top of page
Datenschutz
 

Stand, Q1 2026
 

Der Schutz personenbezogener Daten ist für uns nicht nur gesetzliche Pflicht, sondern Teil unseres Selbstverständnisses. Wir arbeiten in einem sensiblen Umfeld und behandeln die Daten unserer Kandidatinnen, Kandidaten, Kunden und Websitebesucher mit der Sorgfalt, die unsere Branche erfordert.

Diese Datenschutzerklärung informiert transparent darüber, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten, auf welcher Rechtsgrundlage dies geschieht und welche Rechte betroffene Personen haben.
 

1. Allgemeine Informationen
1.1 Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Defence Recruiting GmbH (i.G.)

Nikolsburger Straße 2

10717 Berlin

Deutschland

E-Mail: info@defence-recruiting.de

Vertretungsberechtigt: Josephine Hacker Lacouture

Steuernummer: 24/326/02727 

Umsatzsteuer-Identifikationsnummer: DE 460522382

1.2 Datenschutzbeauftragter

Wir sind aufgrund unserer Unternehmensgröße und der Art unserer Verarbeitungstätigkeiten gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Ansprechpartnerin für sämtliche datenschutzrechtlichen Anliegen ist:

Josephine Hacker Lacouture Defence Recruiting GmbH (i.G.) Nikolsburger Straße 2, 10717 Berlin E-Mail: info@defence-recruiting.de

1.3 Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die in Art. 4 DSGVO definierten Begriffe. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – beispielsweise Name, E-Mail-Adresse, IP-Adresse, beruflicher Werdegang oder Gesprächsinhalte.

1.4 Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage einer der folgenden Rechtsgrundlagen:

  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO; bei besonderen Kategorien von Daten Art. 9 Abs. 2 lit. a DSGVO)

  • Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO), sofern die Interessen der betroffenen Person nicht überwiegen

  • Anbahnung und Durchführung von Beschäftigungsverhältnissen (§ 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO) – relevant für Bewerbungsverfahren in eigener Sache

1.5 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorsehen (insbesondere aus dem Handels- und Steuerrecht). Konkrete Speicherfristen für die einzelnen Verarbeitungsvorgänge finden sich in den jeweiligen Abschnitten dieser Erklärung.

1.6 Datenübermittlung in Drittländer

Sofern wir Dienstleister einsetzen, die personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten, stellen wir ein angemessenes Datenschutzniveau gemäß den Vorgaben der DSGVO sicher. Dies erfolgt insbesondere durch:

  • Angemessenheitsbeschlüsse der Europäischen Kommission gemäß Art. 45 DSGVO (z. B. für das Vereinigte Königreich, Israel, Kanada, Schweiz)

  • Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

  • Zertifizierung nach dem EU-US Data Privacy Framework gemäß Art. 45 DSGVO (für US-Anbieter, die unter diesem Framework zertifiziert sind)

  • Ergänzende technische und organisatorische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffskontrollen)

1.7 Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO) – Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten

  • Recht auf Berichtigung (Art. 16 DSGVO) – unrichtige Daten werden auf Ihren Wunsch korrigiert

  • Recht auf Löschung (Art. 17 DSGVO) – sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen

  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – sofern die Verarbeitung auf Einwilligung oder Vertrag beruht

  • Widerspruchsrecht (Art. 21 DSGVO) – gegen Verarbeitungen auf Grundlage berechtigter Interessen

  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO) – erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden

  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an info@defence-recruiting.de

Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59-61 10555 Berlin Telefon: +49 30 13889-0 E-Mail: mailbox@datenschutz-berlin.de Internet: https://www.datenschutz-berlin.de

1.8 Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und gegenüber der betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

Wir setzen im Rahmen unserer Recruiting-Tätigkeit KI-gestützte Werkzeuge zur Vorbereitung und Strukturierung von Bewertungen ein (siehe Ziffer 4.5). Diese Werkzeuge unterstützen ausschließlich die menschliche Entscheidungsfindung; jede finale Bewertung, Empfehlung oder Vorauswahl wird durch eine natürliche Person getroffen.

1.9 Verpflichtung zur Bereitstellung personenbezogener Daten

Im Rahmen einer geschäftlichen Zusammenarbeit oder eines Bewerbungsprozesses benötigen wir bestimmte personenbezogene Daten, um Anfragen bearbeiten oder Verträge schließen und durchführen zu können. Ohne die Bereitstellung dieser Daten ist eine Zusammenarbeit oder die Berücksichtigung in einem Auswahlverfahren in der Regel nicht möglich. Pflichtangaben kennzeichnen wir entsprechend.

1.10 Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um personenbezogene Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Weitergabe zu schützen. Hierzu zählen insbesondere:

  • Verschlüsselte Datenübertragung über TLS/SSL

  • Zwei-Faktor-Authentifizierung für alle eingesetzten Systeme

  • Rollenbasierte Zugriffsrechte und Need-to-Know-Prinzip

  • Regelmäßige Sicherheitsupdates und Backups

  • Verschwiegenheitsverpflichtung aller mitarbeitenden Personen

  • Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit allen Dienstleistern

  • Pseudonymisierung personenbezogener Daten bei der Verarbeitung durch KI-gestützte Tools

2. Datenverarbeitung beim Besuch unserer Website
2.1 Hinweis zum TTDSG

Beim Aufruf unserer Website werden Technologien wie Cookies und ähnliche Verfahren eingesetzt, mit denen Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden können. Soweit dies technisch unbedingt erforderlich ist, um einen ausdrücklich gewünschten Dienst bereitzustellen, erfolgt dies gemäß § 25 Abs. 2 Nr. 2 TTDSG. In allen anderen Fällen – insbesondere bei Analyse-, Marketing- und Tracking-Zwecken – holen wir Ihre Einwilligung gemäß § 25 Abs. 1 TTDSG über unser Consent-Management-Tool ein.

2.2 Server-Logfiles

Bei jedem Aufruf unserer Website werden automatisch technische Daten erfasst, die Ihr Browser an den Server übermittelt. Diese Daten dienen der technischen Bereitstellung, Stabilität und Sicherheit unserer Website.

Erfasst werden insbesondere:

  • IP-Adresse des aufrufenden Endgeräts

  • Datum und Uhrzeit des Zugriffs

  • Aufgerufene Seite oder Datei

  • HTTP-Statuscode und übertragene Datenmenge

  • Referrer-URL (zuvor besuchte Seite)

  • Browsertyp, Browserversion, Betriebssystem, Spracheinstellungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Websitebetrieb).

