Datenschutzerklärung für ShortSelect Plattform- und Website-Nutzer

1. Verantwortlicher

Verantwortlich für die Verarbeitung im Zusammenhang mit ShortSelect-Accounts, Website und Plattformzugang ist:

Yusuf Esentürk
Burdastraße 18
77656 Offenburg
Deutschland
E-Mail: [email protected]

Wir handeln unter dem Geschäftsnamen "LeyalTech" und vertreiben die Plattform unter der Marke "ShortSelect". Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht aktuell nicht.

2. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für unseren Sitz ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
Web: baden-wuerttemberg.datenschutz.de

3. Welche Daten wir verarbeiten

Bei Besuch der Website, Registrierung, Login, Einladungen und Nutzung der Plattform verarbeiten wir insbesondere:

• Stammdaten: Name, E-Mail-Adresse, Unternehmen, Rolle, Tenant-Zuordnung, Telefonnummer (sofern angegeben)
• Authentifizierungs- und Sicherheitsdaten: Passwort-Hash, MFA-Token, Session-IDs, Login-Zeitstempel
• Technische Protokolldaten: IP-Adresse, User-Agent, Aufrufzeitpunkt, aufgerufene Funktion (Server-Log)
• Einwilligungs- und Akzeptanz-Audit: Versionen akzeptierter AGB / Datenschutzerklärung / AVV, Zeitpunkt, Text-Snapshot, IP-Adresse
• Zahlungs- und Abrechnungsdaten: Tarif, Rechnungsadresse, Steuer-ID/USt-IdNr., Zahlungsverlauf, Trial-Start- und Trial-Endzeitpunkt, Subscription-Status (trialing/active/past_due/paused/canceled), Stripe-Customer-ID, Rechnungs-PDF-URLs. Die vollständigen Kartendaten verarbeiten wir nicht; diese werden ausschließlich von Stripe als unserem Zahlungsdienstleister gespeichert und verarbeitet (PCI-DSS Level 1).
• Checkout-Metadaten: IP-Adresse, User-Agent und Zeitpunkt zum Zeitpunkt der Stripe-Checkout-Session zur Betrugsprävention. Diese Daten werden gemeinsam mit Stripe verarbeitet (gemeinsame Verantwortlichkeit nach Art. 26 DSGVO im engen Rahmen der Zahlungsabwicklung).
• Nutzungsdaten: Aktivitätshistorie für Audit, Sicherheit und Produktverbesserung
• Kommunikationsdaten: Inhalt von Support-Anfragen, gesendete und empfangene E-Mails über die Plattform

4. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten, um Nutzerkonten bereitzustellen, Logins abzusichern, Einladungen zu verwalten, den SaaS-Vertrag zu erfüllen, Missbrauch zu verhindern, Support zu leisten und gesetzliche Nachweispflichten zu erfüllen. Rechtsgrundlagen sind je nach Verarbeitung:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen) — für Bereitstellung des Accounts, Abrechnung, Support
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten) — für Aufbewahrung von Rechnungen, steuerliche Pflichten, Audit-Pflichten gemäß DSGVO Art. 28 / 32
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) — für Sicherheit, Missbrauchsabwehr, Server-Logging, Produktverbesserung über aggregierte/anonymisierte Statistiken
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für optionale Funktionen wie KI-Telefon-/Video-Interview, soweit Sie aktiv zustimmen

5. AGB- und Datenschutzhinweis-Nachweise

Bei Registrierung, Annahme einer Einladung oder Akzeptanz einer neuen Version dieser Datenschutzerklärung speichern wir einen Audit-Nachweis. Dazu gehören Versionsnummer, Link auf den jeweils geltenden Text, Text-Snapshot, Zeitpunkt sowie — soweit serverseitig verfügbar — IP-Adresse und User-Agent. Diese Nachweise dienen der Erfüllung unserer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und werden mindestens für die Dauer des Vertragsverhältnisses und 3 Jahre darüber hinaus aufbewahrt.

6. Empfänger und Auftragsverarbeiter

Für Betrieb, Hosting, Authentifizierung, E-Mail-Versand, Sicherheit und KI-Funktionen setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen sind:

Eine jeweils tagesaktuelle Liste der Unterauftragsverarbeiter finden Sie unter shortselect.com/legal/subprocessors.

