Datenschutzerklärung
Stand: 2026/06/09
Mit dieser Datenschutzerklärung informieren wir Sie gemäß Art. 12 ff. der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir im Zusammenhang mit WiseMatcher verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen zustehen. WiseMatcher ist ein KI-gestützter Dienst, der sich an gewerbliche Kunden (insbesondere Personalvermittler und Recruiter) richtet. Auf den Rechtsseiten sprechen wir Sie daher förmlich mit „Sie" an.
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne der DSGVO
Alignya Solutions LLP (nachfolgend „WiseMatcher", „wir" oder „uns")5307 Victoria Drive #978
Vancouver, BC, Kanada
E-Mail: hi@wisematcher.com
Der Verantwortliche hat seinen Sitz in Kanada, also außerhalb des Europäischen Wirtschaftsraums (EWR). Da wir unsere Leistungen gezielt Personen und Unternehmen im EWR – insbesondere in Deutschland – anbieten, unterliegen wir gemäß Art. 3 Abs. 2 DSGVO dem Anwendungsbereich der DSGVO.
Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, soweit hierzu keine gesetzliche Pflicht (insbesondere nach Art. 37 DSGVO, § 38 BDSG) besteht. In allen Datenschutzangelegenheiten erreichen Sie uns unter hi@wisematcher.com.
2. Überblick und Begriffe
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Verarbeitung ist jeder Vorgang im Zusammenhang mit solchen Daten, etwa das Erheben, Speichern, Auslesen, Verwenden oder Löschen. Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung entscheidet; ein Auftragsverarbeiter verarbeitet Daten weisungsgebunden im Auftrag eines Verantwortlichen (Art. 28 DSGVO). Betroffene Person ist diejenige Person, deren Daten verarbeitet werden.
Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Eine Verarbeitung erfolgt nur, wenn eine gesetzliche Erlaubnis vorliegt, insbesondere zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), aufgrund unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
3. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter
Bei der Nutzung von WiseMatcher sind zwei datenschutzrechtliche Rollen zu unterscheiden:
- WiseMatcher als Verantwortlicher: Für die Daten unserer Kunden selbst – also Konto- und Registrierungsdaten, Abrechnungsdaten, Support-Kommunikation sowie Daten von Besuchern unserer Website – sind wir Verantwortlicher und entscheiden über Zwecke und Mittel der Verarbeitung.
- WiseMatcher als Auftragsverarbeiter: Für die Lebensläufe der Kandidatinnen und Kandidaten, die unsere Kunden hochladen, agieren wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Verantwortlicher für diese Kandidatendaten ist der jeweilige Kunde (z. B. der Personalvermittler), der die Daten in unser System einstellt.
Für die Auftragsverarbeitung der Kandidatendaten schließen wir mit unseren Kunden einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Darin verpflichten wir uns, die Daten ausschließlich nach Weisung des Kunden zu verarbeiten, geeignete technische und organisatorische Maßnahmen zu treffen und Unterauftragsverarbeiter nur unter den Voraussetzungen des Art. 28 Abs. 2 und 4 DSGVO einzusetzen. Der Kunde sichert seinerseits zu, dass er für das Hochladen und Verarbeitenlassen der Lebensläufe über eine gültige Rechtsgrundlage (z. B. eine Einwilligung der betroffenen Kandidaten oder ein anderes berechtigtes Verarbeitungsfundament) verfügt und seine eigenen Informationspflichten gegenüber den Kandidaten erfüllt.
Für die in diesem Abschnitt 3 beschriebene Auftragsverarbeitung gelten die Regelungen des jeweiligen AVV vorrangig. Die nachfolgende Beschreibung der Verarbeitungstätigkeiten betrifft, soweit nicht ausdrücklich anders gekennzeichnet, unsere Tätigkeit als Verantwortlicher.
