Datenschutzerklärung

für orangefin.at, Kundenkommunikation, Recruiting, Personalvermittlung und HR-Projekte

Stand: 11.05.2026

1. Verantwortlicher

Verantwortlicher im Sinn der Datenschutz-Grundverordnung (DSGVO) ist:

Michael Demelmayr, handelnd unter orangefin HR-Services, 4701 Bad Schallerbach, Österreich.

E-Mail: michael.demelmayr@orangefin.at

Telefon: +43 676 840186331.

Ein Datenschutzbeauftragter ist nach den vorliegenden Angaben nicht bestellt. Datenschutzanfragen können an die vorstehende Kontaktadresse gerichtet werden.

2. Grundsätze der Verarbeitung

orangefin verarbeitet personenbezogene Daten nur, soweit dies zur Bereitstellung der Website, zur Kommunikation, zur Vertragsanbahnung, zur Vertragserfüllung, zur Durchführung von HR- und Recruiting-Projekten, zur Erfüllung gesetzlicher Pflichten, zur Wahrung berechtigter Interessen oder auf Grundlage einer Einwilligung erforderlich ist.

Die Verarbeitung erfolgt zweckgebunden, datenminimierend, unter Beachtung angemessener Vertraulichkeit und nach Maßgabe der jeweils anwendbaren Speicherfristen.

Besondere Kategorien personenbezogener Daten im Sinn des Art. 9 DSGVO werden nicht aktiv angefordert, sofern dies nicht ausnahmsweise für einen konkreten Zweck erforderlich und rechtlich zulässig ist. Werden solche Daten freiwillig in Bewerbungsunterlagen übermittelt, werden sie nur verarbeitet, soweit dies für den jeweiligen Bewerbungs- oder Vermittlungsprozess erforderlich ist oder eine ausdrückliche Einwilligung beziehungsweise eine sonstige tragfähige Rechtsgrundlage besteht.

3. Websitezugriff und technische Bereitstellung

Beim Besuch der Website können technisch erforderliche Daten verarbeitet werden, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, angeforderte Inhalte, übertragene Datenmenge, Browser- und Betriebssysteminformationen, Referrer-URL und technische Protokolldaten.

Zweck der Verarbeitung ist die technische Bereitstellung der Website, die Systemsicherheit, Fehleranalyse und Abwehr missbräuchlicher Zugriffe.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt im sicheren und funktionsfähigen Betrieb der Website.

Empfänger ist insbesondere der Webhoster hosttech sowie gegebenenfalls technisch beigezogene IT-Dienstleister. Protokolldaten werden nur so lange gespeichert, wie dies für technische Sicherheit, Fehleranalyse oder Rechtsverfolgung erforderlich ist; mangels abweichender technischer Konfiguration wird eine Speicherfrist von bis zu 30 Tagen empfohlen.

4. Kontaktaufnahme, Angebotslegung und Kundenverwaltung

Wenn Personen mit orangefin Kontakt aufnehmen, verarbeitet orangefin die von ihnen übermittelten Daten, insbesondere Name, Unternehmen, Funktion, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage und Kommunikationsverlauf.

Zweck ist die Bearbeitung von Anfragen, die Vorbereitung von Angeboten, die Durchführung vorvertraglicher Maßnahmen und die Abwicklung bestehender Kundenbeziehungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation auf Vertragsschluss oder Vertragserfüllung gerichtet ist, sowie Art. 6 Abs. 1 lit. f DSGVO hinsichtlich allgemeiner Geschäftskommunikation mit Ansprechpartnern von Unternehmen.

Daten aus Angebots- und Vertragskommunikation werden grundsätzlich für sieben Jahre ab Ende der Geschäftsbeziehung beziehungsweise ab Angebotsdatum gespeichert, soweit gesetzliche Aufbewahrungspflichten, Rechtsverteidigung oder offene Ansprüche eine längere Speicherung erfordern.

5. Vertragsabwicklung, Rechnungslegung und Zahlungsverkehr

Zur Durchführung von Verträgen verarbeitet orangefin Stammdaten, Kontaktdaten, Vertragsdaten, Leistungsnachweise, Kommunikationsdaten, Abrechnungsdaten und Zahlungsinformationen.

Zweck ist die Leistungserbringung, Abrechnung, Buchhaltung, Dokumentation und Rechtsdurchsetzung.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Vertragsdurchführung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungs- und Abgabepflichten sowie Art. 6 Abs. 1 lit. f DSGVO für Rechtsverteidigung und Forderungsmanagement.

Empfänger können die Oberbank als Bankverbindung, der Steuerberater Stögerer Christoph, Behörden, Gerichte, Rechtsvertreter, Inkassodienstleister sowie eingesetzte IT- und ERP-Dienstleister sein. Rechnungs- und Buchhaltungsdaten werden grundsätzlich sieben Jahre gemäß steuer- und unternehmensrechtlichen Aufbewahrungspflichten gespeichert; bei anhängigen Verfahren oder offenen Ansprüchen entsprechend länger.

