Datenschutzhinweise der Constaff GmbH zur Erstellung des Qualifikationsprofils
Für die Datenschutzhinweise betreffend die Nutzung dieser Website gilt die allgemeine Datenschutzerklärung von Constaff.
Diese finden Sie hier: https://www.constaff.com/datenschutz/
Datenschutzerklärung CV Parsing
1 Allgemeine Informationen zum Datenschutz bei Constaff
100%OpenBook, Ehrlich, Transparent, Kompetent – diese Prinzipien lebt Constaff auch im Thema Datenschutz. Ihre uns anvertrauten personenbezogenen Daten behandeln wir stets datenschutzkonform und streng vertraulich sowie im Rahmen Ihrer Einwilligungserklärung.
Basis für die Verarbeitung Ihrer Daten bildet immer die gesetzliche Grundlage. Die von Constaff getroffenen technischen und organisatorischen Maßnahmen (TOM) schützen Ihre Daten vor unerlaubtem Zugriff. Alle Constaff Mitarbeiter sind im Thema Datenschutz umfassend geschult und mit der Constaff internen Datenschutzrichtlinie vertraut. Sie werden darüber informiert, welche Ihrer Daten in dem hier thematisierten Datenverarbeitungsvorgang erhoben, verarbeitet, gespeichert und ggf. übertragen werden. Ebenso dient Ihnen diese Datenschutzerklärung dazu, Ihre persönlichen Rechte nachzuvollziehen.
Sollten Ihnen dennoch Fragen offen bleiben, steht Ihnen Constaff jederzeit zur Beantwortung zur Verfügung. Diese Datenschutzerklärung gilt ausschließlich für Constaff eigene Inhalte und kann jederzeit in aktueller Version unter www.constaff.com/datenschutz/cv-parsing/ abgerufen werden. In der vorliegenden Erklärung wird sich aus Gründen der Lesbarkeit auf die je-weils maskuline Form beschränkt. Selbstverständlich spricht Constaff alle Geschlechter (m/w/d) gleichermaßen an und schließt Diskriminierung aus
1.1 Verantwortliche Stelle
Die Constaff GmbH ist für den hier thematisierten Datenverarbeitungsvorgang der Verantwortliche gemäß Art. 4 Nr. 7 EU-DS-GVO.
Constaff GmbH
Galileistraße 1-3
D-69115 Heidelberg
Tel.: +49 6221 33896-0
Fax: +49 6221 33896-299
E-Mail: info@constaff.com
1.2 Datenschutzbeauftragter und zuständige Behörde
Den Datenschutzbeauftragten der Constaff erreichen Sie unter den folgenden Kontaktdaten:
Constaff GmbH
Galileistraße 1-3
D-69115 Heidelberg
– z.Hd. Datenschutzbeauftragter –
E-Mail: datenschutz@constaff.com
Die zuständige Aufsichtsbehörde lautet:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Heilbronner Straße 35
70191 Stuttgart
2 Beschreibung der Datenverarbeitung
Constaff möchte Experts und die passenden Projekte unserer Kunden zusammenbringen. Auf Seiten des Kunden besteht ein Interesse daran, den bestmöglichen Expert für das jeweilige Projekt einzusetzen. Deshalb möchten sich Kunden einen Überblick über die Qualifikationen der jeweiligen Experts verschaffen. Constaff versteht sich als Dienstleister für beide Seiten. Daher sehen wir es als unsere Aufgabe an, unsere (potenziellen) Experts mit möglichst aussagekräftigen Qualifikationsprofilen („Profile“) bei unseren Kunden vorzustellen. Diese Profile sollen einen schnellen Überblick erlauben, alle relevanten Angaben zu den vorliegenden Qualifikationen beinhalten und die wichtigsten Tätigkeitsgebiete bzw. Projektstationen in der Karriere des Experts prägnant nachzeichnen. Hierfür hat Constaff ein standardisiertes Layout entwickelt.
Allerdings bringen Experts in aller Regel eine Fülle an Qualifikationen mit, die sie zum Teil bereits in eigenen Lebensläufen, Projektlisten, Zertifikaten und Qualifikationsprofilen darlegen können und aufbereitet haben. Die Erscheinungsformen sind hierbei so individuell wie die Person des Experts selbst.