4. Verarbeitungstätigkeiten im Überblick
Die folgende Tabelle gibt einen strukturierten Überblick über die wesentlichen Verarbeitungstätigkeiten, jeweils mit Zweck, Rechtsgrundlage und Speicherdauer. Einzelheiten zur Matching-Pipeline finden Sie ergänzend in Abschnitt 5.
| Verarbeitung | Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Aufruf der Website / Server-Logs | IP-Adresse, Datum/Uhrzeit, abgerufene URL, Referrer, Browser-/Geräteinformationen | Bereitstellung und Stabilität der Website, IT-Sicherheit, Abwehr von Angriffen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, störungsfreiem Betrieb) | Server-Logs werden nach einer kurzen, begrenzten Speicherdauer gelöscht oder anonymisiert |
| Konto / Registrierung | Name, E-Mail-Adresse, Passwort (als Hash), Konto- und Profileinstellungen, ggf. Google-Anmeldedaten | Bereitstellung des Nutzerkontos, Authentifizierung, Vertragsdurchführung | Art. 6 Abs. 1 lit. b DSGVO (Vertrag); bei Google-Login Art. 6 Abs. 1 lit. a/b DSGVO | Für die Dauer des Vertragsverhältnisses; Löschung nach Kontoauflösung vorbehaltlich gesetzlicher Aufbewahrungsfristen |
| Zahlungsabwicklung (Stripe) | Name, E-Mail, Rechnungs-/Abonnementdaten, Zahlungs- und Transaktionsdaten (Kartendaten werden ausschließlich bei Stripe verarbeitet) | Abwicklung von Zahlungen und Abonnements, Rechnungsstellung, Betrugsprävention | Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten) | Rechnungs- und Buchungsdaten i. d. R. bis zu 10 Jahre (§ 147 AO, § 257 HGB) |
| Support / Kontakt | Name, E-Mail-Adresse, Inhalt der Anfrage und Kommunikation | Bearbeitung von Anfragen, Kundenbetreuung | Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente Kommunikation) | Bis zur abschließenden Bearbeitung der Anfrage; danach Löschung, soweit keine Aufbewahrungspflichten bestehen |
| Reichweitenmessung (PostHog) | Pseudonyme Nutzungs-/Ereignisdaten, gekürzte IP, Geräte-/Browserdaten; Personenprofile nur für angemeldete Nutzer | Analyse und Verbesserung von Website und Produkt, Fehlerdiagnose | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO, soweit nur technisch erforderlich | Bis zum Widerruf der Einwilligung bzw. nach den Löschfristen des Dienstes (siehe Abschnitt 8) |
| Matching-Pipeline (Kandidaten-Lebensläufe) – Auftragsverarbeitung | Aus Lebensläufen extrahierter Text (z. B. Name, Kontaktdaten, Werdegang, Qualifikationen; ggf. besondere Kategorien i. S. d. Art. 9 DSGVO), Suchauftrags-Konfiguration, Treffer/Match-Ergebnisse | Automatisierter Abgleich passender Stellen gegen die Lebensläufe und Versand der Treffer an die vom Kunden gewählte Empfängeradresse | Im Auftrag des Kunden (Art. 28 DSGVO); Rechtsgrundlage gegenüber den Kandidaten verantwortet der Kunde (z. B. Einwilligung, Art. 6 Abs. 1 lit. a / ggf. Art. 9 Abs. 2 lit. a DSGVO) | Für die Dauer der Nutzung des jeweiligen Suchauftrags; Löschung gemäß AVV und Abschnitt 5/8, spätestens nach Vertragsende |
5. Kernstück: Lebenslauf-Upload und KI-Matching
Der zentrale Verarbeitungsvorgang von WiseMatcher ist der Abgleich von Stellenangeboten gegen die von unseren Kunden hochgeladenen Lebensläufe. Diesen Prozess gestalten wir bewusst datensparsam und EU-zentriert. Im Einzelnen gilt:
- Keine Aufbewahrung der PDF-Datei. Die hochgeladene Lebenslauf-Datei (PDF) wird nicht dauerhaft gespeichert und nicht aufbewahrt.
- Textextraktion beim Upload. Beim Hochladen wird aus dem Lebenslauf der Text extrahiert. Nur dieser extrahierte Text – nicht die Originaldatei – wird für das weitere Matching verwendet.
