Datenschutzerklärung

Letzte Aktualisierung: 4. Dezember 2025

1. Allgemeine Informationen und Verantwortlicher

1.1. Geltungsbereich dieses Dokuments
Dieses Dokument legt die Grundsätze für die Verarbeitung personenbezogener Daten von Personen fest, die Dienstleistungen unter der Marke Hansa Careers nutzen, betrieben von der Handke Holding OÜ, einem in der Republik Estland eingetragenen Unternehmen. Ziel dieser Datenschutzerklärung ist es, transparent und nachvollziehbar darzulegen, wie und in welchem Umfang personenbezogene Daten verarbeitet werden, wenn Personen im Rahmen der Geschäftstätigkeit mit dem Verantwortlichen interagieren.

1.2. Angaben zum Verantwortlichen

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn
Estland

Registrierungsnummer (Registrikood): 17387477
USt-IdNr. (EU): EE102932869

1.3. Art der Geschäftstätigkeit
Der Verantwortliche ist im Bereich der Arbeitsvermittlung innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums tätig und fördert insbesondere die Kommunikation und Zusammenarbeit zwischen Arbeitgebern und arbeitssuchenden Personen.

1.4. Von dieser Datenschutzerklärung erfasste Personen
Diese Datenschutzerklärung gilt insbesondere für Personen, die:

• Dienstleistungen des Verantwortlichen in Anspruch nehmen,
• die Website www.hansacareers.ee besuchen,
• an Rekrutierungsprozessen teilnehmen,
• den Verantwortlichen zu geschäftlichen, administrativen oder informativen Zwecken kontaktieren,
• in beruflicher Korrespondenz mit dem Verantwortlichen stehen,
• öffentliche oder private Einrichtungen im Rahmen einer formellen Zusammenarbeit vertreten.

1.5. Zwecke der Datenverarbeitung
Die in dieser Datenschutzerklärung festgelegten Regelungen gelten für die Verarbeitung personenbezogener Daten im Zusammenhang mit:

• dem Betrieb und der Wartung der Website www.hansacareers.ee,
• der Erbringung von Arbeitsvermittlungsdienstleistungen,
• der Durchführung von Kundenaufträgen und der B2B-Zusammenarbeit,
• der laufenden geschäftlichen und administrativen Korrespondenz,
• der Erfüllung gesetzlicher Verpflichtungen nach dem Recht der Europäischen Union und der Republik Estland.

1.6. Rechtsgrundlagen
Diese Datenschutzerklärung wurde erstellt auf Grundlage von:

• der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO),
• dem estnischen Gesetz zum Schutz personenbezogener Daten (Isikuandmete kaitse seadus),
• sonstigen einschlägigen Rechtsvorschriften der Europäischen Union und der Republik Estland.

1.7. Kommunikationssprache und Kontaktmöglichkeiten
Die Hauptsprache der Tätigkeit des Verantwortlichen ist Englisch. Die schriftliche Kommunikation kann in jeder Amtssprache der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen.

Die bevorzugte und empfohlene Form der Kontaktaufnahme mit dem Verantwortlichen ist die elektronische Kommunikation, insbesondere:

• per E-Mail an: office@hansacareers.ee,
• über das auf der Website verfügbare Kontaktformular: www.hansacareers.ee,
• telefonisch unter: +372 5617 1770.

Eine Kontaktaufnahme mit dem Verantwortlichen kann auch postalisch an die in Abschnitt 1.2 genannte Anschrift erfolgen. Um eine effiziente Bearbeitung von Anfragen sowie ein angemessenes Schutzniveau personenbezogener Daten zu gewährleisten, empfiehlt der Verantwortliche, der vollständig in einer digitalen Umgebung tätig ist, ausdrücklich die Nutzung elektronischer Kommunikationsmittel. Die traditionelle postalische Korrespondenz kann aufgrund der Art der übermittelten Informationen, einschließlich personenbezogener Daten, mit längeren Bearbeitungszeiten sowie einem erhöhten Risiko von Datenverlust oder unbefugtem Zugriff verbunden sein.

1.8. Freiwilligkeit der Datenbereitstellung und Verantwortung des Verantwortlichen
Die Bereitstellung personenbezogener Daten erfolgt freiwillig; in bestimmten Fällen ist sie jedoch erforderlich, um die Dienstleistungen des Verantwortlichen in Anspruch zu nehmen, an Rekrutierungsprozessen teilzunehmen oder eine Antwort auf eine Anfrage zu erhalten. Die Nichtbereitstellung erforderlicher Daten kann dazu führen, dass diese Zwecke nicht erreicht werden können.

Der Verantwortliche ist nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, da Art und Umfang der Verarbeitung nicht die in Artikel 37 Absatz 1 DSGVO genannten Kriterien erfüllen.

Der Verantwortliche ist insbesondere verantwortlich für:

• die Sicherstellung, dass die Verarbeitung personenbezogener Daten im Einklang mit dem geltenden Recht erfolgt,
• die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten,
• die Gewährleistung und Erfüllung der Rechte betroffener Personen,
• die Zusammenarbeit mit der estnischen Aufsichtsbehörde – der Andmekaitse Inspektsioon.

2. Kategorien der Personen, deren Daten verarbeitet werden

Im Rahmen der Tätigkeit von Hansa Careers, betrieben durch die Handke Holding OÜ, werden ausschließlich diejenigen personenbezogenen Daten verarbeitet, die für die Erbringung von Arbeitsvermittlungsdienstleistungen, die Pflege von Geschäftsbeziehungen sowie die Sicherstellung einer laufenden operativen und organisatorischen Kommunikation erforderlich sind. Sämtliche Verarbeitungsvorgänge erfolgen unter Beachtung der Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz sowie Datenminimierung gemäß Artikel 5 Absatz 1 DSGVO und sind stets auf das für den jeweiligen Verarbeitungszweck erforderliche und angemessene Maß beschränkt. Der Verantwortliche verarbeitet personenbezogene Daten der folgenden Kategorien von Personen:

2.1. Bewerberinnen und Bewerber, die an Rekrutierungsprozessen teilnehmen
Personen, die sich über Hansa Careers im Rahmen konkreter, aktuell laufender Rekrutierungsprozesse bewerben, für die entsprechende Stellenanzeigen veröffentlicht wurden. Die verarbeiteten Daten können insbesondere Informationen aus einem beruflichen Lebenslauf, Kontaktdaten sowie sonstige vom Bewerber im Zusammenhang mit dem jeweiligen Rekrutierungsprozess bereitgestellte Angaben umfassen. Bewerberdaten können erhoben werden:

• direkt von der betroffenen Person,
• aus öffentlich zugänglichen Quellen, jedoch ausschließlich in dem Umfang, in dem die betroffene Person diese Informationen selbst öffentlich zugänglich gemacht hat, und unter Beachtung von Artikel 14 DSGVO.

Diese Daten werden ausschließlich zum Zweck der Durchführung eines konkreten Rekrutierungsprozesses verarbeitet und nur an diejenigen Auftraggeber weitergegeben, für die der jeweilige Rekrutierungsprozess durchgeführt wird.

2.2. Bewerberinnen und Bewerber, die Daten außerhalb aktiver Rekrutierungsprozesse übermitteln
Der Verantwortliche verarbeitet Bewerberdaten ausschließlich im Zusammenhang mit konkreten und aktiven Rekrutierungsprozessen. Sofern keine laufenden Rekrutierungsprozesse bestehen oder Personen ihre Daten – insbesondere Lebensläufe oder Nachrichten – ohne Bezugnahme auf eine konkrete Stellenanzeige übermitteln, werden diese Daten nicht angenommen oder in Rekrutierungsprozessen verwendet. Freiwillig übermittelte Daten ohne Bezug zu einer konkreten Stellenanzeige werden nicht geprüft, nicht gespeichert und nicht weitergeleitet und können unmittelbar nach Eingang gelöscht werden, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche führt keine Datenbank für spontane oder unaufgeforderte Bewerbungen und nutzt solche Übermittlungen nicht für zukünftige Rekrutierungsprozesse. Eine Kontaktaufnahme erfolgt ausschließlich mit Personen, die sich ausdrücklich auf eine konkrete Stellenanzeige beworben haben oder öffentlich ihr Interesse an einer Beschäftigung bekundet haben – beispielsweise durch öffentlich zugängliche Beiträge in sozialen Medien – und nur in dem Umfang, der zur Anbahnung einer Kommunikation über die jeweilige Stellenmöglichkeit erforderlich ist.

2.3. Kunden und deren Vertreter
Personen sowie Vertreter von Unternehmen, mit denen der Verantwortliche im Rahmen der Erbringung von Arbeitsvermittlungsdienstleistungen zusammenarbeitet. Die verarbeiteten Daten umfassen insbesondere Namen, Kontaktdaten, berufliche Funktionen sowie Informationen, die für die Durchführung von Verträgen oder die geschäftliche Zusammenarbeit erforderlich sind.

2.4. Potenzielle Kunden und Geschäftspartner
Personen, mit denen Kontakt zum Zweck der Anbahnung einer Zusammenarbeit aufgenommen wurde oder deren Daten aus öffentlich zugänglichen Quellen wie Unternehmenswebsites oder beruflichen Geschäftsplattformen stammen. Die Verarbeitung dieser Daten erfolgt auf Grundlage des berechtigten Interesses des Verantwortlichen an der Durchführung geschäftlicher Tätigkeiten und der Entwicklung von Geschäftsbeziehungen.

2.5. Auftragnehmer und Dienstleister
Personen, die als Einzelunternehmer tätig sind, sowie Vertreter von Unternehmen, die dem Verantwortlichen für den Geschäftsbetrieb erforderliche Dienstleistungen erbringen, insbesondere im Bereich Technik, Buchhaltung, Recht oder Kommunikation. Diese Daten werden zum Zweck der Vertragserfüllung, der laufenden Kommunikation sowie zur Erfüllung gesetzlicher Verpflichtungen verarbeitet.

