Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

2. Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten auf Basis folgender Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO):

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Stellenanzeigen-Buchung)
• Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtung (Buchführung, Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (sichere, stabile Bereitstellung des Portals)

3. Aufruf unserer Website (Server-Logfiles)

Beim Aufruf unserer Website werden durch unseren Hosting-Anbieter technische Daten in Server-Logfiles erfasst. Diese werden für den sicheren Betrieb und die Fehleranalyse benötigt:

• IP-Adresse (gekürzt/anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Statuscode
• Übertragene Datenmenge
• Verwendeter Browser und Betriebssystem (User-Agent)
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einem stabilen, sicheren Betrieb. Speicherdauer: 7–14 Tage.

Hosting-Dienstleister:

Das Hosting erfolgt in der EU-Region (Frankfurt, Deutschland) auf Basis der AWS-Infrastruktur, die Laravel Cloud darunter einsetzt. Damit verbleiben Anwendungs-, Datenbank- und File-Storage-Daten innerhalb der EU. Mit dem Hosting-Anbieter besteht ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. Da Laravel Holdings, Inc. eine US-Gesellschaft ist, stützen wir etwaige Drittland-Übermittlungen auf das EU-US Data Privacy Framework sowie Standardvertragsklauseln gemäß Art. 46 DSGVO. Datenschutzerklärung des Hosters: https://laravel.com/privacy

4. Cookies und Local Storage

Wir verwenden ausschließlich technisch notwendige Cookies und Browser-Speicher. Es werden keine Tracking- und keine Drittanbieter-Cookies gesetzt.

• Session-Cookie: hält authentifizierte Sitzungen aufrecht (Standard Laravel-Session, HttpOnly, Secure)
• CSRF-Token: schützt vor Cross-Site-Request-Forgery-Angriffen
• XSRF-Token: CSRF-Schutz für API-Requests aus dem Frontend
• Cookie-Bestätigung (localStorage): Speichert lokal im Browser (kein serverseitiger Cookie), ob Sie den Cookie-Hinweis bestätigt haben (kn_cookie_ack). Kein Tracking, kein Upload an Server.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG bzw. Art. 6 Abs. 1 lit. f DSGVO (technisch notwendig).

5. Geocoding via OpenStreetMap / Nominatim

Im Rahmen des regelmäßigen Daten-Importprozesses übermitteln wir Klinikadressen (Straße, PLZ, Ort — keine Besucherdaten) an den Geocoding-Dienst Nominatim der OpenStreetMap Foundation (OSMF), 132 Maney Hill Road, Sutton Coldfield, B72 1JU, Großbritannien. Der Dienst ermittelt daraus geografische Koordinaten (Längen- und Breitengrad) zur kartografischen Darstellung von Klinikstandorten.

Dieser Vorgang findet ausschließlich serverseitig und außerhalb des eigentlichen Besuchsstroms statt (Hintergrundprozess/Artisan-Command). Besucher der Website lösen keine Nominatim-Anfrage aus und es werden keine Besucherdaten (insbesondere keine IP-Adressen) an Nominatim übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Darstellung von Klinikstandorten. Datenschutzerklärung der OSMF: https://osmfoundation.org/wiki/Privacy_Policy

6. Stellenanzeigen-Formular und Kontaktformular

Wenn Sie über unser Portal eine Stellenanzeige aufgeben oder uns kontaktieren, verarbeiten wir folgende Daten:

• Kontakt-E-Mail-Adresse des Arbeitgebers / Absenders
• Titel und Inhalt der Stellenanzeige
• Verwaltungstoken für die Stellenanzeige
• Zeitstempel der Erstellung und Ablauf

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) für Stellenanzeigen-Buchungen; Art. 6 Abs. 1 lit. f DSGVO für allgemeine Kontaktanfragen.

Speicherdauer: Stellenanzeigen werden nach Ablauf oder Deaktivierung für bis zu 30 Tage aufbewahrt, danach gelöscht. Kontaktanfragen werden nach Abschluss der Bearbeitung, spätestens nach 6 Monaten, gelöscht.

7. Zahlungsdienstleister Stripe

Für die Abwicklung von Zahlungen für bezahlte Stellenanzeigen nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe").

Dieser Abschnitt gilt ausschließlich für Arbeitgeber, die eine kostenpflichtige Stellenanzeige buchen. Besucher, die das Portal nur zur Klinik- oder Stellensuche nutzen, sind von dieser Verarbeitung nicht betroffen.

Datenübermittlung an Stripe:

• E-Mail-Adresse
• Zahlungsdaten (direkt bei Stripe eingegeben — niemals auf unseren Servern)
• Transaktions- und Bestelldaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: Stripe kann Daten innerhalb seiner globalen Infrastruktur — auch in die USA — übermitteln. Stripe hat sich dem EU-US Data Privacy Framework unterworfen und stützt Drittlandübermittlungen zusätzlich auf Standardvertragsklauseln gemäß Art. 46 DSGVO.

Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

8. Externe Stellenangebote der Bundesagentur für Arbeit

Ein Teil der auf diesem Portal angezeigten Stellenangebote stammt aus dem öffentlichen Stellenangebot der Bundesagentur für Arbeit, Regensburger Straße 104, 90478 Nürnberg. Diese Angebote sind auf unserer Plattform als „Extern" gekennzeichnet.

Beim Klick auf einen solchen Link werden Sie auf die Website der Bundesagentur für Arbeit oder des dort angegebenen Arbeitgebers weitergeleitet. Wir haben keinen Einfluss auf die Datenverarbeitung durch diese Drittseiten. Die entsprechenden Datenschutzhinweise der Bundesagentur für Arbeit finden Sie unter: https://www.arbeitsagentur.de/datenschutz

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Bereitstellung eines umfassenden Stellenmarkts für den Kliniksektor.

9. Schriftarten

Wir verwenden ausschließlich selbst gehostete Schriftarten (IBM Plex Sans, IBM Plex Mono). Es werden keine Schriftarten von externen CDN-Diensten (z. B. Google Fonts CDN) nachgeladen. Damit findet beim Seitenaufruf kein Datentransfer Ihrer IP-Adresse an Schriftanbieter-Server statt.

10. Ihre Rechte als betroffene Person

Ihnen stehen nach DSGVO folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO — „Recht auf Vergessenwerden")
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@kliniknrw.de

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

12. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung und unberechtigten Zugriff zu schützen. Insbesondere:

• Verschlüsselte Übertragung über HTTPS (TLS 1.2+)
• Passwort-Hashing mit bcrypt
• Selbst gehostete Schriftarten — kein Datentransfer an Schriftanbieter
• Ausschließlich technisch notwendige Cookies (kein Tracking)
• Regelmäßige Sicherheitsupdates des Frameworks und der Server-Pakete
• Auftragsverarbeitungsvertrag (AVV) mit Laravel Cloud (Hosting EU-Region) und Stripe (Zahlungsabwicklung); Drittlandübermittlungen an Laravel Holdings auf Basis des EU-US Data Privacy Framework sowie Standardvertragsklauseln gemäß Art. 46 DSGVO

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich rechtliche Anforderungen oder Funktionen unserer Website ändern. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.