Speicherdauer: maximal 14 Tage in Logfiles, danach automatische Löschung.

2.3 Hosting durch Wix.com

Unsere Website wird über die Plattform Wix.com Ltd., 40 Namal Tel Aviv St., Tel Aviv 6350671, Israel, betrieben. Wix stellt uns die technische Infrastruktur als Auftragsverarbeiter gemäß Art. 28 DSGVO bereit.

Im Rahmen der Bereitstellung können personenbezogene Daten wie IP-Adressen, Kommunikations- und Metadaten verarbeitet werden. Die Übermittlung nach Israel erfolgt auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer professionellen, zuverlässigen Bereitstellung der Website).

Weitere Informationen: https://www.wix.com/about/privacy

2.4 Consent-Management mit Usercentrics

Zur rechtskonformen Einholung und Verwaltung von Einwilligungen für Cookies und Drittanbieter-Dienste setzen wir das Consent-Management-Tool der Usercentrics GmbH, Sendlinger Straße 7, 80331 München, ein.

Bei der Erteilung oder Verweigerung von Einwilligungen werden technische Daten (z. B. IP-Adresse in gekürzter Form, Browserinformationen, Zeitpunkt und Inhalt der Einwilligung) protokolliert, um eine rechtssichere Dokumentation zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der Nachweispflicht aus Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO.

2.5 Wix Analytics

Sofern Sie Ihre Einwilligung erteilen, nutzen wir die Analysefunktionen von Wix.com Ltd. zur statistischen Auswertung des Nutzungsverhaltens auf unserer Website (z. B. Seitenaufrufe, Verweildauer, geografische Herkunft auf Länderebene).

Verarbeitet werden gekürzte oder anonymisierte IP-Adressen, Geräte- und Browserinformationen sowie Nutzungsverhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

2.6 Google Analytics und Google Tag Manager

Sofern Sie Ihre Einwilligung erteilen, setzen wir Google Analytics und den Google Tag Manager ein, beide Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics verwendet Cookies und ähnliche Technologien, um Informationen über die Nutzung unserer Website zu sammeln. Verarbeitete Daten umfassen unter anderem: gekürzte IP-Adressen, Geräteinformationen, Nutzungsverhalten, ungefähre geografische Herkunft.

Eine Übermittlung in die USA ist möglich. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen Standardvertragsklauseln zum Einsatz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Weitere Informationen: https://policies.google.com/privacy?hl=de

2.7 Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon oder über ein Kontaktformular auf unserer Website kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Angaben (in der Regel Name, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Kommunikation).

Speicherdauer: Wir löschen die Daten, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen.

2.8 Terminbuchung

Über unsere Website können Sie direkt Gesprächstermine vereinbaren. Hierfür kommen je nach Anwendungsfall unterschiedliche Dienste zum Einsatz:

2.8.1 Calendly

Sofern wir Calendly einsetzen, ist Anbieter die Calendly LLC, 1315 Peachtree Street NE, Atlanta, GA 30309, USA. Verarbeitete Daten: Name, E-Mail-Adresse, gewählter Terminzeitpunkt, optionale Freitextangaben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Terminorganisation).

Calendly LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend wurden Standardvertragsklauseln vereinbart.

Datenschutzerklärung: https://calendly.com/privacy

2.8.2 Wix Bookings

Alternativ kommt Wix Bookings (Wix.com Ltd.) zum Einsatz. Die verarbeiteten Daten umfassen Vor- und Nachname, E-Mail-Adresse, Terminzeitpunkt sowie ggf. freiwillige Zusatzangaben. Die Datenverarbeitung erfolgt im Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.8.3 Google Meet

Die technische Durchführung von Online-Terminen erfolgt regelmäßig über Google Meet, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Hierfür wird Ihre E-Mail-Adresse zur Übermittlung der Termin-Einladung an Google verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.9 Stellenanzeigen und Bewerbung in eigener Sache (JOIN)

Auf unserer Website veröffentlichen wir gelegentlich offene Positionen für unsere eigene Organisation. Die Verwaltung dieser Bewerbungen erfolgt über die Plattform JOIN der JOIN Solutions AG, Reitergasse 9, 8004 Zürich, Schweiz, eingebunden über ein iFrame oder Widget.

Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO.

Die Datenverarbeitung im Bewerbungsprozess wird detailliert in Ziffer 4 dargestellt.

Datenschutzerklärung JOIN: https://join.com/privacy

2.10 Newsletter

Sofern Sie sich für unseren Newsletter anmelden, verwenden wir Ihre E-Mail-Adresse und ggf. weitere freiwillige Angaben, um Sie regelmäßig über Themen aus den Bereichen Defence-Recruiting, Marktentwicklungen und unsere Leistungen zu informieren.

Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach der Eintragung erhalten Sie eine Bestätigungs-E-Mail; erst mit Klick auf den darin enthaltenen Bestätigungslink wird Ihre Anmeldung wirksam. Wir protokollieren die Anmelde- und Bestätigungsvorgänge zur Erfüllung unserer Nachweispflichten.

Der Versand erfolgt über Wix.com Ltd. Sofern wir zukünftig auf Mailchimp (Intuit Inc., 2700 Coast Ave, Mountain View, California 94043, USA) umstellen, werden wir diese Datenschutzerklärung entsprechend aktualisieren. Mailchimp/Intuit ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail oder per Nachricht an info@defence-recruiting.de abbestellen.

3. Datenverarbeitung im Rahmen unserer Recruiting-Tätigkeit

Defence Recruiting ist eine spezialisierte Personalberatung. Im Rahmen unserer Tätigkeit verarbeiten wir personenbezogene Daten von Kandidatinnen und Kandidaten sowie von Ansprechpersonen unserer Kunden. Die folgenden Abschnitte beschreiben transparent, welche Daten wir zu welchen Zwecken erheben und auf welcher Rechtsgrundlage dies geschieht.