- Speicherung auf Servern in der EU. Die extrahierten Daten werden auf Servern innerhalb der Europäischen Union gespeichert.
- Verarbeitung durch eine in der EU gehostete KI. Für den Abgleich (das Matching) setzen wir eine in der EU gehostete Künstliche Intelligenz ein. Die Daten verbleiben hierfür im EU-Verarbeitungsraum.
Keine Nutzung zum Training fremder KI-Modelle. Die im Rahmen des Matchings verarbeiteten Lebenslauf- und Kandidatendaten werden nicht zum Training fremder oder allgemeiner KI-Modelle verwendet. Es findet zu diesem Zweck keine Übermittlung in unsichere Drittländer statt; die KI-gestützte Verarbeitung erfolgt im EU-Verarbeitungsraum.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Lebensläufe können besondere Kategorien personenbezogener Daten enthalten (z. B. Angaben, aus denen sich Gesundheit, Religion, Gewerkschaftszugehörigkeit, ethnische Herkunft oder politische Meinungen ableiten lassen). Da WiseMatcher diese Daten als Auftragsverarbeiter im Auftrag des Kunden verarbeitet, ist der Kunde dafür verantwortlich, eine tragfähige Rechtsgrundlage – insbesondere eine ausdrückliche Einwilligung der Kandidaten nach Art. 9 Abs. 2 lit. a DSGVO – sicherzustellen und nur solche Lebensläufe hochzuladen, für deren Verarbeitung er berechtigt ist.
Keine automatisierte Entscheidung mit rechtlicher Wirkung (Art. 22 DSGVO). Das Matching dient ausschließlich der Vorauswahl bzw. dem Vorschlag passender Stellen. Es findet keine ausschließlich automatisierte Entscheidung statt, die gegenüber den Kandidaten rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine Personalauswahlentscheidung trifft stets der Kunde durch einen Menschen.
6. Empfänger und Unterauftragsverarbeiter
Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein, die Daten in unserem Auftrag bzw. als Unterauftragsverarbeiter verarbeiten. Mit diesen Dienstleistern bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung (Art. 28 DSGVO). Eingesetzt werden insbesondere:
- Stripe – Zahlungs- und Abonnementabwicklung.
- EU-gehostetes Datenbank-/Hosting (Datenbank- und Webhosting in einer EU-Region) – Speicherung und Bereitstellung der Anwendungsdaten.
- E-Mail-Versanddienst (SMTP/Transaktions-E-Mail) – Versand von System- und Transaktions-E-Mails sowie der Matching-Ergebnisse.
- Inngest – Orchestrierung und Steuerung der automatisierten Matching-Abläufe (Job-Verarbeitung).
- EU-gehosteter KI-Anbieter – KI-gestützter Abgleich (Matching-Schritt) im EU-Verarbeitungsraum.
- Reichweitenmessung/Produktanalyse (PostHog) – pseudonyme Analyse der Produkt- und Websitenutzung (EU-Hosting).
Eine aktuelle Übersicht der eingesetzten Unterauftragsverarbeiter stellen wir unseren Kunden im Rahmen des AVV zur Verfügung. Darüber hinaus geben wir personenbezogene Daten nur weiter, wenn dies gesetzlich zulässig ist, etwa zur Erfüllung rechtlicher Verpflichtungen oder gegenüber Behörden im Rahmen geltender Vorschriften.
7. Übermittlung in Drittländer
Die im Rahmen der Matching-Pipeline verarbeiteten Daten (extrahierter Lebenslauf-Text) werden grundsätzlich auf Servern innerhalb der EU gespeichert und durch eine in der EU gehostete KI verarbeitet; insoweit findet keine Übermittlung in ein Drittland statt.
Der Verantwortliche selbst (Alignya Solutions LLP) ist in Kanada ansässig. Soweit personenbezogene Daten an den kanadischen Verantwortlichen übermittelt werden, stützt sich diese Übermittlung auf den Angemessenheitsbeschluss der Europäischen Kommission für Kanada (Entscheidung 2002/2/EG), der für kommerzielle Organisationen gilt, die dem kanadischen Datenschutzgesetz PIPEDA unterliegen. Für Übermittlungen, die nicht von einem Angemessenheitsbeschluss gedeckt sind, setzen wir geeignete Garantien im Sinne des Art. 46 DSGVO ein, insbesondere Standardvertragsklauseln der Europäischen Kommission.
