Datenschutzerklärungen

Datenschutzerklärung für die Corporate-Website#

HirebotIQ GmbH#

Version: 6.7.2 Gültig ab: 05.05.2026 Status: Public Version – zur Veröffentlichung freigegeben.

1. ALLGEMEINE INFORMATIONEN#

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten durch die HirebotIQ GmbH (nachfolgend „wir“ oder „HirebotIQ GmbH“) im Rahmen der Nutzung unserer Corporate-Website (hirebotiq.com) gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Verantwortlicher im Sinne der DSGVO:

HirebotIQ GmbH gesetzlich vertreten durch die Geschäftsführerin Viola Jonas Hahner Straße 47 52159 Roetgen Deutschland E-Mail: datenschutz@hirebotiq.com

Viola Jonas, CEO E-Mail: datenschutz@hirebotiq.com

Datenschutzkontakt / operative Datenschutzverantwortung: Ein formaler Datenschutzbeauftragter ist derzeit nicht benannt. Die operative Datenschutzverantwortung liegt bei der Geschäftsführung. Die Benennungspflicht wird regelmäßig und anlassbezogen geprüft, insbesondere bei DSFA-pflichtigen Verarbeitungsvorgängen, neuen KI-/Recruiting-Funktionen, wesentlicher Ausweitung der Datenverarbeitung oder Erreichen relevanter gesetzlicher Schwellenwerte.

2. RECHTSGRUNDLAGEN DER VERARBEITUNG#

Wir verarbeiten personenbezogene Daten nur auf Basis einer Rechtsgrundlage gemäß Art. 6 DSGVO:

3. DATENVERARBEITUNG AUF DER CORPORATE-WEBSITE#

Im Folgenden listen wir alle eingesetzten Tools und Dienstleister im Detail auf, die im Rahmen unserer Corporate-Website und der damit verbundenen Unternehmensprozesse personenbezogene Daten verarbeiten.

3.1 Hosting und Infrastruktur#

Hetzner Online GmbH#

Zweck: Bereitstellung von Datenbankdiensten für Formulare, Terminbuchungen, Newsletter, Bewertungen und Calculator-Anwendungen.

Verarbeitete Daten: Name, E-Mail, Telefon, Firma, Betreff, Nachricht, Besuchertyp, Slot-Datum, Source-Tracking, Rating, Kommentar, Stadtname, Qualifikationsgruppe, Job-Titel, Gehälter, Stunden, Industrie, Region, OpenID, Login-Methode, Session-Cookie.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) für Kontaktformulare, Terminbuchungen, Newsletter (bei Einwilligung), Bewertungen (bei Einwilligung), Calculator-Anwendungen (bei Login); Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an effizienter Datenhaltung und Bereitstellung von Funktionen).

Speicherdauer: Variabel, je nach Zweck (z.B. bis Anfragebearbeitung + 6 Monate, bis Terminabschluss + 6 Monate, bis Widerruf + 12 Monate Nachweisaufbewahrung, bis Account-Löschung).

Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

IONOS SE#

Zweck: Hosting der Website, E-Mail-Hosting, Domain-Management.

Verarbeitete Daten: Server-Logs, E-Mails, Domain-Daten, IP-Adressen.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung der Website).

Speicherdauer: IP-Adressen und Logfiles in der Regel 7 Tage.

Empfänger: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

3.2 Consent Management#

Cookies & Datenschutz-Einstellungen (Consent Modal)#

Titel: Cookies & Datenschutz-Einstellungen

Beschreibung: Notwendige Cookies (Login, Sicherheit, Sprache) brauchen wir, damit die Anwendung funktioniert — dafür ist keine Zustimmung erforderlich. Optionale Produkt-Analytik, Performance-Messung und aggregierte Clickmaps aktivieren wir nur, wenn du zustimmst. Details, Rechtsgrundlagen und jederzeitiger Widerruf unter "Einstellungen". Diese Auswahl betrifft nur Cookies in dieser Anwendung — Einwilligungen rund um Bewerbung, Matching oder Profil-Sichtbarkeit fragen wir an anderer Stelle separat ab.

Einstellungen (Preferences Modal)#

Notwendig#

Auth-Tokens (Login), OIDC-/PKCE-State (SSO-Sicherheit) sowie UI-Präferenzen (Theme, Sprache, Sidebar-Status). Diese Cookies sind für den Betrieb der Anwendung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich). Keine Zustimmung nötig, kein Opt-Out möglich.

Trennung von anderen Einwilligungen#

Diese Cookie-Auswahl ist getrennt von:

der Einwilligung zur Bewerbung, Profil-Sichtbarkeit oder Matching-Verarbeitung (separater Consent-Flow im Bewerbungs- bzw. Profil-Bereich; rechtlich bei besonderen Kategorien personenbezogener Daten zusätzlich auf Art. 9 DSGVO gestützt);

der Einwilligung zur dauerhaften Speicherung deiner Calculator-Szenarien an deinem Account ("Schicht 3"-Consent — Speicher-Einwilligung für Calculator-Szenarien; eigener Flow im Calculator-Bereich). Eine Änderung dieser Cookie-Auswahl beeinflusst diese anderen Einwilligungen nicht; ein Widerruf der jeweils anderen Einwilligungen beeinflusst diese Cookie-Auswahl nicht.

Widerruf#

Du kannst diese Einstellungen jederzeit über "Cookie-Einstellungen" im Profil-Menü oder auf der Datenschutzseite ändern. Ein Widerruf wirkt für die Zukunft; bereits gespeicherte Audit-Einträge bleiben aus Nachweisgründen erhalten.

3.3 Webanalyse, Marketing und Social Media#

Aktueller Einsatzstatus externer Marketing- und Trackingdienste#

Auf der Corporate-Website werden nach aktuellem Zielstand keine externen Marketing-Pixel wie Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, Google Analytics 4, Microsoft Clarity oder Metricool aktiv geladen.

Eine Aktivierung solcher Dienste erfolgt nur nach vorheriger technischer Consent-Konfiguration, Aktualisierung dieser Datenschutzerklärung, Anbieter-/Transferprüfung und Ablage der entsprechenden Nachweise im Evidence Pack. Nicht technisch erforderliche Cookies, Pixel, Local Storage, Session-Replay- oder Trackingdienste werden nur nach Einwilligung aktiviert.

Self-hosted Analytics, Web-Vitals und aggregierte Clickmaps#

Zweck: Reichweitenmessung, technische Qualitätsmessung, Verbesserung der Bedienbarkeit und Auswertung, welche Inhalte und Call-to-Actions auf der Corporate-Website funktionieren.

Verarbeitete Daten: Seitenpfad ohne Querystring, technische Browser-/Viewport-Klasse, aggregierte Klickpositionen in groben Prozent-Buckets, Scrolltiefe, Web-Vitals-Metriken, Zeitstempel und Consent-Status. Formularinhalte, Eingabefelder, Login-/Admin-Bereiche, Legal-Detailseiten, Roh-IP-Adressen und vollständige Referrer werden nicht für Clickmaps gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 TDDDG, soweit Endgerätezugriffe betroffen sind.

