Datenschutzerklärung

1. Überblick und Geltungsbereich

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie unsere Website www.mfa-mal-anders.de besuchen, sich als Arbeitgeber oder Jobsuchende:r registrieren, eine Stellenanzeige veröffentlichen, sich auf eine Stelle bewerben, unseren Newsletter beziehen oder uns auf andere Weise kontaktieren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Stand dieser Erklärung: 2026-06-19

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

MFA mal anders – Kristin Maurach & Christopher Liedtke OHG
Vertretungsberechtigte Gesellschafter: Kristin Maurach und Christopher Liedtke
In den Sandbergen 30a
49808 Lingen (Ems)
E-Mail: kontakt(at)mfa-mal-anders.de

Für Anfragen zum Datenschutz – insbesondere zur Ausübung Ihrer Betroffenenrechte – nutzen Sie bitte die oben genannte E-Mail-Adresse oder unser Kontaktformular.

3. Datenschutz-Aufsichtsbehörde

Sie haben das Recht, sich jederzeit bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns örtlich zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen)
Prinzenstraße 5
30159 Hannover
Telefon: +49 (0)511 / 120-4500
E-Mail: poststelle(at)lfd.niedersachsen.de
Web: https://lfd.niedersachsen.de

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes wenden.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf einer der folgenden Rechtsgrundlagen:

Die jeweils einschlägige Rechtsgrundlage benennen wir bei jeder Verarbeitungstätigkeit weiter unten.

5. Verarbeitungstätigkeiten im Überblick

Die folgende Tabelle gibt Ihnen einen Überblick. Details finden Sie in den jeweils verlinkten Abschnitten.

Nr.VerarbeitungRechtsgrundlageSpeicherdauer (Richtwert)
6Bereitstellung der Website (Server-Logs)Art. 6 Abs. 1 lit. f DSGVObis zu 30 Tage
7Reichweitenmessung (Plausible, cookieless)Art. 6 Abs. 1 lit. f DSGVOaggregiert unbegrenzt; IP-Hash 24 Std.
8Registrierung und Account-VerwaltungArt. 6 Abs. 1 lit. b DSGVODauer des Account-Bestands
9Veröffentlichung und Distribution von StellenanzeigenArt. 6 Abs. 1 lit. b DSGVOLaufzeit der Anzeige + Archivierung
9.3Job Feedback, Feedback Incentives und TestimonialsArt. 6 Abs. 1 lit. b, f und a DSGVOAccount-Bestand; Testimonials bis Widerruf
10Stellengesuche / Talent-ProfileArt. 6 Abs. 1 lit. a DSGVObis Widerruf bzw. Profil-Löschung
11Bewerbungsverfahren (inkl. Kurzbewerbung mit CV)Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSGsiehe Abschnitt 11
12Job-Newsletter und Job-AlertsArt. 6 Abs. 1 lit. a DSGVObis Widerruf
13Zahlungsabwicklung (Stripe)Art. 6 Abs. 1 lit. b DSGVOsiehe Abschnitt 13
14Buchhaltung (Lexware Office)Art. 6 Abs. 1 lit. c DSGVO10 Jahre (§ 147 AO, § 257 HGB)
15KI-gestützte FunktionenArt. 6 Abs. 1 lit. a, b bzw. f DSGVOnach Verarbeitung gelöscht; siehe Abschnitt 15
16Geocoding und KartenArt. 6 Abs. 1 lit. b DSGVOnicht gespeichert
17Server-Log-Drain (Axiom)Art. 6 Abs. 1 lit. f DSGVObis zu 30 Tage
18Interne Tools (Slack, Asana)Art. 6 Abs. 1 lit. f DSGVObis Aufgabenerledigung
19Kontaktanfragen (E-Mail, Formular, Telefon)Art. 6 Abs. 1 lit. b bzw. f DSGVObis Erledigung; max. 3 Jahre

6. Bereitstellung der Website (Server-Logs)

Wenn Sie unsere Website aufrufen, erhebt unser Hosting-Anbieter automatisch technische Informationen, die Ihr Browser an uns übermittelt:

Diese Daten werden in Server-Logs verarbeitet, um die Stabilität und Sicherheit der Website zu gewährleisten und um Fehler zu erkennen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien und sicheren Bereitstellung unserer Plattform.