8. Cookies und Reichweitenmessung
Wir verwenden technisch notwendige Cookies bzw. vergleichbare Technologien, die für den Betrieb der Website und die Anmeldung erforderlich sind (z. B. zur Speicherung der Spracheinstellung und zur Aufrechterhaltung Ihrer Anmelde-Sitzung). Die Rechtsgrundlage hierfür ist § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO; ein gesondertes Einverständnis ist hierfür nicht erforderlich.
Zur Analyse und Verbesserung unseres Angebots setzen wir das Produkt- und Reichweitenanalyse-Werkzeug PostHog (EU-Hosting) ein. PostHog erhebt pseudonyme Nutzungs- und Ereignisdaten; Personenprofile werden grundsätzlich nur für angemeldete (identifizierte) Nutzer angelegt. Soweit dabei nicht ausschließlich technisch notwendige Cookies oder Speichertechnologien zum Einsatz kommen, erfolgt der Einsatz auf Grundlage Ihrer Einwilligung (§ 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.
9. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen die folgenden Rechte zu. Sie können diese uns gegenüber unter hi@wisematcher.com oder gegenüber unserem EU-Vertreter (Abschnitt 1) geltend machen:
- Auskunft (Art. 15 DSGVO) – über die zu Ihrer Person verarbeiteten Daten.
- Berichtigung (Art. 16 DSGVO) – unrichtiger oder unvollständiger Daten.
- Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden", soweit keine Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
- Widerspruch (Art. 21 DSGVO) – gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen, aus Gründen Ihrer besonderen Situation.
Widerruf von Einwilligungen: Soweit eine Verarbeitung auf Ihrer Einwilligung beruht (Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Beschwerderecht bei einer Aufsichtsbehörde: Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem EU-Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Hinweis: Betrifft Ihre Beschwerde die Verarbeitung von Kandidaten-Lebensläufen, ist hierfür datenschutzrechtlich der jeweilige Kunde als Verantwortlicher zuständig; wir leiten Sie in diesem Fall gerne an die richtige Stelle weiter.
10. Speicherdauer
Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Konkrete Fristen ergeben sich aus der Tabelle in Abschnitt 4. Insbesondere werden hochgeladene PDF-Dateien nicht aufbewahrt (Abschnitt 5); der extrahierte Text wird für die Dauer der Nutzung des jeweiligen Suchauftrags vorgehalten und anschließend bzw. spätestens bei Vertragsende nach Maßgabe des AVV gelöscht. Rechnungs- und Buchungsdaten unterliegen den steuer- und handelsrechtlichen Aufbewahrungsfristen (i. d. R. bis zu zehn Jahre).
11. Erforderlichkeit der Bereitstellung
Für den Abschluss und die Durchführung des Vertrags ist die Bereitstellung bestimmter Daten (z. B. Name, E-Mail-Adresse, Zahlungsdaten) erforderlich. Ohne diese Daten können wir das Nutzerkonto nicht bereitstellen, Zahlungen nicht abwickeln und den Dienst nicht erbringen. Für das Hochladen von Lebensläufen handelt es sich nicht um Daten betroffener Kandidaten, die diese uns gegenüber bereitstellen müssten; insoweit obliegt es dem Kunden, gegenüber seinen Kandidaten über Erforderlichkeit und Folgen zu informieren.
12. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald sich die Rechtslage, unsere Dienste oder die Datenverarbeitung ändern. Es gilt jeweils die auf dieser Seite veröffentlichte aktuelle Fassung. Der Stand dieser Erklärung ist unten angegeben.
13. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter hi@wisematcher.com. Den EU-Vertreter gemäß Art. 27 DSGVO erreichen Sie über die in Abschnitt 1 genannten Kontaktdaten.
Stand: 09.06.2026