Einleitung
Wir freuen uns über Ihr Interesse an Bautalent UG (haftungsbeschränkt) und unseren Dienstleistungen. Der Schutz Ihrer persönlichen Daten hat für uns einen hohen Stellenwert. In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir erheben und wie wir diese im Rahmen der Nutzung unserer Online-Plattform verarbeiten. Dies umfasst insbesondere die Nutzung der Webseite, die Registrierung als Bewerber oder Unternehmen sowie die Inanspruchnahme unserer Services im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
Verantwortlicher
Verantwortlicher für die Datenverarbeitung ist die:
Bautalent UG (haftungsbeschränkt)
Fössestraße 22, 30451 Hannover, Deutschland
E-Mail: info@bautalent.com
Vertretungsberechtigte Geschäftsführer: (Details siehe Impressum)
Bei Fragen oder Anliegen zum Datenschutz können Sie sich jederzeit unter den angegebenen Kontaktdaten an uns wenden.
Datensicherheit
Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen nach dem Stand der Technik. So verwenden wir etwa eine SSL/TLS-Verschlüsselung, erkennbar an "https://" in der URL und dem Schloss-Symbol im Browser. Dadurch werden Daten, die Sie an unsere Website übermitteln, vertraulich und sicher übertragen. Zudem beschränken wir den Zugriff auf personenbezogene Daten und überprüfen unsere Sicherheitsmaßnahmen regelmäßig, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
Datenverarbeitung beim Besuch unserer Website
Server-Logfiles und Hosting
Bei jedem Aufruf unserer Website erheben wir auf unseren Servern automatisiert Daten und Informationen vom System Ihres Geräts. Dies sind insbesondere: angeforderte Webadresse/Datei, Datum und Uhrzeit des Zugriffs, übertragene Datenmenge, Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Diese Informationen werden in sogenannten Server-Logfiles gespeichert.
Die Verarbeitung dieser Log-Daten erfolgt, um die Auslieferung der Website an Ihr Endgerät zu ermöglichen, die Stabilität und Sicherheit unseres Services zu gewährleisten (z.B. Erkennung von Angriffsversuchen) sowie zur technischen Administration der Infrastruktur. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und störungsfreien Bereitstellung unseres Online-Angebots. Eine Zusammenführung dieser Logfile-Daten mit anderen Datenquellen wird nicht vorgenommen. Die Logfiles werden regelmäßig gelöscht, sobald sie für die Erreichung der genannten Zwecke nicht mehr erforderlich sind.
Unsere Website (Frontend) wird bei Vercel (Vercel Inc., USA) gehostet. Das bedeutet, dass alle über unsere Website laufenden Daten auf den Servern von Vercel verarbeitet werden. Wir haben mit Vercel einen Vertrag zur Auftragsverarbeitung geschlossen, der die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Vercel ist zudem unter dem EU–US Data Privacy Framework zertifiziert, welches ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA gewährleistet. Eine Kopie der Standardvertragsklauseln können Sie auf Anfrage erhalten. Vercel setzt unter anderem Rechenzentren in der EU ein. dennoch kann nicht ausgeschlossen werden, dass personenbezogene Daten in die USA übertragen werden. Die Datenverarbeitung durch Vercel erfolgt ausschließlich in unserem Auftrag und nach unseren Weisungen.
Unsere Backend-Systeme und Datenbanken, in denen sämtliche personenbezogenen Daten der Nutzer (z. B. Profilinformationen, Kontodaten, Bewerberdaten, Unternehmensdaten) gespeichert werden, werden auf einem Virtual Private Server (VPS) der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland, betrieben. Strato stellt die technische Infrastruktur zur Verfügung und sorgt für den Betrieb und die Sicherheit des Servers (z. B. Netzwerkverfügbarkeit, physische Sicherheit, Wartung der Hardware). Eine aktive Einsichtnahme in gespeicherte personenbezogene Daten erfolgt durch Strato nicht. Dennoch gilt Strato datenschutzrechtlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO, da die Speicherung personenbezogener Daten auf deren Servern erfolgt. Mit Strato wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen, der sicherstellt, dass Strato personenbezogene Daten ausschließlich nach unseren Weisungen und im Rahmen der europäischen Datenschutzgesetze verarbeitet. Die Serverstandorte von Strato befinden sich ausschließlich in Deutschland (Berlin und Karlsruhe). Eine Übermittlung personenbezogener Daten in Drittländer findet durch Strato nicht statt. Die Daten werden in ISO 27001-zertifizierten Rechenzentren betrieben, die durch umfangreiche technische und organisatorische Sicherheitsmaßnahmen (z. B. Zutrittskontrolle, Firewalls, Redundanzsysteme) geschützt sind. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und zuverlässigen Bereitstellung unserer Online-Dienste) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Content Delivery Network (CDN): Um die Ladezeiten unserer Website zu optimieren und Inhalte (insbesondere Mediendateien) schnell ausliefern zu können, setzen wir ein CDN ein. Hierbei wird Cloudinary (Cloudinary Ltd., USA) für die Bereitstellung und Speicherung von Bildern und anderen Medien genutzt. Personenbezogene Daten können dabei in Form von IP-Adressen oder Nutzungsdaten an Cloudinary übertragen werden, wenn z.B. Ihr Browser ein bei Cloudinary gespeichertes Bild von unserer Website lädt. Cloudinary ist vertraglich als Auftragsverarbeiter eingebunden. Als Garantie für ein angemessenes Datenschutzniveau bestehen EU-Standardvertragsklauseln mit Cloudinary.
