Datenschutzerklärung
Stand: 01. Januar 2026
Sleak GmbH betreibt eine KI-gestützte Plattform für Kompetenzentwicklung, Workflow-Unterstützung und Assessment. Unsere Dienste umfassen unsere Website (sleak.ai), Webanwendung und alle zugehörigen Funktionen, Tools und Features (zusammen die 'Dienste').
Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, wie wir sie verwenden, an wen wir sie weitergeben, wie lange wir sie speichern und welche Rechte Sie haben.
Für Geschäftskunden: Wenn Sie Sleak über einen Startup-, Business- oder Enterprise-Workspace nutzen, unterliegt Ihre Nutzung unserem Rahmendienstleistungsvertrag und Auftragsverarbeitungsvertrag (AVV). Bei Widersprüchen zwischen dieser Datenschutzerklärung und diesen Vereinbarungen gelten letztere für die dort geregelten Verarbeitungen.
Als deutsches Unternehmen verarbeiten wir Ihre Daten gemäß der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Inhaltsverzeichnis
- Verantwortlicher und Kontakt
- Rollen und Verantwortlichkeiten
- Welche Daten erheben wir?
- Wie verwenden wir Ihre Daten?
- An wen geben wir Ihre Daten weiter?
- Drittanbieter-Logins
- Wie lange speichern wir Ihre Daten?
- Internationale Datenübermittlungen
- Datensicherheit
- KI-gestützte Bewertungen
- Minderjährige
- Ihre Rechte
- Änderungen dieser Datenschutzerklärung
1. Verantwortlicher und Kontakt
Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:
Sleak GmbH
c/o Mindspace
Rosental 7
80331 München
Allgemeine Anfragen: info@sleak.ai
Datenschutzanfragen: privacy@sleak.ai
Telefon: +49 162 974 5374
Wir sind bestrebt, alle Anfragen innerhalb eines angemessenen Zeitrahmens zu beantworten und mit Ihnen zusammenzuarbeiten, um etwaige Bedenken bezüglich unseres Umgangs mit Ihren personenbezogenen Daten zu klären.
Datenschutzbeauftragter:
Kertos GmbH
Brienner Str. 41
80333 München
E-Mail: dsb@kertos.io
2. Rollen und Verantwortlichkeiten
Wann ist Sleak Verantwortlicher?
Sleak ist eigenständiger Verantwortlicher für:
- Konto- und Abrechnungsdaten: Registrierung, Authentifizierung, Abonnementverwaltung und Zahlungsabwicklung
- Marketing und Kommunikation: Newsletter, Produktupdates und Werbemitteilungen
- Website-Analysen: Verständnis der Websitenutzung und Verbesserung unserer Online-Präsenz
- Plattformbetrieb und Sicherheit: Betrugsprävention, Sicherheitsüberwachung und Aufrechterhaltung der Dienstintegrität
- Bewerbungen: Verarbeitung von Bewerbungen für Stellen bei Sleak
Wann ist Sleak Auftragsverarbeiter?
Sleak handelt als Auftragsverarbeiter im Auftrag unserer Kunden (der Verantwortlichen) für:
- Workspace-Daten: Alle Inhalte, Sessions, Transkripte und Nutzeraktivitäten innerhalb eines Kunden-Workspaces
- Recruiter-Bewertungsdaten: Aufnahmen, Transkripte und Scores von Bewerbern, wobei der einladende Arbeitgeber Verantwortlicher ist
- Kundengesteuerte Integrationen: Daten, die über vom Kunden konfigurierte Integrationen mit Drittsystemen verarbeitet werden
Wenn wir als Auftragsverarbeiter handeln, unterliegt die Verarbeitung einem Auftragsverarbeitungsvertrag (AVV) mit dem Kunden. Wenn Sie als Endnutzer über Ihren Arbeitgeber auf Sleak zugreifen, ist Ihr Arbeitgeber Verantwortlicher für Ihre Workspace-Daten. Richten Sie datenschutzrechtliche Anfragen zunächst an diesen.
3. Welche Daten erheben wir?
A. Von Ihnen bereitgestellte Daten
Kontodaten
Bei der Kontoerstellung erheben wir Ihren Namen, Ihre geschäftliche E-Mail-Adresse, Ihre Handy- oder Telefonnummer und Unternehmensdomäne. Die Bereitstellung Ihrer Kontodaten ist für den Vertragsabschluss erforderlich. Ohne diese Daten können wir Ihnen keinen Zugang zu unseren Diensten gewähren.
