Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
S&C Holding GmbH
Halbgasse 1a, 1070 Wien, Österreich
FN 366123t (Handelsgericht Wien)
UID: ATU70341613
Geschäftsführer: Mag. Markus Höfinger
E-Mail: hello@hiresift.ai
2. Welche Daten wir verarbeiten
2.1 Nutzerkontodaten (Recruiter/HR-Nutzer)
- E-Mail-Adresse, Name
- Authentifizierungsdaten (via Clerk)
- Nutzungsverhalten innerhalb der Plattform
2.2 Bewerberdaten (hochgeladen durch Kunden)
- Lebenslauf-Dokumente (PDF, Word)
- Aus Lebensläufen extrahierte Daten: Name, Kontaktdaten, Berufserfahrung, Ausbildung, Qualifikationen
- KI-generierte Matching-Scores und Begründungen
2.3 Technische Daten
- IP-Adresse, Browser-Typ, Geräteinformationen
- Log-Daten, Fehlermeldungen
3. Zweck der Verarbeitung
| Zweck | Rechtsgrundlage |
|---|---|
| Erbringung des CV-Screening-Dienstes | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Sicherheit und Missbrauchsprävention | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Produktverbesserung (anonymisiert) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Marketing/Newsletter | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
4. KI-Verarbeitung und Sub-Prozessoren
Standard-Provider für die KI-Analyse von Lebensläufen ist Mistral AI (Document AI / OCR, gehostet in Paris, Frankreich) — Europas führender KI-Anbieter. Alternativ nutzen wir Vertex AI in der EU-Region europe-west4 (Belgien) für höherwertige Gemini- und Claude-Modelle (z.B. bei Re-Extraktion). Bewerberdaten verbleiben in beiden Fällen im EU-Datenraum. Weder Mistral AI noch Google Cloud speichern die übermittelten Daten oder verwenden sie zum Modelltraining (vertraglich in den jeweiligen Service Terms zugesichert).
| Anbieter | Zweck | Speicherort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Supabase | Datenbank & Datei-Storage (inkl. Lebensläufe) | EU — Frankfurt (AWS eu-central-1) | DSGVO-konform, kein Drittstaaten-Transfer |
| Vercel | Hosting der Web-Anwendung & Serverless Functions | EU — Frankfurt (fra1) | DSGVO-konform, kein Drittstaaten-Transfer |
| Mistral AI | Standard-KI für CV-Extraktion (Document AI / OCR) | EU — Paris, Frankreich | DSGVO-konform, kein Drittstaaten-Transfer |
| Vertex AI | Alternative KI-Modelle (Gemini, Claude) für Scoring & Re-Extraktion | EU — Belgien (europe-west4) | DSGVO-konform, kein Drittstaaten-Transfer |
| Mailgun | Empfang und Versand von Bewerbungs- und Transaktions-E-Mails | EU — Irland (api.eu.mailgun.net) | DSGVO-konform, kein Drittstaaten-Transfer |
| Mixpanel | Produktanalyse zur Verbesserung des Dienstes | EU — Frankfurt (eu.mixpanel.com) | DSGVO-konform, kein Drittstaaten-Transfer |
| Stripe | Zahlungsabwicklung & Abonnement-Management | EU — Irland (Stripe Technology Company, Ltd.) | DPA mit EU-Vertragspartner; interne Cross-Border-Flüsse via SCCs |
| Clerk, Inc. | Keine Bewerberdaten, nur Account-Login für HireSift | USA | EU-US Data Privacy Framework (DPF-zertifiziert) + DPA + SCCs |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge (AVVs/DPAs) gemäß Art. 28 DSGVO. Bewerberdaten (Lebensläufe, extrahierte Profile, Match-Scores, Bewerbungs-E-Mails und deren Anhänge) werden ausschließlich in der EU verarbeitet und gespeichert. Clerk wird lediglich für den Account-Login in HireSift genutzt und verarbeitet keine Bewerberdaten.
5. Rollen: Controller und Prozessor
HireSift als Verantwortlicher (Controller):
Für Daten von Nutzern der Plattform (Recruiter, HR-Mitarbeiter) ist S&C Holding GmbH Verantwortlicher.
HireSift als Auftragsverarbeiter (Processor):
Für Bewerberdaten, die Kunden in HireSift hochladen, handelt S&C Holding GmbH als Auftragsverarbeiter für den jeweiligen Kunden (Arbeitgeber). Der Kunde bleibt Verantwortlicher für die Bewerberdaten und ist für die rechtmäßige Erhebung (Einwilligung, Bewerbungsvertrag) selbst verantwortlich.
Ein Auftragsverarbeitungsvertrag (AVV) kann unter hello@hiresift.ai angefragt werden.
6. Datenspeicherung
- Bewerberdaten werden für die Dauer des Kundenvertrags gespeichert
- Nach Kündigung: Löschung innerhalb von 30 Tagen
- Backups: Löschung innerhalb von 90 Tagen
- Auf Anfrage: sofortige Löschung möglich
7. Rechte der Betroffenen
Gemäß DSGVO haben Sie das Recht auf:
- Auskunft (Art. 15) über Ihre gespeicherten Daten
- Berichtigung (Art. 16) unrichtiger Daten
- Löschung (Art. 17) — „Recht auf Vergessenwerden“
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch gegen Verarbeitung (Art. 21)
Anfragen an: hello@hiresift.ai
Beschwerderecht: Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, www.dsb.gv.at
8. Cookies
Wir verwenden technisch notwendige Cookies (Session, Authentifizierung) sowie produktanalytische Cookies von Mixpanel (EU-Region, eu.mixpanel.com) zur Verbesserung des Dienstes. Keine Werbe-Cookies, kein Tracking über Drittseiten hinweg.