Datenschutzerklärung

Letzte Aktualisierung: 4. December 2025

1. Allgemeine Informationen und Verantwortlicher

1.1. Geltungsbereich des Dokuments
Dieses Dokument beschreibt die Grundsätze der Verarbeitung personenbezogener Daten von Personen, die die unter der Marke Hansa Careers angebotenen Dienstleistungen nutzen, betrieben durch Handke Holding OÜ, eingetragen in der Republik Estland. Ziel dieser Datenschutzerklärung ist es, in klarer und verständlicher Form darzulegen, wie und in welchem Umfang personenbezogene Daten von Personen verarbeitet werden, die im Rahmen der Geschäftstätigkeit mit dem Verantwortlichen in Kontakt treten.

1.2. Angaben zum Verantwortlichen

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

Handelsregisternummer (registrikood): 17387477
EU-USt-IdNr.: EE102932869

1.3. Art der Geschäftstätigkeit
Der Verantwortliche betreibt Dienstleistungen im Bereich der Arbeitsvermittlung innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums, insbesondere im Rahmen der Kontakte zwischen Arbeitgebern und Personen, die eine Beschäftigung anstreben.

1.4. Von der Datenschutzerklärung erfasste Personen
Diese Datenschutzerklärung richtet sich insbesondere an Personen, die:

• die Dienstleistungen des Verantwortlichen nutzen,
• die Website www.hansacareers.ee besuchen,
• an Rekrutierungsprozessen teilnehmen,
• den Verantwortlichen zu geschäftlichen, administrativen oder informativen Zwecken kontaktieren,
• geschäftliche Korrespondenz mit dem Verantwortlichen führen,
• öffentliche oder private Einrichtungen im Rahmen formaler Kontakte vertreten.

1.5. Zwecke der Verarbeitung
Die in dieser Datenschutzerklärung beschriebenen Grundsätze betreffen die Verarbeitung personenbezogener Daten im Zusammenhang mit:

• dem Betrieb und der Verwaltung der Website www.hansacareers.ee,
• der Erbringung von Arbeitsvermittlungsdiensten,
• der Durchführung von Aufträgen und B2B-Zusammenarbeit,
• der laufenden geschäftlichen und administrativen Korrespondenz,
• der Erfüllung von Verpflichtungen gemäß dem Recht der Europäischen Union und der Republik Estland.

1.6. Rechtsgrundlage
Die Datenschutzerklärung wurde erstellt im Einklang mit:
– der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO),
– dem estnischen Gesetz zum Schutz personenbezogener Daten (Isikuandmete kaitse seadus),
– weiteren einschlägigen Rechtsvorschriften der Europäischen Union und der Republik Estland.

1.7. Kommunikationssprache und Kontaktform
Die Hauptsprache der Tätigkeit des Verantwortlichen ist Englisch. Die schriftliche Kommunikation kann in jeder amtlichen Sprache der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen.

Die bevorzugte und empfohlene Form der Kontaktaufnahme mit dem Verantwortlichen ist die elektronische Kommunikation, insbesondere:
– per E-Mail an die Adresse: office@hansacareers.ee,
– über das auf der Website verfügbare Kontaktformular: www.hansacareers.ee,
– telefonisch: +372 5617 1770.

Der Kontakt mit dem Verantwortlichen kann auch in Form der postalischen Korrespondenz an die unter Punkt 1.2 angegebene Adresse erfolgen. Zur Gewährleistung einer effizienten Bearbeitung von Anfragen sowie eines angemessenen Schutzniveaus für personenbezogene Daten empfiehlt der Verantwortliche, der seine Tätigkeit vollständig in digitaler Form ausübt, jedoch die Nutzung elektronischer Kommunikationsmittel. Die traditionelle postalische Korrespondenz kann angesichts der Art der übermittelten Informationen, einschließlich der möglichen Übermittlung personenbezogener Daten, mit längeren Bearbeitungszeiten sowie einem erhöhten Risiko des Datenverlusts oder des unbefugten Zugriffs auf diese Daten verbunden sein.

1.8. Freiwilligkeit der Bereitstellung und Verantwortung des Verantwortlichen
Die Bereitstellung personenbezogener Daten erfolgt freiwillig, ist jedoch in bestimmten Fällen erforderlich, um die Dienstleistungen des Verantwortlichen in Anspruch zu nehmen, an Rekrutierungsprozessen teilzunehmen oder eine Antwort auf eine Anfrage zu erhalten. Die Nichtbereitstellung kann die Erfüllung dieser Zwecke unmöglich machen.

Der Verantwortliche ist nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen, da Art und Umfang der Verarbeitung nicht die Voraussetzungen gemäß Art. 37 Abs. 1 DSGVO erfüllen.

Der Verantwortliche ist verantwortlich für:
– die Rechtmäßigkeit der Datenverarbeitung,
– den Einsatz geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten,
– die Wahrung der Rechte betroffener Personen,
– die Zusammenarbeit mit der estnischen Aufsichtsbehörde — Andmekaitse Inspektsioon.

2. Kategorien der Personen, deren Daten wir verarbeiten

Im Rahmen der unter der Marke Hansa Careers betriebenen Tätigkeit von Handke Holding OÜ werden ausschließlich solche personenbezogenen Daten verarbeitet, die für die Durchführung von Arbeitsvermittlungsdiensten, die Pflege geschäftlicher Beziehungen sowie die laufende operative und organisatorische Kommunikation erforderlich sind. Die Verarbeitung erfolgt gemäß den in Art. 5 Abs. 1 DSGVO genannten Grundsätzen der Rechtmäßigkeit, Fairness, Transparenz und Datenminimierung und ist stets auf den Umfang beschränkt, der zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist. Der Verantwortliche verarbeitet Daten folgender Kategorien von Personen:

2.1. Bewerber, die an laufenden Rekrutierungsprozessen teilnehmen
Natürliche Personen, die sich im Rahmen eines konkreten, aktuell durch Hansa Careers geführten Rekrutierungsprozesses auf eine veröffentlichte Stellenausschreibung bewerben. Die verarbeiteten Daten können insbesondere Angaben aus dem beruflichen Lebenslauf, Kontaktdaten sowie weitere Informationen umfassen, die der Bewerber im Zusammenhang mit dem jeweiligen Rekrutierungsverfahren bereitgestellt hat. Die Daten der Bewerber können erhoben werden:

• direkt vom Bewerber selbst,
• aus öffentlich zugänglichen Quellen, jedoch ausschließlich in dem Umfang, in dem der Bewerber diese Informationen selbst öffentlich gemacht hat, gemäß Art. 14 DSGVO.

Diese Daten werden ausschließlich zur Durchführung des jeweiligen Rekrutierungsprozesses verarbeitet und ausschließlich denjenigen Kunden zur Verfügung gestellt, für die das betreffende Verfahren durchgeführt wird.

2.2. Bewerber, die sich außerhalb laufender Rekrutierungsprozesse melden
Der Verantwortliche verarbeitet Daten von Bewerbern ausschließlich im Zusammenhang mit konkreten und aktiven Rekrutierungsprozessen. Wenn keine aktuellen Rekrutierungsprozesse durchgeführt werden oder wenn natürliche Personen ihre Daten – insbesondere Lebensläufe oder Nachrichten – ohne Bezug zu einer konkreten Stellenausschreibung übermitteln, werden solche Daten weder angenommen noch in irgendeinem Rekrutierungsverfahren verwendet. Daten, die aus eigener Initiative und ohne Bezug zu einem bestimmten Stellenangebot übermittelt werden, werden nicht analysiert, nicht archiviert und nicht weitergegeben. Sie können unmittelbar nach Eingang gelöscht werden, sofern nicht zwingende gesetzliche Vorschriften eine weitere Verarbeitung erfordern. Der Verantwortliche führt keine Datenbank spontan eingehender Bewerbungen und verwendet solche Einsendungen nicht für zukünftige Rekrutierungsprozesse. Eine Kontaktaufnahme erfolgt ausschließlich mit Personen, die sich eigenständig auf eine konkrete Stellenausschreibung beworben haben oder ihr Interesse an einer Beschäftigung öffentlich erklärt haben, z. B. durch eigene Beiträge auf sozialen Plattformen – und nur in dem Umfang, der für die Kommunikation im Zusammenhang mit der jeweiligen Stelle erforderlich ist.

2.3. Kunden und deren Vertreter
Natürliche Personen sowie Vertreter von Unternehmen, mit denen der Verantwortliche im Rahmen der Erbringung von Arbeitsvermittlungsdiensten zusammenarbeitet. Die verarbeiteten Daten umfassen insbesondere Namen, Kontaktdaten, dienstliche Funktionen sowie Informationen, die für die Durchführung von Verträgen oder die geschäftliche Zusammenarbeit erforderlich sind.

2.4. Potenzielle Kunden und Geschäftspartner
Personen, mit denen im Zusammenhang mit einem Kooperationsangebot Kontakt aufgenommen wurde oder deren Daten aus öffentlich zugänglichen Quellen stammen, wie z. B. Unternehmenswebsites oder professionelle Business-Plattformen. Diese Daten werden auf Grundlage des berechtigten Interesses des Verantwortlichen verarbeitet, eine wirtschaftliche Tätigkeit auszuüben und geschäftliche Beziehungen zu entwickeln.

2.5. Vertragspartner und Dienstleister
Natürliche Personen, die eine wirtschaftliche Tätigkeit ausüben, sowie Vertreter von Unternehmen, die dem Verantwortlichen Dienstleistungen erbringen, die für den Geschäftsbetrieb erforderlich sind – insbesondere technische, buchhalterische, rechtliche oder kommunikative Dienstleistungen. Diese Daten werden verarbeitet, um Verträge zu erfüllen, die laufende Kommunikation aufrechtzuerhalten und gesetzliche Verpflichtungen zu erfüllen.