Constaff beabsichtigt daher, die von den Experts im Zuge eines Besetzungsprozesses übermittelten Unterlagen in das erprobte Constaff-Qualifikationsprofil umzuwandeln und dessen Erscheinungsbild hierdurch zu vereinheitlichen. Diese Unterlagen können umfassen:
- CVs / Lebensläufe
- Bestehende Qualifikationsprofile
- Tätigkeitsbeschreibungen
- Projektlisten
- und ähnliche Unterlagen
2.1 Zeitpunkt und Einwilligung
Die Erstellung eines Constaff-Qualifikationsprofils kommt nur in Betracht, wenn der betroffene Expert für ein Kundenprojekt in Frage kommt und bereits sein Interesse und sein Einverständnis mit den Konditionen (soweit bereits bekannt) bekundet hat.
Im Gespräch mit dem Expert fragt das Recruiting-Team von Constaff die Einwilligung zur Weitergabe der personenbezogenen Daten im Zuge der Vorstellung beim Kunden für das jeweilige Projekt ab. Zudem wird abgefragt, ob der Kandidat mit der Profilerstellung im Rahmen des hier beschriebenen Vorgangs einverstanden ist.
Ist dies der Fall, wird das Einverständnis durch Constaff dokumentiert und die Profilerstellung erfolgt zeitnah danach.
2.2 Profilerstellung durch Auftragsverarbeiter
Für die Profilerstellung im eigentlichen Sinne verwendet Constaff die oben beschriebenen Unterlagen, die der Expert Constaff bereitgestellt hat.
Diese werden mit der technischen Lösung des Auftragsverarbeiters
Matchical GmbH
Tegernseerstraße 15
D- 83624 Otterfing
verarbeitet. Der Auftragsverarbeiter verarbeitet die Daten nach Weisung durch Constaff. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DS-GVO, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.
Zu Beginn werden die Unterlagen des Experts über eine webbasierte Anwendung hochgeladen, die auf der Entwicklungsplattform OutSystems basiert. Die eingereichten Dateien liegen in der Regel in Formaten wie PDF oder Word (.doc /.docx) vor. Nach dem Upload werden die Dateien mithilfe eines Konvertierungsdienstes (Convert API) in ein maschinenlesbares Format überführt, das für die anschließende Analyse durch KI-Modelle geeignet ist. Diese technische Vorbereitung dient der Sicherstellung der Kompatibilität mit der nachgelagerten Verarbeitung.
Sobald die Konvertierung abgeschlossen ist, werden die Daten verschlüsselt an die Systeme von OpenAI übermittelt. Dort erfolgt die Analyse durch den Einsatz von Large Language Models (LLMs) sowie GPT-Vision. Ziel dieser Analyse ist die strukturierte Extraktion relevanter Informationen aus den unstrukturierten Unterlagen. Dazu zählen beispielsweise Angaben zu Sprachkenntnissen, Berufserfahrung, Zertifizierungen, Projekterfahrungen und weiteren berufsbezogenen Merkmalen. Eine dauerhafte Speicherung der verarbeiteten Inhalte durch OpenAI erfolgt nicht.
Nach Abschluss der Analyse werden die strukturierten Daten an die Systeme von Constaff zurückübertragen. Die Integration erfolgt in eine Anwendung, die ebenfalls auf der OutSystems-Plattform basiert. Dort können die aufbereiteten Informationen weiteren internen Verarbeitungsschritten zugeführt werden. Darüber hinaus haben autorisierte Nutzerinnen und Nut-zer die Möglichkeit, die erkannten Inhalte zu überprüfen und bei Bedarf manuell zu korrigieren oder zu ergänzen.
Mit der erfolgreichen Analyse, Rückübertragung und Integration der strukturierten Daten endet der Lebenszyklus der ursprünglich unstrukturierten Lebenslaufdaten im Rahmen der KI-gestützten Verarbeitung.
Das Ergebnis des Datenverarbeitungsvorgangs ist ein Qualifikationsprofil mit allen relevanten Angaben aus den Unterlagen des Experts im standardisierten Constaff Layout. Sowohl das zuständige Mitglied des Recruiting-Teams als auch der jeweilige Account Manager überprüfen das Endprodukt des Datenverarbeitungsvorgangs auf Fehler und nehmen notwendige Korrekturen vor, bevor das Qualifikationsprofil an den Kundenansprechpartner gesendet wird.
2.3 Kategorien verarbeiteter Daten
Wie bereits dargestellt, werden in dem hier thematisierten Datenverarbeitungsvorgang personenbezogene Daten verarbeitet, die in den Unterlagen der Experts typischerweise vorhanden sind. Wir gehen von folgenden Kategorien personenbezogener Daten aus:
| |
| |
|
2.4 Personenbezogene Daten besonderer Kategorien
Wir beabsichtigen nicht, personenbezogene Daten besonderer Kategorien im Sinne von Art. 9 Abs. 1 DS-GVO innerhalb dieses Datenverarbeitungsvorgangs zu verarbeiten. Unsere Empfehlung und Bitte an betroffene Experts lautet daher, keine personenbezogenen Daten besonderer Kategorien im Sinne von Art. 9 Abs. 1 DS-GVO an uns zu übermitteln.
