Der Datenschutz

1. Verantwortlicher und Datenschutzkontakt

Verantwortlich für die Verarbeitung personenbezogener Daten ist:

Verantwortlicher: jobnext24 GmbH
Vertreten durch: Andreas Fiege (Geschäftsführer)
Anschrift: An der Reitbahn 2, 21218 Seevetal
Telefon: 04105 – 14 98 41 0
E-Mail (allgemein): info@jobnext24.de

Datenschutzkontakt:

Andreas Fiege
An der Reitbahn 2
21218 Seevetal
E-Mail: a.fiege@jobnext24.de
Betreff: Datenschutz

Hinweis zum Datenschutzbeauftragten (DSB)

Die jobnext24 GmbH prüft die Pflicht zur Bestellung eines betrieblichen oder externen Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG. Aufgrund der umfangreichen Verarbeitung von Beschäftigten- und Gesundheitsdaten im Rahmen der Arbeitnehmerüberlassung ist eine entsprechende Bestellung vorgesehen.

Bis zur förmlichen Bestellung steht Herr Andreas Fiege als Datenschutzkontakt zur Verfügung. Anfragen richten Sie bitte unter dem Betreff „Datenschutz“ an: a.fiege@jobnext24.de.

Sobald ein Datenschutzbeauftragter förmlich bestellt ist, werden diese Hinweise mit dessen Kontaktdaten aktualisiert.

2. Geltungsbereich dieser Datenschutzhinweise

Diese Hinweise gelten für personenbezogene Daten von Bewerberinnen und Bewerbern, Kandidatinnen und Kandidaten, externen Mitarbeitenden, internen Mitarbeitenden, ehemaligen Beschäftigten, Kunden, Ansprechpartnern bei Kunden und Interessenten, Lieferanten, Geschäftspartnern sowie Nutzerinnen und Nutzern unserer Website und Kommunikationskanäle einschließlich Newsletter-Abonnentinnen und -Abonnenten.

Die jobnext24 GmbH ist als Personaldienstleister und Arbeitgeber im Bereich der Arbeitnehmerüberlassung darauf angewiesen, personenbezogene Daten rechtmäßig, nachvollziehbar und zweckgebunden zu verarbeiten. Hierzu gehören insbesondere Recruiting, Matching, Bewerberkommunikation, Anlage und Pflege von Personalstammdaten, Einsatzplanung, Überlassungsdokumentation, Arbeitszeit- und Fehlzeitenerfassung, Lohnabrechnung, gesetzliche Meldungen, Kundenbetreuung, Vertrieb, Newsletter-Kommunikation und interne Organisation.

Diese Informationen gelten unabhängig davon, ob die Daten über unsere Website, E-Mail, Telefon, persönliche Gespräche, Messenger-Dienste, Bewerbungsportale, zvoove-Systeme, Kundenunternehmen, öffentlich zugängliche Quellen oder sonstige berechtigte Quellen erhoben werden.

3. Datenschutzgrundsätze

Wir verarbeiten personenbezogene Daten nach den Grundsätzen der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Innerhalb unseres Unternehmens erhalten nur die Personen Zugriff auf Daten, die diese für ihre Aufgaben benötigen.

- Keine Verarbeitung ohne Zweck und Rechtsgrundlage.
- Keine Nutzung privater KI- oder Messenger-Accounts für personenbezogene Geschäftsdaten.
- Keine ausschließlich automatisierten Personalentscheidungen.
- Besondere Kategorien personenbezogener Daten werden nur verarbeitet, wenn dies arbeits-, sozialversicherungs-, gesundheits- oder arbeitsschutzrechtlich erforderlich ist oder eine ausdrückliche Einwilligung vorliegt.
- Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Betroffene Personengruppen und typische Datenkategorien

Bewerber / Kandidaten: Name, Kontaktdaten, Lebenslauf, Zeugnisse, Qualifikationen, Berufserfahrung, Sprachkenntnisse, Führerschein, Mobilität, Verfügbarkeit, Gehalts- und Einsatzwünsche, Interviewnotizen, Eignungseinschätzungen, Kommunikationsverlauf, Einwilligungen, Absage- und Statusinformationen.

Externe Mitarbeitende / Leiharbeitnehmer: Stammdaten, Kontaktdaten, Geburtsdaten, Sozialversicherungs- und Steuerdaten, Bankverbindung, Vertragsdaten, Einsatzdaten, Arbeitszeiten, Fehlzeiten, Urlaubs- und Arbeitszeitkonten, Qualifikationen, Arbeitsschutzunterweisungen, Arbeitserlaubnisse, Aufenthaltsstatus, Lohn- und Abrechnungsdaten, Bescheinigungen, Korrespondenz.

Interne Mitarbeitende: Personalstamm, Bewerbungs- und Vertragsdaten, Arbeitszeit, Urlaub, Fehlzeiten, Lohn und Gehalt, Rollen und Berechtigungen, Leistungsdokumentation, IT-Nutzungsdaten, Schulungsnachweise.

Kunden, Interessenten, Ansprechpartner: Name, Funktion, dienstliche Kontaktdaten, Arbeitgeber/Unternehmen, Kommunikationsverlauf, Vakanzen, Anforderungsprofile, Einsatzorte, Konditionen, Abrechnungsdaten, Vertrags- und Auftragsdaten.

Lieferanten / Dienstleister: Kontakt- und Vertragsdaten, Zahlungsdaten, Leistungsnachweise, Kommunikationsdaten.

Newsletter-Abonnenten: Vorname, Nachname, E-Mail-Adresse, Einwilligungsdatum und -nachweis (Double-Opt-in), Öffnungs- und Klickdaten (sofern Tracking aktiviert).

Website-Nutzer: IP-Adresse, Logdaten, Browser-/Gerätedaten, Zeitpunkt des Zugriffs, aufgerufene Seiten, Cookie-Kenner, Analyse- und Werbedaten (nach Einwilligung), Tracking-Pixel-Ereignisse (Meta-Pixel/CAPI), Conversion-Ereignisse, Kontaktformularinhalte.

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO können im Beschäftigungs- und Einsatzkontext insbesondere Gesundheitsdaten (z. B. Arbeitsunfähigkeit ohne Diagnose, Arbeitsunfall, Arbeitsschutz, Vorsorgeuntersuchung), Angaben zur Schwerbehinderung, Religionszugehörigkeit im Rahmen der Lohnsteuer sowie Mutterschutz- und Elternzeitdaten sein. Diagnosen werden grundsätzlich nicht aktiv angefordert.

5. Herkunft der Daten

Wir erhalten personenbezogene Daten insbesondere von den betroffenen Personen selbst, aus Bewerbungsunterlagen, Gesprächen, E-Mails, Telefonaten, Messenger-Nachrichten, Bewerbungsportalen, Kundenanforderungen, Kundenunternehmen, öffentlich zugänglichen beruflichen Quellen, Social-Media-/Business-Netzwerken, der Bundesagentur für Arbeit, Sozialversicherungsträgern, Krankenkassen, Finanzbehörden, Gerichten, Rechtsanwälten, Steuerberatern sowie Berufsgenossenschaften.

Bei Active Sourcing und Vertrieb können berufsbezogene Kontaktdaten und Informationen aus öffentlich zugänglichen Quellen oder aus professionellen Datenbanken (z. B. Index Anzeigendaten / IndexMedia) verarbeitet werden. Dies erfolgt nur, soweit ein berechtigtes Interesse besteht und die schutzwürdigen Interessen der betroffenen Personen nicht überwiegen.