Speicherdauer: Aggregierte Clickmap-Buckets maximal 90 Tage; Consent-Nachweise gemäß Consent-Retention-Konzept.

Empfänger: Eigene Infrastruktur auf Hetzner; Umami und interne Landing-Monitoring-Endpunkte.

Drittlandtransfer: Nein.

Externe Unternehmensprofile und Social-Media-Kommunikation#

Hirebotiq kann Unternehmensprofile bei LinkedIn, Facebook, Instagram oder vergleichbaren Plattformen betreiben. Wenn Sie diese Profile besuchen oder dort mit uns interagieren, verarbeitet der jeweilige Plattformbetreiber personenbezogene Daten in eigener oder gemeinsamer Verantwortlichkeit nach seinen eigenen Datenschutzhinweisen. Hirebotiq verarbeitet in diesem Zusammenhang insbesondere Profilnamen, Nachrichteninhalte, Kommentare, Reaktionen und Kommunikationsdaten, soweit dies für Unternehmenskommunikation, Bewerberkommunikation oder Kundenkommunikation erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Außenkommunikation, Recruiting-Kommunikation und Kundenkommunikation); bei werblicher Kommunikation oder Custom-Audience-Funktionen nur nach gesonderter Einwilligung, soweit erforderlich.

Drittlandtransfer: Je nach Plattform möglich; Anbieter- und Transfernachweise werden im Vendor-/Evidence-Register geführt.

rrweb Replay (Self-hosted, optional)#

Zweck: Fehleranalyse und Verbesserung der Bedienbarkeit durch Session-Replay nach ausdrücklicher Replay-Einwilligung.

Verarbeitete Daten: Interaktionsereignisse einschließlich Mausbewegungen, Scrolls, Klicks, DOM-/Layout-Zuständen, technischen Browserdaten und pseudonymisierter Replay-ID. Eingabefelder werden vollständig maskiert; Formulare, Login-/Admin-Bereiche, Legal-Detailseiten und als personenbezogen markierte Bereiche werden blockiert oder maskiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 TDDDG, soweit Endgerätezugriffe betroffen sind.

Speicherdauer: Maximal 30 Tage; abgelaufene Replay-Sitzungen werden im Monitoring-Stack täglich automatisiert gelöscht.

Empfänger: Eigener Replay-Endpoint auf Hetzner-Infrastruktur (VITE_REPLAY_ENDPOINT).

Drittlandtransfer: Nein.

Lokale Webfonts (Outfit + Inter)#

Zweck: Bereitstellung von Schriftarten zur einheitlichen und ansprechenden Darstellung unserer Website.

Verarbeitete Daten: Keine Datenübermittlung an Google Fonts im Zielbetrieb; Schriftarten werden lokal aus /fonts/*.woff2 ausgeliefert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer optimierten und einheitlichen Darstellung unseres Webauftritts).

Speicherdauer: Keine gesonderte Speicherung durch einen externen Font-Anbieter.

Empfänger: Keine externen Empfänger für Fonts.

Drittlandtransfer: Nein.

3.4 Terminplanung und Kommunikation#

Calendly LLC#

Zweck: Online-Terminplanung

Verarbeitete Daten: Name, E-Mail-Adresse, Termindaten.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

Speicherdauer: Bis zur Löschung des Accounts oder auf Anfrage.

Empfänger: Calendly LLC, 271 17th St NW, Ste 1000, Atlanta, Georgia 30363, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Zoom Video Communications, Inc.#

Zweck: Durchführung von Videokonferenzen und Online-Meetings.

Verarbeitete Daten: Kommunikationsinhalte, Metadaten, Name, E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse).

Speicherdauer: Für die Dauer der Kommunikation.

Empfänger: Zoom Video Communications, Inc., 55 Almaden Blvd, Suite 600, San Jose, CA 95113, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

3.5 CRM, Sales und Automatisierung#

HubSpot, Inc.#

Zweck: Customer Relationship Management (CRM), Lead-Verwaltung

Verarbeitete Daten: Kundendaten, Lead-Daten, E-Mails, Kontaktdaten.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Kundenverwaltung) oder Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Löschung auf Anfrage oder Wegfall des Zwecks.

Empfänger: HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Instantly Software#

Zweck: E-Mail-Outreach und Kampagnenmanagement.

Verarbeitete Daten: Geschäfts-Kontaktdaten, E-Mail-Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an B2B-Direktmarketing).

Speicherdauer: Für die Dauer der Kampagne.

Empfänger: Instantly Software (USA).

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Make.com (Integromat) (Make Technologies s.r.o.)#

Zweck: Automatisierung von Workflows und Datentransfers zwischen verschiedenen Systemen, insbesondere für die Verarbeitung von Kontaktanfragen, Terminbuchungen und Newsletter-Anmeldungen.

Verarbeitete Daten: Je nach Workflow: Name, E-Mail, Telefon, Firma, Betreff, Nachricht, Besuchertyp, Slot-Datum, Source-Tracking, Rating, Kommentar, Stadtname, Qualifikationsgruppe, Job-Titel, Gehälter, Stunden, Industrie, Region, OpenID, Login-Methode, Session-Cookie.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) für Kontaktanfragen, Terminbuchungen, Newsletter (bei Einwilligung); Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an effizienter Prozessautomatisierung).

Speicherdauer: Variabel, je nach Workflow-Konfiguration und Zweckbindung

Empfänger: Make Technologies s.r.o., Doudlebská 1699/5, 140 00 Prag 4, Tschechische Republik.

Drittlandtransfer: Nein, Verarbeitung findet in der Tschechischen Republik (EU) statt.

Apollo.io Inc.#

Zweck: B2B-Lead-Recherche, Datenanreicherung

Verarbeitete Daten: Geschäfts-Kontaktdaten, LinkedIn-Profile.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an B2B-Akquise).

Speicherdauer: Bis zum Widerspruch.

Empfänger: Apollo.io Inc., 535 Mission St, Suite 1100, San Francisco, CA 94105, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Cognism Ltd.#

Zweck: B2B-Lead-Generierung

Verarbeitete Daten: Geschäfts-Kontaktdaten, Firmen-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an B2B-Akquise).

Speicherdauer: Bis zum Widerspruch.

Empfänger: Cognism Ltd., 5-7 Buck Street, London, NW1 8NJ, UK.

Drittlandtransfer: Ja (UK / USA). Abgesichert durch Angemessenheitsbeschluss (UK) und SCCs (USA).

Clay Labs Inc.#

Zweck: Datenanreicherung, Sales-Automatisierung

Verarbeitete Daten: Geschäfts-Kontaktdaten, Firmen-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an B2B-Akquise).

Speicherdauer: Bis zum Widerspruch.

Empfänger: Clay Labs Inc., 130 5th Ave, New York, NY 10011, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Kaspr (A ZoomInfo Company)#

Zweck: Kontaktdaten-Extraktion (z.B. via LinkedIn).