2.6. Sonstige Kontaktpersonen sowie Vertreter öffentlicher Stellen
Personen, die Anfragen über Kontaktformulare, per E-Mail oder über andere Kommunikationskanäle an den Verantwortlichen richten, sowie Vertreter öffentlicher Behörden und Institutionen, mit denen der Verantwortliche amtliche Korrespondenz führt. Diese Daten werden ausschließlich zum Zweck der Bearbeitung von Korrespondenz, der Beantwortung von Anfragen oder zur Erfüllung gesetzlicher Verpflichtungen verarbeitet.

2.7. Minderjährige
Die vom Verantwortlichen angebotenen Dienstleistungen richten sich ausschließlich an volljährige Personen (ab 18 Jahren). Der Verantwortliche erhebt oder verarbeitet wissentlich keine personenbezogenen Daten von Minderjährigen. Sollte dem Verantwortlichen bekannt werden, dass personenbezogene Daten einer Person unter 18 Jahren erhoben wurden, werden diese Daten unverzüglich gelöscht, sofern keine weitergehende gesetzliche Aufbewahrungspflicht besteht.

Zusätzliche Informationen

Der Verantwortliche:

• erhebt keine Daten aus nicht öffentlichen Quellen,
• führt keine systematische Überwachung von Personen durch,
• verarbeitet keine Daten, die für die verfolgten Zwecke nicht erforderlich sind.

3. Umfang der verarbeiteten personenbezogenen Daten

Der Umfang der verarbeiteten personenbezogenen Daten richtet sich nach der Art der Beziehung zwischen dem Verantwortlichen und der betroffenen Person sowie nach dem Zweck, zu dem die Daten bereitgestellt werden. Der Verantwortliche verarbeitet ausschließlich solche Daten, die zur Erreichung konkreter, rechtmäßiger Zwecke erforderlich sind, unter strikter Beachtung des Grundsatzes der Datenminimierung. Die Verarbeitung personenbezogener Daten erfolgt in angemessener, sachlich relevanter und auf das notwendige Maß beschränkter Weise gemäß Artikel 5 Absatz 1 Buchstabe c DSGVO sowie § 11 des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus).

3.1. Identifikations- und Kontaktdaten
Der Verantwortliche kann insbesondere die folgenden Datenkategorien verarbeiten:

• Vor- und Nachname,
• E-Mail-Adresse,
• Telefonnummer,
• sonstige Kontaktdaten, die im Rahmen der Korrespondenz oder über ein Kontaktformular freiwillig angegeben werden,
• geschäftsbezogene Informationen im Rahmen beruflicher Kommunikation (Firmenname, Position/Funktion, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer).

Diese Daten werden zum Zweck der Kommunikation, der Beantwortung von Anfragen, der Durchführung von Kooperationen oder zur Erfüllung administrativer Verpflichtungen verarbeitet.

3.2. Daten von Bewerberinnen und Bewerbern in aktiven Rekrutierungsprozessen
Sofern aktive Rekrutierungsprozesse durchgeführt werden, verarbeitet der Verantwortliche personenbezogene Daten von Bewerberinnen und Bewerbern ausschließlich als Reaktion auf konkrete veröffentlichte Stellenanzeigen. Die verarbeiteten Daten können insbesondere umfassen:

• Angaben im Lebenslauf (CV), wie berufliche Erfahrung, Ausbildung, Qualifikationen, Kompetenzen und Sprachkenntnisse,
• den Inhalt der im Zusammenhang mit der Bewerbung übermittelten Nachricht,
• weitere vom Bewerber freiwillig im Zusammenhang mit der ausgeschriebenen Stelle bereitgestellte Informationen.

Der Verantwortliche erhebt keine Bewerberdaten aus anderen Quellen als aus dem direkten Kontakt als Reaktion auf eine konkrete Stellenanzeige und verarbeitet Bewerberdaten nicht über das für den jeweiligen Rekrutierungsprozess erforderliche Maß hinaus.

3.3. Bewerberdaten außerhalb von Rekrutierungsprozessen
Sofern der Verantwortliche keine aktiven Rekrutierungsprozesse durchführt oder keine Stellenanzeigen veröffentlicht hat, werden unaufgefordert übermittelte personenbezogene Daten (insbesondere Lebensläufe ohne Bezug zu einer konkreten Stellenanzeige) nicht angenommen oder genutzt. Solche Daten werden ohne weitere Verarbeitung gelöscht, und der Verantwortliche führt keine Datenbanken oder Verzeichnisse über spontan eingereichte Bewerbungen. Der Verantwortliche akzeptiert und prüft ausschließlich Bewerbungen, die als Reaktion auf konkrete, aktive Stellenanzeigen eingereicht werden.

3.4. Daten im Rahmen von Kunden- und Geschäftszusammenarbeit
Der Verantwortliche verarbeitet personenbezogene Daten von Kunden und deren Vertretern in dem Umfang, der für die Erbringung von Arbeitsvermittlungsdienstleistungen sowie für die Durchführung der geschäftlichen Zusammenarbeit erforderlich ist. Diese Daten können insbesondere umfassen:

• Name der Kontaktperson,
• E-Mail-Adresse und Telefonnummer,
• berufliche Position oder Funktion,
• Angaben in Verträgen, Rechnungen und buchhalterischen Unterlagen.

Diese Daten werden zur Vertragserfüllung, zur Aufrechterhaltung der laufenden geschäftlichen Kommunikation sowie zur Erfüllung steuer- und buchhaltungsrechtlicher Verpflichtungen verarbeitet.

3.5. Daten aus Kommunikation und Korrespondenz
Der Verantwortliche verarbeitet personenbezogene Daten, die in der Korrespondenz per E-Mail, über Kontaktformulare oder über andere Kommunikationskanäle enthalten sind. Der Umfang der verarbeiteten Daten richtet sich nach dem Inhalt der jeweiligen Nachricht und ist auf das zur Bearbeitung oder Beantwortung des Anliegens erforderliche Maß beschränkt.

3.6. Technische und betriebsbezogene Daten im Zusammenhang mit der Website
Bei der Nutzung der Website www.hansacareers.ee können technische Daten verarbeitet werden, insbesondere:

• IP-Adresse,
• Informationen zum verwendeten Browser und Betriebssystem,
• Datum und Uhrzeit des Zugriffs,
• technische Daten, die in Server-Logdateien gespeichert werden.

Diese Daten werden ausschließlich zur Gewährleistung der Sicherheit der Website, zum Schutz vor Missbrauch sowie zur Sicherstellung der ordnungsgemäßen Funktion der Website verwendet. In diesem Zusammenhang nutzt der Verantwortliche Dienstleistungen der Cloudflare, Inc., die technische Daten als Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet.

3.7. Daten im Zusammenhang mit Videokommunikation
Für Online-Meetings oder Videoanrufe kann der Verantwortliche die Plattform Whereby nutzen. Die Verarbeitung beschränkt sich auf diejenigen Daten, die zur Herstellung der Verbindung erforderlich sind, wie etwa der Name oder Benutzername des Teilnehmers, die IP-Adresse sowie technische Verbindungsdaten. Der Verantwortliche zeichnet keine Meetings auf und speichert deren Inhalte nicht, es sei denn, die Teilnehmenden wurden hierüber vorab informiert und haben ihre Einwilligung erteilt.

3.8. Besondere Kategorien personenbezogener Daten
Grundsätzlich verarbeitet der Verantwortliche keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO. Der Verantwortliche fordert solche Daten nicht an und verlangt deren Übermittlung nicht. Sofern derartige Daten freiwillig im Rahmen der Korrespondenz oder in übermittelten Dokumenten enthalten sind, werden sie ausschließlich in dem Umfang verarbeitet, der zur Erreichung des Zwecks ihrer Übermittlung erforderlich ist, oder unverzüglich gelöscht.

4. Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der zur Ausübung seiner Tätigkeit im Einklang mit dem geltenden Recht erforderlich ist, sowie unter Beachtung der Grundsätze der Fairness, Transparenz und Datenminimierung. Die Verarbeitung personenbezogener Daten erfolgt gemäß den Artikeln 5 und 6 der Verordnung (EU) 2016/679 (DSGVO) sowie den Bestimmungen des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus). Personenbezogene Daten werden ausschließlich zu eindeutig festgelegten, rechtmäßigen Zwecken verarbeitet und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet.

4.1. Durchführung von Rekrutierungsprozessen
Personenbezogene Daten von Bewerberinnen und Bewerbern werden zu folgenden Zwecken verarbeitet:

• Entgegennahme und Prüfung von Bewerbungen, die als Reaktion auf konkrete Stellenanzeigen eingereicht wurden,
• Kommunikation mit Bewerberinnen und Bewerbern während des Rekrutierungsprozesses,
• Bewertung des beruflichen Profils der Bewerberin bzw. des Bewerbers im Hinblick auf die Anforderungen der jeweiligen Stellenanzeige,
• Weitergabe von Bewerberdaten an Auftraggeber, die potenzielle Arbeitgeber sind — strikt beschränkt auf den jeweiligen konkreten Rekrutierungsprozess.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe a DSGVO — Einwilligung der betroffenen Person,
Artikel 6 Absatz 1 Buchstabe b DSGVO — Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person,
Artikel 9 Absatz 2 Buchstabe a DSGVO — ausdrückliche Einwilligung, sofern die betroffene Person freiwillig besondere Kategorien personenbezogener Daten offenlegt.

4.2. Aufbewahrung von Bewerbungen für zukünftige Rekrutierungsprozesse
Bewerberdaten dürfen nach Abschluss eines Rekrutierungsprozesses nur dann gespeichert werden, wenn die betroffene Person hierzu eine gesonderte und ausdrückliche Einwilligung erteilt. Die Speicherung erfolgt für den in der Einwilligung festgelegten Zeitraum oder bis zum Widerruf der Einwilligung.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe a DSGVO.

4.3. Abschluss und Durchführung von Verträgen
Personenbezogene Daten von Kunden, Auftragnehmern und Geschäftspartnern werden zu folgenden Zwecken verarbeitet:

• Abschluss und Durchführung von Verträgen,
• Erbringung von Arbeitsvermittlungsdienstleistungen,
• Abwicklung geschäftlicher, administrativer und operativer Kommunikation.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe b DSGVO — Vertragserfüllung,
Artikel 6 Absatz 1 Buchstabe c DSGVO — Erfüllung rechtlicher Verpflichtungen, insbesondere aus steuer- und buchhalterischen Vorschriften.