Speicherdauer: in der Regel bis zu 30 Tage, anschließend automatisierte Löschung.

Empfänger: Vercel (Frontend-Hosting in Frankfurt, FRA1), webgo (WordPress-Backend), Axiom (Log-Drain – siehe Abschnitt 17). Details siehe Subprozessoren-Liste.

7. Reichweitenmessung mit Plausible (cookieless)

Wir nutzen den Reichweitenmessungs-Dienst Plausible Analytics der Plausible Insights OÜ (Tallinn, Estland – EU). Plausible:

Wir erfahren dadurch z. B., welche unserer Stellenanzeigen oder Magazinartikel besonders gefragt sind – ohne einzelne Personen wiederzuerkennen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer datenschutzfreundlichen statistischen Auswertung des Nutzungsverhaltens, ohne dass eine Identifizierung einzelner Personen erfolgt.

Drittlandstransfer: keiner – Plausible ist EU-Anbieter.

Weitere Informationen: Plausible Data Policy.

8. Registrierung und Account-Verwaltung

Sie können auf unserer Plattform ein kostenloses Nutzerkonto anlegen – als Arbeitgeber, Jobsuchende:r oder Bildungsträger. Dabei verarbeiten wir:

Zur Bestätigung der E-Mail-Adresse versenden wir einen Verifizierungscode (Double-Opt-In).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag über die Nutzung der Plattform).

Speicherdauer: für die Dauer des Account-Bestands. Sie können Ihren Account jederzeit in den Account-Einstellungen oder per Anfrage an kontakt(at)mfa-mal-anders.de löschen. Nach Löschung werden Daten innerhalb von 30 Tagen aus den Live-Systemen entfernt; Backups laufen durch turnusmäßige Rotation aus.

Empfänger: MongoDB Atlas (Datenbank, Cluster-Region Frankfurt EU), Vercel (Hosting). Details siehe Subprozessoren-Liste.

9. Veröffentlichung und Distribution von Stellenanzeigen

Wenn Sie als Arbeitgeber eine Stellenanzeige bei uns buchen, verarbeiten wir die hierfür erforderlichen Daten – z. B. Stellenbeschreibung, Anforderungsprofil, Arbeitsort, Kontaktdaten für Bewerbungen, Logo und Bilder.

9.1 Veröffentlichung auf mfa-mal-anders.de

Die Anzeige wird auf www.mfa-mal-anders.de veröffentlicht und ist damit weltweit über das Internet abrufbar. Wir stellen die Anzeige außerdem über strukturierte Daten für Google for Jobs bereit; ob, wann und wie lange Google die Anzeige aufnimmt, entscheidet Google. Zur Beschleunigung der Indexierung übermitteln wir neue oder aktualisierte Anzeigen-URLs an die Google Indexing API – ausschließlich URLs, keine personenbezogenen Inhalte.

9.2 Optionale Distribution an Partner-Stellenbörsen

Auf Wunsch des Arbeitgebers oder als Bestandteil des gebuchten Pakets übermitteln wir die Stellenanzeige an Partner-Stellenbörsen. Diese sind keine Auftragsverarbeiter, sondern jeweils eigenständig Verantwortliche für die weitere Verarbeitung in ihren Portalen:

Zu den jeweiligen Datenschutzhinweisen gelangen Sie über die Portale dieser Empfänger.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags mit dem Arbeitgeber-Kunden über das gebuchte Paket); für die Indexing-API-Übermittlung Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sichtbarkeit der Anzeigen).

Speicherdauer: Die Anzeige bleibt für die gebuchte Laufzeit aktiv. Nach Ablauf wird sie aus der öffentlichen Stellenbörse entfernt; eine Kopie der Anzeigendaten verbleibt im Account des Arbeitgebers, bis dieser sie löscht oder das Konto schließt. Bei den Partner-Stellenbörsen gelten deren eigene Speicherfristen.

