Datenschutzerklärung

1. Überblick und Geltungsbereich

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie unsere Website www.mfa-mal-anders.de besuchen, sich als Arbeitgeber oder Jobsuchende:r registrieren, eine Stellenanzeige veröffentlichen, sich auf eine Stelle bewerben, unseren Newsletter beziehen oder uns auf andere Weise kontaktieren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Stand dieser Erklärung: 2026-05-03

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

MFA mal anders – Kristin Maurach & Christopher Liedtke OHG
Vertretungsberechtigte Gesellschafter: Kristin Maurach und Christopher Liedtke
In den Sandbergen 30a
49808 Lingen (Ems)
E-Mail: kontakt(at)mfa-mal-anders.de

Für Anfragen zum Datenschutz – insbesondere zur Ausübung Ihrer Betroffenenrechte – nutzen Sie bitte die oben genannte E-Mail-Adresse oder unser Kontaktformular.

3. Datenschutz-Aufsichtsbehörde

Sie haben das Recht, sich jederzeit bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns örtlich zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen)
Prinzenstraße 5
30159 Hannover
Telefon: +49 (0)511 / 120-4500
E-Mail: poststelle(at)lfd.niedersachsen.de
Web: https://lfd.niedersachsen.de

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes wenden.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf einer der folgenden Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – z. B. für den Bezug unseres Job-Newsletters oder das Anlegen eines Stellengesuchs.
• Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) – z. B. für die Bereitstellung Ihres Arbeitgeber- oder Jobsuchenden-Accounts, die Veröffentlichung Ihrer Stellenanzeige oder die Abwicklung von Bewerbungen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – z. B. für die Aufbewahrung von Buchhaltungsunterlagen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – z. B. für die technisch sichere Bereitstellung unserer Website, die Reichweitenmessung oder die Missbrauchsprävention. Unsere berechtigten Interessen erläutern wir bei der jeweiligen Verarbeitungstätigkeit.
• Beschäftigungskontext (§ 26 BDSG) – ergänzend zu Art. 6 Abs. 1 lit. b DSGVO, soweit Bewerbungsdaten zur Anbahnung eines Beschäftigungsverhältnisses verarbeitet werden.

Die jeweils einschlägige Rechtsgrundlage benennen wir bei jeder Verarbeitungstätigkeit weiter unten.

5. Verarbeitungstätigkeiten im Überblick

Die folgende Tabelle gibt Ihnen einen Überblick. Details finden Sie in den jeweils verlinkten Abschnitten.

6. Bereitstellung der Website (Server-Logs)

Wenn Sie unsere Website aufrufen, erhebt unser Hosting-Anbieter automatisch technische Informationen, die Ihr Browser an uns übermittelt:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und HTTP-Statuscode
• Referrer-URL
• Browsertyp, Browserversion und Betriebssystem
• übertragene Datenmenge

Diese Daten werden in Server-Logs verarbeitet, um die Stabilität und Sicherheit der Website zu gewährleisten und um Fehler zu erkennen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien und sicheren Bereitstellung unserer Plattform.

Speicherdauer: in der Regel bis zu 30 Tage, anschließend automatisierte Löschung.

Empfänger: Vercel (Frontend-Hosting in Frankfurt, FRA1), webgo (WordPress-Backend), Axiom (Log-Drain – siehe Abschnitt 17). Details siehe Subprozessoren-Liste.

7. Reichweitenmessung mit Plausible (cookieless)

Wir nutzen den Reichweitenmessungs-Dienst Plausible Analytics der Plausible Insights OÜ (Tallinn, Estland – EU). Plausible:

• setzt keine Cookies auf Ihrem Endgerät,
• erstellt keine personenbezogenen Profile,
• speichert IP-Adressen ausschließlich als kurzlebigen, gehashten Wert, der nach 24 Stunden verworfen wird,
• aggregiert ausschließlich anonymisierte Statistiken (z. B. Seitenaufrufe, Geräteklasse, grobe Herkunftsregion).

