Datenschutzerklärung

Inhaltsverzeichnis

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Personalturm GmbH
Käthe-Kollwitz-Straße 1
04109 Leipzig
Deutschland

Vertreten durch Geschäftsführer:
Ralph Adrian

Kontakt:
E-Mail: support@personalturm.de
Live-Chat: https://personalturm.de/contact.php

Registereintrag:
Amtsgericht Leipzig, HRB 42466
USt-IdNr.: DE342125379

Datenschutzbeauftragter:
Ralph Adrian
E-Mail: support@personalturm.de

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Rechten als betroffene Person oder zu dieser Datenschutzerklärung können Sie sich jederzeit über die oben genannten Kontaktmöglichkeiten an uns wenden.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Dabei beachten wir folgende Grundsätze:

• • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Wir verarbeiten Ihre Daten nur auf einer Rechtsgrundlage und informieren Sie transparent über die Verarbeitung.
• • Zweckbindung: Wir erheben Daten für festgelegte, eindeutige und legitime Zwecke und verarbeiten sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise.
• • Datenminimierung: Wir verarbeiten nur solche Daten, die für den jeweiligen Zweck erforderlich sind.
• • Richtigkeit: Wir stellen sicher, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
• • Speicherbegrenzung: Wir speichern personenbezogene Daten nur so lange, wie es für den Verarbeitungszweck erforderlich ist.
• • Integrität und Vertraulichkeit: Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff und Verlust zu schützen.

3. Übersicht der Verarbeitungstätigkeiten

Diese Datenschutzerklärung gliedert sich in zwei Hauptbereiche:

Teil A behandelt die Datenverarbeitung auf unserer öffentlichen Website personalturm.de, die sich an alle Besucher und Interessenten richtet.

Teil B behandelt die Datenverarbeitung in unserer Software-as-a-Service (SaaS)-Plattform app.personalturm.de, die sich ausschließlich an registrierte Geschäftskunden (B2B) richtet.

Bitte beachten Sie die für Sie relevanten Abschnitte. Beide Bereiche unterliegen den gleichen datenschutzrechtlichen Grundsätzen, unterscheiden sich jedoch in den konkreten Verarbeitungszwecken und -tätigkeiten.

4. Bereitstellung der Website und Logfiles

Art und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Website werden automatisch Informationen durch Ihren Browser an unseren Server übermittelt und in sogenannten Server-Logfiles gespeichert. Dies umfasst:

• •IP-Adresse des anfragenden Rechners (anonymisiert)
• •Datum und Uhrzeit des Zugriffs
• •Name und URL der abgerufenen Datei
• •Übertragene Datenmenge
• •Meldung über erfolgreichen Abruf
• •Browsertyp und Browserversion
• •Betriebssystem des Nutzers
• •Referrer URL (zuvor besuchte Seite)
• •Provider des Nutzers

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der ordnungsgemäßen Bereitstellung der Website, der Gewährleistung der IT-Sicherheit und der Optimierung unseres Internetangebots.

Speicherdauer

Die Logfile-Daten werden nach 30 Tagen automatisch gelöscht, sofern keine Anhaltspunkte für einen Missbrauch vorliegen.

5. Cloudflare (CDN, DNS, DDoS-Schutz, WAF)

Art und Umfang der Datenverarbeitung

Wir nutzen die Dienste von Cloudflare zur Beschleunigung der Website (Content Delivery Network), zum Schutz vor DDoS-Angriffen, für das DNS-Management und als Web Application Firewall (WAF). Dabei werden folgende Daten durch Cloudflare verarbeitet:

• •IP-Adresse (anonymisiert)
• •Zugriffszeit und -datum
• •Angeforderte Seiten und Dateien
• •Browsertyp und -version
• •Betriebssystem
• •Referrer URL

Dienstanbieter:
Cloudflare Germany GmbH
Weitere Informationen: https://www.cloudflare.com/de-de/privacypolicy/

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Verbesserung der Website-Performance, der Gewährleistung der IT-Sicherheit und dem Schutz vor Cyber-Angriffen.

Auftragsverarbeitung

Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Speicherdauer

Die Speicherdauer richtet sich nach den Vorgaben von Cloudflare. Detaillierte Informationen finden Sie in der Datenschutzerklärung von Cloudflare.

6. Cookies und Tracking-Technologien

Was sind Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Website auf Ihrem Endgerät gespeichert werden. Sie ermöglichen es, bestimmte Informationen zu speichern und bei einem erneuten Besuch abzurufen.