4.4. Pflege von Geschäftsbeziehungen und B2B-Marketing
Kontaktdaten von Vertretern von Unternehmen können zu folgenden Zwecken verarbeitet werden:

• Durchführung laufender geschäftlicher Kommunikation,
• Unterbreitung von Kooperationsangeboten,
• Direktmarketing im Rahmen von B2B-Beziehungen.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse des Verantwortlichen an der Durchführung und Entwicklung seiner Geschäftstätigkeit.
Der betroffenen Person steht ein Widerspruchsrecht gegen diese Verarbeitung zu.

4.5. Beantwortung von Anfragen und Durchführung von Korrespondenz
Personenbezogene Daten von Personen, die den Verantwortlichen über Kontaktformulare, per E-Mail oder telefonisch kontaktieren, werden zum Zweck der Beantwortung von Anfragen sowie zur Führung laufender Korrespondenz verarbeitet.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse des Verantwortlichen.

4.6. Abrechnung, Buchhaltung und Archivierung
Personenbezogene Daten werden zur Erfüllung buchhalterischer, steuerlicher und archivierungsbezogener Verpflichtungen verarbeitet, die sich aus den Rechtsvorschriften der Republik Estland ergeben.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe c DSGVO — rechtliche Verpflichtung des Verantwortlichen.

4.7. Sicherstellung der Sicherheit von Formularen und IT-Systemen (Cloudflare)
Der Verantwortliche setzt technische und organisatorische Maßnahmen ein, um die Website sowie Kontaktformulare vor Spam, Missbrauch und automatisierten Übermittlungen zu schützen. Zu diesem Zweck werden Dienstleistungen von Cloudflare genutzt, einschließlich der Sicherheitsmechanismen Turnstile, die technische Nutzerdaten verarbeiten können, wie etwa:

• IP-Adresse,
• Daten zum Browser und Betriebssystem,
• technische Informationen, die für eine Risikobewertung erforderlich sind.

Diese Daten werden ausschließlich zur Gewährleistung der Sicherheit und Integrität der IT-Systeme verarbeitet.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse des Verantwortlichen am Schutz der Website und der verarbeiteten Daten.

4.8. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Personenbezogene Daten können zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse des Verantwortlichen.

4.9. Erfüllung von Verpflichtungen gegenüber öffentlichen Stellen
Personenbezogene Daten können an befugte öffentliche Stellen, Gerichte oder Aufsichtsbehörden übermittelt werden, soweit dies gesetzlich vorgeschrieben ist.

Rechtsgrundlage:
Artikel 6 Absatz 1 Buchstabe c DSGVO — rechtliche Verpflichtung des Verantwortlichen.

5. Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet personenbezogene Daten ausschließlich dann, wenn hierfür eine eindeutige und rechtmäßige Grundlage besteht, wie sie sich insbesondere aus folgenden Rechtsakten ergibt:

• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung – DSGVO),
• dem estnischen Datenschutzgesetz – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Sämtliche Verarbeitungstätigkeiten erfolgen unter Beachtung der in Artikel 5 DSGVO sowie § 11 IKS festgelegten Grundsätze, insbesondere der Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit.

5.1. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (Artikel 6 DSGVO)
Der Verantwortliche verarbeitet personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:

a) Einwilligung der betroffenen Person
(Artikel 6 Absatz 1 Buchstabe a DSGVO; § 10 Absatz 1 IKS)
Diese Rechtsgrundlage findet Anwendung in Fällen, in denen die betroffene Person freiwillig und eindeutig ihre Einwilligung erteilt, insbesondere für:

• die Teilnahme an zukünftigen Rekrutierungsprozessen,
• die Übermittlung personenbezogener Daten an einen potenziellen Arbeitgeber,
• die Verarbeitung zusätzlicher, freiwillig bereitgestellter Daten (z. B. Bild- oder Abbildungsdaten).

Die Einwilligung kann jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird (Artikel 7 Absatz 3 DSGVO).

b) Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen
(Artikel 6 Absatz 1 Buchstabe b DSGVO; § 10 Absatz 1 Nummer 2 IKS)

• Durchführung von Rekrutierungsprozessen und Arbeitsvermittlungsdienstleistungen,
• Anbahnung und Durchführung der Zusammenarbeit mit Kunden und Auftragnehmern,
• Erstellung und Umsetzung von Dienstleistungsangeboten,
• Aufrechterhaltung der operativen Kommunikation während der Zusammenarbeit.

c) Erfüllung einer rechtlichen Verpflichtung
(Artikel 6 Absatz 1 Buchstabe c DSGVO; § 10 Absatz 1 Nummer 3 IKS)
Diese Rechtsgrundlage umfasst insbesondere Verarbeitungen, die aufgrund estnischer oder unionsrechtlicher Vorschriften erforderlich sind, wie etwa:

• Raamatupidamise seadus §§ 12–13 — Verpflichtung zur Aufbewahrung von Buchhaltungsunterlagen für einen Zeitraum von 7 Jahren,
• steuerliche und meldebezogene Verpflichtungen,
• Pflichten im Zusammenhang mit öffentlichen Prüfungen und Finanzkontrollen.

d) Berechtigtes Interesse des Verantwortlichen
(Artikel 6 Absatz 1 Buchstabe f DSGVO; § 11 Absatz 2 IKS)
Verarbeitungsvorgänge, die zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich sind, insbesondere:

• Durchführung laufender Kommunikation und Bearbeitung von Anfragen,
• Aufbau und Pflege beruflicher Beziehungen sowie B2B-Zusammenarbeit,
• Direktmarketing im geschäftlichen Kontext (gemäß Elektroonilise side seadus § 102),
• Gewährleistung der Sicherheit von IT-Systemen, Kontaktformularen und Dokumentation,
• Verhinderung von Missbrauch sowie Schutz vor Spam und Angriffen,
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Verantwortliche prüft stets, ob seine berechtigten Interessen die Rechte und Freiheiten der betroffenen Person überwiegen (Artikel 6 Absatz 1 Buchstabe f DSGVO in Verbindung mit Erwägungsgrund 47 DSGVO).

e) Wahrnehmung einer Aufgabe im öffentlichen Interesse
(Artikel 6 Absatz 1 Buchstabe e DSGVO; § 10 Absatz 1 Nummer 4 IKS)
Diese Rechtsgrundlage findet Anwendung bei Verarbeitungsvorgängen, die im Rahmen oder unter Aufsicht öffentlicher Stellen erfolgen, insbesondere im Zusammenhang mit Arbeitsmarkt- und Mobilitätsprogrammen (z. B. Eesti Töötukassa, EURES, EU-Programme), sofern solche Verarbeitungen stattfinden.

5.2. Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO)
Grundsätzlich verarbeitet der Verantwortliche keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO. Sofern die betroffene Person solche Daten freiwillig offenlegt (z. B. Gesundheits- oder Behinderungsdaten):

• erfolgt die Verarbeitung ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Artikel 9 Absatz 2 Buchstabe a DSGVO; § 21 IKS),
• unterliegt die Verarbeitung erhöhten technischen und organisatorischen Sicherheitsmaßnahmen (Artikel 32 DSGVO),
• hat die Nichterteilung einer Einwilligung keinerlei negative Folgen.

5.3. Allgemeine Grundsätze der Datenverarbeitung
Der Verantwortliche stellt sicher, dass sämtliche Verarbeitungsvorgänge personenbezogener Daten im Einklang stehen mit:

• den Artikeln 5 und 6 DSGVO,
• § 11 Isikuandmete kaitse seadus,
• Artikel 32 DSGVO — hinsichtlich der Sicherheit der Verarbeitung,
• Artikel 24 DSGVO — Grundsatz der Rechenschaftspflicht.

Der Verantwortliche führt keine automatisierten Entscheidungen oder Profiling im Sinne von Artikel 22 DSGVO durch.

5.4. Compliance-Prüfung und interne Dokumentation
Zur Sicherstellung der Einhaltung der DSGVO sowie des estnischen Rechts führt und aktualisiert der Verantwortliche insbesondere:

• ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO),
• Prüfungen berechtigter Interessen für Verarbeitungen gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO,
• Dokumentation zur Informationssicherheit,
• Verfahren zur Behandlung von Verletzungen des Schutzes personenbezogener Daten (Artikel 33–34 DSGVO, § 23 IKS).

6. Quellen personenbezogener Daten

Die vom Verantwortlichen verarbeiteten personenbezogenen Daten stammen ausschließlich aus rechtmäßigen Quellen und werden in einer Weise erhoben, die den geltenden Rechtsvorschriften entspricht, insbesondere den Artikeln 13 und 14 der Verordnung (EU) 2016/679 sowie den einschlägigen Bestimmungen des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus).

Sofern personenbezogene Daten nicht unmittelbar bei der betroffenen Person erhoben werden, erfüllt der Verantwortliche seine Informationspflicht innerhalb einer angemessenen Frist, spätestens jedoch innerhalb von 30 Tagen ab dem Zeitpunkt der Datenerhebung, sofern gesetzlich nichts anderes vorgeschrieben ist.

6.1. Daten, die unmittelbar von den betroffenen Personen erhoben werden
Personenbezogene Daten werden dem Verantwortlichen von den betroffenen Personen freiwillig zur Verfügung gestellt, insbesondere über:

• auf der Website verfügbare Kontaktformulare,
• E-Mail-Korrespondenz,
• Telefonate oder Online-Meetings,
• Antworten auf vom Verantwortlichen veröffentlichte Stellenanzeigen,
• laufende Kommunikation im Rahmen von Kooperationen oder Geschäftskontakten.

Der Umfang der bereitgestellten Daten richtet sich nach der Art des Kontakts sowie dem Zweck, aus dem die betroffene Person mit dem Verantwortlichen Kontakt aufnimmt.