Cookies und lokale Speicherungen
Unsere Website verwendet Cookies und ähnliche Technologien (z.B. Local Storage). Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Endgerät speichert. Wir nutzen dabei sowohl essenzielle Cookies (technisch notwendige) als auch funktionale Cookies (für Komfortfunktionen).
Essenzielle Cookies setzen wir ein, um grundlegende Funktionen der Website und unseres Dienstes bereitzustellen – etwa um Ihre Anmeldung aufrecht zu erhalten oder Ihre Datenschutzeinstellungen zu speichern. Diese Cookies sind erforderlich, damit die Website funktioniert, und können daher nicht abgewählt werden. Rechtsgrundlage für den Einsatz essenzieller Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen und sicheren Angebot).
Funktionale Cookies und Local-Storage-Daten nutzen wir, um Einstellungen, die Sie vornehmen, zu speichern (z.B. gewähltes Farbschema/Dark Mode, bevorzugte Sprache) und so Ihr Nutzungserlebnis zu verbessern. Diese werden nur mit Ihrer Einwilligung gesetzt (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO). Sie können über unseren Cookie-Banner selbst entscheiden, ob Sie funktionale Cookies zulassen. Wenn Sie diese ablehnen, kann es sein, dass bestimmte Komfort-Funktionen nicht verfügbar sind (die Website bleibt aber grundsätzlich nutzbar).
Eine detaillierte Auflistung aller von uns eingesetzten Cookies, deren Zweck und Speicherdauer sowie der Möglichkeiten zur Änderung oder Widerruf Ihrer Cookie-Einstellungen finden Sie in unserer Cookie-Richtlinie. Dort können Sie auch Ihre Einwilligungseinstellungen jederzeit anpassen. Hinweis: Unsere Cookie-Einwilligungsabfrage ist eine eigens entwickelte Lösung und kein externer Consent-Management-Dienst; sie speichert lediglich Ihre Präferenz in einem Cookie (bautalent_cookie_consent) für 180 Tage.
Sie können Cookies auch jederzeit mittels entsprechender Einstellung in Ihrem Browser löschen oder blockieren. Weitere Informationen zur Verwaltung von Cookies in gängigen Browsern finden Sie in unserer Cookie-Richtlinie bzw. auf den Hilfeseiten Ihres Browsers. Bitte beachten Sie, dass bei der Ablehnung oder Löschung von Cookies die Funktionalität unserer Website eingeschränkt sein kann.
Eingebundene Kartendienste (Mapbox)
Auf unserer Website binden wir interaktive Karten des Dienstes Mapbox ein, z.B. um unseren Unternehmensstandort anzuzeigen oder Kartenausschnitte im Rahmen der Plattform bereitzustellen. Betreiber des Kartendienstes ist Mapbox Inc., USA. Wenn Sie eine Seite besuchen, auf der Mapbox-Karten eingebunden sind, wird Ihre IP-Adresse an Mapbox übertragen und ggf. gespeichert. Zudem kann Mapbox ein Cookie setzen, um das Nutzerverhalten zu analysieren und seinen Service zu verbessern. Dies geschieht jedoch erst, nachdem Sie im Cookie-Banner Ihre Einwilligung für funktionale Inhalte erteilt haben (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO). Sollten wir keine ausdrückliche Einwilligung eingeholt haben, stützen wir die Einbindung der Karte auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, unseren Standort übersichtlich darzustellen und unseren Nutzern Kartennavigation zu ermöglichen) .
Mapbox verarbeitet die Daten ggf. auch in den USA. Wir haben mit Mapbox die von der EU-Kommission genehmigten Standarddatenschutzklauseln abgeschlossen, um ein angemessenes Datenschutzniveau zu gewährleisten. Darüber hinaus ist Mapbox nach dem EU–US Data Privacy Framework zertifiziert , wodurch ein angemessenes Datenschutzniveau auf Basis eines Angemessenheitsbeschlusses der EU-Kommission sichergestellt wird. Weitere Informationen zum Datenschutz bei Mapbox finden Sie in der Datenschutzerklärung von Mapbox.
Registrierung und Nutzung als Bewerber (Talent)
Wenn Sie sich als Bewerber (Talent) auf unserer Plattform registrieren, erheben wir die von Ihnen angegebenen Daten. Das umfasst in der Regel: Vor- und Nachname, E-Mail-Adresse, ggf. Telefonnummer, Wohnort/Region, Berufsbezeichnung oder handwerkliche Fachrichtung, Berufserfahrung, Qualifikationen, Gehaltsvorstellungen sowie weitere Profildaten (z.B. Freitexte zur Person, hochgeladene Dokumente wie Lebenslauf oder Zeugnisse, Profilfoto). Welche Daten genau erforderlich sind, entnehmen Sie bitte den Eingabefeldern im Registrierungsformular (Pflichtfelder sind entsprechend gekennzeichnet). Alle weiteren Angaben sind freiwillig.
