Datenschutzerklärung für IdoneaChat

1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Datenschutz auf einen Blick: Die wichtigsten Fragen beantwortet

Um Ihnen einen schnellen Überblick zu ermöglichen, beantworten wir hier die zentralen Fragen zum Datenschutz bei IdoneaChat. Detaillierte Informationen finden Sie in den nachfolgenden Abschnitten.

Welche personenbezogenen Daten werden erhoben?

• Für Bewerber: Wir erheben Ihre bei WhatsApp hinterlegte Telefonnummer, Ihren Namen sowie den gesamten Inhalt Ihrer Konversation mit unserer KI. Dies schließt alle Ihre Antworten auf Fragen zu Qualifikationen, Erfahrung etc. und alle von Ihnen hochgeladenen Dokumente (z.B. Lebenslauf) ein.
• Für unsere Kunden (Recruiter): Wir erheben Firmen-, Kontakt-, Vertrags- und Zahlungsdaten, die für die Geschäftsbeziehung notwendig sind.

Warum werden diese Daten überhaupt erhoben (Zweck)?

Die Daten der Bewerber werden ausschließlich erhoben, um den Bewerbungsprozess im Auftrag unseres Kunden (des einstellenden Unternehmens) durchzuführen. Zweck ist die Erfassung und Vorqualifizierung Ihrer Bewerbung für eine spezifische Stelle.

Was passiert mit den erhobenen Daten?

Ihre Bewerbungsdaten werden von unserer KI in Echtzeit verarbeitet, um das Gespräch zu führen. Anschließend werden die gesammelten Informationen aufbereitet und unserem Kunden (dem Recruiter) zur Verfügung gestellt. Alle Ihre Bewerbungsdaten werden 14 Tage nach Ende des Chats automatisch und unwiderruflich von unseren Systemen gelöscht.

Werden die erhobenen Daten an Dritte weitergegeben?

Ja, zur Erbringung unseres Dienstes nutzen wir spezialisierte Dienstleister (sog. Auftragsverarbeiter oder Subprozessoren), die Ihre Daten in unserem Auftrag verarbeiten: WhatsApp, WASenderAPI und Google Cloud. Details finden Sie unter Ziffer 6.

Findet ein grenzüberschreitender Datenverkehr statt?

Ja, bei der Nutzung von WhatsApp und der Google Cloud können Daten in die USA übermittelt werden. Wir sichern solche Übermittlungen durch von der EU-Kommission genehmigte Standardvertragsklauseln (SCCs) ab, um ein angemessenes Datenschutzniveau zu gewährleisten.

Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen?

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, darunter durchgehende Verschlüsselung, strenge Zugriffskontrollen und Verträge zur Auftragsverarbeitung (AVV).

3. Allgemeine Grundsätze und Begriffsbestimmungen

Diese Datenschutzerklärung beruht auf den Begrifflichkeiten der Datenschutz-Grundverordnung (DSGVO). Wichtige Begriffe sind:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Speichern, Übermitteln oder Löschen.
• Auftragsverarbeiter (Subprozessor): Ein Dienstleister, der personenbezogene Daten in unserem Auftrag verarbeitet.

4. Art, Umfang und Zweck der Datenverarbeitung im Detail

a) Bewerbung auf Initiative des Bewerbers

Wenn Sie als Bewerber aktiv einen Bewerbungsprozess über einen von einem unserer Kunden bereitgestellten Link oder QR-Code starten, verarbeiten wir folgende Daten:

• Datenkategorien: Ihre bei WhatsApp hinterlegte Telefonnummer und Name, Kommunikationsinhalte (Antworten, hochgeladene Dokumente wie Lebenslauf, Zeugnisse), Metadaten (Zeitstempel).
• Zweck: Entgegennahme, Vorqualifizierung und Weiterleitung Ihrer Bewerbung an unseren Kunden (das einstellende Unternehmen).
• Rechtsgrundlage: Die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Ihre Anfrage erfolgen (Art. 6 Abs. 1 lit. b DSGVO).

b) Kontaktaufnahme mit potenziellen Bewerbern im Auftrag unserer Kunden

In manchen Fällen kann es sein, dass einer unserer Kunden (ein Recruiter) Sie über unseren Dienst via WhatsApp kontaktiert. Dies geschieht ausschließlich unter folgender Bedingung:

• Voraussetzung: Sie müssen diesem Kunden gegenüber vorab eine ausdrückliche und nachweisbare Einwilligung erteilt haben, dass Sie zu Recruiting-Zwecken über WhatsApp kontaktiert werden dürfen. Wir selbst nehmen keinen Kontakt ohne eine solche, von unserem Kunden eingeholte Einwilligung auf.
• Zweck & Rechtsgrundlage: Die Verarbeitung Ihrer Daten (Telefonnummer, Name) für die Kontaktaufnahme basiert in diesem Fall auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit widerrufen (siehe Ziffer 8).

c) Für unsere Kunden (Recruiter)

Zur Vertragsabwicklung mit unseren Geschäftskunden verarbeiten wir deren Firmen-, Kontakt-, Vertrags- und Zahlungsdaten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

5. Die Rolle der KI: Unterstützung, nicht Entscheidung

Unsere künstliche Intelligenz (KI) ist ein unterstützendes Werkzeug, das den Bewerbungsprozess effizienter gestalten soll. Die KI analysiert die von Ihnen im Chat gegebenen Antworten, extrahiert die für die Stellenausschreibung relevanten Informationen und bereitet diese in einer strukturierten Zusammenfassung für den Recruiter auf.