Verarbeitete Daten: Geschäfts-Kontaktdaten, LinkedIn-Profile.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an B2B-Akquise).

Speicherdauer: Bis zum Widerspruch.

Empfänger: Kaspr (A ZoomInfo Company), 100 W 33rd St, New York, NY 10001, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

3.6 Interne Tools und sonstige Dienste#

Kununu GmbH#

Zweck: Bereitstellung von Bewertungsfunktionen und Reputationsmanagement.

Verarbeitete Daten: Name, Kommentar, Rating

Rechtsgrundlage: Art. 6 Abs. 1 a) DSGVO (Einwilligung).

Speicherdauer: Bis Widerruf.

Empfänger: Kununu GmbH, Neutorgasse 4-8, 1010 Wien, Österreich.

Drittlandtransfer: Nein, Verarbeitung in der EU.

Bundesagentur für Arbeit Statistik-API#

Zweck: Bereitstellung von Marktinformationen für Besucher (Salary-Calculator-Anzeige).

Verarbeitete Daten: Stadtname, Qualifikationsgruppe (keine PII).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Bereitstellung von Marktinformationen).

Speicherdauer: API-Cache 24 Stunden.

Empfänger: Bundesagentur für Arbeit, Nürnberg, Deutschland.

Drittlandtransfer: Nein, Verarbeitung in Deutschland (EU)..

OpenAI L.L.C.#

Zweck: Filterung von RSS-Feed-Inhalten für die News-Kuration.

Verarbeitete Daten: RSS-Feed-Inhalte (keine PII).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Bereitstellung relevanter Brancheninformationen).

Speicherdauer: News-Lebenszyklus.

Empfänger: OpenAI L.L.C., 3180 18th St, San Francisco, CA 94110, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs) und Data Privacy Framework (DPF).

Authentik OIDC (Self-hosted)#

Zweck: Identity-Provider, OIDC-SSO für Admin-Login.

Verarbeitete Daten: OpenID, Login-Methode, Session-Cookie.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) für die Bereitstellung des Zugangs; Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Sicherstellung der IT-Sicherheit).

Speicherdauer: Bis Logout + 30 Tage.

Empfänger: Authentik OIDC (Self-hosted auf Hetzner).

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

RSS-Quellen#

Zweck: Bereitstellung von Branchenneuigkeiten für die News-Kuration.

Verarbeitete Daten: RSS-Feed-Inhalte (keine PII).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Bereitstellung relevanter Brancheninformationen).

Speicherdauer: News-Lebenszyklus.

Empfänger: BMAS, GVP, BAG, Mindestlohn-Kommission.

Drittlandtransfer: Nein, Verarbeitung in Deutschland (EU)..

3.7 Bildungs- und Community-Angebote#

Video- und Community-Dienste#

YouTube-, Vimeo-, Discord- oder Circle-Funktionen werden auf der Corporate-Website nicht als aktive Drittanbieter-Embeds geladen, sofern dies nicht ausdrücklich im jeweiligen Bereich angezeigt und über die Consent-Konfiguration freigegeben wird. Soweit Inhalte nur verlinkt werden, erfolgt eine Datenverarbeitung durch den jeweiligen Anbieter erst beim Aufruf der externen Plattform.

Bei einer künftigen Einbettung von Videos oder Community-Funktionen werden die betroffenen Dienste bei Aktivierung in der Consent-Konfiguration, dieser Datenschutzerklärung und im Vendor-/Evidence-Register ergänzt. Nicht technisch erforderliche Einbindungen erfolgen nur nach Einwilligung.

4. IHRE RECHTE ALS BETROFFENE PERSON#

Sie haben jederzeit das Recht auf:

Auskunft (Art. 15 DSGVO)

Berichtigung (Art. 16 DSGVO)

Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Datenübertragbarkeit (Art. 20 DSGVO)

Widerspruch (Art. 21 DSGVO)

Um Ihre Rechte geltend zu machen, kontaktieren Sie uns bitte unter den oben genannten Kontaktdaten. Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Gültig ab: 05. Mai 2026 Nächste Überprüfung: 05. November 2026

Datenschutzerklärung für die SaaS-App#

HirebotIQ GmbH#

Version: 6.7.4 Gültig ab: 05.05.2026 Status: Public Version – zur Veröffentlichung freigegeben.

1. ALLGEMEINE INFORMATIONEN#

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten durch die HirebotIQ GmbH (nachfolgend „wir“ oder „HirebotIQ GmbH“) im Rahmen der Nutzung unserer SaaS-App gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1.1 Rollenverteilung: Verantwortlicher und Auftragsverarbeiter (Controller/Processor Split)#

Für die Datenverarbeitung im Rahmen der Nutzung der SaaS-App ist der jeweilige Plattformkunde der HirebotIQ GmbH der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die HirebotIQ GmbH agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO und verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden. Der Kunde ist als Verantwortlicher für die Festlegung der Rechtsgrundlagen, Zwecke und Speicherdauern der Datenverarbeitung verantwortlich.

Wichtiger Hinweis: Die HirebotIQ GmbH ist nicht der Verantwortliche für die Datenverarbeitung der Bewerberdaten, die Sie als Kunde über die SaaS-App verarbeiten. Wir sind ausschließlich Ihr Auftragsverarbeiter.

1.2 Hinweis zu automatisierten Einzelfallentscheidungen (Art. 22 DSGVO)#

Die Nova Matching Engine ist als Entscheidungsunterstützungssystem mit menschlicher Letztentscheidung konzipiert. Der präsentierte Matching-Score wird deterministisch anhand festgelegter Kriterien berechnet. KI-/LLM-Komponenten können unterstützend zur Strukturierung von Lebenslaufinformationen, zur Erzeugung erklärender Hinweise (z. B. reasonCodes/riskCodes) sowie zur Vorstrukturierung von Sub-Dimensionen für die deterministische Aggregation eingesetzt werden, ersetzen aber keine menschliche Bewertung. Eine ausschließlich automatisierte Auswahl oder Ablehnung findet nicht statt. Aufgrund des Recruiting-Kontexts ist die AI-Act-Klassifikation dokumentiert und wird bei wesentlichen Änderungen erneut überprüft.

1.3 Nova Matching Engine Logik#

Die Nova Matching Engine ist ein zentraler Bestandteil unserer Plattform. Sie dient der automatisierten Analyse und dem Abgleich von Bewerberprofilen mit Stellenanforderungen. Dabei werden folgende Schritte durchlaufen:

CV-Ingestion: LLM-basiertes Parsing von Bewerber-Lebensläufen (Volltexte mit PII).

Anonymisierungs-Step: Pseudonymisierung des Dossiers vor LLM-Matching-Steps.

Matching-Score-Berechnung: Deterministische, regelbasierte Aggregation aus 6 Dimensionen, wobei einige Sub-Dimensionen durch LLM-basierte Vorstrukturierung beeinflusst sein können. Kein LLM-Anteil im finalen präsentierten Score.

