Transfer Impact Assessment (TIA) wurde durchgeführt.
– Kein Modelltraining mit Ihren Daten:
• Seitens der Google Cloud wird in der jeweils aktuellen vertraglichen Fassung ausgeschlossen, dass die eingegebenen Bild- und Tonaufnahmen sowie die generierten Inhalte zum Training der Google-Basismodelle oder zur Verbesserung der Dienste verwendet werden.
• Bezüglich des Dienstes HeyGen wurde von unserem datenschutzrechtlichen Widerspruchsrecht (Opt-out) per E-Mail Gebrauch gemacht. Damit ist vertraglich sichergestellt und durch den Anbieter bestätigt, dass sämtliche eingegebenen Daten (Texte, Skripte, Bild- und Stimmaufnahmen) sowie die finalen Videoinhalte von jeglichem KI-Modelltraining oder KI-Dienstverbesserungen des Anbieters ausgeschlossen sind.
– Speicherdauer: Originale Eingabeaufnahmen werden nach erfolgreicher Generierung unverzüglich, spätestens nach 30 Tagen, gelöscht. Generierte Videoinhalte werden für den jeweiligen Verwendungszweck, längstens jedoch 3 Monate danach, gespeichert. Bei Widerruf der Einwilligung erfolgt die unverzügliche Einstellung der weiteren Verwendung; bereits verteilte Inhalte werden, soweit technisch möglich, zurückgezogen oder entfernt.
– Kennzeichnungspflicht (EU AI Act): Die von uns erstellten Videos enthalten alle eine Kennzeichnung nach dem EU AI Act. Die mit KI generierten Videoinhalte enthalten realistische Darstellungen natürlicher Personen und werden gemäß Art. 50 Abs. 4 EU AI Act sichtbar als künstlich erzeugte Inhalte gekennzeichnet.
6. KI-Assistant Services
Dieser Abschnitt der Datenschutzhinweise informiert über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der KI-gestützten Assistenten, wie am Beispiel „Maria“ erläutert.a. Beschreibung von „Maria“ als Ergänzung bestehender HR-Kanäle
„Maria“ ist ein KI-gestützter HR-Assistent, der Mitarbeiter und Bewerber bei personalbezogenen Anfragen unterstützt. Maria ergänzt die bestehenden HR-Kanäle Ihres Arbeitgebers (HR-Portal, persönlicher Kontakt zur Personalabteilung, ggf. interne Kommunikationssysteme) und ersetzt diese nicht. Sämtliche HR-Leistungen bleiben über die bisherigen Stammkanäle unverändert zugänglich. Das System arbeitet nach einem hybriden Modell: Anfragen werden zunächst durch ein Sprachmodell (KI) vorverarbeitet. Bei komplexen Sachverhalten übernehmen autorisierte Mitarbeiter der Personalabteilung den Dialog manuell. Jeder Übergang zwischen KI und Mensch ist für den Nutzer eindeutig erkennbar.
b. Nutzung der WhatsApp Business API
Sofern die Kommunikation mit „Maria“ über WhatsApp erfolgt, gelten folgende Bestimmungen:
• Verarbeitete Daten: Telefonnummer, WhatsApp-Profilname, Profilbild sowie die Chat-Inhalte.
• Dienstanbieter: WhatsApp Ireland Limited (Irland/EU). Die Nachrichten werden über die offizielle WhatsApp Business API direkt in unsere geschützte Cloud-Umgebung geleitet.
• Ende-zu-Ende-Verschlüsselung: Die Übertragung zwischen Endgerät und WhatsApp-Schnittstelle ist Ende-zu-Ende verschlüsselt. WhatsApp verarbeitet zugehörige Metadaten gemäß eigenen Richtlinien.