Zahlungsdaten
Bei Käufen erheben wir Zahlungsinformationen wie Kreditkartennummer und Sicherheitscode. Alle Zahlungsdaten werden von Stripe, Inc. gespeichert. Deren Datenschutzerklärung finden Sie unter: https://stripe.com/de/privacy
Kommunikation
Wenn Sie uns kontaktieren, erheben wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachrichten. Bei Newsletter-Anmeldungen erheben wir Ihren Namen und Ihre E-Mail-Adresse. Wir können nachverfolgen, ob Sie unsere E-Mails öffnen, um unsere Kommunikation zu verbessern.
Buchhaltungsinformationen
Wir erheben Informationen über Ihre Käufe und Zahlungen zur Erfüllung unserer buchhalterischen und steuerlichen Pflichten.
Bewerbungen bei Sleak
Wenn Sie sich bei uns bewerben, erheben wir die von Ihnen in Ihrer Bewerbung bereitgestellten Informationen, wie Ausbildung und Berufserfahrung.
B. Session- und Inhaltsdaten
Bei Nutzung unserer KI-Funktionen erheben wir:
Text-Inputs und -Outputs
Ihre Prompts, Nachrichten und Anfragen sowie die KI-generierten Antworten in Coaching-Gesprächen, Simulationen und anderen interaktiven Funktionen.
Sprachaufnahmen und Transkripte
Bei Nutzung sprachbasierter Funktionen nehmen wir Ihre gesprochenen Inputs auf und transkribieren diese. Die Sprachaufnahme erfolgt auf Basis Ihrer Einwilligung, die Sie bei erstmaliger Nutzung einer sprachbasierten Session durch Bestätigung des Aufnahmehinweises erteilen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns unter privacy@sleak.ai kontaktieren oder Ihre Aufnahmen in den Kontoeinstellungen löschen. Die Bereitstellung von Sprachaufnahmen ist freiwillig; bei Nichtbereitstellung können bestimmte sprachbasierte Funktionen nicht genutzt werden.
Session-Metadaten
Informationen über Ihre Sessions wie Zeitstempel, Dauer, genutzte Funktionen und Interaktionsmuster.
Scorecards und Bewertungen
Leistungsbewertungen, Feedback und Evaluierungsdaten aus unseren Bewertungs- und Simulationsfunktionen.
Dateien und Dokumente
Von Ihnen hochgeladene Dateien oder Dokumente zur Verarbeitung innerhalb der Dienste.
Sichtbarkeit von Session-Daten:
- Persönliche Konten: Ihre Session-Daten sind privat, sofern Sie sie nicht teilen.
- Workspaces: Session-Daten innerhalb eines Workspaces können für Workspace-Owner, Administratoren, oder anderen Rollen sichtbar sein, wie von Ihrem Arbeitgeber konfiguriert. Ihr Arbeitgeber bestimmt als Verantwortlicher die Zugriffsberechtigungen und Aufbewahrungsrichtlinien.
- Recruiter-Bewertungen: Ihre Bewertungsdaten werden mit dem einladenden Arbeitgeber geteilt.
C. Cookies und ähnliche Technologien
Wir und unsere Partner erheben Daten mittels Cookies, Pixel-Tags oder ähnlicher Technologien. Dies können Informationen wie eindeutige Kennungen, Systeminformationen, IP-Adresse, Browsertyp, Gerätetyp und besuchte Webseiten umfassen.
Wir verwenden funktionale, analytische und Marketing-Cookies nur mit Ihrer vorherigen Einwilligung gemäß TDDDG und DSGVO. Sie können Ihre Einwilligung jederzeit so einfach widerrufen, wie Sie sie erteilt haben.
Unbedingt erforderliche Cookies sind für die Bereitstellung unserer Dienste notwendig (z. B. Login-Funktionalität) und können nicht deaktiviert werden. Funktionale Cookies speichern Ihre Präferenzen. Analyse-Cookies helfen uns, die Nutzung unserer Dienste zu verstehen; wir verwenden PostHog für Analysen (https://posthog.com/privacy). Marketing-Cookies ermöglichen relevante Werbung.
Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner oder Ihre Browsereinstellungen anpassen.
