Stand: Juni 2026
Datenschutzerklärung der Pickr-Plattform
Stand: Juni 2026
Diese Datenschutzerklärung gilt für die Webseite pickr.dev (Marketing-Seite und Blog) sowie die Anwendung app.pickr.dev (Plattform).
§ 1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:
Agusta GmbH (handelnd als Pickr)
Oberdorferstraße 4
6850 Dornbirn, Österreich
Geschäftsführer: Andreas G. A. Amann
E-Mail: datenschutz@pickr.dev
§ 2 Datenschutzbeauftragter
Die Agusta GmbH ist nach Art. 37 DSGVO in Verbindung mit § 5 DSG derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die Voraussetzungen (insbesondere umfangreiche regelmäßige und systematische Überwachung betroffener Personen oder umfangreiche Verarbeitung besonderer Datenkategorien als Kerntätigkeit) nicht erfüllt sind.
Für datenschutzrechtliche Anfragen wenden Sie sich bitte an: datenschutz@pickr.dev
§ 3 Kategorien personenbezogener Daten
Im Rahmen der Bereitstellung und Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:
3.1 Kandidatendaten
Daten von Bewerbern und Kandidaten, die von unseren Kunden in die Plattform eingegeben oder importiert werden:
- Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Postanschrift
- Bewerbungsdaten: Lebenslauf/CV, Berufserfahrung, Ausbildung, Qualifikationen, Sprachkenntnisse
- Gehaltserwartungen und Verfügbarkeit
- Video- und Audioaufnahmen von Interviews
- KI-generierte Interview-Transkriptionen
- KI-generierte Match-Scores und Scorecard-Bewertungen
- Kommunikationshistorie: E-Mail-Threads, WhatsApp-Nachrichten, LinkedIn-Nachrichten
- Notizen und Bewertungen durch Recruiter und Interviewer
3.2 Nutzer- und Mitarbeiterdaten
Daten der registrierten Nutzer der Plattform:
- Name, E-Mail-Adresse
- Rolle und Berechtigungsstufe innerhalb der Organisation
- Kalenderdaten (Interviewtermine)
- Login-Aktivitäten und Audit-Logs
3.3 Endkunden-Kontaktdaten (Agenturmodus)
Daten von Kontaktpersonen bei Endkunden, für die eine Agentur rekrutiert:
- Name, E-Mail-Adresse, Telefonnummer
- Stellenbeschreibungen, Anforderungsprofile, Hiring-Anforderungen
3.4 Audit-Nutzerdaten
Daten von Nutzern der kostenlosen Audit-Funktion (pickr.dev/audit):
- E-Mail-Adresse, Firmenname
- Übermittelte Prozessinformationen
§ 4 Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:
4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Bereitstellung und Betrieb der Plattform gemäß dem Nutzungsvertrag (Nutzungsbedingungen)
- Verarbeitung von Kandidatendaten im Auftrag des Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO, geregelt im AVV unter pickr.dev/legal/avv)
- Zahlungsabwicklung und Rechnungsstellung
- Kundenkommunikation und Support
4.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
- Gewährleistung der Sicherheit und Integrität der Plattform (Fraud Prevention, Missbrauchserkennung)
- Analyse von Nutzungsmustern zur Verbesserung der Plattform (ausschließlich auf Basis anonymisierter und aggregierter Daten)
- Protokollierung von Zugriffen und Aktivitäten (Audit-Logging) zur Nachvollziehbarkeit und Fehlerbehebung
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
4.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Aufzeichnung von Video-Interviews (Einwilligung der Interviewteilnehmer)
- Zusendung von Marketing-Kommunikation (Newsletter, Produktupdates), sofern der Nutzer ausdrücklich zugestimmt hat
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
4.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