2.6. Sonstige Personen, die den Verantwortlichen kontaktieren, sowie Vertreter öffentlicher Stellen
Personen, die Anfragen über Kontaktformulare, per E-Mail oder andere Kommunikationskanäle stellen, sowie Vertreter öffentlicher Behörden und Institutionen, mit denen der Verantwortliche dienstliche Korrespondenz führt. Diese Daten werden ausschließlich zur Durchführung der Korrespondenz, zur Beantwortung der Anfrage oder zur Erfüllung rechtlicher Pflichten verarbeitet.

Ergänzende Informationen
Der Verantwortliche:
– erhebt keine Daten aus nichtöffentlichen Quellen,
– führt keine systematische Überwachung von Personen durch,
– verarbeitet keine Daten, die für die jeweiligen Zwecke nicht erforderlich sind.

3. Umfang der verarbeiteten personenbezogenen Daten

Der Umfang der verarbeiteten personenbezogenen Daten hängt von der Art der Beziehung zwischen dem Verantwortlichen und der betroffenen Person sowie vom Zweck ab, zu dem die Daten bereitgestellt werden. Der Verantwortliche verarbeitet ausschließlich diejenigen Daten, die für die Erfüllung klar definierter und rechtmäßiger Zwecke erforderlich sind, unter Beachtung des Grundsatzes der Datenminimierung. Personenbezogene Daten werden angemessen, sachgerecht und auf das notwendige Maß beschränkt verarbeitet, gemäß Art. 5 Abs. 1 lit. c DSGVO sowie § 11 des estnischen Isikuandmete kaitse seadus.

3.1. Identifikations- und Kontaktdaten
Der Verantwortliche kann insbesondere folgende Daten verarbeiten:

• Vor- und Nachname,
• E-Mail-Adresse,
• Telefonnummer,
• weitere freiwillig übermittelte Kontaktdaten in der Korrespondenz oder im Kontaktformular,
• geschäftliche Kontaktdaten im Rahmen der B2B-Kommunikation (Firmenname, berufliche Position, dienstliche E-Mail-Adresse, Telefonnummer).

Diese Daten werden verarbeitet, um die Kommunikation zu führen, Anfragen zu beantworten, die Zusammenarbeit zu realisieren oder administrative Verpflichtungen zu erfüllen.

3.2. Daten von Bewerbern, die an Rekrutierungsprozessen teilnehmen
Bei aktiven Rekrutierungsprozessen verarbeitet der Verantwortliche ausschließlich jene Daten, die Bewerber im Rahmen ihrer Bewerbung auf konkrete Stellenausschreibungen bereitstellen. Der Umfang der Daten kann Folgendes umfassen:

• Informationen aus dem beruflichen Lebenslauf (CV), wie Berufserfahrung, Ausbildung, Qualifikationen, Kompetenzen und Sprachkenntnisse,
• den Inhalt der Bewerbung oder begleitender Nachrichten,
• alle weiteren Angaben, die der Bewerber freiwillig im Zusammenhang mit der jeweiligen Stelle bereitstellt.

Der Verantwortliche erhebt keine Bewerberdaten aus anderen Quellen als aus der direkten Antwort auf eine Stellenausschreibung und verarbeitet Bewerberdaten ausschließlich im Rahmen des jeweiligen Rekrutierungsverfahrens.

3.3. Bewerber, die Daten außerhalb von Rekrutierungsprozessen übermitteln
Wenn der Verantwortliche keine aktiven Rekrutierungsprozesse durchführt oder keine Stellen ausgeschrieben hat, werden personenbezogene Daten, die von natürlichen Personen aus eigener Initiative übermittelt werden (insbesondere Lebensläufe ohne Bezug zu einem konkreten Angebot), nicht angenommen oder verwendet. Solche Daten werden ohne weitere Verarbeitung gelöscht; der Verantwortliche erstellt keine Datenbanken oder Register für spontan eingehende Bewerbungen. Der Verantwortliche prüft ausschließlich Bewerbungen, die im Zusammenhang mit konkreten, aktuellen Stellenausschreibungen eingereicht werden.

3.4. Daten von Kunden und geschäftlichen Zusammenarbeitspartnern
Der Verantwortliche verarbeitet personenbezogene Daten von Kunden und deren Vertretern in dem Umfang, der zur Durchführung von Arbeitsvermittlungsdiensten und geschäftlicher Zusammenarbeit erforderlich ist. Diese Daten können Folgendes umfassen:

• Name der Kontaktperson,
• E-Mail-Adresse und Telefonnummer,
• berufliche Position oder Funktion,
• Angaben, die in Verträgen, Rechnungen oder buchhalterischen Unterlagen enthalten sind.

Diese Daten werden verarbeitet, um Verträge zu erfüllen, die laufende Kommunikation sicherzustellen und gesetzliche Pflichten aus dem Steuer- und Rechnungswesen zu erfüllen.

3.5. Daten im Zusammenhang mit Kommunikation und Korrespondenz
Der Verantwortliche verarbeitet die Daten, die in der Korrespondenz enthalten sind, die per E-Mail, über Kontaktformulare oder andere Kommunikationskanäle geführt wird. Der Umfang der Daten ergibt sich aus dem Inhalt der vom Absender übermittelten Nachricht und ist auf die Informationen beschränkt, die für die Bearbeitung des Anliegens oder die Beantwortung der Anfrage erforderlich sind.

3.6. Technische und organisatorische Daten im Zusammenhang mit der Website
Bei der Nutzung der Website www.hansacareers.ee können technische Daten verarbeitet werden, wie:

• IP-Adresse,
• Angaben zum Browser und Betriebssystem,
• Datum und Uhrzeit der Verbindung,
• technische Daten, die in Server-Logs gespeichert werden.

Diese Daten werden ausschließlich zur Gewährleistung der Sicherheit der Website, zum Schutz vor Missbrauch sowie für deren ordnungsgemäße Funktion verwendet. In diesem Zusammenhang nutzt der Verantwortliche Dienste von Cloudflare, Inc., das technische Daten als Auftragsverarbeiter im Namen des Verantwortlichen verarbeitet.

3.7. Daten im Zusammenhang mit Videokommunikation
Für Online-Besprechungen oder Gespräche kann der Verantwortliche das Tool Whereby verwenden. Die Datenverarbeitung beschränkt sich auf die Informationen, die für die Durchführung der Verbindung notwendig sind, wie Name oder Benutzerbezeichnung, IP-Adresse sowie technische Verbindungsdaten. Der Verantwortliche zeichnet Online-Besprechungen nicht auf und speichert deren Inhalt nicht, es sei denn, die Teilnehmer werden zuvor ausdrücklich darüber informiert und haben zugestimmt.

3.8. Besondere Kategorien personenbezogener Daten
Der Verantwortliche verarbeitet grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Er erwartet deren Übermittlung nicht und verlangt sie nicht. Werden solche Daten dennoch freiwillig im Rahmen der Korrespondenz oder übermittelte Dokumente bereitgestellt, werden sie ausschließlich in dem Umfang verarbeitet, der für den jeweiligen Zweck erforderlich ist, oder unverzüglich gelöscht.

4. Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der für die rechtmäßige Ausübung seiner Tätigkeit erforderlich ist – im Einklang mit den Grundsätzen der Fairness, Transparenz und Datenminimierung. Die Verarbeitung erfolgt gemäß den Art. 5 und 6 der Verordnung (EU) 2016/679 (DSGVO) sowie den Bestimmungen des estnischen Gesetzes zum Schutz personenbezogener Daten (Isikuandmete kaitse seadus). Personenbezogene Daten werden nur zu klar definierten und rechtmäßig begründeten Zwecken verarbeitet und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar wäre.

4.1. Durchführung von Rekrutierungsprozessen
Personenbezogene Daten von Bewerbern werden zu folgenden Zwecken verarbeitet:

• Entgegennahme und Analyse von Bewerbungen, die als Antwort auf konkrete Stellenanzeigen eingereicht wurden,
• Kontaktaufnahme mit Bewerbern im Verlauf des Rekrutierungsprozesses,
• Bewertung der Übereinstimmung des beruflichen Profils des Bewerbers mit den Anforderungen der jeweiligen Stelle,
• Übermittlung von Bewerberdaten an Kunden, die potenzielle Arbeitgeber sind – ausschließlich im Rahmen des jeweiligen Rekrutierungsprozesses.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Bewerbers,
Art. 6 Abs. 1 lit. b DSGVO – vorvertragliche Maßnahmen auf Anfrage der betroffenen Person,
Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung, sofern der Bewerber freiwillig besondere Kategorien personenbezogener Daten bereitstellt.

4.2. Aufbewahrung von Bewerbungen für zukünftige Rekrutierungen
Bewerberdaten können nach Abschluss eines Rekrutierungsprozesses nur dann für zukünftige Verfahren gespeichert werden, wenn der Bewerber ausdrücklich und gesondert eingewilligt hat. Die Daten werden für den in der Einwilligung festgelegten Zeitraum oder bis zum Widerruf gespeichert.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO.

4.3. Abschluss und Erfüllung von Verträgen
Daten von Kunden, Geschäftspartnern und Auftragnehmern werden verarbeitet zu folgenden Zwecken:

• Abschluss und Durchführung von Verträgen,
• Erbringung von Arbeitsvermittlungsdiensten,
• Bearbeitung geschäftlicher, administrativer und operativer Kontakte.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung,
Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen, insbesondere steuer- und buchhaltungsrechtlicher Vorschriften.