D. Daten aus anderen Quellen
Berufliche Kontaktdaten
Wir erheben bestimmte Daten von Datenanbietern, wie berufliche Kontaktdaten und Unternehmensinformationen. Unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) besteht in der Gewinnung neuer Geschäftskunden durch gezielte B2B-Ansprache. Wir verarbeiten hierbei ausschließlich berufliche Kontaktdaten (Name, geschäftliche E-Mail-Adresse, Unternehmen, Position) und keine privaten Daten. Sie können dieser Verarbeitung jederzeit widersprechen.
Drittanbieter-Login-Daten
Wenn Sie Ihr Konto über einen Drittanbieter erstellen (z. B. Google, Microsoft), teilt dieser Anbieter Ihren Namen und Kontaktdaten mit uns.
E. Besondere Kategorien personenbezogener Daten
Sprachaufnahmen und Sprachverarbeitung
Sprachbasierte Interaktionen sind ein wesentlicher Bestandteil unserer Dienste. Die Rechtsgrundlage für die Verarbeitung von Sprachdaten hängt vom Kontext ab:
Persönliche Konten (Sleak als Verantwortlicher):
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Soweit die Sprachverarbeitung zur Erbringung der vertraglich vereinbarten sprachbasierten Funktionen erforderlich ist (Echtzeit-Transkription, Session-Durchführung, Scorecard-Bewertung, Ergebnisbereitstellung).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Soweit Sprachaufnahmen über die unmittelbare Session-Durchführung hinaus verarbeitet werden (z. B. Session-Wiedergabe, Qualitätssicherung, Fortschrittsanalysen). Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Verarbeitungen, die über die Diensterbringung hinausgehen (z. B. Nutzung anonymisierter Sprachdaten für Produktentwicklung). Sie können Ihre Einwilligung jederzeit widerrufen.
Workspace-Nutzer (Sleak als Auftragsverarbeiter):
Wenn Sie über einen Arbeitgeber-Workspace auf sprachbasierte Funktionen zugreifen, ist Ihr Arbeitgeber Verantwortlicher. Die Rechtsgrundlage richtet sich nach dem Verhältnis zwischen Ihnen und Ihrem Arbeitgeber (typischerweise Arbeitsvertrag oder berechtigte Interessen des Arbeitgebers). Sleak verarbeitet Ihre Sprachdaten ausschließlich gemäß den Weisungen Ihres Arbeitgebers auf Basis des Auftragsverarbeitungsvertrags.
Recruiter-Bewerber:
Bei Recruiter-Bewertungen ist der einladende Arbeitgeber Verantwortlicher. Ihre Einwilligung in die Aufnahme wird vor Beginn der Bewertung eingeholt. Sie können die Teilnahme ablehnen.
Keine biometrische Identifikation
Wir verwenden Sprachaufnahmen nicht zur biometrischen Identifikation. Die Sprachverarbeitung dient ausschließlich der Transkription, Session-Wiedergabe und Leistungsbewertung anhand inhaltlicher Kriterien. Da wir Sprachdaten nicht zur eindeutigen Identifizierung von Personen verarbeiten, stellen sie in unserem Anwendungsfall keine besonderen Kategorien biometrischer Daten nach Art. 9 DSGVO dar.
Keine Emotionserkennung
Sleak führt keine Emotionserkennung oder -inferenz durch. Unsere Systeme analysieren weder Stimmmerkmale, Tonfall noch andere Signale, um emotionale Zustände abzuleiten. Die Bewertung basiert ausschließlich auf dem gesprochenen Inhalt anhand definierter Kompetenzkriterien (Scorecards).
Beiläufig erfasste sensible Daten
Unsere Dienste sind nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten zu erheben (wie Gesundheitsinformationen, religiöse Überzeugungen oder politische Meinungen). Sie kontrollieren, was Sie in Sessions besprechen oder teilen. Wenn Sie sensible Informationen offenlegen, können diese beiläufig als Teil des Transkripts erfasst werden.
Empfehlung: Teilen Sie keine sensiblen personenbezogenen Daten in Sessions, es sei denn, Sie stimmen deren Aufnahme und Verarbeitung zu.