Freiwilligkeit der WhatsApp-Nutzung: Die Nutzung von WhatsApp ist eine zusätzliche, freiwillige Komfortoption. Sie erhalten Zugang zu sämtlichen HR-Leistungen unverändert über die bestehenden Kanäle Ihres Arbeitgebers. Aus der Entscheidung, WhatsApp nicht zu nutzen, entstehen Ihnen keinerlei Nachteile bei der Bearbeitung Ihrer HR-Anliegen. Sie können Ihre Einwilligung in die WhatsApp-Nutzung jederzeit mit Wirkung für die Zukunft widerrufen, etwa per E-Mail an datenschutz@best-places-to-work.com. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt (Art. 7 Abs. 3 DSGVO).
c. Art der verarbeiteten Daten
Folgende Datenkategorien werden verarbeitet:
• Inhaltsdaten: Texteingaben, Fragen und hochgeladene Dokumente.
• Metadaten: Zeitstempel, Session-IDs, bei WhatsApp zusätzlich Telefonnummer und Profilbild.
• Stammdaten: Informationen aus angebundenen HR-Systemen (z.B. Bewerberstatus, Urlaubsansprüche).
• Interaktionsverlauf: Protokollierung der Antworten durch die KI und durch HR-Mitarbeiter.
Soweit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden (z.B. Gesundheitsdaten im Rahmen von Krankmeldungen, Religionszugehörigkeit für die Lohnabrechnung, ggf. Gewerkschaftszugehörigkeit), erfolgt dies auf Grundlage von Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG.
d. Zwecke und Rechtsgrundlagen der Verarbeitung
Die Verarbeitung dient der Bearbeitung personalbezogener Anfragen, dem Bewerbermanagement, der internen HR-Kommunikation sowie der Qualitätssicherung des Assistenten.
Rechtsgrundlagen:
• Art. 88 DSGVO i.V.m. § 26 BDSG: Datenverarbeitung im Beschäftigungkontext.
• Art. 6 Abs. 1 lit. b DSGVO: Vorvertragliche Maßnahmen und Vertragserfüllung (insbesondere Bewerbungsverfahren).
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse an effizienter HR-Kommunikation.
• Art. 6 Abs. 1 lit. a DSGVO: Freiwillige Einwilligung (insbesondere Nutzung von WhatsApp).
• Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG: Verarbeitung besonderer Datenkategorien.
e. Keine automatisierte Entscheidungsfindung
Gemäß Art. 22 DSGVO findet keine rein automatisierte Entscheidungsfindung statt. Maria trifft keine personalrelevanten Entscheidungen. Alle Entscheidungen werden ausschließlich durch Menschen getroffen; die KI dient ausschließlich der Vorverarbeitung und Informationsbereitstellung („Human-in-the-Loop“). Aufgrund dieser Architektur ist das System nicht als Hochrisiko-KI-System im Sinne von Anhang III des EU AI Act einzuordnen, da keine eigenständigen Entscheidungen über Beschäftigte getroffen werden.
f. Technische Sicherheit und Datenarchitektur
Das System „Maria“ wird in einer geschützten Cloud-Infrastruktur in der AWS-Region eu-central-1 (Frankfurt am Main) betrieben. Für die KI-gestützte Sprachverarbeitung kommt eine von zwei alternativen Konfigurationen zum Einsatz. Welche Konfiguration konkret eingesetzt wird, teilen wir Ihnen auf Anfrage mit; die nachfolgenden Datenschutzgarantien gelten in beiden Konfigurationen identisch.
Konfiguration A — Managed LLM (Amazon Bedrock): Bei dieser Konfiguration nutzen wir Amazon Bedrock im Modus On-Demand bzw. Provisioned Throughput in der Region Frankfurt mit aktiviertem Cross-Region-Inference-Opt-out, sodass Anfragen die EU-Region nicht verlassen. Bedrock wird ausschließlich über VPC-Endpoints (AWS PrivateLink) angesprochen; es erfolgt kein Datenverkehr über das öffentliche Internet. Eingesetzt werden Sprachmodelle der jeweiligen Anbieter (z.B. Anthropic Claude). Es ist gemäß den AWS Bedrock Service Terms vertraglich ausgeschlossen, dass Ihre Eingabedaten oder Modellantworten zum Training der Basismodelle verwendet werden. Die Datenschutzzusagen der jeweiligen Modellanbieter (z.B. Anthropic GDPR DPA) gelten ergänzend.