3.1 Datenverarbeitung von Kandidatinnen und Kandidaten

3.1.1 Quellen der Datenerhebung

Wir erheben personenbezogene Daten potenzieller Kandidatinnen und Kandidaten aus folgenden Quellen:

  • Direkte Übermittlung durch die betroffene Person (z. B. via E-Mail, LinkedIn-Nachricht, Bewerbungsformular, Telefongespräch oder persönliche Vorstellung)

  • Öffentlich zugängliche berufliche Netzwerke (insbesondere LinkedIn, XING) im Rahmen aktiver Direktansprache

  • Empfehlungen aus unserem Netzwerk (sofern die empfehlende Person über die Weitergabe informiert hat oder ein berechtigtes Interesse an der Kontaktaufnahme besteht)

  • Bewerbungen über die Plattformen unserer Kunden, die uns mit der Suche beauftragt haben

3.1.2 Kategorien verarbeiteter Daten

Je nach Stand des Recruiting-Prozesses und Umfang der von Ihnen bereitgestellten Informationen verarbeiten wir insbesondere:

  • Identifikations- und Kontaktdaten (Name, E-Mail, Telefonnummer, Wohnort, Profil-URLs)

  • Berufliche Daten (Werdegang, aktuelle und frühere Positionen, Qualifikationen, Zeugnisse, Sprachkenntnisse, technische Skills)

  • Gehaltsvorstellungen, Verfügbarkeit, präferiertes Arbeitsmodell, Mobilitätsbereitschaft

  • Motivation, Wechselgründe, persönliche Schwerpunkte (sofern von Ihnen mitgeteilt)

  • Inhalte aus Vorgesprächen, Interviews und Bewerbungsdokumenten (CV, Anschreiben, ggf. Arbeitsproben)

  • Im Einzelfall: Statusinformationen zu Sicherheitsüberprüfungen oder Eignungsvoraussetzungen, sofern für die jeweilige Position relevant und mit ausdrücklicher Einwilligung der betroffenen Person

Wir bitten Sie ausdrücklich, in Ihren Bewerbungsunterlagen keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Angaben zu Religion, Gesundheit, ethnischer Herkunft, politischer Überzeugung) anzugeben, sofern diese nicht für die konkrete Position erforderlich sind. Sollten solche Daten dennoch übermittelt werden, erfolgt die Verarbeitung nur auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

3.1.3 Zwecke der Verarbeitung

  • Identifikation passender Kandidatinnen und Kandidaten für offene Positionen unserer Kunden

  • Direktansprache und Aufbau persönlicher Beziehungen im Rahmen unserer Netzwerkarbeit

  • Durchführung von Bewerbungs- und Auswahlverfahren im Auftrag unserer Kunden

  • Aufnahme in unseren kuratierten Talentpool für künftige Positionen (nur mit Einwilligung)

  • Vermittlung an unsere Kunden (nur mit Einwilligung der betroffenen Person)

  • Kommunikation und Beziehungspflege

3.1.4 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. a DSGVO bei aktiv erteilter Einwilligung (z. B. Aufnahme in den Talentpool, Weiterleitung des Profils an Kunden)

  • Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Maßnahmen, insbesondere wenn Sie sich konkret auf eine Position beworben haben

  • Art. 6 Abs. 1 lit. f DSGVO bei Ansprache von Personen auf Grundlage öffentlich zugänglicher beruflicher Profile (berechtigtes Interesse an der Identifikation geeigneter Kandidatinnen und Kandidaten)

Bei der Direktansprache überwiegt unser berechtigtes Interesse die Interessen der betroffenen Person regelmäßig nicht, wenn die betroffene Person ein öffentliches berufliches Profil mit dem erkennbaren Ziel der beruflichen Vernetzung pflegt und die Ansprache themenbezogen, professionell und nicht aufdringlich erfolgt. Sie können der Verarbeitung jederzeit widersprechen (Art. 21 DSGVO).

3.1.5 Datenweitergabe an unsere Kunden

Eine Weitergabe Ihrer Daten an unsere Kunden (potenzielle Arbeitgeber) erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung. Vor der Weitergabe informieren wir Sie konkret über das Unternehmen, die ausgeschriebene Position und den Umfang der zu übermittelnden Informationen.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bereits erfolgte Übermittlungen bleiben vom Widerruf unberührt; auf Ihren Wunsch fordern wir den Kunden zur Löschung Ihrer Daten auf.

3.1.6 Speicherdauer

Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung:

  • Daten aus laufenden Suchprozessen werden für die Dauer des Suchmandats und bis zu sechs Monate danach gespeichert, um Rückfragen und Folgeprozesse abzuwickeln

  • Bei Aufnahme in unseren Talentpool mit Ihrer Einwilligung speichern wir die Daten für maximal 24 Monate ab Erteilung der Einwilligung. Vor Ablauf bitten wir Sie um Erneuerung; erfolgt diese nicht, werden die Daten gelöscht oder anonymisiert

  • Bei Direktansprache ohne anschließenden Prozess und ohne Einwilligung zur weiteren Speicherung löschen wir die Daten spätestens sechs Monate nach der letzten Kommunikation

  • Erfolgt eine erfolgreiche Vermittlung, speichern wir die zur Abwicklung des Mandats erforderlichen Daten für die Dauer der gesetzlichen Aufbewahrungsfristen (insbesondere § 257 HGB, § 147 AO – bis zu zehn Jahre)

3.2 Datenverarbeitung von Kunden und deren Ansprechpersonen

Im Rahmen der Anbahnung und Durchführung von Mandaten verarbeiten wir personenbezogene Daten der bei unseren Kunden tätigen Ansprechpersonen (Geschäftsführung, HR-Verantwortliche, Fachvorgesetzte).

Verarbeitete Daten umfassen typischerweise: Name, berufliche Kontaktdaten, Position, Inhalte aus Briefings, Angebotsverhandlungen und laufender Mandatskommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung und Durchführung des Beratungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Geschäftsentwicklung und Beziehungspflege).

Speicherdauer: Daten aus aktiven und beendeten Mandatsbeziehungen werden für die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert (bis zu zehn Jahre).

4. Eingesetzte Dienstleister und Tools

Wir setzen ausgewählte Dienstleister ein, die uns bei der Durchführung unserer Recruiting-Tätigkeit unterstützen. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die folgenden Abschnitte geben einen vollständigen Überblick über die eingesetzten Tools und die jeweiligen datenschutzrelevanten Rahmenbedingungen.