4. Wie verwenden wir Ihre Daten?
Wir verarbeiten Ihre Daten nur auf Basis einer gültigen Rechtsgrundlage:
| Zweck | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Bereitstellung und Verbesserung der Dienste | Wir können Ihre personenbezogenen Daten verarbeiten, um unsere Dienste bereitzustellen, zu warten, zu verbessern und zu erweitern, einschließlich der Entwicklung und des Ausbaus unserer Produkte. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Nutzungsanalyse und Verbesserung der Dienste | Wir können Ihre personenbezogenen Daten, die wir über die Dienste erheben, verwenden, um zu verstehen und zu analysieren, wie Sie unsere Dienste nutzen, und um neue Produkte, Dienste, Funktionen und Features zu entwickeln. | Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Vertrieb und Marketing | Wir können Ihre personenbezogenen Daten für Vertriebs- und Marketingzwecke verarbeiten, einschließlich der Vermarktung oder Bewerbung unserer Dienste gegenüber potenziellen oder bestehenden Kunden sowie der Durchführung von Produktdemonstrationen. | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Kommunikation mit Ihnen | Wir können Ihre personenbezogenen Daten verwenden, um Sie zu kontaktieren, auch per E-Mail, Telefon und Textnachricht, zu administrativen Zwecken, wie zur Bereitstellung von Informationen, die Sie anfordern, zur Beantwortung von Kommentaren und Fragen oder um Sie um Feedback und die Teilnahme an Umfragen zu bitten. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Abrechnung und Buchhaltung | Wir können Ihre personenbezogenen Daten verarbeiten, um Transaktionen und Zahlungen zu ermöglichen, die von Ihnen initiierten Zahlungen abzuwickeln und für Buchhaltungszwecke, einschließlich der Aufzeichnung Ihrer Zahlungen. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) |
| Betrugs- und Vorfallprävention | Wir können Ihre personenbezogenen Daten verwenden, um Sicherheitsvorfälle zu erkennen und auf Vertrauens- und Sicherheitsprobleme zu reagieren, vor böswilligen, betrügerischen, irreführenden oder illegalen Aktivitäten zu schützen und die dafür Verantwortlichen zu verfolgen. | Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) |
| Bereitstellung technischen Supports | Wir verwenden personenbezogene Daten zur Bereitstellung technischen Supports, einschließlich der Diagnose und Behebung von Problemen, die Sie melden. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
| Erstellung aggregierter Daten | Wir können Ihre personenbezogenen Daten verarbeiten, um anonymisierte oder aggregierte Daten zu erstellen, die wir für beliebige rechtmäßige Zwecke verwenden können, beispielsweise zur Veröffentlichung von Berichten. | Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Administrative und rechtliche Angelegenheiten | Wir können Ihre personenbezogenen Daten verwenden, um administrative oder rechtliche Angelegenheiten im Zusammenhang mit Sleak zu behandeln, einschließlich, aber nicht beschränkt auf Urheberrechtsverletzungen, Verleumdung, Datenschutzfragen, zur Durchsetzung unserer Nutzungsbedingungen oder soweit erforderlich zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen. | Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Compliance | Wir können Ihre personenbezogenen Daten zur Erfüllung rechtlicher Verpflichtungen verarbeiten, denen wir unterliegen, beispielsweise zur Einhaltung von Buchhaltungs- und Steuervorschriften oder auf Anordnung eines Gerichts, eines Gerichtsverfahrens oder einer Behörde. | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) |
Berechtigte Interessen
Wo wir berechtigte Interessen als Rechtsgrundlage heranziehen, haben wir eine Interessenabwägung durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und Grundfreiheiten nicht überwiegen. Zusammenfassungen unserer Interessenabwägungen sind auf Anfrage bei privacy@sleak.aierhältlich.
Unsere berechtigten Interessen umfassen insbesondere:
- Dienstbetrieb und Sicherheit: Betrieb, Absicherung und Verbesserung der Dienste; Erkennung und Verhinderung von Betrug und Missbrauch
- Produktentwicklung: Analyse aggregierter und de-identifizierter Nutzungsdaten zur Verbesserung von Funktionen und Nutzererfahrung
- Workspace-Funktionalität: Ermöglichung der Workspace-Verwaltung durch Owner und Administratoren
- Recruiter-Bewertungen: Durchführung von Recruiter-Simulationen und Bereitstellung von Bewertungsergebnissen an einladende Arbeitgeber
- Marketing: Kontaktaufnahme mit bestehenden und potenziellen Kunden zu Produkten und Dienstleistungen
- Rechtswahrung: Erkennung und Reaktion auf rechtliche Anfragen, Durchsetzung von Nutzungsbedingungen
Sie haben das Recht, der Verarbeitung auf Basis berechtigter Interessen zu widersprechen.
