Datenschutzerklärung gem. Art. 13/14 DSGVO für das Bewerbermanagementsystem „Teamtailor“
1. Verantwortlicher
GROB Aircraft SE
Lettenbachstrasse 9,
86874 Tussenhausen-Mattsies
E-Mail: Datenschutz@grob-aircraft.com
Datenschutzbeauftragter:
SONNTAG IT Solutions GmbH & Co. KG
Team Datenschutz
Schertlinstr. 23
86159 Augsburg
E-Mail: grob-aircraft-datenschutz@sp-it.de
2. Zweck dieser Datenschutzerklärung
Diese Datenschutzerklärung informiert darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie:
- unsere Karriere-Website besuchen,
- ein Kandidatenprofil anlegen,
- sich über Teamtailor bewerben,
- ihre Bewerbungsdaten durch uns via Teamtailor verarbeitet werden
- im Rahmen eines möglichen aktiven Sourcings kontaktiert werden, oder
- in unseren Talentpool aufgenommen werden.
Zudem erläutern wir Ihre Rechte sowie die technischen und organisatorischen Maßnahmen, die wir und Teamtailor zum Schutz Ihrer Daten ergreifen.
3. Einsatz des Bewerbermanagementsystems Teamtailor
Wir nutzen die cloudbasierte Bewerbermanagement-Plattform der:
Teamtailor AB
Östgötagatan 16
116 25 Stockholm
Schweden
Teamtailor verarbeitet personenbezogene Daten als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.
Aktuelle Unterauftragsverarbeiter für Hosting, Logik, E-Mail-Versand, Sicherheit und Infrastruktur finden Sie im Trust Center:
https://trust.teamtailor.com/subprocessors
Wir stellen sicher, dass mit Teamtailor und allen Unterauftragsverarbeitern rechtskonforme Auftragsverarbeitungsverträge geschlossen wurden.
4. Kategorien personenbezogener Daten
4.1 Profildaten
- Name, Anschrift, Kontaktdaten
- Account- / Profilangaben und Kontoinformationen
- Von Ihnen freiwillig erteilte Angaben (z.B. Präferenzen, Motivationsangaben)
4.2 Bewerbungsdaten
- Lebenslauf, Anschreiben, Zeugnisse
- Berufliche Qualifikationen, Berufserfahrung
- Arbeitsproben, Portfolios
- Interview- und Gesprächsnotizen
- Testergebnisse und Assessments
- Gehaltsvorstellungen, Verfügbarkeit
- Kommunikation im Bewerbungsprozess
4.3 Technische Daten bei Nutzung der Karriereseite
- IP-Adresse
- Browsertyp und -version
- Betriebssystem
- Spracheinstellungen
- Nutzungs- und Interaktionsdaten
- Server- und Sicherheitslogs
- Cookies und Tracking-Informationen (abhängig von Einwilligung)
4.4 Daten aus Sourcing oder Empfehlungen (Art. 14 DSGVO)
Sofern wir zukünftig Active Sourcing einsetzen, können folgende Daten verarbeitet werden:
- öffentlich zugängliche berufliche Profile (z.B. LinkedIn, Xing, GitHub)
- Daten aus Empfehlungen durch Mitarbeitende
- Referenzen und externe Rückmeldungen
Informationspflicht Art. 14 DSGVO:
Werden Daten nicht direkt bei Ihnen erhoben, informieren wir Sie spätestens bei der ersten Kontaktaufnahme oder innerhalb eines Monats.
5. Zwecke der Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten ausschließlich für folgende Zwecke:
- Durchführung des Bewerbungs- und Auswahlverfahrens
- Bewertung Ihrer Qualifikation und Eignung
- Kommunikation im Bewerbungsprozess
- Terminplanung, Intervieworganisation und Dokumentation
- interne Abstimmung zwischen HR, Fachabteilungen und Geschäftsführung
- Betrieb, Wartung und Verbesserung des Bewerberportals
- statistische Auswertungen zur Prozessoptimierung (anonymisiert oder nach Einwilligung)
- potenziell: Identifikation geeigneter Kandidaten über Active Sourcing
- Aufnahme & Verwaltung im Talentpool (nur mit Einwilligung)
6. Rechtsgrundlagen der Datenverarbeitung
6.1 Bewerbungsprozess
- § 26 BDSG – Datenverarbeitung zur Begründung eines Beschäftigungsverhältnisses
- Art. 6 Abs. 1 lit. b DSGVO – Vertragsanbahnung bzw. vorvertragliche Maßnahmen
6.2 Aktives Sourcing (möglich aber derzeit nicht eingesetzt)
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
Unser Interesse besteht insbesondere in einer effizienten Personalgewinnung, der Besetzung offener Stellen sowie der Sicherstellung unserer organisatorischen und wirtschaftlichen Leistungsfähigkeit.