- Aufbewahrung von Rechnungen und Zahlungsdaten gemäß den steuer- und handelsrechtlichen Aufbewahrungspflichten (§ 132 BAO, § 212 UGB: 7 Jahre)
§ 5 Zwecke der Verarbeitung
Personenbezogene Daten werden für folgende Zwecke verarbeitet:
- Bereitstellung der Plattform und ihrer Kernfunktionen (ATS, Kandidatenverwaltung, Kommunikation)
- KI-gestützte Verarbeitung (Matching, Scoring, Transkription, Interview-Analyse) – siehe § 6
- Durchführung und Aufzeichnung von Video-Interviews
- Kommunikation mit Kandidaten über integrierte Kanäle (E-Mail, WhatsApp, LinkedIn)
- Zahlungsabwicklung und Abonnementverwaltung
- Sicherheitsmaßnahmen und Betrugsverhinderung
- Weiterentwicklung und Verbesserung der Plattform (auf Basis anonymisierter Daten)
- Erfüllung gesetzlicher Aufbewahrungspflichten
§ 6 KI-gestützte Verarbeitung
(1) Die Plattform setzt Künstliche Intelligenz für folgende Funktionen ein:
- Kandidaten-Matching und -Scoring mittels Anthropic Claude AI: Abgleich von Kandidatenprofilen mit Anforderungsprofilen offener Positionen
- Interview-Analyse: KI-gestützte Auswertung von Interview-Inhalten zur Generierung von Scorecards und Bewertungsvorschlägen
- Transkription: Automatische Sprache-zu-Text-Umwandlung von Video-Interviews mittels Deepgram
- Generierung von Interview-Fragen auf Basis des Kandidatenprofils und der Stellenanforderungen
(2) Die KI-Verarbeitung erfolgt ausschließlich als Inference (Modell-Abfrage). Personenbezogene Daten werden zu keinem Zeitpunkt zum Training, Fine-Tuning oder zur Verbesserung von KI-Modellen verwendet – weder durch Pickr noch durch die eingesetzten KI-Unterauftragsverarbeiter (Anthropic, Deepgram). Dies ist vertraglich mit den Unterauftragsverarbeitern vereinbart.
(3) Die Ergebnisse der KI-Verarbeitung dienen ausschließlich als Entscheidungsunterstützung. Es werden keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen im Sinne von Art. 22 DSGVO getroffen. Die Verantwortung für alle Personalentscheidungen liegt beim Kunden.
(4) Bei der KI-Verarbeitung werden nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten an die KI-Dienste übermittelt (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).
§ 7 Empfänger und Unterauftragsverarbeiter
Personenbezogene Daten werden an folgende Empfänger und Unterauftragsverarbeiter übermittelt, soweit dies für die Bereitstellung der Plattform erforderlich ist:
| Empfänger | Zweck | Standort | Transfermechanismus |
|---|---|---|---|
| Supabase, Inc. (via AWS) | Datenbank-Hosting, Authentifizierung, Dateispeicherung | Zürich, Schweiz | Angemessenheitsbeschluss CH |
| Vercel, Inc. | Application Hosting, Serverless Functions | Frankfurt, Deutschland | EU, kein Drittlandtransfer |
| Anthropic, PBC | KI-Matching, Scoring, Interview-Analyse | USA | EU-US DPF / SCCs |
| Deepgram, Inc. | Sprache-zu-Text-Transkription | USA | EU-US DPF / SCCs |
| Daily.co, Inc. | Video-Interview-Infrastruktur | EU/USA | EU-US DPF / SCCs |
| Resend, Inc. | Transaktionale E-Mail-Zustellung | USA | EU-US DPF / SCCs |
| Stripe, Inc. | Zahlungsabwicklung | EU/USA | Eigener Art. 28 DPA, EU-US DPF |
| Google LLC | E-Mail-Synchronisation, Kalender-Integration | EU/USA | Google Cloud DPA, EU-US DPF / SCCs |
| Meta Platforms Ireland Limited | WhatsApp Business Messaging | EU | EU, kein Drittlandtransfer |
| HeyReach d.o.o. | LinkedIn Outreach-Synchronisation | EU | EU, kein Drittlandtransfer |
Sämtliche Unterauftragsverarbeiter unterliegen den Regelungen des Auftragsverarbeitungsvertrags (AVV), abrufbar unter pickr.dev/legal/avv.
Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. Auskunftspflichten gegenüber Strafverfolgungsbehörden oder Aufsichtsbehörden).
§ 8 Nutzung von Google API-Daten
(1) Pickr greift mit Ihrer ausdrücklichen Zustimmung auf bestimmte Google-Dienste zu, um Recruiting-Funktionen bereitzustellen. Im Einzelnen:
8.1 Google Gmail API
Zweck: Synchronisierung von E-Mail-Konversationen mit Kandidaten in den Pickr-Posteingang, Versand von E-Mails im Namen des Nutzers.
Zugegriffene Daten: E-Mail-Nachrichten, Betreffzeilen, Absender- und Empfängeradressen, Anhänge in Konversationen mit Kandidaten.
Speicherung: E-Mail-Inhalte werden in unserer Datenbank in der Schweiz (Supabase, Zürich) gespeichert und sind ausschließlich für die Organisation des Nutzers zugänglich.
Aufbewahrung: E-Mail-Daten werden gespeichert, solange das Nutzerkonto aktiv ist. Bei Kontolöschung werden alle synchronisierten E-Mail-Daten innerhalb von 30 Tagen gelöscht.
Weitergabe: E-Mail-Inhalte werden nicht an Dritte weitergegeben. Bei aktivierter KI-Unterstützung werden E-Mail-Inhalte zur Erstellung von Antwortentwürfen an unseren KI-Anbieter übermittelt, wobei personenbezogene Daten vorher anonymisiert werden (siehe § 6 KI-gestützte Verarbeitung).
8.2 Google Calendar API
Zweck: Anzeige der Kalenderverfügbarkeit für die Interview-Terminplanung, Erstellung von Kalendereinträgen für geplante Interviews.
Zugegriffene Daten: Verfügbarkeit/Belegtzeiten (keine Ereignisdetails), Erstellung neuer Kalendereinträge.
Speicherung: Kalenderdaten werden nicht dauerhaft gespeichert. Verfügbarkeitsinformationen werden nur zum Zeitpunkt der Terminplanung abgerufen.
Weitergabe: Kalenderdaten werden nicht an Dritte weitergegeben.
8.3 Google OAuth (Anmeldung)
Zweck: Authentifizierung und Anmeldung bei Pickr.
Zugegriffene Daten: Name, E-Mail-Adresse, Profilbild.
Speicherung: In der Nutzertabelle unserer Datenbank.
Weitergabe: Nicht an Dritte.
(2) Pickr's Nutzung von Google API-Daten entspricht den Google API Services User Data Policy, einschließlich der Limited Use Anforderungen. Wir verwenden Google-Nutzerdaten ausschließlich zur Bereitstellung der oben beschriebenen Funktionen und geben diese nicht für Werbezwecke oder andere nicht genehmigte Zwecke weiter.
Google API Limited Use Disclosure: Pickr's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
(3) Sie können den Zugriff auf Ihre Google-Daten jederzeit widerrufen unter Einstellungen > Integrationen > Google trennen. Bereits synchronisierte Daten werden bei Trennung nicht automatisch gelöscht, können aber auf Anfrage entfernt werden.
§ 9 Drittlandtransfers
(1) Soweit personenbezogene Daten an Unterauftragsverarbeiter in den USA übermittelt werden, stützt sich die Übermittlung auf folgende Garantien gemäß Art. 44 ff. DSGVO:
- EU-US Data Privacy Framework (Art. 45 DSGVO) – sofern der Empfänger zertifiziert ist,
- Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchführungsbeschlusses (EU) 2021/914.
(2) Für Unterauftragsverarbeiter in der Schweiz (Supabase/AWS) besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO.
(3) Transfer Impact Assessments (TIAs) werden für sämtliche Drittlandtransfers durchgeführt und auf Anfrage zur Verfügung gestellt.