5. An wen geben wir Ihre Daten weiter?
Dienstleister
Wir können Daten an Dienstleister weitergeben, die uns bei der Erbringung unserer Dienste unterstützen, wie Hosting, Datenanalyse, IT-Infrastruktur, Kundenservice, E-Mail-Zustellung und Zahlungsabwicklung.
KI-Modellanbieter
Zur Bereitstellung der KI-Funktionen unserer Dienste – einschließlich Coaching-Gespräche, Trainingssimulationen, Recruiter-Bewertungen, Transkription und Scoring – übermitteln wir bestimmte Daten an Drittanbieter von KI-Modellen.
Übermittelte Daten können umfassen:
- Text-Eingaben und Prompts
- Sprachaufnahmen und Audiodaten
- Session-Transkripte und Kontext
- Hochgeladene Dateien oder Dokumente
- Für die Verarbeitung erforderliche Metadaten
Unsere KI-Anbieter:
| Anbieter | Dienste | Verarbeitungsort | Datenschutzerklärung |
|---|---|---|---|
| OpenAI (via Azure und direkte API) | Sprachmodelle, Chat, Reasoning | EU | openai.com/privacy |
| Microsoft (Azure AI Services) | Sprache-zu-Text, Sprachmodelle | EU | privacy.microsoft.com |
| ElevenLabs | Text-zu-Sprache, Sprachsynthese | EU (Standard); US möglich | elevenlabs.io/privacy |
| Deepgram | Sprache-zu-Text, Transkription | EU | deepgram.com/privacy |
Wichtige Hinweise:
- Kein Cross-Customer-Training: Sleak verwendet keine identifizierbaren Eingaben/Ausgaben eines Kunden zum Training von KI-Modellen, die anderen Kunden zugutekommen. Verbesserungsaktivitäten nutzen ausschließlich anonymisierte und aggregierte Daten.
- Auftragsverarbeiter-Pflichten: Alle KI-Modellanbieter handeln als Unterauftragsverarbeiter unter unseren Auftragsverarbeitungsverträgen und unterliegen gleichwertigen Vertraulichkeits- und Sicherheitsverpflichtungen.
Wir können diese Liste bei Hinzufügung oder Änderung von Anbietern aktualisieren und wesentliche Änderungen in dieser Datenschutzerklärung widerspiegeln.
Sleak-Nutzer
Wenn Sie an öffentlichen Sleak-Wettbewerben teilnehmen oder Ihr Sleak-Profil öffentlich einstellen, können wir Ihren Anzeigenamen und andere Daten anderen Sleak-Nutzern und der Öffentlichkeit zugänglich machen.
Gesetzlich erforderliche Offenlegungen
Wir können Ihre Daten offenlegen, wenn dies erforderlich ist, um: (a) rechtlichen Verfahren nachzukommen, wie Gerichtsbeschlüssen oder Vorladungen; (b) auf Ihre Anfragen zu reagieren; oder (c) Ihre, unsere oder die Rechte, das Eigentum oder die Sicherheit anderer zu schützen.
Verbundene Unternehmen
Wir können Daten mit unseren derzeitigen oder künftigen verbundenen Unternehmen für die in dieser Datenschutzerklärung beschriebenen Zwecke teilen.
Unternehmenstransaktionen
Bei Fusionen, Übernahmen oder dem Verkauf von Vermögenswerten können Ihre Daten an Berater oder Transaktionspartner übertragen werden. Die Nutzung Ihrer Daten nach solchen Ereignissen unterliegt der zum Zeitpunkt der Erhebung geltenden Datenschutzerklärung.
Mit Ihrer Einwilligung
Wir können Ihre Daten auch in anderen Fällen mit Ihrer Zustimmung offenlegen.
6. Drittanbieter-Logins
Unsere Website bietet Ihnen die Möglichkeit, sich über Drittanbieter-Logins zu registrieren und anzumelden (z. B. Google, Microsoft). Dabei erhalten wir bestimmte Profilinformationen vom Drittanbieter, typischerweise Ihren Namen und Ihre E-Mail-Adresse.
Wir verwenden diese Informationen nur für die in dieser Datenschutzerklärung beschriebenen Zwecke. Wir kontrollieren nicht die Nutzung Ihrer Daten durch den Drittanbieter und empfehlen Ihnen, dessen Datenschutzerklärung zu prüfen.
Sie sind verantwortlich für die Geheimhaltung Ihres Passworts und Ihrer Kontoinformationen sowie für die Kontrolle des Zugriffs auf Ihre E-Mail-Kommunikation von Sleak.