Wir erfahren dadurch z. B., welche unserer Stellenanzeigen oder Magazinartikel besonders gefragt sind – ohne einzelne Personen wiederzuerkennen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer datenschutzfreundlichen statistischen Auswertung des Nutzungsverhaltens, ohne dass eine Identifizierung einzelner Personen erfolgt.

Drittlandstransfer: keiner – Plausible ist EU-Anbieter.

Weitere Informationen: Plausible Data Policy.

8. Registrierung und Account-Verwaltung

Sie können auf unserer Plattform ein kostenloses Nutzerkonto anlegen – als Arbeitgeber, Jobsuchende:r oder Bildungsträger. Dabei verarbeiten wir:

• Vor- und Nachname (bei Jobsuchenden auf Wunsch nur Initialen)
• E-Mail-Adresse (Pflicht)
• Passwort (verschlüsselt gespeichert)
• Rolle (Arbeitgeber / Jobsuchende:r / Bildungsträger)
• bei Arbeitgebern: Praxis-/Unternehmensdaten, Adresse, Logo
• bei Jobsuchenden: optional Profilbild, Berufserfahrung, Qualifikationen, Wunschregion

Zur Bestätigung der E-Mail-Adresse versenden wir einen Verifizierungscode (Double-Opt-In).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag über die Nutzung der Plattform).

Speicherdauer: für die Dauer des Account-Bestands. Sie können Ihren Account jederzeit in den Account-Einstellungen oder per Anfrage an kontakt(at)mfa-mal-anders.de löschen. Nach Löschung werden Daten innerhalb von 30 Tagen aus den Live-Systemen entfernt; Backups laufen durch turnusmäßige Rotation aus.

Empfänger: MongoDB Atlas (Datenbank, Cluster-Region Frankfurt EU), Vercel (Hosting). Details siehe Subprozessoren-Liste.

9. Veröffentlichung und Distribution von Stellenanzeigen

Wenn Sie als Arbeitgeber eine Stellenanzeige bei uns buchen, verarbeiten wir die hierfür erforderlichen Daten – z. B. Stellenbeschreibung, Anforderungsprofil, Arbeitsort, Kontaktdaten für Bewerbungen, Logo und Bilder.

9.1 Veröffentlichung auf mfa-mal-anders.de

Die Anzeige wird auf www.mfa-mal-anders.de veröffentlicht und ist damit weltweit über das Internet abrufbar. Wir stellen die Anzeige außerdem über strukturierte Daten für Google for Jobs bereit; ob, wann und wie lange Google die Anzeige aufnimmt, entscheidet Google. Zur Beschleunigung der Indexierung übermitteln wir neue oder aktualisierte Anzeigen-URLs an die Google Indexing API – ausschließlich URLs, keine personenbezogenen Inhalte.

9.2 Optionale Distribution an Partner-Stellenbörsen

Auf Wunsch des Arbeitgebers oder als Bestandteil des gebuchten Pakets übermitteln wir die Stellenanzeige an Partner-Stellenbörsen. Diese sind keine Auftragsverarbeiter, sondern jeweils eigenständig Verantwortliche für die weitere Verarbeitung in ihren Portalen:

• Bundesagentur für Arbeit (BA), Nürnberg – als öffentliche Stelle mit gesetzlichem Auftrag (Übermittlung über die HR-BA-XML-Schnittstelle).
• Kleinanzeigen GmbH, Berlin – im Rahmen unseres PRO-Pakets.

Zu den jeweiligen Datenschutzhinweisen gelangen Sie über die Portale dieser Empfänger.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags mit dem Arbeitgeber-Kunden über das gebuchte Paket); für die Indexing-API-Übermittlung Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sichtbarkeit der Anzeigen).