Informationspflicht bei Datenerhebung aus Drittquellen: Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben (z. B. bei Active Sourcing), informieren wir die betroffene Person gemäß Art. 14 DSGVO über die Verarbeitung, in der Regel innerhalb eines Monats nach Erhebung, spätestens jedoch bei der ersten Kontaktaufnahme. Auf Wunsch wird die Verarbeitung sofort eingestellt.

6. Zwecke und Rechtsgrundlagen der Verarbeitung

Bewerbung, Recruiting, Auswahl: Zweck: Durchführung des Bewerbungsverfahrens, Prüfung von Qualifikation und Eignung, Terminabstimmung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG; bei freiwilligen Angaben Art. 6 Abs. 1 lit. a DSGVO.

Bewerberpool / Talentpool: Zweck: Speicherung für spätere passende Einsätze. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Widerruf jederzeit möglich.

Active Sourcing: Zweck: Ansprache geeigneter Personen über berufliche Netzwerke. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Informationspflicht nach Art. 14 DSGVO.

Kandidatenprofile / Vorstellung bei Kunden: Zweck: Erstellung und Übermittlung passender Profile zur Besetzung von Vakanzen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG; ggf. Art. 6 Abs. 1 lit. a DSGVO.

Personalverwaltung / Beschäftigung: Zweck: Begründung, Durchführung und Beendigung von Arbeitsverhältnissen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO i. V. m. § 26 Abs. 1 BDSG.

Arbeitnehmerüberlassung / AÜG: Zweck: Einsatzplanung, Überlassungsdokumentation, Equal Pay, Höchstüberlassungsdauer. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO i. V. m. § 26 BDSG; AÜG.

Lohnabrechnung, Steuern, SV: Zweck: Entgeltabrechnung, ELStAM, DEÜV, Meldungen, Zahlungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO; § 26 BDSG; Art. 9 Abs. 2 lit. b DSGVO.

Kundenverwaltung, Aufträge, Faktura: Zweck: Vertragsanbahnung, Auftragserfassung, Abrechnung, Forderungsmanagement. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c, f DSGVO.

Vertrieb und Leadgewinnung: Zweck: B2B-Ansprache, Pflege von Interessenten- und Ansprechpartnerdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; § 7 UWG bei elektronischer Werbung.

Newsletter-Versand (Brevo): Zweck: Versand von Informations- und Werbe-E-Mails. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Double-Opt-in); Widerruf jederzeit.

Messenger-/SuperChat-/WhatsApp-Kommunikation: Zweck: Schnelle Abstimmung zu Disposition, Erreichbarkeit, Kundenkommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG; Art. 6 Abs. 1 lit. f DSGVO.

Website-Analyse (Google Analytics 4): Zweck: Auswertung Nutzerverhalten, Reichweitenmessung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).

Werbung / Tracking (Google Ads, Meta-Pixel/CAPI/Custom Audiences): Zweck: Conversion-Messung, Remarketing, Zielgruppen-Targeting. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung); für Meta-Pixel zusätzlich Art. 26 DSGVO.

Kartendienst (OpenStreetMap): Zweck: Anzeige Standortkarten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, ergänzend Art. 6 Abs. 1 lit. f DSGVO.

Schriftarten (Adobe Fonts): Zweck: Einheitliche Schriftdarstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, ergänzend Art. 6 Abs. 1 lit. f DSGVO.

Workflow-Automatisierung (Make): Zweck: Verknüpfung und Synchronisation verschiedener Tools und Datenflüsse, insbesondere für interne Prozesse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); bei Verarbeitung von Bewerber- oder Kundendaten zusätzlich Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG.

KI-Unterstützung (ChatGPT Enterprise): Zweck: Erstellung und Verbesserung von Texten, Recherche, Strukturierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Art. 6 Abs. 1 lit. b/c DSGVO soweit erforderlich.

IT-Sicherheit, Protokolle: Zweck: Schutz der Systeme, Zugriffssteuerung, Nachvollziehbarkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. c, f DSGVO; Art. 32 DSGVO.

Rechtsdurchsetzung und Verteidigung: Zweck: Geltendmachung oder Verteidigung rechtlicher Ansprüche. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Art. 9 Abs. 2 lit. f DSGVO.

7. Besondere Hinweise zur Datenverarbeitung in der Zeitarbeit

7.1 Bewerbermanagement, Matching und Kandidatenprofile

Wir verarbeiten Bewerberdaten, um passende Beschäftigungsmöglichkeiten und Einsätze zu prüfen. Hierzu werden Such-, Filter- und Matchingfunktionen im zvoove-System genutzt.

Matching-Logik: Das System gleicht Bewerberdaten (Beruf, Qualifikation, Erfahrung, Verfügbarkeit, Mobilität, Arbeitszeitwunsch, Entgeltgruppe, Einsatzort) automatisch mit Kundenanforderungen ab und erstellt eine priorisierte Trefferliste als Entscheidungsgrundlage für unsere Disponenten. Es findet kein automatischer Ausschluss statt. Die verantwortliche Entscheidung über Kontaktaufnahme, Einladung, Einstellung, Einsatzzuweisung oder Absage trifft ausschließlich ein Mitarbeitender der jobnext24 GmbH. Betroffene können jederzeit eine Erläuterung des Matching-Ergebnisses anfragen.

Fotos, Videos und besonders persönliche Zusatzangaben werden nur verarbeitet, wenn eine wirksame Einwilligung vorliegt. Bei Profilvertrieb und Kandidatenvorstellung wird vorab geprüft, ob eine Anonymisierung ausreicht oder ob eine namentliche Übermittlung erforderlich ist.

7.2 Externe Mitarbeitende, Einsatzplanung und Kundenübermittlung

Zur Durchführung der Arbeitnehmerüberlassung verarbeiten wir Daten über Einsatzort, Tätigkeit, Qualifikation, Arbeitszeiten, Schichten, Arbeitsschutzanforderungen, Equal Pay, Höchstüberlassungsdauer und sonstige einsatzbezogene Informationen. Kundenunternehmen erhalten nur die Daten, die sie für die Durchführung des Einsatzes, Arbeitsschutz, Zugang, Leistungsnachweis, Abrechnung und gesetzliche Pflichten benötigen.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Soweit jobnext24 und ein Kundenunternehmen im Einzelfall gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden (z. B. bei Zeiterfassung beim Kunden, Zugangskontrollen oder Einsatzdokumentation), können sie gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO sein. In diesem Fall wird eine entsprechende Vereinbarung geschlossen. Betroffene können den wesentlichen Inhalt auf Anfrage erhalten.

7.3 Arbeitszeit, Fehlzeiten, Gesundheit und Arbeitsschutz

Arbeitszeiten, Fehlzeiten, Urlaub, Arbeitsunfähigkeit und arbeitsschutzrelevante Informationen werden verarbeitet, soweit dies für Einsatzplanung, Lohnabrechnung, Entgeltfortzahlung, Arbeitsschutz, Berufsgenossenschaft oder gesetzliche Meldungen erforderlich ist. Diagnosen werden nicht benötigt und sollen nicht übermittelt werden.

7.4 Aufenthalts- und Arbeitserlaubnis, Identitätsprüfungen

Soweit gesetzlich erforderlich, verarbeiten wir Nachweise zu Identität, Aufenthaltsstatus, Arbeitserlaubnis, Sozialversicherung, Steuermerkmalen, Führerschein, Qualifikation, Sicherheitsunterweisungen und sonstigen Einsatzvoraussetzungen.