7. Wie lange speichern wir Ihre Daten?
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die in dieser Datenschutzerklärung genannten Zwecke erforderlich ist, sofern keine längere Aufbewahrungsfrist gesetzlich vorgeschrieben ist.
| Datenkategorie | Aufbewahrungsfrist | Begründung |
|---|---|---|
| Kontodaten | Kontodauer plus 2 Jahre nach Löschung | Bereitstellung der Dienste und Bearbeitung nachträglicher Anfragen |
| Ihre Inhalte (Inputs/Outputs) | Kontodauer; Löschung innerhalb von 30 Tagen nach Kontolöschung | Gebunden an Diensterbringung |
| Zahlungs- und Transaktionsdaten | 10 Jahre ab Transaktionsdatum | Gesetzliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB) |
| Kommunikationsaufzeichnungen | 2 Jahre ab letzter Kommunikation | Streitbeilegung und Servicequalität |
| Nutzungsdaten und Analysen | 26 Monate (danach anonymisiert) | Dienstverbesserung und Analysen |
| Marketing-Einwilligungsnachweise | Einwilligungsdauer plus 2 Jahre nach Widerruf | Nachweis der Einwilligung |
| Recruiter-Bewerberdaten | Bis zu 6 Monate nach Bewertungsabschluss (sofern Arbeitgeber nicht anders festlegt oder Bewerber Löschung verlangt) | Arbeitsrechtliche Anforderungen und Arbeitgeber-Review |
| Bewerbungsdaten (Stellen bei Sleak) | 6 Monate nach Einstellungsentscheidung (sofern keine längere Einwilligung) | AGG-Anforderungen und potenzielle Rechtsansprüche |
| Server-Logs | 90 Tage | Sicherheit, Fehlerbehebung und Betrugsprävention |
| Anonymisierte Daten | Unbegrenzt | Können nicht mehr auf Personen zurückgeführt werden |
Anonymisierung vs. Pseudonymisierung: 'Anonymisierte' Daten wurden so verarbeitet, dass sie nicht mehr einer identifizierten oder identifizierbaren Person zugeordnet werden können. Sie fallen nicht mehr unter die DSGVO. 'Pseudonymisierte' Daten ersetzen Identifikatoren durch Token, können aber mit zusätzlichen Informationen wieder verknüpft werden und bleiben personenbezogene Daten.
8. Internationale Datenübermittlungen
Unsere Dienste werden primär in der Europäischen Union gehostet (Microsoft Azure-Rechenzentren in Deutschland und Schweden). Einige unserer Dienstleister und KI-Modellanbieter befinden sich jedoch außerhalb des Europäischen Wirtschaftsraums (EWR).
Übermittlungen außerhalb des EWR
Bei Übermittlung personenbezogener Daten außerhalb des EWR stellen wir durch geeignete Garantien sicher, dass Ihre Daten geschützt sind:
| Garantie | Beschreibung |
|---|---|
| Angemessenheitsbeschlüsse | Übermittlung in Länder, für die die Europäische Kommission ein angemessenes Datenschutzniveau festgestellt hat |
| Standardvertragsklauseln (SCCs) | Verwendung der Standardvertragsklauseln der Europäischen Kommission mit Dienstleistern in Ländern ohne Angemessenheitsbeschluss |
| Ergänzende Maßnahmen | Bei Bedarf Umsetzung zusätzlicher technischer und organisatorischer Maßnahmen |
Übermittlungen in die USA
Für Übermittlungen in die USA stützen wir uns auf:
- Das EU-U.S. Data Privacy Framework (für zertifizierte Empfänger)
- Standardvertragsklauseln (für nicht zertifizierte Empfänger), ergänzt durch zusätzliche Schutzmaßnahmen
Sie können eine Kopie der von uns für internationale Übermittlungen verwendeten Garantien unter privacy@sleak.aianfordern.
9. Datensicherheit
Wir nehmen die Sicherheit Ihrer personenbezogenen Daten ernst und haben angemessene technische und organisatorische Maßnahmen zum Schutz vor unbefugtem Zugriff, Nutzung, Änderung oder Offenlegung implementiert.