9.3 Job Feedback, Feedback Incentives und Testimonials

Nach Ablauf einer Stellenanzeige können Arbeitgeber Feedback zur Leistung der Anzeige abgeben. Dabei verarbeiten wir Angaben zur Besetzung der Stelle, zur Anzahl und Qualität der Bewerbungen, zu genutzten Bewerbungskanälen, zur Nutzung unserer KI-Unterstützung sowie optionales Freitext-Feedback.

Für berechtigtes Job Feedback können wir einen kundengebundenen Rabattcode (Feedback Incentive) für eine spätere Stellenanzeigen-Buchung erstellen. Dafür übermitteln wir an Stripe technische Metadaten wie Nutzer-ID, Stellenanzeigen-ID, Feedback-ID und die Zuordnung zum Stripe-Kundenkonto. Der Rabattcode ist nur für das zugehörige Kundenkonto einlösbar.

Wenn Sie freiwillig ein Testimonial hinterlassen, speichern wir den Testimonial-Text, Ihre ausgewählten Einwilligungen zur Anzeige von Name, Initialen, Praxis-/Unternehmensname und Logo sowie einen Attributions-Snapshot. Die Abgabe eines Testimonials ist freiwillig und keine Voraussetzung für den Rabattcode. Sie können Ihre Einwilligung zur Testimonial-Nutzung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über kontakt(at)mfa-mal-anders.de oder unser Kontaktformular. Ihre allgemeinen Widerspruchsrechte bleiben unberührt.

Rechtsgrundlage: Für Job Feedback und den Feedback Incentive Art. 6 Abs. 1 lit. b DSGVO (Durchführung und Nachbereitung des Arbeitgeber-Vertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (Verbesserung unseres Angebots und Missbrauchsprävention). Für Testimonials und die öffentliche Nutzung von Namen, Initialen, Unternehmensangaben oder Logos Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: Job Feedback bleibt grundsätzlich für die Dauer des Account-Bestands gespeichert. Feedback Incentive-Daten werden für die Nachvollziehbarkeit der Rabattgewährung gespeichert. Testimonials werden bis zum Widerruf der Einwilligung bzw. bis zur Deaktivierung der Nutzung gespeichert; gesetzliche Nachweis- und Dokumentationspflichten bleiben unberührt.

10. Stellengesuche und Talent-Profile

Als Jobsuchende:r können Sie zusätzlich zu Ihrem Account ein Stellengesuch (Talent-Profil) anlegen, das für Arbeitgeber mit aktiver Stellenanzeige sichtbar ist. Sie entscheiden dabei selbst:

Ihre E-Mail-Adresse wird Arbeitgebern nicht angezeigt – die Erstkontaktaufnahme erfolgt ausschließlich über unser plattforminternes Nachrichtensystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung erteilen Sie mit der bewussten Veröffentlichung Ihres Stellengesuchs und können sie jederzeit widerrufen, indem Sie das Stellengesuch deaktivieren oder löschen.

Speicherdauer: bis zum Widerruf bzw. bis Sie Ihr Profil löschen.

Empfänger: MongoDB Atlas (Datenbank, EU), AWS S3 (Profilbilder, Region eu-central-1 Frankfurt). Bei Verwendung der KI-gestützten Stellengesuch-Zusammenfassung oder des optionalen JobSeek-Coaches siehe Abschnitt 15.

11. Bewerbungsverfahren

11.1 Klassische Bewerbung

Wenn Sie sich auf eine Stellenanzeige bewerben, übermitteln wir Ihre Bewerbung an die in der Anzeige hinterlegte Kontakt-E-Mail-Adresse des Arbeitgebers. Wir verarbeiten dafür typischerweise:

11.2 Kurzbewerbung mit optionalem Lebenslauf

Über die Kurzbewerbungsfunktion können Sie eine vereinfachte Bewerbung direkt aus unserer Plattform absenden und optional einen Lebenslauf hochladen. Wir verarbeiten dabei insbesondere:

Lebensläufe werden nicht als E-Mail-Anhang an Arbeitgeber versendet. Stattdessen speichern wir hochgeladene Lebensläufe privat in AWS S3. Arbeitgeber erhalten nach Zustellung bzw. Freigabe der Bewerbung einen geschützten Plattform-Link. Der Zugriff ist nur für berechtigte Admins und den jeweils zuständigen Arbeitgeber möglich; erst nach erfolgreicher Authentifizierung erzeugt die Plattform einen kurzlebigen Download-Link.