7.5 Lohnabrechnung und gesetzliche Meldungen

Für die Lohnabrechnung verarbeiten wir abrechnungsrelevante Stamm- und Bewegungsdaten, Bankdaten, Steuerdaten, Sozialversicherungsdaten, Krankenkassendaten, Pfändungen sowie gesetzliche Meldedaten. Diese Daten können an Sozialversicherungsträger, Krankenkassen, Finanzverwaltung, Berufsgenossenschaften, Banken, Steuerberater und Behörden übermittelt werden.

8. Eingesetzte Systeme und Softwarelösungen

zvoove Cockpit: Zweck: Bewerbermanagement, Recruiting, Bewerberkommunikation, eingebettetes Kontakt-/Bewerbungsformular auf der Website. Datenarten: Bewerber- und Kandidatendaten, Kommunikationsdaten, Einwilligungen. Datenschutzanforderung: AVV nach Art. 28 DSGVO; Verarbeitung innerhalb EU; automatische Löschlogik aktivieren.

zvoove PDL / One: Zweck: Personalverwaltung, Kunden-/Disposition, Einsatzplanung, Auftragsverwaltung. Datenarten: Personalstammdaten, Kundenkontakte, Einsatzdaten, Qualifikationen. Datenschutzanforderung: Rollen- und Rechtekonzept; Protokollierung; Datenminimierung bei Freitextnotizen.

zvoove Payroll: Zweck: Lohn- und Gehaltsabrechnung, gesetzliche Meldungen, Bescheinigungen. Datenarten: Lohn-, Steuer-, SV-, Bank-, Arbeitszeit-, Fehlzeitendaten. Datenschutzanforderung: Besonders schutzwürdig; Zugriff streng beschränken; gesetzliche Aufbewahrung beachten.

SuperChat: Zweck: Zentrale Kommunikation mit Mitarbeitenden, Bewerbern, Kunden (Multichannel-Inbox). Datenarten: Kontaktdaten, Nachrichteninhalte, Zeitpunkte, ggf. WhatsApp-Metadaten. Datenschutzanforderung: AVV erforderlich; keine Diagnosen, Ausweisdokumente, Lohnabrechnungen über Messenger.

WhatsApp Business: Zweck: Direkte Kommunikation mit Bewerbern/Kunden über WhatsApp. Datenarten: Kontaktdaten, Nachrichteninhalte, Metadaten. Datenschutzanforderung: WhatsApp Ireland Limited; AVV abgeschlossen; SCC + DPF; kein Adressbuchabgleich.

Brevo (Newsletter): Zweck: Versand und Verwaltung von E-Mail-Newslettern und Kampagnen. Datenarten: Vorname, Nachname, E-Mail-Adresse, Einwilligungsnachweis, Öffnungs-/Klickdaten. Datenschutzanforderung: Brevo GmbH, Tochter der Sendinblue SAS (Frankreich, EU); AVV nach Art. 28 DSGVO; SCC für Subauftragnehmer; Double-Opt-in-Nachweis aufbewahren.

ChatGPT Enterprise / OpenAI: Zweck: Unterstützung bei Texterstellung, Recherche, Zusammenfassung. Datenarten: Minimierte, anonymisierte/pseudonymisierte Sachverhalte; nur in Enterprise-Umgebung. Datenschutzanforderung: DPA/AVV mit OpenAI; EU-U.S. Data Privacy Framework; keine Trainingsdatennutzung per DPA; menschliche Endkontrolle.

IndexMedia / Index Anzeigendaten: Zweck: Vertriebliche Recherche, Vakanzen, Leadgenerierung. Datenarten: Unternehmensdaten, dienstliche Ansprechpartner, öffentlich zugängliche Daten. Datenschutzanforderung: Berechtigtes Interesse; Widersprüche beachten; § 7 UWG bei elektronischer Werbung.

IONOS (Webhosting): Zweck: Bereitstellung und Betrieb der Website jobnext24.de. Datenarten: IP-Adressen, Server-Logfiles, Zugriffsdaten. Datenschutzanforderung: AVV mit IONOS SE, Server in Deutschland; Art. 6 Abs. 1 lit. f DSGVO.

Google Tag Manager: Zweck: Zentrale Verwaltung von Tracking- und Marketing-Tags auf der Website. Datenarten: Geräteinformationen, Cookie-Kenner; eigentliche Datenverarbeitung erfolgt durch eingebundene Dienste. Datenschutzanforderung: Google Ireland Limited; AVV; Einbindung nach Einwilligung über Consent-Banner.

Google Analytics 4: Zweck: Webanalyse, Auswertung Nutzerverhalten, Reichweitenmessung. Datenarten: User-ID, Geräte- und Nutzungsdaten, Standort (auf Stadt-/Regionebene), Maus-/Scroll-/Klick-Daten. Datenschutzanforderung: Google Ireland Limited; AVV; SCC + DPF (Participant 5780); IP-Anonymisierung; Einwilligung erforderlich.

Google Ads (inkl. Remarketing, Conversion-Tracking, Kundenabgleich): Zweck: Werbeschaltung, Conversion-Messung, Remarketing. Datenarten: Klick- und Conversion-Daten, Cookies, Kundenlisten (gehashte E-Mails). Datenschutzanforderung: Google Ireland Limited; SCC + DPF (Participant 5780); Einwilligung erforderlich.

Meta-Pixel / Meta Conversion API / Meta Custom Audiences: Zweck: Conversion-Messung, Werbe-Targeting bei Facebook/Instagram. Datenarten: Pixel-Ereignisse, IP-Adresse, User-Agent, Aufruf- und Klickdaten, ggf. erweiterter Abgleich (Name, E-Mail, Telefon). Datenschutzanforderung: Meta Platforms Ireland Limited; gemeinsame Verantwortlichkeit nach Art. 26 DSGVO; SCC + DPF (Participant 4452); Einwilligung erforderlich.

Adobe Fonts: Zweck: Bereitstellung einheitlicher Schriftarten auf der Website. Datenarten: IP-Adresse beim Schriftabruf. Datenschutzanforderung: Adobe Systems Incorporated, USA; SCC + DPF (Participant 5660); Einwilligung empfohlen.

OpenStreetMap: Zweck: Anzeige interaktiver Karten zu unseren Standorten. Datenarten: IP-Adresse, Nutzungsverhalten, ggf. Cookies. Datenschutzanforderung: OpenStreetMap Foundation, UK (Angemessenheitsbeschluss); Einwilligung erforderlich.

Make (vormals Integromat): Zweck: Automatisierung interner Workflows; Verbindung und Synchronisation verschiedener Tools. Datenarten: Je nach Workflow unterschiedliche Daten; aktuell keine Bewerberdaten – eine Erweiterung ist möglich und wird ggf. gesondert dokumentiert. Datenschutzanforderung: Make s.r.o., Prag, Tschechien (EU); AVV nach Art. 28 DSGVO; Verarbeitung innerhalb der EU; bei Erweiterung auf Bewerberdaten DSFA-Prüfung.

Cookie-Consent-Tool: Zweck: Einholung und Verwaltung von Einwilligungen für optionale Cookies und Dienste. Datenarten: Consent-ID, Einwilligungsstatus, Zeitpunkt, technische Daten. Datenschutzanforderung: Rechtsgrundlage § 25 Abs. 2 Nr. 2 TDDDG; AVV mit Anbieter; konkreter Anbieter ist hier einzutragen.

Office, E-Mail, Dateiablage, Backups: Zweck: Allgemeine Kommunikation, Dokumentation, IT-Betrieb. Datenarten: Bewerber-, Mitarbeiter-, Kunden-, Kommunikationsdaten. Datenschutzanforderung: Zugriffsrechte, Verschlüsselung, Löschkonzept, keine privaten Schattenakten.

