Version 1.1 — Letzte Aktualisierung: 11.04.2026
1. Verantwortlicher für die Datenverarbeitung
Almaware S.r.l.
Via Camozzi 111, 24121 Bergamo (BG), Italien
USt-IdNr.: IT03779610165
Zertifizierte E-Mail (PEC): almaware@legalmail.it
Telefon: +39 035 0666899
E-Mail: info@almaware.net
Ansprechpartner: Alessandro Benedetti
2. Datenschutzbeauftragter (DSB)
Im Hinblick auf die systematische Verarbeitung beschäftigungsbezogener personenbezogener Daten hat Almaware S.r.l. seine Pflichten gemäß Art. 37 DSGVO geprüft. Für alle Fragen zur Datenverarbeitung oder zur Ausübung von Rechten wenden Sie sich bitte an:
E-Mail: privacy@almaware.net
3. Verantwortlicher und Auftragsverarbeiter
TalentRewards agiert in einer Doppelrolle:
- Verantwortlicher (Controller) für Daten von Website-Besuchern, Interessenten, eigenen Mitarbeitern und Geschäftskontakten.
- Auftragsverarbeiter (Processor) gemäß Art. 28 DSGVO für personenbezogene Daten der Beschäftigten von Kundenorganisationen, die die Plattform nutzen. In dieser Eigenschaft verarbeitet TalentRewards Daten ausschließlich auf dokumentierte Weisung des Kunden (Verantwortlicher) auf Grundlage eines Auftragsverarbeitungsvertrags (AVV/DPA).
Beschäftigte, die ihre Rechte in Bezug auf über die Plattform verarbeitete Daten ausüben möchten, wenden sich an ihre Arbeitgeberorganisation (Verantwortlicher).
4. Erhobene Daten
- Identifikationsdaten: Vor- und Nachname, E-Mail, Telefon, Firmenname, USt-IdNr.
- Navigationsdaten: IP-Adresse, Browser-Typ, Betriebssystem, besuchte Seiten, Zugriffszeitpunkte, Referrer.
- Freiwillig übermittelte Daten: Angaben in Kontakt-, Registrierungs- und Anmeldeformularen.
- Beschäftigungsleistungsdaten (Plattform): MBO-Ziele, Leistungsbeurteilungen, 360°-Feedback, 1-on-1-Gesprächsnotizen, Kompetenzen, Entwicklungspläne.
- Nutzungsdaten: Aktivitätsprotokolle, Präferenzen, Systemkonfigurationen.
- Zahlungsdaten: verarbeitet von Stripe Inc.; keine Speicherung von Kartendaten.
5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
TalentRewards erhebt und verarbeitet keine besonderen Kategorien personenbezogener Daten (Gesundheitsdaten, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, genetische oder biometrische Daten, sexuelle Orientierung) für eigene Zwecke.
Konfiguriert ein Kundenunternehmen die Plattform zur Verarbeitung solcher Daten, erfolgt dies ausschließlich auf Weisung des Kunden (Verantwortlicher) und unter seiner Verantwortung, vorausgesetzt eine geeignete Rechtsgrundlage gemäß Art. 9(2) DSGVO liegt vor.
6. Daten Minderjähriger
Die Dienste von TalentRewards richten sich ausschließlich an Organisationen und erwachsene Fachleute. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Werden solche Daten identifiziert, werden sie unverzüglich gelöscht. Meldungen: privacy@almaware.net.
7. Verarbeitungszwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage (DSGVO Art. 6) |
|---|---|
| Erbringung des TalentRewards-Dienstes / Vertragserfüllung | Art. 6(1)(b) |
| Rechnungsstellung und steuerliche Pflichten | Art. 6(1)(c) |
| Plattformsicherheit und Betrugsprävention | Art. 6(1)(f) – berechtigtes Interesse |
| Newsletter und Marketing-Kommunikation (nur mit Einwilligung) | Art. 6(1)(a) – Einwilligung |
| Beantwortung von Support- und Kontaktanfragen | Art. 6(1)(b) / Art. 6(1)(f) |
| Anonyme statistische Website-Analyse | Art. 6(1)(f) – berechtigtes Interesse |
| Rechtsverteidigung und Schutz von Rechten | Art. 6(1)(f) – berechtigtes Interesse |
| Erfüllung gesetzlicher Pflichten | Art. 6(1)(c) |
Für jede Verarbeitung auf Basis berechtigter Interessen wird eine dokumentierte Interessenabwägung (LIA) geführt, die auf Anfrage zur Verfügung steht.
8. Künstliche Intelligenz und automatisierte Entscheidungsfindung (Art. 22 DSGVO)
TalentRewards integriert generative KI-Funktionen (z. B. Zielvorschläge, Beurteilungsentwürfe, Leistungsanalysen). Die KI-Verarbeitung erfolgt über Drittanbieter mit Zero-Data-Retention-Richtlinie.
- Kundendaten werden nicht zur Schulung von KI-Modellen verwendet.
- TalentRewards trifft keine ausschließlich automatisierten Entscheidungen mit erheblichen rechtlichen oder ähnlichen Auswirkungen gemäß Art. 22 DSGVO.
- Alle KI-generierten Empfehlungen sind rein beratend und unterliegen menschlicher Überprüfung.
- Betroffene können menschliches Eingreifen verlangen, ihren Standpunkt darlegen und jede Beurteilung anfechten.