Bestimmte Kurzbewerbungen können vor der Weiterleitung an den Arbeitgeber zunächst intern geprüft werden. Diese Vorprüfung dient der manuellen Sichtung durch unser Admin-Team und basiert auf objektiven Angaben aus der Bewerbung, z. B. Formularangaben und Freitexten zur Passung auf MFA-Stellen. Nicht verwendet werden Herkunft, Nationalität, Sprache, Aufenthaltsstatus oder Namen. Die interne Prüfung führt nicht automatisch zu einer Ablehnung; sie entscheidet nur, ob eine Bewerbung vor Weiterleitung manuell freigegeben oder intern archiviert wird.

11.3 Rechtsgrundlage und Speicherdauer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 26 BDSG (Bewerbungsverfahren zur Anbahnung eines Beschäftigungsverhältnisses).

Speicherdauer auf unseren Systemen: Bewerbungsdaten einschließlich Status, Review-Informationen, Lebenslauf-Metadaten und private Lebenslauf-Dateien speichern wir grundsätzlich bis zu 6 Monate. Danach werden Bewerbungsdatensätze automatisiert aus der Datenbank gelöscht; private Lebenslauf-Dateien werden über eine entsprechende S3-Lifecycle-Regel gelöscht. Übermittlungs-Logs werden im Rahmen der Server-Log-Aufbewahrung (siehe Abschnitt 6) gelöscht.

Verantwortlichkeit nach Übermittlung: Sobald Ihre Bewerbung beim Arbeitgeber eingegangen ist, ist dieser eigenständig für die weitere Verarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Üblicherweise speichern Arbeitgeber Bewerbungsunterlagen bis zu 6 Monate nach Abschluss des Verfahrens, sofern Sie nicht in eine längere Speicherung (z. B. für einen Talentpool) ausdrücklich eingewilligt haben.

Empfänger: Resend (E-Mail-Benachrichtigung und Bewerbungsweiterleitung mit Plattform-Link), MongoDB Atlas (Bewerbungsdaten und Metadaten), AWS S3 (private Lebenslauf-Dateien). Details siehe Subprozessoren-Liste.

12. Job-Newsletter und Job-Alerts

Wir betreiben einen wöchentlichen Job-Newsletter sowie ein Job-Alert-System, das Sie bei neuen passenden Stellen automatisch per E-Mail benachrichtigt. Für die Anmeldung verwenden wir das Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungsmail; erst nach Klick auf den Bestätigungs-Link nehmen wir Sie in den Verteiler auf.

Verarbeitete Daten: E-Mail-Adresse, Bestätigungs-Zeitpunkt, IP-Adresse zum Zeitpunkt der Anmeldung (Nachweis der Einwilligung), gewünschte Bundesländer/Berufsfilter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie auf den Abmelde-Link in jeder Newsletter-E-Mail klicken oder sich an kontakt(at)mfa-mal-anders.de wenden.

Speicherdauer: bis zum Widerruf. Nach Abmeldung speichern wir Ihre E-Mail-Adresse zusätzlich für eine begrenzte Zeit in einer Sperrliste (Blacklist), um zu vermeiden, dass Sie versehentlich erneut Newsletter erhalten. Rechtsgrundlage für die Blacklist ist Art. 6 Abs. 1 lit. f DSGVO.

Empfänger: Resend (E-Mail-Versand), Upstash (technische Versand-Warteschlange). Details siehe Subprozessoren-Liste.

13. Zahlungsabwicklung (Stripe)

Bezahlpflichtige Stellenanzeigen-Pakete werden über den Zahlungsdienstleister Stripe abgewickelt. Vertragspartner für unseren Account ist die Stripe Payments Europe Ltd. mit Sitz in Dublin, Irland; die technische Verarbeitung kann auch durch deren US-Konzernverbund erfolgen.