6.2. Daten, die im Rahmen von Rekrutierungsprozessen erhoben werden
Im Hinblick auf Bewerber werden personenbezogene Daten ausschließlich erhoben:

• direkt von Bewerbern, die auf eine konkrete, vom Verantwortlichen veröffentlichte Stellenanzeige reagieren,
• im Rahmen einer durch den Bewerber initiierten Kommunikation im Zusammenhang mit einer bestimmten Position.

Der Verantwortliche akzeptiert und verarbeitet keine Lebensläufe oder sonstigen Bewerberdaten, die ohne Bezug zu einem aktiven Rekrutierungsprozess oder ohne Bezug zu einem konkreten Stellenangebot eingereicht werden.
Derartige Daten werden unverzüglich gelöscht und nicht für Rekrutierungszwecke verwendet.

Der Verantwortliche nutzt keine nicht-öffentlichen Datenquellen und erhebt keine Daten aus privaten oder zugangsbeschränkten Profilen sozialer Netzwerke.

6.3. Daten von Kunden, Auftragnehmern und Geschäftspartnern
Personenbezogene Daten von Kunden, Auftragnehmern und deren Vertretern werden erhoben über:

• direkte berufliche Kontakte,
• Verhandlungen, Vertragsabschlüsse und deren Durchführung,
• öffentlich zugängliche Quellen im Zusammenhang mit beruflicher oder geschäftlicher Tätigkeit.

Diese Daten werden ausschließlich in dem Umfang verarbeitet, der für die Durchführung der geschäftlichen Zusammenarbeit, die operative Kommunikation sowie die Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

6.4. Daten von Vertretern öffentlicher Stellen und Institutionen
Der Verantwortliche verarbeitet personenbezogene Daten von Vertretern von Behörden, öffentlichen Einrichtungen und Aufsichtsstellen ausschließlich im Rahmen von:

• der Durchführung offizieller Korrespondenz,
• der Erfüllung gesetzlicher Verpflichtungen,
• der Zusammenarbeit mit zuständigen Verwaltungsbehörden.

Der Umfang der verarbeiteten Daten umfasst in der Regel den Namen der Person, die dienstliche E-Mail-Adresse, die Position oder Funktion sowie weitere Daten, die im Rahmen der formellen Kommunikation bereitgestellt werden.
Rechtsgrundlagen für diese Verarbeitung sind insbesondere Artikel 6 Absatz 1 Buchstaben c und f der Verordnung (EU) 2016/679.

6.5. Technische Daten und Sicherheit von Formularen
Bei der Nutzung der Website des Verantwortlichen sowie der Kontaktformulare können grundlegende technische Daten automatisiert verarbeitet werden, insbesondere:

• IP-Adresse,
• Datum und Uhrzeit der Verbindung,
• technische Informationen über Browser und Betriebssystem,
• Daten, die zur Gewährleistung einer sicheren Kommunikation erforderlich sind.

Zum Schutz der Kontaktformulare vor Missbrauch, Spam und automatisierten Übermittlungen nutzt der Verantwortliche die Dienste eines Anbieters für Sicherheitsinfrastruktur (Cloudflare, Inc.).

Im Rahmen dieses Mechanismus können technische Nutzerdaten — einschließlich IP-Adresse und verbindungsbezogener Informationen — verarbeitet werden.

Die Datenverarbeitung in diesem Zusammenhang erfolgt auf Grundlage von:

• Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse des Verantwortlichen an der Gewährleistung der Systemsicherheit und dem Schutz vor Missbrauch,
• geeigneten Schutzmaßnahmen und rechtlichen Mechanismen für Datenübermittlungen außerhalb der Europäischen Union.

6.6. Register-, Buchhaltungs- und Dokumentationsdaten
Personenbezogene Daten, die zu Buchhaltungs-, Steuer- oder Archivierungszwecken verarbeitet werden, stammen aus:

• direkten Angaben von Kunden und Auftragnehmern,
• vertraglichen und abrechnungsbezogenen Unterlagen,
• amtlicher Korrespondenz im Zusammenhang mit der Geschäftstätigkeit.

Der Umfang sowie die Aufbewahrungsdauer dieser Daten ergeben sich unmittelbar aus den einschlägigen estnischen und unionsrechtlichen Vorschriften.

7. Empfänger personenbezogener Daten

Personenbezogene Daten, die von Hansa Careers unter der Marke Handke Holding OÜ verarbeitet werden, dürfen ausschließlich an solche Empfänger weitergegeben werden, die:

• nach geltendem Recht zum Empfang dieser Daten berechtigt sind, oder
• die Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Durchführung bestimmter geschäftlicher oder rechtlicher Zwecke verarbeiten.

Sämtliche Datenübermittlungen erfolgen im Einklang mit den Artikeln 28 sowie 44–49 der Verordnung (EU) 2016/679 sowie den einschlägigen Bestimmungen des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus), unter vollständiger Wahrung der Grundsätze der Datenminimierung, Vertraulichkeit und Zweckbindung.

7.1. Potenzielle Arbeitgeber und Rekrutierungspartner
Personenbezogene Daten von Bewerbern können potenziellen Arbeitgebern oder Rekrutierungspartnern ausschließlich übermittelt werden:

• im Rahmen eines konkreten Rekrutierungsverfahrens,
• nach vorheriger Information des Bewerbers,
• nur in dem Umfang, der zur Beurteilung der beruflichen Qualifikationen erforderlich ist,
• auf Grundlage einer geeigneten Rechtsgrundlage, insbesondere der Einwilligung des Bewerbers oder von vorvertraglichen Maßnahmen.

Eine Weitergabe in Sammelform erfolgt nicht, ebenso wenig eine Nutzung der Daten außerhalb des klar definierten Rekrutierungsprozesses.

7.2. Technische und organisatorische Stellen, die Daten im Auftrag des Verantwortlichen verarbeiten
Personenbezogene Daten können an Stellen übermittelt werden, die den Geschäftsbetrieb des Verantwortlichen unterstützen, insbesondere:

• Anbieter von Hosting- und Serverinfrastruktur,
• Anbieter von E-Mail- und Kontaktformular-Diensten,
• Anbieter von IT-Werkzeugen und Kommunikationssystemen,
• Anbieter von Online-Meeting- und Videokommunikationslösungen,
• Anbieter von Sicherheitslösungen und Systemen zur Missbrauchsprävention, einschließlich Formularschutz,
• Anbieter von Buchhaltungs- und Rechnungswesensdiensten,
• Rechtsanwaltskanzleien, Steuerberater und Unternehmensberater.

Diese Stellen verarbeiten personenbezogene Daten ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags und sind verpflichtet:

• Vertraulichkeit zu wahren,
• angemessene technische und organisatorische Maßnahmen anzuwenden,
• Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten.

7.3. Bewerber und Kunden
Personenbezogene Daten können Bewerbern oder Kunden nur in dem Umfang bereitgestellt werden, der zur Erfüllung eines konkreten Zwecks erforderlich ist, insbesondere:

• zur Information von Bewerbern über Arbeitsbedingungen, Einsatzort oder das Profil des Arbeitgebers,
• zur Information von Kunden über einen Bewerber im Rahmen eines laufenden Rekrutierungsprozesses.

Der Umfang der offengelegten Daten ist stets auf das erforderliche Minimum beschränkt und richtet sich nach dem jeweiligen Verfahrensstand.

7.4. Öffentliche Behörden und Institutionen
Personenbezogene Daten können an zuständige öffentliche Stellen ausschließlich in dem gesetzlich vorgeschriebenen Umfang übermittelt werden, insbesondere an:

• Steuerbehörden,
• Arbeitsämter und arbeitsmarktbezogene Institutionen,
• die Datenschutzaufsichtsbehörde,
• Gerichte, Strafverfolgungsbehörden und sonstige Aufsichtsstellen,
• Institutionen der Europäischen Union und des Europäischen Wirtschaftsraums.

7.5. Anbieter von Online-Kommunikationsdiensten
Für Online-Meetings oder Fernkommunikation können personenbezogene Daten wie Name, E-Mail-Adresse oder technische Verbindungsdaten von Anbietern entsprechender Kommunikationstools verarbeitet werden.
Diese Verarbeitung erfolgt ausschließlich zur Ermöglichung der Kommunikation und Organisation von Meetings und stützt sich auf das berechtigte Interesse des Verantwortlichen oder auf vorvertragliche Maßnahmen.

7.6. Empfänger technischer Daten zu Sicherheitszwecken
Zur Gewährleistung der Sicherheit der Website, der IT-Infrastruktur und der Kontaktformulare können technische Nutzerdaten — wie IP-Adresse oder Verbindungsinformationen — von Anbietern von Netzwerksicherheitsdiensten verarbeitet werden.
Bei einer Übermittlung von Daten außerhalb der Europäischen Union werden die nach den Artikeln 44–49 DSGVO erforderlichen geeigneten Garantien angewendet.

7.7. Allgemeine Grundsätze der Datenweitergabe
Der Verantwortliche:

• verkauft keine personenbezogenen Daten,
• gibt keine Daten ohne Rechtsgrundlage an Dritte weiter,
• übermittelt keine Daten zu Werbe-, Marketing- oder Profilingzwecken,
• stellt keine Daten sozialen Netzwerken oder kommerziellen Plattformen zu Marketingzwecken zur Verfügung.

Jeder Datenempfänger verarbeitet personenbezogene Daten unter Einhaltung der Grundsätze der Sicherheit, Vertraulichkeit und Zweckbindung sowie ausschließlich in dem Umfang, der zur Erfüllung der jeweiligen Aufgabe erforderlich ist.

7.8. Eingebundener Kartendienst (OpenStreetMap)
Die Website enthält eine eingebettete interaktive Karte des Anbieters OpenStreetMap, die ausschließlich dem Zweck dient, die eingetragene Anschrift des Verantwortlichen darzustellen und die Kontaktaufnahme zu erleichtern.

Die Karte wird in Form eines iFrames eingebunden und direkt von den Servern von OpenStreetMap geladen. Der Verantwortliche erhält keine personenbezogenen Daten von OpenStreetMap und hat keinen Zugriff auf die von diesem Dienst verarbeiteten personenbezogenen Daten.