Cookie-Kategorien

Wir verwenden folgende Cookie-Kategorien:

Cookie-Consent-Management

Wir verwenden ein eigenes Cookie-Consent-System, das sicherstellt, dass Marketing-Cookies erst nach Ihrer ausdrücklichen Einwilligung gesetzt werden. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookie-Einstellungen anpassen.

Ihre Einwilligung wird für 12 Monate gespeichert. Nach Ablauf dieser Frist werden Sie erneut um Ihre Einwilligung gebeten.

Verwaltung von Cookies

Sie können Cookies jederzeit in den Einstellungen Ihres Browsers löschen oder die Speicherung von Cookies vollständig deaktivieren. Bitte beachten Sie, dass die Website möglicherweise nicht vollständig funktionsfähig ist, wenn Sie alle Cookies deaktivieren.

7. Google Analytics 4

Art und Umfang der Datenverarbeitung

Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited. Google Analytics verwendet Cookies und andere Tracking-Technologien, um das Nutzerverhalten auf unserer Website zu analysieren. Dabei werden folgende Daten erfasst:

• •IP-Adresse (anonymisiert)
• •Besuchte Seiten und Verweildauer
• •Klicks und Scrolltiefe
• •Browsertyp und -version
• •Betriebssystem und Geräteinformationen
• •Referrer URL
• •Datum und Uhrzeit des Besuchs

Dienstanbieter:
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der Analyse des Nutzerverhaltens zur Optimierung unserer Website und unseres Angebots.

IP-Anonymisierung

Wir haben die IP-Anonymisierung aktiviert. Ihre IP-Adresse wird von Google innerhalb der EU vor der Übermittlung an Server in den USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Google-Server in den USA übertragen und dort gekürzt.

Speicherdauer

Die von Google Analytics gesetzten Cookies werden nach 14 Monaten automatisch gelöscht. Daten auf Ereignisebene werden nach 14 Monaten gelöscht.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Zudem können Sie das Google Analytics Opt-out Browser-Add-on installieren: https://tools.google.com/dlpage/gaoptout

8. Google Tag Manager

Art und Umfang der Datenverarbeitung

Wir verwenden den Google Tag Manager zur zentralen Verwaltung und Implementierung von Website-Tags (z.B. Tracking-Codes, Analyse-Tools, Marketing-Pixel). Der Google Tag Manager selbst setzt keine Cookies und sammelt keine personenbezogenen Daten.

Der Tag Manager dient lediglich als technisches Framework, über das andere Dienste (wie Google Analytics, Facebook Pixel, LinkedIn Insight Tag, etc.) geladen werden. Die Datenverarbeitung erfolgt durch die jeweiligen Dienste, die über den Tag Manager eingebunden sind.

Dienstanbieter:
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland

Rechtsgrundlage

Die Nutzung des Google Tag Managers selbst erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Verwaltung und schneller Implementierung von Website-Tags). Die über den Tag Manager eingebundenen Dienste unterliegen den jeweiligen Rechtsgrundlagen der einzelnen Dienste.

9. Meta Pixel und Conversion API

Art und Umfang der Datenverarbeitung

Wir nutzen das Meta Pixel (Facebook Pixel) und die Facebook Conversions API zur Analyse des Nutzerverhaltens, zur Messung der Wirksamkeit unserer Werbeanzeigen und zur Auslieferung personalisierter Werbung auf Facebook und Instagram. Dabei werden folgende Daten erfasst:

• •IP-Adresse
• •Besuchte Seiten und Verweildauer
• •Button-Klicks und Interaktionen
• •Scrolltiefe und Zeit auf der Website
• •Geräteinformationen und Browser-Daten
• •Referrer URL
• •Facebook-Cookie-ID (falls vorhanden)

Die Facebook Conversions API ermöglicht die direkte, server-seitige Übermittlung von Conversion-Daten an Meta, unabhängig von Browser-basierten Cookies.

Dienstanbieter:
Meta Platforms Ireland Limited
4 Grand Canal Square
Dublin 2, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der Reichweitenmessung, der Analyse der Werbeeffizienz und der Auslieferung zielgerichteter Werbung.

Datenübermittlung in die USA

Meta Platforms Ireland Limited übermittelt Daten an Muttergesellschaften und verbundene Unternehmen in den USA. Diese Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer

Das Meta Pixel setzt Cookies mit einer Laufzeit von bis zu 180 Tagen.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Zudem können Sie interessenbezogene Werbung bei Meta deaktivieren: https://www.facebook.com/settings?tab=ads

10. LinkedIn Insight Tag

Art und Umfang der Datenverarbeitung

Wir nutzen das LinkedIn Insight Tag zur Analyse des Nutzerverhaltens und zur Schaltung zielgerichteter Werbung auf LinkedIn. Dabei werden folgende Daten erfasst:

• •IP-Adresse
• •Besuchte Seiten
• •Zeitstempel des Besuchs
• •Geräteinformationen
• •Referrer URL
• •LinkedIn-Cookie-ID (falls vorhanden)

Dienstanbieter:
LinkedIn Ireland Unlimited Company
Wilton Place
Dublin 2, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der Reichweitenmessung, der Analyse der Werbeeffizienz und der Auslieferung zielgerichteter B2B-Werbung.