6a. Zahlungsabwicklung über Stripe

Für die Abwicklung kostenpflichtiger Tarife setzen wir Stripe Payments Europe Ltd. (Vertragspartner für EU-Kunden) bzw. Stripe Inc. (technische Verarbeitung in den USA) ein. Bei Aktivierung eines Tarifs werden Sie auf eine von Stripe gehostete Zahlungsseite weitergeleitet. Stripe verarbeitet dabei eigenverantwortlich Kartendaten und Bankverbindungen; ShortSelect erhält von Stripe ausschließlich nicht-sensible Metadaten (Stripe-Customer-ID, Subscription-Status, Rechnungsnummer, Rechnungs-PDF-URL).

Stripe stellt Rechnungen im Auftrag der LeyalTech (Yusuf Esentürk e.K.) aus. Die Rechnung enthält auf Wunsch Ihre Steuer-ID/USt-IdNr.; bei B2B-Kunden innerhalb der EU wird automatisch das Reverse-Charge-Verfahren angewandt (Stripe Tax).

Eine Kopie des AVV mit Stripe ist abrufbar unter stripe.com/de/legal/dpa. Stripes eigene Datenschutzerklärung finden Sie unter stripe.com/de/privacy.

Während der 30-tägigen kostenfreien Testphase ist die Eingabe einer Zahlungsmethode nicht erforderlich. Erst beim Hinterlegen einer Karte oder beim Wechsel auf einen kostenpflichtigen Tarif werden Zahlungsdaten an Stripe übermittelt.

7. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA oder anderen Drittländern. Übermittlungen erfolgen ausschließlich an Empfänger, die unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, C(2023) 4745) und damit ein der DSGVO entsprechendes Schutzniveau gewährleisten.

Zusätzlich haben wir mit allen US-Auftragsverarbeitern die EU-Standardvertragsklauseln (Modul 2, Beschluss (EU) 2021/914) als Backup vereinbart und ein Transfer Impact Assessment (TIA) durchgeführt. Die Standardvertragsklauseln und das TIA sind auf Anfrage einsehbar.

Die jeweils aktuelle Liste der DPF-zertifizierten Unternehmen finden Sie unter dataprivacyframework.gov/list.

8. Bewerberdaten und Kunden-Tenants

Wenn unsere Kunden — Recruiting-Agenturen und Personalvermittler — ShortSelect zur Verwaltung von Bewerbungen nutzen, verarbeiten wir Bewerberdaten ausschließlich als Auftragsverarbeiter des jeweiligen Kunden im Sinne von Art. 28 DSGVO. Verantwortlicher im Sinne der DSGVO ist insoweit der Kunde, nicht ShortSelect. Für diese Verarbeitung gelten die separaten Datenschutzhinweise des jeweiligen Kunden und der zwischen Kunde und uns geschlossene Auftragsverarbeitungsvertrag.

Wenn Sie sich auf eine ausgeschriebene Stelle bewerben, gelten die Datenschutzhinweise des jeweiligen Kunden auf der Karriereseite. Bewerberdaten werden grundsätzlich spätestens 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht (siehe Abschnitt 12).

9. Datenquelle bei Sourcing-Import

Soweit unsere Kunden Kandidatenprofile aus öffentlich zugänglichen Quellen importieren (insbesondere LinkedIn, Xing, Stepstone, Indeed sowie öffentlich indexierte Profilseiten via Google), sind diese Quellen für die Erhebung der personenbezogenen Daten maßgeblich. Sie haben in diesem Fall ein Recht auf Auskunft über die Datenherkunft gemäß Art. 14 Abs. 2 lit. f DSGVO. Anfragen richten Sie bitte an den jeweiligen Verantwortlichen (Recruiting-Agentur oder Personalvermittler).