§ 10 Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Datenkategorie | Speicherdauer | Konfigurierbar |
|---|---|---|
| Kandidatendaten | 24 Monate nach letzter Aktivität im Datensatz | Ja, durch den Kunden |
| Video-/Audioaufnahmen | 12 Monate nach Aufzeichnung | Ja, durch den Kunden |
| Nutzerdaten | Für die Dauer des Nutzerkontos | Nein |
| Audit-Logs | 12 Monate | Nein |
| Kommunikationshistorie | 24 Monate nach letzter Aktivität | Ja, durch den Kunden |
| Audit-Nutzerdaten (pickr.dev/audit) | 90 Tage | Nein |
| Rechnungsdaten | 7 Jahre (§ 132 BAO, § 212 UGB) | Nein |
Nach Beendigung des Nutzungsvertrags werden personenbezogene Daten innerhalb von dreißig (30) Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden innerhalb von neunzig (90) Tagen nach Vertragsende gelöscht.
§ 11 Betroffenenrechte
Betroffene Personen haben nach der DSGVO folgende Rechte:
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen, einschließlich der Verarbeitungszwecke, Datenkategorien, Empfänger und Speicherdauer.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen erfüllt ist.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien, Österreich
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at
Für die Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@pickr.dev. Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
Hinweis für Kandidaten: Wenn Sie als Kandidat (Bewerber) Ihre Rechte ausüben möchten, beachten Sie bitte, dass Pickr Ihre Daten in der Regel als Auftragsverarbeiter im Auftrag unseres Kunden (Ihres potenziellen Arbeitgebers oder der beauftragten Personalvermittlung) verarbeitet. In diesem Fall leiten wir Ihre Anfrage an den verantwortlichen Kunden weiter, der über die Verarbeitung Ihrer Daten entscheidet.
§ 12 Cookies und Tracking
(1) Die Plattform verwendet ausschließlich technisch notwendige Cookies:
- Session-Cookie (Supabase Auth): Dient der Authentifizierung und Sitzungsverwaltung. Dieser Cookie ist für die Funktion der Plattform zwingend erforderlich und bedarf keiner Einwilligung gemäß § 165 Abs. 3 TKG 2021.
(2) Die Plattform verwendet derzeit keine Tracking-Cookies, keine Analyse-Tools von Drittanbietern (wie Google Analytics) und keine Werbe-Tracker.
(3) Sollte zukünftig der Einsatz von Analyse- oder Marketing-Cookies geplant werden, wird hierfür vorab die Einwilligung der Nutzer über einen Cookie-Consent-Banner eingeholt.
§ 13 Sicherheitsmaßnahmen
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO, insbesondere:
- Verschlüsselung aller Datenübertragungen mittels TLS 1.2 oder höher
- Verschlüsselung gespeicherter Daten mittels AES-256
- Multi-Faktor-Authentifizierung (MFA) mittels TOTP für alle Benutzerkonten
- Rollenbasierte Zugriffskontrolle mit serverseitiger Validierung und Row-Level Security auf Datenbankebene
- Umfassendes Audit-Logging aller Datenzugriffe
- Regelmäßige Backups mit georedundanter Speicherung innerhalb der EU
Die vollständige Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) ist in Anlage 1 des AVV (pickr.dev/legal/avv) enthalten.
§ 14 Änderungen dieser Datenschutzerklärung
(1) Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der Plattformfunktionen, der eingesetzten Unterauftragsverarbeiter oder der Rechtslage.
(2) Die jeweils aktuelle Fassung ist unter pickr.dev/legal/privacy abrufbar.
(3) Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail. Die fortgesetzte Nutzung der Plattform nach Inkrafttreten der Änderung gilt als Kenntnisnahme.
§ 15 Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:
Agusta GmbH (Pickr)
Oberdorferstraße 4
6850 Dornbirn, Österreich
E-Mail: datenschutz@pickr.dev
Stand: Juni 2026 · Agusta GmbH (Pickr), Oberdorferstraße 4, 6850 Dornbirn, Österreich · Web: pickr.dev