Datenübermittlung in die USA

LinkedIn übermittelt Daten an Muttergesellschaften in den USA. Diese Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer

LinkedIn-Cookies werden nach bis zu 180 Tagen gelöscht.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Zudem können Sie personalisierte Werbung bei LinkedIn deaktivieren: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out

11. Reddit Pixel

Art und Umfang der Datenverarbeitung

Wir nutzen das Reddit Pixel zur Analyse des Nutzerverhaltens und zur Schaltung zielgerichteter Werbung auf Reddit. Dabei werden folgende Daten erfasst:

• •IP-Adresse
• •Besuchte Seiten
• •Geräteinformationen
• •Browser-Daten
• •Reddit-Cookie-ID (falls vorhanden)

Dienstanbieter:
Reddit Inc.
303 2nd Street, Suite 500 South
San Francisco, CA 94107, USA

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der Reichweitenmessung und der Auslieferung zielgerichteter Werbung.

Datenübermittlung in die USA

Reddit Inc. ist ein US-amerikanisches Unternehmen. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Wir haben eine Transfer Impact Assessment durchgeführt.

Speicherdauer

Die Speicherdauer richtet sich nach den Vorgaben von Reddit.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.

12. YouTube

Art und Umfang der Datenverarbeitung

Wir binden auf unserer Website Videos der Plattform YouTube ein. Beim Aufruf einer Seite mit eingebettetem YouTube-Video werden folgende Daten an YouTube übermittelt:

• •IP-Adresse
• •Datum und Uhrzeit des Besuchs
• •Aufgerufene Seite
• •YouTube-Cookie-ID (falls vorhanden)

Wir verwenden den erweiterten Datenschutzmodus von YouTube (youtube-nocookie.com), wodurch Cookies erst gesetzt werden, wenn Sie das Video tatsächlich abspielen.

Dienstanbieter:
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der multimedialen Präsentation unserer Inhalte.

Datenübermittlung in die USA

YouTube kann Daten an Google LLC in den USA übermitteln. Diese Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.

13. Google Ads und Retargeting

Art und Umfang der Datenverarbeitung

Wir nutzen Google Ads zur Schaltung von Suchmaschinenwerbung und Display-Anzeigen sowie Retargeting-Funktionen (Remarketing), um Website-Besuchern personalisierte Werbung anzuzeigen. Dabei werden folgende Daten erfasst:

• •IP-Adresse
• •Besuchte Seiten
• •Klicks und Conversions
• •Geräteinformationen
• •Google-Cookie-ID

Dienstanbieter:
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG. Der Zweck liegt in der Schaltung zielgerichteter Werbung und der Messung der Werbeeffizienz.

Conversion-Tracking

Wir nutzen das Google Ads Conversion-Tracking, um zu messen, welche Werbemaßnahmen zu Conversions (z.B. Kontaktaufnahme, Registrierung) führen. Dabei wird ein Cookie gesetzt, das 90 Tage gültig ist.

Datenübermittlung in die USA

Google kann Daten an Google LLC in den USA übermitteln. Diese Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Zudem können Sie personalisierte Werbung bei Google deaktivieren: https://adssettings.google.com

14. Kontaktaufnahme und Live-Chat

Art und Umfang der Datenverarbeitung

Bei Kontaktaufnahme über unser Kontaktformular oder den Live-Chat erfassen wir folgende Daten:

• •Name (freiwillig)
• •E-Mail-Adresse
• •Unternehmen (freiwillig)
• •Nachrichteninhalt
• •Datum und Uhrzeit der Kontaktaufnahme
• •IP-Adresse (für Sicherheitszwecke)

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von:

• •Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung), wenn die Anfrage auf einen möglichen Vertragsschluss abzielt
• •Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für allgemeine Anfragen

Der Zweck liegt in der Bearbeitung Ihrer Anfrage und der Kommunikation mit Ihnen.

Speicherdauer

Ihre Anfrage wird für die Dauer der Bearbeitung und für weitere 6 Monate nach Abschluss der Bearbeitung gespeichert. Bei Vertragsanbahnung oder -abschluss gelten längere Aufbewahrungsfristen gemäß den handels- und steuerrechtlichen Vorgaben.