4.1 HubSpot (Customer-Relationship-Management)

Als zentrales CRM-System zur strukturierten Verwaltung von Kandidaten- und Kundenbeziehungen setzen wir HubSpot ein. Anbieter ist die HubSpot Ireland Limited, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Irland (Vertragspartner für EU-Kunden), in Verbindung mit der HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA.

In HubSpot verarbeiten wir insbesondere:

  • Kontaktdaten (Name, E-Mail, Telefonnummer, berufliches Profil)

  • Beruflicher Werdegang und Qualifikationen

  • Status im Recruiting-Prozess (Pipeline-Stufen, Bewertungen, Notizen)

  • Inhalte aus Gesprächen, Korrespondenz und Outreach-Aktivitäten

  • Verknüpfungen zu Mandaten und Positionen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei laufenden Bewerbungs- oder Mandatsprozessen, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ordnungsgemäßen Verwaltung unserer Geschäftsbeziehungen) sowie Art. 6 Abs. 1 lit. a DSGVO bei Einwilligung zur weiteren Speicherung.

Eine Datenübermittlung in die USA ist möglich. HubSpot Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend wurden Standardvertragsklauseln vereinbart. Wir haben mit HubSpot einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

Datenschutzerklärung: https://legal.hubspot.com/privacy-policy

4.2 Google Workspace und Google Drive

Für die Speicherung und Bearbeitung von Bewerbungsunterlagen, internen Dokumenten und für die geschäftliche Kommunikation setzen wir Google Workspace ein, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (in Verbindung mit der Google LLC, USA).

Verarbeitete Daten: Bewerbungsunterlagen (CV, Zeugnisse, Anschreiben), interne Dokumente, E-Mail-Korrespondenz, Kalenderdaten.

Wir nutzen organisatorische und technische Schutzmaßnahmen, insbesondere granulare Zugriffsrechte, Verschlüsselung der Datenübertragung sowie restriktive Freigabeeinstellungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO.

Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen Standardvertragsklauseln zur Anwendung. Wir haben mit Google einen Auftragsverarbeitungsvertrag abgeschlossen.

Datenschutzerklärung: https://policies.google.com/privacy?hl=de

4.3 Notion

Notion (Notion Labs Inc., 2300 Harrison Street, San Francisco, CA 94110, USA) setzen wir für interne Dokumentation und Organisation ein.

Personenbezogene Daten werden in Notion nur in begrenztem Umfang und unter Beachtung des Grundsatzes der Datenminimierung verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Notion Labs Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend wurden Standardvertragsklauseln vereinbart. Mit Notion besteht ein Auftragsverarbeitungsvertrag.

Datenschutzerklärung: https://www.notion.so/Privacy-Policy-3468d120cf614d4c9014c09f6adc9091

4.4 Typeform

Für strukturierte Online-Formulare (z. B. Bewerbungs-Intake, Mandantenanfragen, Umfragen) setzen wir Typeform ein. Anbieter ist die TYPEFORM S.L., Carrer Bac de Roda 163, 08018 Barcelona, Spanien.

Verarbeitete Daten: alle vom Nutzer im jeweiligen Formular angegebenen Informationen (typischerweise Name, Kontaktdaten und berufsbezogene Angaben).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Übermittlung) bzw. Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen.

Typeform hat seinen Sitz in der EU. Sub-Auftragsverarbeiter (insbesondere Hosting-Dienstleister) können Daten in Drittländer übermitteln; die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln. Mit Typeform besteht ein Auftragsverarbeitungsvertrag.

Datenschutzerklärung: https://www.typeform.com/help/a/data-protection-at-typeform-360029259552/

4.5 KI-gestützte Verarbeitung (Anthropic Claude)

Zur Unterstützung unserer fachlichen Arbeit setzen wir das KI-System Claude der Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA, ein. Wir nutzen Claude zur Unterstützung interner Arbeitsprozesse, insbesondere zur Strukturierung und sprachlichen Aufbereitung von Inhalten.

Wir verarbeiten Daten in Claude grundsätzlich pseudonymisiert oder anonymisiert. Identifizierende Informationen (Klarnamen, Kontaktdaten, Arbeitgeber) werden vor der Übermittlung entfernt oder ersetzt, soweit dies dem jeweiligen Zweck nicht entgegensteht. 

Die Ergebnisse der KI-Verarbeitung dienen ausschließlich zur Vorbereitung und Unterstützung menschlicher Entscheidungen. Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und qualitativ hochwertigen Aufgabenbearbeitung).

Anthropic hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender technischer und organisatorischer Maßnahmen. Wir nutzen ausschließlich vertragliche Tarife mit deaktivierter Trainingsnutzung; eine Verwendung der übermittelten Daten zum Training von KI-Modellen findet nicht statt.

Datenschutzerklärung: https://www.anthropic.com/legal/privacy

Hinweis für Kandidatinnen und Kandidaten: Sie können der Verarbeitung Ihrer Daten in KI-gestützten Tools jederzeit mit Wirkung für die Zukunft widersprechen. Wir bearbeiten Ihren Prozess in diesem Fall ohne den Einsatz von KI-Werkzeugen.

4.6 JOIN (Bewerbungsformular)

Für eingebundene Bewerbungsformulare zu eigenen Stellen setzen wir die Plattform der JOIN Solutions AG, Reitergasse 9, 8004 Zürich, Schweiz, ein. Die Verarbeitung erfolgt auf Grundlage des Angemessenheitsbeschlusses für die Schweiz (Art. 45 DSGVO). Mit JOIN besteht ein Auftragsverarbeitungsvertrag.

Datenschutzerklärung: https://join.com/privacy

4.7 Calendly und Wix Bookings

Diese Dienste sind in Ziffer 2.8 vollständig beschrieben.