Speicherdauer: Die Anzeige bleibt für die gebuchte Laufzeit aktiv. Nach Ablauf wird sie aus der öffentlichen Stellenbörse entfernt; eine Kopie der Anzeigendaten verbleibt im Account des Arbeitgebers, bis dieser sie löscht oder das Konto schließt. Bei den Partner-Stellenbörsen gelten deren eigene Speicherfristen.

10. Stellengesuche und Talent-Profile

Als Jobsuchende:r können Sie zusätzlich zu Ihrem Account ein Stellengesuch (Talent-Profil) anlegen, das für Arbeitgeber mit aktiver Stellenanzeige sichtbar ist. Sie entscheiden dabei selbst:

• ob Vor- und Nachname vollständig oder anonymisiert (als Initialen) angezeigt werden,
• ob Sie ein Profilbild hochladen,
• welche Berufserfahrung, Qualifikationen, Wunschregion und Verfügbarkeit Sie angeben.

Ihre E-Mail-Adresse wird Arbeitgebern nicht angezeigt – die Erstkontaktaufnahme erfolgt ausschließlich über unser plattforminternes Nachrichtensystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung erteilen Sie mit der bewussten Veröffentlichung Ihres Stellengesuchs und können sie jederzeit widerrufen, indem Sie das Stellengesuch deaktivieren oder löschen.

Speicherdauer: bis zum Widerruf bzw. bis Sie Ihr Profil löschen.

Empfänger: MongoDB Atlas (Datenbank, EU), AWS S3 (Profilbilder, Region eu-central-1 Frankfurt). Bei Verwendung der KI-gestützten Stellengesuch-Zusammenfassung siehe Abschnitt 15.

11. Bewerbungsverfahren

11.1 Klassische Bewerbung

Wenn Sie sich auf eine Stellenanzeige bewerben, übermitteln wir Ihre Bewerbung an die in der Anzeige hinterlegte Kontakt-E-Mail-Adresse des Arbeitgebers. Wir verarbeiten dafür typischerweise:

• Stammdaten (Anrede, Vor- und Nachname)
• Kontaktdaten (E-Mail-Adresse, ggf. Telefonnummer)
• Angaben zur aktuellen Beschäftigung, Qualifikation und Berufserfahrung
• Freitextangaben (Motivation, Erwartungen)
• optional bereitgestellte Unterlagen (z. B. Lebenslauf als PDF)

11.2 Kurzbewerbung mit Lebenslauf-Anhang

Über die Kurzbewerbungsfunktion können Sie eine vereinfachte Bewerbung samt Lebenslauf direkt aus unserer Plattform absenden. Wichtig zu wissen:

• Der Lebenslauf wird ausschließlich als E-Mail-Anhang an den Arbeitgeber weitergeleitet (Versand über unseren Dienstleister Resend).
• Wir speichern den Lebenslauf weder in unserer Datenbank (MongoDB) noch in unserem Datei-Speicher (AWS S3).
• In unserer Datenbank wird lediglich ein technisches Flag gesetzt, das festhält, ob eine Bewerbung mit oder ohne Lebenslauf-Anhang versendet wurde – nicht der Inhalt selbst.

11.3 Rechtsgrundlage und Speicherdauer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 26 BDSG (Bewerbungsverfahren zur Anbahnung eines Beschäftigungsverhältnisses).

Speicherdauer auf unseren Systemen: Bewerbungs-Metadaten (Zeitpunkt, Stellenbezug, Status) speichern wir für die Dauer des Vorgangs sowie zur Beweissicherung typischerweise bis zu 6 Monate nach Abschluss des Bewerbungsverfahrens. Übermittlungs-Logs werden im Rahmen der Server-Log-Aufbewahrung (siehe Abschnitt 6) gelöscht.