9. Einsatz von Künstlicher Intelligenz (KI)

Wir setzen KI-Systeme nur kontrolliert, zweckgebunden und unter menschlicher Verantwortung ein. KI dient der Unterstützung, nicht dem Ersatz menschlicher Personal- oder Geschäftsentscheidungen.

9.1 Zulässige KI-Nutzung

- Entwurf, Strukturierung und sprachliche Verbesserung von Schreiben, Textbausteinen und internen Arbeitshilfen.
- Zusammenfassung nicht sensibler Sachverhalte oder anonymisierter Fallkonstellationen.
- Erstellung allgemeiner, nicht personenbezogener Vorlagen, Checklisten und Schulungsunterlagen.
- Unterstützung bei Recherche und Plausibilisierung, sofern Ergebnisse fachlich geprüft werden.

9.2 Unzulässige oder nur nach Freigabe zulässige KI-Nutzung

- Keine Eingabe von Gesundheitsdaten, Diagnosen, Ausweisdokumenten, Lohnabrechnungen, Bankdaten oder Steuerdaten ohne ausdrückliche interne Freigabe.
- Keine automatische Bewertung, Ablehnung oder Priorisierung von Bewerbern durch KI, wenn daraus faktisch eine Personalentscheidung folgt.
- Keine KI-generierten Abmahnungen oder Kündigungen ohne menschliche Endprüfung.
- Keine Nutzung privater KI-Konten (z. B. kostenloser ChatGPT-Account) für personenbezogene Unternehmensdaten.

9.3 KI im Recruiting und in der Mitarbeitersteuerung

KI-Systeme, die Bewerbungen analysieren oder Bewerber filtern, können nach der EU-KI-Verordnung (Verordnung (EU) 2024/1689) in den Hochrisiko-Bereich nach Anhang III fallen. Die jobnext24 GmbH setzt derzeit keine Hochrisiko-KI-Systeme im Sinne der KI-Verordnung ein. Das systemgestützte Matching in zvoove (vgl. Abschnitt 7.1) dient ausschließlich der Vorbereitung menschlicher Entscheidungen und stellt keine Hochrisiko-Anwendung dar. Vor einer etwaigen künftigen Nutzung erfolgen eine gesonderte Freigabe, eine Risikobewertung sowie ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

9.4 Transparenz, Schulung und Kontrolle

Mitarbeitende, die KI einsetzen, werden zu Datenschutz, Datenminimierung, Halluzinationsrisiken, Vertraulichkeit und Diskriminierungsrisiken geschult. Bei Nutzung von ChatGPT Enterprise werden ausschließlich die Business-/Enterprise-Umgebungen mit Data Processing Agreement genutzt. Es erfolgt kein Training durch OpenAI auf Basis eingegebener Unternehmensdaten. KI-Ausgaben werden vor Verwendung fachlich und rechtlich plausibilisiert.

10. Automatisierte Entscheidungsfindung und Profiling

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Systemgestützte Such-, Filter- und Matchingfunktionen (vgl. Abschnitt 7.1) dienen ausschließlich der Vorbereitung menschlicher Entscheidungen. Werbe-Targeting durch Google Ads und Meta-Pixel (vgl. Abschnitt 20) erfolgt nur nach Einwilligung und führt nicht zu rechtlich erheblichen Entscheidungen gegenüber den betroffenen Personen.

11. Empfänger und Kategorien von Empfängern

Innerhalb der jobnext24 GmbH erhalten nur diejenigen Stellen Zugriff, die Daten für ihre Aufgaben benötigen. Externe Empfänger erhalten Daten nur, wenn dies rechtlich erlaubt, vertraglich erforderlich, gesetzlich vorgeschrieben oder durch Einwilligung gedeckt ist.

Kundenunternehmen / Entleiher: Kandidatenprofile, Einsatzdaten, Qualifikationen, Kontaktdaten, Arbeitszeitnachweise (nur für Einsatz, Arbeitsschutz, Abrechnung).

Sozialversicherungsträger, Krankenkassen, Finanzamt, Berufsgenossenschaft, Bundesagentur für Arbeit: Meldungen, Bescheinigungen, steuer- und sozialversicherungsrechtliche Daten.

Banken und Zahlungsdienstleister: Zahlungsdaten für Lohn, Abschläge, Erstattungen, Rechnungen.

Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, Gerichte, Inkasso: Daten zur Beratung, Prüfung, Rechtsdurchsetzung und Forderungsbearbeitung.

IT- und Softwaredienstleister (Auftragsverarbeiter): zvoove, SuperChat, WhatsApp/Meta, Brevo (Brevo GmbH/Sendinblue SAS), IONOS, OpenAI (ChatGPT Enterprise), Google (Analytics, Ads, Tag Manager), Adobe, Make (EU), OpenStreetMap, Cookie-Consent-Tool, Hosting-, Support- und Backup-Dienstleister.

Stellenbörsen und Recruiting-Partner: Veröffentlichung von Stellenangeboten und Empfang von Bewerbungen über Portale wie z. B. Bundesagentur für Arbeit, Indeed, Stepstone, LinkedIn, XING.

Lieferanten und Kundenportale: Nur erforderliche Daten für Zugang, Arbeitsschutz oder Vertragsabwicklung.

Auftragsverarbeiter werden nach Art. 28 DSGVO vertraglich verpflichtet und verarbeiten Daten nur nach Weisung der jobnext24 GmbH.

12. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten außerhalb der EU oder des EWR erfolgt nur, wenn hierfür eine rechtliche Grundlage und geeignete Garantien bestehen. Übersicht der wesentlichen Drittlandübermittlungen:

12.1 OpenAI / ChatGPT Enterprise (USA)

Verarbeitung durch OpenAI LLC, 3180 18th Street, San Francisco, CA 94110, USA. Transfermechanismus: Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (10.07.2023), sofern OpenAI unter dem DPF zertifiziert ist; ergänzend DPA mit Standardvertragsklauseln. Aktuelle Zertifizierungen: www.dataprivacyframework.gov. Im Enterprise-Plan kein Training mit Eingaben. Eingaben werden vor Übermittlung minimiert.

12.2 Brevo / Sendinblue (Frankreich, ggf. internationale Subauftragnehmer)

Anbieter: Brevo GmbH (Tochtergesellschaft der Sendinblue SAS, 17 rue de Salneuve, 75017 Paris, Frankreich). Die Datenverarbeitung erfolgt primär innerhalb der EU. Soweit Subauftragnehmer außerhalb des EWR eingesetzt werden, erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. AVV nach Art. 28 DSGVO ist abgeschlossen.

12.3 WhatsApp / Meta (Irland und USA)

Anbieter WhatsApp: WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. WhatsApp teilt nach eigener Aussage personenbezogene Daten mit seiner Konzernmutter Meta Platforms, Inc. (USA). Anbieter Meta-Pixel / CAPI / Custom Audiences: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland; Daten werden auch in die USA und andere Drittländer übertragen. Transfermechanismus: EU-Standardvertragsklauseln; ergänzend DPF (Participant 4452 für Meta, Participant 7735 für WhatsApp). Wir nutzen den Messenger-Kanal nicht für besonders sensible Daten (Diagnosen, Lohnabrechnungen, Ausweisdokumente).

12.4 Google – Analytics, Ads, Tag Manager (Irland und USA)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Übertragung auch an Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Transfermechanismus: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework (Participant 5780). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Ohne Einwilligung werden Dienste nicht aktiviert.