LLM-Evaluation-Step (intern): Generiert reasonCodes, riskCodes, erklärende Hinweise. LLM (Vertex EU) verarbeitet anonymisierte Daten.

Pipeline-Reihenfolge: Anonymisierung VOR LLM-Verarbeitung.

1.4 Verantwortliche Stelle (HirebotIQ GmbH als Auftragsverarbeiter)#

HirebotIQ GmbH Hahner Straße 47 52159 Roetgen Deutschland Gesetzliche Vertretung: Viola Jonas, Geschäftsführerin / CEO

Operative Datenschutzkoordination: Viola Jonas, CEO E-Mail: datenschutz@hirebotiq.com

Formaler Datenschutzbeauftragter: Derzeit nicht benannt.

2. RECHTSGRUNDLAGEN DER VERARBEITUNG#

Die Verarbeitung personenbezogener Daten durch die HirebotIQ GmbH als Auftragsverarbeiter erfolgt auf Basis eines Auftragsverarbeitungsvertrages (AVV) mit dem jeweiligen Plattformkunden. Die Rechtsgrundlagen für die Verarbeitung werden vom Plattformkunden als Verantwortlichem festgelegt und sind in dessen Datenschutzerklärung oder im AVV dokumentiert. Hirebotiq verarbeitet Daten auf Basis der Weisungen des Kunden, die sich in der Regel auf folgende Rechtsgrundlagen stützen:

3. DATENVERARBEITUNG INNERHALB DER SAAS-APP DURCH HIREBOTIQ ALS AUFTRAGSVERARBEITER#

Die HirebotIQ GmbH verarbeitet im Rahmen des Betriebs der SaaS-App verschiedene Kategorien personenbezogener Daten im Auftrag ihrer Kunden. Die genauen Zwecke, Datenkategorien und Rechtsgrundlagen werden vom jeweiligen Kunden als Verantwortlichem definiert. Im Folgenden listen wir alle eingesetzten Tools und Dienstleister im Detail auf, die im Rahmen der SaaS-App personenbezogene Daten verarbeiten.

3.1 Hosting und Infrastruktur#

Hetzner Online GmbH#

Zweck: Hosting der Hirebotiq App (Bare Metal, Cloud).

Verarbeitete Daten: Alle Daten der Hirebotiq App, Entwicklungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden) und Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an einer sicheren und stabilen App-Bereitstellung).

Speicherdauer: Gemäß Weisung des Kunden und gesetzlicher Aufbewahrungsfristen.

Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

Scaleway SAS#

Zweck: S3-kompatibler Upload-/Objekt-Storage für Plattform-Uploads, Anhänge und CV-Dateien.

Verarbeitete Daten: Uploads/Anhänge, CV-Dateien und zugehörige Objekt-Metadaten; CV-Volltexte werden gemäß dokumentierter Verschlüsselungs-/Redaction-Logik verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden) und Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an sicherer und skalierbarer Speicherung).

Speicherdauer: Gemäß Weisung des Kunden, Plattform-AVV und internem Löschkonzept.

Empfänger: Scaleway SAS, S3-kompatibler Storage in der Region fr-par (Frankreich/EU).

Drittlandtransfer: Nein, Verarbeitung findet in Frankreich (EU) statt.

3.2 Biometrische Identitätsprüfung#

iDenfy UAB#

Zweck: Biometrische Identitätsprüfung zur Verifizierung der Identität von Bewerbern oder Nutzern im Auftrag des Kunden.

Verarbeitete Daten: Ausweisdokumente, biometrische Gesichtsscans (Face-Scan).

Rechtsgrundlage: Art. 9 Abs. 2 a) DSGVO (Ausdrückliche Einwilligung der betroffenen Person), eingeholt durch den Kunden.

Speicherdauer: Gemäß Weisung des Kunden und AVV mit iDenfy (in der Regel unmittelbar nach Verifizierung, max. 7 Tage).

Empfänger: iDenfy UAB, V. Nagevičiaus g. 3, 08237 Vilnius, Litauen.

Drittlandtransfer: Nein, Verarbeitung findet in Litauen (EU) statt.

3.3 Monitoring und Logging#

Langfuse (Self-hosted auf Hetzner)#

Zweck: Monitoring & Tracing von KI-Prompts zur Sicherstellung der Qualität und Nachvollziehbarkeit von KI-gestützten Prozessen in der App.

Verarbeitete Daten: LLM-Traces, KI-Prompts/Outputs mit Redaction/Minimierung, Token- und Laufzeit-Metadaten.

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Qualitätssicherung und Optimierung der App).

Speicherdauer: Gemäß internem Löschkonzept und Kundenweisung; Produktivbetrieb auf Grundlage von Selfhost-Bring-up, Smoke-Test und Evidence-Ablage.

Empfänger: Interne Hirebotiq-Infrastruktur auf Hetzner (langfuse.hirebotiq.com), kein externer Langfuse-Cloud-Empfänger im Zielbetrieb.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

Functional Software, Inc. (Sentry)#

Zweck: Fehlerüberwachung und Performance-Tracing zur Sicherstellung der Stabilität und Leistung der App.

Verarbeitete Daten: Fehlerlogs, Performance-Daten (pseudonymisiert), IP-Adressen (maskiert).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Betriebssicherheit und Fehlerbehebung).

Speicherdauer: Variabel, je nach Konfiguration, maximal 90 Tage.

Empfänger: Functional Software, Inc. (Sentry), EU-Region (*.de.sentry.io) oder Selfhost-Endpoint; im Code via assertEUSentryDsn erzwungen.

Drittlandtransfer: Nein im Zielbetrieb, da EU-Region/Selfhost erzwungen.

Grafana Faro#

Status: Im aktuellen Go-Live nicht als aktiver Empfänger der SaaS-App eingesetzt.

Einordnung: Frontend-RUM über Grafana Faro wird erst aktiviert, wenn die Web-SDK-Initialisierung im Frontend, die Consent-Konfiguration, die Anbieter-/DPA-Evidence und die Aktualisierung des SaaS-AVV-Registers dokumentiert sind.

Drittlandtransfer: Kein aktiver Datenfluss im aktuellen Go-Live-Setup.

Umami (Self-hosted)#

Zweck: Datenschutzfreundliche Webanalyse zur Messung von Besucherzahlen und Seitenaufrufen ohne den Einsatz von Cookies.

Verarbeitete Daten: Anonymisierte IP-Adresse, Browser-Informationen, Betriebssystem, besuchte Seiten, Referrer-URL.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

Speicherdauer: Dauerhaft (da Daten anonymisiert sind).

Empfänger: HirebotIQ GmbH (Self-hosted auf eigener Infrastruktur).

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

rrweb-Replay (Self-hosted)#

Zweck: Aufzeichnung von Nutzersitzungen zur Fehleranalyse und Verbesserung der User Experience (Session Replay).

