Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten innerhalb dieser Plattform („Tschugg Recruiting Suite“) ist:

Fabian Tschugg
Starkenhofer Str. 23, 88410 Bad Wurzach
E-Mail: info@tschugg-consulting.de, Telefon: +49 152 08261713

Technischer Betrieb, Hosting und Software-Entwicklung erfolgen im Auftrag durch Sascha Dargel — Marketing, Strategie & Struktur, Achbergstr. 21/3, 88410 Bad Wurzach (mail@werwolf.media) als Auftragsverarbeiter gemäß Art. 28 DSGVO.

2. Geltungsbereich

Diese Erklärung gilt für die Nutzung der Plattform durch das Tschugg-Team, durch Mandanten (Kunden von Tschugg) und für die im Rahmen von Recruiting-Kampagnen verarbeiteten Bewerberdaten. Mandanten sind für die von ihnen eingestellten Bewerber- und Unternehmensdaten datenschutzrechtlich mitverantwortlich; Tschugg bzw. der Auftragsverarbeiter handeln insoweit auf deren Weisung.

3. Hosting & Speicherort

Die Anwendung und die Datenbank werden auf Servern in Deutschland betrieben (Hetzner Online GmbH). Hochgeladene Dateien und Bilder werden in einem S3-kompatiblen Objektspeicher der Hetzner Online GmbH (Standort Deutschland/EU) gespeichert. Es findet keine Datenübermittlung in Drittländer statt, soweit in dieser Erklärung nicht ausdrücklich anders angegeben.

4. Server-Logfiles

Beim Aufruf der Anwendung werden technisch notwendige Zugriffsdaten (u. a. IP-Adresse, Zeitpunkt, aufgerufene Ressource, User-Agent/Browser) verarbeitet, um den Betrieb, die Sicherheit und die Fehleranalyse zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

5. Cookies / Sitzung

Wir verwenden ausschließlich ein technisch notwendiges Sitzungs-Cookie zur Anmeldung und Aufrechterhaltung der Sitzung. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b/f DSGVO; das Cookie ist für die Bereitstellung des Dienstes erforderlich.

6. Nutzerkonten

Für Team- und Mandantenkonten verarbeiten wir Name, E-Mail-Adresse und Rolle. Team-Konten authentifizieren sich per Passwort (sicher gehasht mit Argon2id). Mandanten melden sich passwortlos über einen zeitlich begrenzten Einmalcode an, der an die hinterlegte E-Mail-Adresse versendet wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Nutzung).

7. Bewerber- und Lead-Daten

Über Meta Lead Ads (Facebook/Instagram) eingehende Bewerbungen werden in die Pipeline übernommen. Verarbeitet werden insbesondere Name, E-Mail-Adresse, Telefonnummer, die Antworten des Lead-Formulars sowie interne Notizen, Bewertungen und Aktivitäten (z. B. Anrufprotokolle). Zweck ist die Bearbeitung der Bewerbung für den jeweiligen Mandanten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO. Bewerberdaten werden standardmäßig spätestens nach 6 Monaten automatisch gelöscht; eine frühere Löschung erfolgt auf Wunsch.

8. Onboarding-Fragebogen, Brand Kit, Dateien & Bilder

Mandanten hinterlegen im Onboarding Angaben zu Unternehmen, Ansprechpartnern und Kampagne sowie ein Marken-Set (Brand Kit) und laden Dateien und Bilder hoch. Bei Bildern mit erkennbaren Personen bestätigt der Mandant vor Verwendung verpflichtend, dass er über die erforderlichen Rechte und Einwilligungen verfügt (Art. 6 Abs. 1 lit. a/f, ggf. Art. 9 DSGVO); diese Bestätigung wird protokolliert. Die Verantwortung für die Rechtmäßigkeit hochgeladener Inhalte liegt beim jeweiligen Mandanten.

9. Chat & Kommunikation

Zwischen Tschugg und Mandant steht ein interner Chat zur Verfügung. Nachrichten und Anhänge werden zum Zweck der Zusammenarbeit gespeichert (Art. 6 Abs. 1 lit. b/f DSGVO).

10. Benachrichtigungen

Wir versenden Benachrichtigungen (z. B. neue Bewerbung, Chat, Freigabe) per In-App-Anzeige, per E-Mail und — bei aktiver Zustimmung — als Web-Push. Der E-Mail-Versand erfolgt über die Hostinger International Ltd. Für Web-Push wird der Push-Dienst des jeweiligen Browsers/Betriebssystems genutzt (z. B. Google bei Chrome/Android, Apple bei Safari/iOS, Mozilla bei Firefox); dabei werden technische Abo-Daten an diese Dienste übermittelt. Push erfolgt nur nach ausdrücklicher Aktivierung durch den Nutzer und kann jederzeit widerrufen werden (Art. 6 Abs. 1 lit. a/f DSGVO). E-Mail- Benachrichtigungen lassen sich in den Kontoeinstellungen abschalten.

11. KI-gestützte Textunterstützung

Für optionale KI-Unterstützung (z. B. Formulierungshilfen im Onboarding) werden die betreffenden Eingaben an einen KI-Dienstleister (OpenRouter Inc. bzw. den dahinterstehenden Modellanbieter, u. a. Anthropic) übermittelt und dort zur Erzeugung der Antwort verarbeitet. Eine Übermittlung erfolgt nur, wenn die Funktion aktiv genutzt wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Soweit hierbei eine Verarbeitung außerhalb der EU erfolgen kann, werden geeignete Garantien (z. B. EU-Standardvertragsklauseln) zugrunde gelegt.

12. Schriftarten

Alle verwendeten Schriftarten und Symbol-Fonts werden lokal von unserem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu externen Schrift-Diensten (z. B. Google Fonts) und keine Übertragung Ihrer IP-Adresse an Dritte zu diesem Zweck statt.

13. Fehler- und Betriebsüberwachung

Zur Sicherstellung des stabilen Betriebs werden technische Fehlerdaten erfasst und in einer selbst gehosteten Monitoring-Instanz (auf demselben EU-Server) ausgewertet. Eine Weitergabe an Dritte erfolgt dabei nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

14. Empfänger / Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein, insbesondere: Hetzner Online GmbH (Hosting & Objektspeicher, DE), Hostinger International Ltd. (E-Mail-Versand), Meta Platforms Ireland Ltd. (Quelle der Lead-Daten) sowie OpenRouter Inc./Anthropic (optionale KI-Funktion). Mit den Auftragsverarbeitern bestehen bzw. werden Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

15. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Bewerberdaten werden spätestens nach 6 Monaten automatisch gelöscht. Kontodaten werden bis zur Beendigung der Nutzung gespeichert.

16. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Wenden Sie sich hierzu an den oben genannten Verantwortlichen.

Ihnen steht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, etwa beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

17. Datensicherheit

Die Übertragung erfolgt verschlüsselt über TLS/HTTPS. Die strikte Trennung der Mandantendaten ist auf Datenbankebene technisch abgesichert (Row-Level-Security). Passwörter werden ausschließlich als sichere Hashes (Argon2id) gespeichert.

18. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert. Es gilt jeweils die hier veröffentlichte, aktuelle Fassung.