Unser Recruiting-Team überprüft die Unterlagen vorab und entfernt personenbezogene Daten besonderer Kategorien vor dem Upload, soweit dies möglich ist. Die KI-Flows des Auftragsverarbeiters sind so konzipiert, dass solche sensiblen Daten nicht verarbeitet werden. Sensible Daten werden nicht als strukturierte Daten gespeichert, nur in den unstrukturierten Datensätzen (den Unterlagen) liegen sie bis zum Zeitpunkt der Löschung vor.
Sollte die betroffene Person solche Daten als Bestandteil ihrer Unterlagen übersenden, kann es in seltenen Fällen jedoch trotz der ergriffenen Maßnahmen zu einer Verarbeitung solcher personenbezogenen Daten besonderer Kategorien kommen.
Wir gehen in einem solchen Fall davon aus, dass sie mit der Verarbeitung einverstanden sind und stützen die Verarbeitung daher auf Art. 9 Abs. 2 lit. a) DS-GVO. Zudem betrachten wir die uns mitgeteilten Daten, die im Rahmen der Vorstellung auf ein Projekt an den Kunden weitergegeben werden sollen, als öffentlich gemacht im Sinne von Art. 9 Abs. 2 lit e) DS-GVO.
2.5 Technische Komponenten
Für die Durchführung dieses Prozesses werden verschiedene technische Komponenten eingesetzt: Die webbasierte Anwendung basiert auf OutSystems und dient der Erfassung und Verwaltung der Eingabedaten.
Die Konvertierung in verarbeitbare Formate erfolgt durch Convert API.
Die Analyse der Inhalte erfolgt durch die KI-Dienste von OpenAI unter Einsatz von LLMs und GPT-Vision. Auch das LLM von Google Inc. (Gemini) kann hierfür zum Einsatz kommen.
2.6 Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt genehmigte Unterauftragsverarbeiter ein. Diese sind zum Teil in Drittstaaten ansässig. Allesamt sind daher entweder nach dem Data Privacy Framework (DPF) zertifiziert und / oder haben mit dem Auftragsverarbeiter die genehmigten Standarddatenschutzklauseln der EU-Kommission im jeweiligen Modul abgeschlossen. Durch zahlreiche angemessene technische und organisatorische Maßnahmen ist sowohl der Datentransfern an die Unterauftragsverarbeiter sowie die Datenverarbeitung durch diese abgesichert. Im Folgenden erhalten Sie eine Übersicht über die Unterauftragsverarbeiter, die Absicherung bei Drittstaatentransfer und einen Link zu den Datenschutzbestimmungen des Unterauftragsverarbeiters.
| Unterauftragsverarbeiter | Absicherung Datentransfer | Datenschutzbestimmungen |
|---|---|---|
410 Terry Avenue North Seattle WA 98109 United States Cloud Services | DPF zertifiziert SCC Modul III abgeschlossen | https://aws.amazon.com/de/privacy/ |
Sitz: 1st Floor, The Liffey Trust Centre 117 126 Sheriff Street Upper, Dublin 1, D01 YC43 Irland Firmennummer: 737350 Bereitstellung des LLMs über die OpenAI API, Verwendung künstlicher Intelligenz für Datenextraktion und Strukturierung | SCC Modul III abgeschlossen | https://openai.com/de-DE/policies/row-privacy-policy/ |
Lauksargio g. 111 LT 10105 Vilnius Litauen Konvertierung von Dateiformaten | SCC Modul III abgeschlossen | https://www.convertapi.com/compliance |
1600 Amphitheatre Parkway Mountain View, CA 94043 USA Internetdienstleistungen, Cloud Computing | DPF zertifiziert SCC Modul II abgeschlossen | https://policies.google.com/privacy?hl=en |
1801 California Street, Suite 500 Denver, CO 80202 USA E-Mail-Zustelldienste | DPF zertifiziert | https://www.twilio.com/en-us/legal/privacy |
152 Motelena Court Mountain View, CA 94040 USA Datenmanagement für KI / RAG | SCC Modul III abgeschlossen | https://www.llamaindex.ai/legal/privacy-notice |
(Simple Casual, LLC) 205 S Avenue 63 Los Angeles, CA, 90042-3605 United States Logo API-Dienst zum Abruf und Einfügen von Firmenlogos | SCC Modul III abgeschlossen | https://www.logo.dev/legal/privacy |
169 Madison Avenue, New York, NY 10016 USA (Sunset Q3 2025) Aggregierte KI-Modell API | SCC Modul III abgeschlossen | https://openrouter.ai/privacy |
Rua Central Park, 2, 2795-242 Linda-a-Velha, Portugal Entwicklungsplattform, Cloud Services | Kein Drittstaatentransfer | https://www.outsystems.com/legal/terms-of-use/privacy-statement/ |
Utrechtsestraat 28-1 1017 VN Amsterdam Niederlande Vector Datenbanken | Kein Transfer personenbezogener Daten | https://weaviate.io/privacy |
2.7 Technische und organisatorische Maßnahmen
Die durchgeführte Datenschutzfolgenabschätzung ergibt ein geringes Restrisiko für die Rechte und Freiheiten der betroffenen Personen. Die ergriffenen Schutzmaßnahmen sind diesem Restrisiko angemessen und werden durch künftige Einstellungsmöglichkeiten weiter reduziert.