Wir verwenden diese Daten, um Ihnen ein Profil auf unserer Plattform bereitzustellen und Sie für suchende Unternehmen auffindbar zu machen – schließlich ist Zweck unserer Dienstleistung, Sie mit potentiellen Arbeitgebern aus dem Handwerk zusammenzubringen. Die Profilangaben sind für registrierte Unternehmen in unserer Datenbank durchsuchbar. Rechtsgrundlage für die Verarbeitung Ihrer Bewerber-Daten ist primär Art. 6 Abs. 1 lit. b DSGVO, da die Datenverarbeitung zur Erfüllung unseres Vertrags mit Ihnen als Nutzer erfolgt (Bereitstellung der Job-Plattform und Vermittlungsdienstleistung). Soweit Sie freiwillig besondere Kategorien personenbezogener Daten angeben (z.B. ein Foto, das Rückschlüsse auf ethnische Herkunft oder Gesundheit zulässt), verarbeiten wir diese aufgrund Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO – solche Angaben sind natürlich vollkommen optional.
Standardmäßig ist Ihr Bewerberprofil für in der Plattform registrierte Unternehmen innerhalb der EU sichtbar. Das bedeutet, dass diese Unternehmen bestimmte Profildaten (z.B. Berufsprofil, Erfahrung, Standort) einsehen und in der Suche finden können. Ihre direkten Kontaktinformationen (wie Name, E-Mail oder Telefonnummer) werden den Unternehmen nicht sofort angezeigt, sondern sind initial geschützt/anonymisiert.
Wenn ein Unternehmen an Ihrem Profil Interesse hat, kann es Ihr Profil freischalten (auch "unlocken" genannt). Dieser Vorgang ist für Unternehmen kostenpflichtig oder an bestimmte Bedingungen geknüpft (z.B. ein gebuchtes Paket). Sobald ein Unternehmen Ihr Profil freischaltet, erhält es Zugriff auf Ihre Kontaktinformationen (Vorname, Nachname, E-Mail-Adresse und ggf. Telefonnummer), um Sie außerhalb unserer Plattform kontaktieren zu können. Wir informieren Sie in diesem Fall umgehend per E-Mail darüber, welches Unternehmen Ihr Profil freigeschaltet hat. Diese Benachrichtigung dient Ihrer Transparenz und Sicherheit, damit Sie wissen, wer Zugriff auf Ihre Kontaktdaten erhalten hat. Die Rechtsgrundlage für die Weitergabe Ihrer Kontaktdaten an interessierte Unternehmen ist ebenfalls Art. 6 Abs. 1 lit. b DSGVO, da dies Teil der von Ihnen gewünschten Vermittlungsleistung ist. Zusätzlich stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da sowohl Sie als auch das Unternehmen ein berechtigtes Interesse an einer direkten Kontaktaufnahme im Rahmen einer möglichen Anstellung haben.
Bitte beachten Sie, dass das freischaltende Unternehmen ab dem Zeitpunkt der Übermittlung Ihrer Kontaktdaten eigenständig für die weitere Verarbeitung dieser Daten verantwortlich ist (als eigener Verantwortlicher im datenschutzrechtlichen Sinne). Wir verpflichten unsere Kunden (Unternehmen) vertraglich, die erhaltenen Bewerberdaten vertraulich zu behandeln und ausschließlich für den Zweck des möglichen Stellenangebots zu verwenden, jedoch haben wir auf deren Datenverarbeitung außerhalb unserer Plattform keinen direkten Einfluss. Sollten Sie der Ansicht sein, ein Unternehmen gehe unsachgemäß mit Ihren Daten um, lassen Sie es uns bitte wissen.
Sie haben jederzeit die Kontrolle über die Sichtbarkeit Ihres Profils. In Ihren Konto-Einstellungen bieten wir eine Option (z.B. einen "Unsichtbar"-Schalter), mit der Sie Ihr Profil vor Suchanfragen von Unternehmen verbergen können. Wenn Sie diese Invisibility-Einstellung aktivieren, wird Ihr Profil keinem Unternehmen mehr in den Suchergebnissen angezeigt. Sie können diese Einstellung jederzeit selbstständig ändern. Rechtsgrundlage hierfür ist Art. 21 DSGVO (Widerspruchsrecht) bzw. Ihre Einwilligung, die Sie durch Deaktivierung der Sichtbarkeit widerrufen.
Unsere Plattform richtet sich ausschließlich an Unternehmen mit Sitz innerhalb der Europäischen Union. Wir erlauben nur EU-ansässigen Arbeitgebern die Registrierung und Suche nach Bewerbern. Eine Übermittlung Ihrer Profildaten an Unternehmen außerhalb der EU durch unsere Plattform findet daher nicht statt. Ihre Daten bleiben innerhalb des Geltungsbereichs der DSGVO, wenn sie von einem Unternehmen eingesehen werden.
Wir speichern Ihre Profildaten so lange, wie Ihr Nutzerkonto bei uns aktiv ist. Wenn Sie Ihr Konto löschen (oder dies von uns verlangen), werden Ihre personenbezogenen Profildaten aus unserem Live-System entfernt. Einzelne Daten können aus Sicherheitsgründen zunächst in Backup-Systemen verbleiben und werden spätestens im Rahmen regelmäßiger Sicherungslöschungen endgültig gelöscht bzw. anonymisiert. Wenn ein Unternehmen Ihr Profil bereits freigeschaltet und Ihre Daten erhalten hat, haben wir keinen Zugriff mehr auf die dort gespeicherten Kopien. Sie müssen sich in diesem Fall für eine Löschung direkt an das jeweilige Unternehmen wenden. Selbstverständlich können Sie alternativ auch uns kontaktieren; wir werden das betreffende Unternehmen dann über Ihr Löschbegehren informieren. Gesetzliche Aufbewahrungspflichten (siehe weiter unten Speicherdauer) bleiben unberührt.