Während des Bezahlvorgangs werden Sie auf eine von Stripe gehostete Bezahlseite weitergeleitet. Stripe verarbeitet hierbei insbesondere Ihren Namen, Ihre Rechnungsadresse, Ihre Zahlungsmittel-Daten (Kreditkarte, SEPA, Sofortüberweisung etc.), Rechnungsbetrag, Währung, Transaktionsnummer sowie ggf. Rabatt- und Aktionscodes. Wir selbst erhalten von Stripe nur die Information, ob die Zahlung erfolgreich war, sowie Metadaten für die Rechnungsstellung und Rabattvalidierung – nicht aber Ihre vollständigen Zahlungsmittel-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandstransfer: Stripe ist über den US-Konzernverbund unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend greifen die EU-Standardvertragsklauseln (SCCs) über das Stripe-DPA.

Datenschutzhinweise von Stripe: https://stripe.com/de/privacy.

14. Buchhaltung (Lexware Office)

Rechnungen, Belege und zugehörige Buchungsdaten werden in Lexware Office der Haufe Service Center GmbH (Freiburg, Deutschland) verarbeitet. Backup-Kopien der Rechnungs-PDFs werden zusätzlich in unserem Geschäfts-Konto bei Google Workspace (Drive) abgelegt.

Verarbeitete Daten: Name und Anschrift des Rechnungsempfängers, Rechnungsnummer, Rechnungsbetrag, Leistungszeitraum, USt-ID (sofern angegeben), Zahlungsstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO und § 257 HGB (gesetzliche Aufbewahrungspflichten).

Speicherdauer: 10 Jahre ab Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde.

Drittlandstransfer: Lexware Office ist DE-Anbieter (kein Drittlandstransfer). Google Workspace ist DPF-zertifiziert; ergänzend greifen SCCs.

15. KI-gestützte Funktionen

Wir setzen KI-Modelle für vier Zwecke ein: einen Stellenanzeigen-Generator für Arbeitgeber (Modell claude-sonnet-4.6 von Anthropic), eine Stellengesuch-Zusammenfassung für Jobsuchende (Mistral), einen optionalen JobSeek-Coach zur Qualitätsprüfung von Stellengesuchen (Mistral) und eine interne HTML-zu-Stellenanzeigen-Konvertierung beim Import externer Anzeigenquellen (OpenAI). Welche Anbieter beteiligt sind, finden Sie aufgeschlüsselt in der Subprozessoren-Liste.

Nach unseren Vereinbarungen mit den eingesetzten Dienstleistern und KI-Anbietern werden die im Rahmen dieser API-Nutzung übermittelten Inhalte nicht zum Training der KI-Modelle verwendet. Die KI erzeugt ausschließlich Textentwürfe, Zusammenfassungen oder assistive Verbesserungshinweise, die anschließend von einer Person geprüft und freigegeben bzw. umgesetzt werden – es findet kein Profiling und keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO Ihnen gegenüber statt.

Rechtsgrundlage: Für den Stellenanzeigen-Generator und die HTML-Konvertierung Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung gegenüber Arbeitgeber-Kunden bzw. interner Verwaltungsprozess). Für die Stellengesuch-Zusammenfassung und den optionalen JobSeek-Coach Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bzw. aktive Nutzung der Funktion).

Drittlandstransfer: Anthropic und OpenAI haben Sitz in den USA. Beide sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend greifen die EU-Standardvertragsklauseln (SCCs) über die jeweiligen DPAs. Mistral AI SAS sitzt in Frankreich; für Mistral erfolgt kein Drittlandstransfer.

16. Geocoding und Karten

Bei der Erstellung von Stellenanzeigen und Stellengesuchen nutzen wir Geocoding-Dienste, um Standortvorschläge und Adresseingabehilfen anzubieten:

Übermittelt werden dabei die jeweils eingegebene Adresse bzw. das Suchstichwort sowie technische Metadaten (z. B. IP-Adresse, Zeitpunkt der Anfrage). Wir speichern selbst keine personenbezogenen Geo-Daten dauerhaft, sondern nutzen die Anbieter ausschließlich zur Standortauflösung im Moment der Eingabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Plattformfunktion „Stellenanzeige/Stellengesuch erstellen").

Drittlandstransfer: Radar und Mapbox haben Sitz in den USA; Drittlandstransfer ist über die jeweiligen EU-Standardvertragsklauseln (SCCs) abgedeckt (auto-binding über die DPAs). HERE ist EU-Anbieter (kein Drittlandstransfer).