4.4. Pflege von Geschäftsbeziehungen und B2B-Marketing
Kontaktdaten von Unternehmensvertretern können verarbeitet werden zu folgenden Zwecken:

• Führung der laufenden geschäftlichen Kommunikation,
• Unterbreitung von Kooperationsangeboten,
• Direktmarketing im B2B-Bereich.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen an der Ausübung und Weiterentwicklung seiner wirtschaftlichen Tätigkeit.
Die betroffene Person hat das Recht, einer solchen Verarbeitung zu widersprechen.

4.5. Beantwortung von Anfragen und Führung der Korrespondenz
Daten von Personen, die den Verantwortlichen über Kontaktformulare, per E-Mail oder telefonisch kontaktieren, werden verarbeitet, um Anfragen zu beantworten und die laufende Korrespondenz zu führen.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen.

4.6. Abrechnung, Buchhaltung und Archivierung
Personenbezogene Daten werden verarbeitet, um buchhalterische, steuerliche und archivrechtliche Verpflichtungen zu erfüllen, die sich aus den Vorschriften der Republik Estland ergeben.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung des Verantwortlichen.

4.7. Gewährleistung der Sicherheit von Formularen und IT-Systemen (Cloudflare)
Der Verantwortliche setzt technische und organisatorische Maßnahmen zum Schutz der Website und der Kontaktformulare vor Spam, Missbrauch und automatisierten Eingaben ein. Hierzu werden Dienste von Cloudflare eingesetzt, einschließlich Turnstile-Mechanismen, die technische Daten der Nutzer verarbeiten können, wie:

• IP-Adresse,
• Browser- und Betriebssystemdaten,
• technische Informationen, die zur Bewertung des Missbrauchsrisikos erforderlich sind.

Diese Daten werden ausschließlich verarbeitet, um die Sicherheit und Integrität der IT-Systeme zu gewährleisten.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen am Schutz der Website und der verarbeiteten Daten.

4.8. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Personenbezogene Daten können verarbeitet werden, um rechtliche Ansprüche festzustellen, geltend zu machen oder abzuwehren.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen.

4.9. Erfüllung gesetzlicher Pflichten gegenüber öffentlichen Behörden
Personenbezogene Daten können in gesetzlich vorgeschriebenem Umfang an zuständige Behörden, Gerichte oder Kontrollinstanzen übermittelt werden.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung des Verantwortlichen.

5. Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten nur, wenn hierfür eine eindeutige und rechtlich zulässige Grundlage in folgenden Vorschriften besteht:
– Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung, DSGVO),
– Gesetz der Republik Estland zum Schutz personenbezogener Daten – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Die Verarbeitung von Daten erfolgt stets im Einklang mit den in Art. 5 DSGVO und § 11 IKS festgelegten Grundsätzen, insbesondere den Grundsätzen der Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung sowie Integrität und Vertraulichkeit.

5.1. Rechtsgrundlagen der Verarbeitung personenbezogener Daten (Art. 6 DSGVO)
Der Verantwortliche stützt die Verarbeitung personenbezogener Daten auf folgende Rechtsgrundlagen:

a) Einwilligung der betroffenen Person
(Art. 6 Abs. 1 lit. a DSGVO; § 10 Abs. 1 IKS)
Dies betrifft Situationen, in denen die betroffene Person eine freiwillige, informierte und eindeutige Einwilligung erteilt, insbesondere in Bezug auf:

• die Teilnahme an zukünftigen Rekrutierungsverfahren,
• die Weitergabe von Daten an einen potenziellen Arbeitgeber,
• die Verarbeitung zusätzlicher, freiwillig bereitgestellter Daten (z. B. Bildnis).

Die Einwilligung kann jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO).

b) Vertragserfüllung oder vorvertragliche Maßnahmen
(Art. 6 Abs. 1 lit. b DSGVO; § 10 Abs. 1 Nr. 2 IKS)

• Durchführung von Rekrutierungsprozessen und Arbeitsvermittlungsdiensten,
• Anbahnung und Durchführung der Zusammenarbeit mit Kunden und Geschäftspartnern,
• Vorbereitung und Umsetzung von Leistungs- und Serviceangeboten,
• Führung der laufenden operativen Kommunikation im Rahmen der Zusammenarbeit.

c) Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
(Art. 6 Abs. 1 lit. c DSGVO; § 10 Abs. 1 Nr. 3 IKS)
Umfasst die Datenverarbeitung, die durch estnische oder unionsrechtliche Vorschriften vorgeschrieben ist, insbesondere:

• Raamatupidamise seadus §§ 12–13 – Pflicht zur Führung und Aufbewahrung von Buchhaltungsunterlagen für 7 Jahre,
• steuerliche und berichtsbezogene Pflichten,
• Pflichten im Zusammenhang mit öffentlichen Kontrollen und Finanzprüfungen.

d) Berechtigtes Interesse des Verantwortlichen
(Art. 6 Abs. 1 lit. f DSGVO; § 11 Abs. 2 IKS)
Verarbeitung von Daten, die zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist, wie:

• Führung der laufenden Kommunikation und Bearbeitung von Anfragen,
• Pflege und Ausbau beruflicher Beziehungen sowie B2B-Zusammenarbeit,
• Direktmarketing im geschäftlichen Umfeld (im Einklang mit § 102 Elektroonilise side seadus),
• Gewährleistung der Sicherheit von IT-Systemen, Kontaktformularen und Dokumenten,
• Verhinderung von Missbrauch sowie Schutz vor Spam und Angriffen,
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Verantwortliche prüft in jedem Einzelfall, ob seine berechtigten Interessen nicht die Rechte und Freiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 47 DSGVO).

e) Wahrnehmung einer Aufgabe im öffentlichen Interesse
(Art. 6 Abs. 1 lit. e DSGVO; § 10 Abs. 1 Nr. 4 IKS)
Dies betrifft die Verarbeitung personenbezogener Daten im Rahmen von Projekten, die von öffentlichen Einrichtungen durchgeführt oder überwacht werden, insbesondere Programme des Arbeitsmarktes und der beruflichen Mobilität (z. B. Eesti Töötukassa, EURES, EU-Programme), sofern eine solche Verarbeitung erfolgt.

5.2. Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
Der Verantwortliche verarbeitet grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Offenbart die betroffene Person freiwillig solche Informationen (z. B. Gesundheitsdaten oder Angaben zur Behinderung):

• erfolgt die Verarbeitung ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO; § 21 IKS),
• unterliegen diese Daten erhöhten technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32 DSGVO),
• hat das Unterbleiben der Einwilligung keine nachteiligen Folgen.

5.3. Allgemeine Grundsätze der Datenverarbeitung
Der Verantwortliche gewährleistet, dass alle Verarbeitungstätigkeiten im Einklang stehen mit:
– Art. 5 und 6 DSGVO,
– § 11 Isikuandmete kaitse seadus,
– Art. 32 DSGVO – Sicherheit der Verarbeitung,
– Art. 24 DSGVO – Rechenschaftspflicht.

Der Verantwortliche führt weder automatisierte Profiling-Verfahren noch eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidungsfindung im Sinne von Art. 22 DSGVO durch.

5.4. Compliance-Bewertung und interne Dokumentation
Zur Sicherstellung der Übereinstimmung mit der DSGVO und dem estnischen Datenschutzrecht führt und aktualisiert der Verantwortliche insbesondere:

• ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO),
• Interessenabwägungen in Fällen der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO,
• Unterlagen zum Informationssicherheitsmanagement,
• Verfahren zur Reaktion auf Datenschutzverletzungen (Art. 33–34 DSGVO, § 23 IKS).

6. Quellen der Erhebung personenbezogener Daten

Die vom Verantwortlichen verarbeiteten personenbezogenen Daten stammen ausschließlich aus rechtmäßigen Quellen und werden in Übereinstimmung mit den geltenden Vorschriften erhoben, insbesondere den Art. 13 und 14 der Verordnung (EU) 2016/679 sowie den einschlägigen Bestimmungen des Isikuandmete kaitse seadus.

Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, erfüllt der Verantwortliche seine Informationspflicht innerhalb eines angemessenen Zeitraums, spätestens jedoch innerhalb von 30 Tagen nach deren Erhebung, sofern nicht gesetzlich etwas anderes bestimmt ist.

6.1. Direkt von den betroffenen Personen bereitgestellte Daten
Personenbezogene Daten werden dem Verantwortlichen freiwillig von den betroffenen Personen übermittelt, insbesondere über:

• die auf der Website bereitgestellten Kontaktformulare,
• E-Mail-Korrespondenz,
• Telefonate oder Online-Besprechungen,
• Bewerbungen als Antwort auf vom Verantwortlichen veröffentlichte Stellenanzeigen,
• laufende Kommunikation im Rahmen der Zusammenarbeit oder geschäftlicher Kontakte.

Der Umfang der übermittelten Daten hängt von der Art des Kontakts sowie dem Zweck ab, zu dem die betroffene Person den Verantwortlichen kontaktiert.

6.2. Daten, die im Rahmen von Rekrutierungsprozessen erhoben werden
Im Hinblick auf Bewerber werden personenbezogene Daten ausschließlich:

• direkt von Bewerbern erhoben, die sich auf eine konkrete, vom Verantwortlichen veröffentlichte Stellenausschreibung bewerben,
• im Rahmen der vom Bewerber selbst initiierten Kommunikation bezüglich einer bestimmten Position verarbeitet.

Der Verantwortliche nimmt keine Lebensläufe oder andere Bewerbungsunterlagen entgegen und verarbeitet sie nicht, wenn diese spontan und ohne Bezug zu einer konkreten, aktiven Stellenausschreibung eingereicht werden.
Solche Daten werden unverzüglich gelöscht und nicht für Rekrutierungszwecke verwendet.