15. Newsletter und Marketing-Kommunikation

Art und Umfang der Datenverarbeitung

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir folgende Daten:

• •E-Mail-Adresse
• •Name (falls angegeben)
• •Unternehmen (falls angegeben)
• •Zeitpunkt der Anmeldung
• •IP-Adresse zum Zeitpunkt der Anmeldung
• •Öffnungs- und Klickraten (anonymisiert)

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Der Zweck liegt in der Zusendung von Produkt- und Dienstleistungsinformationen, Updates und Sonderaktionen.

Double-Opt-In-Verfahren

Wir verwenden das Double-Opt-In-Verfahren. Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Link, den Sie anklicken müssen, um die Anmeldung abzuschließen. Dies dient dem Nachweis, dass Sie tatsächlich Inhaber der angegebenen E-Mail-Adresse sind.

Versand über SendGrid

Der Newsletter-Versand erfolgt über SendGrid (siehe Abschnitt 22 für Details zum Dienstleister).

Widerruf und Abmeldung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Jeder Newsletter enthält einen Abmeldelink. Alternativ können Sie sich per E-Mail an support@personalturm.de wenden.

Speicherdauer

Ihre Daten werden bis zum Widerruf Ihrer Einwilligung gespeichert und anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

16. Registrierung und Account-Verwaltung

Art und Umfang der Datenverarbeitung

Für die Nutzung unserer Software ist eine Registrierung erforderlich. Dabei verarbeiten wir folgende Daten:

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von:

• •Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der Software und Verwaltung des Nutzeraccounts
• •Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Gewährleistung der IT-Sicherheit und Betrugsprävention

Speicherdauer

Ihre Account-Daten werden für die Dauer des Vertragsverhältnisses und weitere 6 Monate nach Beendigung gespeichert. Nach Account-Löschung erfolgt eine vollständige Löschung nach 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

17. Hosting und Infrastruktur (Microsoft Azure)

Art und Umfang der Datenverarbeitung

Unsere gesamte Software-Infrastruktur wird auf Microsoft Azure in der Region West Europe gehostet. Dies umfasst:

• •Azure SQL Database: Speicherung strukturierter Daten (Nutzer, Unternehmen, Stellenanzeigen)
• •Azure Virtual Machines: Ausführung der Anwendungslogik
• •Azure App Service: Hosting der Webanwendung
• •Azure Cosmos DB (Vector Database): Speicherung von Vektordaten für KI-Funktionen
• •Azure Redis Cache: Zwischenspeicherung für Performance-Optimierung

Alle über unsere Software verarbeiteten personenbezogenen Daten werden ausschließlich auf Servern in der EU (West Europe Region) gespeichert.

Dienstanbieter:
Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown, Dublin 18, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zur Bereitstellung der Software-Infrastruktur.

Auftragsverarbeitung

Mit Microsoft wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Microsoft verarbeitet Daten ausschließlich nach unseren Weisungen.

Datensicherheit

Azure erfüllt höchste Sicherheitsstandards, einschließlich ISO 27001, ISO 27018, SOC 2 und weiterer Zertifizierungen. Daten werden verschlüsselt übertragen (TLS 1.3) und verschlüsselt gespeichert (AES-256).

18. Multiposting-Feature und Jobportale

Art und Umfang der Datenverarbeitung

Unser Multiposting-Feature ermöglicht die gleichzeitige Veröffentlichung von Stellenanzeigen auf über 400 Jobportalen in Deutschland. Dabei werden folgende Daten verarbeitet:

Diese Daten werden an die vom Kunden ausgewählten Jobportale übermittelt (z.B. StepStone, Indeed, Yourfirm, XING, LinkedIn, etc.).

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Zweck liegt in der Veröffentlichung der Stellenanzeigen gemäß den Anweisungen des Kunden.

Verantwortlichkeit

Der Kunde ist als Verantwortlicher im Sinne der DSGVO für den Inhalt der Stellenanzeigen verantwortlich. Wir handeln als technischer Dienstleister, der die Übermittlung der Daten ermöglicht. Die Jobportale sind jeweils eigenständige Verantwortliche für die weitere Verarbeitung der übermittelten Daten.

Der Kunde versichert, dass er über alle erforderlichen Rechte verfügt, um die Daten in den Stellenanzeigen zu verarbeiten und zu veröffentlichen, insbesondere bezüglich eventueller personenbezogener Daten (z.B. Ansprechpartner).