Registrierung und Nutzung als Unternehmen (Arbeitgeber)
Unternehmen können unsere Plattform nutzen, um nach passenden Bewerbern zu suchen. Wenn Sie sich als Unternehmen registrieren, erheben wir verschiedene Daten von Ihnen bzw. Ihrem Unternehmensvertreter. Dazu gehören je nach Angaben: Firma/Unternehmensname, Rechtsform, Branche, Firmenanschrift, Website, Ansprechperson (Vor- und Nachname), Position/Titel, geschäftliche E-Mail-Adresse und Telefonnummer, sowie Zugangsdaten (Passwort) und spätere Nutzungsdaten (z.B. Suchhistorie). Pflichtangaben sind im Registrierungsprozess entsprechend markiert; weitere Informationen können freiwillig ergänzt werden (z.B. Firmenbeschreibung, Logo).
Wir verarbeiten diese Daten, um Ihnen ein Unternehmens-Konto bereitzustellen, mit dem Sie auf unserer Plattform Talente suchen und kontaktieren können. Die Unternehmens- und Ansprechpartner-Daten verwenden wir zur Verifizierung (wir möchten sicherstellen, dass es sich um echte Unternehmen handelt) und zur Kommunikation mit Ihnen im Rahmen der Vertragsbeziehung. So senden wir an die angegebene E-Mail z.B. Bestätigungsnachrichten, Benachrichtigungen über Profil-Freischaltungen oder wichtige Infos zu Ihrem Account.
Bestimmte Unternehmensinformationen (etwa Firmenname, Standort und Branche) können Bewerbern angezeigt werden. Dies geschieht zum Beispiel wenn Sie ein Profil freischalten. So weiß der Bewerber, welche Firma Interesse an ihm hat. Personenbezogene Kontaktdaten des Ansprechpartners (zum Beispiel Ihr Name oder E-Mail) geben wir an Bewerber nur weiter, soweit dies erforderlich ist oder Sie es selbst im Nachrichtentext mitteilen. Die erste Kontaktaufnahme läuft standardmäßig außerhalb der Plattform von Ihrer Seite aus per E-Mail oder Telefon an den Bewerber.
Rechtsgrundlage für die Verarbeitung der Unternehmens- und Kontakt-Daten ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags mit Ihnen als Kunde unserer Plattform). Soweit wir zur Betrugsprävention, Durchsetzung unserer AGB oder zur Wahrung der Netzwerksicherheit Unternehmensdaten analysieren oder austauschen, stützen wir dies zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufrechterhaltung eines seriösen und sicheren Marktplatzes).
Wenn Sie als Unternehmen kostenpflichtige Funktionen nutzen (z.B. das Freischalten von Bewerberprofilen im Rahmen eines bestimmten Pakets oder Einzelkaufs), verarbeiten wir auch Abrechnungsdaten. Das können Ihr vollständiger Unternehmensname, Rechnungsanschrift, Umsatzsteuer-ID (falls relevant) sowie die Zahlungsinformationen sein. Zahlungsdaten wie Kreditkartennummern werden nicht von uns selbst erhoben oder gespeichert – die Eingabe solcher Daten erfolgt direkt beim Zahlungsdienstleister (siehe Zahlungsabwicklung unten). Wir speichern lediglich Informationen zum gebuchten Produkt, Zahlungszeitpunkt, Zahlungsmethode und Erfolg/Misserfolg der Transaktion, um den Zahlungsstatus Ihrem Account zuordnen und Ihnen eine Rechnung bereitstellen zu können.
Als Unternehmen sind Sie dafür verantwortlich, die erhaltenen personenbezogenen Daten der Bewerber (z.B. aus freigeschalteten Profilen) im Einklang mit dem Datenschutzrecht zu verarbeiten. Insbesondere dürfen solche Daten ausschließlich zum Zweck der möglichen Anbahnung eines Beschäftigungsverhältnisses verwendet werden. Eine weitergehende Nutzung (z.B. Speicherung in einem eigenen Talent-Pool ohne Zustimmung des Bewerbers oder Weitergabe an Dritte) ist unzulässig. Wir behalten uns vor, die Nutzung durch Unternehmen zu überwachen und bei Verstößen gegen Datenschutz oder unsere AGB geeignete Maßnahmen zu ergreifen.
Die Daten Ihres Unternehmens-Accounts speichern wir grundsätzlich für die Dauer der aktiven Geschäftsbeziehung. Wenn Sie Ihr Unternehmenkonto löschen oder längere Zeit (z.B. mehr als 12 Monate) nicht nutzen, können wir Ihr Konto sperren oder entfernen. Geschäftsrelevante Unterlagen (z.B. Rechnungen) bewahren wir im Rahmen gesetzlicher Vorgaben auf (siehe Speicherdauer).
Kontaktaufnahme und Kommunikation
Kontakt per E-Mail oder Kontaktformular
Wenn Sie mit uns in Kontakt treten (z.B. per E-Mail an unsere Kontaktadresse oder über ein bereitgestelltes Kontaktformular), verarbeiten wir die von Ihnen mitgeteilten personenbezogenen Daten (z.B. Name, E-Mail-Adresse, Inhalt der Nachricht) ausschließlich, um Ihr Anliegen zu bearbeiten und zu beantworten. Diese Kommunikation und die darin enthaltenen Daten behandeln wir vertraulich.
