Datenschutzerklärung

3.1 Server-Log-Dateien

Der Provider der Seiten (OVHcloud) erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL (die zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website.

Hosting: OVH GmbH, Mainzer Landstraße 41, 60329 Frankfurt am Main, Deutschland

3.2 Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon oder über Calendly (Terminbuchungstool) kontaktieren, werden folgende Daten verarbeitet:

• Name
• E-Mail-Adresse
• Telefonnummer
• Inhalt Ihrer Anfrage

Zweck: Bearbeitung Ihrer Anfrage und Kommunikation
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen)
Speicherdauer: Bis zur vollständigen Bearbeitung Ihrer Anfrage, danach maximal 6 Monate, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Calendly: Bei Nutzung von Calendly werden Daten an Calendly LLC, USA übermittelt. Calendly nutzt Standardvertragsklauseln der EU-Kommission. Weitere Infos: https://calendly.com/privacy

3.3 CRM-System (Pipedrive)

Zur Verwaltung von Kundenbeziehungen nutzen wir Pipedrive, ein CRM-System der Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland (EU).

Gespeicherte Daten:

• Name
• Firma
• E-Mail-Adresse
• Telefonnummer
• Kommunikationsverlauf

Zweck: Kundenverwaltung, Angebotserstellung, Projektmanagement
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Speicherort: EU (Rechenzentren in der EU)
Speicherdauer: Solange die Geschäftsbeziehung besteht, zzgl. gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre)

Weitere Infos: https://www.pipedrive.com/en/privacy

4.1 Google Analytics

Diese Website nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited („Google"), Gordon House, Barrow Street, Dublin 4, Irland.

Umfang der Verarbeitung:
Google Analytics verwendet Cookies, um die Nutzung der Website zu analysieren. Die durch Cookies erzeugten Informationen über Ihre Nutzung werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

IP-Anonymisierung:
Wir haben die IP-Anonymisierung aktiviert. Ihre IP-Adresse wird innerhalb der EU/EWR gekürzt, bevor sie an Google übertragen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)

Datenübermittlung in die USA:
Google ist nach dem EU-US Data Privacy Framework zertifiziert.

Widerspruch:
Sie können die Speicherung von Cookies durch entsprechende Einstellung Ihrer Browser-Software verhindern oder das Browser-Add-on zur Deaktivierung von Google Analytics nutzen: https://tools.google.com/dlpage/gaoptout

Weitere Informationen: https://policies.google.com/privacy

4.2 Google Fonts (lokal eingebunden)

Diese Website nutzt zur einheitlichen Darstellung von Schriftarten Google Fonts. Diese werden lokal eingebunden, sodass keine Verbindung zu Google-Servern hergestellt wird.

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Einige sind technisch notwendig, andere dienen der Analyse und Verbesserung unserer Website.

Kategorien:

• Technisch notwendige Cookies: Session-Cookies (werden nach Schließen des Browsers gelöscht)
• Analyse-Cookies: Google Analytics (siehe oben)

Verwaltung:
Sie können Ihre Cookie-Einstellungen jederzeit über unseren Cookie-Banner anpassen oder in Ihren Browser-Einstellungen Cookies blockieren.

Im Rahmen unserer Dienstleistungen (Entwicklung von Automatisierungslösungen) verarbeiten wir Kundendaten ausschließlich im Auftrag und nach Weisung unserer Kunden.

Datenverarbeitung:

• Eigener Server bei OVHcloud in Frankfurt am Main (Deutschland)
• Alle Daten verbleiben in der EU
• Nach Projektabschluss: Datenübergabe an Kunden oder Löschung nach Kundenwunsch

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)

Für die Terminvereinbarung durch unseren KI-Telefonassistenten Call Carla bieten wir unseren Geschäftskunden eine optionale Integration mit Google Calendar und Microsoft Outlook / Microsoft 365. Die Verbindung erfolgt über das Standardverfahren OAuth 2.0, bei dem der Kunde den Zugriff über das Portal explizit autorisiert.