KI-gestützte Textverarbeitung

Wenn der Kunde eine Stellenanzeige per Upload (Word, PDF) einreicht und die KI-gestützte Textextraktion aktiviert, werden die Inhalte durch Large Language Models verarbeitet (siehe Abschnitt 19). Diese Funktion ist opt-in: Der Kunde muss aktiv eine Checkbox aktivieren, um die KI-gestützte Verarbeitung zu nutzen.

Alternative: Der Kunde kann Stellenanzeigen auch per Link einreichen (wenn öffentlich verfügbar) oder manuell eingeben, ohne KI-Verarbeitung.

Speicherdauer

Stellenanzeigen werden für die Dauer der Veröffentlichung und anschließend für 24 Monate zur Dokumentation und für statistische Auswertungen gespeichert. Der Kunde kann Stellenanzeigen jederzeit löschen.

19. KI-gestützte Funktionen und Large Language Models

Überblick

Wir setzen künstliche Intelligenz und Large Language Models (LLMs) für verschiedene Funktionen ein:

• •Automatische Textextraktion und -verarbeitung von Stellenanzeigen
• •KI-gestützter Chat und Support
• •Automatisierung von Workflows
• •Optimierung von Inhalten

Für diese KI-Funktionen nutzen wir verschiedene Anbieter und Modelle, die je nach Anwendungsfall und Leistungsanforderungen rotieren können.

Verwendete KI-Anbieter

Art und Umfang der Datenverarbeitung

Je nach Funktion werden unterschiedliche Daten an die KI-Anbieter übermittelt:

• •Inhalte von Stellenanzeigen (ohne personenbezogene Daten, soweit systemseitig pseudonymisiert)
• •Chat-Nachrichten und Support-Anfragen (ohne personenbezogene Daten, soweit möglich)
• •Technische Metadaten (Zeitstempel, Nutzer-ID pseudonymisiert)

Wichtiger Hinweis: Wir haben unsere Systeme so konzipiert, dass personenbezogene Daten in definierten Datenfeldern automatisch pseudonymisiert oder anonymisiert werden, bevor sie an externe KI-Anbieter übermittelt werden (siehe Abschnitt 25). Wenn Kunden jedoch eigenständig personenbezogene Daten im freien Text eingeben (z.B. im Chat), können diese nicht automatisch erkannt und anonymisiert werden.

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von:

• •Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für vertraglich zugesicherte KI-Funktionen
• •Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale KI-Funktionen (z.B. KI-gestützte Textextraktion bei Upload)

Der Zweck liegt in der Bereitstellung intelligenter Automatisierungsfunktionen und der Verbesserung der Benutzererfahrung.

Auftragsverarbeitung und Datenschutzgarantien

Mit OpenAI und Anthropic werden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen. Für die Datenübermittlung in die USA werden Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO verwendet. Wir haben Transfer Impact Assessments (TIA) durchgeführt und entsprechende Schutzmaßnahmen implementiert.

Keine Nutzung für Modelltraining

Wir schließen eine Zusammenarbeit mit KI-Anbietern aus, die Kundendaten für das Training ihrer Modelle verwenden. Die von uns genutzten Dienste gewährleisten, dass Daten nicht für das Modelltraining verwendet werden.

Speicherdauer

Die Verarbeitung erfolgt in Echtzeit. KI-Anbieter speichern Daten nur für die Dauer der Verarbeitung (in der Regel wenige Sekunden). Langfristige Speicherung erfolgt ausschließlich in unseren eigenen Systemen (Azure).

20. Chat und Support-System

Art und Umfang der Datenverarbeitung

Unser Chat- und Support-System ist KI-gestützt. Dabei werden folgende Daten verarbeitet:

• •Chat-Nachrichten und Anfragen
• •Nutzer-ID (pseudonymisiert)
• •Zeitstempel
• •Geräte- und Browser-Informationen
• •Anhänge (falls vom Kunden hochgeladen)

Hinweis bei Chat-Start

Bei jedem neuen Chat-Gespräch wird ein deutlicher Hinweis angezeigt, dass der Chat KI-gestützt funktioniert und keine personenbezogenen Daten eingegeben werden sollten. Dieser Hinweis muss vom Nutzer zur Kenntnis genommen werden.

KI-Verarbeitung

Chat-Nachrichten werden durch Large Language Models (OpenAI, Anthropic oder andere) verarbeitet, um Anfragen zu beantworten und Support zu leisten. Die Verarbeitung erfolgt in Echtzeit. Die KI-Anbieter speichern keine Chat-Inhalte für Trainingszwecke.

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung von Support) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenbetreuung).

Speicherung von Chat-Verläufen

Chat-Verläufe werden in unseren Systemen gespeichert, damit Kunden diese jederzeit nachvollziehen können. Kunden können archivierte Chats in ihrem Account einsehen.