4.8 Übersicht über Datenübermittlungen in Drittländer

Die folgenden Dienstleister verarbeiten Daten ganz oder teilweise außerhalb des EWR. In allen Fällen sind angemessene Garantien gemäß Art. 44 ff. DSGVO sichergestellt:

  • Wix.com Ltd. (Israel) – Angemessenheitsbeschluss Art. 45 DSGVO

  • JOIN Solutions AG (Schweiz) – Angemessenheitsbeschluss Art. 45 DSGVO

  • HubSpot Inc. (USA) – EU-US Data Privacy Framework und Standardvertragsklauseln

  • Google LLC (USA) – EU-US Data Privacy Framework und Standardvertragsklauseln

  • Notion Labs Inc. (USA) – EU-US Data Privacy Framework und Standardvertragsklauseln

  • Calendly LLC (USA) – EU-US Data Privacy Framework und Standardvertragsklauseln

  • Anthropic, PBC (USA) – Standardvertragsklauseln und ergänzende technisch-organisatorische Maßnahmen

  • Intuit Inc. / Mailchimp (USA, sofern eingesetzt) – EU-US Data Privacy Framework und Standardvertragsklauseln

5. Datenverarbeitung auf Social-Media-Plattformen

Wir unterhalten Profile in sozialen Netzwerken, um über unsere Tätigkeit zu informieren, mit potenziellen Kandidatinnen, Kandidaten und Kunden in Kontakt zu treten und Inhalte zur Defence-Recruiting-Branche zu publizieren.

Bei Besuch oder Interaktion mit unseren Profilen verarbeiten die jeweiligen Plattformbetreiber personenbezogene Daten in eigener Verantwortung. Wir haben darauf nur eingeschränkten Einfluss. Im Einzelnen:

5.1 LinkedIn

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.

Bei Besuch unseres Profils oder Interaktionen verarbeitet LinkedIn Nutzungs- und Profildaten. Eine Übermittlung in die USA ist möglich.

Rechtsgrundlage für unsere Verarbeitung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sichtbarkeit und Direktansprache).

Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy

5.2 XING

Anbieter: New Work SE, Dammtorstraße 30, 20354 Hamburg, Deutschland.

Datenschutzerklärung: https://privacy.xing.com/de/datenschutzerklaerung

5.3 Instagram und Facebook

Anbieter beider Dienste: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.

Bei der Nutzung unserer Profile auf Facebook und Instagram bestehen wir und Meta in einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO im Hinblick auf die Erhebung und Übermittlung von Insights-Daten. Die Vereinbarung zur gemeinsamen Verantwortlichkeit kann eingesehen werden unter:

https://www.facebook.com/legal/controller_addendum

Datenschutzerklärung Meta: https://www.facebook.com/privacy/policy

5.4 Messenger-Dienste (WhatsApp, iMessage)

Wir bieten optional die Kontaktaufnahme über WhatsApp (WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland) und iMessage (Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland) an. Bei Nutzung verarbeiten wir die übermittelten Daten ausschließlich zur Bearbeitung Ihrer Anfrage.

Bitte beachten Sie, dass bei der Nutzung dieser Dienste Daten in Drittländer (insbesondere USA) übertragen werden können. Wenn Sie dies vermeiden möchten, nutzen Sie bitte unsere E-Mail-Adresse oder das Kontaktformular.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den oben genannten Stand. Aufgrund der Weiterentwicklung unserer Website und unserer Dienstleistungen oder aufgrund geänderter rechtlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist auf unserer Website unter www.defence-recruiting.de/datenschutz abrufbar.

7. Kontakt bei Fragen zum Datenschutz

Defence Recruiting GmbH (i.G.)

Nikolsburger Straße 2

10717 Berlin

Deutschland

E-Mail: info@defence-recruiting.de

Privacy Policy

Defence Recruiting GmbH (i.G.), 2026

Protecting personal data is not just a legal obligation for us – it is part of how we operate. We work in a sensitive industry, and we treat the data of our candidates, clients, and website visitors with the level of care our sector requires.

This privacy policy provides transparent information about which personal data we collect, the purposes for which we process it, the legal basis for that processing, and the rights available to data subjects.

1. General Information
1.1 Controller

The controller responsible for the processing of personal data within the meaning of the General Data Protection Regulation (GDPR) is:

Defence Recruiting GmbH (i.G.)

Nikolsburger Straße 2

10717 Berlin

Germany

Email: info@defence-recruiting.de

Authorised representative: Josephine Hacker Lacouture

Tax number: 24/326/02727

VAT identification number: DE 460522382

1.2 Data Protection Officer

Given our company size and the nature of our processing activities, we are not required to appoint a Data Protection Officer under § 38 BDSG (German Federal Data Protection Act).

For all data protection matters, please contact:

Josephine Hacker Lacouture

Defence Recruiting GmbH (i.G.)

Nikolsburger Straße 2, 10717 Berlin

Email: info@defence-recruiting.de

1.3 Definitions

This privacy policy uses the terms defined in Art. 4 GDPR. Personal data means any information relating to an identified or identifiable natural person – for example, name, email address, IP address, professional background, or content of conversations.

1.4 Legal Bases for Processing

We process personal data only on one of the following legal bases:

  • Consent of the data subject (Art. 6(1)(a) GDPR; for special categories of data: Art. 9(2)(a) GDPR)

  • Performance of a contract or pre-contractual measures (Art. 6(1)(b) GDPR)

  • Compliance with a legal obligation (Art. 6(1)(c) GDPR)

  • Legitimate interests (Art. 6(1)(f) GDPR), where the interests of the data subject do not override our interests

  • Initiation and execution of employment relationships (§ 26(1) BDSG in conjunction with Art. 88 GDPR) – relevant for applications to our own organisation

1.5 Storage Period

We retain personal data only for as long as is necessary to fulfil the relevant processing purpose, or for as long as required by applicable retention obligations (in particular under commercial and tax law). Specific retention periods for individual processing activities are set out in the relevant sections of this policy.

1.6 Transfers to Third Countries

Where we engage service providers that process personal data outside the European Economic Area (EEA), we ensure an adequate level of data protection in line with the GDPR. This is achieved in particular through:

  • Adequacy decisions of the European Commission under Art. 45 GDPR (e.g. for the United Kingdom, Israel, Canada, Switzerland)

  • Standard contractual clauses under Art. 46(2)(c) GDPR

  • Certification under the EU-US Data Privacy Framework pursuant to Art. 45 GDPR (for US providers certified under this framework)

  • Supplementary technical and organisational safeguards (encryption, pseudonymisation, access controls)

1.7 Rights of Data Subjects

You have the following rights with regard to your personal data:

  • Right of access (Art. 15 GDPR) – to obtain information about the personal data we process about you

  • Right to rectification (Art. 16 GDPR) – to have inaccurate data corrected

  • Right to erasure (Art. 17 GDPR) – provided no legal retention obligations apply

  • Right to restriction of processing (Art. 18 GDPR)

  • Right to data portability (Art. 20 GDPR) – where processing is based on consent or a contract

  • Right to object (Art. 21 GDPR) – against processing based on legitimate interests

  • Right to withdraw consent (Art. 7(3) GDPR) – any consent given may be withdrawn at any time with effect for the future

  • Right to lodge a complaint with a supervisory authority (Art. 77 GDPR)

To exercise your rights, an informal message to info@defence-recruiting.de is sufficient.

