Datenschutzerklärung
Zuletzt aktualisiert am 31. März 2026
Ihr Datenschutz ist uns wichtig. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir erheben, wie wir sie verwenden und welche Rechte Ihnen zustehen. Sie gilt für Ihre Nutzung von Kit als Kontoinhaber (Arbeitgeber, Recruiter oder Teammitglied). Diese Datenschutzerklärung ist Bestandteil unserer Allgemeinen Geschäftsbedingungen.
1. Wer wir sind
Kit wird betrieben von Ernest Bursa (Einzelunternehmen), Dabrowskiego 96/5b, 60-576 Poznan, Polen. Wir sind der Verantwortliche (Art. 4 Nr. 7 DSGVO) für die in dieser Datenschutzerklärung beschriebenen personenbezogenen Daten.
- E-Mail: [email protected]
- Datenschutzbeauftragter: Wir haben keinen Datenschutzbeauftragten bestellt, da wir die Schwellenwerte gemäß Art. 37 DSGVO nicht erreichen. Für Datenschutzanfragen kontaktieren Sie uns unter der oben genannten E-Mail-Adresse.
- Aufsichtsbehörde: Unsere federführende Aufsichtsbehörde ist die polnische Datenschutzbehörde (UODO), ul. Stawki 2, 00-193 Warschau, Polen (uodo.gov.pl).
2. Geltungsbereich und unsere Doppelrolle
Kit bedient zwei Arten von Nutzern, wobei sich unsere Rolle nach Datenschutzrecht jeweils unterscheidet:
- Arbeitgeber, Recruiter und Teammitglieder (Sie): Sie erstellen Konten und nutzen Kit zur Verwaltung von Recruiting-Prozessen. Wir sind der Verantwortliche für Ihre Kontodaten. Diese Datenschutzerklärung regelt dieses Verhältnis.
- Bewerber und Kandidaten: Wenn sich Bewerber auf Ihre Stellenausschreibungen bewerben, werden deren Daten von Kit in Ihrem Auftrag verarbeitet. Sie sind der Verantwortliche für Bewerberdaten, und Kit handelt als Auftragsverarbeiter. Dieses Verhältnis wird durch unseren Auftragsverarbeitungsvertrag geregelt, nicht durch diese Datenschutzerklärung.
Wenn Sie Bewerber sind, wenden Sie sich bitte an den Arbeitgeber, bei dem Sie sich beworben haben, um Ihre Datenschutzrechte auszuüben. Dieser ist der Verantwortliche für Ihre Daten.
3. Erhobene Daten
3.1 Kontodaten
Bei der Erstellung eines Kontos erheben wir:
- Name und E-Mail-Adresse
- Passwort (gespeichert als kryptographischer Hash, nicht im Klartext)
- Organisationsname und Teamrolle
- Profilinformationen, die Sie freiwillig angeben
- Bevorzugte Sprache und Benachrichtigungseinstellungen
3.2 Daten aus Drittanbieter-Anmeldungen
Wenn Sie sich über einen Drittanbieterdienst anmelden (z. B. Google oder GitHub OAuth), erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von diesem Dienst. Wir erhalten oder speichern nicht Ihr Drittanbieter-Passwort.
3.3 Nutzungsdaten
Bei der Nutzung von Kit erheben wir automatisch:
- Protokolldaten (IP-Adresse, Browsertyp, Geräteinformationen)
- Besuchte Seiten und genutzte Funktionen
- Zeitpunkt und Datum Ihrer Besuche
- Verweisende Website oder Quelle
3.4 Zahlungsinformationen
Die Zahlungsabwicklung erfolgt über Stripe, Inc. Wir speichern keine vollständigen Kreditkartennummern. Wir erhalten lediglich eingeschränkte Informationen wie die letzten vier Ziffern Ihrer Karte, den Kartentyp und die Rechnungsadresse. Die Datenschutzerklärung von Stripe regelt deren Verarbeitung Ihrer Zahlungsdaten.
4. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:
| Zweck | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Bereitstellung und Betrieb des Dienstes | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Erforderlich zur Erfüllung unseres Vertrags mit Ihnen |
| Zahlungsabwicklung und Abrechnung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Erforderlich zur Erfüllung unserer Abrechnungspflichten |
| Versand transaktionaler E-Mails (Kontobenachrichtigungen, Sicherheitshinweise) | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Erforderlich für den Betrieb Ihres Kontos |
| Versand von Produktupdates und Onboarding-E-Mails | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Unser Interesse, Ihnen die bestmögliche Nutzung von Kit zu ermöglichen. Sie können sich jederzeit abmelden. |
| Verbesserung des Dienstes und Entwicklung neuer Funktionen | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Unser Interesse, Kit für alle Nutzer zu verbessern, unter Verwendung aggregierter und anonymisierter Nutzungsdaten |
| Analysen auf Marketingseiten (Microsoft Clarity) | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) | Nur mit Ihrer Cookie-Einwilligung. Siehe Abschnitt 6. |
| Betrugsprävention und Sicherheitsüberwachung | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Unser Interesse, den Dienst und seine Nutzer vor Missbrauch zu schützen |
| Erfüllung gesetzlicher Pflichten (Steuerunterlagen, Anfragen von Behörden) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) | Vorgeschrieben durch polnisches und EU-Recht |
5. Weitergabe Ihrer Daten
Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre Daten ausschließlich an folgende Empfängerkategorien weiter:
5.1 Unterauftragsverarbeiter
Wir setzen die folgenden Dienstleister für den Betrieb von Kit ein. Eine vollständige Liste mit Angaben zu den Übermittlungsmechanismen finden Sie in unserem Auftragsverarbeitungsvertrag (Anlage 3).