Constaff hat vor Beauftragung das Portfolio der technischen und organisatorischen Maßnahmen geprüft, welche beim Auftragsverarbeiter und dessen Unterauftragsverarbeitern zum Einsatz kommen. Die ergriffenen technischen und organisatorischen Maßnahmen schaffen ein Schutzniveau, welches nach Art. 32 DS-GVO dem (Rest-)Risiko für die Betroffenen angemessen ist.
Die Daten werden verschlüsselt übertragen und gespeichert. Wo möglich, wurden Region-Locks bzw. EU-Endpoints aktiviert, sodass die Daten den EWR nicht verlassen (Google Gemini, SendGrid, OpenAI: EU Residency geplant, derzeit noch nicht aktiv). Darüber hinaus wurden die Speicherdauern begrenzt (24h Google Gemini, ConvertAPI Auto-Löschung < 3h, LlamaParse Auto-Löschung < 48h, OpenAI 30 Tage – Zero-Retention geplant). Die KI-Prompts enthalten zudem ausschließlich berufsbezogene Inhalte. Es sind dem Stand der Technik entsprechende und dem Risiko angemessene IT-Sicherheitsmaßnahmen installiert.
Daneben sind angemessene organisatorische Maßnahmen ergriffen. Sowohl bei Constaff als auch bei Matchical als Auftragsverarbeiter werden Mitarbeiter auf die Einhaltung der Datenschutzregelungen verpflichtet. Zudem finden regelmäßige Schulungen statt. Es bestehen Rollen- und Zugriffsrechtekonzepte. Die mit der Datenverarbeitung betrauten Mitarbeiter sind durch geeignete Vereinbarungen zu Vertraulichkeit verpflichtet.
Der Auftragsverarbeiter hat sich zudem dazu verpflichtet, jährliche Transfer Impact Assessments durchzuführen und die Datenschutzeinstellung zu modifizieren, sofern datenschutzfreundlichere Einstellungsmöglichkeiten verfügbar werden.
3 Kein Profiling oder autom. Entscheidungsfindung
Der vorstehend beschriebene Datenverarbeitungsvorgang stellt kein Profiling im Sinne von Art. 4 Nr. 4 DS-GVO dar. „Profiling“ meint jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Dies findet nicht statt. Die Unterlagen der Experts werden nicht bewertet und auch keine Aspekte der Person analysiert oder vorhergesagt. Die bereitgestellten Daten werden lediglich in ein anderes Format gebracht und hierfür zuvor in strukturierte Daten umgewandelt.
Ebenso mündet der Datenverarbeitungsvorgang in keinerlei automatisierte Entscheidung im Sinne von Art. 22 DS-GVO. Die Entscheidung, ob ein Expert in einem Projekt eingesetzt wird, trifft der jeweilige Kunde, sofern der Expert ebenfalls dem Vertragsschluss zustimmt. Die Entscheidung, einen Expert vorzustellen, wird durch das Recruiting-Team bereits getroffen, bevor das Profil erstellt wird. Auch hier hat der Expert das letzte Wort darüber, ob er mit der Vorstellung einverstanden ist.
Wir betonen auch, dass die erstellten Constaff-Qualifikationsprofile nicht mit einem Score oder einem sonstigen Wert versehen werden, der eine Aussage über die Wertigkeit des Profils, die Qualifikationen oder die Person des Experts trifft. Ein Ranking – welcher Form auch immer – findet nicht statt.