Verantwortlichkeit nach Übermittlung: Sobald Ihre Bewerbung beim Arbeitgeber eingegangen ist, ist dieser eigenständig für die weitere Verarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Üblicherweise speichern Arbeitgeber Bewerbungsunterlagen bis zu 6 Monate nach Abschluss des Verfahrens, sofern Sie nicht in eine längere Speicherung (z. B. für einen Talentpool) ausdrücklich eingewilligt haben.

Empfänger: Resend (E-Mail-Versand inklusive CV-Anhang), MongoDB Atlas (Bewerbungs-Metadaten). Details siehe Subprozessoren-Liste.

12. Job-Newsletter und Job-Alerts

Wir betreiben einen wöchentlichen Job-Newsletter sowie ein Job-Alert-System, das Sie bei neuen passenden Stellen automatisch per E-Mail benachrichtigt. Für die Anmeldung verwenden wir das Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungsmail; erst nach Klick auf den Bestätigungs-Link nehmen wir Sie in den Verteiler auf.

Verarbeitete Daten: E-Mail-Adresse, Bestätigungs-Zeitpunkt, IP-Adresse zum Zeitpunkt der Anmeldung (Nachweis der Einwilligung), gewünschte Bundesländer/Berufsfilter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie auf den Abmelde-Link in jeder Newsletter-E-Mail klicken oder sich an kontakt(at)mfa-mal-anders.de wenden.

Speicherdauer: bis zum Widerruf. Nach Abmeldung speichern wir Ihre E-Mail-Adresse zusätzlich für eine begrenzte Zeit in einer Sperrliste (Blacklist), um zu vermeiden, dass Sie versehentlich erneut Newsletter erhalten. Rechtsgrundlage für die Blacklist ist Art. 6 Abs. 1 lit. f DSGVO.

Empfänger: Resend (E-Mail-Versand), Upstash (technische Versand-Warteschlange). Details siehe Subprozessoren-Liste.

13. Zahlungsabwicklung (Stripe)

Bezahlpflichtige Stellenanzeigen-Pakete werden über den Zahlungsdienstleister Stripe abgewickelt. Vertragspartner für unseren Account ist die Stripe Payments Europe Ltd. mit Sitz in Dublin, Irland; die technische Verarbeitung kann auch durch deren US-Konzernverbund erfolgen.

Während des Bezahlvorgangs werden Sie auf eine von Stripe gehostete Bezahlseite weitergeleitet. Stripe verarbeitet hierbei insbesondere Ihren Namen, Ihre Rechnungsadresse, Ihre Zahlungsmittel-Daten (Kreditkarte, SEPA, Sofortüberweisung etc.), Rechnungsbetrag, Währung und Transaktionsnummer. Wir selbst erhalten von Stripe nur die Information, ob die Zahlung erfolgreich war, sowie Metadaten für die Rechnungsstellung – nicht aber Ihre vollständigen Zahlungsmittel-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandstransfer: Stripe ist über den US-Konzernverbund unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend greifen die EU-Standardvertragsklauseln (SCCs) über das Stripe-DPA.

Datenschutzhinweise von Stripe: https://stripe.com/de/privacy.

14. Buchhaltung (Lexware Office)

Rechnungen, Belege und zugehörige Buchungsdaten werden in Lexware Office der Haufe Service Center GmbH (Freiburg, Deutschland) verarbeitet. Backup-Kopien der Rechnungs-PDFs werden zusätzlich in unserem Geschäfts-Konto bei Google Workspace (Drive) abgelegt.

Verarbeitete Daten: Name und Anschrift des Rechnungsempfängers, Rechnungsnummer, Rechnungsbetrag, Leistungszeitraum, USt-ID (sofern angegeben), Zahlungsstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO und § 257 HGB (gesetzliche Aufbewahrungspflichten).

Speicherdauer: 10 Jahre ab Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde.

Drittlandstransfer: Lexware Office ist DE-Anbieter (kein Drittlandstransfer). Google Workspace ist DPF-zertifiziert; ergänzend greifen SCCs.