6. Recruiting, Personalvermittlung und Kandidatenmanagement

Im Rahmen von Recruiting, Executive Search und Personalvermittlung verarbeitet orangefin personenbezogene Daten von Kandidatinnen und Kandidaten. Dazu können gehören: Name, Kontaktdaten, beruflicher Werdegang, Lebenslauf, Zeugnisse, Qualifikationen, Ausbildung, Kenntnisse, Gehaltsvorstellungen, Verfügbarkeit, berufliche Präferenzen, Interviewnotizen, Kommunikationsverläufe, Einschätzungen zur fachlichen Eignung sowie Informationen, die Kandidatinnen und Kandidaten selbst bereitstellen.

Zweck ist die Identifikation, Ansprache, Prüfung, Vorstellung und Begleitung von Kandidatinnen und Kandidaten für konkrete Positionen bei Kundenunternehmen.

Rechtsgrundlage ist, je nach Fallkonstellation, Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Maßnahmen auf Anfrage der betroffenen Person, Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen von orangefin, Kundenunternehmen und Kandidatinnen beziehungsweise Kandidaten an einer sachgerechten Stellenbesetzung, sowie Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung eingeholt wird.

Bei der Aufnahme in einen Talentpool oder bei einer über den konkreten Bewerbungsprozess hinausgehenden Evidenzhaltung stützt sich die Verarbeitung auf eine freiwillige Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kandidatenprofile werden nur an Kundenunternehmen übermittelt, wenn dies für einen konkreten Recruiting-Prozess erforderlich ist und eine entsprechende Rechtsgrundlage besteht. Nach Übermittlung ist das jeweilige Kundenunternehmen für die weitere Verarbeitung im eigenen Verantwortungsbereich verantwortlich, sofern nicht ausnahmsweise eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit gesondert vereinbart wurde.

7. Active Sourcing und Daten aus öffentlich zugänglichen Quellen

Soweit orangefin Active Sourcing einsetzt, können berufsbezogene Daten aus öffentlich zugänglichen beruflichen Netzwerken (zB. Linkedin, xing, etc..), Unternehmenswebsites, beruflichen Profilen, Empfehlungen oder sonstigen legitimen beruflichen Quellen verarbeitet werden. 

Zweck ist die Identifikation geeigneter Kandidatinnen und Kandidaten für konkrete Positionen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der zielgerichteten Besetzung offener Positionen und in der Kontaktaufnahme zu Personen, deren berufliches Profil eine Relevanz für die betreffende Position erkennen lässt.

Betroffene Personen werden spätestens im Zeitpunkt der ersten Kontaktaufnahme über die Verarbeitung informiert, sofern keine gesetzliche Ausnahme nach Art. 14 DSGVO greift. Wenn eine Person keine weitere Kontaktaufnahme wünscht, wird dies dokumentiert und für künftige Ansprache berücksichtigt.

8. Besondere Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten, etwa Gesundheitsdaten, Angaben zur Religionszugehörigkeit, biometrische Daten, politische Meinungen, Gewerkschaftszugehörigkeit oder Daten zur sexuellen Orientierung, werden von orangefin im Regelfall nicht angefordert.

Werden solche Daten freiwillig in Bewerbungsunterlagen oder im Kommunikationsverlauf offengelegt, verarbeitet orangefin diese nur, soweit dies für den konkreten Prozess notwendig ist, die betroffene Person ausdrücklich eingewilligt hat oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Rechtsgrundlagen können Art. 9 Abs. 2 lit. a DSGVO, Art. 9 Abs. 2 lit. b DSGVO im arbeits- und sozialrechtlichen Kontext oder Art. 9 Abs. 2 lit. f DSGVO sein. Nicht erforderliche besondere Daten werden nach Möglichkeit nicht berücksichtigt, geschwärzt oder gelöscht.

9. Bewerberdaten und Speicherdauer

Daten aus konkreten Bewerbungs- und Vermittlungsverfahren werden grundsätzlich für die Dauer des jeweiligen Verfahrens verarbeitet.

Bei nicht erfolgreicher Bewerbung oder Vermittlung werden Bewerberdaten grundsätzlich spätestens sechs Monate nach Abschluss des Bewerbungs- oder Vermittlungsprozesses gelöscht, sofern keine längere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Aus Gründen der Rechtsverteidigung kann in Österreich eine Aufbewahrung von bis zu sieben Monaten sachlich gerechtfertigt sein.

Bei Aufnahme in einen Talentpool erfolgt die Speicherung bis zum Widerruf der Einwilligung, längstens jedoch für zwei Jahre ab Einwilligung, sofern nicht vor Ablauf eine erneute Einwilligung eingeholt wird.

Erfolgreich vermittelte Kandidatendaten werden, soweit sie für Abrechnung, Nachweis der Vermittlungsleistung, Gewährleistung, Rechtsverteidigung oder vertragliche Dokumentation erforderlich sind, im dafür notwendigen Umfang länger gespeichert.

