Stand: Juni 2026

Datenschutzerklärung der Pickr-Plattform

Stand: Juni 2026

Diese Datenschutzerklärung gilt für die Webseite pickr.dev (Marketing-Seite und Blog) sowie die Anwendung app.pickr.dev (Plattform).


§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

Agusta GmbH (handelnd als Pickr)
Oberdorferstraße 4
6850 Dornbirn, Österreich

Geschäftsführer: Andreas G. A. Amann
E-Mail: datenschutz@pickr.dev

§ 2 Datenschutzbeauftragter

Die Agusta GmbH ist nach Art. 37 DSGVO in Verbindung mit § 5 DSG derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die Voraussetzungen (insbesondere umfangreiche regelmäßige und systematische Überwachung betroffener Personen oder umfangreiche Verarbeitung besonderer Datenkategorien als Kerntätigkeit) nicht erfüllt sind.

Für datenschutzrechtliche Anfragen wenden Sie sich bitte an: datenschutz@pickr.dev

§ 3 Kategorien personenbezogener Daten

Im Rahmen der Bereitstellung und Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

3.1 Kandidatendaten

Daten von Bewerbern und Kandidaten, die von unseren Kunden in die Plattform eingegeben oder importiert werden:

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Postanschrift
  • Bewerbungsdaten: Lebenslauf/CV, Berufserfahrung, Ausbildung, Qualifikationen, Sprachkenntnisse
  • Gehaltserwartungen und Verfügbarkeit
  • Video- und Audioaufnahmen von Interviews
  • KI-generierte Interview-Transkriptionen
  • KI-generierte Match-Scores und Scorecard-Bewertungen
  • Kommunikationshistorie: E-Mail-Threads, WhatsApp-Nachrichten, LinkedIn-Nachrichten
  • Notizen und Bewertungen durch Recruiter und Interviewer

3.2 Nutzer- und Mitarbeiterdaten

Daten der registrierten Nutzer der Plattform:

  • Name, E-Mail-Adresse
  • Rolle und Berechtigungsstufe innerhalb der Organisation
  • Kalenderdaten (Interviewtermine)
  • Login-Aktivitäten und Audit-Logs

3.3 Endkunden-Kontaktdaten (Agenturmodus)

Daten von Kontaktpersonen bei Endkunden, für die eine Agentur rekrutiert:

  • Name, E-Mail-Adresse, Telefonnummer
  • Stellenbeschreibungen, Anforderungsprofile, Hiring-Anforderungen

3.4 Audit-Nutzerdaten

Daten von Nutzern der kostenlosen Audit-Funktion (pickr.dev/audit):

  • E-Mail-Adresse, Firmenname
  • Übermittelte Prozessinformationen

§ 4 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Bereitstellung und Betrieb der Plattform gemäß dem Nutzungsvertrag (Nutzungsbedingungen)
  • Verarbeitung von Kandidatendaten im Auftrag des Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO, geregelt im AVV unter pickr.dev/legal/avv)
  • Zahlungsabwicklung und Rechnungsstellung
  • Kundenkommunikation und Support

4.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

  • Gewährleistung der Sicherheit und Integrität der Plattform (Fraud Prevention, Missbrauchserkennung)
  • Analyse von Nutzungsmustern zur Verbesserung der Plattform (ausschließlich auf Basis anonymisierter und aggregierter Daten)
  • Protokollierung von Zugriffen und Aktivitäten (Audit-Logging) zur Nachvollziehbarkeit und Fehlerbehebung
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

4.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

  • Aufzeichnung von Video-Interviews (Einwilligung der Interviewteilnehmer)
  • Zusendung von Marketing-Kommunikation (Newsletter, Produktupdates), sofern der Nutzer ausdrücklich zugestimmt hat

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

4.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Aufbewahrung von Rechnungen und Zahlungsdaten gemäß den steuer- und handelsrechtlichen Aufbewahrungspflichten (§ 132 BAO, § 212 UGB: 7 Jahre)