Konfiguration B — Selbst gehostetes Open-Source-Sprachmodell (Ollama): Bei dieser Konfiguration betreiben wir ein Open-Source-Sprachmodell (z.B. Llama oder Mistral in der jeweils aktuellen Version) auf eigenen, dedizierten Amazon-EC2-Instanzen mit Ollama in einer abgeschotteten Virtual Private Cloud (VPC) in der Region Frankfurt. Es erfolgt keine Übermittlung von Daten an externe Inferenz-APIs (kein OpenAI, kein Anthropic, kein externer Cloud-LLM-Service). Das Modell ist statisch und wird nicht mit Ihren Eingaben weitertrainiert; Modellaktualisierungen erfolgen ausschließlich durch geprüfte Aktualisierung der eingesetzten Modellversion.
Gemeinsame technische Sicherheitsmerkmale (gelten in beiden Konfigurationen):
• Vektordatenbank (RAG): Qdrant-Vektordatenbank auf einer eigenen EC2-Instanz in der Region Frankfurt zur semantischen Suche in internen HR-Richtlinien.
• Datenspeicherung: Chat-Historie und Stammdaten in Amazon RDS (MySQL) in der Region Frankfurt mit Multi-AZ-Verfügbarkeit.
• Verschlüsselung: at-rest mit AES-256 über AWS Key Management Service (Customer Managed Key); in-transit mit TLS 1.2 oder höher.
• Netzwerkisolation: Verarbeitung erfolgt innerhalb einer dedizierten Virtual Private Cloud (VPC); kein Datenverkehr über das öffentliche Internet, soweit technisch vermeidbar.
• Zertifizierungen: Die zugrunde liegende AWS-Infrastruktur ist nach ISO 27001, ISO 27017, ISO 27018, BSI C5 sowie SOC 1/2/3 zertifiziert.
Hinweis zum US-Bezug (Drittlandtransfer): Die gesamte Verarbeitung erfolgt physisch in der EU-Region (Frankfurt). Vertragspartner ist Amazon Web Services EMEA SARL mit Sitz in Luxemburg; die Konzernmutter Amazon.com, Inc. hat ihren Sitz in den USA. Für die Verarbeitung gilt ergänzend das AWS Data Processing Addendum in der jeweils aktuellen Fassung sowie die EU-Standardvertragsklauseln. Eine Transfer Impact Assessment (TIA) wurde durchgeführt; ergänzend findet der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Juli 2023) Anwendung.
g. Human-in-the-Loop
Chat-Verläufe werden in einer gesicherten Datenbank gespeichert, um eine lückenlose Bearbeitung zu ermöglichen. Autorisierte HR-Mitarbeiter haben über ein rollenbasiertes Zugriffskonzept (RBAC) Zugriff auf die für ihre Aufgabe erforderlichen Daten. Die Übernahme eines Chats durch einen menschlichen Mitarbeiter wird für den Nutzer eindeutig gekennzeichnet.
7. Zahlungsabwicklung über Stripe
Die Plattform ist für Bewerber*innen kostenfrei. Unternehmen können Pakete buchen. Zur Abwicklung von Zahlungen nutzen wir den Dienstleister Stripe Payments Europe, Ltd. Stripe verarbeitet Zahlungsdaten (z. B. Kreditkartendaten und weitere Zahlungsinformationen). Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Mehr Informationen: https://stripe.com/de/privacy8. Kommunikation über WhatsApp (META API)
Einige Video-Stellenanzeigen verfügen über einen QR-Code, den Sie mit Ihrem Mobiltelefon scannen können. Anschließend erhalten Sie nach Absenden einer WhatsApp-Nachricht weitere Informationen. Diese Kommunikation wird über die WhatsApp Business API (Meta Platforms Ireland Limited) bereitgestellt. Die Nutzung erfolgt nur, wenn Sie die Kommunikation initiieren, und beruht auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Mehr Informationen: https://www.whatsapp.com/legal/business-terms, https://www.whatsapp.com/legal/business-data-processing-terms, https://www.whatsapp.com/legal/business-data-transfer-addendum9. Empfänger, Auftragsverarbeiter und Drittlandübermittlungen
Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragsdurchführung erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Empfänger können insbesondere sein:– Amazon Web Services EMEA SARL (Luxemburg) — Betrieb der Cloud-Infrastruktur in der Region Frankfurt. AWS Data Processing Addendum, EU-Standardvertragsklauseln und EU-US Data Privacy Framework gelten ergänzend.
