Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

HR Rocket GmbH
Kettelerstr. 5-11, Technologiepark Pav. 10
97222 Rimpar, Deutschland
Geschäftsführer: Daniel Werner
E-Mail: datenschutz@hr-rocket.com
Telefon: 09365/82923-21

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z.B. Namen, Adressen)
• Kontaktdaten (z.B. E-Mail, Telefonnummern)
• Inhaltsdaten (z.B. Eingaben in Formularen)
• Bewerbungsunterlagen (z.B. Lebenslauf, Anschreiben)
• Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (z.B. IP-Adressen, Browserinformationen)
• Zahlungs- und Abrechnungsdaten (z.B. Rechnungsadresse, USt-IdNr.)

Kategorien betroffener Personen

• Nutzer der Website (Besucher, Interessenten)
• Registrierte Kunden (Arbeitgeber)
• Bewerber (Personen, die sich auf Stellenanzeigen bewerben)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Der Nutzer hat seine Einwilligung zur Verarbeitung gegeben.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich.
• Bewerbungsverfahren (§ 26 BDSG i.V.m. Art. 88 DSGVO) – Die Verarbeitung ist für die Entscheidung über ein Beschäftigungsverhältnis erforderlich.

4. Hosting und Auftragsverarbeitung

Diese Website wird bei ALL-INKL.COM (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland) gehostet. Die Server befinden sich ausschließlich in Deutschland. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Beim Besuch unserer Website werden automatisch Informationen in Server-Logfiles gespeichert:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer-URL
• IP-Adresse (anonymisiert nach 7 Tagen)
• Uhrzeit der Serveranfrage

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Die Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

5. Externe Dienste und Drittland-Transfer

Lokal gehostete Ressourcen

Sämtliche statischen Ressourcen werden lokal von unseren eigenen Servern in Deutschland bereitgestellt:

• Schriftarten (Inter) – lokal gehostet, kein Kontakt zu Google-Servern
• CSS-Framework (Tailwind CSS) – lokal gehostet, kein CDN
• Icons (Lucide) – lokal gehostet, kein CDN
• JavaScript-Bibliotheken (PDF.js, html2canvas, jsPDF) – lokal gehostet, kein CDN

Beim bloßen Besuch dieser Website werden keine Daten an Google, Meta, Amazon oder andere US-Dienstleister übertragen.

KI-gestützte Textgenerierung (Google Gemini API)

Für die optionale KI-gestützte Erstellung von Stellenanzeigen und Unternehmensbeschreibungen nutzen wir die Google Gemini API (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei werden die vom Nutzer eingegebenen Stichworte und Stelleninformationen an die Google Gemini API übermittelt. Die Nutzung dieser Funktion ist freiwillig und wird nur auf explizite Anforderung des Nutzers ausgelöst (z.B. Klick auf „Mit KI generieren").

Google verarbeitet die übermittelten Daten gemäß den Google Cloud Datenschutzbedingungen. Es kann dabei zu einer Datenübermittlung in die USA kommen. Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Hinweis zur Textgenerierung: Bei der Erstellung von Stellenanzeigen und Unternehmensbeschreibungen werden keine personenbezogenen Daten an die Gemini API übertragen – ausschließlich sachliche Stelleninformationen (Jobtitel, Anforderungen, Benefits etc.).

KI-gestützte Lebenslauf-Analyse (CV-Parsing)

Arbeitgeber können im Dashboard optional eine KI-gestützte Analyse hochgeladener Lebensläufe auslösen. Dabei wird der Inhalt des PDF-Dokuments an die Google Gemini API übermittelt, um strukturierte Informationen zu extrahieren (Skills, Berufserfahrung, Ausbildung, Sprachen). Diese Funktion wird nur auf expliziten Klick des Arbeitgebers ausgelöst – es erfolgt keine automatische Verarbeitung.

Hinweis zur CV-Analyse: Da Lebensläufe personenbezogene Daten enthalten können (Name, Adresse, Foto), werden bei der CV-Analyse potenziell personenbezogene Daten an Google übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an einer effizienten Bewerberauswahl). Die extrahierten Daten werden ausschließlich in der Datenbank des Arbeitgebers gespeichert und bei Löschung der Bewerbung ebenfalls gelöscht.

Interview-Terminbuchung

Arbeitgeber können Bewerbern einen Buchungslink für Vorstellungsgespräche senden. Beim Buchen eines Termins über die Seite /termin/ werden folgende Daten verarbeitet: Name und E-Mail-Adresse des Bewerbers (bereits aus der Bewerbung bekannt), gewähltes Datum, Uhrzeit, Dauer und ggf. Ort des Gesprächs. Diese Daten werden ausschließlich zur Terminkoordination verwendet.