Der Verantwortliche nutzt keine nichtöffentlichen Datenquellen und erhebt keine Daten aus privaten oder geschlossenen Profilen in sozialen Medien.

6.3. Daten von Kunden, Auftragnehmern und Geschäftspartnern
Personenbezogene Daten von Kunden, Auftragnehmern und deren Vertretern werden erhoben:

• im Rahmen direkter beruflicher Kontakte,
• während der Verhandlungen, des Abschlusses und der Durchführung von Verträgen,
• aus öffentlich zugänglichen, berufs- oder geschäftsbezogenen Quellen.

Die Verarbeitung dieser Daten erfolgt ausschließlich im Umfang, der für die Durchführung der geschäftlichen Zusammenarbeit, operative Kontakte und rechtliche Pflichten erforderlich ist.

6.4. Daten von Vertretern öffentlicher Stellen und Institutionen
Der Verantwortliche verarbeitet personenbezogene Daten von Vertretern von Behörden, öffentlichen Institutionen und Aufsichtsorganen ausschließlich im Zusammenhang mit:

• offizieller dienstlicher Korrespondenz,
• der Erfüllung gesetzlicher Verpflichtungen,
• der Zusammenarbeit mit zuständigen Verwaltungsbehörden.

Der Umfang der verarbeiteten Daten umfasst insbesondere Name, dienstliche E-Mail-Adresse, Position oder Funktion sowie weitere im Rahmen der offiziellen Kommunikation bereitgestellte Informationen.
Rechtsgrundlagen hierfür sind insbesondere Art. 6 Abs. 1 lit. c und lit. f der Verordnung (EU) 2016/679.

6.5. Technische Daten und Sicherheit der Formulare
Bei der Nutzung der Website des Verantwortlichen sowie der Kontaktformulare können automatisch folgende technische Daten verarbeitet werden:

• IP-Adresse,
• Datum und Uhrzeit der Verbindung,
• technische Angaben zum Browser und Betriebssystem,
• Daten, die für die sichere Übermittlung von Informationen erforderlich sind.

Zum Schutz der Kontaktformulare vor Missbrauch, Spam und automatisierten Eingaben nutzt der Verantwortliche Sicherheitsdienste eines Infrastrukturproviders (Cloudflare, Inc.).
In diesem Zusammenhang können technische Daten des Nutzers verarbeitet werden, einschließlich IP-Adresse und verbindungsspezifischer Metadaten.

Die Datenverarbeitung beruht auf:
– Art. 6 Abs. 1 lit. f DSGVO – dem berechtigten Interesse des Verantwortlichen, die Sicherheit der Systeme zu gewährleisten und Missbrauch zu verhindern,
– geeigneten Schutzmaßnahmen sowie rechtlichen Mechanismen für Datenübermittlungen außerhalb der Europäischen Union.

6.6. Register-, Buchhaltungs- und Dokumentationsdaten
Personenbezogene Daten, die für buchhalterische, steuerliche oder archivierungsbezogene Zwecke verarbeitet werden, stammen:

• direkt von Kunden und Geschäftspartnern,
• aus Vertrags- und Abrechnungsunterlagen,
• aus offizieller Korrespondenz im Zusammenhang mit der Geschäftstätigkeit.

Der Umfang und die Dauer der Verarbeitung dieser Daten ergeben sich unmittelbar aus den geltenden estnischen und unionsrechtlichen Vorschriften.

7. Empfänger personenbezogener Daten

Die im Rahmen von Hansa Careers, betrieben unter der Marke Handke Holding OÜ, verarbeiteten personenbezogenen Daten können ausschließlich solchen Empfängern übermittelt werden, die:
– aufgrund gesetzlicher Vorschriften zum Erhalt der Daten berechtigt sind, oder
– Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Erfüllung bestimmter geschäftlicher oder rechtlicher Zwecke verarbeiten.

Jede Weitergabe von Daten erfolgt gemäß den Bestimmungen der Art. 28 sowie 44–49 der Verordnung (EU) 2016/679 und den einschlägigen Vorschriften des Isikuandmete kaitse seadus, unter Beachtung der Grundsätze der Datenminimierung, Vertraulichkeit und Zweckbindung.

7.1. Potenzielle Arbeitgeber und Rekrutierungspartner
Daten von Bewerbern können potenziellen Arbeitgebern oder Rekrutierungspartnern ausschließlich übermittelt werden:

• im Rahmen eines konkreten Rekrutierungsverfahrens,
• nach vorheriger Information des Bewerbers,
• in dem für die Bewertung der beruflichen Qualifikationen erforderlichen Umfang,
• auf Grundlage einer geeigneten Rechtsgrundlage, insbesondere der Einwilligung des Bewerbers oder vorvertraglicher Maßnahmen.

Daten werden nicht massenhaft weitergegeben und nicht außerhalb des eindeutig definierten Rekrutierungsprozesses genutzt.

7.2. Technische und organisatorische Dienstleister, die Daten im Auftrag des Verantwortlichen verarbeiten
Personenbezogene Daten können an Dienstleister übermittelt werden, die den Verantwortlichen bei seiner Tätigkeit unterstützen, insbesondere:

• Anbieter von Hosting- und Serverinfrastruktur,
• Anbieter von E-Mail-Diensten und Kontaktformularsystemen,
• Anbieter von IT-Werkzeugen und Kommunikationssystemen,
• Anbieter von Tools für Online-Meetings und Videokommunikation,
• Anbieter von Sicherheits- und Anti-Missbrauchslösungen, einschließlich Formularschutz,
• Buchhaltungs- und Rechnungsbüros,
• Rechtsanwaltskanzleien sowie Steuer- und Unternehmensberater.

Diese Dienstleister verarbeiten Daten ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags und sind verpflichtet:
– Vertraulichkeit zu wahren,
– angemessene technische und organisatorische Maßnahmen anzuwenden,
– Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

7.3. Bewerber und Kunden
Personenbezogene Daten können Bewerbern oder Kunden ausschließlich in dem Umfang offengelegt werden, der zur Erfüllung eines bestimmten Zwecks erforderlich ist, insbesondere:

• zur Bereitstellung von Informationen über Arbeitsbedingungen, Einsatzort oder Arbeitgeberprofil für den Bewerber,
• zur Bereitstellung von Bewerberinformationen für den Kunden im Rahmen eines laufenden Rekrutierungsverfahrens.

Das Ausmaß der Datenweitergabe wird stets auf das erforderliche Minimum beschränkt und richtet sich nach dem jeweiligen Stadium des Prozesses.

7.4. Behörden und öffentliche Institutionen
Personenbezogene Daten können ausschließlich im durch gesetzliche Vorschriften vorgegebenen Umfang an befugte öffentliche Stellen übermittelt werden, insbesondere an:

• Steuerbehörden,
• Arbeitsämter und arbeitsmarktbezogene Institutionen,
• die Datenschutzaufsichtsbehörde,
• Gerichte, Strafverfolgungsbehörden und andere Kontrollinstitutionen,
• Institutionen der Europäischen Union und des Europäischen Wirtschaftsraums.

7.5. Anbieter von Online-Kommunikationsdiensten
Bei der Durchführung von Online-Besprechungen oder Gesprächen können personenbezogene Daten wie Name, E-Mail-Adresse oder technische Verbindungsdaten durch Anbieter von Tools zur Fernkommunikation verarbeitet werden.
Diese Verarbeitung erfolgt ausschließlich, um die Kommunikation und Organisation der Besprechung zu ermöglichen, und basiert auf dem berechtigten Interesse des Verantwortlichen oder auf vorvertraglichen Maßnahmen.

7.6. Empfänger technischer Daten zu Sicherheitszwecken
Zur Gewährleistung der Sicherheit der Website, der IT-Infrastruktur und der Kontaktformulare können technische Nutzerdaten wie IP-Adresse oder Verbindungsinformationen durch Anbieter von Netzwerksicherheitsdiensten verarbeitet werden.
Werden Daten außerhalb der Europäischen Union übermittelt, kommen die in Art. 44–49 der Verordnung (EU) 2016/679 vorgesehenen geeigneten rechtlichen Schutzmaßnahmen zur Anwendung.

7.7. Allgemeine Regeln der Datenübermittlung
Der Verantwortliche:

• verkauft keine personenbezogenen Daten,
• gibt keine Daten ohne rechtliche Grundlage an Dritte weiter,
• übermittelt keine Daten zu Werbe-, Marketing- oder Profilingzwecken,
• übermittelt keine Daten an soziale Netzwerke oder kommerzielle Plattformen zu Marketingzwecken.

Jeder Empfänger verarbeitet die Daten unter Beachtung der Grundsätze der Sicherheit, Vertraulichkeit und Zweckbindung und ausschließlich in dem Umfang, der zur Erfüllung der ihm übertragenen Aufgabe erforderlich ist.

8. Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR)

Der Verantwortliche übermittelt personenbezogene Daten grundsätzlich nicht außerhalb des Europäischen Wirtschaftsraums (EWR) oder an internationale Organisationen. Die wesentlichen Verarbeitungsvorgänge personenbezogener Daten erfolgen innerhalb des Hoheitsgebiets der Europäischen Union, insbesondere unter Nutzung von Infrastrukturen mit Standort in der EU, einschließlich der Republik Estland.

Der Verantwortliche nutzt Hosting- und E-Mail-Dienste der Zone Media OÜ, handelnd unter dem Markennamen zone.ee, deren Datenverarbeitungsinfrastruktur sich innerhalb des Hoheitsgebiets der Europäischen Union befindet.
Personenbezogene Daten, die im Zusammenhang mit dem Betrieb der Website sowie der E-Mail-Kommunikation verarbeitet werden, werden grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und unterliegen dem Schutz der Verordnung (EU) 2016/679 (DSGVO).