15. KI-gestützte Funktionen

Wir setzen KI-Modelle für drei Zwecke ein: einen Stellenanzeigen-Generator für Arbeitgeber (Modell claude-sonnet-4.6 von Anthropic), eine Stellengesuch-Zusammenfassung für Jobsuchende (OpenAI) und eine interne HTML-zu-Stellenanzeigen-Konvertierung beim Import externer Anzeigenquellen (OpenAI). Die OpenAI-Calls werden technisch über das Vercel AI Gateway geroutet; Vercel ist insoweit unser Auftragsverarbeiter und hat seinerseits einen Vertrag mit OpenAI. Welche Anbieter beteiligt sind, finden Sie aufgeschlüsselt in der Subprozessoren-Liste.

Nach unseren Vereinbarungen mit Anthropic, OpenAI und Vercel werden die im Rahmen dieser API-Nutzung übermittelten Inhalte nicht zum Training der KI-Modelle verwendet. Die KI erzeugt ausschließlich Textentwürfe oder Zusammenfassungen, die anschließend von einer Person geprüft und freigegeben werden – es findet kein Profiling und keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO Ihnen gegenüber statt.

Rechtsgrundlage: Für den Stellenanzeigen-Generator und die HTML-Konvertierung Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung gegenüber Arbeitgeber-Kunden bzw. interner Verwaltungsprozess). Für die Stellengesuch-Zusammenfassung Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Funktion).

Drittlandstransfer: Anthropic, OpenAI und Vercel haben Sitz in den USA. Alle drei sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend greifen die EU-Standardvertragsklauseln (SCCs) über die jeweiligen DPAs.

16. Geocoding und Karten

Bei der Erstellung von Stellenanzeigen und Stellengesuchen nutzen wir Geocoding-Dienste, um Standortvorschläge und Adresseingabehilfen anzubieten:

• Radar Labs, Inc. (New York, USA) – primärer Geocoding-Anbieter.
• HERE Global B.V. (Eindhoven, Niederlande – EU) – Fallback-Geocoding.
• Mapbox, Inc. (Washington, D.C., USA) – Kartenansichten.

Übermittelt werden dabei die jeweils eingegebene Adresse bzw. das Suchstichwort sowie technische Metadaten (z. B. IP-Adresse, Zeitpunkt der Anfrage). Wir speichern selbst keine personenbezogenen Geo-Daten dauerhaft, sondern nutzen die Anbieter ausschließlich zur Standortauflösung im Moment der Eingabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Plattformfunktion „Stellenanzeige/Stellengesuch erstellen").

Drittlandstransfer: Radar und Mapbox haben Sitz in den USA; Drittlandstransfer ist über die jeweiligen EU-Standardvertragsklauseln (SCCs) abgedeckt (auto-binding über die DPAs). HERE ist EU-Anbieter (kein Drittlandstransfer).

17. Server-Log-Drain (Axiom) – Drittlandstransfer USA

Zur Fehleranalyse und Observability leiten wir die Server-Logs unseres Hosting-Anbieters Vercel über eine Plattform-Integration an Axiom Systems, Inc. weiter. Diese Logs können enthalten: IP-Adressen, User-Agents, Request-Pfade und – in Fehlerfällen – auch URL-Parameter mit Personenbezug.

Wichtig: Die von uns genutzte Axiom-Region ist US East 1 (AWS, Virginia) und damit ein echter Drittlandstransfer in die USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der zuverlässigen Fehlererkennung und der Sicherheit unserer Plattform.

Garantie für den Drittlandstransfer: Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die über das Data Processing Addendum von Axiom verbindlich auto-binding eingebunden sind. Wir haben diese Konstellation bewusst geprüft und intern eine entsprechende Risiko-Folgenabschätzung (Transfer Impact Assessment) vorgehalten, die wir auf Anfrage der Aufsichtsbehörde vorlegen.

Speicherdauer: in der Regel bis zu 30 Tage.