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Infrastruktur-Hosting, Speicherung | Nürnberg, Deutschland (EU) |
| Cloudflare, Inc. | CDN, DNS, Sicherheit | Global (DPF + SVK) |
| Stripe, Inc. | Zahlungsabwicklung | Vereinigte Staaten (DPF + SVK) |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung | Vereinigte Staaten (DPF + SVK) |
5.2 Sonstige Offenlegungen
- Gesetzliche Anforderungen: Wenn dies gesetzlich vorgeschrieben ist, aufgrund einer gerichtlichen Anordnung oder auf Verlangen einer Behörde
- Unternehmensübertragungen: Im Zusammenhang mit einer Fusion, Übernahme oder einem Verkauf von Vermögenswerten können Ihre Daten an das Nachfolgeunternehmen übertragen werden
- Mit Ihrer Einwilligung: Wenn Sie ausdrücklich der Weitergabe von Informationen zustimmen
6. Cookies und Tracking
Wir verwenden Cookies und ähnliche Technologien auf unserer Website. Im Folgenden erläutern wir, welche wir einsetzen:
| Cookie | Typ | Zweck | Gültigkeitsdauer |
|---|---|---|---|
| _session_id | Essenziell | Hält Sie angemeldet und verwaltet Ihre Sitzung | Sitzung |
| locale | Essenziell | Speichert Ihre Spracheinstellung | 1 Jahr |
| theme | Essenziell | Speichert Ihre Dunkel-/Hellmodus-Einstellung | 1 Jahr |
| _clck, _clsk | Analyse (Einwilligung erforderlich) | Microsoft Clarity Nutzer-/Sitzungserkennung für Heatmaps und Sitzungsaufzeichnungen ausschließlich auf Marketingseiten | 1 Jahr / Sitzung |
| CLID, MUID | Analyse (Einwilligung erforderlich) | Microsoft Clarity seitenübergreifende Identifikation | 1 Jahr |
Essenzielle Cookies sind für die Funktion des Dienstes notwendig und erfordern keine Einwilligung. Analyse-Cookies werden erst geladen, nachdem Sie über unseren Cookie-Banner Ihre Einwilligung erteilt haben. Microsoft Clarity ist ausschließlich auf öffentlichen Marketingseiten aktiv und wird niemals auf authentifizierten Anwendungsseiten geladen. Microsoft handelt als eigenständiger Verantwortlicher für Clarity-Daten gemäß ihren eigenen Nutzungsbedingungen.
Sie können Cookies über Ihre Browsereinstellungen verwalten. Die Deaktivierung essenzieller Cookies kann die Nutzung des Dienstes verhindern.
7. Speicherdauer
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist:
- Kontodaten: Für die Dauer Ihres Kontos. Wenn Sie Ihr Konto löschen, löschen wir Ihre personenbezogenen Daten innerhalb von 30 Tagen.
- Serverprotokolle: Werden für bis zu 90 Tage zu Sicherheits- und Fehlerbehebungszwecken aufbewahrt.
- Zahlungs- und Abrechnungsunterlagen: Werden gemäß den polnischen steuerrechtlichen Vorschriften 7 Jahre aufbewahrt.
- E-Mail-Kommunikationsaufzeichnungen: Werden für die Dauer Ihres Kontos aufbewahrt und anschließend mit Ihrem Konto gelöscht.
- Analysedaten: Microsoft Clarity speichert Sitzungsdaten für 30 Tage.
- Sicherungsdaten: Sicherungskopien, die Ihre Daten enthalten, werden bis zu 30 Tage nach Löschung der Primärdaten aufbewahrt.
8. Internationale Datenübermittlungen
Die primäre Infrastruktur von Kit wird in der Europäischen Union gehostet (Hetzner Cloud, Nürnberg, Deutschland). Ihre wesentlichen Kontodaten werden innerhalb der EU gespeichert und verarbeitet.
Einige unserer Unterauftragsverarbeiter befinden sich in den Vereinigten Staaten (Stripe, Sentry, Cloudflare). Für diese Übermittlungen stützen wir uns auf:
- Den EU-US-Datenschutzrahmen (Data Privacy Framework, DPF), sofern der Anbieter DPF-zertifiziert ist
- Standardvertragsklauseln (SVK/SCCs) der Europäischen Kommission (Durchführungsbeschluss 2021/914)
Einzelheiten zu den Übermittlungsmechanismen pro Anbieter finden Sie in unserem AVV (Anlage 3).
