Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO und des BDSG ist:
[FIRMENNAME / INHABER]
[Straße und Hausnummer]
[PLZ] [Ort], Deutschland
E-Mail: datenschutz@onlymini.de
Tel.: [Telefonnummer]

2. Überblick der Verarbeitungen

onlymini ist ein digitales Stellenportal für Minijobs in Deutschland. Wir verarbeiten personenbezogene Daten ausschließlich zu den nachfolgend genannten Zwecken und auf Basis der aufgeführten Rechtsgrundlagen.

Kategorie	Beispiele	Rechtsgrundlage
Registrierungsdaten	E-Mail-Adresse, Passwort (verschlüsselt), Rolle (Bewerber/AG)	Art. 6 Abs. 1 lit. b DSGVO
Bewerberprofil	Name, Adresse, Geburtsdatum, Telefon, Foto, Verfügbarkeit, Qualifikationen, Sprachen	Art. 6 Abs. 1 lit. b DSGVO
Sensible Profildaten (verschlüsselt)	Steuer-ID, Sozialversicherungsnummer, IBAN	Art. 6 Abs. 1 lit. b DSGVO, Art. 88 DSGVO i. V. m. § 26 BDSG
Unternehmensprofil (AG)	Firmenname, Adresse, USt-ID, Kontaktdaten, Logo	Art. 6 Abs. 1 lit. b DSGVO
Bewerbungsdaten	Anschreiben, freigegebene Profilangaben, Bewerbungsstatus	Art. 6 Abs. 1 lit. b DSGVO
Rechnungs- und Zahlungsdaten	Rechnungsadresse, Zahlungsverlauf	Art. 6 Abs. 1 lit. c DSGVO
Kommunikation	Kontaktformular, E-Mail-Nachrichten	Art. 6 Abs. 1 lit. f DSGVO
Technische Nutzungsdaten	IP-Adresse (anonymisiert), Session-ID, Browser-Typ, Zugriffszeiten	Art. 6 Abs. 1 lit. f DSGVO
Push-Benachrichtigungen	Browser-Endpunkt (VAPID), Subscription-Daten	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Job-Alerts, Push-Benachrichtigungen, optionale Cookies)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Nutzerkonto, Bewerbungsvermittlung, Stellenanzeigen)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (steuerliche Aufbewahrungsfristen, MiLoG)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Missbrauchsschutz, IT-Sicherheit)
• Art. 88 DSGVO i. V. m. § 26 BDSG – Beschäftigungskontext (Bewerbungsdaten)

4. Eingesetzte Technologien

4.1 Server-Infrastruktur (selbst betrieben, kein Drittanbieter-SaaS)

• Python / Flask – Web-Applikations-Framework (serverseitige Verarbeitung)
• PostgreSQL – Relationale Datenbank zur Speicherung aller Nutzer- und Plattformdaten
• Redis – In-Memory-Datenbank für Session-Verwaltung und Caching
• Nginx – Web-Server und Reverse Proxy
• Docker – Containerisierung (kein Cloud-Provider-Tracking)

Alle Daten werden auf Servern in [SERVERSTANDORT, z. B. Deutschland] gespeichert. Eine Drittstaaten-Übertragung findet grundsätzlich nicht statt (Ausnahme: OAuth-Anmeldedienste, s. 4.3).

4.2 Cookies und Session-Verwaltung

Wir setzen ausschließlich technisch notwendige Cookies ein. Diese erfordern keine gesonderte Einwilligung (Art. 6 Abs. 1 lit. b / lit. f DSGVO).

Cookie / Technologie	Zweck	Speicherdauer
session (HttpOnly, SameSite=Lax)	Authentifizierungssitzung, 2FA-Status, Assistenten-Daten	Browser-Session
CSRF-Token	Schutz vor Cross-Site-Request-Forgery	Max. 1 Stunde
Consent-Cookie	Speicherung deiner Cookie-Entscheidung	365 Tage
Redis-Session	Serverseitige Session-Daten	Sitzungsende

4.3 OAuth-Anmeldedienste (Drittanbieter)

Du kannst dich optional über folgende Drittanbieter anmelden. Dabei übertragen diese uns ausschließlich Name, E-Mail-Adresse und eine eindeutige Nutzer-ID:

Dienst	Anbieter	Datenschutzhinweise
Google Sign-In	Google LLC, USA (EU-SCCs)	policies.google.com/privacy
Microsoft-Konto	Microsoft Corp., USA (EU-SCCs)	privacy.microsoft.com
LinkedIn	LinkedIn Ireland, Irland (EWR)	linkedin.com/legal/privacy-policy
Facebook / Meta	Meta Platforms Ireland, Irland (EWR)	facebook.com/privacy/policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bei US-Anbietern: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

4.4 Zwei-Faktor-Authentifizierung (2FA)

Optionale TOTP-basierte 2FA (RFC 6238). Das 2FA-Secret wird verschlüsselt gespeichert und nicht an Dritte übertragen.