Umfang des Zugriffs:

• Nur der vom Kunden ausgewählte Kalender wird verwendet
• Lesezugriff auf Verfügbarkeiten (Free/Busy) zur Prüfung freier Zeitfenster
• Schreibzugriff zum Erstellen, Ändern und Stornieren von bestätigten Terminen
• Kein Zugriff auf andere Dienste (Gmail, Drive, Contacts, OneDrive, Teams)

Gespeicherte Daten:

• OAuth-Zugriffstoken (Access Token) und Erneuerungstoken (Refresh Token), jeweils AES-256-GCM-verschlüsselt auf unseren Servern bei OVHcloud in Frankfurt am Main
• Konfigurationsdaten des verbundenen Kalenders (Kalender-ID, Zeitzone, Geschäftszeiten)
• Zeitpunkt der Verbindung und Name des autorisierenden Nutzers (für Auditzwecke)

Genutzte Scopes:

• Google: https://www.googleapis.com/auth/calendar sowie https://www.googleapis.com/auth/calendar.events
• Microsoft: Calendars.ReadWrite sowie offline_access

Zweck der Verarbeitung: Prüfung der Kalenderverfügbarkeit in Echtzeit und Erstellung bestätigter Termine während eingehender oder ausgehender Anrufe durch Call Carla.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit der expliziten Einwilligung des Kunden bei der OAuth-Autorisierung (Art. 6 Abs. 1 lit. a DSGVO).

Speicherdauer: Die Tokens werden gespeichert, solange die Kalenderverbindung im Portal aktiv ist. Bei Trennung der Verbindung über das Portal werden die Tokens unwiderruflich gelöscht und gleichzeitig beim jeweiligen Anbieter (Google bzw. Microsoft) widerrufen.

Auftragsverarbeitung durch den Anbieter: Die eigentlichen Kalender-Daten werden beim jeweiligen Anbieter (Google Ireland Ltd. bzw. Microsoft Ireland Operations Ltd.) verarbeitet. Der Kunde ist verantwortlich für den Abschluss eines eigenen Auftragsverarbeitungsvertrags (AVV) mit dem jeweiligen Anbieter.

Widerruf der Einwilligung: Der Kunde kann die Verbindung jederzeit über das PIOLA-Portal trennen. Zusätzlich kann der Zugriff auch direkt im Google-Konto (myaccount.google.com/permissions) bzw. im Microsoft-Konto (myapps.microsoft.com) widerrufen werden.

Stellenangebote von PIOLA und unseren Kunden werden teilweise über die Subdomain bewerbung.piola.io veröffentlicht. Bewerbungen, die über diese Subdomain eingehen, fallen unter die vorliegende Datenschutzerklärung. Bei der Verarbeitung dieser Bewerbungen kommen KI-Funktionen zum Einsatz.

Erfasste Daten:

• Stammdaten (Name, Anschrift, Kontaktdaten)
• Lebenslauf, Anschreiben, Zeugnisse, weitere hochgeladene Bewerbungsunterlagen
• Antworten auf strukturierte Bewerbungsfragen (Verfügbarkeit, Qualifikation, Gehaltsvorstellung)
• KI-generierter Eignungs-Score und Bewertungs-Erklärung
• Status im Bewerbungsprozess, Recruiter-Notizen

Zweck: Vorqualifizierung von Bewerbungen, Abgleich mit Stellenanforderungen, Vorbereitung der Recruiter-Entscheidung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und § 26 Abs. 1 BDSG.

Einstufung nach EU-KI-Verordnung: KI-gestützte Bewerberauswahl gilt als Hochrisiko-KI nach Anhang III der EU-KI-Verordnung. Wir setzen folgende Maßnahmen um:

• Menschliche Letztentscheidung: die KI liefert eine Empfehlung (Erstinterview, manuelle Prüfung, Standard-Absage), die finale Entscheidung trifft immer ein Recruiter. Eine selbstständige Absage durch die KI ist technisch ausgeschlossen.
• Transparenzpflicht: in der Stellenanzeige und im Bewerbungsprozess weisen wir darauf hin, dass KI im Vorscreening eingesetzt wird.
• Recht auf manuelle Prüfung: Bewerber können jederzeit verlangen, dass ein Mensch ihre Bewerbung unabhängig vom KI-Score sichtet.
• Diskriminierungsfreie Modelle: Geschlecht, Herkunft, Alter, Religion und vergleichbare Merkmale fließen nicht in die Bewertung ein. Die Modelle werden regelmäßig auf Bias geprüft.
• Dokumentation des Bewertungsprozesses: pro Bewerbungsvorgang wird gespeichert, welche Stellenanforderungen geprüft wurden, welche Skills gematcht oder als fehlend markiert wurden, und welche Recruiter-Aktion folgte. Audit-Trail ermöglicht rückwirkende Nachweisbarkeit.