9. KI und automatisierte Verarbeitung
Kit bietet KI-gestützte Funktionen unter Nutzung von KI-Drittanbietern, die von Ihnen konfiguriert werden (BYOK). Bei Nutzung dieser Funktionen gilt:
- Daten, die Sie an KI-Anbieter senden, werden an den von Ihnen konfigurierten Anbieter übermittelt. Kit wählt diese Anbieter nicht aus und hat keine Kontrolle über sie.
- Kit verwendet Ihre Daten nicht zum Training von KI-Modellen.
- Es werden keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung über Personen ohne menschliche Überprüfung getroffen.
- Sie haben das Recht, eine menschliche Überprüfung jeder Entscheidung zu verlangen, die durch KI-generierte Ergebnisse beeinflusst wurde.
10. Ihre Rechte
Gemäß der DSGVO, der UK GDPR und den geltenden Datenschutzgesetzen stehen Ihnen folgende Rechte in Bezug auf Ihre personenbezogenen Daten zu:
- Auskunftsrecht (Art. 15 DSGVO): Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger oder unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern wir uns auf ein berechtigtes Interesse stützen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
- Recht auf Widerruf der Einwilligung (Art. 7 DSGVO): Sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
- Recht bei automatisierten Entscheidungen (Art. 22 DSGVO): Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter [email protected]. Wir werden ohne unangemessene Verzögerung und innerhalb eines Kalendermonats antworten. Bei komplexen Anfragen können wir diese Frist unter Benachrichtigung um bis zu zwei weitere Monate verlängern.
Sie haben zudem das Recht, Beschwerde bei Ihrer zuständigen Aufsichtsbehörde einzulegen. Für Nutzer in Polen ist dies das UODO (Urzad Ochrony Danych Osobowych), ul. Stawki 2, 00-193 Warschau, Polen.
11. E-Mail-Kommunikation
Wir versenden folgende Arten von E-Mails:
- Transaktionale E-Mails (Kontobenachrichtigungen, Sicherheitshinweise, Abrechnungsbelege): Diese sind für den Betrieb Ihres Kontos erforderlich und können nicht abbestellt werden.
- Produktupdates und Onboarding-E-Mails: Sie können sich jederzeit über den Abmeldelink in jeder E-Mail oder über Ihre Benachrichtigungseinstellungen in den Kontoeinstellungen abmelden. Wir unterstützen die Ein-Klick-Abmeldung gemäß RFC 8058.
12. Datensicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten um, darunter:
- Verschlüsselung der Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand
- Verschlüsselung sensibler Datenfelder auf Anwendungsebene (Active Record Encryption)
- Hosting der gesamten Kerninfrastruktur innerhalb der EU (Hetzner Cloud, Nürnberg, Deutschland)
- Isolierung des Datenbankverkehrs in einem privaten Netzwerk
- Regelmäßige Sicherheitsprüfungen und Abhängigkeitsaudits
- Rollenbasierte Zugriffskontrollen und API-Token-Berechtigungsbegrenzung
Keine Übertragung oder Speicherung ist vollständig sicher. Obwohl wir bestrebt sind, Ihre Daten zu schützen, können wir keine absolute Sicherheit garantieren.
13. Datenschutz von Minderjährigen
Kit ist ein Geschäftswerkzeug und nicht für die Nutzung durch Minderjährige bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Wenn Sie glauben, dass ein Minderjähriger uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, und wir werden diese löschen.
14. CCPA-Hinweis (Einwohner Kaliforniens)
Wenn Sie in Kalifornien ansässig sind, gewährt Ihnen der California Consumer Privacy Act (CCPA), geändert durch den CPRA, zusätzliche Rechte:
- Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht im Sinne des CCPA.
- Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir erheben und wie diese verwendet werden.
- Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen.
- Sie haben das Recht auf Nichtdiskriminierung bei Ausübung Ihrer Datenschutzrechte.
Um diese Rechte auszuüben, kontaktieren Sie uns unter [email protected].
15. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen werden wir Sie mindestens 30 Tage vor Inkrafttreten der Änderungen per E-Mail benachrichtigen. Für Änderungen, die die Rechtsgrundlage der Verarbeitung betreffen, holen wir Ihre Einwilligung ein, soweit dies erforderlich ist.
16. Kontakt
Wenn Sie Fragen zu dieser Datenschutzerklärung oder unseren Datenverarbeitungspraktiken haben:
- E-Mail: [email protected]
- Anschrift: Ernest Bursa, Dabrowskiego 96/5b, 60-576 Poznan, Polen
Sie haben zudem das Recht, Beschwerde bei Ihrer zuständigen Datenschutzbehörde einzulegen, wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten nicht ordnungsgemäß verarbeitet haben.