4.5 E-Mail-Kommunikation

Transaktionale E-Mails (Bewerbungseingang, Statusänderungen, Job-Alerts) werden über einen SMTP-Server gesendet.
E-Mail-Versanddienst: [SMTP-ANBIETER]
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional), Art. 6 Abs. 1 lit. a DSGVO (Job-Alerts).

4.6 Push-Benachrichtigungen (VAPID)

Mit deiner Einwilligung senden wir Browser-Push-Benachrichtigungen über passende Jobs. Jederzeit deaktivierbar in den Browser-Einstellungen oder deinem Profil. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

4.7 KI-gestützte Funktionen (Gemini API)

Zur Unterstützung bei der Erstellung von Stellenbeschreibungen nutzen Arbeitgeber optional die Gemini API von Google LLC (USA). Dabei werden keine personenbezogenen Daten von Bewerbern übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.8 Geolokalisierung und Karten (OpenRouteService)

Für die standortbezogene Jobsuche nutzen wir die OpenRouteService API (Heidelberg Institut für Geoinformationstechnologie, Deutschland). Es werden ausschließlich Postleitzahlen oder Ortsnamen übertragen – keine personenbezogenen Daten.

5. Datenweitergabe an Dritte

Deine Daten werden nicht verkauft. Eine Weitergabe erfolgt ausschließlich:

• An Arbeitgeber: Bei einer Bewerbung werden die von dir freigegebenen Profilangaben an den jeweiligen Arbeitgeber übermittelt. Du steuerst die Sichtbarkeit in den Profil-Einstellungen.
• An Auftragsverarbeiter: Technische Dienstleister (Hosting, E-Mail-Versand) verarbeiten Daten ausschließlich weisungsgebunden und sind per Auftragsverarbeitungsvertrag (Art. 28 DSGVO) gebunden.
• An Behörden: Bei rechtlicher Verpflichtung (z. B. Strafverfolgung, gerichtliche Anordnung).

6. Speicherdauer und Löschfristen

Datenkategorie	Speicherdauer
Aktive Nutzerkonten	Bis zur Löschung durch den Nutzer oder auf Anfrage
Nutzerkonto nach Löschung	Sofortige Anonymisierung; Rechnungsdaten: 10 Jahre (§ 147 AO)
Bewerbungsunterlagen	Max. 6 Monate nach Abschluss des Verfahrens
Rechnungsbelege	10 Jahre (§ 147 Abs. 1 AO, § 257 HGB)
Server-Logs (IP-Adresse)	Max. 7 Tage (anonymisiert nach 24 Stunden)
Consent-Protokolle (Art. 7 DSGVO)	3 Jahre (Nachweis der Einwilligung)

7. Datensicherheit

• Alle Verbindungen TLS/SSL-verschlüsselt (HTTPS)
• Passwörter mit sicherem Einweg-Hashverfahren gespeichert
• Sensible Felder (Steuer-ID, IBAN, SVN) zusätzlich verschlüsselt in der Datenbank
• CSRF-Schutz auf allen Formularen
• HttpOnly- und SameSite-Session-Cookies
• Regelmäßige Sicherheitsupdates und Zugangskontrollen

8. Deine Rechte als betroffene Person

Recht	Grundlage	Inhalt
Auskunft	Art. 15 DSGVO	Kopie der gespeicherten Daten anfordern
Berichtigung	Art. 16 DSGVO	Unrichtige Daten korrigieren lassen
Löschung	Art. 17 DSGVO	Konto und Daten löschen (soweit keine Aufbewahrungspflicht)
Einschränkung	Art. 18 DSGVO	Verarbeitung einschränken (z. B. bei Widerspruch)
Datenübertragbarkeit	Art. 20 DSGVO	Daten in maschinenlesbarem Format erhalten
Widerspruch	Art. 21 DSGVO	Verarbeitung auf Basis berechtigten Interesses widersprechen
Widerruf der Einwilligung	Art. 7 Abs. 3 DSGVO	Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen

Anfragen an: datenschutz@onlymini.de

Beschwerderecht: Du kannst dich jederzeit bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren. Die Liste der deutschen Behörden findest du unter www.bfdi.bund.de.

9. Automatisierte Entscheidungen / Profiling

Wir treffen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung. Stellenanzeigen- und Profilfilterung basiert ausschließlich auf den von dir selbst eingestellten Kriterien.

10. Minderjährige

Minijobs sind ab 15 Jahren (mit Einschränkungen) zulässig. Personen unter 18 Jahren benötigen bei der Registrierung die Einwilligung eines Erziehungsberechtigten. Daten von Kindern unter 13 Jahren erheben wir nicht wissentlich.

11. Änderungen dieser Datenschutzerklärung

Diese Erklärung wird regelmäßig überprüft und bei gesetzlichen Änderungen oder neuen Verarbeitungen aktualisiert. Die aktuelle Fassung ist stets unter /rechtliches/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Stand: April 2026