Sie können dieser Verarbeitung jederzeit widersprechen (Art. 21 DSGVO)
6.3 Talentpool
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
- Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
6.4 Analysen, Tracking, Komfortfunktionen
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
6.5 Sicherheit, Systemstabilität und Logfiles
- Art. 6 Abs. 1 lit. f DSGVO – Sicherstellung der Integrität, Verfügbarkeit und Sicherheit unserer Systeme
7. Cookies und Tracking-Technologien
Die Teamtailor-Karriereseite verwendet Cookies.
7.1 Technisch notwendige Cookies (ohne Einwilligung)
- Diese sind erforderlich für:
- grundlegende Seitennutzung
- Formular- und Bewerbungsfunktionen
- Sicherheitsmechanismen
- Session-Management
- Login und Profilverwaltung
7.2 Analyse- / Marketing-Cookies (nur mit Einwilligung)
Diese werden nur gesetzt, wenn Sie im Cookie-Banner zustimmen.
Dies gilt sowohl für Teamtailor-eigene Cookies als auch für optional eingebundene Drittanbieter, z.B.:
- Google Analytics / GA4
- Meta Pixel
- LinkedIn Insight Tag
- Eingebettete YouTube/Vimeo Inhalte
Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.
Welche Tools tatsächlich aktiv sind, hängt von den individuellen Einstellungen des Unternehmens ab.
8. Empfänger personenbezogener Daten
- interne HR-Abteilung
- beteiligte Fachabteilungen
- Geschäftsführung (falls erforderlich)
- Betriebsrat (falls einzubeziehen)
- Teamtailor AB (Auftragsverarbeiter)
- Teamtailor-Unterauftragsverarbeiter (Hosting, CDN, E-Mail, Sicherheit)
- Bei rechtlicher Verpflichtung: Behörden oder Gerichte
Eine Weitergabe oder Verkauf personenbezogener Daten zu Werbezwecken finde nicht statt.
9. Datenübermittlungen in Drittstaaten
Eine Drittlandübermittlung unsererseits findet grds. nicht statt. Da Teamtailor Unterauftragsverarbeiter außerhalb des EWR einsetzen kann, kann im Einzelfall dennoch ein internationaler Datentransfer stattfinden.
Für diesen Fall werden folgende Garantien gewährleistet:
- EU-Standardvertragsklauseln (SCC)
- Angemessenheitsbeschlüsse (z.B. EU-US Data Privacy Framework)
- ergänzende technische und organisatorische Schutzmaßnahmen
Trotz dieser Maßnahmen kann ein Zugriff ausländischer Behörden unter gewissen Voraussetzungen (z.B. im Rahmen des US Cloud Act) nicht vollständig ausgeschlossen werden.
10. Speicherdauer
Wir speichern personenbezogene Daten von Bewerberinnen und Bewerbern grundsätzlich nur so lange, wie dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Wird eine Bewerbung abgelehnt, werden die Daten spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine berechtigten Interessen – etwa im Zusammenhang mit der Abwehr oder Geltendmachung von Rechtsansprüchen – entgegenstehen.
Sofern Sie ausdrücklich in die Aufnahme in unseren Talentpool eingewilligt haben, speichern wir Ihre Daten für einen Zeitraum von zwölf Monaten. Eine darüberhinausgehende Speicherung erfolgt ausschließlich, wenn Sie Ihre Einwilligung nach Ablauf dieses Zeitraums erneut erteilen. Erfolgt keine Verlängerung, werden Ihre Daten automatisch gelöscht.