12.5 Adobe Fonts (USA)

Anbieter: Adobe Systems Incorporated, 345 Park Avenue, San Jose, CA 95110-2704, USA. Transfermechanismus: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework (Participant 5660).

12.6 OpenStreetMap (Vereinigtes Königreich)

Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich. Für Großbritannien besteht ein Angemessenheitsbeschluss der EU-Kommission; ein Drittlandtransfer im Sinne weiterer Garantien ist nicht erforderlich.

13. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Die nachfolgenden Fristen sind Regelwerte; im Einzelfall können längere Fristen gelten (z. B. bei laufenden Verfahren, Prüfungen oder Rechtsstreitigkeiten).

Bewerbungsdaten bei Absage: In der Regel 6 Monate nach Abschluss des Bewerbungsverfahrens (§ 15 Abs. 4 AGG). Bei drohenden Klageverfahren bis zu 3 Jahre (§ 195 BGB).

Bewerberpool / Talentpool: Nur mit Einwilligung; Daten werden spätestens 2 Jahre nach Erteilung der Einwilligung gelöscht. Im zvoove Cockpit ist die automatische Löschlogik zu aktivieren.

Personalakte / Beschäftigtendaten: Differenzierte Speicherung: Lohnabrechnungs-, Steuer- und Buchungsdokumente unterliegen Aufbewahrungspflichten von 10 Jahren (§ 257 HGB, § 147 AO). Andere Bestandteile der Personalakte (z. B. Bewerbungsunterlagen, Leistungsbeurteilungen, Abmahnungen) werden gelöscht, sobald der konkrete Verarbeitungszweck entfallen ist; Abmahnungen in der Regel nach 2–3 Jahren. Gesundheitsdaten werden frühestmöglich gelöscht oder gesperrt.

Lohnabrechnungs-, Steuer- und Buchungsdaten: 10 Jahre (§ 147 AO, § 257 HGB); in Einzelfällen länger bei Betriebsprüfungen oder Rechtsstreitigkeiten.

Arbeitszeit-, Einsatz- und AÜG-Nachweise: Mindestaufbewahrung von Überlassungsnachweisen nach AÜG: 2 Jahre; abrechnungsrelevante Daten: bis zu 10 Jahre.

Gesundheits-/Fehlzeitendaten: Nur solange für Entgeltfortzahlung, Abrechnung, Arbeitsschutz oder Rechtsverteidigung erforderlich; in der Regel nicht länger als 3 Jahre nach Beendigung des Arbeitsverhältnisses.

Kunden-/Interessentendaten: Dauer der Geschäftsbeziehung zzgl. 10 Jahre für buchhalterische Unterlagen (§ 257 HGB); reine Kontaktdaten ohne Vertragsbezug: bis zu 3 Jahre nach letztem Kontakt.

Newsletter-Abonnenten: Bis zum Widerruf der Einwilligung (Abmeldung); Einwilligungsnachweis (Double-Opt-in-Log) wird 3 Jahre nach Abmeldung aufbewahrt (§§ 195, 199 BGB).

Messenger-/SuperChat-/WhatsApp-Kommunikation: Solange für Bearbeitung, Nachweis oder Kundenbetreuung erforderlich; in der Regel nicht länger als 2 Jahre nach letztem Kontakt.

Website-Tracking-Daten (Google Analytics, Google Ads, Meta-Pixel): Google Analytics: bis zu 2 Jahre. Google Ads-Cookies (gclau): 90 Tage. Meta-Pixel: nach Vorgabe von Meta, üblicherweise bis zu 180 Tage. Eigene Auswertungen werden anschließend nur aggregiert/anonymisiert gespeichert.

Website-Logdaten (IONOS): In der Regel 7–14 Tage; bei Sicherheitsvorfällen oder Angriffen bis zu 90 Tage.

KI-Eingaben und KI-Ergebnisse: Nur solange für Dokumentation oder Qualitätssicherung erforderlich; Eingaben werden minimiert und soweit möglich anonymisiert.

14. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich erforderlich. Ohne erforderliche Daten können wir Bewerbungen nicht ordnungsgemäß bearbeiten, Arbeitsverhältnisse nicht begründen oder durchführen, Lohn nicht abrechnen, gesetzliche Meldungen nicht vornehmen oder Kundenaufträge nicht erfüllen.

Freiwillige Angaben (z. B. Bewerberpool, Fotos, Newsletter, optionale Cookies) können verweigert oder später widerrufen werden, ohne Nachteile. Dies gilt nicht für Daten, die für das Arbeitsverhältnis oder gesetzliche Pflichten erforderlich sind.

15. Einwilligungen und Widerruf

Soweit wir Verarbeitungen auf eine Einwilligung stützen, ist die Einwilligung freiwillig, informiert und jederzeit mit Wirkung für die Zukunft widerrufbar. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Nach Widerruf löschen oder sperren wir die betroffenen Daten, soweit keine andere Rechtsgrundlage oder gesetzliche Pflicht die weitere Verarbeitung erlaubt.

Im Beschäftigungsverhältnis stützen wir notwendige Verarbeitungen grundsätzlich nicht auf Einwilligung, sondern auf Vertrag (Art. 6 Abs. 1 lit. b DSGVO), § 26 BDSG, gesetzliche Pflichten oder berechtigte Interessen. Einwilligungen nutzen wir nur für freiwillige Zusatzverarbeitungen wie die längere Bewerberpool-Speicherung, Fotos oder den Newsletter-Empfang.

16. Widerspruchsrecht nach Art. 21 DSGVO

PFLICHTHINWEIS: Ihr Widerspruchsrecht nach Art. 21 DSGVO

Sie haben das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Dies gilt auch für ein etwaiges Profiling auf Grundlage dieser Bestimmung.

Widerspruch gegen Direktwerbung: Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung einzulegen. In diesem Fall werden Ihre Daten nicht mehr für diesen Zweck verarbeitet. Dieser Widerspruch erfordert keine Begründung.

Widerspruch richten Sie an: a.fiege@jobnext24.de (Betreff: „Widerspruch Datenschutz“).

Wir verarbeiten die Daten nach einem Widerspruch nicht mehr weiter, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

17. Rechte der betroffenen Personen

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

- Auskunft über die verarbeiteten personenbezogenen Daten (Art. 15 DSGVO).
- Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO).
- Löschung personenbezogener Daten (Art. 17 DSGVO), soweit keine Aufbewahrungs- oder Nachweispflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO), soweit anwendbar.
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO) – siehe Abschnitt 16.
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
- Nicht einer ausschließlich automatisierten Entscheidung im Sinne von Art. 22 DSGVO unterworfen zu werden.
- Erläuterung des Matching-Ergebnisses bei Nutzung systemgestützter Such- und Filterfunktionen (vgl. Abschnitt 7.1).

Geltendmachung der Rechte: Nachricht an a.fiege@jobnext24.de mit Betreff „Datenschutz“. Die Bearbeitung erfolgt grundsätzlich kostenfrei und innerhalb eines Monats nach Eingang des Antrags (Art. 12 Abs. 3 DSGVO); diese Frist kann bei komplexen Anträgen um zwei weitere Monate verlängert werden, worüber wir Sie informieren. Bei begründeten Zweifeln an der Identität können wir einen angemessenen Identitätsnachweis verlangen (Art. 12 Abs. 6 DSGVO), z. B. Ausweiskopie mit Schwärzung nicht benötigter Felder.

18. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für die jobnext24 GmbH ist regelmäßig die folgende Aufsichtsbehörde zuständig:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen): Prinzenstraße 5, 30159 Hannover Telefon: 0511 120-4500 E-Mail: poststelle@lfd.niedersachsen.de Website: www.lfd.niedersachsen.de

Eine Beschwerde kann auch bei jeder anderen zuständigen Aufsichtsbehörde eingereicht werden. Wir empfehlen, Datenschutzanliegen zunächst direkt an uns zu richten, damit wir diese kurzfristig klären können.

19. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM), um personenbezogene Daten gegen Verlust, unbefugten Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Dies umfasst insbesondere:

- Rollen- und Berechtigungskonzepte in zvoove, Payroll, SuperChat, E-Mail und Dateiablage.
- Zugriffsbeschränkung nach dem Need-to-know-Prinzip.
- Passwort- und Authentifizierungsregeln; soweit verfügbar Mehr-Faktor-Authentifizierung.
- SSL-/TLS-Verschlüsselung für die Website und Datenübertragung.
- Verschlüsselung bei Übertragung und Speicherung, soweit technisch verfügbar und angemessen.
- Protokollierung und Nachvollziehbarkeit relevanter Systemzugriffe und Änderungen.
- Backups, Wiederherstellungsverfahren und Schutz vor Schadsoftware.
- Vertraulichkeitsverpflichtungen und regelmäßige Datenschutz- und KI-Schulungen der Mitarbeitenden.
- Vertragliche Verpflichtung von Auftragsverarbeitern (Art. 28 DSGVO) und Prüfung von Unterauftragnehmerbeziehungen.
- Lösch- und Sperrkonzept für Bewerberdaten, Personalakten und nicht mehr benötigte Kommunikationsdaten.
- Melde- und Reaktionsprozess für Datenschutzverletzungen nach Art. 33, 34 DSGVO.
- Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO bei umfangreicher Verarbeitung besonderer Datenkategorien.

20. Website, Cookies, Online-Dienste und Kommunikation

20.1 Webhosting (IONOS)

Diese Website wird gehostet von der IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland. IONOS erfasst beim Besuch verschiedene Logfiles einschließlich IP-Adressen. Details: https://www.ionos.de/terms-gtc/terms-privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Ein AVV nach Art. 28 DSGVO ist abgeschlossen. Server in Deutschland.

20.2 Cookies und Tracking-Technologien

Unsere Website verwendet Cookies und ähnliche Technologien. Wir unterscheiden zwischen technisch notwendigen Cookies und optionalen Cookies, die nur nach Ihrer ausdrücklichen Einwilligung gesetzt werden (§ 25 Abs. 1 TDDDG).

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO.

Optionale Cookies (nur nach Einwilligung)

Die nachfolgenden Cookies werden nur gesetzt, wenn Sie hierzu über unser Cookie-Consent-Tool eingewilligt haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

ga, ga_* (Google Analytics 4): Analyse des Nutzungsverhaltens (Seitenaufrufe, Verweildauer). Speicherdauer: bis zu 2 Jahre. Anbieter: Google Ireland Limited / Google LLC, USA. Transfermechanismus: EU-U.S. Data Privacy Framework.

gclau, gclls (Google Ads / Conversion Linker): Messung von Werbekonversionen und Conversion-Tracking. Speicherdauer: 90 Tage. Anbieter: Google Ireland Limited / Google LLC, USA.

_fbp, fr (Meta-Pixel / Facebook): Identifizierung des Nutzers für Werbung auf Facebook/Instagram und Conversion-Tracking. Speicherdauer: bis zu 90 Tage. Anbieter: Meta Platforms Ireland Limited.

Consent-Cookie: Speichert Ihre Cookie-Einwilligungen. Technisch notwendig nach § 25 Abs. 2 Nr. 2 TDDDG.

Hinweis zum Cookie-Consent-Tool

Optionale Cookies werden erst gesetzt, nachdem Sie Ihre Einwilligung erteilt haben. Die Einwilligung wird über ein Cookie-Consent-Tool (Consent-Banner) eingeholt, das beim ersten Seitenaufruf erscheint. Der konkret eingesetzte Anbieter des Consent-Tools wird hier ergänzt (Platzhalter, vom Betreiber einzutragen, z. B. Cookiebot, Usercentrics, Borlabs, Real Cookie Banner).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen auf unserer Website erneut aufrufen.

20.3 Google Tag Manager

Auf unserer Website nutzen wir den Google Tag Manager (Container-ID GTM-WW2RR66P) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Tag Manager dient der zentralen Verwaltung von Tracking- und Marketing-Tags. Der Tag Manager selbst erfasst keine personenbezogenen Daten; die durch ihn eingebundenen Dienste werden erst nach Ihrer Einwilligung aktiviert. Rechtsgrundlage für die technische Einbindung: Art. 6 Abs. 1 lit. f DSGVO; für die nachgelagerten Dienste: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

20.4 Google Analytics 4

Auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG) nutzen wir Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Erfasst werden Nutzungsdaten wie Seitenaufrufe, Verweildauer, Betriebssysteme, Herkunft des Nutzers, ferner können Maus-, Scroll- und Klickdaten aufgezeichnet werden.

Google Analytics 4 verarbeitet IP-Adressen grundsätzlich anonymisiert; eine Speicherung der vollständigen IP-Adresse erfolgt nicht. Die durch die Cookies erzeugten Informationen können an einen Server von Google in den USA übertragen werden. Transfermechanismus: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework. AVV nach Art. 28 DSGVO ist abgeschlossen.

Wir nutzen ergänzend Google-Signale. Dabei werden Standort, Suchverlauf, YouTube-Verlauf und demografische Daten erfasst und für personalisierte Werbung verwendet. Wenn Sie über ein Google-Konto verfügen, können die Daten mit Ihrem Konto verknüpft werden. Auch hier ist Ihre Einwilligung Voraussetzung.

Widerspruch / Opt-out: Einwilligung jederzeit über Consent-Banner widerrufbar; zusätzlich Browser-Add-on: https://tools.google.com/dlpage/gaoptout

20.5 Google Ads (inkl. Remarketing, Conversion-Tracking, Kundenabgleich)

Wir nutzen Google Ads der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, für Werbeanzeigen und Conversion-Messung. Zum Einsatz kommen:

- Google Ads Conversion-Tracking: Erkennung, ob nach Anzeigenklick bestimmte Aktionen ausgeführt wurden.

- Google Ads Remarketing/Retargeting: Wiederansprache von Personen, die mit unserer Website interagiert haben, mit personalisierter Werbung im Google-Werbenetzwerk – ggf. geräteübergreifend.

- Google Ads Kundenabgleich: Übermittlung gehashter Kundendaten (z. B. E-Mail-Adressen) an Google, um diesen Personen passende Werbung anzuzeigen (YouTube, Gmail, Suche).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung). Transfermechanismus für Übermittlungen in die USA: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework. Sie können der personalisierten Werbung in Ihrem Google-Konto widersprechen: https://adssettings.google.com/anonymous?hl=de

20.6 Meta-Pixel, Meta Conversion API, Meta Custom Audiences (Facebook/Instagram)

Wir nutzen auf unserer Website den Meta-Pixel sowie die Meta Conversion API der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland, zur Konversionsmessung und Werbeoptimierung. Die erfassten Daten können auch in die USA und andere Drittländer übertragen werden.