Unsere Sicherheitsmaßnahmen umfassen:
- Verschlüsselung: Daten werden bei Übertragung (TLS 1.3) und Speicherung (AES-256) verschlüsselt
- Zugriffskontrollen: Rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung
- Infrastruktursicherheit: Hosting auf Enterprise-Cloud-Infrastruktur (Microsoft Azure) mit SOC 2 Type II und ISO 27001 Zertifizierungen
- Regelmäßige Audits: Periodische Sicherheitsbewertungen und Penetrationstests
- Mitarbeiterschulung: Regelmäßige Sicherheitsschulungen für alle Mitarbeiter
- Incident Response: Dokumentierte Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle
- Datentrennung: Workspace-Daten werden von persönlichen Kontodaten getrennt gehalten
- Protokollierung und Überwachung: Umfassende Audit-Protokollierung und Echtzeit-Sicherheitsüberwachung
Ihre Verantwortung: Obwohl wir robuste Sicherheitsmaßnahmen implementieren, ist keine Übertragungsmethode über das Internet oder elektronische Speicherung zu 100% sicher. Wir empfehlen Ihnen, wo möglich:
- SSO zu implementieren und zu aktivieren
- Starke, einzigartige Passwörter zu verwenden
- Multi-Faktor-Authentifizierung zu aktivieren
- Ihre Anmeldedaten vertraulich zu behandeln
- Uns bei Verdacht auf unbefugten Zugriff sofort unter security@sleak.ai zu benachrichtigen
10. KI-gestützte Bewertungen
Wenn Sie Sleak nutzen, interagieren Sie mit KI-gestützten Systemen. Dies betrifft insbesondere:
- Coaching- und Trainings-Sessions: Sie kommunizieren mit KI-generierten virtuellen Gesprächspartnern (Personas), nicht mit echten Menschen.
- Recruiter-Bewertungen: Sie nehmen an simulierten Gesprächen mit KI-gestützten Personas teil. Ihre Antworten werden aufgezeichnet, transkribiert und von unserer KI-Scoring-Engine anhand definierter Kriterien (Scorecards) bewertet.
- KI-generierte Inhalte: Antworten, Feedback, Scores und Coaching-Empfehlungen werden durch Large Language Models und Algorithmen erzeugt – nicht von Menschen verfasst.
Keine automatisierten Entscheidungen
Sleak trifft keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.
- Unterstützung, keine Entscheidung: KI-generierte Scores und Bewertungen dienen als ein Faktor unter vielen für die Entscheidungsfindung der Organisation.
- Menschliche Aufsicht erforderlich: Organisationen, die Sleak nutzen, sind vertraglich verpflichtet, Scores im Kontext zu prüfen und endgültige Entscheidungen mit angemessenem menschlichem Urteil zu treffen. KI-Ergebnisse sollen Entscheidungen informieren, nicht ersetzen.
Keine Emotionserkennung
Sleak führt keine Emotionserkennung oder Emotionsinferenz durch. Unsere Systeme analysieren weder Stimmmerkmale, Tonfall noch andere biometrische Signale, um emotionale Zustände abzuleiten. Die Bewertung basiert ausschließlich auf dem gesprochenen Inhalt anhand definierter Kompetenzkriterien.
11. Minderjährige
Wir erheben wissentlich keine Daten von Personen unter 16 Jahren und richten unsere Dienste nicht an diese. Mit der Nutzung der Website bestätigen Sie, dass Sie mindestens 16 Jahre alt sind.
Wenn wir erfahren, dass personenbezogene Daten von Nutzern unter 16 Jahren erhoben wurden, werden wir das Konto deaktivieren und angemessene Maßnahmen ergreifen, um diese Daten umgehend zu löschen. Wenn Sie von Daten erfahren, die wir möglicherweise von Kindern unter 16 Jahren erhoben haben, kontaktieren Sie uns bitte unter privacy@sleak.ai.
12. Ihre Rechte
Wenn Sie sich in Europa befinden, haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
Auskunft, Berichtigung und Datenübertragbarkeit
Sie können eine Übersicht der von uns verarbeiteten personenbezogenen Daten und eine Kopie Ihrer Daten anfordern. Sie haben das Recht, unvollständige, unrichtige oder veraltete Daten berichtigen zu lassen. Soweit gesetzlich vorgesehen, können Sie die Übermittlung Ihrer Daten an ein anderes Unternehmen verlangen.
Widerspruch
Sie können jeder Nutzung Ihrer personenbezogenen Daten widersprechen, die nicht (i) zur Erfüllung einer rechtlichen Verpflichtung verarbeitet wird, (ii) zur Vertragserfüllung erforderlich ist oder (iii) für die wir ein zwingendes Interesse haben.