10. Empfänger und Dienstleister

Personenbezogene Daten können je nach Zweck an folgende Empfänger oder Kategorien von Empfängern übermittelt werden: Kundenunternehmen im Rahmen konkreter Recruiting- oder HR-Projekte, Kandidatinnen und Kandidaten, IT-Dienstleister, Webhoster hosttech, Microsoft/Outlook als E-Mail-Dienst, Optiwi als CRM-/ERP-/Cloud-Dienstleister, Oberbank, Steuerberater Stögerer Christoph, Rechtsvertreter, Behörden, Gerichte und sonstige Stellen, soweit dies rechtlich erforderlich oder zur Vertragsdurchführung notwendig ist.

Mit Auftragsverarbeitern werden, soweit erforderlich, Vereinbarungen nach Art. 28 DSGVO abgeschlossen. Bei eigenständig Verantwortlichen erfolgt die Übermittlung auf Grundlage der jeweils einschlägigen Rechtsgrundlage.

11. Drittlandübermittlungen

Nach den vorliegenden Angaben werden US-bezogene Dienste eingesetzt oder können eingesetzt werden, insbesondere Microsoft/Outlook, LinkedIn, Instagram/Facebook und gegebenenfalls Calendly. Eine Übermittlung personenbezogener Daten in Drittländer kann daher nicht ausgeschlossen werden.

Soweit Empfänger in einem Drittland eingesetzt werden, erfolgt die Übermittlung nur, wenn ein Angemessenheitsbeschluss der Europäischen Kommission besteht, der Empfänger nach dem EU-US Data Privacy Framework zertifiziert ist, Standardvertragsklauseln abgeschlossen wurden oder eine sonstige geeignete Garantie nach Art. 46 DSGVO beziehungsweise ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt.

Vor Veröffentlichung ist für jeden tatsächlich eingesetzten Dienst zu prüfen, ob ein Data Processing Agreement, eine Zertifizierung, Standardvertragsklauseln und erforderlichenfalls eine Transferbewertung vorliegen.

12. Social Media

orangefin unterhält geschäftliche Auftritte auf LinkedIn, Instagram und Facebook. Bei Aufruf dieser Plattformen gelten zusätzlich die Datenschutzbestimmungen der jeweiligen Plattformbetreiber.

Soweit Nutzerinnen und Nutzer mit orangefin über Social-Media-Plattformen kommunizieren, verarbeitet orangefin die dabei übermittelten Profil-, Kommunikations- und Inhaltsdaten zur Bearbeitung der Anfrage und zur geschäftlichen Kommunikation. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Die Plattformbetreiber können personenbezogene Daten eigenständig für Analyse-, Sicherheits-, Werbe- oder sonstige Zwecke verarbeiten. Auf diese Verarbeitungen hat orangefin nur begrenzten Einfluss.

13. Calendly und Terminbuchung

Nach den Angaben ist Calendly aktuell nicht aktiv. Wird Calendly oder ein vergleichbarer Terminbuchungsdienst künftig eingebunden, werden Name, E-Mail-Adresse, Termindaten, Kommunikationsinhalte und technische Nutzungsdaten verarbeitet.

Eine solche Verarbeitung ist erst nach Ergänzung dieser Datenschutzerklärung, Abschluss erforderlicher Datenschutzvereinbarungen und Prüfung allfälliger Drittlandübermittlungen freizuschalten.

14. Cookies

Die Website verwendet ausschließlich technisch notwendige Cookies und vergleichbare Technologien, die für den sicheren und ordnungsgemäßen Betrieb der Website erforderlich sind.

Diese dienen insbesondere:

• der technischen Bereitstellung der Website,
• der Systemsicherheit,
• der Sitzungsverwaltung sowie
• der stabilen Darstellung von Inhalten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit den einschlägigen telekommunikationsrechtlichen Bestimmungen für technisch erforderliche Speicherungen und Zugriffe.

Es werden derzeit keine Analyse-, Marketing-, Tracking- oder Retargeting-Technologien eingesetzt.

Sollten künftig zusätzliche Dienste oder Technologien eingesetzt werden, die eine Einwilligung erfordern, erfolgt deren Aktivierung erst nach entsprechender Information und – soweit gesetzlich erforderlich – nach Einholung einer ausdrücklichen Einwilligung.

15. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Ein Widerruf berührt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf nicht. Ein Widerspruch kann insbesondere gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erhoben werden, wenn Gründe vorliegen, die sich aus der besonderen Situation der betroffenen Person ergeben.

Anfragen können an  michael.demelmayr@orangefin.at gerichtet werden. Zur Verhinderung unbefugter Auskünfte kann orangefin eine angemessene Identitätsprüfung verlangen.

16. Beschwerderecht

Betroffene Personen haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde zu erheben. In Österreich ist dies die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at.

Dieses Beschwerderecht besteht unbeschadet sonstiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

17. Aktualisierung dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, wenn sich die Website, die eingesetzten Dienste, die Datenverarbeitungen, die Rechtslage oder die tatsächliche Leistungserbringung ändern.

Änderungen des Geschäftsmodells, insbesondere Einführung von Newsletter, Tracking, Bewerberportal, Kundenlogin, automatisierten Entscheidungen, KI-gestützten Screening-Verfahren oder internationaler Dienstleister, erfordern eine gesonderte datenschutzrechtliche Prüfung vor Aktivierung.

18. Übersicht zentraler Verarbeitungen