§ 5 Zwecke der Verarbeitung

Personenbezogene Daten werden für folgende Zwecke verarbeitet:

  • Bereitstellung der Plattform und ihrer Kernfunktionen (ATS, Kandidatenverwaltung, Kommunikation)
  • KI-gestützte Verarbeitung (Matching, Scoring, Transkription, Interview-Analyse) – siehe § 6
  • Durchführung und Aufzeichnung von Video-Interviews
  • Kommunikation mit Kandidaten über integrierte Kanäle (E-Mail, WhatsApp, LinkedIn)
  • Zahlungsabwicklung und Abonnementverwaltung
  • Sicherheitsmaßnahmen und Betrugsverhinderung
  • Weiterentwicklung und Verbesserung der Plattform (auf Basis anonymisierter Daten)
  • Erfüllung gesetzlicher Aufbewahrungspflichten

§ 6 KI-gestützte Verarbeitung

(1) Die Plattform setzt Künstliche Intelligenz für folgende Funktionen ein:

  • Kandidaten-Matching und -Scoring mittels Anthropic Claude AI: Abgleich von Kandidatenprofilen mit Anforderungsprofilen offener Positionen
  • Interview-Analyse: KI-gestützte Auswertung von Interview-Inhalten zur Generierung von Scorecards und Bewertungsvorschlägen
  • Transkription: Automatische Sprache-zu-Text-Umwandlung von Video-Interviews mittels Deepgram
  • Generierung von Interview-Fragen auf Basis des Kandidatenprofils und der Stellenanforderungen

(2) Die KI-Verarbeitung erfolgt ausschließlich als Inference (Modell-Abfrage). Personenbezogene Daten werden zu keinem Zeitpunkt zum Training, Fine-Tuning oder zur Verbesserung von KI-Modellen verwendet – weder durch Pickr noch durch die eingesetzten KI-Unterauftragsverarbeiter (Anthropic, Deepgram). Dies ist vertraglich mit den Unterauftragsverarbeitern vereinbart.

(3) Die Ergebnisse der KI-Verarbeitung dienen ausschließlich als Entscheidungsunterstützung. Es werden keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen im Sinne von Art. 22 DSGVO getroffen. Die Verantwortung für alle Personalentscheidungen liegt beim Kunden.

(4) Bei der KI-Verarbeitung werden nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten an die KI-Dienste übermittelt (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).

§ 7 Empfänger und Unterauftragsverarbeiter

Personenbezogene Daten werden an folgende Empfänger und Unterauftragsverarbeiter übermittelt, soweit dies für die Bereitstellung der Plattform erforderlich ist:

EmpfängerZweckStandortTransfermechanismus
Supabase, Inc. (via AWS)Datenbank-Hosting, Authentifizierung, DateispeicherungZürich, SchweizAngemessenheitsbeschluss CH
Vercel, Inc.Application Hosting, Serverless FunctionsFrankfurt, DeutschlandEU, kein Drittlandtransfer
Anthropic, PBCKI-Matching, Scoring, Interview-AnalyseUSAEU-US DPF / SCCs
Deepgram, Inc.Sprache-zu-Text-TranskriptionUSAEU-US DPF / SCCs
Daily.co, Inc.Video-Interview-InfrastrukturEU/USAEU-US DPF / SCCs
Resend, Inc.Transaktionale E-Mail-ZustellungUSAEU-US DPF / SCCs
Stripe, Inc.ZahlungsabwicklungEU/USAEigener Art. 28 DPA, EU-US DPF
Google LLCE-Mail-Synchronisation, Kalender-IntegrationEU/USAGoogle Cloud DPA, EU-US DPF / SCCs
Meta Platforms Ireland LimitedWhatsApp Business MessagingEUEU, kein Drittlandtransfer
HeyReach d.o.o.LinkedIn Outreach-SynchronisationEUEU, kein Drittlandtransfer

Sämtliche Unterauftragsverarbeiter unterliegen den Regelungen des Auftragsverarbeitungsvertrags (AVV), abrufbar unter pickr.dev/legal/avv.

Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. Auskunftspflichten gegenüber Strafverfolgungsbehörden oder Aufsichtsbehörden).

§ 8 Nutzung von Google API-Daten

(1) Pickr greift mit Ihrer ausdrücklichen Zustimmung auf bestimmte Google-Dienste zu, um Recruiting-Funktionen bereitzustellen. Im Einzelnen:

8.1 Google Gmail API

Zweck: Synchronisierung von E-Mail-Konversationen mit Kandidaten in den Pickr-Posteingang, Versand von E-Mails im Namen des Nutzers.

Zugegriffene Daten: E-Mail-Nachrichten, Betreffzeilen, Absender- und Empfängeradressen, Anhänge in Konversationen mit Kandidaten.

Speicherung: E-Mail-Inhalte werden in unserer Datenbank in der Schweiz (Supabase, Zürich) gespeichert und sind ausschließlich für die Organisation des Nutzers zugänglich.

Aufbewahrung: E-Mail-Daten werden gespeichert, solange das Nutzerkonto aktiv ist. Bei Kontolöschung werden alle synchronisierten E-Mail-Daten innerhalb von 30 Tagen gelöscht.

Weitergabe: E-Mail-Inhalte werden nicht an Dritte weitergegeben. Bei aktivierter KI-Unterstützung werden E-Mail-Inhalte zur Erstellung von Antwortentwürfen an unseren KI-Anbieter übermittelt, wobei personenbezogene Daten vorher anonymisiert werden (siehe § 6 KI-gestützte Verarbeitung).

8.2 Google Calendar API

Zweck: Anzeige der Kalenderverfügbarkeit für die Interview-Terminplanung, Erstellung von Kalendereinträgen für geplante Interviews.

Zugegriffene Daten: Verfügbarkeit/Belegtzeiten (keine Ereignisdetails), Erstellung neuer Kalendereinträge.

Speicherung: Kalenderdaten werden nicht dauerhaft gespeichert. Verfügbarkeitsinformationen werden nur zum Zeitpunkt der Terminplanung abgerufen.

Weitergabe: Kalenderdaten werden nicht an Dritte weitergegeben.

8.3 Google OAuth (Anmeldung)

Zweck: Authentifizierung und Anmeldung bei Pickr.

Zugegriffene Daten: Name, E-Mail-Adresse, Profilbild.

Speicherung: In der Nutzertabelle unserer Datenbank.

Weitergabe: Nicht an Dritte.

(2) Pickr's Nutzung von Google API-Daten entspricht den Google API Services User Data Policy, einschließlich der Limited Use Anforderungen. Wir verwenden Google-Nutzerdaten ausschließlich zur Bereitstellung der oben beschriebenen Funktionen und geben diese nicht für Werbezwecke oder andere nicht genehmigte Zwecke weiter.

Google API Limited Use Disclosure: Pickr's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

(3) Sie können den Zugriff auf Ihre Google-Daten jederzeit widerrufen unter Einstellungen > Integrationen > Google trennen. Bereits synchronisierte Daten werden bei Trennung nicht automatisch gelöscht, können aber auf Anfrage entfernt werden.

§ 9 Drittlandtransfers

(1) Soweit personenbezogene Daten an Unterauftragsverarbeiter in den USA übermittelt werden, stützt sich die Übermittlung auf folgende Garantien gemäß Art. 44 ff. DSGVO:

  • EU-US Data Privacy Framework (Art. 45 DSGVO) – sofern der Empfänger zertifiziert ist,
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchführungsbeschlusses (EU) 2021/914.

(2) Für Unterauftragsverarbeiter in der Schweiz (Supabase/AWS) besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO.

(3) Transfer Impact Assessments (TIAs) werden für sämtliche Drittlandtransfers durchgeführt und auf Anfrage zur Verfügung gestellt.