18. Interne Tools (Slack, Asana)

Plattform-Ereignisse, die eine manuelle Bearbeitung erfordern (z. B. neue Rechnungen, Customer-Service-Anliegen), leiten wir in unsere internen Werkzeuge Slack (Slack Technologies, LLC, San Francisco) und Asana (Asana, Inc., San Francisco) weiter. Übermittelt werden dabei z. B. Rechnungsnummer, Kunden-/Firmenname und Stellenanzeigen-Bezeichnung. Bewerbungs-Inhalte oder Lebensläufe werden nicht in Slack oder Asana verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter interner Bearbeitung).

Drittlandstransfer: beide Anbieter sind DPF-zertifiziert; ergänzend SCCs über die jeweiligen DPAs.

Speicherdauer: bis zur Erledigung des jeweiligen Vorgangs zzgl. interner Aufbewahrung im Rahmen der Aufgabenhistorie.

19. Kontaktanfragen

Wenn Sie uns über das Kontaktformular, per E-Mail oder telefonisch kontaktieren, verarbeiten wir die von Ihnen übermittelten Angaben (z. B. Name, E-Mail-Adresse, Anliegen) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage mit der Anbahnung oder Erfüllung eines Vertrags zusammenhängt; ansonsten Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Bearbeitung) bzw. Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erteilt wurde.

Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage und darüber hinaus, soweit dies aus Beweissicherungs- oder steuerrechtlichen Gründen erforderlich ist (in der Regel maximal 3 Jahre).

20. Empfänger und Auftragsverarbeitung

Zur Bereitstellung unserer Plattform setzen wir sorgfältig ausgewählte Dienstleister ein (Hosting, Datenbank, E-Mail-Versand, Zahlungsabwicklung, KI). Soweit diese Daten in unserem Auftrag verarbeiten, sind sie Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit allen Auftragsverarbeitern haben wir entsprechende Verträge geschlossen oder es liegt ein auto-binding wirksamer AVV über die Nutzungsbedingungen des Anbieters vor.

Die vollständige Liste aller aktiven Auftragsverarbeiter und sonstigen Empfänger finden Sie auf einer separaten Seite, die wir laufend aktuell halten – inklusive Sitz, Zweck, Drittlandstransfer-Garantien und Sub-Subprozessoren:

→ Subprozessoren-Liste

Daneben übermitteln wir Stellenanzeigen-Daten – auf entsprechende Buchung des Arbeitgebers – an die in Abschnitt 9.2 genannten Partner-Stellenbörsen, die jeweils eigenständig Verantwortliche sind.

21. Drittlandstransfers

Einige der von uns eingesetzten Dienstleister haben ihren Sitz oder verarbeiten Daten außerhalb der EU/des EWR – insbesondere in den USA. In diesen Fällen sichern wir das gesetzlich erforderliche Schutzniveau über zwei Mechanismen ab:

• EU-US Data Privacy Framework (DPF): Für US-Anbieter, die unter dem DPF zertifiziert sind, greift der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023.
• EU-Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO: Ergänzend (oder eigenständig, falls keine DPF-Zertifizierung vorliegt) sind die EU-Standardvertragsklauseln über die jeweiligen DPAs verbindlich eingebunden.

Welche unserer Dienstleister Daten in Drittländer übermitteln und auf welcher Garantie dies jeweils beruht, finden Sie in der Subprozessoren-Liste. Eine Sonderkonstellation – der Server-Log-Drain an Axiom in den USA – ist in Abschnitt 17 detailliert beschrieben.

22. Cookies

Wir setzen auf unserer Website ausschließlich technisch notwendige Cookies ein. Diese sind erforderlich, damit die Plattform sicher funktioniert (insbesondere die Anmeldung am Nutzer-Account). Wir setzen keine Tracking-, Werbe- oder Analyse-Cookies. Aus diesem Grund benötigen wir auch kein Cookie-Banner.