Verarbeitete Daten: Mausbewegungen, Klicks, Scroll-Verhalten, Interaktionen mit der Website. Sensible Eingabefelder (z.B. Passwörter, persönliche Daten) werden vor der Aufzeichnung clientseitig maskiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

Speicherdauer: Maximal 30 Tage.

Empfänger: HirebotIQ GmbH (Self-hosted auf eigener Infrastruktur).

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

3.4 Kommunikation und Support#

Chatwoot (Self-hosted)#

Zweck: Kunden-Support und Live-Chat-Funktionalität innerhalb der App.

Verarbeitete Daten: Kommunikationsinhalte, Kontaktdaten (E-Mail, Name).

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden).

Speicherdauer: Gemäß Weisung des Kunden und gesetzlicher Aufbewahrungsfristen.

Empfänger: Chatwoot (Self-hosted), Deutschland.

Drittlandtransfer: Nein, da Self-hosted in Deutschland (EU).

Resend Inc.#

Zweck: Versand von transaktionalen E-Mails (z.B. Bestätigungen, Status-Updates) innerhalb der App.

Verarbeitete Daten: E-Mail-Adressen, transaktionale Daten.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden).

Speicherdauer: Für die Dauer der Vertragsbeziehung und gesetzlicher Aufbewahrungsfristen.

Empfänger: Resend Inc., 228 Park Ave S, New York, NY 10003, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

3.5 Matching und KI-Systeme#

Nova Matching Engine#

Zweck: Analyse und Abgleich von Bewerberprofilen mit Stellenanforderungen zur Unterstützung der Vorauswahl durch den Kunden. Die Engine stellt einen deterministischen Match-Score und erklärende Hinweise (reasonCodes, riskCodes) bereit; diese dienen ausschließlich der Entscheidungsunterstützung und ersetzen keine menschliche Prüfung.

Verarbeitete Daten: Bewerber-Lebensläufe (Volltexte mit PII für CV-Parsing), anonymisierte Bewerberdossiers (für Matching-Begleitsteps).

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden) und Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse des Kunden an effizienter Personalbeschaffung).

Speicherdauer: Gemäß Weisung des Kunden und Löschkonzept der Plattform.

Empfänger: Intern bei HirebotIQ GmbH. Für das CV-Parsing und die LLM-Evaluation werden Google Vertex AI in EU-Regionen und Azure OpenAI als Stage-3-Failback über die EU-Resource Germany West Central eingesetzt; die EU-Resource wird technisch über den Resource-Marker validiert.

Drittlandtransfer: Ja, bei Nutzung von Sub-Auftragsverarbeitern wie Google Vertex AI (Mutterkonzern USA) und Azure OpenAI (Mutterkonzern USA). Abgesichert durch SCCs und EU-Resource-Erzwingung.

3.6 Cookies & Browser-Speicherung#

3.7 Diese Auswahl ist nicht der Matching-Consent#

Wenn du dich bewirbst, ein Profil sichtbar machst oder dem KI-gestützten Matching zustimmst, erfassen wir das über separate, ausdrückliche Einwilligungs-Flows im Bewerbungs- bzw. Profil-Bereich. Diese Einwilligungen werden in einer anderen Datentabelle und auf einer anderen Rechtsgrundlage verarbeitet; soweit dabei besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betroffen sind (etwa Gesundheitsangaben in Bewerbungsunterlagen oder freitextliche Sensitivinformationen), beruht die Verarbeitung auf einer qualifizierten ausdrücklichen Einwilligung. Eine Änderung deiner Cookie-Auswahl beeinflusst diese Bewerbungs-Einwilligungen nicht; ein Widerruf der Bewerbungs-Einwilligungen beeinflusst diese Cookie-Auswahl nicht. Den Matching-Consent verwaltest du im Profil-/Bewerbungs-Bereich.

Diese Auswahl ist nicht der Calculator-Speicher-Consent#

Wenn du den Calculator (Markt-/Gehaltsrechner) anonym nutzt, speichern wir keine account-gebundenen Szenarien. Erst wenn du dich anmeldest und der ausdrücklichen Speicherung deiner Calculator-Szenarien zustimmst — intern als "Schicht 3"-Consent bezeichnet — verknüpfen wir das Szenario mit deinem Account. Diese Zustimmung ist von der Cookie-Auswahl getrennt: Eine Zustimmung zu Cookie-Kategorien führt nicht zur Speicherung von Calculator-Szenarien; ein Widerruf der Calculator-Speicher-Einwilligung löscht die zugehörigen account-gebundenen Einträge, ohne deine Cookie-Einstellungen zu verändern.

Kein Marketing, keine Werbe-Frameworks#

Die HireBotIQ-Anwendung setzt heute keine Marketing-, Werbe- oder Cross-Site-Tracking-Cookies. Wir verwenden weder das IAB Transparency & Consent Framework (TCF) noch vergleichbare Werbe-Consent-Standards. Wenn wir künftig eine Marketing-Kategorie einführen, fragen wir das über eine erneute Banner-Abfrage separat ab (Revisions-Bump); bestehende Zustimmungen bleiben davon unberührt.

3.8 Bot-Schutz: Cloudflare Turnstile#

Damit unsere öffentlichen Endpunkte (Login, Registrierung, Bewerbungs-Submit, Calculator-Speichern) nicht von automatisierten Bots missbraucht werden, setzen wir Cloudflare Turnstile als alleinigen Bot-Schutz-Anbieter ein (verantwortlich: Cloudflare, Inc., USA). Turnstile führt im Browser eine kurze Geräte- und Verhaltens-Prüfung durch und sendet ein Token an unseren Server, den wir bei Cloudflare verifizieren. Im Standard-Modus Managed setzt Turnstile keine eigenen Cookies in deinem Browser; das optionale Bot-Verifikations-Cookie ("Pre-Clearance") ist deaktiviert. Turnstile fällt daher nicht unter die oben getroffene Cookie-Auswahl. Die Prüfdaten (u. a. IP-Adresse, User-Agent, Browser-Signale) werden von Cloudflare in den USA verarbeitet. Rechtsgrundlage: berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch automatisierter Anfragen). Drittland-Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF — Cloudflare ist DPF-zertifiziert) sowie der Standardvertragsklauseln (SCC), erweitert durch das Cloudflare Data Processing Addendum (DPA v6.4 vom 2026-04-03). Mehr Informationen unter Cloudflare Trust Hub und der DPF-Liste unter dataprivacyframework.gov.

3.9 Authentifizierung und Zugriff#

Authentik OIDC (Self-hosted)#

Zweck: Identitäts- und Zugriffsmanagement für die App-Nutzer.

Verarbeitete Daten: Benutzerdaten, Authentifizierungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung des Kunden) und Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Sicherheit der App).

Speicherdauer: Für die Dauer der Vertragsbeziehung.

Empfänger: Authentik OIDC (Self-hosted), Deutschland.

Drittlandtransfer: Nein, da Self-hosted in Deutschland (EU).

