Sicherheit & Compliance
GlobalMatch verarbeitet sensible Beschäftigungsdaten und betreibt KI, die die EU als Hochrisiko einstuft. Diese Seite erklärt verständlich, wie wir DSGVO und EU AI Act umsetzen — und welche Rechte Sie haben, wenn Sie mit uns zu tun haben.
Sämtliche Verarbeitung erfolgt in der EU. Keine Übermittlungen in Drittländer.
Datenminimierung, Zweckbindung und Art. 25 Datenschutz durch Technikgestaltung von Tag eins.
Wir behandeln unser Recruiting-System als Hochrisiko (Anhang III) und erfüllen die zugehörigen Pflichten.
DSGVO — Datenschutz-Grundverordnung
Für unsere Marketing-Seite (diese Seite, Anmeldeformulare, Gründerkommunikation) sind wir Verantwortlicher. Für die Kandidatenverarbeitung im Produkt ist das einsetzende Unternehmen Verantwortlicher und wir sind Auftragsverarbeiter nach Art. 28 (mit AVV). Beide Beziehungen unterliegen der DSGVO.
Rechtsgrundlage
Early-Access-Anmeldungen: ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a). Kandidatenbewertung im Produkt: Vertragserfüllung gegenüber dem Arbeitgeber sowie dessen berechtigtes Interesse, mit strikter Zweckbindung. Wir nutzen Daten niemals außerhalb der Personalentscheidung.
Was wir erheben
Von dieser Seite: Name, E-Mail, optional Unternehmen oder gesuchte Rolle, Sprache und Quelle der Anmeldung. Von Kandidat:innen im Produkt: nur das, was der Arbeitgeber anfordert — Lebenslauf, strukturierte Interviewantworten, Bewertungsartefakte. Kein biometrisches Profiling, keine abgeleiteten sensiblen Kategorien über das hinaus, was die Person freiwillig preisgibt.
Speicherdauer
Marketing-Leads: bis zur Abmeldung oder 24 Monate ohne Aktivität, dann Löschung. Kandidatendaten: Löschung auf Weisung des Arbeitgebers, mit voreingestellten Speicherzeiträumen pro Rolle, pro Workspace konfigurierbar.
Auftragsverarbeiter
Resend (E-Mail-Versand, EU-Region), Vercel (Hosting, Frankfurt-Region für die Landing), AWS (eu-central-1 für Produktdaten) sowie eine kleine Liste von Unterauftragsverarbeitern unter /datenschutz. Alle abgedeckt durch AVV mit SCC, wo erforderlich.
Sicherheit
Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256). Least-Privilege-Zugriff. Jährliche Penetrationstests nach Verlassen der geschlossenen Beta. Mandantentrennung. Fälschungssichere Audit-Logs.
DSFA
Wir pflegen eine Datenschutz-Folgenabschätzung (Art. 35) für den KI-gestützten Screening-Prozess und teilen sie mit Arbeitgebern, die sie für ihre eigene DSFA benötigen.
EU AI Act — Hochrisiko-KI im Recruiting
Der EU AI Act (Verordnung 2024/1689) klassifiziert KI-Systeme im Recruiting und in der Personalauswahl als Hochrisiko (Anhang III, Nr. 4). Als Anbieter erfüllen wir — als Verwender erhalten Sie — Folgendes:
Risikomanagement-System (Art. 9)
Dokumentiertes Risikoregister zu Bias, halluzinierten Fähigkeiten, Data Poisoning und Modellverschlechterung. Risiken werden vor jedem Release neu bewertet und jährlich extern auditiert.
Datenqualität & -Governance (Art. 10)
Kuratiertes Training und Evaluierungssets, dokumentierte Herkunft sowie laufende Prüfungen auf Repräsentativität und Bias über Alter, Geschlecht, Nationalität und Behinderung, soweit rechtlich erfassbar.
Technische Dokumentation (Art. 11)
Wir pflegen die technische Dokumentation nach Anhang IV: Systemarchitektur, Datensätze, Leistungskennzahlen, bekannte Einschränkungen, Post-Market-Monitoring. Auf Anfrage unter NDA einsehbar.
Protokollierung (Art. 12)
Automatisierte, fälschungssichere Logs jeder Modellausführung: Eingaben, Ausgaben, Bewertungsbegründung, menschliche Korrekturen. Aufbewahrung für die Dauer des Bewerbungsprozesses plus den von Ihrer Aufsichtsbehörde geforderten Audit-Zeitraum.
Transparenz gegenüber Verwendern (Art. 13)
Wir stellen ein Nutzungshandbuch bereit: vorgesehener Zweck, Genauigkeitsmetriken, bekannte Verzerrungen, Maßnahmen menschlicher Aufsicht sowie die auf Ihrer Seite erforderlichen technischen und organisatorischen Maßnahmen.
Menschliche Aufsicht (Art. 14)
Im Produkt eingebaut, nicht angehängt. Recruiter sehen strukturierte Belege neben jeder Bewertung. Automatische Ablehnung ist technisch deaktiviert. Überstimmung und Erklärung sind erstklassige Workflows.
Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
Dokumentierte Genauigkeitsschwellen, Modellversionierung, Monitoring auf adversariale Prompts und ein koordiniertes Programm zur Schwachstellenmeldung.
Pflichten der Verwender (Art. 26)
Wir unterstützen bei Ihren Art.-26-Pflichten: Zuweisung menschlicher Aufsicht, Informationspflichten gegenüber Kandidat:innen, Vorlagen für die Grundrechte-Folgenabschätzung sowie Monitoring-Leitfäden.
Grundrechte-Folgenabschätzung (Art. 27)
Öffentliche Stellen sowie bestimmte Kredit- und Beschäftigungsanwendungen müssen vor dem Einsatz eine GFA durchführen. Wir stellen eine Startvorlage entlang der Leitlinien der Europäischen Kommission bereit.
Ihre Rechte
Wenn Sie sich auf dieser Seite angemeldet haben oder von einem Arbeitgeber per GlobalMatch bewertet wurden, haben Sie die folgenden Rechte. Wir antworten innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO.
- Auskunftsrecht (Art. 15) — Kopie aller bei uns gespeicherten Daten.
- Berichtigung (Art. 16) — Korrektur falscher Angaben.
- Löschung (Art. 17) — Recht auf Vergessen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Einschränkung (Art. 18) — Aussetzung der Verarbeitung während Klärung.
- Datenübertragbarkeit (Art. 20) — Export in maschinenlesbarem Format.
- Widerspruch (Art. 21) — auch gegen Verarbeitung auf Grundlage berechtigter Interessen.
- Recht, nicht ausschließlich automatisiert entschieden zu werden (Art. 22) — produktseitig garantiert, unabhängig vom Arbeitgeber.
- Recht auf eine aussagekräftige Erklärung jeder KI-gestützten Entscheidung, die Sie betrifft (AI Act Art. 86).
E-Mail an dpo@globalmatch.tech (TODO — ersetzen durch echten DSB-Kontakt). Sie können sich auch bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) oder Ihrer lokalen Aufsichtsbehörde beschweren.
Diese Seite hat informativen Charakter. Sie ist keine Rechtsberatung und ersetzt nicht die Datenschutzerklärung unter /de/datenschutz oder unseren Auftragsverarbeitungsvertrag, die gemeinsam jede vertragliche Beziehung regeln.