Zur Gewährleistung der Sicherheit der Website, der Kontaktformulare sowie zum Schutz vor Missbrauch und automatisierten Zugriffen nutzt der Verantwortliche außerdem Dienste der Cloudflare, Inc. In diesem Zusammenhang können technische Daten wie IP-Adresse, Netzwerkverbindungsdaten, Informationen über den Browser und das Endgerät sowie Daten zur Beurteilung der Sicherheit einer Anfrage verarbeitet werden. Aufgrund des globalen Charakters der Cloudflare-Infrastruktur können diese Daten außerhalb des EWR, insbesondere in die Vereinigten Staaten von Amerika, übermittelt oder dort zugänglich gemacht werden.

Die Übermittlung personenbezogener Daten im Rahmen der Nutzung von Cloudflare-Diensten erfolgt gemäß Kapitel V der DSGVO, insbesondere auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (Artikel 46 DSGVO) sowie – sofern anwendbar – auf Grundlage der Mechanismen des EU–US Data Privacy Framework.
Der Verantwortliche setzt zusätzliche technische und organisatorische Maßnahmen ein, insbesondere die Verschlüsselung der Datenübertragung sowie die Beschränkung des Umfangs der verarbeiteten Daten auf das für die Sicherstellung der Sicherheit der Website erforderliche Minimum.

Der Verantwortliche nutzt elektronische Signaturdienste der SignRequest B.V. Im Zusammenhang mit der Nutzung dieser Dienste können personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, insbesondere in Drittländer, einschließlich der Vereinigten Staaten von Amerika.
Solche Übermittlungen erfolgen gemäß Kapitel V der DSGVO auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (Artikel 46 DSGVO), wie sie in der Vereinbarung zur Auftragsverarbeitung (Data Processing Addendum) enthalten sind, die Bestandteil der Nutzungsbedingungen des Dienstes ist.

Der Verantwortliche ermöglicht die Durchführung von Online-Meetings unter Nutzung von Videokommunikationstools, insbesondere Whereby. Die im Rahmen von Online-Meetings verarbeiteten Daten werden grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet.
Aufgrund des globalen Charakters der technischen Infrastruktur sowie der jeweiligen Standorte der an den Meetings teilnehmenden Personen kann es in begrenzten und gelegentlichen Fällen zu einer Übermittlung personenbezogener Daten außerhalb des EWR kommen. Solche Übermittlungen erfolgen unter Anwendung geeigneter Schutzmaßnahmen gemäß DSGVO, insbesondere auf Grundlage von Standardvertragsklauseln oder anderer rechtlich zulässiger Übermittlungsmechanismen.

Abgesehen von den vorstehend genannten Fällen führt der Verantwortliche keine dauerhaften oder geplanten Übermittlungen personenbezogener Daten in Drittländer durch. Rekrutierungsprozesse, die Kommunikation mit Kunden und Geschäftspartnern, der E-Mail-Verkehr sowie laufende operative Tätigkeiten werden unter Nutzung von Tools und Diensten durchgeführt, die personenbezogene Daten grundsätzlich innerhalb des Hoheitsgebiets der Europäischen Union verarbeiten.

Der Verantwortliche gestattet die Kontaktaufnahme über externe Internet-Kommunikationstools ausschließlich auf Initiative der kontaktaufnehmenden Person und ausschließlich zu Informationszwecken. Aufgrund der möglichen Serverstandorte solcher Tools außerhalb des EWR gelten diese nicht als empfohlene oder sichere Kommunikationskanäle für Angelegenheiten, die personenbezogene Daten betreffen.
Der Verantwortliche empfiehlt, Bewerbungsunterlagen, besondere Kategorien personenbezogener Daten sowie andere sensible Informationen ausschließlich über offizielle Kommunikationskanäle zu übermitteln.

Im Falle einer Übermittlung personenbezogener Daten außerhalb des EWR stellt der Verantwortliche sicher, dass diese ausschließlich in dem Umfang erfolgt, der zur Erreichung des jeweiligen Zwecks erforderlich ist, nach Durchführung einer Risikobewertung der Übermittlung sowie unter Einhaltung der Grundsätze der Datenminimierung, Vertraulichkeit und Sicherheit der Verarbeitung gemäß den Artikeln 32 sowie 44–49 der DSGVO.

9. Aufbewahrungsdauer personenbezogener Daten

Der Verantwortliche speichert personenbezogene Daten ausschließlich für den Zeitraum, der zur Erreichung der Zwecke, für die sie erhoben wurden, erforderlich ist – gemäß Art. 5 Abs. 1 lit. e der Verordnung (EU) 2016/679 (DSGVO) sowie § 17 des Isikuandmete kaitse seadus.

Nach Ablauf der entsprechenden Aufbewahrungsfristen werden die Daten dauerhaft gelöscht, anonymisiert oder in einer Weise archiviert, die eine Identifizierung der betroffenen Person unmöglich macht, es sei denn, estnische oder europäische Rechtsvorschriften verpflichten den Verantwortlichen zu einer längeren Speicherung.

Die Aufbewahrungsfristen werden unter Berücksichtigung folgender Faktoren festgelegt:

• Zweck der Verarbeitung,
• Rechtsgrundlage der Verarbeitung,
• Art der Beziehung zur betroffenen Person,
• gesetzliche Verjährungsfristen nach estnischem Recht.

9.1. Daten von Bewerbern

a) Personenbezogene Daten, die zur Durchführung eines Rekrutierungsprozesses verarbeitet werden und auf Art. 6 Abs. 1 lit. b DSGVO beruhen, werden entsprechend der Frist zur Feststellung, Geltendmachung oder Verteidigung von Ansprüchen gespeichert, die im Zusammenhang mit den Leistungen des Verantwortlichen entstehen können.

b) Daten, die im Rahmen einer vom Verantwortlichen initiierten Kontaktaufnahme zu Rekrutierungszwecken verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden bis zum Abschluss der jeweiligen Kommunikation gespeichert.

c) Daten, die potenziellen Arbeitgebern im Rahmen eines konkreten Rekrutierungsverfahrens mit Einwilligung des Bewerbers (Art. 6 Abs. 1 lit. a DSGVO) zur Verfügung gestellt werden, werden bis zum Widerruf der Einwilligung oder bis zum Abschluss des Rekrutierungsverfahrens gespeichert – je nachdem, welches Ereignis zuerst eintritt.

d) Daten, die zur Abrechnung der Dienstleistungen im Zusammenhang mit Rekrutierungsprozessen verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden bis zum Ablauf der gesetzlichen Verjährungsfrist nach Beendigung des Vertrags gespeichert – in der Regel 3 Jahre, jeweils zum Jahresende, gemäß estnischem Recht.

e) Daten, die zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden bis zum Ablauf der jeweiligen Verjährungsfristen gespeichert – in der Regel 3 Jahre nach Beendigung des Vertrags, sofern keine längeren Fristen gesetzlich vorgesehen sind.

f) Daten, die zur Kommunikation im Zusammenhang mit der Tätigkeit des Verantwortlichen verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden für den Zeitraum gespeichert, der zur Bearbeitung des jeweiligen Anliegens notwendig ist.

g) Daten, die mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für zukünftige Rekrutierungsprozesse gespeichert werden, werden höchstens 12 Monate ab Erteilung der Einwilligung oder bis zu deren Widerruf aufbewahrt – je nachdem, welches Ereignis zuerst eintritt.

h) Bewerbungsunterlagen, insbesondere Lebensläufe, die außerhalb eines aktiven oder konkreten Rekrutierungsprozesses übermittelt werden, werden nicht verarbeitet und unverzüglich gelöscht.

9.2. Daten von Kunden

a) Personenbezogene Daten, die zur Vorbereitung oder Erfüllung eines Vertrags verarbeitet werden (Art. 6 Abs. 1 lit. b DSGVO), werden entsprechend den gesetzlichen Aufbewahrungspflichten, insbesondere im Bereich Buchhaltung und Steuern, gespeichert – in der Regel 7 Jahre gemäß estnischem Recht, sofern keine längere Frist vorgesehen ist.

b) Daten, die zur laufenden Kommunikation im Rahmen einer Vertragsbeziehung verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden für die Dauer der Zusammenarbeit gespeichert, es sei denn, eine längere Speicherung ist zur Erfüllung eines anderen rechtmäßigen Zwecks erforderlich.

c) Daten, die zur Erfüllung steuerlicher, buchhalterischer oder berichtsbezogener Pflichten verarbeitet werden (Art. 6 Abs. 1 lit. c DSGVO), werden entsprechend den gesetzlichen Vorschriften – in der Regel 7 Jahre – gespeichert.

d) Daten, die zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO), werden bis zum Ablauf der gesetzlichen Verjährungsfristen gespeichert – in der Regel 3 Jahre nach Beendigung der Vertragsbeziehung, sofern keine längeren Fristen gelten.

9.3. Weitere Datenkategorien

a) Daten potenzieller Kunden und Geschäftspartner werden für den Zeitraum gespeichert, der zur Erreichung des Zwecks der Kontaktaufnahme oder Zusammenarbeit erforderlich ist, höchstens jedoch 3 Jahre seit dem letzten Kontakt, es sei denn, eine längere Speicherung ist zur Verteidigung von Ansprüchen notwendig.

b) Daten von Lieferanten, Auftragnehmern und Geschäftspartnern werden für die Dauer der Zusammenarbeit sowie entsprechend den gesetzlichen Verjährungs- und Aufbewahrungsfristen im Steuer- und Rechnungswesen gespeichert.

c) Daten von Personen, die den Verantwortlichen kontaktieren, werden für den Zeitraum gespeichert, der zur Bearbeitung der Anfrage und zur Erledigung des Anliegens erforderlich ist; anschließend – sofern gerechtfertigt – für die Dauer der Verjährungsfrist, höchstens jedoch 3 Jahre.

d) Daten von Vertretern öffentlicher Stellen und Institutionen werden so lange gespeichert, wie dies zur Erfüllung einer rechtlichen Verpflichtung oder zur Bearbeitung eines behördlichen Verfahrens notwendig ist, anschließend entsprechend den gesetzlichen Archivierungsfristen, höchstens jedoch 10 Jahre.