Die OpenStreetMap Foundation hat ihren Sitz im Vereinigten Königreich, einem Drittstaat, für den ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45 der Verordnung (EU) 2016/679 (DSGVO) vorliegt.

Abhängig vom Endgerät des Nutzers, der Browserkonfiguration und den Netzwerkeinstellungen kann OpenStreetMap technische Daten, wie etwa die IP-Adresse, gemäß seiner eigenen Datenschutzerklärung verarbeiten.

Die eingebettete Karte wird ausschließlich zu Informations- und Kontaktzwecken verwendet und nicht für Tracking-, Analyse-, Profiling- oder Marketingzwecke eingesetzt.

8. Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR)

Grundsätzlich übermittelt der Verantwortliche keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) oder an internationale Organisationen. Die wesentlichen Datenverarbeitungsvorgänge werden innerhalb des Hoheitsgebiets der Europäischen Union durchgeführt, insbesondere unter Nutzung von Infrastruktur, die sich innerhalb der EU befindet, einschließlich der Republik Estland.

Der Verantwortliche nutzt Hosting- und E-Mail-Dienste der Zone Media OÜ, tätig unter dem Handelsnamen zone.ee, deren Datenverarbeitungsinfrastruktur sich innerhalb des Gebiets der Europäischen Union befindet.
Personenbezogene Daten, die im Zusammenhang mit dem Betrieb der Website sowie der E-Mail-Kommunikation verarbeitet werden, werden grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und unterliegen dem Schutzniveau der Verordnung (EU) 2016/679 (DSGVO).

Zur Gewährleistung der Sicherheit der Website, der Kontaktformulare sowie zum Schutz vor Missbrauch und automatisierten Aktivitäten nutzt der Verantwortliche zudem Dienste der Cloudflare, Inc. Im Rahmen dessen können technische Daten — etwa IP-Adresse, Netzwerkverbindungsdaten, Browser- und Geräteinformationen sowie weitere für die Sicherheitsbewertung erforderliche Informationen — verarbeitet werden. Aufgrund der globalen Infrastruktur von Cloudflare kann es dabei zu einer Übermittlung oder Zugänglichmachung solcher Daten außerhalb des EWR kommen, insbesondere in die Vereinigten Staaten von Amerika.

Datenübermittlungen im Zusammenhang mit der Nutzung von Cloudflare-Diensten erfolgen gemäß Kapitel V der DSGVO, insbesondere auf Grundlage der von der Europäischen Kommission erlassenen Standardvertragsklauseln (Artikel 46 DSGVO) sowie — soweit anwendbar — der Mechanismen des EU–US Data Privacy Framework.
Der Verantwortliche setzt zusätzliche technische und organisatorische Schutzmaßnahmen ein, darunter insbesondere die verschlüsselte Übertragung von Daten sowie die Beschränkung des Umfangs der verarbeiteten Informationen auf das zur Gewährleistung der Sicherheit und Integrität des Dienstes unbedingt Erforderliche.

Abgesehen von den vorstehend beschriebenen Fällen führt der Verantwortliche keine regelmäßigen oder geplanten Übermittlungen personenbezogener Daten in Drittländer durch. Rekrutierungsprozesse, die Kommunikation mit Kunden und Auftragnehmern, E-Mail-Korrespondenz sowie der laufende Geschäftsbetrieb werden unter Nutzung von Werkzeugen und Diensten durchgeführt, die Daten innerhalb der Europäischen Union verarbeiten.

Der Verantwortliche ermöglicht die Kontaktaufnahme über externe Nachrichtenplattformen ausschließlich auf Initiative der kontaktaufnehmenden Person und strikt zu Informationszwecken. Da sich die Server solcher Dienste außerhalb des EWR befinden können, gelten diese nicht als empfohlener oder sicherer Kommunikationskanal für den Austausch personenbezogener Daten.
Der Verantwortliche empfiehlt ausdrücklich, Bewerbungsunterlagen, besondere Kategorien personenbezogener Daten sowie sonstige sensible Informationen ausschließlich über die offiziellen Kommunikationskanäle zu übermitteln.

In jedem Fall, in dem personenbezogene Daten außerhalb des EWR übermittelt werden, stellt der Verantwortliche sicher, dass eine solche Übermittlung ausschließlich in dem für die Erreichung eines konkreten Zwecks erforderlichen Umfang erfolgt, nach Durchführung einer Risikobewertung der Übermittlung sowie unter Einhaltung der Grundsätze der Datenminimierung, Vertraulichkeit und Verarbeitungssicherheit gemäß den Artikeln 32 sowie 44–49 DSGVO.

9. Aufbewahrungsfristen personenbezogener Daten

Der Verantwortliche speichert personenbezogene Daten ausschließlich für den Zeitraum, der zur Erfüllung der Zwecke erforderlich ist, für die die Daten erhoben wurden, gemäß Artikel 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 (DSGVO) sowie § 17 des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus).

Nach Ablauf der jeweiligen Aufbewahrungsfristen werden die Daten dauerhaft gelöscht, anonymisiert oder in einer Weise archiviert, die eine Identifizierung der betroffenen Person ausschließt, sofern nicht nach estnischem oder europäischem Recht eine weitergehende Aufbewahrung erforderlich ist.

Die Aufbewahrungsfristen werden unter Berücksichtigung folgender Kriterien festgelegt:

• des Zwecks der Verarbeitung,
• der Rechtsgrundlage der Verarbeitung,
• der Art des Rechtsverhältnisses zur betroffenen Person,
• der Verjährungsfristen für Ansprüche nach estnischem Recht.

9.1. Bewerberdaten

a) Personenbezogene Daten, die im Rahmen eines Rekrutierungsverfahrens als Reaktion auf eine konkrete Stellenausschreibung auf Grundlage von Artikel 6 Absatz 1 Buchstabe b DSGVO verarbeitet werden, werden für den Zeitraum aufbewahrt, der zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen aus den Dienstleistungen des Verantwortlichen erforderlich ist.

b) Daten, die im Zusammenhang mit einer vom Verantwortlichen initiierten Kontaktaufnahme zu rekrutierungsbezogenen Zwecken auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden bis zum Abschluss der Kommunikation in der jeweiligen Angelegenheit aufbewahrt.

c) Personenbezogene Daten, die potenziellen Arbeitgebern zum Zwecke der Durchführung eines konkreten Rekrutierungsverfahrens auf Grundlage von Artikel 6 Absatz 1 Buchstabe a DSGVO übermittelt werden, werden bis zum Widerruf der Einwilligung oder bis zum Abschluss des Rekrutierungsverfahrens gespeichert, je nachdem, welches Ereignis zuerst eintritt.

d) Daten, die zum Zweck der Abrechnung und der Erbringung von Dienstleistungen für Kunden im Zusammenhang mit Rekrutierungsaktivitäten auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden bis zum Ablauf der Verjährungsfristen nach Beendigung des Vertrags aufbewahrt — in der Regel für einen Zeitraum von 3 Jahren, berechnet ab dem Ende des Kalenderjahres, gemäß estnischem Recht.

e) Daten, die zum Zweck der Begründung, Ausübung oder Verteidigung von Rechtsansprüchen aus den erbrachten Dienstleistungen auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden bis zum Ablauf der entsprechenden Verjährungsfristen nach Vertragsbeendigung aufbewahrt — in der Regel 3 Jahre, sofern gesetzlich kein längerer Zeitraum vorgeschrieben ist.

f) Daten, die für Kommunikationszwecke im Zusammenhang mit der Geschäftstätigkeit des Verantwortlichen auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden für den Zeitraum gespeichert, der zur Bearbeitung der jeweiligen Angelegenheit erforderlich ist.

g) Daten, die auf Grundlage von Artikel 6 Absatz 1 Buchstabe a DSGVO in der Datenbank des Verantwortlichen für zukünftige Rekrutierungsverfahren gespeichert werden, werden für einen Zeitraum von höchstens 12 Monaten ab Erteilung der Einwilligung oder bis zum Widerruf der Einwilligung aufbewahrt — je nachdem, welches Ereignis zuerst eintritt.

h) Bewerbungsunterlagen, insbesondere Lebensläufe, die außerhalb einer Reaktion auf eine konkrete Stellenausschreibung oder in Zeiträumen ohne aktive Rekrutierungsverfahren eingereicht werden, werden nicht verarbeitet und unverzüglich gelöscht.

9.2. Kundendaten

a) Personenbezogene Daten, die zum Zweck der Anbahnung oder Durchführung eines Vertrags auf Grundlage von Artikel 6 Absatz 1 Buchstabe b DSGVO verarbeitet werden, werden für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt, insbesondere im Hinblick auf buchhalterische und steuerliche Pflichten — in der Regel 7 Jahre nach estnischem Recht, sofern kein längerer Zeitraum Anwendung findet.

b) Daten, die für die laufende Kommunikation im Zusammenhang mit Vertragsschluss, -durchführung oder -abrechnung auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden für die Dauer der Zusammenarbeit aufbewahrt, sofern keine weitere Verarbeitung zur Erreichung eines anderen rechtmäßigen Zwecks erforderlich ist.

c) Daten, die zu Melde-, Buchhaltungs- und Steuerzwecken auf Grundlage von Artikel 6 Absatz 1 Buchstabe c DSGVO verarbeitet werden, werden für den nach estnischem Recht vorgeschriebenen Zeitraum aufbewahrt — in der Regel 7 Jahre.

d) Daten, die zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen aus der Vertragsdurchführung auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO verarbeitet werden, werden bis zum Ablauf der Verjährungsfristen gespeichert — in der Regel 3 Jahre, sofern das Gesetz keinen längeren Zeitraum vorsieht.

