Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

HeyJobs GmbH, Paul-Lincke-Ufer 39/40, 10999 Berlin, Deutschland. E-Mail: legal@madita.ai. Telefon: +49 30 30 80 95 50.

Das Impressum finden Sie unter https://madita.ai/impressum.

2. Datenschutzbeauftragter

Den Datenschutzbeauftragten der HeyJobs GmbH erreichen Sie unter: legal@madita.ai.

Der Datenschutzbeauftragte der HeyJobs GmbH ist die DataCo GmbH, Sandstraße 33, 80335 München, Deutschland.

3. Geltungsbereich und Zweck der Datenverarbeitung

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen Ihres Besuchs der Website und der Nutzung von MADITA.

4. Allgemeines zu den Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten Ihre Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Soweit besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen sein können, gilt zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Bei der Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.

Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

5. Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Server automatisch technische Informationen, die Ihr Browser an uns übermittelt. Diese werden in sogenannten Logfiles gespeichert. Erfasst werden: IP-Adresse des anfragenden Endgeräts (in gekürzter, anonymisierter Form, soweit technisch möglich), Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp und Browserversion, Betriebssystem sowie Referrer-URL (zuvor besuchte Website).

Zwecke: Sicherstellung des reibungslosen Verbindungsaufbaus, Gewährleistung der Systemsicherheit und Stabilität, Auswertung zu administrativen Zwecken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technischen Bereitstellung der Website und der Abwehr von Angriffen.

Speicherdauer: Die Logfiles werden nach spätestens 30 Tagen gelöscht. Im Fall eines konkret dokumentierten sicherheitsrelevanten Vorfalls können einzelne Logfiles, die für die Untersuchung des Vorfalls erforderlich sind, längstens bis zu 90 Tagen nach Abschluss der Untersuchung aufbewahrt und im Anschluss gelöscht werden.

6. Cookies und vergleichbare Technologien

Überblick und Einwilligungsmodell: Auf der Website setzen wir Cookies und vergleichbare Technologien (z. B. Local Storage) ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Cookies und vergleichbare Technologien, die nicht unbedingt für den Betrieb der Website erforderlich sind, setzen wir ausschließlich auf Grundlage Ihrer Einwilligung ein. Vor jeder Speicherung oder einem Zugriff auf Informationen in Ihrem Endgerät, der nicht unbedingt erforderlich ist, holen wir Ihre Einwilligung über ein Cookie-Banner ein. Das Banner ermöglicht Ihnen, jede Kategorie einzeln zu akzeptieren oder abzulehnen; die Aktionen „Alle akzeptieren“, „Einstellungen“ und „Alle ablehnen“ sind auf der ersten Ebene mit gleicher visueller Gewichtung dargestellt.

Rechtsgrundlagen: Für die Speicherung von Informationen auf Ihrem Endgerät und den Zugriff darauf: § 25 Abs. 1 TDDDG (Einwilligung) bzw. § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich). Für die Verarbeitung der damit verbundenen personenbezogenen Daten: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und funktionsfähigen Betrieb der Website) für strikt notwendige Cookies.

Kategorien: Wir verwenden vier Kategorien. Strikt notwendig — erforderlich für den Betrieb der Website (Anmeldung, Sicherheit, Sitzungsverwaltung); keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Komfort — speichert Ihre Präferenzen wie Sprache und Anzeige; einwilligungspflichtig. Statistik — pseudonymisierte Nutzungsmessung zur Verbesserung und Fehlererkennung; einwilligungspflichtig. Marketing — Tracking für Werbung und Konversionsmessung; einwilligungspflichtig. Im Banner sind alle einwilligungspflichtigen Kategorien standardmäßig deaktiviert.