9.4. Technische Daten und Sicherheit der Formulare
Technische Daten, die im Rahmen des Schutzes von Kontaktformularen (Cloudflare Turnstile) verarbeitet werden – darunter IP-Adresse und technische Verbindungsinformationen – werden automatisiert und kurzfristig verarbeitet, ausschließlich zur Risikobewertung, Missbrauchsvermeidung und Gewährleistung der Sicherheit der Dienste.

Diese Daten werden vom Verantwortlichen nicht dauerhaft gespeichert und nicht für Marketing- oder Profilingzwecke verwendet. Die Aufbewahrungsdauer solcher Daten hängt von den Sicherheitsrichtlinien des Dienstanbieters ab und kann kurzzeitige technische Logdaten umfassen, die nur so lange gespeichert werden, wie dies zur Sicherstellung der Systemsicherheit oder zur Analyse möglicher Vorfälle notwendig ist.

Bei Ausbleiben von Sicherheitsvorfällen werden die technischen Daten nicht langfristig gespeichert.

9.5. Schlussbestimmungen
Nach Ablauf der oben genannten Fristen werden personenbezogene Daten dauerhaft gelöscht, anonymisiert oder in einer Weise archiviert, die eine Identifizierung der betroffenen Person unmöglich macht, gemäß § 17 Abs. 4 Isikuandmete kaitse seadus.

Der Verantwortliche überprüft regelmäßig die gespeicherten Daten sowie die Notwendigkeit ihrer weiteren Verarbeitung, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich gespeichert werden.

10. Freiwilligkeit der Bereitstellung von Daten

10.1. Die Bereitstellung personenbezogener Daten ist grundsätzlich freiwillig. In bestimmten Fällen ist die Angabe bestimmter Daten jedoch erforderlich, um bestimmte Tätigkeiten durchzuführen, Dienstleistungen zu erbringen, einen Rekrutierungsprozess durchzuführen oder einen Vertrag mit dem Verantwortlichen zu schließen bzw. zu erfüllen. Die Nichtbereitstellung erforderlicher Daten kann dazu führen, dass bestimmte Handlungen nicht durchgeführt oder bestimmte Zwecke nicht erreicht werden können.

10.2. Insbesondere gilt:

• die Teilnahme an einem Rekrutierungsprozess erfordert die Angabe von Kontaktdaten sowie die Übermittlung von Bewerbungsunterlagen;
• das Stellen von Anfragen über ein Kontaktformular oder per E-Mail erfordert die Angabe von Daten, die eine Identifikation des Absenders ermöglichen;
• der Abschluss, die Durchführung oder die Abrechnung von Verträgen erfordert die Angabe solcher Daten, die zur Erfüllung vertraglicher, steuerlicher oder buchhalterischer Pflichten erforderlich sind;
• die Nutzung bestimmter Funktionen der Website kann die Verarbeitung grundlegender technischer Daten erfordern, die für die Sicherheit und ordnungsgemäße Funktionsfähigkeit der Systeme notwendig sind.

10.3. Der Verantwortliche informiert stets darüber, welche Daten für die Erreichung eines bestimmten Zwecks erforderlich und welche freiwillig sind. Der Umfang der verarbeiteten Daten wird auf das notwendige Minimum begrenzt – im Einklang mit dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.

10.4. In Fällen, in denen die Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, ist die Erteilung der Einwilligung vollständig freiwillig. Eine erteilte Einwilligung kann jederzeit widerrufen werden, ohne die Rechtmäßigkeit der zuvor erfolgten Verarbeitung zu berühren – gemäß Art. 7 Abs. 3 DSGVO.

10.5. Der Verantwortliche bemüht sich sicherzustellen, dass die Verarbeitung personenbezogener Daten transparent erfolgt und betroffene Personen eine tatsächliche Kontrolle über den Umfang, den Zweck und die Dauer der Verarbeitung der von ihnen bereitgestellten Informationen haben.

11. Speicherorte der Daten und Sicherheitsmaßnahmen

11.1. Personenbezogene Daten, die vom Verantwortlichen verarbeitet werden, werden ausschließlich in elektronischer Form gespeichert, auf Geräten und in Systemen, die unter der alleinigen Kontrolle des Verantwortlichen stehen, sowie in den Systemen externer Dienstleister, die vom Verantwortlichen im Rahmen seiner Geschäftstätigkeit genutzt werden, insbesondere Hosting-, E-Mail- sowie Dienste zur elektronischen Unterzeichnung von Dokumenten.
Grundsätzlich werden diese Daten im Gebiet des Europäischen Wirtschaftsraums (EWR) gespeichert; soweit personenbezogene Daten außerhalb des EWR verarbeitet werden, erfolgt dies ausschließlich gemäß Kapitel V der DSGVO, insbesondere auf Grundlage der Standardvertragsklauseln (Artikel 46 DSGVO).

11.2. Zu den physischen und virtuellen Orten der Verarbeitung und Speicherung personenbezogener Daten gehören insbesondere:

• ein verschlüsselter Laptop des Verantwortlichen, geschützt durch ein Passwort, vollständige Festplattenverschlüsselung sowie Mehrfaktor-Authentifizierung;
• ein verschlüsseltes externes Speichermedium zur Erstellung regelmäßiger Sicherungskopien, das an einem sicheren Ort aufbewahrt und vom Primärsystem getrennt ist;
• die Infrastruktur des Hosting- und E-Mail-Dienstleisters Zone Media OÜ (zone.ee) mit Sitz in Lõõtsa 5, 11415 Tallinn, Estland, dessen Server sich auf dem Gebiet der Europäischen Union befinden und dessen Sicherheitsmaßnahmen den Anforderungen des Artikels 32 DSGVO sowie den einschlägigen Bestimmungen des estnischen Isikuandmete kaitse seadus entsprechen;
• die Systeme externer Dienstleister, die für die Unterzeichnung und Speicherung elektronisch unterzeichneter Dokumente genutzt werden, insbesondere Verträge und mit der Geschäftstätigkeit des Verantwortlichen verbundene Dokumente, die grundsätzlich innerhalb des EWR betrieben werden oder – soweit personenbezogene Daten außerhalb des EWR verarbeitet werden – auf der Grundlage von Mechanismen gemäß Artikel 46 DSGVO, insbesondere der Standardvertragsklauseln;
• die Systeme von Kommunikationswerkzeugen, die für die Durchführung von Online-Meetings verwendet werden, wobei der Verantwortliche keine Audio- oder Videoaufzeichnungen von über solche Werkzeuge durchgeführten Meetings erstellt oder speichert.

11.3. Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko der Verarbeitung personenbezogener Daten angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 DSGVO sowie den Bestimmungen des estnischen Isikuandmete kaitse seadus. Diese Maßnahmen umfassen insbesondere:

• Verschlüsselung der Datenübertragung (SSL/TLS);
• Verschlüsselung von Geräten und Datenträgern;
• Beschränkung des Zugriffs auf personenbezogene Daten ausschließlich auf den Verantwortlichen;
• Verwendung starker und eindeutiger Passwörter sowie Mehrfaktor-Authentifizierung;
• regelmäßige Aktualisierung von Betriebssystemen, Software und Sicherheitsmaßnahmen;
• Erstellung und sichere Aufbewahrung von Sicherungskopien;
• Einsatz von Firewalls und Sicherheitssoftware;
• automatische Sperrung von Geräten sowie physische Sicherung der Hardware gegen unbefugten Zugriff;
• keine Nutzung privater oder ungesicherter Geräte zur Verarbeitung personenbezogener Daten;
• Zusammenarbeit ausschließlich mit Dienstleistern, die die Einhaltung der DSGVO gewährleisten;
• Führung der Dokumentation im Zusammenhang mit der Auftragsverarbeitung sowie Protokollierung von Sicherheitsvorfällen;
• Anwendung von Verfahren zur Reaktion auf Verletzungen des Schutzes personenbezogener Daten gemäß den Artikeln 33–34 DSGVO;
• regelmäßige Überprüfung der angewandten Sicherheitsmaßnahmen und Zugriffsrechte gemäß den Grundsätzen „Privacy by Design“ und „Privacy by Default“ (Artikel 25 DSGVO).

12. Deine Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten

Personen, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden, stehen die Rechte gemäß der Verordnung (EU) 2016/679 (DSGVO) sowie dem estnischen Isikuandmete kaitse seadus zu. Der Verantwortliche gewährleistet die Wahrung aller Betroffenenrechte und erfüllt diese im Einklang mit den geltenden Rechtsvorschriften.

Insbesondere hast du das Recht auf klare und transparente Informationen über die Datenverarbeitung, auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung sowie auf Widerruf der Einwilligung – jeweils in dem Umfang und unter den Bedingungen, die in der DSGVO festgelegt sind.

12.1. Recht auf Auskunft und Erhalt einer Kopie der Daten
Du hast das Recht, eine Bestätigung darüber zu erhalten, ob der Verantwortliche deine personenbezogenen Daten verarbeitet, und – falls dies der Fall ist – das Recht auf Auskunft über diese Daten sowie auf Erhalt einer Kopie gemäß Art. 15 DSGVO. Wenn der Antrag elektronisch gestellt wird, erfolgt die Bereitstellung der Informationen in einem gängigen elektronischen Format.