4. IHRE RECHTE ALS BETROFFENE PERSON#

Als betroffene Person haben Sie gegenüber dem jeweiligen Verantwortlichen (dem Plattformkunden) die folgenden Rechte:

Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten verlangen.

Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen des Art. 17 DSGVO erfüllt sind.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, sofern die Voraussetzungen des Art. 18 DSGVO erfüllt sind.

Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern die Voraussetzungen des Art. 21 DSGVO erfüllt sind.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

Anfragen richten Sie bitte direkt an den jeweiligen Plattformkunden als Verantwortlichen. Bei Fragen zur Rolle der HirebotIQ GmbH als Auftragsverarbeiter können Sie uns unter datenschutz@hirebotiq.com kontaktieren.

5. BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE#

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für den Verantwortlichen (Plattformkunden) zuständige Aufsichtsbehörde ist maßgeblich. Die für die HirebotIQ GmbH zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2–4 40213 Düsseldorf E-Mail: poststelle@ldi.nrw.de Website: www.ldi.nrw.de

Datenschutzerklärung für den Hirebotiq Salary Calculator#

HirebotIQ GmbH#

Version: 6.7.2 Gültig ab: 05.05.2026 Status: Public Version – zur Veröffentlichung freigegeben.

1. ALLGEMEINE INFORMATIONEN#

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten durch die HirebotIQ GmbH (nachfolgend „wir“ oder „HirebotIQ GmbH“) im Rahmen der Nutzung unseres Salary Calculators auf der Corporate-Website (hirebotiq.com/salary-calculator) gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Abgrenzung zur Corporate-Website und SaaS-App: Diese Datenschutzerklärung gilt ausschließlich für den Hirebotiq Salary Calculator. Für die allgemeine Nutzung der Corporate-Website (hirebotiq.com) gilt eine separate Datenschutzerklärung . Für die Nutzung unserer SaaS-App gelten separate Nutzungsbedingungen und eine eigene Datenschutzerklärung .

Verantwortlicher im Sinne der DSGVO:

HirebotIQ GmbH gesetzlich vertreten durch die Geschäftsführerin Viola Jonas Hahner Straße 47 52159 Roetgen Deutschland E-Mail: datenschutz@hirebotiq.com

Datenschutzkontakt / operative Datenschutzkoordination:

Viola Jonas, CEO E-Mail: datenschutz@hirebotiq.com

Derzeit nicht benannt. Die operative Datenschutzverantwortung liegt bei der Geschäftsführung. Die Benennungspflicht wird regelmäßig und anlassbezogen geprüft, insbesondere bei DSFA-pflichtigen Verarbeitungsvorgängen, neuen KI-/Recruiting-Funktionen, wesentlicher Ausweitung der Datenverarbeitung oder Erreichen relevanter gesetzlicher Schwellenwerte.

2. RECHTSGRUNDLAGEN DER VERARBEITUNG#

Wir verarbeiten personenbezogene Daten nur auf Basis einer Rechtsgrundlage gemäß Art. 6 DSGVO:

3. DATENVERARBEITUNG IM RAHMEN DES SALARY CALCULATORS#

Im Folgenden listen wir alle eingesetzten Tools und Dienstleister im Detail auf, die im Rahmen des Salary Calculators personenbezogene Daten verarbeiten.

3.1 Dateneingabe und -verarbeitung#

Direkte Eingabe durch Nutzer (Schicht 1 — anonym)#

Zweck: Berechnung eines geschätzten Gehalts basierend auf den vom Nutzer eingegebenen Kriterien.

Verarbeitete Daten: Stadtname, Qualifikationsgruppe, Job-Titel, Gehälter, Stunden, Industrie, Region. In Schicht 1 werden keine direkt identifizierbaren personenbezogenen Daten (PII) abgefragt oder gespeichert. Die Eingaben fließen ausschließlich in eine anonyme Marktstatistik-Aggregat-Tabelle

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Marktstatistik) für die anonyme Aggregation; Art. 6 Abs. 1 lit. b DSGVO für die einmalige Berechnung als vorvertragliche Maßnahme.

Speicherdauer: Die rohen Berechnungseingaben werden nicht dauerhaft gespeichert; nur die anonymisierten Aggregat-Werte verbleiben dauerhaft als Markt-Statistik.

Empfänger: Keine externen Empfänger.

Drittlandtransfer: Nein.

Eingeloggte Nutzung mit Account-Bezug (Schicht 3 — eingeloggt + Einwilligung)#

Zweck: Für angemeldete Nutzer (über Authentik-OIDC der Plattform) wird zusätzlich zur anonymen Aggregation eine dem Konto zugeordnete Berechnung gespeichert, sodass der Nutzer seine Berechnungen wiederfinden, vergleichen und exportieren kann.

Verarbeitete Daten: zusätzlich zu den Eingabedaten: interne Konto-ID, Zeitstempel der Berechnung. Es werden keine Klarnamen oder E-Mail-Adressen in den Berechnungs-Tabellen gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung wird im sogenannten Schicht-3-Consent-Modal eingeholt (Pflicht-Häkchen). Sie gilt gebündelt für den Personalkosten-Vergleichsrechner, den Übernahmerechner sowie künftig hinzukommende Rechner-Tools dieser Art (Variante C). Vor Akzept werden ausschließlich anonyme Aggregat-Zeilen geschrieben.

Speicherdauer: gemäß Account-Lebenszyklus oder bis zum Widerruf. Bei Widerruf werden alle dem Konto zugeordneten Berechnungen unverzüglich gelöscht; die anonymen Aggregate bleiben unbetroffen, da sie keinen Personenbezug haben.

Widerruf: jederzeit im Account-Bereich möglich (Art. 7 Abs. 3 DSGVO). Der Widerruf führt zur Löschung aller dem Konto zugeordneten Berechnungen, und der Nutzer befindet sich anschließend wieder im Schicht-1-Modus (anonym).

Empfänger: Keine externen Empfänger.

Drittlandtransfer: Nein.

Bundesagentur für Arbeit Statistik-API#

Zweck: Bereitstellung von Marktinformationen für die Gehaltsberechnung.

Verarbeitete Daten: Stadtname, Qualifikationsgruppe (keine PII).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Bereitstellung präziser Marktinformationen für den Calculator).

Speicherdauer: API-Cache 24 Stunden.

Empfänger: Bundesagentur für Arbeit, Nürnberg, Deutschland.

Drittlandtransfer: Nein, Verarbeitung in Deutschland (EU) statt.

3.2 Hosting und Infrastruktur#

Hetzner Online GmbH#

Zweck: Bereitstellung von Datenbankdiensten für die temporäre Verarbeitung der Calculator-Eingaben.

Verarbeitete Daten: Stadtname, Qualifikationsgruppe, Job-Titel, Gehälter, Stunden, Industrie, Region (temporär, keine PII).

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

Speicherdauer: Temporär für die Dauer der Berechnung, danach verworfen.

Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

IONOS SE#

Zweck: Hosting der Website, auf der der Calculator eingebunden ist.