9.3. Sonstige Datenkategorien

a) Daten potenzieller Kunden und Auftragnehmer werden für den Zeitraum aufbewahrt, der zur Erfüllung des Zwecks der Kontaktaufnahme oder Zusammenarbeit erforderlich ist, jedoch nicht länger als 3 Jahre ab dem Zeitpunkt der letzten Kommunikation, sofern keine weitergehende Aufbewahrung zur Verteidigung von Rechtsansprüchen erforderlich ist.

b) Daten von Lieferanten, Dienstleistern und Geschäftspartnern werden für die Dauer der Zusammenarbeit und darüber hinaus entsprechend den gesetzlichen Verjährungsfristen sowie buchhalterischen und steuerlichen Aufbewahrungspflichten gespeichert.

c) Daten von Personen, die den Verantwortlichen kontaktieren, werden für den Zeitraum aufbewahrt, der zur Beantwortung und Abschließung der Angelegenheit erforderlich ist, und anschließend — sofern gerechtfertigt — bis zum Ablauf von Verjährungsfristen, jedoch nicht länger als 3 Jahre.

d) Daten von Vertretern öffentlicher Behörden und Institutionen werden für den Zeitraum aufbewahrt, der zur Erfüllung einer rechtlichen Verpflichtung oder zum Abschluss eines Verwaltungsverfahrens erforderlich ist, und anschließend für die gesetzliche Archivierungsdauer, jedoch nicht länger als 10 Jahre.

9.4. Technische Daten und Formularsicherheit
Technische Daten, die im Rahmen des Schutzes von Kontaktformularen (Cloudflare Turnstile) verarbeitet werden, einschließlich IP-Adresse und technischer Informationen, werden automatisiert und kurzfristig ausschließlich zum Zweck der Risikobewertung, der Missbrauchsprävention sowie zur Gewährleistung der Sicherheit der Dienste verarbeitet.

Diese Daten werden vom Verantwortlichen nicht gespeichert und nicht zu Marketing- oder Profilingzwecken verwendet. Die Aufbewahrung richtet sich nach den Einstellungen und Sicherheitsverfahren des jeweiligen Dienstanbieters und kann kurzfristige technische Protokolle umfassen, die ausschließlich für den Zeitraum gespeichert werden, der zur Gewährleistung der Systemsicherheit oder zur Analyse möglicher Sicherheitsvorfälle erforderlich ist.

Sofern keine Sicherheitsvorfälle auftreten, werden solche technischen Daten nicht langfristig gespeichert.

9.5. Schlussbestimmungen
Nach Ablauf der vorstehend genannten Aufbewahrungsfristen werden personenbezogene Daten dauerhaft gelöscht, anonymisiert oder in einer Weise archiviert, die eine Identifizierung der betroffenen Person ausschließt, gemäß § 17 Absatz 4 des estnischen Datenschutzgesetzes.

Der Verantwortliche überprüft regelmäßig die gespeicherten Daten sowie die Erforderlichkeit ihrer weiteren Verarbeitung und stellt sicher, dass personenbezogene Daten nicht länger gespeichert werden, als dies für die Zwecke erforderlich ist, für die sie erhoben wurden.

10. Freiwilligkeit der Bereitstellung personenbezogener Daten

10.1. Die Bereitstellung personenbezogener Daten erfolgt grundsätzlich freiwillig. In bestimmten Fällen ist die Angabe bestimmter Daten jedoch erforderlich, um konkrete Handlungen vorzunehmen, Dienstleistungen zu erbringen, ein Rekrutierungsverfahren durchzuführen oder einen Vertrag mit dem Verantwortlichen abzuschließen bzw. zu erfüllen. Die Nichtbereitstellung der erforderlichen Daten kann dazu führen, dass bestimmte Tätigkeiten nicht durchgeführt oder bestimmte Zwecke nicht erreicht werden können.

10.2. Insbesondere gilt:

• die Teilnahme an einem Rekrutierungsverfahren erfordert die Angabe von Kontaktdaten sowie die Übermittlung von Bewerbungsunterlagen;
• die Übermittlung von Anfragen über ein Kontaktformular oder per E-Mail erfordert die Angabe von Daten, die eine Identifizierung des Absenders ermöglichen;
• der Abschluss, die Durchführung oder die Abwicklung eines Vertrags erfordert die Bereitstellung von Daten, die zur Erfüllung vertraglicher, steuerlicher oder buchhalterischer Verpflichtungen erforderlich sind;
• die Nutzung bestimmter Funktionen der Website kann die Verarbeitung grundlegender technischer Daten erfordern, die für die Sicherheit und den ordnungsgemäßen Betrieb der Systeme notwendig sind.

10.3. Der Verantwortliche informiert betroffene Personen stets darüber, welche Daten für den jeweiligen Zweck erforderlich sind und welche Daten freiwillig bereitgestellt werden können. Der Umfang der verarbeiteten Daten ist auf das notwendige Maß beschränkt, entsprechend dem Grundsatz der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c DSGVO.

10.4. In Fällen, in denen die Verarbeitung auf einer Einwilligung beruht, ist die Erteilung der Einwilligung vollständig freiwillig. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird, gemäß Artikel 7 Absatz 3 DSGVO.

10.5. Der Verantwortliche trifft geeignete Maßnahmen, um die Transparenz der Verarbeitung personenbezogener Daten sicherzustellen und den betroffenen Personen eine tatsächliche Kontrolle über Umfang, Zweck und Dauer der Verarbeitung der von ihnen bereitgestellten Informationen zu ermöglichen.

11. Speicherorte der Daten und Sicherheitsmaßnahmen

11.1. Personenbezogene Daten, die vom Verantwortlichen verarbeitet werden, werden ausschließlich in elektronischer Form gespeichert — auf Geräten und Systemen, die sich unter der alleinigen Kontrolle des Verantwortlichen befinden, oder bei externen Dienstleistern, die innerhalb des Europäischen Wirtschaftsraums (EWR) tätig sind und die Einhaltung der Verordnung (EU) 2016/679 (DSGVO) sowie des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus) gewährleisten.

11.2. Physische und virtuelle Orte der Datenverarbeitung und -speicherung umfassen insbesondere:

• einen verschlüsselten Laptop im Eigentum des Verantwortlichen, gesichert durch ein Passwort, vollständige Festplattenverschlüsselung und Mehrfaktor-Authentifizierung;
• ein verschlüsseltes externes Speichermedium zur regelmäßigen Erstellung von Backups, das an einem sicheren Ort aufbewahrt und vom Primärsystem getrennt ist;
• die Infrastruktur des Hosting- und E-Mail-Anbieters Zone Media OÜ (zone.ee), ansässig in Lõõtsa 5, 11415 Tallinn, Estland, mit Servern innerhalb des Hoheitsgebiets der Europäischen Union und mit Sicherheitsmaßnahmen gemäß Artikel 32 DSGVO sowie den einschlägigen Bestimmungen des Isikuandmete kaitse seadus;
• Server und Systeme zur Unterstützung der Geschäftstätigkeit des Verantwortlichen, einschließlich Dienstleistungen im Zusammenhang mit elektronischen Signaturen und administrativen Prozessen, die überwiegend innerhalb des EWR betrieben werden und dokumentierte DSGVO-Konformität gewährleisten; in Ausnahmefällen, in denen eine Verarbeitung außerhalb des EWR erfolgt, geschieht dies ausschließlich auf der Grundlage der in Artikel 46 DSGVO vorgesehenen Mechanismen, insbesondere der Standardvertragsklauseln.

Der Verantwortliche führt keine papiergebundene Dokumentation — sämtliche personenbezogenen Daten werden ausschließlich in digitaler Form verarbeitet.

11.3. Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 DSGVO und dem estnischen Datenschutzgesetz. Zu diesen Maßnahmen gehören insbesondere:

• verschlüsselte Datenübertragung (SSL/TLS);
• Verschlüsselung von Endgeräten und Speichermedien;
• beschränkter Datenzugriff, ausschließlich für den Verantwortlichen;
• Verwendung starker, eindeutiger Passwörter und Mehrfaktor-Authentifizierung;
• regelmäßige Aktualisierung von Betriebssystemen, Software und Sicherheitswerkzeugen;
• Erstellung und sichere Aufbewahrung von Datensicherungen (Backups);
• Einsatz von Firewalls und Sicherheitssoftware;
• automatische Gerätesperrung und physischer Schutz vor unbefugtem Zugriff;
• keine Nutzung privater oder ungesicherter Geräte zur Datenverarbeitung;
• ausschließliche Zusammenarbeit mit Dienstleistern, die die Einhaltung der DSGVO gewährleisten;
• Führung von Dokumentationen zu Auftragsverarbeitungsverträgen und Sicherheitsvorfällen;
• Umsetzung von Verfahren zur Reaktion auf Verletzungen des Schutzes personenbezogener Daten gemäß den Artikeln 33–34 DSGVO;
• regelmäßige Überprüfung von Sicherheitsmaßnahmen und Zugriffsrechten im Einklang mit den Grundsätzen „Privacy by Design“ und „Privacy by Default“ (Artikel 25 DSGVO).

12. Rechte der betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten

Personen, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden, haben die in der Verordnung (EU) 2016/679 (DSGVO) sowie im estnischen Datenschutzgesetz (Isikuandmete kaitse seadus) vorgesehenen Rechte. Der Verantwortliche gewährleistet die uneingeschränkte Wahrung aller Rechte der betroffenen Personen und erleichtert deren Ausübung in Übereinstimmung mit dem geltenden Recht.

Insbesondere haben Sie das Recht auf klare und transparente Informationen über die Verarbeitung Ihrer Daten sowie die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung — jeweils im Umfang und unter den Voraussetzungen der DSGVO.

12.1. Recht auf Auskunft und Erhalt von Kopien
Sie haben das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten von Ihnen verarbeitet werden, und — sofern dies der Fall ist — Zugang zu diesen Daten sowie eine Kopie der personenbezogenen Daten zu erhalten, gemäß Artikel 15 DSGVO. Wird der Antrag elektronisch gestellt, werden die Informationen in einem gängigen elektronischen Format zur Verfügung gestellt.

12.2. Recht auf Berichtigung
Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger Daten zu verlangen, gemäß Artikel 16 DSGVO. Der Verantwortliche nimmt entsprechende Korrekturen nach Prüfung der Berechtigung des Antrags vor.