9. Verarbeitungsmodalitäten und DSFA
TalentRewards hat Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO für risikoreiche Verarbeitungen durchgeführt, darunter die systematische Verarbeitung von Leistungsdaten und KI-gestützte Funktionen. Unterstützungsdokumentation für Kunden-DSFA ist auf Anfrage verfügbar.
10. Datenweitergabe und Unterauftragsverarbeiter
Wir verkaufen keine personenbezogenen Daten. Daten können weitergegeben werden an IT-/Cloud-Infrastrukturanbieter, Zahlungsabwickler (Stripe Inc.), E-Mail-/Kommunikationsanbieter, Application-Monitoring-Tools, KI-Dienstleister, Berater mit Vertraulichkeitspflicht sowie Behörden nach gesetzlicher Vorgabe.
Alle Auftragsverarbeiter sind durch AVV gemäß Art. 28 DSGVO gebunden. Die aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage unter privacy@almaware.net erhältlich. Kunden werden mindestens 30 Tage im Voraus über Änderungen informiert und können innerhalb dieser Frist Widerspruch einlegen.
11. Internationale Datenübertragungen
Einige Anbieter können Daten außerhalb des EWR verarbeiten. Übertragungen erfolgen mit den Garantien der Art. 44–49 DSGVO (Standardvertragsklauseln, Angemessenheitsbeschlüsse). Kopien der Garantien sind auf Anfrage erhältlich.
12. Speicherfristen
| Datenkategorie | Zweck | Speicherfrist | Rechtsgrundlage |
|---|---|---|---|
| Konto- und Vertragsdaten | Vertragserfüllung | Vertragsdauer + 12 Monate | Art. 28 DSGVO / AVV |
| Mitarbeiterleistungsdaten (Plattform) | Diensterbringung | Vertragsdauer + 6 Monate | Art. 28 DSGVO / AVV |
| Abrechnungs- und Buchhaltungsdaten | Steuerpflichten | 10 Jahre | Ital. Zivilgesetzbuch Art. 2220 |
| Marketing-/Newsletter-Kontakte | Kommerzielle Kommunikation | 24 Monate ab letztem Kontakt | Leitlinien der ital. Datenschutzbehörde |
| Zugriffs- und Sicherheitsprotokolle | IT-Sicherheit | 12 Monate (längere Fristen nach DSFA) | Leitlinien der ital. Datenschutzbehörde |
| Bewerberdaten (internes Recruiting) | Personalgewinnung | 12 Monate, ggf. mit Einwilligung länger | Leitlinien der ital. Datenschutzbehörde |
| Analyse-Cookies | Website-Nutzungsanalyse | Maximal 13 Monate | Cookie-Leitlinien ital. DPA (2021) |
| Daten zur Rechtsverteidigung | Rechtliche Ansprüche | Bis zu 10 Jahre | Ital. Zivilgesetzbuch Art. 2946 |
13. Ihre Rechte (DSGVO Art. 15–22)
- Auskunft (Art. 15) — Berichtigung (Art. 16) — Löschung (Art. 17) — Einschränkung (Art. 18) — Datenübertragbarkeit (Art. 20) — Widerspruch (Art. 21) — Kein automatisierter Einzelentscheid (Art. 22) — Widerruf der Einwilligung
Kontakt: privacy@almaware.net oder per zertifizierter E-Mail almaware@legalmail.it. Antwortfrist: 30 Tage (verlängerbar um 60 Tage).
Hinweis für Beschäftigte von Kundenorganisationen: Rechte bezüglich über die Plattform verarbeiteter Daten sind gegenüber dem Arbeitgeber (Verantwortlicher) geltend zu machen.
14. Beschwerderecht
Sie haben das Recht, eine Beschwerde bei der Italienischen Datenschutzbehörde (Garante) — www.garanteprivacy.it — oder der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsstaats einzureichen.
15. Datenpannenmeldung
- Als Verantwortlicher: Meldung an den Garante binnen 72 Stunden (Art. 33 DSGVO); Benachrichtigung Betroffener bei hohem Risiko (Art. 34).
- Als Auftragsverarbeiter: Meldung an den Kunden binnen 36 Stunden.
Sicherheitsvorfälle melden: security@almaware.net
16. Cookies und Tracking
- Technisch notwendig — kein Consent erforderlich.
- Analyse/Performance — Consent erforderlich.
- Funktional — Consent erforderlich.
- Marketing/Profiling — ausdrücklicher Consent erforderlich.
Gemäß den Cookie-Leitlinien des Garante (2021) ist für nicht technische Cookies ein vorheriger Opt-in erforderlich. Details zur Cookie-Richtlinie entnehmen Sie bitte unserer Cookie-Richtlinie.
17. Datensicherheit
TLS-Verschlüsselung, rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung, regelmäßige Sicherheitsaudits, dokumentierte Incident-Response-Verfahren. TalentRewards strebt anerkannte Sicherheitszertifizierungen an.
18. Änderungen dieser Erklärung
Wesentliche Änderungen werden mindestens 15 Tage vor Inkrafttreten mitgeteilt. Frühere Versionen sind auf Anfrage erhältlich: privacy@almaware.net.
19. Anwendbares Recht
- DSGVO (EU) 2016/679 — Ital. Datenschutzgesetz D.Lgs. 196/2003 (geänd. durch D.Lgs. 101/2018) — Ital. Gesetz 132/2025 (KI am Arbeitsplatz) — Cookie-Leitlinien des Garante (2021) — EDPB-Leitlinien — Ital. Arbeitnehmerstatut L. 300/1970