Im Falle eines laufenden oder absehbaren Rechtsstreits können Daten bis zur endgültigen Klärung des Sachverhalts gespeichert werden. Darüber hinausgehende gesetzliche Aufbewahrungsfristen, insbesondere solche aus dem Handels- oder Steuerrecht, bleiben unberührt und können zu einer längeren Speicherung einzelner Datenkategorien führen.
Das von uns eingesetzte Bewerbermanagementsystem Teamtailor unterstützt automatisierte Löschregeln, welche wir entsprechend der oben genannten Vorgaben konfigurieren und regelmäßig überprüfen.
11. Betroffenenrechte
Als betroffene Person stehen Ihnen nach der DSGVO verschiedene Rechte zu, über die wir Sie nachfolgend informieren. Sie können diese Rechte jederzeit unter den oben angegebenen Kontaktdaten geltend machen.
Sie haben das Recht, Auskunft über die zu Ihrer Person verarbeiteten Daten sowie über bestimmte weitere Informationen gemäß Art. 15 DSGVO zu erhalten. Sollten Ihre Daten unrichtig oder unvollständig sein, können Sie deren Berichtigung verlangen (Art. 16 DSGVO). Unter den Voraussetzungen des Art. 17 DSGVO steht Ihnen das Recht auf Löschung Ihrer personenbezogenen Daten zu; in bestimmten Fällen kann stattdessen ein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO bestehen.
Sie haben ferner das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übertragung an einen anderen Verantwortlichen zu verlangen (Art. 20 DSGVO).
Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten – insbesondere im Rahmen des aktiven Sourcings –, haben Sie das Recht, Widerspruch gegen die Verarbeitung einzulegen (Art. 21 DSGVO). Verarbeiten wir Ihre Daten auf Basis einer von Ihnen erteilten Einwilligung, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Darüber hinaus haben Sie das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorgaben verstößt (Art. 77 DSGVO).
Die für unser Unternehmen zuständige Aufsichtsbehörde
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18,
91522 Ansbach
www.lda.bayern.de
PRIVACY NOTICE, ARTICLES 13 AND 14 GDPR
for the Applicant Tracking System “Teamtailor”
1. Controller
GROB Aircraft SE
Lettenbachstrasse 9,
86874 Tussenhausen-Mattsies
E-Mail: enquiries@grob-aircraft.com
Data Protection Officer:
SONNTAG IT Solutions GmbH & Co. KG
Team Datenschutz
Schertlinstr. 23
86159 Augsburg
E-Mail: grob-aircraft-datenschutz@sp-it.de
2. Purpose of this Privacy Notice
This Privacy Notice explains how we process personal data when you:
- visit our career website,
- create a candidate profile,
- submit an application via Teamtailor,
- are contacted as part of potential future active sourcing activities, or
- are included in our talent pool.
It further describes your data protection rights and the technical and organisational measures implemented by us and by Teamtailor to safeguard your personal data.
3. Use of the Applicant Tracking System “Teamtailor”
We use the cloud-based applicant tracking system provided by:
Teamtailor AB
Östgötagatan 16
116 25 Stockholm
Sweden
Teamtailor processes personal data strictly in accordance with our written instructions and acts as our data processor pursuant to Article 28 GDPR.
Teamtailor engages carefully selected subprocessors for hosting, system operation, security, email functionality and related services. A current list of these subprocessors is available at:
https://trust.teamtailor.com/subprocessors
We have entered into a GDPR-compliant data processing agreement with Teamtailor and ensure that all subprocessors provide adequate safeguards and only process data in accordance with the GDPR.
4. Categories of Personal Data
4.1 Profile Data
- name, contact details, postal address
- profile/account information stored within Teamtailor
- voluntary information you choose to provide (e.g., preferences, personal statements)
4.2 Application Data
- curriculum vitae, cover letter, certificates
- professional qualifications and experience
- work samples or portfolios
- interview notes and assessments
- results of aptitude tests or other evaluations
- salary expectations, availability
- all communication exchanged during the recruitment process
4.3 Technical Data (when accessing the career site)
- IP address
- browser type and version
- operating system
- language settings
- usage and interaction data
- server and security log files
- cookies and similar technologies (subject to consent where applicable)
4.4 Data obtained from sourcing, referrals or external sources (Art. 14 GDPR)
If we introduce active sourcing in the future, we may process data from:
- publicly available professional profiles (e.g., LinkedIn, Xing, GitHub)
- employee recommendations or referrals
- reference information provided by third parties
Information pursuant to Art. 14 GDPR:
Where we obtain personal data from external sources, we will inform you upon first contact or within one month.