Speicherdauer:

• •Für die Dauer des Vertragsverhältnisses plus 6 Monate
• •Nach Account-Löschung: 30 Tage, dann vollständige Löschung

Löschung einzelner Chats

Kunden können jederzeit die Löschung einzelner Chat-Verläufe verlangen, indem sie uns per E-Mail (support@personalturm.de) oder über den Chat kontaktieren. Die Löschung erfolgt innerhalb eines Monats nach Anfrage.

21. PostHog Analytics

Art und Umfang der Datenverarbeitung

Wir nutzen PostHog, eine Open-Source-Analytics-Plattform, zur Analyse der Nutzung unserer Software. Dabei werden folgende Daten erfasst:

• •Nutzer-ID (pseudonymisiert)
• •Besuchte Seiten und Funktionen
• •Klicks und Interaktionen
• •Verweildauer
• •Feature-Nutzung
• •Technische Daten (Browser, Betriebssystem, Gerät)
• •Session-Informationen

Dienstanbieter:
PostHog Inc. (EU Cloud)
Daten werden auf Servern in der EU gehostet.

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Analyse der Softwarenutzung zur Optimierung der Benutzererfahrung und zur Weiterentwicklung der Software.

Auftragsverarbeitung

Mit PostHog wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Speicherdauer

Analytics-Daten werden für 24 Monate gespeichert, danach automatisch gelöscht.

Widerspruch

Kunden können die Analytics-Erfassung in ihren Account-Einstellungen deaktivieren.

22. E-Mail-Versand über SendGrid

Art und Umfang der Datenverarbeitung

Für den Versand von E-Mails (Benachrichtigungen, Rechnungen, Support-Kommunikation, Marketing) nutzen wir SendGrid. Dabei werden folgende Daten verarbeitet:

• •E-Mail-Adressen der Empfänger
• •Name des Empfängers
• •E-Mail-Inhalt
• •Versandzeitpunkt
• •Zustellstatus (geöffnet, geklickt, etc.)

Dienstanbieter:
Twilio Ireland Limited (SendGrid)
3 Dublin Landings
Dublin 1, Irland
(EU-Hosting)

Rechtsgrundlage und Zweck

• •Transaktionale E-Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• •Marketing-E-Mails: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Einstellungen und Abmeldung

Kunden können in ihren Account-Einstellungen festlegen, welche Benachrichtigungen sie erhalten möchten. Marketing-E-Mails können jederzeit über den Abmeldelink in der E-Mail oder in den Account-Einstellungen deaktiviert werden.

Auftragsverarbeitung

Mit SendGrid wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Speicherdauer

E-Mail-Versanddaten werden bei SendGrid für 30 Tage gespeichert, danach automatisch gelöscht.

23. Zahlungsabwicklung über Stripe

Art und Umfang der Datenverarbeitung

Für die Abwicklung von Zahlungen nutzen wir Stripe. Dabei werden folgende Daten verarbeitet:

• •Name und Adresse des Rechnungsempfängers
• •E-Mail-Adresse
• •Zahlungsdaten (Kreditkarten-, Bankdaten)
• •Transaktionsdaten
• •IP-Adresse zum Zeitpunkt der Zahlung

Die Zahlungsdaten (Kreditkartennummern, Bankdaten) werden ausschließlich von Stripe verarbeitet und gespeichert. Wir haben zu keinem Zeitpunkt Zugriff auf vollständige Zahlungsdaten.

Dienstanbieter:
Stripe Payments Europe, Limited
1 Grand Canal Street Lower
Grand Canal Dock, Dublin, Irland

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zur Abwicklung von Zahlungen.

Auftragsverarbeitung

Mit Stripe wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Speicherdauer

Transaktionsdaten werden gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen für 10 Jahre gespeichert.

24. Langsmith für AI-Feature-Management

Art und Umfang der Datenverarbeitung

Wir nutzen Langsmith zur Verwaltung, Evaluierung und Optimierung unserer KI-Workflows. Dabei werden folgende Daten verarbeitet:

• •KI-Prompts und Antworten
• •Performance-Metriken der KI-Modelle
• •Fehlerprotokolle
• •Technische Metadaten

Wichtiger Hinweis: Alle KI-Workflows werden ohne personenbezogene Daten konzipiert. Systemseitig werden personenbezogene Daten pseudonymisiert, bevor sie an KI-Systeme übermittelt werden. Wenn Kunden jedoch eigenständig personenbezogene Daten im freien Text eingeben (z.B. im Chat), können diese nicht automatisch erkannt und anonymisiert werden.

Dienstanbieter:
LangSmith (LangChain Inc.)
EU-Hosting

Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der kontinuierlichen Verbesserung und Optimierung der KI-Funktionen.