Der Meta-Pixel verfolgt das Verhalten von Seitenbesuchern, die durch Klick auf eine Meta-Werbeanzeige auf unsere Website gelangt sind, und ermöglicht die Wirksamkeitsmessung sowie das Schalten zielgerichteter Werbung. Wir nutzen die Funktion des erweiterten Abgleichs, bei der gehashte personenbezogene Daten (z. B. E-Mail-Adressen, Telefonnummern, Namen, Geburtsdatum) an Meta übermittelt werden, um Werbekampagnen präziser auszuspielen.

Die Meta Conversion API erfasst zusätzlich serverseitig Interaktionen mit der Website (u. a. Zeitpunkt, aufgerufene Webseite, IP-Adresse, User-Agent) und übergibt sie an Meta zur Verbesserung der Werbeperformance.

Meta Custom Audiences ermöglicht es, Zielgruppen für Werbung auf Facebook und Instagram zu definieren (inkl. Lookalike Audiences).

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO: Soweit über Meta-Pixel und Meta Conversion API personenbezogene Daten auf unserer Website erfasst und an Meta weitergeleitet werden, sind wir und Meta Platforms Ireland Limited gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Die gemeinsame Verantwortlichkeit beschränkt sich auf die Erfassung und Weitergabe der Daten an Meta. Die Vereinbarung zur gemeinsamen Verarbeitung finden Sie unter https://www.facebook.com/legal/controller_addendum. Für die datenschutzrechtlich sichere Implementierung sowie die Erteilung der Datenschutzinformationen sind wir verantwortlich; für die Datensicherheit der Meta-Produkte ist Meta verantwortlich. Betroffenenrechte können Sie direkt bei Meta geltend machen oder bei uns – wir leiten diese ggf. weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung). Transfermechanismus für die USA: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework (Meta ist Participant 4452 im DPF). AVV nach Art. 28 DSGVO ist mit Meta abgeschlossen. Weitere Informationen: https://de-de.facebook.com/about/privacy/

Sie können die Remarketing-Funktion Custom Audiences in Ihren Facebook-Werbeeinstellungen deaktivieren: https://www.facebook.com/ads/preferences/

20.7 Kontaktformular und Stellenangebote / Bewerbungen (via zvoove Cockpit)

Auf unserer Website ist ein Kontaktformular sowie eine Stellenangebots- und Bewerbungsfunktion eingebettet, die über das zvoove Cockpit-System der zvoove GmbH (Thaliastraße 7, 90443 Nürnberg) bereitgestellt werden. Sämtliche Bewerbungen werden direkt im zvoove Cockpit verarbeitet.

Eingegebene Daten (z. B. Name, E-Mail-Adresse, Nachricht, Bewerbungsunterlagen) werden an uns übermittelt und in zvoove gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG (Bewerbungsverfahren); für allgemeine Kontaktanfragen Art. 6 Abs. 1 lit. f DSGVO. AVV nach Art. 28 DSGVO mit zvoove besteht. Verarbeitung innerhalb der EU.

20.8 Newsletter (Brevo)

Mit Ihrer ausdrücklichen Einwilligung (Double-Opt-in) können Sie unseren Newsletter abonnieren. Anbieter: Brevo GmbH, einer Tochtergesellschaft der Sendinblue SAS, 17 rue de Salneuve, 75017 Paris, Frankreich.

Verarbeitet werden Vorname, Nachname, E-Mail-Adresse sowie Einwilligungsnachweis (Double-Opt-in-Log). Brevo kann Öffnungs- und Klickdaten auswerten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Abmeldung jederzeit über Link in jeder E-Mail oder per Nachricht an a.fiege@jobnext24.de. Der Double-Opt-in-Nachweis wird im Hinblick auf §§ 195, 199 BGB 3 Jahre nach Abmeldung aufbewahrt. AVV mit Brevo besteht. Bei Subauftragnehmern in Drittländern: EU-Standardvertragsklauseln. Weitere Informationen: https://www.brevo.com/de/datenschutz/

20.9 WhatsApp Business

Für die Kommunikation mit Kunden, Bewerbern und sonstigen Dritten nutzen wir den Instant-Messaging-Dienst WhatsApp in der Variante WhatsApp Business. Anbieter: WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Die Kommunikation erfolgt Ende-zu-Ende-verschlüsselt. WhatsApp erhält jedoch Zugriff auf Metadaten (Absender, Empfänger, Zeitpunkt). Nach eigener Angabe teilt WhatsApp personenbezogene Daten mit der Konzernmutter Meta Platforms, Inc. (USA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effektive Kommunikation), bei abgefragter Einwilligung Art. 6 Abs. 1 lit. a DSGVO. Transfermechanismus USA: EU-Standardvertragsklauseln; DPF (Participant 7735). Wir haben WhatsApp so eingestellt, dass kein automatischer Datenabgleich mit dem Adressbuch erfolgt. AVV besteht. Weitere Informationen: https://www.whatsapp.com/legal/#privacy-policy

20.10 OpenStreetMap (Kartendienst)

Wir nutzen den Kartendienst OpenStreetMap (OSM) der OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich. Für Großbritannien besteht ein Angemessenheitsbeschluss der EU-Kommission. Beim Aufruf der Karten wird eine Verbindung zu den OSMF-Servern hergestellt; dabei können Ihre IP-Adresse und Nutzungsdaten an OSMF übermittelt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung), ergänzend Art. 6 Abs. 1 lit. f DSGVO.

20.11 Adobe Fonts

Wir nutzen zur einheitlichen Darstellung von Schriftarten Web Fonts von Adobe. Anbieter: Adobe Systems Incorporated, 345 Park Avenue, San Jose, CA 95110-2704, USA. Beim Aufruf wird eine Verbindung zu Adobe-Servern in den USA hergestellt; Adobe erhält Kenntnis der IP-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung), ergänzend Art. 6 Abs. 1 lit. f DSGVO. Transfermechanismus USA: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework (Participant 5660). Weitere Informationen: https://www.adobe.com/de/privacy/policies/adobe-fonts.html

20.12 Make (Workflow-Automatisierung)

Für die Automatisierung interner Prozesse und die Verknüpfung verschiedener Tools setzen wir Make (vormals Integromat) ein. Anbieter: Make s.r.o., Křižíkova 148/34, 186 00 Prag, Tschechien (EU-Mitgliedstaat).

Aktuell werden über Make keine Bewerberdaten verarbeitet. Eine Ausweitung auf Bewerber- oder Kundendaten ist im Rahmen weiterer Automatisierungen möglich; in diesem Fall werden eine gesonderte Risikoanalyse und ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt. Diese Datenschutzhinweise werden entsprechend aktualisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienten internen Abläufen); bei Verarbeitung von Bewerber- oder Beschäftigtendaten zusätzlich Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG. Die Datenverarbeitung erfolgt innerhalb der EU; ein Drittlandtransfer findet nicht statt. AVV nach Art. 28 DSGVO ist abgeschlossen. Weitere Informationen: https://www.make.com/en/privacy-notice

20.13 Social-Media-Verlinkungen (LinkedIn, Facebook, Instagram, XING, YouTube)

Auf unserer Website verweisen wir mittels Verlinkung auf unsere Profile bei LinkedIn, Facebook, Instagram, XING und YouTube. Soweit Social-Media-Buttons eingebunden sind, setzen wir eine 2-Klick-Lösung bzw. Aktivierung über das Cookie-Consent-Tool ein, damit keine Daten ohne Einwilligung übermittelt werden. Erst durch Ihre aktive Bestätigung werden Daten (z. B. IP-Adresse) an die jeweiligen Anbieter übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG; bei bloßer Verlinkung Art. 6 Abs. 1 lit. f DSGVO. Bei Übermittlung in die USA: EU-Standardvertragsklauseln und/oder DPF.