12.2. Recht auf Berichtigung
Du hast das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger Daten zu verlangen, gemäß Art. 16 DSGVO. Der Verantwortliche nimmt die Berichtigung nach Prüfung der Berechtigung des Antrags vor.

12.3. Recht auf Einschränkung der Verarbeitung

a) du bestreitest die Richtigkeit der Daten – für die Dauer der Überprüfung;
b) die Verarbeitung ist unrechtmäßig, du lehnst jedoch die Löschung ab;
c) der Verantwortliche benötigt die Daten nicht mehr für die Zwecke der Verarbeitung, du benötigst sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
d) du hast Widerspruch gegen die Verarbeitung eingelegt – bis zur Klärung, ob die Interessen des Verantwortlichen überwiegen.

12.4. Recht auf Löschung
Du hast das Recht, die Löschung deiner personenbezogenen Daten in den in Art. 17 DSGVO genannten Fällen zu verlangen – insbesondere wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, wenn du deine Einwilligung widerrufen hast oder wenn die Verarbeitung unrechtmäßig erfolgte.
Dieses Recht gilt nicht, wenn die weitere Verarbeitung zur Erfüllung rechtlicher Verpflichtungen des Verantwortlichen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 DSGVO).

12.5. Recht auf Datenübertragbarkeit
Du hast das Recht, die personenbezogenen Daten, die du dem Verantwortlichen bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln – sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt, gemäß Art. 20 DSGVO.

12.6. Recht auf Widerspruch
Du hast das Recht, jederzeit Widerspruch gegen die Verarbeitung deiner personenbezogenen Daten einzulegen, wenn diese auf einem berechtigten Interesse des Verantwortlichen beruht (Art. 6 Abs. 1 lit. f DSGVO).
Nach Einlegung des Widerspruchs stellt der Verantwortliche die Verarbeitung ein, es sei denn, er weist zwingende, schutzwürdige Gründe für die Verarbeitung nach oder die Daten werden zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
Das Widerspruchsrecht besteht nicht, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen des Verantwortlichen erforderlich ist.

12.7. Recht auf Widerruf der Einwilligung
Wenn die Verarbeitung auf deiner Einwilligung beruht, hast du das Recht, diese jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf erfolgt ist – gemäß Art. 7 Abs. 3 DSGVO.

12.8. Recht auf Beschwerde bei einer Aufsichtsbehörde
Wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO oder das estnische Isikuandmete kaitse seadus verstößt, hast du das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen – insbesondere bei:
Andmekaitse Inspektsioon (AKI) – der estnischen Datenschutzaufsichtsbehörde.

Wenn du in einem anderen EU-Mitgliedstaat wohnst oder arbeitest, kannst du gemäß Art. 77 DSGVO auch die für diesen Staat zuständige Aufsichtsbehörde anrufen.

12.9. Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden
Du hast das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt, gemäß Art. 22 DSGVO.
Der Verantwortliche führt kein automatisiertes Entscheidungsverfahren und kein Profiling durch. Alle Entscheidungen im Zusammenhang mit Bewerbern, Kunden und Geschäftspartnern werden durch befugte Personen getroffen.

12.10. Ausübung der Rechte der betroffenen Personen und Kontakt mit dem Verantwortlichen
Zur Ausübung der in dieser Datenschutzerklärung genannten Rechte kann sich die betroffene Person insbesondere auf elektronischem Wege an den Verantwortlichen wenden:

E-Mail-Adresse: office@hansacareers.ee

Der Verantwortliche führt seine Tätigkeit vollständig digital aus und empfiehlt die elektronische Kontaktaufnahme als primäre und sicherste Kommunikationsform in Angelegenheiten der Verarbeitung personenbezogener Daten. Die elektronische Kommunikation ermöglicht eine schnellere Bearbeitung von Anträgen und reduziert das Risiko eines unbefugten Zugriffs auf personenbezogene Daten.

Schriftliche Korrespondenz kann an die Geschäftsanschrift des Verantwortlichen gerichtet werden:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estland

Gleichzeitig empfiehlt der Verantwortliche nicht, Dokumente mit personenbezogenen Daten auf dem Postweg zu übermitteln, insbesondere Bewerbungsunterlagen, Kopien von Ausweisdokumenten oder sensible Informationen. Die Übermittlung solcher Daten per Post kann mit dem Risiko einer unbefugten Offenlegung während der postalischen Abwicklung verbunden sein und liegt außerhalb der vollständigen Kontrolle des Verantwortlichen.

Der Verantwortliche beantwortet Anträge im Zusammenhang mit der Ausübung der Rechte der betroffenen Personen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, gemäß Artikel 12 Absatz 3 DSGVO. In besonders komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber die betroffene Person informiert wird.

13. Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten – verstanden als zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugriff auf personenbezogene Daten – ergreift der Verantwortliche unverzüglich Maßnahmen, um die Auswirkungen des Vorfalls zu begrenzen und dessen erneutes Auftreten zu verhindern.

Der Verantwortliche bewertet jeweils die Art der Verletzung, deren Umfang und das potenzielle Risiko für die Rechte und Freiheiten der betroffenen Personen und ergreift anschließend geeignete technische und organisatorische Maßnahmen, um die Ursachen der Verletzung zu beseitigen und deren Folgen zu minimieren. Alle sicherheitsrelevanten Vorfälle werden im Einklang mit dem Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 der Verordnung (EU) 2016/679 (DSGVO) sowie § 25 Abs. 3 des Isikuandmete kaitse seadus dokumentiert.

Wenn die Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte oder Freiheiten natürlicher Personen darstellen kann, meldet der Verantwortliche den Vorfall der zuständigen Aufsichtsbehörde — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden der Verletzung, gemäß Art. 33 DSGVO sowie § 25 des Isikuandmete kaitse seadus, es sei denn, es ist unwahrscheinlich, dass durch die Verletzung ein solches Risiko entsteht.

Wenn die Verletzung ein hohes Risiko für die Rechte oder Freiheiten natürlicher Personen mit sich bringt, informiert der Verantwortliche die betroffenen Personen unverzüglich über die Art der Verletzung, die möglichen Folgen sowie die ergriffenen oder geplanten Maßnahmen zur Minderung der negativen Auswirkungen, gemäß Art. 34 DSGVO.

Der Verantwortliche verfügt über ein internes Verfahren zur Reaktion auf Datenschutzverletzungen, das die Identifizierung des Vorfalls, die Risikobewertung, Korrekturmaßnahmen sowie die Erfüllung der Meldepflichten umfasst. Die Wirksamkeit dieses Verfahrens wird regelmäßig überprüft, um die Einhaltung der DSGVO und des estnischen Rechts sicherzustellen und ein hohes Sicherheitsniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten.

14. Automatisierte Entscheidungsfindung und Profiling

Der Verantwortliche führt keine Prozesse der automatisierten Entscheidungsfindung oder des Profilings durch, die der betroffenen Person gegenüber rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen könnten — im Sinne von Art. 22 der Verordnung (EU) 2016/679 (DSGVO) sowie § 23 des Isikuandmete kaitse seadus.

Alle Entscheidungen bezüglich Bewerbern, Kunden oder Geschäftspartnern werden durch eine natürliche Person auf Grundlage einer individuellen Bewertung der übermittelten Informationen, Dokumente oder Korrespondenzinhalte getroffen. Es werden keinerlei Entscheidungen vollständig automatisiert getroffen.

Der Verantwortliche setzt kein Profiling ein, das auf einer automatisierten Bewertung persönlicher Merkmale, Qualifikationen, Verhaltensweisen, Präferenzen oder der beruflichen Situation der betroffenen Person beruht, um Entscheidungen zu treffen, die rechtliche Auswirkungen haben oder sie in ähnlicher Weise erheblich beeinträchtigen könnten.

Im Rahmen der laufenden Verwaltungsvorgänge kann der Verantwortliche technische Hilfsmittel einsetzen (z. B. E-Mail-Filter, Sortierung von Anfragen oder Klassifizierung unvollständiger Formulare). Diese Werkzeuge treffen jedoch keine Entscheidungen gegenüber natürlichen Personen und ersetzen keinesfalls die individuelle Beurteilung durch eine verantwortliche Person.

15. Aufsichtsbehörde

Wenn Du Zweifel hinsichtlich der Verarbeitung Deiner personenbezogenen Daten hast oder der Ansicht bist, dass Deine Rechte gemäß der Verordnung (EU) 2016/679 (DSGVO) verletzt wurden, hast Du das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen – unabhängig von Deinem Wohnort, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes – gemäß Art. 77 DSGVO sowie § 21 des Isikuandmete kaitse seadus.

Für die Tätigkeit des Verantwortlichen in der Republik Estland ist folgende Aufsichtsbehörde zuständig:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — Tel.: +372 627 4135 E-Mail: info@aki.ee Website: https://www.aki.ee

Wenn Du in einem anderen Mitgliedstaat der Europäischen Union wohnst oder arbeitest, kannst Du Deine Beschwerde auch bei der Aufsichtsbehörde einreichen, die für Deinen Wohnsitz oder Arbeitsplatz zuständig ist – gemäß Art. 77 DSGVO.

Eine aktuelle Liste der Datenschutzaufsichtsbehörden in der EU ist auf der Website des Europäischen Datenschutzausschusses (EDPB) verfügbar: https://edpb.europa.eu.

Der Verantwortliche empfiehlt jedoch, vor Einreichung einer Beschwerde zunächst direkten Kontakt in datenschutzbezogenen Angelegenheiten aufzunehmen – vorzugsweise elektronisch unter: office@hansacareers.ee.