Aktuell eingesetzte Cookies: Derzeit setzen wir ausschließlich Cookies der Kategorie „Strikt notwendig“ ein — ein Sitzungs-Cookie (Verwaltung Ihrer Anmeldung, Sitzung bzw. bis Logout), ein CSRF-Token (Schutz vor Cross-Site-Request-Forgery, Sitzung), ein Lastverteilungs-Cookie (Sticky-Routing zur richtigen Server-Instanz, Sitzung) und ein Cookie-Einwilligungs-Cookie (Speicherung Ihrer Cookie-Entscheidung, 12 Monate). Sobald wir Cookies der Kategorien Komfort, Statistik oder Marketing einsetzen, holen wir hierfür Ihre Einwilligung ein.

Drittlandtransfers: Soweit eingesetzte Cookies Datenübermittlungen in Drittländer (insbesondere in die USA) auslösen, weisen wir Sie im Cookie-Verzeichnis auf die geltenden Garantien hin, insbesondere das EU-US Data Privacy Framework und/oder Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Bei den derzeit eingesetzten strikt notwendigen Cookies finden keine Drittlandtransfers statt.

Widerruf und Verwaltung Ihrer Einwilligung: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder Ihre Auswahl anpassen, indem Sie den Link „Cookie-Einstellungen“ im Footer anklicken oder in eingeloggten Bereichen den entsprechenden Eintrag im Einstellungsmenü aufrufen. Der Widerruf ist genauso einfach wie die Erteilung der Einwilligung. Wir holen Ihre Einwilligung erneut ein, wenn 12 Monate seit Ihrer letzten Entscheidung vergangen sind oder sich die Cookie-Konfiguration in einer Weise ändert, die eine erneute Einwilligung erfordert.

Nachweis der Einwilligung: Zum Nachweis Ihrer Einwilligung gemäß Art. 7 Abs. 1 DSGVO speichern wir technische Metadaten in pseudonymisierter Form. Rechtsgrundlage: Art. 6 Abs. 1 lit. c i. V. m. Art. 7 Abs. 1 DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 3 Jahre ab der jeweiligen Einwilligungsentscheidung (orientiert an § 195 BGB).

Hinweis zum KI-Interview: Die Aufzeichnung und Verarbeitung Ihrer Stimme im Rahmen des KI-Interviews ist keine Cookie-Verarbeitung im Sinne dieses Abschnitts. Hierfür gelten gesonderte Hinweise und ein eigener Einwilligungs- bzw. Bestätigungsbildschirm vor Beginn des Interviews.

7. MADITA-Produkt

Das MADITA-Produkt ist eine SaaS-Anwendung, mit der Unternehmen („Kunden“) strukturierte KI-gestützte Interviews mit Bewerbern durchführen können. Sie können das Produkt zunächst mit bis zu 10 kostenlosen Interviews testen („Test-Phase“) und es anschließend kostenpflichtig nutzen.

Rollen und Vertragsstruktur: Bei der Nutzung sind drei Parteien beteiligt — das Unternehmen („Kunde“), der Bewerber als betroffene Person sowie wir als Betreiber der Plattform. Der Kunde ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Verarbeitung der Bewerberdaten. Wir verarbeiten Bewerberdaten ausschließlich als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) auf Grundlage eines AVV (Art. 28 DSGVO). Gegenüber dem Kunden sind wir hinsichtlich der Account- und Vertragsdaten Verantwortlicher.

Registrierung und Account-Erstellung: Verarbeitete Daten: Name, geschäftliche E-Mail-Adresse, Unternehmen, Position, Passwort (gehasht), optional Telefonnummer, weitere Angaben. Zweck: Produktzugang, Authentifizierung, Schutz der Plattform sowie Anbahnung und Durchführung des Vertragsverhältnisses. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie ergänzend lit. f DSGVO. Speicherdauer: für die Dauer des Vertragsverhältnisses; danach Löschung, soweit keine handels- und steuerrechtlichen Aufbewahrungsfristen entgegenstehen (in der Regel bis zu 10 Jahre). Während der Account-Erstellung schließen Sie einen AVV nach Art. 28 DSGVO mit uns.