Rechtsgrundlage für die Verarbeitung Ihrer Kontaktdaten ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen). Sofern Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags zielt (z.B. Support für bestehende Nutzer), ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage. Wenn Sie uns freiwillig weitere Informationen geben, werten wir dies als Einwilligung zur Verarbeitung dieser Angaben (Art. 6 Abs. 1 lit. a DSGVO) – diese können Sie selbstverständlich jederzeit durch eine Nachricht an uns widerrufen, mit Wirkung für die Zukunft.
Zur Verwaltung unseres E-Mail-Postfachs nutzen wir den Dienst Google Workspace (Gmail). Anbieter im Europäischen Wirtschaftsraum ist die Google Ireland Limited, Irland, ein Unternehmen der Google LLC (USA). E-Mails, die Sie an uns senden, werden auf den Google-Servern gespeichert. Dabei kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Google ist vertraglich durch EU-Standardvertragsklauseln gebunden und hat zusätzliche Garantien implementiert. Zudem ist Google nach dem EU–US Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau gemäß Beschluss der EU-Kommission gewährleistet ist. Weitere Informationen finden Sie in der Datenschutzerklärung von Google bzw. der Zusatzinfo für Geschäftskunden.
Wir weisen darauf hin, dass die Kommunikation per E-Mail Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist uns leider nicht möglich. Bitte senden Sie keine hochsensiblen Informationen (z.B. besondere Kategorien von Daten) unverschlüsselt per E-Mail.
Newsletter und Marketing-E-Mails
Sofern Sie darin ausdrücklich eingewilligt haben, verwenden wir Ihre E-Mail-Adresse, um Ihnen unseren E-Mail-Newsletter bzw. Marketing-Nachrichten zuzusenden. In unserem Newsletter informieren wir Sie etwa über neue Funktionen von Bautalent, Neuigkeiten aus der Branche oder passende Jobangebote. Welche Inhalte im Einzelnen versendet werden, ist in der Einwilligungserklärung benannt. Rechtsgrundlage für den Versand ist Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung).
Wir verwenden für den Newsletter-Versand das Double-Opt-In-Verfahren. Das heißt, nach Ihrer Anmeldung (z.B. durch Ankreuzen eines entsprechenden Feldes oder Eingabe Ihrer E-Mail in ein Newsletter-Feld) erhalten Sie zunächst eine E-Mail, in der wir Sie um Bestätigung Ihrer Anmeldung bitten. Erst wenn Sie den darin enthaltenen Bestätigungslink anklicken, wird Ihre Adresse in unseren aktiven Verteiler aufgenommen. Auf diese Weise stellen wir sicher, dass die angegebene E-Mail-Adresse tatsächlich Ihnen gehört und niemand Drittes unbefugt Ihre Adresse eingetragen hat. Die Protokollierung Ihrer Anmeldung erfolgt ebenfalls. Wir speichern den Zeitpunkt der Anmeldung und Bestätigung, die verwendete IP-Adresse sowie den Inhalt der Einwilligungserklärung. Diese Verarbeitung stützen wir auf Art. 6 Abs. 1 lit. f DSGVO – unser berechtigtes Interesse liegt in der Nachweisbarkeit der ordnungsgemäßen Einwilligung und dem Schutz vor Missbrauch.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie z.B. den Abmelde-Link am Ende jeder Newsletter-E-Mail anklicken oder uns formlos über die oben angegebenen Kontaktdaten informieren. Nach erfolgtem Widerruf werden wir Ihre E-Mail-Adresse aus dem aktiven Verteiler entfernen. Wir behalten uns vor, Ihre E-Mail anschließend in einer Sperrliste (Blacklist) zu verarbeiten, um sicherzustellen, dass Sie keine weiteren Newsletter mehr von uns erhalten. Die Aufnahme in diese interne Sperrliste erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO mit dem berechtigten Interesse, den zukünftigen Versand von E-Mails an Sie zu verhindern, die Sie nicht wünschen.
Für den Versand unseres Newsletters und gegebenenfalls weiterer transaktionaler E-Mails nutzen wir den Dienst SendGrid. SendGrid wird im Europäischen Wirtschaftsraum von der Twilio Ireland Limited (Irland) betrieben, einer Tochtergesellschaft der Twilio Inc. (USA). Die zur Newsletter-Anmeldung erfassten Daten (E-Mail-Adresse und ggf. Name) werden an die Server von Twilio/SendGrid übertragen und dort zum Versand und zur Auswertung der Newsletter gespeichert. Twilio ist unter den EU-Standardvertragsklauseln als Auftragsverarbeiter für uns tätig und bietet damit vertragliche Garantien zum Schutz Ihrer Daten. Twilio (USA) ist zudem nach dem EU–US Data Privacy Framework zertifiziert, was durch einen Angemessenheitsbeschluss der EU-Kommission ein dem EU-Recht vergleichbares Datenschutzniveau sicherstellt. Weitere Informationen finden Sie in der Datenschutzerklärung von Twilio. Eine Übermittlung Ihrer Daten in die USA kann dabei stattfinden. Twilio nutzt die Daten unserer Newsletter-Empfänger jedoch nicht, um sie selbst anzuschreiben oder an Dritte weiterzugeben, sondern verarbeitet sie ausschließlich nach unseren Weisungen zum Zweck des E-Mail-Versands.