Bei Bedarf können Sie den Verantwortlichen auch schriftlich kontaktieren, indem Sie die Korrespondenz an die Anschrift seines Sitzes senden. Wir weisen höflich darauf hin, dass die postalische Kontaktaufnahme für personenbezogene Daten weniger sicher sein kann; daher bleibt die elektronische Form die bevorzugte Kontaktmethode.

Der Verantwortliche wird sich bemühen, jede Angelegenheit transparent, sorgfältig und in Übereinstimmung mit der DSGVO sowie den geltenden estnischen Vorschriften und ohne unnötige Verzögerung zu klären.

16. Gerichtsstand und anwendbares Recht

Diese Datenschutzerklärung unterliegt dem Recht der Republik Estland und ist im Einklang mit der Verordnung (EU) 2016/679 (DSGVO) sowie dem Isikuandmete kaitse seadus auszulegen.

Soweit gesetzlich zulässig, unterliegen alle Streitigkeiten oder Ansprüche im Zusammenhang mit der Verarbeitung personenbezogener Daten, der Nutzung der Website des Verantwortlichen oder der von ihm erbrachten Dienstleistungen der Gerichtsbarkeit der Gerichte der Republik Estland, die für den Sitz des Verantwortlichen örtlich zuständig sind.

Die Bestimmungen dieses Abschnitts berühren nicht die Rechte natürlicher Personen, die sich aus zwingenden Vorschriften des Rechts der Europäischen Union ergeben – insbesondere aus Verbraucherschutzbestimmungen sowie aus den Rechten der betroffenen Personen in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt oder Arbeitsplatz innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben.

17. Aktualisierung der Datenschutzerklärung

Der Verantwortliche kann diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um ihre Übereinstimmung mit den geltenden Rechtsvorschriften – insbesondere der Verordnung (EU) 2016/679 (DSGVO) sowie dem Isikuandmete kaitse seadus – sicherzustellen sowie um Änderungen in der ausgeübten Tätigkeit, den verwendeten Technologien oder den Verfahren der Datenverarbeitung Rechnung zu tragen.

Es gilt stets die auf der Website des Verantwortlichen veröffentlichte Version der Datenschutzerklärung, die mit dem Datum der letzten Aktualisierung gekennzeichnet ist. Jede neue Version ersetzt die vorherigen Fassungen, sobald sie veröffentlicht wird.

Der Verantwortliche empfiehlt, die Datenschutzerklärung regelmäßig zu überprüfen, um stets aktuelle Informationen über die Grundsätze der Verarbeitung personenbezogener Daten und die Dir zustehenden Rechte zu erhalten.

Werden Änderungen vorgenommen, die für betroffene Personen wesentlich sind – insbesondere solche, die die Zwecke oder Rechtsgrundlagen der Verarbeitung oder die Kategorien der Empfänger betreffen – informiert der Verantwortliche hierüber klar und transparent. Diese Information kann durch einen deutlich sichtbaren Hinweis auf der Website oder, sofern möglich und eine aktuelle E-Mail-Adresse vorliegt, per E-Mail erfolgen.

18. Marketingmaßnahmen und Kontaktaufnahme mit dem Verantwortlichen

Der Verantwortliche informiert darüber, dass die Website keine Cookies oder sonstige Tracking-Technologien verwendet und keine automatisierte Erhebung personenbezogener Daten zu Marketing- oder Analysezwecken erfolgt. Die Nutzung der Website ist nicht mit Profiling oder einer automatisierten Verarbeitung der Nutzerdaten verbunden.

Die Marketingmaßnahmen des Verantwortlichen beschränken sich ausschließlich auf die Bewerbung eigener Rekrutierungsdienstleistungen, insbesondere durch die Veröffentlichung von Informationen und Angeboten in sozialen Netzwerken sowie durch das Schalten von Stellenanzeigen im Internet. Der Verantwortliche nutzt Daten der Website-Nutzer oder deren Verhalten nicht zur Erstellung von Marketingprofilen.

Im Rahmen des Direktmarketings kann der Verantwortliche Vertreter von Unternehmen im B2B-Bereich kontaktieren – beispielsweise unter Verwendung von Name, Position oder dienstlicher E-Mail-Adresse – ausschließlich zu dem Zweck, seine Rekrutierungsdienstleistungen vorzustellen. Die Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse des Verantwortlichen an der Ausübung seiner wirtschaftlichen Tätigkeit und der Bewerbung seiner Dienstleistungen.

Jede Person, die Marketingkommunikation vom Verantwortlichen erhält, hat das Recht, jederzeit Widerspruch gegen die Verarbeitung ihrer Daten zu diesem Zweck einzulegen. Der Widerspruch kann per E-Mail an folgende Adresse erfolgen: office@hansacareers.ee. Nach Eingang des Widerspruchs werden die Daten nicht mehr für Direktmarketingzwecke verarbeitet.

Der Verantwortliche ermöglicht auch eine eigenständige Kontaktaufnahme der Nutzer – sowohl über das Kontaktformular als auch per E-Mail. Die dabei übermittelten Daten, darunter Name, E-Mail-Adresse oder Inhalt der Nachricht, werden ausschließlich zum Zweck der Beantwortung von Anfragen, der Durchführung der Korrespondenz oder der Bearbeitung des Anliegens verarbeitet – auf Grundlage des berechtigten Interesses des Verantwortlichen.

Die im Zusammenhang mit Marketing- und Kontaktmaßnahmen verarbeiteten Daten werden nicht außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt. Die Verarbeitung erfolgt unter Einhaltung der Grundsätze der Datenminimierung, Transparenz und Zweckbindung gemäß Art. 5 Abs. 1 DSGVO.

19. Cookies und ähnliche Technologien

Die Website des Verantwortlichen verwendet keine Cookies und keine sonstigen Tracking-Technologien, die üblicherweise zu Marketing-, Werbe- oder Analysezwecken eingesetzt werden. Der Verantwortliche führt keine Statistiken über das Verhalten der Nutzer, verwendet keine Analysetools und speichert keine Informationen über die Nutzung der Website. Die Nutzung der Website ist nicht mit Profiling oder Nutzerüberwachung verbunden.

Die einzige auf der Website eingesetzte externe Technologie ist der Dienst Cloudflare Turnstile, der ausschließlich zum Schutz der Kontaktformulare vor Spam, automatisierten Anfragen und Missbrauch eingesetzt wird. Diese Lösung verwendet keine Marketing-Cookies, verfolgt die Nutzer nicht und wird nicht zur Analyse ihres Verhaltens eingesetzt.

Im Rahmen des Einsatzes von Cloudflare Turnstile können ausschließlich grundlegende technische Daten verarbeitet werden, wie etwa die IP-Adresse oder Browsersignale. Diese Verarbeitung erfolgt ausschließlich zum Zweck der Gewährleistung der Sicherheit des Dienstes und der Integrität der Formulare, auf Grundlage des berechtigten Interesses des Verantwortlichen.

Da die Website keine Cookies verwendet, für die eine Einwilligung der Nutzer erforderlich wäre, besteht keine Verpflichtung zur Anzeige eines Cookie-Banners oder zur Einholung einer Zustimmung zur Nutzung der Website, im Einklang mit der ePrivacy-Richtlinie sowie dem estnischen Elektroonilise side seadus.

Sollte der Verantwortliche zukünftig Cookies oder ähnliche Technologien einführen, die eine Einwilligung erfordern — etwa zur Verbesserung der Funktionalität oder zur Durchführung anonymer Statistiken — werden die Nutzer zuvor klar und rechtmäßig informiert. In diesem Fall wird die Einwilligung gemäß den Vorschriften der ePrivacy-Richtlinie, der DSGVO und des estnischen Telekommunikationsrechts eingeholt.

Nutzer können ihre Cookie-Einstellungen jederzeit über die Einstellungen ihres Browsers verwalten oder gegebenenfalls über ein zukünftiges Cookie-Verwaltungspanel, falls ein solches eingeführt wird.

20. Server-Logs

Die Nutzung der Website ist mit der Übermittlung von Anfragen an den Server verbunden, auf dem sie gehostet wird. Jede Netzwerkanfrage wird automatisch in den sogenannten Server-Logs gespeichert und kann folgende technische Daten umfassen:

– die IP-Adresse des Geräts des Nutzers;
– Datum und Uhrzeit der Anfrage;
– Informationen über den verwendeten Browser und das Betriebssystem;
– die aufgerufene Unterseite;
– etwaige technische Fehlermeldungen.

Diese Daten haben einen rein technischen Charakter und werden nicht zur direkten Identifizierung der Nutzer oder zur Erstellung von Nutzerprofilen verwendet. Sie werden nicht zu Marketing- oder Analysezwecken verarbeitet.

Die Server-Logs werden insbesondere verarbeitet zu folgenden Zwecken:
– Gewährleistung der Sicherheit und Stabilität des Betriebs der Website;
– Diagnose technischer System- oder Netzwerkfehler;
– Erkennung von Missbrauch, unbefugten Zugriffsversuchen und Sicherheitsvorfällen.

Rechtsgrundlage für die Verarbeitung der in den Logs enthaltenen technischen Daten ist Art. 6 Abs. 1 lit. f DSGVO — das berechtigte Interesse des Verantwortlichen, die Sicherheit der IT-Systeme zu gewährleisten, gemäß Art. 32 DSGVO sowie § 24 des Isikuandmete kaitse seadus.

Die Server-Logs werden nicht länger als 90 Tage aufbewahrt, es sei denn, ihre weitere Speicherung ist im Zusammenhang mit einem Sicherheitsvorfall, Missbrauch oder zur Verteidigung gegen mögliche Ansprüche erforderlich. Nach Ablauf dieses Zeitraums werden die Daten automatisch gelöscht oder anonymisiert.