Social Login: Alternativ können Sie sich mit Ihrem bestehenden Account bei Google, Microsoft oder LinkedIn (jeweils mit Sitz in Irland) anmelden. Der jeweilige Anbieter übermittelt uns die zur Kontoerstellung erforderlichen Profildaten (in der Regel Name und E-Mail-Adresse). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit die Anbieter Daten außerhalb des EWR verarbeiten, gilt Abschnitt 11 entsprechend.

Test-Phase (10 kostenlose Interviews): Wenn Sie in der Test-Phase echte Bewerber durch ein Interview führen möchten, gelten dieselben Voraussetzungen wie bei der kostenpflichtigen Nutzung. Daten der Test-Phase werden spätestens 6 Monate nach Abschluss der jeweiligen Interview-Sitzung automatisch gelöscht, sofern kein kostenpflichtiges Vertragsverhältnis zustande kommt.

Kostenpflichtige Nutzung: Vor der Nutzung von MADITA mit Bewerberdaten ist der Abschluss eines AVV erforderlich. Der Kunde ist verpflichtet, Bewerber vor Beginn des Auswahlverfahrens über die Verarbeitung ihrer Daten zu informieren und die einschlägigen Mitteilungspflichten einzuhalten, insbesondere die Offenlegung des Einsatzes eines KI-Systems.

Bewerberdaten – Hinweis zur Auftragsverarbeitung: Soweit Unternehmen MADITA für KI-gestützte Interviews einsetzen, verarbeiten wir Bewerberdaten (insbesondere Audioaufzeichnungen, Transkripte und KI-Auswertungen) ausschließlich als Auftragsverarbeiter im Auftrag und nach Weisung des jeweiligen Unternehmens (Art. 28 DSGVO). Verantwortlicher ist das jeweilige Unternehmen. Bewerber, die Betroffenenrechte geltend machen möchten, wenden sich bitte an das Unternehmen, das sie zum Interview eingeladen hat. Vor Beginn des Interviews informieren wir Bewerber im Auftrag des Unternehmens darüber, dass sie mit einem KI-System interagieren.

8. Feedback-Formular nach Demo (Google Forms)

Nach Abschluss des Demo-Interviews bitten wir Sie um Ihr Feedback über ein Online-Formular, das wir mit Google Forms (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) bereitstellen.

Verarbeitete Daten: Ihre Angaben im Formular, einschließlich freiwilliger Kontaktdaten (z. B. Name, E-Mail-Adresse, Unternehmen, Funktion) und Ihres inhaltlichen Feedbacks. Zweck: Auswertung Ihrer Rückmeldung zur Verbesserung des Produkts. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Absenden des Formulars).

Speicherdauer: Die Antworten werden spätestens 24 Monate nach Eingang gelöscht. Soweit Sie ausdrücklich um Vertriebs-Kontaktaufnahme bitten, werden diese Daten in das in Abschnitt 9 beschriebene CRM-System überführt. Ihre Einwilligung in das Feedback umfasst nicht automatisch die fortgesetzte Verarbeitung im CRM. Google verarbeitet Daten unter Umständen auch in den USA; zu den Schutzmaßnahmen siehe Abschnitt 11.

9. Vertriebs- und Marketing-Kommunikation, CRM (HubSpot)

Soweit Sie über das Feedback-Formular ausdrücklich um Vertriebs-Kontaktaufnahme bitten oder auf anderen Wegen Ihre geschäftlichen Kontaktdaten hinterlassen, speichern und verarbeiten wir diese Daten in unserem CRM-System HubSpot (HubSpot, Inc., 2 Canal Park, Cambridge, MA 02141, USA, sowie HubSpot Ireland Limited, Dublin, Irland).