5. Purposes of Processing
We process personal data strictly for the following purposes:
- managing and conducting the recruitment and selection process
- assessing your professional and personal suitability
- communicating with candidates
- planning, coordinating and documenting interviews
- enabling internal coordination between HR, hiring managers and management
- ensuring the secure and reliable operation of the applicant tracking system
- conducting statistical analyses for process optimisation (only with consent)
- possibly identifying suitable candidates through future active sourcing
- managing inclusion in the talent pool (only with consent)
6. Legal Bases
6.1 Recruitment Process
- Art. 6(1)(b) GDPR – steps taken prior to entering into an employment contract
- Section 26 German Federal Data Protection Act (BDSG)
6.2 Active Sourcing (potential future use)
- Art. 6(1)(f) GDPR – legitimate interests
- Our legitimate interests lie in conducting efficient recruitment activities, filling open positions, and maintaining our organisational and economic performance.
You may object to such processing at any time (Art. 21 GDPR).
6.3 Talent Pool
- Art. 6(1)(a) GDPR – consent
Consent may be withdrawn at any time with effect for the future.
6.4 Analytics and Tracking Technologies
- Art. 6(1)(a) GDPR – consent
6.5 System Security and Log Files
- Art. 6(1)(f) GDPR – legitimate interest in ensuring IT security, system integrity and the reliable operation of our recruitment processes
7. Cookies and Tracking Technologies
The Teamtailor career site uses cookies and comparable technologies.
7.1 Strictly Necessary Cookies (no consent required)
These are required for:
- basic website functionality
- form submissions and application processes
- security measures
- session management
- login and profile-related functionality
7.2 Analytics and Marketing Cookies (consent required)
These are only set if you provide consent via the cookie banner.
They may include:
- Teamtailor-specific analytics cookies
- optional third-party integrations such as:
- Google Analytics / GA4
- Meta Pixel
- LinkedIn Insight Tag
- YouTube/Vimeo embedded content
- You may withdraw your consent at any time via the cookie banner.
8. Recipients of Personal Data
We may share personal data with:
- internal HR departments
- relevant hiring managers and departments
- company management (where required)
- works council (where applicable)
- Teamtailor AB (as data processor)
- Teamtailor subprocessors (e.g., hosting, email delivery, security)
- public authorities or courts where legally required
Your personal data will not be sold or disclosed for advertising or marketing purposes.
9. International Data Transfers
We do not intentionally transfer personal data to countries outside the European Economic Area (EEA).
However, international transfers may occur where Teamtailor subprocessors operate outside the EEA.
Where this is the case, we implement appropriate safeguards, including:
- EU Standard Contractual Clauses (SCC)
- adequacy decisions (e.g., EU–US Data Privacy Framework)
- supplementary technical and organisational measures
Despite these safeguards, access by foreign authorities (e.g., under the U.S. CLOUD Act) cannot be entirely excluded.
10. Retention Periods
We retain personal data only for the duration necessary to decide on the establishment of an employment relationship.
- Rejected applicants: deletion no later than six months after completion of the recruitment process
- Talent pool: retention for 12 months; extension only with renewed consent
- Legal disputes: retention until the matter is fully resolved
- Statutory retention obligations: remain unaffected
Teamtailor provides automated deletion routines that we configure and review regularly.
11. Your Rights
As a data subject, you have the following rights:
- right of access (Art. 15 GDPR)
- right to rectification (Art. 16 GDPR)
- right to erasure (Art. 17 GDPR)
- right to restriction of processing (Art. 18 GDPR)
- right to data portability (Art. 20 GDPR)
- right to object, in particular to processing based on legitimate interests (Art. 21 GDPR)
- right to withdraw consent at any time (Art. 7(3) GDPR)
- right to lodge a complaint with a supervisory authority (Art. 77 GDPR)
The supervisory authority for our organisation is:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18,
91522 Ansbach
www.lda.bayern.de