Verarbeitete Daten: Server-Logs, IP-Adressen (siehe Datenschutzerklärung Corporate-Website).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung der Website).

Speicherdauer: IP-Adressen und Logfiles in der Regel 7 Tage.

Empfänger: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

4. IHRE RECHTE ALS BETROFFENE PERSON#

Sie haben jederzeit das Recht auf:

Auskunft (Art. 15 DSGVO)

Berichtigung (Art. 16 DSGVO)

Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Datenübertragbarkeit (Art. 20 DSGVO)

Widerspruch (Art. 21 DSGVO)

Um Ihre Rechte geltend zu machen, kontaktieren Sie uns bitte unter den oben genannten Kontaktdaten. Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Gültig ab: 05. Mai 2026 Nächste Überprüfung: 05. November 2026

Datenschutzerklärung für Bewerber#

HirebotIQ GmbH#

Version: 6.7.2 Gültig ab: 05.05.2026 Status: Public Version – zur Veröffentlichung freigegeben.

1. ALLGEMEINE INFORMATIONEN#

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die HirebotIQ GmbH (nachfolgend „wir“ oder „HirebotIQ GmbH“) im Rahmen Ihrer Bewerbung bei uns gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Verantwortlicher im Sinne der DSGVO:

HirebotIQ GmbH gesetzlich vertreten durch die Geschäftsführerin Viola Jonas Hahner Straße 47 52159 Roetgen Deutschland E-Mail: datenschutz@hirebotiq.com Datenschutzkontakt / operative Datenschutzkoordination:

Viola Jonas, CEO E-Mail: datenschutz@hirebotiq.com

Derzeit nicht benannt. Die operative Datenschutzverantwortung liegt bei der Geschäftsführung. Die Benennungspflicht wird regelmäßig und anlassbezogen geprüft, insbesondere bei DSFA-pflichtigen Verarbeitungsvorgängen, neuen KI-/Recruiting-Funktionen, wesentlicher Ausweitung der Datenverarbeitung oder Erreichen relevanter gesetzlicher Schwellenwerte.

Hinweis zu automatisierten Einzelfallentscheidungen (Art. 22 DSGVO): Wir nutzen unterstützende technische Systeme im Bewerbungsprozess, darunter die Nova Matching Engine. Der präsentierte Matching-Score wird deterministisch anhand festgelegter Kriterien berechnet und nicht durch ein KI-/LLM-System erzeugt. KI-/LLM-Komponenten können unterstützend zur Strukturierung von Lebenslaufinformationen und zur Erzeugung erklärender Hinweise eingesetzt werden. Die finale Auswahlentscheidung liegt immer bei einem Menschen. Eine ausschließlich automatisierte Entscheidung im Einzelfall gemäß Art. 22 DSGVO findet nicht statt.

2. ART, ZWECK UND RECHTSGRUNDLAGE DER DATENVERARBEITUNG#

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich für Zwecke, die im Zusammenhang mit Ihrer Bewerbung und der Besetzung von Stellen stehen.

2.1 Datenkategorien#

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Stammdaten: Name, Adresse, Kontaktdaten (Telefon, E-Mail).

Bewerbungsdaten: Lebenslauf, Zeugnisse, Qualifikationen, Anschreiben, Referenzen, Angaben zu Gehaltsvorstellungen und Verfügbarkeit.

Kommunikationsdaten: Korrespondenz im Rahmen des Bewerbungsprozesses.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Ggf. Gesundheitsdaten (z.B. Schwerbehindertenstatus), Religionszugehörigkeit (falls relevant für Kirchensteuer) – nur wenn von Ihnen freiwillig angegeben und für die Bewerbung relevant.

Biometrische Daten: Im Rahmen der Identitätsprüfung durch iDenfy (Gesichtsscan) zur eindeutigen Identifizierung und Betrugsprävention.

2.2 Zweck der Verarbeitung#

Die Verarbeitung Ihrer Daten erfolgt zu folgenden Zwecken:

Durchführung des Bewerbungsverfahrens.

Beurteilung Ihrer Eignung für die ausgeschriebene Stelle.

Kontaktaufnahme im Rahmen des Bewerbungsprozesses.

Erfüllung rechtlicher Verpflichtungen (z.B. Nachweispflichten nach AGG).

Identitätsprüfung und Betrugsprävention.

2.3 Rechtsgrundlagen der Verarbeitung#

Die Verarbeitung Ihrer Daten basiert auf folgenden Rechtsgrundlagen:

§ 26 Abs. 1 BDSG (Anbahnung eines Beschäftigungsverhältnisses): Für die Daten, die zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sind.

Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung): Sofern die Daten zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Art. 6 Abs. 1 a) DSGVO (Einwilligung): Sofern Sie uns eine freiwillige Einwilligung erteilt haben, z.B. für die Aufnahme in unseren Talentpool oder die Verarbeitung besonderer Kategorien personenbezogener Daten, die nicht zwingend für die Bewerbung erforderlich sind. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Art. 6 Abs. 1 c) DSGVO (Rechtliche Verpflichtung): Zur Erfüllung gesetzlicher Pflichten, z.B. Nachweispflichten nach dem Allgemeinen Gleichbehandlungsgesetz (AGG).

Art. 6 Abs. 1 f) DSGVO (Berechtigtes Interesse): Zur Abwehr von Rechtsansprüchen oder zur Betrugsprävention.

3. EMPFÄNGER DER DATEN#

Innerhalb unseres Unternehmens erhalten nur die Personen und Stellen Zugriff auf Ihre Daten, die diese für die Durchführung des Bewerbungsverfahrens benötigen (z.B. Personalabteilung, die jeweiligen Fachvorgesetzten).

Darüber hinaus können folgende externe Dienstleister als Auftragsverarbeiter Zugriff auf Ihre Daten erhalten:

Personio SE & Co. KG#

Zweck: Bewerbermanagement und Personalverwaltung.

Verarbeitete Daten: Mitarbeiterdaten, Bewerberdaten (Stammdaten, Bewerbungsdaten, Kommunikationsdaten).

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO / § 26 BDSG (Anbahnung und Durchführung von Beschäftigungsverhältnissen).

Speicherdauer: Für die Dauer des Bewerbungsverfahrens bzw. des Beschäftigungsverhältnisses und gesetzlicher Aufbewahrungsfristen.

Empfänger: Personio SE & Co. KG, Rundfunkplatz 4, 80335 München, Deutschland.

Drittlandtransfer: Nein, Verarbeitung findet in Deutschland (EU) statt.

iDenfy UAB#

Zweck: Biometrische Identitätsprüfung zur eindeutigen Identifizierung und Betrugsprävention.

Verarbeitete Daten: Ausweisdaten, Gesichtsscan (Biometrie).

Rechtsgrundlage: Art. 6 Abs. 1 a) DSGVO & Art. 9 Abs. 2 a) DSGVO (Einwilligung).

Speicherdauer: Bis zum Abschluss der Identitätsprüfung und gesetzlicher Aufbewahrungsfristen.