4 Speicherdauer
Wir bewahren die erstellten Qualifikationsprofile auf Grundlage der Einwilligung des betroffenen Experts auf unbestimmte Zeit auf. Dies hat den Hintergrund, dass wir Qualifikationsprofile nicht nur einmalig, sondern auch künftig für den Zweck verwenden, den Expert in IT-Projekte oder Projekte aus dem IT-nahen Umfeld zu vermitteln. Dies gilt nicht, wenn die Einwilligung zur Erstellung des Qualifikationsprofils nur bezüglich des konkreten Vorstellungsprozesses erteilt wurde. In diesem Fall wird das Qualifikationsprofil nach Ende des Vorstellungsprozesses gelöscht, sofern keine Aufbewahrungspflichten bestehen.
Sollte ein Löschantrag des betroffenen Experts eingehen, werden sämtliche bei uns zu diesem Expert gespeicherten personenbezogenen Daten – einschließlich des Qualifikationsprofils – unverzüglich gelöscht, sofern keine Aufbewahrungspflichten bestehen.
Die Aufbewahrungsdauer der Daten innerhalb des Verarbeitungsvorgangs bei den (Unter-) Auftragsverarbeitern ist unter Punkt 2.5 näher dargelegt. Wo dies möglich ist, sind automatische Löschzyklen eingerichtet, die die Speicherdauer technisch begrenzen.
Wir löschen die personenbezogenen Daten in jedem Fall, wenn wir aufgrund gerichtlicher oder behördlicher Entscheidung oder aufgrund Gesetzes hierzu verpflichtet sind.
5 Ihre Rechte
Datenschutz ist Vertrauenssache und wir nehmen Ihre Rechte hinsichtlich Ihrer personenbezogenen Daten ernst. Zur Ausübung Ihrer Rechte senden Sie uns bitte eine E-Mail an datenschutz@constaff.com oder wenden Sie sich schriftlich an die verantwortliche Stelle.
Folgende Rechte stehen Ihnen als Betroffener zu:
5.1 Recht auf Auskunft (Art. 15 DS-GVO)
Sie haben das Recht, eine Auskunft darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen, z.B. die Verarbeitungszwecke, die Empfänger und die geplante Dauer der Speicherung.
5.2 Recht auf Berichtigung und Vervollständigung (Art. 16 DS-GVO)
Sie haben das Recht, unverzüglich die Berichtigung unrichtiger Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.
5.3 Recht auf Löschung (Art. 17 DS-GVO)
Sie haben ein Recht auf Vergessenwerden bzw. zur Löschung Ihrer Daten, soweit die Verarbeitung nicht erforderlich ist. Dies ist beispielsweise der Fall, wenn Ihre Daten für die ursprünglichen Zwecke nicht mehr notwendig sind, Sie Ihre datenschutzrechtliche Einwilligungserklärung widerrufen haben oder die Daten unrechtmäßig verarbeitet wurden. Dem Recht auf Löschung können ggf. Aufbewahrungsrechte und -pflichten gegenüberstehen. Wir sind z.B. gesetzlich dazu verpflichtet, Vertragsunterlagen und Steuerunterlagen sowie andere geschäftliche Unterlagen (auch elektronischer Natur) über einen bestimmten Zeitraum aufzubewahren. Aufbewahrungsrechte sind in Art. 17 Abs. 3 DS-GVO geregelt, beispielsweise zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Art. 17 Abs. 3 lit. e DS-GVO.
5.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Das bedeutet, dass Sie von uns die Einschränkung der Verarbeitung verlangen können, wenn eine der in Art. 18 Abs. 1 DS-GVO aufgeführten Voraussetzungen gegeben ist. Das kann beispielsweise der Fall sein, wenn Sie die Richtigkeit der personenbezogenen Daten bestreiten. In diesem Fall erfolgt die Einschränkung für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Einschränkung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
5.5 Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
5.6 Recht auf Widerspruch (Art. 21 DS-GVO)
Sie sind berechtigt, Ihre Einwilligungserklärung jederzeit ganz oder teilweise mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der Verarbeitung Ihrer Daten bis zum Widerruf bleibt von einem Widerruf unberührt. Ein Widerruf wird von uns protokolliert.
Daten, die aufgrund einer Einwilligung von uns verarbeitet werden, werden nach wirksamem Widerruf unverzüglich von uns gelöscht, sofern keine Aufbewahrungspflichten für diese Daten bestehen.
5.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DS-GVO)
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.