The supervisory authority responsible for us is:

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Alt-Moabit 59-61

10555 Berlin

Phone: +49 30 13889-0

Email: mailbox@datenschutz-berlin.de

https://www.datenschutz-berlin.de

1.8 No Automated Decision-Making within the Meaning of Art. 22 GDPR

We do not take decisions based solely on automated processing that produce legal effects concerning the data subject or significantly affect them in a similar way.

In our recruiting work, we use AI-based tools to support the preparation and structuring of assessments (see Section 4.5). These tools serve solely to support human decision-making; every final assessment, recommendation, or pre-selection is made by a natural person.

1.9 Obligation to Provide Personal Data

In the context of a business relationship or application process, we require certain personal data in order to process enquiries or to enter into and perform contracts. Without this data, cooperation or consideration in a selection process is generally not possible. Mandatory information is marked accordingly.

1.10 Data Security

We use technical and organisational measures in line with the state of the art to protect personal data against unauthorised access, loss, alteration, or disclosure. These include in particular:

  • Encrypted data transmission via TLS/SSL

  • Two-factor authentication for all systems used

  • Role-based access rights and the need-to-know principle

  • Regular security updates and backups

  • Confidentiality obligations for all personnel

  • Data processing agreements under Art. 28 GDPR with all service providers

  • Pseudonymisation of personal data when processing through AI-based tools

2. Data Processing When Visiting Our Website
2.1 Note on TTDSG

When you access our website, technologies such as cookies and similar processes are used to store information on your device or access information already stored there. Where this is strictly necessary to provide a service explicitly requested by you, this takes place under § 25(2)(2) TTDSG (German Telecommunications-Telemedia Data Protection Act). In all other cases – in particular for analytics, marketing, and tracking purposes – we obtain your consent under § 25(1) TTDSG via our consent management tool.

2.2 Server Log Files

Each time our website is accessed, technical data transmitted by your browser is automatically recorded. This data is used for the technical provision, stability, and security of our website.

In particular, the following information is recorded:

  • IP address of the requesting device

  • Date and time of the request

  • Page or file accessed

  • HTTP status code and amount of data transferred

  • Referrer URL (previously visited page)

  • Browser type, browser version, operating system, language settings

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure and stable website operation).

Storage period: a maximum of 14 days in log files, after which automatic deletion takes place.

2.3 Hosting via Wix.com

Our website is operated via the platform of Wix.com Ltd., 40 Namal Tel Aviv St., Tel Aviv 6350671, Israel. Wix provides us with the technical infrastructure as a processor under Art. 28 GDPR.

In the course of providing the service, personal data such as IP addresses, communication, and metadata may be processed. Transfers to Israel are based on an adequacy decision of the European Commission under Art. 45 GDPR.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in professional and reliable website operation).

Further information: https://www.wix.com/about/privacy

2.4 Consent Management with Usercentrics

To obtain and manage consent for cookies and third-party services in a legally compliant manner, we use the consent management tool provided by Usercentrics GmbH, Sendlinger Straße 7, 80331 Munich, Germany.

When consent is granted or refused, technical data (e.g. shortened IP address, browser information, time and content of consent) is logged in order to provide legally robust documentation.

Legal basis: Art. 6(1)(c) GDPR (compliance with the obligation of proof under Art. 7(1) GDPR) and Art. 6(1)(f) GDPR.

2.5 Wix Analytics

Subject to your consent, we use the analytics functionality provided by Wix.com Ltd. for statistical evaluation of usage behaviour on our website (e.g. page views, time on page, geographical origin at country level).

Processed data includes shortened or anonymised IP addresses, device and browser information, and usage behaviour.

Legal basis: Art. 6(1)(a) GDPR (consent).

You can withdraw your consent at any time via the cookie settings.

2.6 Google Analytics and Google Tag Manager

Subject to your consent, we use Google Analytics and Google Tag Manager, both services of Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.

Google Analytics uses cookies and similar technologies to collect information about the use of our website. Processed data includes shortened IP addresses, device information, usage behaviour, and approximate geographical origin.

Transfer to the United States is possible. Google LLC is certified under the EU-US Data Privacy Framework; standard contractual clauses are used as a supplementary safeguard.

Legal basis: Art. 6(1)(a) GDPR (consent).

Further information: https://policies.google.com/privacy

2.7 Contact

If you contact us by email, telephone, or via a contact form on our website, we process the information you provide (typically name, email address, phone number, content of the enquiry) in order to respond to your request.

Legal basis: Art. 6(1)(b) GDPR for pre-contractual enquiries; otherwise Art. 6(1)(f) GDPR (legitimate interest in efficient communication).

Storage period: We delete the data as soon as it is no longer required for the original purpose, at the latest after the expiry of statutory retention periods.

2.8 Appointment Scheduling

You can book conversations directly via our website. Depending on the use case, the following services are used:

2.8.1 Calendly

Where we use Calendly, the provider is Calendly LLC, 1315 Peachtree Street NE, Atlanta, GA 30309, USA. Processed data: name, email address, selected time slot, optional free-text fields.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in efficient appointment management).

Calendly LLC is certified under the EU-US Data Privacy Framework; standard contractual clauses are in place as a supplementary safeguard.

Privacy policy: https://calendly.com/privacy

2.8.2 Wix Bookings

Alternatively, we use Wix Bookings (Wix.com Ltd.). Processed data: first and last name, email address, time slot, and any optional additional information. The processing takes place on our behalf based on a data processing agreement.

Legal basis: Art. 6(1)(f) GDPR.

2.8.3 Google Meet

Online meetings are typically held via Google Meet, a service of Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland. For this, your email address is processed in order to send the meeting invitation via Google.

Legal basis: Art. 6(1)(f) GDPR.

2.9 Job Postings and Applications to Our Own Organisation (JOIN)

We occasionally publish open positions for our own organisation on our website. These applications are managed via the platform of JOIN Solutions AG, Reitergasse 9, 8004 Zurich, Switzerland, embedded as an iFrame or widget.

