Compliance ist kein Add-on.
Wir verarbeiten sensible Personaldaten — und behandeln sie auch so. Hier die konkreten technischen und vertraglichen Garantien, die Ihr Datenschutz-Team in einem Audit-Termin vorlegen kann.
Datenminimierung im Schema (kein Foto, kein Geburtsdatum, keine geschützten Merkmale), Privacy-Defaults aktiv, geprüfte Auftragsverarbeitung. Art. 6 + 7 dokumentiert pro Kandidat.
Hosting in EU/DE bei deutschen Hyperscaler-Regionen. Keine Datenübermittlung in unsichere Drittstaaten. SCCs nur dort, wo unumgänglich — und transparent dokumentiert.
Geschulte Reviewer rufen Referenzgeber persönlich an — keine Bot-Anrufe, keine KI-Stimme bei Ihren Kontakten. KI dokumentiert und strukturiert nur, was Menschen verifiziert haben.
Standard-Auftragsverarbeitungsvertrag (Art. 28 DSGVO) inklusive — keine Sonderverhandlung nötig. Anpassbar für regulierte Branchen (Banking, Healthcare, Versicherung).
Jeder Lesezugriff, jede Statusänderung, jede E-Mail wird mit Zeitstempel, Akteur und IP protokolliert. DSAR-Auskunft (Art. 15) ist ein Knopfdruck, keine Wochen-Recherche.
Tägliche Cron-Routine löscht abgeschlossene Prüfungen nach gesetzlich begründbarer Speicherdauer. Speicherfristen pro Kandidaten-Status differenziert — kein Datenfriedhof.
Compliance ist
kein Add-on.
Wir verarbeiten sensible Personaldaten — und behandeln sie auch so. Die Plattform ist nach Privacy-by-Design-Prinzipien gebaut, AVV-fähig ab Tag 1.
Die fünf Fragen, die jedes Datenschutz-Team zuerst stellt
Wo werden die Personaldaten gespeichert?
Ausschließlich in Rechenzentren in Deutschland und EU. Die Datenbank liegt bei einer EU-Region eines deutschen Cloud-Anbieters (Supabase EU). Keine Datenübermittlung in unsichere Drittstaaten ohne dokumentierte Standardvertragsklauseln.
Wie lange werden Kandidatendaten aufbewahrt?
Abgeschlossene Referenzprüfungen werden nach maximal 180 Tagen automatisch gelöscht — über einen täglich laufenden Cron-Job. Die Frist ist pro Kandidaten-Status differenziert und gesetzlich begründbar. Bewerber können vorher jederzeit Löschung verlangen (Art. 17 DSGVO).
Gibt es einen Auftragsverarbeitungsvertrag?
Ja, ein Standard-AVV nach Art. 28 DSGVO ist im Lieferumfang enthalten — keine Sonderverhandlung nötig. Für regulierte Branchen (Banking, Healthcare, Versicherung) bieten wir branchenspezifische Anpassungen.
Werden Referenzgeber von einer KI angerufen?
Nein. Referenzgeber werden ausschließlich von geschulten menschlichen Reviewern persönlich kontaktiert. KI dokumentiert und strukturiert nur, was Menschen verifiziert haben. candiq Voice spricht ausschließlich mit Kandidaten — niemals mit deren Referenzgebern.
Wie ist die DSAR-Auskunft (Art. 15 DSGVO) organisiert?
Jeder Lesezugriff, jede Statusänderung und jede E-Mail wird in einem Audit-Trail mit Zeitstempel, Akteur und IP protokolliert. Eine Auskunft an einen Betroffenen ist damit ein gezielter Datenbank-Export, keine wochenlange manuelle Recherche.
Heute sprechen.
Morgen sauberer einstellen.
Reference Checks brauchen aktive Begleitung — keine Self-Service-Buttons. Buchen Sie 15 Minuten, wir richten Ihren persönlichen Testzugang ein und zeigen Ihnen den Report-Flow live.