Zahlungsabwicklung
Für die Abwicklung von Zahlungen (z.B. wenn ein Unternehmen kostenpflichtige Dienste auf unserer Plattform nutzt) setzen wir den Zahlungsdienst Stripe ein. Stripe ist ein etablierter Payment-Anbieter, über den wir z.B. Kreditkartenzahlungen oder andere Zahlungsmethoden sicher abwickeln können. Anbieter innerhalb der EU ist Stripe Payments Europe Limited, Irland. Bei Zahlungsvorgängen können jedoch Daten an die Konzernmutter Stripe, Inc., USA weitergeleitet werden.
Wenn Sie eine Zahlung durchführen, erhebt Stripe die zur Durchführung benötigten Zahlungsdaten (z.B. Kreditkartennummer, Gültigkeit, CVC; bei SEPA Lastschrift IBAN usw.) direkt über ein von Stripe bereitgestelltes Eingabeformular. Wir selbst erhalten keinen Zugriff auf vollständige Zahlungsdaten wie Kreditkartennummern – diese werden direkt von Stripe verarbeitet. Wir übermitteln an Stripe lediglich die Informationen, die zur Zahlungsabwicklung notwendig sind, etwa den zu zahlenden Betrag, Währung, eine Transaktions-ID sowie zugeordnete Kundendaten (Name, E-Mail-Adresse, Rechnungsanschrift), damit Stripe die Zahlung zuordnen kann. Diese Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem effizienten und sicheren Zahlungsprozess). Stripe verwendet die übermittelten Daten zur Zahlungsabwicklung, zur Missbrauchsprävention und zur Verbesserung seiner Services.
Stripe agiert uns gegenüber als eigenständiger Verantwortlicher für die Zahlungsabwicklung. Das bedeutet, Stripe nutzt die Daten zur Durchführung der Zahlung und zur Einhaltung gesetzlicher Vorschriften (etwa Anti-Geldwäsche-Bestimmungen) in eigener Verantwortung. Näheres dazu finden Sie in der Stripe-Datenschutzerklärung.
Stripe kann personenbezogene Daten in die USA übermitteln. Stripe ist jedoch nach dem EU–US Data Privacy Framework zertifiziert und hat zudem die aktuellen EU-Standardvertragsklauseln in seine Datenverarbeitungsvereinbarungen integriert. Hierdurch ist ein angemessenes Datenschutzniveau sichergestellt. Zusätzlich verspricht Stripe, stets alternative Rechtsmechanismen bereit zu halten, falls einzelne Mechanismen (z.B. das Data Privacy Framework) wegfallen sollten . Sie können auf Wunsch Einsicht in die von Stripe verwendeten Standardvertragsklauseln und Sicherheitsmaßnahmen nehmen.
Wir erhalten von Stripe nach erfolgter Zahlung Informationen über den Zahlungsstatus (Erfolg oder Fehlschlag) und eine Zuordnung zur entsprechenden Transaktion. Diese Informationen speichern wir zusammen mit Ihren Accountdaten, um z.B. Ihren Premium-Status zu vermerken oder eine Rechnung ausstellen zu können. Rechtsgrundlagen hierfür sind ebenfalls die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und unsere rechtlichen Pflichten zur Buchführung (Art. 6 Abs. 1 lit. c DSGVO). Rechnungsdokumente bewahren wir gemäß den gesetzlichen handels- und steuerrechtlichen Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre) auf.
Datenweitergabe und eingesetzte Dienstleister
Zu den eingesetzten Dienstleistern gehört insbesondere die Strato AG (Deutschland) als Hosting-Anbieter für unsere Server- und Datenbankinfrastruktur. Strato verarbeitet personenbezogene Daten ausschließlich in unserem Auftrag und nach unseren Weisungen auf Grundlage eines abgeschlossenen Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Wir geben Ihre personenbezogenen Daten niemals ohne Rechtsgrundlage oder ohne Ihr Wissen an unbeteiligte Dritte weiter. Eine Weitergabe erfolgt nur, wenn:
Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
dies zur Erfüllung unseres Vertrags mit Ihnen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
wir einer rechtlichen Verpflichtung unterliegen (Art. 6 Abs. 1 lit. c DSGVO, z.B. Auskunft an Strafverfolgungsbehörden) oder
wir ein berechtigtes Interesse an der Weitergabe haben und Ihre schutzwürdigen Interessen nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO).
In einigen Bereichen bedienen wir uns externer Dienstleister, die in unserem Auftrag Daten verarbeiten (Auftragsverarbeiter nach Art. 28 DSGVO). Diese Dienstleister wurden von uns sorgfältig ausgewählt, vertraglich verpflichtet und erhalten nur in dem Umfang Zugriff auf personenbezogene Daten, wie es für die Erbringung ihrer Leistung erforderlich ist. Beispiele für solche Dienstleister sind unser Frontend-Hosting-Provider (Vercel), E-Mail-Dienste (Google Workspace, SendGrid/Twilio), Zahlungsabwicklung (Stripe) oder CDN/Medienhosting (Cloudinary) und unser Backend-Hosting-Provider (Strato). Mit all diesen Dienstleistern bestehen Verträge nach den Vorgaben des Art. 28 DSGVO. Die Dienstleister werden Ihre Daten nicht zu eigenen Zwecken nutzen oder weitergeben.
In bestimmten Fällen kann eine Datenweitergabe an andere selbst verantwortliche Stellen stattfinden – etwa die Übermittlung Ihrer Daten an ein Arbeitgeber-Unternehmen, wenn dieses Ihr Profil freischaltet (siehe oben). In solchen Fällen informieren wir Sie wie beschrieben. Auch bei Zahlungen agiert Stripe als eigener Verantwortlicher für bestimmte Verarbeitungsschritte.