– Unternehmen, bei denen sich Bewerber*innen bewerben (siehe Abschnitt 4).
– Zahlungsdienstleister (Stripe).
– IT- und Hosting-Dienstleister sowie Anbieter von Sicherheits-/Analysefunktionen (z. B. Google; siehe Abschnitt 3).
– Kommunikationsdienstleister (WhatsApp/Meta; siehe Abschnitt 6).
– Dienstleister zur Erstellung von KI-Videos/Avataren (z. B. HeyGen), sofern im Rahmen der Leistungserbringung eingesetzt.
– Kombo GmbH, Berlin — Schnittstellentechnologie zur Synchronisation mit HR-Systemen. Datenübermittlung beschränkt auf das notwendige Minimum.
Bei Amazon Web Services kommen in der Bedrock-Konfiguration zusätzlich die jeweiligen Modellanbieter (z.B. Anthropic PBC) als Unterauftragsverarbeiter hinzu; deren Datenschutzzusagen gelten über die AWS Bedrock Service Terms. Über Änderungen der Unterauftragsverarbeiter werden wir gemäß den jeweiligen DPAs informiert. Eine vollständige und aktuelle Übersicht der Unterauftragsverarbeiter stellen wir auf Anfrage zur Verfügung. Soweit Anbieter Daten auch außerhalb der EU/des EWR verarbeiten oder darauf zugreifen können (z. B. in den USA), erfolgt dies nur unter Beachtung der DSGVO, insbesondere auf Grundlage geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses, sofern verfügbar.
10. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Vertrags- und Abrechnungsdaten werden insbesondere entsprechend handels- und steuerrechtlicher Vorgaben aufbewahrt. Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt oder gesetzliche Aufbewahrungsfristen abgelaufen sind. Konkret:• Bewerberdaten im Falle einer Absage: 6 Monate nach Abschluss des Bewerbungsverfahrens (zur Abwehr von Ansprüchen aus dem AGG). Aufnahme in einen Talentpool ausschließlich mit ausdrücklicher Einwilligung.
• Beschäftigtendaten: Im Rahmen gesetzlicher Aufbewahrungspflichten — insbesondere 6 bzw. 10 Jahre nach HGB/AO für steuer- und handelsrechtlich relevante Daten, sonst regelmäßig 3 Jahre nach Beendigung des Beschäftigungsverhältnisses.
• Chat-Historie / Maria-Interaktionen: 90 Tage nach letzter Aktivität, soweit nicht für laufende Vorgänge oder gesetzliche Pflichten erforderlich.
• Systemlogs: 30 Tage; sicherheitsrelevante Logs 90 Tage.
• Backups: Verschlüsselt; rollierende Aufbewahrung bis zu 30 Tage, anschließend automatische Löschung.
11. Ihre Rechte
Sie haben das Recht auf:• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflicht entgegensteht.
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO).
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO).
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), insbesondere im Bundesland Ihres gewöhnlichen Aufenthaltsorts oder unseres Sitzes.
Für die Ausübung Ihrer Rechte wenden Sie sich an die unter Punkt 1 genannte Stelle.
12. Transparenz, Datenschutz-Folgenabschätzung und Änderungen
Nutzer werden bei Interaktionsbeginn mit KI-Assistenten über den Einsatz von KI informiert. Die Übernahme eines Chats durch einen menschlichen Mitarbeiter wird eindeutig gekennzeichnet. Für die mit dem Einsatz von KI-Assistenten verbundenen Verarbeitungstätigkeiten wurde eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt und dokumentiert. Diese Datenschutzerklärung kann angepasst werden, z. B. bei Änderungen der Rechtslage oder unserer Dienste. Die aktuelle Version ist jederzeit auf dieser Website verfügbar und mit Versionsdatum versehen.Stand: Juni 2026