Switzerland is covered by an adequacy decision of the European Commission under Art. 45 GDPR.

The data processing in the application process is described in detail in Section 4.

Privacy policy of JOIN: https://join.com/privacy

2.10 Newsletter

If you sign up for our newsletter, we use your email address and any optional additional information to send you regular updates on topics related to defence recruiting, market developments, and our services.

Sign-up takes place via the double-opt-in procedure: after registering, you receive a confirmation email; only after clicking the confirmation link does your registration take effect. We log sign-up and confirmation events to comply with our obligations of proof.

The newsletter is currently sent via Wix.com Ltd. If we move to Mailchimp (Intuit Inc., 2700 Coast Ave, Mountain View, California 94043, USA) in the future, we will update this privacy policy accordingly. Mailchimp/Intuit is certified under the EU-US Data Privacy Framework.

Legal basis: Art. 6(1)(a) GDPR (consent).

You can unsubscribe from the newsletter at any time via the unsubscribe link in any email or by sending a message to info@defence-recruiting.de.

3. Data Processing in the Context of Our Recruiting Activities

Defence Recruiting is a specialised executive search and recruiting firm. As part of our work, we process personal data of candidates as well as of contact persons at our client organisations. The following sections set out which data we collect for which purposes and on which legal basis.

3.1 Processing of Candidate Data

3.1.1 Sources of Data Collection

We collect personal data of potential candidates from the following sources:

  • Direct submission by the data subject (e.g. via email, LinkedIn message, application form, phone call, or in-person introduction)

  • Publicly accessible professional networks (in particular LinkedIn, XING) in the context of active sourcing

  • Referrals from our network (provided the referring person has informed the candidate or there is a legitimate interest in making contact)

  • Applications submitted via our clients' platforms, where we have been engaged to support the search

3.1.2 Categories of Data Processed

Depending on the stage of the recruiting process and the information you provide, we typically process:

  • Identification and contact data (name, email, phone number, location, profile URLs)

  • Professional data (career history, current and past positions, qualifications, references, language skills, technical skills)

  • Salary expectations, availability, preferred work model, mobility

  • Motivation, reasons for change, personal priorities (where shared by you)

  • Content from preliminary conversations, interviews, and application documents (CV, cover letter, work samples where relevant)

  • In individual cases: information on security clearance status or eligibility requirements, where relevant for the position and with the explicit consent of the candidate

We expressly ask that you do not include special categories of personal data under Art. 9 GDPR (e.g. religion, health, ethnic origin, political views) in your application materials, unless these are required for the specific position. If such data is nevertheless submitted, we will process it only on the basis of your explicit consent under Art. 9(2)(a) GDPR.

3.1.3 Purposes of Processing

  • Identifying suitable candidates for open positions at our client organisations

  • Direct sourcing and building professional relationships as part of our network activity

  • Conducting application and selection processes on behalf of our clients

  • Inclusion in our curated talent network for future opportunities (only with consent)

  • Introduction to our clients (only with the candidate's consent)

  • Communication and relationship management

3.1.4 Legal Bases

  • Art. 6(1)(a) GDPR where consent has been actively given (e.g. inclusion in the talent network, sharing the profile with a client)

  • Art. 6(1)(b) GDPR for pre-contractual measures, in particular where you have applied for a specific position

  • Art. 6(1)(f) GDPR for outreach to individuals based on publicly accessible professional profiles (legitimate interest in identifying suitable candidates)

In the context of active sourcing, our legitimate interest typically does not override the interests of the data subject where the data subject maintains a public professional profile with the recognisable purpose of professional networking, and where the outreach is topic-relevant, professional, and not intrusive. You may object to this processing at any time (Art. 21 GDPR).

3.1.5 Sharing Data with Our Clients

Your data is shared with our clients (potential employers) only with your explicit consent. Before sharing, we provide you with concrete information about the company, the position in question, and the scope of information to be transferred.

You can withdraw your consent at any time with effect for the future. Transfers that have already taken place remain unaffected by the withdrawal; on your request, we will ask the client to delete your data.

3.1.6 Storage Period

The storage period depends on the purpose of processing:

  • Data from active search mandates is retained for the duration of the mandate and for up to six months thereafter to handle follow-up enquiries and processes

  • Where you consent to inclusion in our talent network, data is retained for a maximum of 24 months from the date of consent. Before expiry, we will ask you to renew; if no renewal is given, the data is deleted or anonymised

  • In the case of active sourcing without a subsequent process and without consent for further storage, we delete the data no later than six months after the last communication

  • If a successful placement is made, we retain the data necessary to administer the mandate for the duration of statutory retention periods (in particular § 257 HGB, § 147 AO – up to ten years)

3.2 Processing of Client and Client Contact Data

In the course of initiating and managing client mandates, we process personal data of contact persons at our client organisations (managing directors, HR leaders, hiring managers).

Processed data typically includes: name, business contact details, position, content of briefings, proposal negotiations, and ongoing mandate communication.

Legal basis: Art. 6(1)(b) GDPR (initiation and execution of the consulting agreement) and Art. 6(1)(f) GDPR (legitimate interest in business development and relationship management).

Storage period: Data from active and concluded client relationships is retained for the duration of statutory retention periods (up to ten years).

4. Service Providers and Tools

We work with selected service providers that support us in delivering our recruiting work. We have data processing agreements in place with all providers under Art. 28 GDPR. The following sections give a complete overview of the tools used and the relevant data protection framework.

4.1 HubSpot (Customer Relationship Management)

We use HubSpot as our central CRM system to structure the management of candidate and client relationships. The provider is HubSpot Ireland Limited, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Ireland (contracting party for EU customers), in conjunction with HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA.

In HubSpot, we process in particular:

  • Contact data (name, email, phone, professional profile)

  • Career history and qualifications

  • Status in the recruiting process (pipeline stages, assessments, notes)

  • Content of conversations, correspondence, and outreach activities

  • Links to mandates and positions

Legal basis: Art. 6(1)(b) GDPR for active application or mandate processes; otherwise Art. 6(1)(f) GDPR (legitimate interest in the proper administration of our business relationships) and Art. 6(1)(a) GDPR where consent has been given for continued storage.

Transfers to the United States are possible. HubSpot Inc. is certified under the EU-US Data Privacy Framework; standard contractual clauses are in place as a supplementary safeguard. We have entered into a data processing agreement with HubSpot under Art. 28 GDPR.