17. Server-Log-Drain (Axiom) – Drittlandstransfer USA

Zur Fehleranalyse und Observability leiten wir die Server-Logs unseres Hosting-Anbieters Vercel über eine Plattform-Integration an Axiom Systems, Inc. weiter. Diese Logs können enthalten: IP-Adressen, User-Agents, Request-Pfade und – in Fehlerfällen – auch URL-Parameter mit Personenbezug.

Wichtig: Die von uns genutzte Axiom-Region ist US East 1 (AWS, Virginia) und damit ein echter Drittlandstransfer in die USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der zuverlässigen Fehlererkennung und der Sicherheit unserer Plattform.

Garantie für den Drittlandstransfer: Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die über das Data Processing Addendum von Axiom verbindlich auto-binding eingebunden sind. Wir haben diese Konstellation bewusst geprüft und intern eine entsprechende Risiko-Folgenabschätzung (Transfer Impact Assessment) vorgehalten, die wir auf Anfrage der Aufsichtsbehörde vorlegen.

Speicherdauer: in der Regel bis zu 30 Tage.

18. Interne Tools (Slack, Asana)

Plattform-Ereignisse, die eine manuelle Bearbeitung erfordern (z. B. neue Rechnungen, Customer-Service-Anliegen), leiten wir in unsere internen Werkzeuge Slack (Slack Technologies, LLC, San Francisco) und Asana (Asana, Inc., San Francisco) weiter. Übermittelt werden dabei z. B. Rechnungsnummer, Kunden-/Firmenname und Stellenanzeigen-Bezeichnung. Bewerbungs-Inhalte oder Lebensläufe werden nicht in Slack oder Asana verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter interner Bearbeitung).

Drittlandstransfer: beide Anbieter sind DPF-zertifiziert; ergänzend SCCs über die jeweiligen DPAs.

Speicherdauer: bis zur Erledigung des jeweiligen Vorgangs zzgl. interner Aufbewahrung im Rahmen der Aufgabenhistorie.

19. Kontaktanfragen

Wenn Sie uns über das Kontaktformular, per E-Mail oder telefonisch kontaktieren, verarbeiten wir die von Ihnen übermittelten Angaben (z. B. Name, E-Mail-Adresse, Anliegen) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage mit der Anbahnung oder Erfüllung eines Vertrags zusammenhängt; ansonsten Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Bearbeitung) bzw. Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erteilt wurde.

Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage und darüber hinaus, soweit dies aus Beweissicherungs- oder steuerrechtlichen Gründen erforderlich ist (in der Regel maximal 3 Jahre).

20. Empfänger und Auftragsverarbeitung

Zur Bereitstellung unserer Plattform setzen wir sorgfältig ausgewählte Dienstleister ein (Hosting, Datenbank, E-Mail-Versand, Zahlungsabwicklung, KI). Soweit diese Daten in unserem Auftrag verarbeiten, sind sie Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit allen Auftragsverarbeitern haben wir entsprechende Verträge geschlossen oder es liegt ein auto-binding wirksamer AVV über die Nutzungsbedingungen des Anbieters vor.

Die vollständige Liste aller aktiven Auftragsverarbeiter und sonstigen Empfänger finden Sie auf einer separaten Seite, die wir laufend aktuell halten – inklusive Sitz, Zweck, Drittlandstransfer-Garantien und Sub-Subprozessoren:

Subprozessoren-Liste

Daneben übermitteln wir Stellenanzeigen-Daten – auf entsprechende Buchung des Arbeitgebers – an die in Abschnitt 9.2 genannten Partner-Stellenbörsen, die jeweils eigenständig Verantwortliche sind.

21. Drittlandstransfers

Einige der von uns eingesetzten Dienstleister haben ihren Sitz oder verarbeiten Daten außerhalb der EU/des EWR – insbesondere in den USA. In diesen Fällen sichern wir das gesetzlich erforderliche Schutzniveau über zwei Mechanismen ab:

Welche unserer Dienstleister Daten in Drittländer übermitteln und auf welcher Garantie dies jeweils beruht, finden Sie in der Subprozessoren-Liste. Eine Sonderkonstellation – der Server-Log-Drain an Axiom in den USA – ist in Abschnitt 17 detailliert beschrieben.