Eine Übermittlung an staatliche Institutionen und Behörden erfolgt nur im Rahmen zwingender nationaler Rechtsvorschriften oder wenn wir durch gerichtliche Entscheidung dazu verpflichtet werden.
Datenübermittlung in Drittländer
Wann immer wir personenbezogene Daten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeiten oder durch Dritte verarbeiten lassen, stellen wir ein angemessenes Datenschutzniveau sicher. Einige unserer Dienstleister haben ihren Sitz in den USA oder könnten von dort aus auf Daten zugreifen (z.B. Vercel, Google, Twilio, Stripe, Cloudinary, Mapbox). Die USA gelten datenschutzrechtlich als sogenanntes Drittland ohne generelles angemessenes Datenschutzniveau. Wir haben daher besondere Vorkehrungen getroffen:
Für Dienstleister in den USA, die an dem neuen EU–US Data Privacy Framework (DPF) teilnehmen, erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission. Die Zertifizierung unter dem DPF bedeutet, dass diese Unternehmen sich zur Einhaltung europäischer Datenschutzgrundsätze verpflichtet haben. Beispielsweise sind Google, Stripe, Twilio (SendGrid), Mapbox und seit 2023 auch Vercel unter dem DPF zertifiziert. Ein aktueller Zertifizierungsstatus kann auf der offiziellen Liste des DPF-Programms eingesehen werden.
Unabhängig davon (und insbesondere für Dienstleister, die nicht am DPF teilnehmen) schließen wir EU-Standardvertragsklauseln mit den Empfängern ab. Diese von der EU-Kommission erlassenen Vertragsklauseln verpflichten den Empfänger in Drittstaaten, das europäische Datenschutzniveau einzuhalten und den Betroffenen wirksame Rechtsbehelfe einzuräumen. Wo nötig, haben wir die Klauseln um zusätzliche technische und organisatorische Schutzmaßnahmen ergänzt.
In Einzelfällen stützen wir die Übermittlung zudem auf Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO), etwa wenn Sie von uns eine Dienstleistung wünschen, die ohne eine solche Übermittlung nicht erbracht werden kann und wir Sie hierüber informiert haben.
Bitte wenden Sie sich bei Fragen zu den konkreten Garantien für den Datentransfer oder bei Wunsch nach Einsicht in vertragliche Vereinbarungen gerne an uns.
Speicherdauer und Löschung
Wir speichern Ihre personenbezogenen Daten grundsätzlich nur so lange, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist, für die wir sie erhoben haben. Sobald Ihre Daten dafür nicht mehr benötigt werden, löschen oder anonymisieren wir sie routinemäßig.
Ihre Kontodaten und Profile bleiben gespeichert, solange Sie ein aktiver Nutzer unserer Plattform sind. Wenn Sie Ihr Konto löschen oder uns dazu auffordern, entfernen wir sämtliche personenbezogenen Daten aus der aktiven Datenbank. Eine weitere Nutzung ist dann nicht mehr möglich. Sollte Ihr Konto über einen sehr langen Zeitraum inaktiv sein, behalten wir uns vor, es zum Schutz Ihrer Daten zu löschen oder zu anonymisieren – hierüber würden wir Sie vorab informieren (derzeit ist keine automatische Löschung bei Inaktivität festgelegt, Ihre Daten bleiben also erhalten, solange Sie ein Konto bei uns haben oder keine Löschung wünschen).
Wie oben beschrieben, können Sie Ihre Profildaten jederzeit aktualisieren oder löschen. Wenn Sie Profilinformationen entfernen, werden diese umgehend aus der Plattform entfernt. Ihr komplettes Profil können Sie durch Konto-Löschung entfernen lassen. Wir weisen darauf hin, dass Suchmaschinen oder andere Archive evtl. ältere Profilinformationen noch für einen gewissen Zeitraum im Cache behalten könnten; darauf haben wir keinen Einfluss, jedoch bemühen wir uns, bei öffentlich indexierten Seiten (wie evtl. Firmenprofilseiten) entsprechende Meta-Tags zu setzen, damit diese nicht von Suchmaschinen gespeichert werden.
E-Mails und Kontaktanfragen werden von uns gespeichert, solange dies für die Abwicklung erforderlich ist. Anschließend prüfen wir in regelmäßigen Abständen, ob wir die Konversation noch benötigen. Geschäftliche Korrespondenz bewahren wir nach handelsrechtlichen Vorgaben bis zu 6 Jahre auf.
Server-Logfiles werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für einige Zeit gespeichert und dann gelöscht. Eine genaue Löschfrist kann je nach Serverkonfiguration variieren (typischerweise ca. 7 bis 14 Tage). Wenn länger eine Aufbewahrung zu Beweiszwecken erforderlich ist, werden die betreffenden Log-Einträge bis zur endgültigen Klärung des Vorfalls aufbewahrt und erst dann gelöscht.
Rechnungs- und Zahlungsdaten: Aufgrund gesetzlicher Aufbewahrungspflichten (aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO)) sind wir verpflichtet, bestimmte Daten aufzubewahren. Rechnungen, buchungsrelevante Belege und Zahlungsinformationen speichern wir 10 Jahre ab dem Jahresende der Entstehung. Geschäftliche E-Mails (sofern sie als Handelsbriefe zu werten sind) bewahren wir 6 Jahre auf. Während dieser Fristen werden die Daten nicht für andere Zwecke verarbeitet und der Zugriff darauf ist eingeschränkt.