10. Automatisierte Entscheidungen und KI-Einsatz

Wir setzen KI-gestützte Verfahren zur Unterstützung des Bewerbungsprozesses ein:

• Anthropic Claude für Lebenslauf-Analyse und Matching-Bewertung
• OpenAI für ergänzende Sprachverarbeitung
• Deepgram für Speech-to-Text bei Telefon-/Video-Interviews
• ElevenLabs für Text-to-Speech bei Telefon-/Video-Interviews

Diese KI-Verfahren liefern lediglich Vorschläge, die jeder Bewerbung zugewiesen werden. Die finale Entscheidung über Einladung, Absage oder Einstellung trifft ausschließlich der menschliche Recruiter unseres Kunden. Es findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt.

Sie haben das Recht:

• auf Information über die eingesetzte Logik (Art. 13 Abs. 2 lit. f DSGVO)
• auf menschliche Überprüfung jeder vorgeschlagenen Entscheidung
• auf Darlegung Ihres Standpunkts und Anfechtung der vorgeschlagenen Entscheidung
• auf Auskunft, welche Datenpunkte in den KI-Score eingeflossen sind

Unser KI-System fällt unter den EU AI Act (Verordnung (EU) 2024/1689) als Hochrisiko-System nach Anhang III Nr. 4 (Bewerberauswahl). Die Anbieter-Pflichten aus Art. 9–15 KI-VO erfüllen wir ab dem 02.08.2026.

11. Voice-Daten und KI-Interview

Im Rahmen unseres optionalen KI-gestützten Telefon- oder Video-Interviews nehmen wir mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO) Audio-Daten auf, die in Echtzeit transkribiert (Deepgram) und vom KI-System ausgewertet werden.

Wir verwenden Ihre Stimme nicht zur biometrischen Identifizierung, nicht zur Emotionserkennung und nicht zum Voice-Cloning. Die Audio-Verarbeitung dient ausschließlich der Transkription Ihrer Antworten und der inhaltlichen Bewertung im Rahmen des Bewerbungsverfahrens.

Audio-Daten werden 30 Tage nach dem Interview automatisch gelöscht. Das Transkript bleibt im Bewerberprofil bis zur Löschung gemäß § 15 Abs. 4 AGG (max. 6 Monate nach Verfahrensabschluss).

Sie können die Einwilligung jederzeit widerrufen (§ 7 Abs. 3 DSGVO i.V.m. § 26 BDSG); die Auswertung wird dann sofort beendet, ohne dass dies negative Folgen für Ihre Bewerbung hat.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie sie für die genannten Zwecke erforderlich sind oder gesetzliche Aufbewahrungs- und Nachweispflichten bestehen.

13. Cookies und ähnliche Technologien (§ 25 TDDDG)

Wir verwenden auf unserer Website und in der App ausschließlich technisch notwendige Cookies, die für den Betrieb erforderlich sind:

• Login-Session-Cookies (Supabase Auth)
• CSRF-Schutz-Tokens
• Bot-Mitigation durch Cloudflare (z.B. __cf_bm)

Diese Cookies erfordern nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung. Tracking-, Marketing- oder Analyse-Cookies setzen wir nicht ein. Sollten wir in Zukunft solche Cookies einsetzen, holen wir Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO ein, bevor diese gesetzt werden.

14. Ihre Rechte

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung Ihrer Daten (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) — Sie erhalten die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV), soweit die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag mit uns beruht und automatisiert erfolgt. Bewerberdaten, die wir im Auftrag unserer Kunden verarbeiten, sind direkt an die jeweilige Recruiting-Agentur als Verantwortlichen zu richten — wir unterstützen die Agentur bei der Erfüllung Ihres Anspruchs.
• Widerspruch gegen bestimmte Verarbeitungen (Art. 21)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77, siehe Abschnitt 2)

15. Anpassung dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, sofern Änderungen an unseren Verarbeitungen, neue rechtliche Vorgaben oder neue Sub-Prozessoren dies erfordern. Bei wesentlichen Änderungen, die Pflichten oder Rechte der Betroffenen berühren, informieren wir Sie mindestens 30 Tage vor Wirksamwerden in Textform und bitten Sie bei Ihrem nächsten Login um erneute Kenntnisnahme. Diese Kenntnisnahme wird zu Audit-Zwecken protokolliert.

16. Kontakt

Bei Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte erreichen Sie uns unter [email protected].