Privacy policy: https://legal.hubspot.com/privacy-policy

4.2 Google Workspace and Google Drive

We use Google Workspace, a service of Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (in conjunction with Google LLC, USA), to store and process application documents, internal documents, and for business communication.

Processed data: application documents (CVs, references, cover letters), internal documents, email correspondence, calendar data.

We use organisational and technical safeguards, in particular granular access rights, encrypted data transmission, and restrictive sharing settings.

Legal basis: Art. 6(1)(b) and Art. 6(1)(f) GDPR.

Google LLC is certified under the EU-US Data Privacy Framework; standard contractual clauses are used as a supplementary safeguard. We have entered into a data processing agreement with Google.

Privacy policy: https://policies.google.com/privacy

4.3 Notion

We use Notion (Notion Labs Inc., 2300 Harrison Street, San Francisco, CA 94110, USA) for internal documentation and organisation.

Personal data is processed in Notion only to a limited extent and in accordance with the principle of data minimisation.

Notion Labs Inc. is certified under the EU-US Data Privacy Framework; standard contractual clauses are in place as a supplementary safeguard. We have a data processing agreement in place with Notion.

Privacy policy: https://www.notion.so/Privacy-Policy-3468d120cf614d4c9014c09f6adc9091

4.4 Typeform

We use Typeform for structured online forms (e.g. application intake, client enquiries, surveys). The provider is TYPEFORM S.L., Carrer Bac de Roda 163, 08018 Barcelona, Spain.

Processed data: all information provided by users in the relevant form (typically name, contact details, and profession-related information).

Legal basis: Art. 6(1)(a) GDPR (consent through active submission), or Art. 6(1)(b) GDPR for pre-contractual enquiries.

Typeform is based in the EU. Sub-processors (in particular hosting providers) may transfer data to third countries; such transfers are based on standard contractual clauses. We have a data processing agreement in place with Typeform.

Privacy policy: https://www.typeform.com/help/a/data-protection-at-typeform-360029259552/

4.5 AI-Based Processing (Anthropic Claude)

To support our work, we use the AI system Claude provided by Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA. We use Claude to support internal workflows, in particular to structure content and refine its language.

We process data in Claude on a pseudonymised or anonymised basis as a general rule. Identifying information (real names, contact details, employer names) is removed or replaced before submission, unless this conflicts with the specific purpose.

The output of AI-based processing is used solely to prepare and support human decision-making. There is no automated decision-making within the meaning of Art. 22 GDPR.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in efficient and high-quality task delivery).

Anthropic is based in the United States. Data transfers are based on standard contractual clauses under Art. 46(2)(c) GDPR and supplementary technical and organisational measures. We exclusively use contractual tiers with model training disabled; the data we submit is not used to train AI models.

Privacy policy: https://www.anthropic.com/legal/privacy

Note for candidates: You may object to the processing of your data through AI-based tools at any time with effect for the future. In that case, we will continue your process without the use of AI tools.

4.6 JOIN (Application Form)

For application forms relating to our own positions, we use the platform of JOIN Solutions AG, Reitergasse 9, 8004 Zurich, Switzerland. Processing takes place under the adequacy decision for Switzerland (Art. 45 GDPR). We have a data processing agreement in place with JOIN.

Privacy policy: https://join.com/privacy

4.7 Calendly and Wix Bookings

These services are described in full in Section 2.8.

4.8 Overview of Transfers to Third Countries

The following service providers process data wholly or partly outside the EEA. In all cases, appropriate safeguards under Art. 44 et seq. GDPR are in place:

  • Wix.com Ltd. (Israel) – adequacy decision under Art. 45 GDPR

  • JOIN Solutions AG (Switzerland) – adequacy decision under Art. 45 GDPR

  • HubSpot Inc. (USA) – EU-US Data Privacy Framework and standard contractual clauses

  • Google LLC (USA) – EU-US Data Privacy Framework and standard contractual clauses

  • Notion Labs Inc. (USA) – EU-US Data Privacy Framework and standard contractual clauses

  • Calendly LLC (USA) – EU-US Data Privacy Framework and standard contractual clauses

  • Anthropic, PBC (USA) – standard contractual clauses and supplementary technical and organisational measures

  • Intuit Inc. / Mailchimp (USA, where used) – EU-US Data Privacy Framework and standard contractual clauses

5. Data Processing on Social Media Platforms

We maintain profiles on social networks to share information about our work, engage with candidates and clients, and publish content related to defence recruiting.

When you visit or interact with our profiles, the respective platform operators process personal data on their own responsibility. We have only limited influence over this. Specifically:

5.1 LinkedIn

Provider: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland.

When you visit our profile or interact with it, LinkedIn processes usage and profile data. Transfers to the United States are possible.

Legal basis for our processing: Art. 6(1)(f) GDPR (legitimate interest in visibility and active sourcing).

Privacy policy: https://www.linkedin.com/legal/privacy-policy

5.2 XING

Provider: New Work SE, Dammtorstraße 30, 20354 Hamburg, Germany.

Privacy policy: https://privacy.xing.com/de/datenschutzerklaerung

5.3 Instagram and Facebook

Provider for both services: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland.

With respect to Facebook and Instagram, we and Meta act as joint controllers under Art. 26 GDPR for the collection and transfer of insights data. The joint controller agreement can be reviewed at:

https://www.facebook.com/legal/controller_addendum

Privacy policy of Meta: https://www.facebook.com/privacy/policy

5.4 Messenger Services (WhatsApp, iMessage)

We optionally offer contact via WhatsApp (WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland) and iMessage (Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Ireland). When you use these services, we process the data you submit solely to handle your enquiry.

Please note that data may be transferred to third countries (in particular the United States) when using these services. If you wish to avoid this, please use our email address or contact form.

Legal basis: Art. 6(1)(f) GDPR.

6. Updates to This Privacy Policy

This privacy policy reflects the status indicated above. As our website and services evolve and as legal or regulatory requirements change, it may become necessary to update this policy. The current version is always available on our website at www.defence-recruiting.de/datenschutz.

7. Contact for Data Protection Matters

Defence Recruiting GmbH (i.G.)

Nikolsburger Straße 2

10717 Berlin

Germany

Email: info@defence-recruiting.de

bottom of page