Der Buchungslink enthält einen kryptographisch zufälligen Token (64 Zeichen) und ist nicht öffentlich zugänglich. Die Termindaten werden zusammen mit der Bewerbung gespeichert und bei Löschung der Bewerbung ebenfalls gelöscht. Buchungs-Tokens laufen automatisch ab. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen). Bei Bestätigung erhalten beide Seiten eine E-Mail mit Kalenderdatei (.ics).

Zusätzlich können Arbeitgeber ihre wöchentliche Verfügbarkeit für Interviews festlegen sowie einzelne Tage blockieren (z.B. Urlaub). Diese Daten enthalten keine personenbezogenen Daten Dritter und werden bei Kontolöschung gelöscht.

Quick Apply (Bewerbungsformular)

Bei Nutzung der Quick-Apply-Funktion im Bewerbungsformular wird die erste Seite des hochgeladenen PDF-Lebenslaufs im Browser als JPEG-Bild gerendert (ca. 100–300 KB) und an die Google Gemini API gesendet, um Kontaktdaten (Name, E-Mail, Telefon) automatisch zu erkennen. Es wird nicht das vollständige PDF übermittelt, sondern nur ein Bild der ersten Seite. Diese Funktion wird nur auf expliziten Klick des Bewerbers ausgelöst. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung). Ein Datenschutzhinweis wird direkt unter dem Button angezeigt.

Notizen und E-Mail-Verlauf zu Bewerbungen

Arbeitgeber können zu jeder Bewerbung Notizen speichern und E-Mails über das System versenden. Der Inhalt versendeter E-Mails (Betreff, Text, Vorlage, Zeitpunkt) wird protokolliert, um den Kommunikationsverlauf nachvollziehbar zu machen. Notizen und E-Mail-Protokolle werden zusammen mit der Bewerbung gelöscht (6 Monate nach Verfahrensende). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem nachvollziehbaren Auswahlprozess).

Rechnungen

Bei Buchung von Multiposting-Leistungen werden Rechnungen als PDF-Dateien auf unserem Server gespeichert. Kunden können ihre Rechnungen im Dashboard unter „Bestellungen“ jederzeit abrufen und herunterladen. Nur autorisierte Administratoren der HR Rocket GmbH haben Zugriff auf die Rechnungsverwaltung. Speicherdauer: 10 Jahre (handels- und steuerrechtliche Aufbewahrungsfrist gem. § 147 AO, § 257 HGB).

Admin-Protokollierung

Für Sicherheits- und Audit-Zwecke werden administrative Aktionen protokolliert (z.B. Benutzerdetails einsehen, Rechnungen hochladen, Bestellstatus ändern). Speicherdauer: 12 Monate. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität des Systems).

6. Cookies und lokale Speicherung

Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind:

• bewerbersuite_sid – Session-Cookie für die Anmeldung, Laufzeit: Dauer der Sitzung (max. 30 Tage), HttpOnly, SameSite=Lax

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Login-Funktion) sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

Lokale Speicherung (localStorage)

Zur Verbesserung der Nutzererfahrung speichern wir folgende Daten im lokalen Speicher Ihres Browsers (localStorage). Diese Daten verlassen nicht Ihren Browser und werden nicht an unsere Server übertragen:

• Anmeldestatus – Ob Sie eingeloggt sind (ja/nein)
• Cookie-Einstellung – Ihre Auswahl im Cookie-Hinweis
• Dashboard-Daten – Zwischengespeicherte Stellen und Bewerbungen zur schnelleren Darstellung

Sie können die lokale Speicherung jederzeit löschen, indem Sie die Browserdaten löschen. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig für die Funktion des Dienstes).

Sitzungsspeicher (sessionStorage)

Für die korrekte Zuordnung Ihrer Registrierung speichern wir temporär folgende Daten im Sitzungsspeicher Ihres Browsers (sessionStorage). Diese Daten werden automatisch gelöscht, sobald Sie den Browser-Tab schließen:

• Herkunftsseite (Referrer) – Die URL der Website, von der Sie zu uns gelangt sind
• Kampagnen-Parameter – UTM-Parameter aus der URL (utm_source, utm_medium, utm_campaign), sofern vorhanden

Diese Daten werden ausschließlich bei einer Registrierung an unseren Server übertragen und in Ihrem Nutzerkonto gespeichert (siehe Abschnitt 7). Ohne Registrierung verlassen diese Daten nicht Ihren Browser. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig für die Zuordnung der Registrierungsquelle).