Unsere Reichweitenmessung über Plausible Analytics erfolgt vollständig cookieless (siehe Abschnitt 7).

22.1 Liste der eingesetzten Cookies

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Speicherung ist unbedingt erforderlich, damit der vom Nutzer ausdrücklich gewünschte Telemediendienst zur Verfügung gestellt werden kann) i. V. m. Art. 6 Abs. 1 lit. b und f DSGVO.

22.2 Cookies bei Weiterleitung zu Stripe

Nutzen Sie die Bezahlfunktion und werden Sie auf die Bezahlseite von Stripe weitergeleitet, kann Stripe auf seiner Domain eigene Cookies setzen. Diese unterliegen ausschließlich der Cookie- und Datenschutzerklärung von Stripe.

23. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Offenlegung zu schützen. Hierzu gehören insbesondere:

• Transportverschlüsselung durch TLS auf der gesamten Plattform (HTTPS-only).
• Zugriffskontrollen auf Datenbank- und Infrastruktur-Ebene; Multi-Faktor-Authentifizierung für Admin-Zugänge.
• Regelmäßige Backups der Datenbank in EU-Rechenzentren.
• Verschlüsselte Speicherung von Passwörtern (Hash + Salt).
• Trennung von Produktiv- und Entwicklungsumgebungen.
• Auswahl von Auftragsverarbeitern mit nachgewiesenem Sicherheitsniveau (DPF, SCCs, ISO 27001 / SOC 2 wo verfügbar).

Wir überprüfen unsere Maßnahmen regelmäßig und passen sie an den Stand der Technik und neue Risiken an.

24. Automatisierte Entscheidungen und Profiling

Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Auch die in Abschnitt 15 beschriebenen KI-Funktionen sind kein Profiling im Sinne von Art. 22 DSGVO: Sie erzeugen ausschließlich Textentwürfe, die anschließend manuell geprüft werden. Eine automatisierte Auswahl, Bewertung oder Ablehnung von Bewerber:innen findet auf unserer Plattform nicht statt.

25. Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO insbesondere die folgenden Rechte zu. Sie können diese jederzeit über die in Abschnitt 2 genannten Kontaktwege geltend machen:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO), soweit nicht gesetzliche Aufbewahrungspflichten (z. B. Buchhaltung) entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO).
• Widerspruch gegen die Verarbeitung, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht (Art. 21 DSGVO) – insbesondere ein jederzeitiger Widerspruch gegen Direktwerbung.
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – siehe Abschnitt 3.

Wir beantworten Ihre Anfrage in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Werden Ihre Daten zum Zwecke der Direktwerbung verarbeitet, können Sie jederzeit – ohne Angabe von Gründen – Widerspruch einlegen.

26. Pflicht zur Bereitstellung von Daten

Soweit Sie ein Nutzerkonto anlegen, eine Stellenanzeige veröffentlichen, eine Bewerbung absenden oder den Newsletter abonnieren möchten, müssen Sie uns die jeweils als Pflicht gekennzeichneten Daten bereitstellen. Andernfalls können wir die jeweilige Funktion nicht für Sie anbieten. Eine gesetzliche Verpflichtung zur Bereitstellung Ihrer Daten besteht nicht.

27. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, sobald sich an unseren Verarbeitungstätigkeiten oder an den eingesetzten Dienstleistern etwas Wesentliches ändert. Über wesentliche Änderungen informieren wir – soweit gesetzlich erforderlich – aktiv (z. B. per E-Mail an angemeldete Nutzer:innen). Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist stets auf unserer Website abrufbar.

Stand: 2026-05-03

28. Verwandte Dokumente

• Subprozessoren-Liste – vollständige Übersicht aller Auftragsverarbeiter und Empfänger
• Allgemeine Geschäftsbedingungen (AGB) – Vertragsbedingungen für Arbeitgeber und Jobsuchende
• Impressum – Anbieterkennzeichnung gemäß § 5 DDG