12.3. Recht auf Einschränkung der Verarbeitung

a) wenn Sie die Richtigkeit der Daten bestreiten — für die Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;
b) wenn die Verarbeitung unrechtmäßig ist und Sie die Löschung der Daten ablehnen;
c) wenn der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
d) wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben — für die Dauer der Prüfung, ob die berechtigten Gründe des Verantwortlichen Ihre Interessen überwiegen.

12.4. Recht auf Löschung
Sie haben das Recht, die Löschung personenbezogener Daten in den in Artikel 17 DSGVO genannten Fällen zu verlangen, insbesondere wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn Sie Ihre Einwilligung widerrufen haben oder wenn die Verarbeitung unrechtmäßig erfolgt ist.
Dieses Recht besteht nicht, soweit die weitere Verarbeitung erforderlich ist, um rechtlichen Verpflichtungen des Verantwortlichen nachzukommen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, gemäß Artikel 17 Absatz 3 DSGVO.

12.5. Recht auf Datenübertragbarkeit
Sie haben das Recht, die personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt, gemäß Artikel 20 DSGVO.

12.6. Widerspruchsrecht
Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, wenn diese auf dem berechtigten Interesse des Verantwortlichen beruht (Artikel 6 Absatz 1 Buchstabe f DSGVO).
Nach Einlegung des Widerspruchs stellt der Verantwortliche die Verarbeitung ein, es sei denn, er weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Dieses Recht besteht nicht, soweit die Verarbeitung zur Erfüllung gesetzlicher Pflichten des Verantwortlichen erforderlich ist.

12.7. Recht auf Widerruf der Einwilligung
Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung, gemäß Artikel 7 Absatz 3 DSGVO.

12.8. Recht auf Beschwerde bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das estnische Datenschutzgesetz verstößt, haben Sie das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen, insbesondere bei:
Andmekaitse Inspektsioon (AKI) — der estnischen Datenschutzaufsichtsbehörde.

Sofern Sie Ihren Wohnsitz oder Arbeitsplatz in einem anderen Mitgliedstaat der Europäischen Union haben, können Sie gemäß Artikel 77 DSGVO auch Beschwerde bei der dort zuständigen Aufsichtsbehörde einlegen.

12.9. Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden
Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, gemäß Artikel 22 DSGVO.
Der Verantwortliche führt keine automatisierte Entscheidungsfindung und kein Profiling durch. Alle Entscheidungen in Bezug auf Kandidaten, Kunden und Geschäftspartner werden durch befugte natürliche Personen getroffen.

12.10. Ausübung der Rechte und Kontaktaufnahme mit dem Verantwortlichen
Zur Ausübung der in dieser Datenschutzerklärung genannten Rechte können Sie den Verantwortlichen insbesondere auf elektronischem Wege kontaktieren:

E-Mail: office@hansacareers.ee

Der Verantwortliche arbeitet vollständig digital und empfiehlt die elektronische Kommunikation als primäre und sicherste Form der Kontaktaufnahme in Angelegenheiten der Verarbeitung personenbezogener Daten. Die elektronische Kommunikation ermöglicht eine schnellere Bearbeitung von Anfragen und reduziert das Risiko eines unbefugten Zugriffs auf Daten.

Schriftliche Korrespondenz kann an die eingetragene Geschäftsanschrift des Verantwortlichen gerichtet werden:
Handke Holding OÜ, Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Estland

Der Verantwortliche empfiehlt jedoch ausdrücklich nicht, Dokumente mit personenbezogenen Daten — insbesondere Bewerbungsunterlagen, Kopien von Ausweisdokumenten oder sensible Informationen — per Post zu versenden. Solche Sendungen können während der postalischen Bearbeitung Risiken einer unbefugten Offenlegung mit sich bringen und entziehen sich der vollständigen Kontrolle des Verantwortlichen.

Der Verantwortliche beantwortet Anträge zur Ausübung der Rechte unverzüglich und spätestens innerhalb eines Monats nach Eingang des Antrags, gemäß Artikel 12 Absatz 3 DSGVO. In besonders komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden; die betroffene Person wird hierüber informiert.

13. Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten — verstanden als eine unbeabsichtigte oder unrechtmäßige Vernichtung, ein Verlust, eine Veränderung, eine unbefugte Offenlegung oder ein unbefugter Zugriff auf personenbezogene Daten — ergreift der Verantwortliche unverzüglich Maßnahmen, um die Auswirkungen des Vorfalls zu begrenzen und ein erneutes Auftreten zu verhindern.

Der Verantwortliche bewertet jeden Vorfall individuell und prüft dabei die Art und den Umfang der Verletzung sowie die potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen. Anschließend werden geeignete technische und organisatorische Maßnahmen umgesetzt, um die Ursache der Verletzung zu beseitigen und deren Auswirkungen zu reduzieren. Alle sicherheitsrelevanten Vorfälle werden gemäß dem Rechenschaftsprinzip nach Artikel 5 Absatz 2 der Verordnung (EU) 2016/679 (DSGVO) sowie § 25 Absatz 3 des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus) dokumentiert.

Ist eine Verletzung des Schutzes personenbezogener Daten voraussichtlich mit einem Risiko für die Rechte oder Freiheiten natürlicher Personen verbunden, meldet der Verantwortliche die Verletzung der zuständigen Aufsichtsbehörde — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden, gemäß Artikel 33 DSGVO und § 25 des estnischen Datenschutzgesetzes, es sei denn, die Verletzung führt voraussichtlich nicht zu einem solchen Risiko.

Ist die Verletzung des Schutzes personenbezogener Daten voraussichtlich mit einem hohen Risiko für die Rechte oder Freiheiten natürlicher Personen verbunden, informiert der Verantwortliche die betroffenen Personen unverzüglich über die Art der Verletzung, deren mögliche Folgen sowie über die getroffenen oder vorgeschlagenen Maßnahmen zur Abmilderung der nachteiligen Auswirkungen, gemäß Artikel 34 DSGVO.

Der Verantwortliche unterhält ein internes Verfahren zum Umgang mit Verletzungen des Schutzes personenbezogener Daten, das insbesondere die Identifizierung von Vorfällen, die Risikobewertung, Abhilfemaßnahmen sowie Melde- und Informationspflichten umfasst. Die Wirksamkeit dieses Verfahrens wird regelmäßig überprüft, um die Einhaltung der DSGVO und des estnischen Rechts sicherzustellen und ein hohes Sicherheitsniveau bei der Verarbeitung personenbezogener Daten aufrechtzuerhalten.

14. Automatisierte Entscheidungsfindung und Profiling

Der Verantwortliche führt keine automatisierte Entscheidungsfindung, einschließlich Profiling, durch, die gegenüber einer Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, im Sinne von Artikel 22 der Verordnung (EU) 2016/679 (DSGVO) sowie § 23 des estnischen Datenschutzgesetzes.

Alle Entscheidungen in Bezug auf Kandidaten, Kunden und Geschäftspartner werden von einer natürlichen Person getroffen und beruhen auf einer individuellen Bewertung der bereitgestellten Informationen, Unterlagen oder Korrespondenz. Es werden keine Entscheidungen ausschließlich auf automatisierter Basis getroffen.

Der Verantwortliche setzt kein Profiling ein, das eine automatisierte Bewertung persönlicher Merkmale, Qualifikationen, Verhaltensweisen, Präferenzen oder der beruflichen Situation zum Zweck der Entscheidungsfindung beinhaltet, sofern diese Entscheidungen rechtliche Wirkungen entfalten oder die betroffene Person erheblich beeinträchtigen würden.

Im Rahmen routinemäßiger administrativer Abläufe kann der Verantwortliche technische Hilfsmittel zu unterstützenden Zwecken einsetzen (z. B. zur E-Mail-Filterung, Organisation eingehender Nachrichten oder Klassifizierung unvollständiger Formulare). Diese Werkzeuge treffen jedoch keine eigenständigen Entscheidungen über Personen und ersetzen nicht die menschliche Beurteilung.

15. Aufsichtsbehörde

Wenn Sie Bedenken hinsichtlich der Art und Weise haben, wie Ihre personenbezogenen Daten verarbeitet werden, oder wenn Sie der Ansicht sind, dass Ihre Rechte aus der Verordnung (EU) 2016/679 (DSGVO) verletzt wurden, haben Sie das Recht, eine Beschwerde bei einer zuständigen Aufsichtsbehörde einzureichen — unabhängig von Ihrem Wohnort, Ihrem Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes — gemäß Artikel 77 DSGVO und § 21 des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus).

Für die vom Verantwortlichen durchgeführten Verarbeitungstätigkeiten ist die zuständige Aufsichtsbehörde in der Republik Estland:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — Tel.: +372 627 4135; E-Mail: info@aki.ee; Website: https://www.aki.ee.

Wenn Sie Ihren Wohnsitz oder Arbeitsplatz in einem anderen Mitgliedstaat der Europäischen Union haben, können Sie ebenfalls eine Beschwerde bei der für Ihren Wohn- oder Arbeitsort zuständigen Aufsichtsbehörde einreichen, gemäß Artikel 77 DSGVO.

Eine aktuelle Liste der Datenschutzaufsichtsbehörden in den Mitgliedstaaten der Europäischen Union ist auf der Website des Europäischen Datenschutzausschusses (EDSA) verfügbar: https://edpb.europa.eu.

Der Verantwortliche empfiehlt jedoch, sich vorab direkt mit ihm in Verbindung zu setzen, um Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu klären, vorzugsweise per E-Mail unter: office@hansacareers.ee.

Falls erforderlich, können Sie den Verantwortlichen auch schriftlich kontaktieren, indem Sie Ihre Korrespondenz an die im Handelsregister eingetragene Geschäftsadresse des Unternehmens richten. Bitte beachten Sie, dass die traditionelle Postkommunikation im Hinblick auf personenbezogene Daten mit einem erhöhten Risiko verbunden sein kann, weshalb der elektronische Kontakt weiterhin die bevorzugte Kommunikationsform darstellt.

Der Verantwortliche bemüht sich, jedes Anliegen transparent, sorgfältig und in voller Übereinstimmung mit der DSGVO sowie dem anwendbaren Recht ohne unangemessene Verzögerung zu bearbeiten.