7. Registrierung und Nutzerkonto

Sie können sich auf unserer Website registrieren, um das Bewerbermanagement-System zu nutzen. Bei der Registrierung werden folgende Daten erhoben:

• Firmenname, Branche
• Vor- und Nachname, Position
• E-Mail-Adresse, Telefonnummer
• Firmenadresse (Straße, PLZ, Stadt)
• Passwort (gespeichert als kryptografischer Hash)
• Registrierungsquelle – Herkunftsseite (Referrer-URL) und ggf. Kampagnen-Parameter (utm_source, utm_medium, utm_campaign), sofern in der URL vorhanden

Die Registrierungsquelle dient der internen Auswertung, über welche Kanäle Nutzer auf unser Angebot aufmerksam werden. Es erfolgt kein Profiling und keine Weitergabe an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Registrierungsquellen). Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Bei Löschung Ihres Kontos werden alle personenbezogenen Daten unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen dem entgegenstehen.

Sie können die Löschung Ihres Kontos jederzeit per E-Mail an datenschutz@hr-rocket.com beantragen.

8. Bewerberdaten und Bewerbungsverfahren

Als Bewerbermanagement-System verarbeiten wir Bewerbungsdaten im Auftrag unserer registrierten Kunden (Arbeitgeber). Dabei gelten folgende Regelungen:

Erhobene Daten von Bewerbern

• Vor- und Nachname
• E-Mail-Adresse, Telefonnummer
• Anschreiben / Nachricht
• Lebenslauf (PDF-Upload)

Rechtsgrundlage

§ 26 BDSG i.V.m. Art. 88 DSGVO (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) sowie die Einwilligung des Bewerbers bei Absenden der Bewerbung (Art. 6 Abs. 1 lit. a DSGVO).

Speicherdauer

Bewerbungsunterlagen werden 6 Monate nach Abschluss des Bewerbungsverfahrens automatisch gelöscht, sofern keine anderweitige Einwilligung des Bewerbers vorliegt. Diese Frist orientiert sich an § 15 Abs. 4 AGG (Klagefrist bei Diskriminierung). Bewerber können die vorzeitige Löschung ihrer Daten jederzeit verlangen.

Auftragsverarbeitung

Die HR Rocket GmbH verarbeitet Bewerberdaten als Auftragsverarbeiter gemäß Art. 28 DSGVO im Auftrag des jeweiligen Arbeitgebers (Verantwortlicher). Der Arbeitgeber ist für die Einhaltung der datenschutzrechtlichen Vorgaben gegenüber den Bewerbern verantwortlich.

9. Kontaktaufnahme & Feedback

Wenn Sie uns per E-Mail, Telefon oder über das Kontaktformular kontaktieren, werden Ihre Angaben zwecks Bearbeitung der Anfrage gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Kontaktanfragen werden nach Abschluss der Bearbeitung und Ablauf etwaiger Gewährleistungsfristen gelöscht, spätestens nach 3 Jahren.

Bei Nutzung unserer Feedback-Funktion speichern wir Ihre Nachricht, Ihre E-Mail-Adresse (sofern angegeben), die aufgerufene Seite sowie Ihre IP-Adresse. Die IP-Adresse wird ausschließlich zur Missbrauchsprävention (Rate-Limiting: maximal 3 Nachrichten pro Stunde) erhoben und nach 90 Tagen anonymisiert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verbesserung unseres Angebots).

10. Bestellungen und Abrechnungsdaten

Bei Buchung von Multiposting-Leistungen erheben wir Rechnungsdaten (Firma, Ansprechpartner, Adresse, USt-IdNr.). Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) verarbeitet.

Rechnungs- und Abrechnungsdaten unterliegen den handels- und steuerrechtlichen Aufbewahrungsfristen (§ 147 AO, § 257 HGB) und werden 10 Jahre aufbewahrt.

11. Löschfristen im Überblick

12. Ihre Rechte als Betroffener

Sie haben folgende Rechte gegenüber uns:

• Auskunftsrecht (Art. 15 DSGVO) – Recht auf Auskunft über Ihre gespeicherten personenbezogenen Daten. Sie können eine Kopie Ihrer gespeicherten Daten jederzeit im Dashboard unter Einstellungen → Profil & Zugangsdaten herunterladen.
• Berichtigungsrecht (Art. 16 DSGVO) – Recht auf Berichtigung unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) – Recht auf Löschung Ihrer Daten
• Einschränkung der Verarbeitung (Art. 18 DSGVO) – Recht auf Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Recht auf Erhalt Ihrer Daten in einem maschinenlesbaren Format
• Widerspruchsrecht (Art. 21 DSGVO) – Recht auf Widerspruch gegen die Verarbeitung
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
• Beschwerderecht (Art. 77 DSGVO) – Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@hr-rocket.com

13. Ansprechpartner für Datenschutz

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

HR Rocket GmbH – Datenschutz
Kettelerstr. 5-11, Technologiepark Pav. 10
97222 Rimpar, Deutschland
E-Mail: datenschutz@hr-rocket.com
Telefon: 09365/82923-21

14. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils neue Datenschutzerklärung.