§ 10 Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

DatenkategorieSpeicherdauerKonfigurierbar
Kandidatendaten24 Monate nach letzter Aktivität im DatensatzJa, durch den Kunden
Video-/Audioaufnahmen12 Monate nach AufzeichnungJa, durch den Kunden
NutzerdatenFür die Dauer des NutzerkontosNein
Audit-Logs12 MonateNein
Kommunikationshistorie24 Monate nach letzter AktivitätJa, durch den Kunden
Audit-Nutzerdaten (pickr.dev/audit)90 TageNein
Rechnungsdaten7 Jahre (§ 132 BAO, § 212 UGB)Nein

Nach Beendigung des Nutzungsvertrags werden personenbezogene Daten innerhalb von dreißig (30) Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden innerhalb von neunzig (90) Tagen nach Vertragsende gelöscht.

§ 11 Betroffenenrechte

Betroffene Personen haben nach der DSGVO folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen, einschließlich der Verarbeitungszwecke, Datenkategorien, Empfänger und Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen erfüllt ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien, Österreich
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

Für die Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@pickr.dev. Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).

Hinweis für Kandidaten: Wenn Sie als Kandidat (Bewerber) Ihre Rechte ausüben möchten, beachten Sie bitte, dass Pickr Ihre Daten in der Regel als Auftragsverarbeiter im Auftrag unseres Kunden (Ihres potenziellen Arbeitgebers oder der beauftragten Personalvermittlung) verarbeitet. In diesem Fall leiten wir Ihre Anfrage an den verantwortlichen Kunden weiter, der über die Verarbeitung Ihrer Daten entscheidet.

§ 12 Cookies und Tracking

(1) Die Plattform verwendet ausschließlich technisch notwendige Cookies:

  • Session-Cookie (Supabase Auth): Dient der Authentifizierung und Sitzungsverwaltung. Dieser Cookie ist für die Funktion der Plattform zwingend erforderlich und bedarf keiner Einwilligung gemäß § 165 Abs. 3 TKG 2021.

(2) Die Plattform verwendet derzeit keine Tracking-Cookies, keine Analyse-Tools von Drittanbietern (wie Google Analytics) und keine Werbe-Tracker.

(3) Sollte zukünftig der Einsatz von Analyse- oder Marketing-Cookies geplant werden, wird hierfür vorab die Einwilligung der Nutzer über einen Cookie-Consent-Banner eingeholt.

§ 13 Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO, insbesondere:

  • Verschlüsselung aller Datenübertragungen mittels TLS 1.2 oder höher
  • Verschlüsselung gespeicherter Daten mittels AES-256
  • Multi-Faktor-Authentifizierung (MFA) mittels TOTP für alle Benutzerkonten
  • Rollenbasierte Zugriffskontrolle mit serverseitiger Validierung und Row-Level Security auf Datenbankebene
  • Umfassendes Audit-Logging aller Datenzugriffe
  • Regelmäßige Backups mit georedundanter Speicherung innerhalb der EU

Die vollständige Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) ist in Anlage 1 des AVV (pickr.dev/legal/avv) enthalten.

§ 14 Änderungen dieser Datenschutzerklärung

(1) Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der Plattformfunktionen, der eingesetzten Unterauftragsverarbeiter oder der Rechtslage.

(2) Die jeweils aktuelle Fassung ist unter pickr.dev/legal/privacy abrufbar.

(3) Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail. Die fortgesetzte Nutzung der Plattform nach Inkrafttreten der Änderung gilt als Kenntnisnahme.

§ 15 Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:

Agusta GmbH (Pickr)
Oberdorferstraße 4
6850 Dornbirn, Österreich
E-Mail: datenschutz@pickr.dev


Stand: Juni 2026 · Agusta GmbH (Pickr), Oberdorferstraße 4, 6850 Dornbirn, Österreich · Web: pickr.dev