Löschung
Sie können die Löschung Ihrer personenbezogenen Daten beantragen, soweit nach geltendem Recht zulässig. Dies gilt beispielsweise, wenn Ihre Daten veraltet sind, die Verarbeitung nicht notwendig oder rechtswidrig ist, Sie Ihre Einwilligung widerrufen oder Sie der Verarbeitung widersprochen haben.
Einschränkung der Verarbeitung
Sie können verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten einschränken, während wir eine Anfrage bezüglich der Richtigkeit Ihrer Daten, der Rechtmäßigkeit der Verarbeitung oder unserer berechtigten Interessen bearbeiten.
Widerruf der Einwilligung
Wenn wir uns auf Ihre Einwilligung zur Verarbeitung stützen, haben Sie das Recht, diese jederzeit und kostenfrei zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Änderung oder Löschung Ihres Kontos
Sie können Ihre Kontoinformationen jederzeit in Ihren Kontoeinstellungen ändern oder Ihr Konto kündigen, indem Sie uns unter privacy@sleak.ai kontaktieren. Nach Kündigung deaktivieren oder löschen wir Ihr Konto und Ihre Informationen aus unseren aktiven Datenbanken. Einige Informationen können wir zur Betrugsprävention, Problembehebung, Unterstützung von Ermittlungen, Durchsetzung unserer Nutzungsbedingungen und/oder zur Erfüllung gesetzlicher Anforderungen aufbewahren.
Datenexport: Auf schriftliche Anfrage innerhalb von 30 Tagen nach Kontokündigung stellen wir Ihre Daten in einem strukturierten, gängigen Format zum Export bereit.
Widerspruch gegen E-Mail-Marketing
Sie können sich jederzeit von unserer Marketing-E-Mail-Liste abmelden, indem Sie auf den Abmeldelink in unseren E-Mails klicken oder uns kontaktieren. Wir können Ihnen weiterhin dienstbezogene E-Mails senden, die für die Verwaltung und Nutzung Ihres Kontos erforderlich sind.
So üben Sie Ihre Rechte aus
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:
E-Mail: privacy@sleak.ai
Betreff: „Betroffenenanfrage – Ihr Recht"
Bitte geben Sie ausreichende Informationen zur Verifizierung Ihrer Identität an und spezifizieren Sie, welche Rechte Sie ausüben möchten. Wir werden Ihre Anfrage innerhalb eines Monats beantworten. Diese Frist kann bei Komplexität um zwei weitere Monate verlängert werden.
Für die Ausübung Ihrer Rechte fallen keine Gebühren an, es sei denn, Ihre Anfrage ist offensichtlich unbegründet oder exzessiv.
Workspace-Mitglieder
Wenn Sie als autorisierter Nutzer über den Team-Workspace Ihres Arbeitgebers auf Sleak zugreifen und Betroffenenrechte bezüglich Workspace-Daten ausüben möchten, sollten Sie sich zunächst an Ihren Workspace-Owner oder Administrator wenden, da diese Verantwortliche für diese Daten sind.
Wenn Sie innerhalb von 30 Tagen keine Antwort erhalten oder Ihre Anfrage Daten betrifft, für die Sleak eigenständig verantwortlich ist (wie Ihre persönlichen Kontoinformationen), können Sie uns direkt unter privacy@sleak.aikontaktieren.
Beschwerderecht
Wenn Sie der Meinung sind, dass wir Ihre Datenschutzrechte verletzt haben, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzureichen. Die zuständige Aufsichtsbehörde für Sleak GmbH ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Website: https://www.lda.bayern.de
E-Mail: poststelle@lda.bayern.de
Sie können auch Beschwerde bei der Aufsichtsbehörde in Ihrem Wohnsitz- oder Arbeitsland einreichen.
13. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologien, rechtlichen Anforderungen oder anderer Faktoren widerzuspiegeln.
Bei Änderungen werden wir:
- Die aktualisierte Erklärung mit einem neuen Gültigkeitsdatum auf unserer Website veröffentlichen
- Bei wesentlichen Änderungen eine auffällige Mitteilung bereitstellen (z. B. eine Benachrichtigung in unserer Anwendung oder eine E-Mail an registrierte Nutzer)
Bei wesentlichen Änderungen der Datenverarbeitung werden wir Sie auffordern, die aktualisierte Datenschutzerklärung vor der weiteren Nutzung unserer Dienste erneut zu bestätigen.
Vielen Dank für Ihr Vertrauen in Sleak.