21. Besondere interne Vorgaben für die Nutzung unserer Systeme

- Personenbezogene Daten werden grundsätzlich in den freigegebenen Fachsystemen dokumentiert, nicht in privaten Dateien oder Accounts.
- Freitextnotizen müssen sachlich, erforderlich, wahrheitsgemäß und gerichtsfest formuliert sein; diskriminierende oder unsachliche Formulierungen sind unzulässig.
- Messenger-Kommunikation (SuperChat, WhatsApp) dient der schnellen Abstimmung, nicht der dauerhaften Personalakte für sensible Vorgänge.
- Relevante Entscheidungen und Nachweise werden in zvoove bzw. der vorgesehenen Personal-/Kundenakte dokumentiert.
- KI darf personenbezogene Daten nur erhalten, wenn das Tool freigegeben ist, die Daten minimiert sind und der Zweck dokumentiert ist.
- Jede KI-Ausgabe, die extern verwendet wird oder Personal-/Kundenbezug hat, muss vor Versand fachlich geprüft werden.
- Zugriffe und Berechtigungen werden bei Eintritt, Rollenwechsel und Austritt angepasst.

22. Änderungen dieser Datenschutzhinweise

Wir passen diese Datenschutzhinweise an, wenn sich unsere Datenverarbeitung, eingesetzte Systeme, Rechtsgrundlagen, Rechtsprechung oder aufsichtsbehördliche Anforderungen ändern. Die jeweils aktuelle Version wird auf unserer Website bereitgestellt. Für interne Zwecke wird eine archivierte Versionshistorie geführt.

Diese Datenschutzhinweise sind die öffentliche Vollversion der jobnext24 GmbH. Interne Nachweise wie Auftragsverarbeitungsverträge, Verzeichnis der Verarbeitungstätigkeiten, Rollenrechte, Löschkonzepte, KI-Freigaben und Datenschutz-Folgenabschätzungen werden intern geführt und auf Anfrage gegenüber berechtigten Prüfstellen nachgewiesen.

Anhang: Übersicht der Änderungen in v5

Diese Fassung v5 ergänzt Make (Workflow-Automatisierung, Anbieter Make s.r.o., Prag, Tschechien) als eingesetztes System. Make wird derzeit für interne Automatisierungen genutzt; eine Erweiterung auf Bewerberdaten ist möglich und wird ggf. dokumentiert. Zapier bleibt entfernt. Alle weiteren Erweiterungen aus v3/v4 bleiben bestehen.

Make ergänzt (v5): Make (Make s.r.o., Prag, Tschechien, EU) als Workflow-Automatisierungstool aufgenommen. Aktuell ohne Bewerberdaten; bei Erweiterung wird DSFA geprüft. Neuer Abschnitt 20.12; Empfänger- und Systeme-Tabellen angepasst.

Zapier entfernt (v4): Zapier wird nicht mehr genutzt und wurde aus allen Abschnitten entfernt.

Brevo – Firmierung korrigiert: Brevo GmbH (Tochtergesellschaft der Sendinblue SAS, 17 rue de Salneuve, 75017 Paris) statt vorheriger Angabe. Betrifft Abschnitte 8, 12.2, 20.8.

WhatsApp – Anbieter korrigiert: Primärer Anbieter ist WhatsApp Ireland Limited (4 Grand Canal Square, Dublin 2, Irland), Konzernmutter Meta. Eigener Abschnitt 20.9; AVV erwähnt; DPF Participant 7735.

Meta-Pixel ergänzt: Neuer Abschnitt 20.6: Meta-Pixel inklusive erweitertem Abgleich; gemeinsame Verantwortlichkeit nach Art. 26 DSGVO; SCC + DPF (Participant 4452).

Meta Conversion API ergänzt: Im Abschnitt 20.6 mit aufgenommen: serverseitige Erfassung von Webinteraktionen, Übergabe an Meta.

Meta Custom Audiences ergänzt: Im Abschnitt 20.6 ergänzt: Zielgruppenbildung inkl. Lookalike Audiences.

Google Tag Manager ergänzt: Neuer Abschnitt 20.3 mit Container-ID GTM-WW2RR66P; Rechtsgrundlagen für GTM und nachgelagerte Dienste.

Google Analytics – Google-Signale ergänzt: Im Abschnitt 20.4 ergänzt: Google-Signale erfassen Standort, Suchverlauf, YouTube-Verlauf, demografische Daten.

Google Ads – vollständig aufgenommen: Neuer Abschnitt 20.5 mit Conversion-Tracking, Remarketing, Kundenabgleich. Rechtsgrundlagen und DPF.

Adobe Fonts ergänzt: Neuer Abschnitt 20.11 mit Anbieter, Rechtsgrundlage, SCC + DPF (Participant 5660).

OpenStreetMap statt Google Maps: Neuer Abschnitt 20.10 (OpenStreetMap Foundation, UK – Angemessenheitsbeschluss). Google Maps entfernt.

Cookie-Tabelle ergänzt: _fbp und fr (Meta-Pixel) sowie Consent-Cookie aufgenommen.

Drittland-Abschnitt erweitert: Abschnitte 12.3 (WhatsApp/Meta), 12.4 (Google), 12.5 (Adobe Fonts), 12.6 (OpenStreetMap).

System-/Tools-Tabelle erweitert: Abschnitt 8 ergänzt um: WhatsApp Business, Google Tag Manager, Google Analytics 4, Google Ads, Meta-Pixel/CAPI/Custom Audiences, Adobe Fonts, OpenStreetMap.

Empfänger-Tabelle erweitert: Abschnitt 11 um die zusätzlichen Auftragsverarbeiter erweitert.

Speicherdauern ergänzt: Abschnitt 13: Zeile zu Website-Tracking-Daten (Google Analytics, Google Ads, Meta-Pixel) ergänzt.

Bewerberpool-Frist angepasst: Speicherdauer Bewerberpool auf spätestens 2 Jahre nach Erteilung der Einwilligung angepasst (gemäß Live-Erklärung).

Verbleibende offene Punkte vor Veröffentlichung

1. Cookie-Consent-Tool: konkreten Anbieter (z. B. Cookiebot, Usercentrics, Borlabs, Real Cookie Banner) im Text ergänzen.

2. Datenschutzbeauftragten bestellen und Kontaktdaten in Abschnitt 1 ergänzen.

3. Prüfen, ob alle in Abschnitt 8 genannten Auftragsverarbeitungsverträge (AVV) tatsächlich abgeschlossen vorliegen – insbesondere mit OpenAI, Meta, Google, Adobe, Brevo, SuperChat, IndexMedia, Make, dem Cookie-Tool-Anbieter.

4. Aktive Tools regelmäßig (mind. jährlich) abgleichen: Im GTM überprüfen, welche Tags tatsächlich noch aktiv sind. Nicht mehr genutzte Dienste aus der Datenschutzerklärung entfernen.

5. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO für Beschäftigtendatenverarbeitung dokumentieren.

Wichtiger Hinweis zur Verbindlichkeit

Diese überarbeitete Fassung ist eine inhaltliche Aktualisierung anhand der DSGVO, des BDSG, des TDDDG sowie aktueller Rechtsprechung und Aufsichtspraxis. Sie stellt keine anwaltliche Rechtsberatung dar.

Vor öffentlicher Veröffentlichung empfehlen wir eine abschließende Prüfung durch eine/n Fachanwältin/Fachanwalt für IT-Recht oder eine/n bestellte/n Datenschutzbeauftragte/n.