Hosting und Speicherung:

• Server bei OVHcloud in Frankfurt am Main, EU-Hosting
• Verschlüsselte Speicherung, Zugriff nur für berechtigte Personen
• Keine Verwendung der Bewerberdaten für KI-Training

Bewerbungsprozess im Detail:

1. Eingang der Bewerbung über Stellen-Link auf bewerbung.piola.io (Webformular oder Chat-Bewerbung über Talent Tom)
2. Automatische Speicherung im Bewerbermanagement-System auf EU-Servern
3. KI-gestütztes CV-Screening: Abgleich der Bewerber-Daten mit dem im System hinterlegten Anforderungsprofil der Stelle. Erstellung eines Eignungs-Scores plus Erklärung (gematchte und fehlende Skills)
4. Optional: telefonisches Erstinterview über Call Carla, siehe separate Datenschutzerklärung Call Carla
5. Recruiter sichtet Score, Erklärung und Bewerbungsunterlagen, trifft die finale Entscheidung (Erstinterview, manuelle Prüfung, Absage)
6. Jede Aktion wird mit Zeitpunkt im Audit-Trail festgehalten

Datenweitergabe an Stellenanbieter: Wird die Stelle nicht von PIOLA selbst, sondern von einem Kunden (Auftraggeber) ausgeschrieben, werden die Bewerber-Daten zum Zweck der Stellenbesetzung an den Kunden weitergegeben. Die Datenweitergabe erfolgt verschlüsselt über das Bewerbermanagement-System. Der Kunde wird in der jeweiligen Stellenanzeige als zukünftiger Arbeitgeber benannt.

Speicherdauer: Bei abgelehnten Bewerbungen 6 Monate nach Abschluss des Verfahrens (zur Wahrung der gesetzlichen Klagefristen nach AGG). Bei Einstellung Überführung in die Personalakte des einstellenden Arbeitgebers. Auf Wunsch des Bewerbers können Daten jederzeit gelöscht werden.

Wir setzen zwei KI-Chatbots ein, die mit natürlicher Sprache mit Nutzern kommunizieren.

Talent Tom (Bewerber-ChatBot auf bewerbung.piola.io):

• Zweck: strukturiertes Bewerbungsgespräch per Chat, Erstqualifikation
• Erfasste Daten: Antworten auf Bewerbungsfragen, Kontaktdaten, KI-generierter Eignungs-Score
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
• Kennzeichnung als KI: zu Beginn jedes Chats wird auf den KI-Einsatz hingewiesen (Pflicht nach EU-KI-Verordnung)

FAQ Felix (KI-Chatbot auf piola.io und in Kunden-Portalen):

• Zweck: Beantwortung von Standard-Anfragen aus hinterlegtem Wissen (Produkt-Infos, FAQ, Tarif- oder Personalinfos im Kunden-Setup)
• Erfasste Daten: Frage-Inhalte, ggf. Session-Daten zur Spam-Prävention
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Anfragenbearbeitung)
• Kennzeichnung als KI: der Chatbot wird transparent als KI-gestützter Assistent ausgewiesen

Gemeinsame Datenschutz-Maßnahmen:

• Hosting auf europäischen Servern (OVHcloud Frankfurt)
• Keine Verwendung der Eingaben für KI-Training
• Verschlüsselte Übertragung und Speicherung
• Konfigurierbare Löschfristen je nach Use-Case

Auf unserer Website befinden sich Links zu unseren Social-Media-Profilen (LinkedIn, Instagram, etc.). Beim Klick auf diese Links werden Sie auf externe Plattformen weitergeleitet. Wir haben keinen Einfluss auf die Datenverarbeitung dieser Anbieter.

Datenschutzhinweise der Anbieter:

• LinkedIn: https://www.linkedin.com/legal/privacy-policy
• Instagram: https://privacycenter.instagram.com/policy

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
https://datenschutz.hessen.de