22. Cookies

Wir setzen auf unserer Website ausschließlich technisch notwendige Cookies ein. Diese sind erforderlich, damit die Plattform sicher funktioniert (insbesondere die Anmeldung am Nutzer-Account). Wir setzen keine Tracking-, Werbe- oder Analyse-Cookies. Aus diesem Grund benötigen wir auch kein Cookie-Banner.

Unsere Reichweitenmessung über Plausible Analytics erfolgt vollständig cookieless (siehe Abschnitt 7).

22.1 Liste der eingesetzten Cookies

NameAnbieterZweckSpeicherdauerTyp
next-auth.session-token (in Produktion: __Secure-next-auth.session-token)MFA mal andersSpeichert das verschlüsselte Sitzungs-Token (JWT) zur Authentifizierung eingeloggter Nutzer:innen.7 Tage (rolling)HTTP-Cookie, HttpOnly, Secure
next-auth.csrf-token (in Produktion: __Host-next-auth.csrf-token)MFA mal andersSchutz vor Cross-Site-Request-Forgery (CSRF) bei Login- und Authentifizierungs-Vorgängen.SitzungHTTP-Cookie, HttpOnly, Secure
next-auth.callback-urlMFA mal andersSpeichert die URL, zu der nach erfolgreicher Anmeldung zurückgeleitet werden soll.SitzungHTTP-Cookie

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Speicherung ist unbedingt erforderlich, damit der vom Nutzer ausdrücklich gewünschte Telemediendienst zur Verfügung gestellt werden kann) i. V. m. Art. 6 Abs. 1 lit. b und f DSGVO.

22.2 Cookies bei Weiterleitung zu Stripe

Nutzen Sie die Bezahlfunktion und werden Sie auf die Bezahlseite von Stripe weitergeleitet, kann Stripe auf seiner Domain eigene Cookies setzen. Diese unterliegen ausschließlich der Cookie- und Datenschutzerklärung von Stripe.

23. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Offenlegung zu schützen. Hierzu gehören insbesondere:

Wir überprüfen unsere Maßnahmen regelmäßig und passen sie an den Stand der Technik und neue Risiken an.

24. Automatisierte Entscheidungen und Profiling

Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Auch die in Abschnitt 15 beschriebenen KI-Funktionen sind kein Profiling im Sinne von Art. 22 DSGVO: Sie erzeugen ausschließlich Textentwürfe, die anschließend manuell geprüft werden.

Die in Abschnitt 11 beschriebene interne Vorprüfung von Kurzbewerbungen kann regelbasiert ausgelöst werden, führt aber ausschließlich zu einer manuellen Sichtung durch Admins. Eine automatisierte Auswahl, Bewertung oder Ablehnung von Bewerber:innen findet auf unserer Plattform nicht statt.

25. Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO insbesondere die folgenden Rechte zu. Sie können diese jederzeit über die in Abschnitt 2 genannten Kontaktwege geltend machen:

Wir beantworten Ihre Anfrage in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Werden Ihre Daten zum Zwecke der Direktwerbung verarbeitet, können Sie jederzeit – ohne Angabe von Gründen – Widerspruch einlegen.

26. Pflicht zur Bereitstellung von Daten

Soweit Sie ein Nutzerkonto anlegen, eine Stellenanzeige veröffentlichen, eine Bewerbung absenden oder den Newsletter abonnieren möchten, müssen Sie uns die jeweils als Pflicht gekennzeichneten Daten bereitstellen. Andernfalls können wir die jeweilige Funktion nicht für Sie anbieten. Eine gesetzliche Verpflichtung zur Bereitstellung Ihrer Daten besteht nicht.

27. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, sobald sich an unseren Verarbeitungstätigkeiten oder an den eingesetzten Dienstleistern etwas Wesentliches ändert. Über wesentliche Änderungen informieren wir – soweit gesetzlich erforderlich – aktiv (z. B. per E-Mail an angemeldete Nutzer:innen). Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist stets auf unserer Website abrufbar.

Stand: 2026-06-19

28. Verwandte Dokumente

Zuletzt geändert: 19.6.2026