Empfänger: iDenfy UAB, V. Nagevičiaus g. 3, 08237 Vilnius, Litauen.

Drittlandtransfer: Nein, Verarbeitung findet in Litauen (EU) statt.

Resend Inc.#

Zweck: Versand von transaktionalen E-Mails (z.B. Bestätigungen, Status-Updates) an Bewerber.

Verarbeitete Daten: E-Mail-Adressen, transaktionale Daten (z.B. Bewerbungsstatus).

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

Speicherdauer: Für die Dauer des Bewerbungsverfahrens und gesetzlicher Aufbewahrungsfristen.

Empfänger: Resend Inc., 228 Park Ave S, New York, NY 10003, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

Anthropic PBC#

Zweck: Interne Texterstellung, Code-Review, Briefing-Generierung zur Unterstützung bei der Kandidatenauswahl. Kein Zugriff auf Plattform-PII.

Verarbeitete Daten: Text-Inputs (pseudonymisiert).

Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an Effizienzsteigerung im Bewerbungsprozess).

Speicherdauer: Variabel je nach Nutzung und internen Richtlinien.

Empfänger: Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA.

Drittlandtransfer: Ja (USA). Abgesichert durch Standardvertragsklauseln (SCCs).

4. DRITTLANDTRANSFER#

Ein Transfer Ihrer personenbezogenen Daten in Länder außerhalb der EU oder des EWR (Drittländer) findet statt, wenn dies für die Durchführung des Bewerbungsverfahrens erforderlich ist oder Sie uns Ihre ausdrückliche Einwilligung erteilt haben. Bei solchen Transfers stellen wir sicher, dass ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist, z.B. durch Standardvertragsklauseln (SCCs) oder Angemessenheitsbeschlüsse.

5. SPEICHERDAUER#

Ihre personenbezogenen Daten werden grundsätzlich nach Abschluss des Bewerbungsverfahrens gelöscht, spätestens jedoch sechs Monate nach Mitteilung einer Absage, es sei denn:

Sie haben in eine längere Speicherung (z.B. für die Aufnahme in unseren Talentpool) eingewilligt.

Es bestehen gesetzliche Aufbewahrungspflichten oder -rechte (z.B. zur Abwehr von Rechtsansprüchen).

6. IHRE RECHTE ALS BETROFFENE PERSON#

Sie haben das Recht auf:

Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen des Art. 17 DSGVO erfüllt sind.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, sofern die Voraussetzungen des Art. 18 DSGVO erfüllt sind.

Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern die Voraussetzungen des Art. 21 DSGVO erfüllt sind.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

Anfragen richten Sie bitte an: datenschutz@hirebotiq.com

7. BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE#

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2–4 40213 Düsseldorf E-Mail: poststelle@ldi.nrw.de Website: www.ldi.nrw.de

DSGVO-Dokumentation#

HirebotIQ GmbH#

Version: 6.7.2 Gültig ab: 04.05.2026 Status: Live-Version – freigegeben zur produktiven Nutzung gemäß dokumentiertem Setup

1. ZWECK#

Diese Dokumentation beschreibt die Compliance der HirebotIQ GmbH mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Sie dient als zentrales Verzeichnis der Verarbeitungstätigkeiten und als Nachweis für die Einhaltung der datenschutzrechtlichen Vorgaben.

2. VERANTWORTLICHER#

HirebotIQ GmbH gesetzlich vertreten durch die Geschäftsführerin Viola Jonas Hahner Straße 47 52159 Roetgen Deutschland E-Mail: datenschutz@hirebotiq.com

3. DATENSCHUTZORGANISATION#

Gesetzliche Vertretung: Viola Jonas, Geschäftsführerin / CEO

Operative Datenschutzkoordination: Viola Jonas, CEO E-Mail: datenschutz@hirebotiq.com

Formaler Datenschutzbeauftragter: Derzeit nicht benannt. Die operative Datenschutzverantwortung liegt bei der Geschäftsführung. Die Benennungspflicht wird regelmäßig und anlassbezogen geprüft, insbesondere bei DSFA-pflichtigen Verarbeitungsvorgängen, neuen KI-/Recruiting-Funktionen, wesentlicher Ausweitung der Datenverarbeitung oder Erreichen relevanter gesetzlicher Schwellenwerte.

4. VERARBEITUNGSAKTIVITÄTEN (VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN - VVT)#

4.1 Verarbeitungstätigkeiten der HirebotIQ GmbH als Verantwortlicher#

Das folgende Verzeichnis beschreibt die wesentlichen Verarbeitungstätigkeiten der HirebotIQ GmbH als Verantwortlicher für eigene Geschäftszwecke (eigenes Recruiting, Sales, Office, Buchhaltung). Eine detaillierte Auflistung aller eingesetzten Tools und Auftragsverarbeiter findet sich im AVV-Register (04_AVV_Register_Corporate_v5.0.md).

4.2 Verarbeitungstätigkeiten der HirebotIQ GmbH als Auftragsverarbeiter im Plattformbetrieb#

Die HirebotIQ GmbH agiert als Auftragsverarbeiter für ihre Kunden im Rahmen des Betriebs der Hirebotiq-Plattform. Die detaillierte Dokumentation dieser Verarbeitungstätigkeiten ist im SaaS-Compliance-Paket unter 02_SaaS_Compliance/01_VVT_Plattform_v5.0.md zu finden.

5. AUFTRAGSVERARBEITER#

Alle Auftragsverarbeiter sind detailliert dokumentiert im AVV-Register (01_Corporate_Compliance/04_AVV_Register_Corporate_v5.0.md). Datenverarbeitungsverträge (AVV) liegen vor und sind auf Anfrage verfügbar. Wir stellen sicher, dass unsere Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen.

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)#

Die detaillierten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind im Dokument 01_Corporate_Compliance/05_TOMs_v5.0.md beschrieben.

7. BETROFFENENRECHTE#

Betroffene Personen haben folgende Rechte gemäß DSGVO. Anfragen zur Ausübung dieser Rechte können an datenschutz@hirebotiq.com gestellt werden. Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats nach Eingang, beantworten.

8. DRITTLANDTRANSFERS#

Für Transfers in Drittländer werden geeignete Garantien gemäß Art. 44 ff. DSGVO sichergestellt. Eine detaillierte Aufschlüsselung der Transfergrundlagen pro Anbieter findet sich im AVV-Register.

9. AUFSICHTSBEHÖRDE#

Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2–4 40213 Düsseldorf E-Mail: poststelle@ldi.nrw.de Website: www.ldi.nrw.de

10. KONTAKT#

Bei Fragen zur DSGVO-Compliance kontaktieren Sie:

HirebotIQ GmbH gesetzlich vertreten durch die Geschäftsführerin Viola Jonas Hahner Straße 47 52159 Roetgen Deutschland E-Mail: datenschutz@hirebotiq.com

Gültig ab: 04. Mai 2026 Nächste Überprüfung: 04. November 2026