Verarbeitete Daten: geschäftliche Kontaktdaten (Name, E-Mail, Telefonnummer, Unternehmen, Funktion), Inhalt der Kommunikation, Interaktionsdaten mit unseren E-Mails. Zwecke: Pflege der Geschäftsbeziehung, Vertriebs-Kontaktaufnahme, Bearbeitung Ihrer Anfragen, Information über das Produkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b DSGVO (vorvertragliche Maßnahmen/Vertragsdurchführung) oder lit. f DSGVO (berechtigtes Interesse an Akquise und Pflege geschäftlicher Kundenbeziehungen). Sie können der Verarbeitung zu Werbe- und Direktmarketingzwecken jederzeit formlos an legal@madita.ai widersprechen.

Speicherdauer: längstens 36 Monate nach dem letzten Kontakt; danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. HubSpot verarbeitet Daten auch in den USA; zu den Schutzmaßnahmen siehe Abschnitt 11.

10. Eingesetzte Auftragsverarbeiter

Wir setzen für den Betrieb des MADITA-Angebots sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO). Mit jedem dieser Auftragsverarbeiter haben wir einen Vertrag zur Auftragsverarbeitung geschlossen.

Kategorien: Cloud-Hosting und Infrastruktur, KI-Inferenz und Sprachverarbeitung, Anwendungsüberwachung und Fehleranalyse, E-Mail-Versand, CRM und Vertriebskommunikation, Zahlungsabwicklung, ATS-Integration.

Einzelne Auftragsverarbeiter haben ihren Sitz oder verarbeiten Daten außerhalb des EWR; zu den Transfermechanismen siehe Abschnitt 11. Eine aktuelle Liste der eingesetzten Auftragsverarbeiter einschließlich ihrer Sub-Auftragsverarbeiter stellen wir auf Anfrage an legal@madita.ai zur Verfügung.

11. Datenübermittlung in Drittländer (insbesondere USA)

Einzelne der unter Abschnitt 10 genannten Anbieter haben ihren Sitz oder verarbeiten Daten in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA.

Transfermechanismen: Soweit Daten in die USA übermittelt werden, stützen wir die Übermittlung in folgender Reihenfolge — EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, Durchführungsbeschluss (EU) 2023/1795), sofern der jeweilige US-Anbieter zertifiziert ist; ergänzend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) als Fallback. Eine Kopie der Standardvertragsklauseln stellen wir auf Anfrage zur Verfügung.

Konkretisierung zur KI-Sprachverarbeitung: Der für die Live-Sprachverarbeitung im Interview eingesetzte KI-Dienst verarbeitet Audio-Streams und Transkript-Fragmente derzeit über einen globalen Endpunkt, einschließlich Verarbeitung in den USA. Wir stützen diese Übermittlung auf das EU-US Data Privacy Framework sowie subsidiär auf Standardvertragsklauseln. Sobald ein dauerhaftes EU-Hosting verfügbar ist, stellen wir die Verarbeitung auf EU-Endpunkte um.

12. Ihre Rechte als betroffene Person

Sie haben gegenüber uns als Verantwortlichem folgende Rechte: Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Löschung (Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit (Art. 20 DSGVO), Widerspruchsrecht (Art. 21 DSGVO), soweit die Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht, sowie das Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO).

Die Rechtmäßigkeit der bis zu einem Widerruf erfolgten Verarbeitung bleibt unberührt. Zur Ausübung Ihrer Rechte wenden Sie sich an legal@madita.ai.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere im Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Telefon: +49 30 13889-0, E-Mail: mailbox@datenschutz-berlin.de.

14. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten vor unbefugtem Zugriff, Verlust und Manipulation zu schützen. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

15. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den oben angegebenen Stand. Wir behalten uns vor, sie an geänderte Rechtslagen oder Änderungen unseres Angebots anzupassen. Die jeweils aktuelle Fassung ist unter https://madita.ai/datenschutz und https://interview-demo.madita.ai/datenschutz abrufbar.

Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder durch einen deutlich sichtbaren Hinweis beim nächsten Aufruf des Produkts. Soweit eine Änderung den Umfang einer erteilten Einwilligung berührt, holen wir vor der weiteren Verarbeitung eine erneute Einwilligung ein. Bei Rückfragen wenden Sie sich gerne an legal@madita.ai.