Von unseren Datenbanken werden regelmäßige Sicherungskopien (Backups) erstellt, die zeitlich begrenzt vorgehalten werden. Auch dort werden Daten nach definierten Zeiten überschrieben/gelöscht. Im Falle einer Wiederherstellung aus einem Backup (z.B. nach einem technischen Problem) kann es ausnahmsweise vorkommen, dass bereits als gelöscht markierte Daten kurzfristig erneut erscheinen – in solch einem Fall werden wir uns bemühen, diese umgehend erneut zu entfernen.
Sollte im Einzelfall eine Löschung nicht oder nur mit unverhältnismäßigem Aufwand möglich sein, treten an deren Stelle entsprechende Einschränkungen der Verarbeitung. Das heißt, die betreffenden Daten werden technisch und organisatorisch gesperrt (z.B. durch Rechteentzug), so dass sie nur noch für die gesetzlich notwendigen Zwecke verfügbar sind.
Ihre Rechte als betroffene Person
Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO die folgenden Rechte zu, die Sie uns gegenüber jederzeit unentgeltlich ausüben können:
Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft darüber zu erhalten, welche personenbezogenen Daten wir von Ihnen verarbeiten, und weitere Informationen dazu (u.a. Verarbeitungszwecke, Kategorien von Daten, Empfänger, geplante Speicherdauer, Herkunft der Daten bei Dritterhebung, ggf. Bestehen einer automatisierten Entscheidungsfindung).
Recht auf Berichtigung (Art. 16 DSGVO): Sie können unverzüglich die Berichtigung falscher oder Vervollständigung unvollständiger, bei uns gespeicherter personenbezogener Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das "Recht auf Vergessenwerden", d.h. Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist insbesondere der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, Sie Widerspruch gegen die Verarbeitung eingelegt haben und keine überwiegenden berechtigten Gründe vorliegen, oder wenn die Verarbeitung unrechtmäßig erfolgte.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen (z.B. wenn Sie die Richtigkeit der Daten bestreiten, für die Dauer der Überprüfung; oder wenn Sie Löschung wegen unzulässiger Verarbeitung abgelehnt haben und stattdessen Einschränkung verlangen).
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten, und – soweit technisch machbar – deren Übermittlung an einen anderen Verantwortlichen zu verlangen. Dies gilt allerdings nur, sofern die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, sofern wir diese auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten. Im Falle Ihres Widerspruchs werden wir die betreffende Verarbeitung Ihrer Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Insbesondere können Sie jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zum Zwecke der Direktwerbung einlegen (Art. 21 Abs. 2 DSGVO). Wenn Sie von diesem Recht Gebrauch machen, werden wir Ihre Daten nicht mehr für Direktmarketing-Zwecke nutzen.
Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Viele Datenverarbeitungsvorgänge erfolgen nur mit Ihrer ausdrücklichen Einwilligung. Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit zu widerrufen. Der Widerruf gilt ab dem Zeitpunkt der Mitteilung an uns. Die Rechtmäßigkeit der Verarbeitung, die bis zum Widerruf erfolgte, bleibt davon unberührt.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen unbeschadet anderweitiger Rechtsbehelfe das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Sie können dies bei der für uns zuständigen Behörde (Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, E-Mail: poststelle@lfd.niedersachsen.de) oder jeder anderen Aufsichtsbehörde tun.
Zur Ausübung Ihrer Rechte können Sie uns jederzeit unter den oben genannten Kontaktdaten erreichen. Wir bitten Sie, uns in diesem Fall ausreichende Informationen zur Zuordnung Ihrer Person zu geben (z.B. Ihren vollständigen Namen, zugehörige E-Mail-Adresse und – falls vorhanden – Kundennummer), damit wir Ihre Anfrage effizient bearbeiten können. Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb der gesetzlichen Frist von einem Monat beantworten.
Pflicht zur Bereitstellung von Daten
Die Bereitstellung Ihrer personenbezogenen Daten ist grundsätzlich freiwillig. Für den Abschluss oder die Erfüllung eines Vertrags ist es aber mitunter erforderlich, dass Sie uns bestimmte Daten bereitstellen. Wir weisen Sie jeweils (z.B. im Registrierungsformular) darauf hin, welche Eingaben erforderlich sind (Pflichtfelder) und welche freiwillig erfolgen können. Wenn Sie erforderliche Daten nicht angeben, kann es sein, dass wir den gewünschten Dienst nicht erbringen können – beispielsweise können Sie ohne Angabe einer E-Mail-Adresse kein Benutzerkonto erstellen oder keinen Newsletter empfangen. Gesetzliche Verpflichtungen zur Bereitstellung bestimmter Daten (etwa steuerliche Identifikationsmerkmale) werden wir ebenfalls kenntlich machen oder sind aus den jeweiligen Umständen ersichtlich.
Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um auf geänderte rechtliche, technische oder wirtschaftliche Rahmenbedingungen zu reagieren. Die jeweils aktuelle Version der Datenschutzerklärung ist auf unserer Website unter www.bautalent.com/policies/privacy-policy abrufbar. Bei erheblichen Änderungen (insbesondere solcher, die Ihre Einwilligung betreffen oder die inhaltlich für Sie nachteilig sein könnten) werden wir Sie auf geeignete Weise (z.B. per E-Mail oder durch einen Hinweis auf der Website) informieren.