16. Gerichtsstand und anwendbares Recht

Diese Datenschutzerklärung unterliegt dem Recht der Republik Estland und wird in Übereinstimmung mit der Verordnung (EU) 2016/679 (DSGVO) sowie dem estnischen Datenschutzgesetz (Isikuandmete kaitse seadus) ausgelegt.

Soweit nach geltendem Recht zulässig, unterliegen sämtliche Streitigkeiten oder Ansprüche im Zusammenhang mit der Verarbeitung personenbezogener Daten, der Nutzung der Website des Verantwortlichen oder den vom Verantwortlichen erbrachten Dienstleistungen der Zuständigkeit der Gerichte der Republik Estland, die für den Sitz des Verantwortlichen zuständig sind.

Die Bestimmungen dieses Abschnitts berühren nicht die Rechte von Personen, die sich aus zwingenden Vorschriften des Rechts der Europäischen Union ergeben, insbesondere aus den Verbraucherschutzvorschriften sowie den Rechten der betroffenen Personen innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, einschließlich solcher, die an ihren gewöhnlichen Aufenthalt oder ihren Arbeitsplatz anknüpfen.

17. Aktualisierungen der Datenschutzerklärung

Der Verantwortliche behält sich das Recht vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um ihre Übereinstimmung mit den geltenden Rechtsvorschriften — insbesondere der Verordnung (EU) 2016/679 (DSGVO) sowie dem estnischen Datenschutzgesetz (Isikuandmete kaitse seadus) — sicherzustellen, sowie im Zusammenhang mit Änderungen des Umfangs der Geschäftstätigkeit, der eingesetzten Technologien oder der Verfahren zur Verarbeitung personenbezogener Daten.

Es gilt stets die auf der Website des Verantwortlichen veröffentlichte Fassung der Datenschutzerklärung, die mit dem Datum der letzten Aktualisierung gekennzeichnet ist. Jede neue Fassung ersetzt mit dem Zeitpunkt ihrer Veröffentlichung alle vorherigen Versionen dieses Dokuments.

Der Verantwortliche empfiehlt den betroffenen Personen, die Datenschutzerklärung regelmäßig zu überprüfen, um sich über die jeweils aktuellen Regeln zur Verarbeitung personenbezogener Daten sowie über die ihnen zustehenden Rechte zu informieren.

Im Falle von Änderungen, die aus Sicht der betroffenen Personen wesentlich sind — insbesondere Änderungen der Zwecke oder der Rechtsgrundlagen der Verarbeitung oder Anpassungen der Kategorien der Datenempfänger — wird der Verantwortliche die betroffenen Personen in klarer und transparenter Weise darüber informieren. Diese Information kann durch einen deutlich sichtbaren Hinweis auf der Website des Verantwortlichen oder — sofern technisch möglich und sofern dem Verantwortlichen eine aktuelle E-Mail-Adresse der betroffenen Person vorliegt — per E-Mail erfolgen.

18. Marketingaktivitäten und Kontakt mit dem Verantwortlichen

Der Verantwortliche weist darauf hin, dass auf der Website keine Cookies oder anderen Tracking-Technologien eingesetzt werden und keine automatisierte Erhebung personenbezogener Daten zu Marketing- oder Analysezwecken erfolgt. Die Nutzung der Website beinhaltet weder Profiling noch eine automatisierte Verarbeitung personenbezogener Daten der Nutzer in irgendeiner Form.

Die vom Verantwortlichen durchgeführten Marketingaktivitäten beschränken sich ausschließlich auf die Bewerbung der eigenen Personalvermittlungsdienstleistungen, insbesondere durch die Veröffentlichung von Informationen und Stellenangeboten auf sozialen Medien sowie durch das Schalten von Online-Stellenanzeigen. Der Verantwortliche nutzt weder Nutzerdaten der Website noch das Verhalten der Nutzer zur Erstellung von Marketingprofilen.

Im Rahmen von Direktmarketingmaßnahmen kann der Verantwortliche Vertreter von Unternehmen im Rahmen von B2B-Geschäftsbeziehungen kontaktieren — beispielsweise unter Verwendung von Vor- und Nachnamen, Berufsbezeichnung oder geschäftlicher E-Mail-Adresse — ausschließlich zum Zweck der Vorstellung seiner Personalvermittlungsdienstleistungen. Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse des Verantwortlichen an der Durchführung seiner Geschäftstätigkeit und der Bewerbung eigener Dienstleistungen.

Jede Person, an die sich Marketingkommunikation des Verantwortlichen richtet, hat das Recht, der Verarbeitung ihrer personenbezogenen Daten zu diesem Zweck jederzeit zu widersprechen. Der Widerspruch kann durch eine E-Mail an folgende Adresse eingelegt werden: office@hansacareers.ee. Nach Eingang des Widerspruchs werden die betreffenden Daten nicht mehr für Direktmarketingzwecke verwendet.

Der Verantwortliche ermöglicht es Nutzern zudem, eigenständig Kontakt aufzunehmen — entweder über das Kontaktformular oder per E-Mail. Auf diese Weise bereitgestellte Daten, insbesondere Vor- und Nachname, E-Mail-Adresse oder der Inhalt der Nachricht, werden ausschließlich zum Zweck der Beantwortung der Anfrage, der Durchführung der Korrespondenz oder der Bearbeitung des Anliegens auf Grundlage des berechtigten Interesses des Verantwortlichen verarbeitet.

Personenbezogene Daten, die im Zusammenhang mit Marketing- und Kontaktaktivitäten verarbeitet werden, werden nicht außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt. Die Verarbeitung erfolgt unter Einhaltung der Grundsätze der Datenminimierung, Transparenz und Zweckbindung gemäß Artikel 5 Absatz 1 DSGVO.

19. Cookies und ähnliche Technologien

Die Website des Verantwortlichen verwendet keine Cookies und keine sonstigen Tracking-Technologien, die üblicherweise zu Marketing-, Werbe- oder Analysezwecken eingesetzt werden. Der Verantwortliche erhebt keine Statistiken über das Nutzerverhalten, nutzt keine Analysetools und speichert keine Informationen darüber, wie Nutzer sich auf der Website bewegen. Die Nutzung der Website beinhaltet weder Profiling noch eine Überwachung der Nutzer.

Die einzige externe Technologie, die auf der Website eingesetzt wird, ist Cloudflare Turnstile, welches ausschließlich zum Schutz der Kontaktformulare vor Spam, automatisierten Übermittlungen und Missbrauch verwendet wird. Diese Lösung verwendet keine Marketing-Cookies, verfolgt Nutzer nicht und dient nicht der Analyse des Nutzerverhaltens.

Im Rahmen des Betriebs von Cloudflare Turnstile können ausschließlich grundlegende technische Daten — wie etwa die IP-Adresse des Nutzers oder Browser-Signale — verarbeitet werden. Diese Verarbeitung erfolgt ausschließlich zum Zweck der Gewährleistung der Sicherheit des Dienstes sowie der Integrität der Formulare und beruht auf dem berechtigten Interesse des Verantwortlichen.

Da auf der Website keine Cookies eingesetzt werden, die einer Einwilligungspflicht unterliegen, ist weder die Anzeige eines Cookie-Banners noch die Einholung einer Einwilligung für die Nutzung der Website erforderlich, im Einklang mit der ePrivacy-Richtlinie sowie dem estnischen Gesetz über elektronische Kommunikation (Elektroonilise side seadus).

Sollte der Verantwortliche künftig Cookies oder ähnliche Technologien einsetzen, die einer Einwilligung bedürfen — beispielsweise zur Verbesserung der Funktionalität oder zur Erstellung anonymer Statistiken — werden die Nutzer hierüber klar und rechtzeitig sowie in Übereinstimmung mit den geltenden Rechtsvorschriften informiert. In einem solchen Fall wird die Einwilligung gemäß den Vorgaben der ePrivacy-Regelungen, der DSGVO sowie des estnischen Telekommunikationsrechts eingeholt.

Nutzer werden jederzeit die Möglichkeit haben, ihre Cookie-Einstellungen über die Einstellungen ihres Browsers oder — sofern künftig implementiert — über ein entsprechendes Cookie-Verwaltungs-Panel zu steuern.

20. Server-Logs

Die Nutzung der Website erfordert die Übermittlung von Anfragen an den Server, auf dem die Website gehostet wird. Jede Netzwerkanfrage wird automatisch in sogenannten Server-Logs gespeichert und kann insbesondere folgende technische Daten enthalten:

– die IP-Adresse des Geräts des Nutzers; – Datum und Uhrzeit der Anfrage; – Informationen über den verwendeten Browser und das Betriebssystem; – die Adresse der aufgerufenen Unterseite; – etwaige technische Fehlermeldungen.

Diese Daten sind technischer Natur und werden nicht dazu verwendet, Nutzer direkt zu identifizieren oder Nutzerprofile zu erstellen. Sie werden weder zu Marketing- noch zu Analysezwecken verarbeitet.

Server-Logs werden insbesondere zu folgenden Zwecken verarbeitet:

• Gewährleistung der Sicherheit und Stabilität der Website;
• Diagnose technischer System- oder Netzwerkfehler;
• Erkennung von Missbrauch, Eindringversuchen und Sicherheitsvorfällen.

Rechtsgrundlage für die Verarbeitung der in Server-Logs enthaltenen technischen Daten ist Artikel 6 Absatz 1 Buchstabe f DSGVO — das berechtigte Interesse des Verantwortlichen an der Gewährleistung der Sicherheit der IT-Systeme, im Einklang mit Artikel 32 DSGVO sowie § 24 des estnischen Datenschutzgesetzes (Isikuandmete kaitse seadus).

Server-Logs werden nicht länger als 90 Tage gespeichert, es sei denn, eine weitere Aufbewahrung ist aufgrund eines Sicherheitsvorfalls, von Missbrauch oder zur Abwehr oder Durchsetzung rechtlicher Ansprüche erforderlich. Nach Ablauf dieses Zeitraums werden die Daten automatisch gelöscht oder anonymisiert.