Auftragsverarbeitung

Mit Langsmith wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Speicherdauer

KI-Workflow-Daten werden für Evaluationszwecke für 12 Monate gespeichert, danach automatisch gelöscht.

25. Pseudonymisierung und Anonymisierung

Systematische Pseudonymisierung

Wir haben unsere Software so konzipiert, dass personenbezogene Daten in definierten Datenfeldern automatisch pseudonymisiert oder anonymisiert werden, bevor sie an externe Systeme (insbesondere KI-Anbieter) übermittelt werden.

Open-Source-Modelle für Pseudonymisierung

Für die Pseudonymisierung nutzen wir speziell trainierte Open-Source-Modelle, die wir selbst auf Azure hosten. Diese Modelle erkennen personenbezogene Daten in Textdokumenten und ersetzen sie durch Platzhalter oder pseudonyme Werte.

Grenzen der automatischen Pseudonymisierung

Die automatische Pseudonymisierung funktioniert nur für strukturierte Datenfelder und erkennbare Muster. Wenn Nutzer eigenständig personenbezogene Daten in freien Textfeldern (z.B. Chat, Freitextbeschreibungen) eingeben, können diese nicht automatisch erkannt und pseudonymisiert werden.

Rechtsgrundlage

Die Pseudonymisierung erfolgt als technische und organisatorische Maßnahme gemäß Art. 25 und Art. 32 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen).

26. Datensicherheit und technische Maßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Zerstörung zu schützen:

Verschlüsselung

• •Übertragungsverschlüsselung: Alle Datenübertragungen erfolgen über TLS 1.3
• •Speicherverschlüsselung: Datenbanken werden mit AES-256-Verschlüsselung gespeichert
• •Passwörter: Passwörter werden mit modernen Hashing-Verfahren (bcrypt) gespeichert

Zugriffskontrolle

• •Rollenbasierte Berechtigungen: Nutzer erhalten nur Zugriff auf die für ihre Rolle erforderlichen Daten
• •Multi-Faktor-Authentifizierung (MFA): Verfügbar für alle Nutzer
• •Protokollierung: Alle Zugriffe und Änderungen werden protokolliert

Infrastruktursicherheit

• •Azure Enterprise Security: Nutzung von Azure-Sicherheitsfunktionen auf Enterprise-Level
• •Netzwerksicherheit: Firewalls, Intrusion Detection, DDoS-Schutz
• •Regelmäßige Sicherheitsupdates: Automatische Updates für alle Systemkomponenten

Backup und Disaster Recovery

• •Automatische Backups: Tägliche Backups aller Datenbanken
• •Redundanz: Daten werden redundant gespeichert
• •Disaster-Recovery-Plan: Dokumentierte Prozesse für den Notfall

Datenschutz-Zertifizierungen

Unsere Hosting-Infrastruktur (Azure) erfüllt internationale Standards:

• •ISO 27001 (Informationssicherheit)
• •ISO 27018 (Datenschutz in der Cloud)
• •SOC 2 Type II
• •DSGVO-Konformität

Interne Prozesse

• •Zugriffsbeschränkung: Nur autorisierte Mitarbeiter haben Zugriff auf personenbezogene Daten
• •Vertraulichkeitsverpflichtungen: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
• •Regelmäßige Schulungen: Datenschutzschulungen für alle Mitarbeiter
• •Datenschutz-Folgenabschätzung: Bei neuen Funktionen mit hohem Risiko

27. Ihre Rechte als betroffene Person

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Dies umfasst insbesondere Informationen über:

• •die Verarbeitungszwecke
• •die Kategorien der verarbeiteten Daten
• •die Empfänger oder Kategorien von Empfängern
• •die geplante Speicherdauer
• •das Bestehen weiterer Rechte
• •die Herkunft der Daten
• •das Bestehen einer automatisierten Entscheidungsfindung

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der folgenden Gründe zutrifft:

• •Die Daten sind für die Zwecke nicht mehr notwendig
• •Sie widerrufen Ihre Einwilligung und es gibt keine andere Rechtsgrundlage
• •Sie legen Widerspruch ein und es liegen keine vorrangigen Gründe für die Verarbeitung vor
• •Die Daten wurden unrechtmäßig verarbeitet
• •Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist:

• •zur Erfüllung einer rechtlichen Verpflichtung
• •zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

• •die Richtigkeit der Daten von Ihnen bestritten wird
• •die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen
• •wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen
• •Sie Widerspruch eingelegt haben und noch nicht feststeht, ob unsere Interessen überwiegen

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln, sofern:

• •die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht
• •die Verarbeitung mithilfe automatisierter Verfahren erfolgt

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Bei Widerspruch gegen die Verarbeitung für Direktwerbung werden die Daten nicht mehr für diese Zwecke verarbeitet.

Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Sächsischer Datenschutzbeauftragter
Devrientstraße 1
01067 Dresden
Telefon: 0351 85471-101
E-Mail: saechsdsb@slt.sachsen.de
Website: https://www.saechsdsb.de

Ausübung Ihrer Rechte

Um Ihre Rechte auszuüben, können Sie uns jederzeit kontaktieren:

• •Per E-Mail: support@personalturm.de
• •Per Live-Chat: https://personalturm.de/contact.php
• •Per Post: Personalturm GmbH, Käthe-Kollwitz-Straße 1, 04109 Leipzig

Wir werden Ihre Anfrage innerhalb eines Monats nach Eingang bearbeiten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie informieren würden.

Zur Identifikation können wir Sie bitten, einen Nachweis Ihrer Identität zu erbringen.

28. Datenübermittlung in Drittländer

Grundsatz

Wir verarbeiten Ihre Daten vorrangig innerhalb der Europäischen Union. In einigen Fällen erfolgt eine Übermittlung in Drittländer (außerhalb der EU/EWR), insbesondere in die USA.

Übermittlung in die USA

Folgende Dienstleister verarbeiten Daten in den USA:

Transfer Impact Assessment

Wir haben für alle Datenübermittlungen in die USA Transfer Impact Assessments (TIA) durchgeführt und dabei insbesondere geprüft:

• •Das Rechtssystem und die Zugriffsmöglichkeiten von Behörden im Zielland
• •Die vertraglichen Garantien und deren Durchsetzbarkeit
• •Die technischen und organisatorischen Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)
• •Die konkreten Risiken für die betroffenen Personen

Auf Basis dieser Bewertung haben wir entschieden, dass die Datenübermittlung mit angemessenen Garantien erfolgt.

Einsicht in Garantien

Sie können eine Kopie der Standardvertragsklauseln anfordern, indem Sie uns unter support@personalturm.de kontaktieren.

Schutzmaßnahmen

Um den Schutz Ihrer Daten auch bei Drittlandübermittlungen zu gewährleisten, setzen wir folgende Maßnahmen um:

• •Pseudonymisierung: Personenbezogene Daten werden, soweit systemseitig möglich, vor der Übermittlung pseudonymisiert
• •Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.3)
• •Minimierung: Es werden nur die für den jeweiligen Zweck notwendigen Daten übermittelt
• •Vertragliche Garantien: Auftragsverarbeitungsverträge mit strengen Datenschutzverpflichtungen

Weitere Informationen

Eine Kopie der Standardvertragsklauseln sowie weitere Informationen zu den getroffenen Schutzmaßnahmen können Sie jederzeit per E-Mail an support@personalturm.de anfordern.

29. Speicherdauer und Löschung

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Allgemeine Speicherfristen

Website-Daten:

• •Logfiles: 30 Tage
• •Cookie-Einwilligung: 12 Monate
• •Kontaktanfragen: 6 Monate nach Abschluss der Bearbeitung
• •Newsletter: Bis zum Widerruf der Einwilligung

Software/SaaS-Plattform:

• •Account-Daten: Für die Dauer des Vertragsverhältnisses + 6 Monate
• •Stellenanzeigen: 24 Monate nach Veröffentlichung
• •Chat-Verläufe: Für die Dauer des Vertragsverhältnisses + 6 Monate
• •Rechnungsdaten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten)
• •Analytics-Daten (PostHog): 24 Monate

Löschung nach Vertragsende

Bei Beendigung des Vertragsverhältnisses:

• •Downgrade auf kostenlosen Account: Daten bleiben erhalten
• •Vollständige Account-Löschung auf Kundenwunsch: Löschung innerhalb von 30 Tagen nach Beendigung

Ausnahme: Daten, die aufgrund gesetzlicher Aufbewahrungspflichten (z.B. Rechnungen) länger gespeichert werden müssen, werden bis zum Ablauf der Aufbewahrungsfrist aufbewahrt und anschließend gelöscht.

Automatische Löschung

Wir haben automatisierte Löschprozesse implementiert, die sicherstellen, dass Daten nach Ablauf der Speicherfrist automatisch gelöscht werden.

30. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage, technische Entwicklungen oder Änderungen unserer Dienste anzupassen.

Die jeweils aktuelle Fassung ist unter https://personalturm.de/datenschutz abrufbar.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail oder durch einen Hinweis in der Software informieren.

Stand dieser Datenschutzerklärung: März 2025