Auf dieser Basis kann die KI eine Empfehlung bezüglich der Passgenauigkeit eines Bewerbers abgeben. Wir stellen jedoch unmissverständlich klar: Die KI trifft keine Entscheidungen. Der Dienst von IdoneaChat führt zu keiner automatisierten Entscheidung im Einzelfall im Sinne von Artikel 22 DSGVO. Die finale und alleinige Entscheidungsgewalt über den weiteren Verlauf des Bewerbungsprozesses (z.B. Einladung zu einem Gespräch, Absage) liegt ausschließlich und zu jeder Zeit bei einem Menschen – dem zuständigen Recruiter unseres Kunden.

6. Einsatz von Subprozessoren (Auftragsverarbeitern)

Wir setzen für unseren Dienst spezialisierte externe Dienstleister ein. Mit allen Subprozessoren haben wir einen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO geschlossen, der sie an unsere Weisungen bindet.

• WhatsApp (Meta Platforms Ireland Ltd., Dublin, Irland): Dient als Kommunikationsplattform. Eine Datenübermittlung in die USA durch Meta ist möglich und wird durch Standardvertragsklauseln (SCCs) abgesichert.
• WASenderAPI (https://wasenderapi.com/): Stellt die technische Schnittstelle zu WhatsApp bereit. Gemäß unserem Vertrag werden Kommunikationsinhalte nicht gespeichert oder zwischengespeichert, sondern nur transient (flüchtig) für den Moment der technischen Zustellung verarbeitet und sofort gelöscht.
• Google Cloud Platform (Google Cloud EMEA Ltd., Dublin, Irland): Dient dem Hosting unserer Anwendung und KI auf Servern innerhalb der EU (Standort Frankfurt am Main). Gemäß unserer Konfiguration werden Ihre Daten von Google nicht für eigene Zwecke analysiert oder dauerhaft zwischengespeichert.

7. Speicherbegrenzung und Ihr Recht auf Löschung

Wir folgen strikt dem Grundsatz der Speicherbegrenzung.

• Automatische Löschung nach 14 Tagen: Alle personenbezogenen Bewerberdaten (Chatverläufe, Dokumente, Metadaten) werden auf unseren Systemen automatisch und unwiderruflich 14 Tage nach Beendigung des Chats gelöscht. Diese Frist ermöglicht es unserem Kunden, Ihre Bewerbung zu sichten und in seine eigenen Systeme zu übertragen.
• Ihr Recht auf vorzeitige Löschung: Unabhängig von der automatischen Löschung haben Sie jederzeit das Recht, die sofortige Löschung Ihrer bei uns gespeicherten Daten zu verlangen. Kontaktieren Sie uns hierfür einfach unter den in Ziffer 1 genannten Kontaktdaten. Wir werden Ihrem Wunsch unverzüglich nachkommen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (was im Falle von Bewerberdaten in der Regel nicht der Fall ist).

8. Ihre Rechte als betroffene Person (Betroffenenrechte)

Ihnen stehen bezüglich Ihrer bei uns verarbeiteten Daten umfassende Rechte zu.

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben jederzeit das Recht, von uns eine umfassende Auskunft über die zu Ihrer Person gespeicherten Daten zu verlangen. Diese Auskunft umfasst Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer und die Herkunft der Daten, sofern diese nicht bei Ihnen selbst erhoben wurden.
• Recht auf Berichtigung (Art. 16 DSGVO): Sollten die über Sie gespeicherten Daten unrichtig oder unvollständig sein, haben Sie das Recht, deren unverzügliche Berichtigung oder Vervollständigung zu verlangen.
• Recht auf Löschung (“Recht auf Vergessenwerden”) (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen. Diesem Verlangen kommen wir nach, insbesondere wenn der Zweck der Verarbeitung entfallen ist, Sie Ihre Einwilligung widerrufen oder die Daten unrechtmäßig verarbeitet wurden. Ihr Recht auf vorzeitige Löschung ist unter Ziffer 7 detailliert beschrieben.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass wir die Verarbeitung Ihrer Daten einschränken (d.h. die Daten werden nur noch gespeichert, aber nicht mehr anderweitig genutzt).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen.
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Ihrer Einwilligung basiert (wie bei der Kontaktaufnahme durch uns im Auftrag eines Kunden, siehe Ziffer 4b), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann formlos per E-Mail an uns erfolgen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Nach einem Widerruf werden wir Sie nicht mehr über diesen Kanal kontaktieren.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde.

Zur Ausübung all dieser Rechte wenden Sie sich bitte an die unter Ziffer 1 genannte Kontaktadresse.

9. Datensicherheit

Wir treffen alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen (TOMs), um Ihre Daten vor Verlust, unberechtigtem Zugriff und Missbrauch zu schützen. Hierzu gehören die Verschlüsselung der Datenübertragung (SSL/TLS), die Verschlüsselung der gespeicherten Daten (Encryption at Rest), strenge Zugriffskontrollen und Berechtigungskonzepte sowie regelmäßige Sicherheitsüberprüfungen.