Rechtliches
Stand: Mai 2026 · Verantwortlicher: Armin Riedl, Vermio, Heßstraße 80, 80798 München · Diese Datenschutzerklärung gilt für getvermio.com sowie alle Unterseiten und die Vermio-Plattform.
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist:
Armin Riedl · Vermio (Einzelunternehmen) · Heßstraße 80, 80798 München · armin@getvermio.com
Für Datenschutzanfragen wenden Sie sich bitte an: datenschutz@getvermio.com
Vermio ist ein zweiseitiger B2B-Recruiting-Marktplatz, der Unternehmen mit verifizierten Freelance-Recruitern verbindet. Im Rahmen des Plattformbetriebs verarbeiten wir personenbezogene Daten von drei Nutzergruppen: Unternehmensvertreter (HR-Manager, Geschäftsführer), Recruiter sowie Kandidaten, die durch Recruiter in den Talent-Pool eingestellt werden.
Wir verarbeiten personenbezogene Daten ausschließlich auf der Grundlage einer Rechtsgrundlage nach Art. 6 DSGVO. Die jeweils anwendbare Rechtsgrundlage ist bei den einzelnen Verarbeitungsvorgängen angegeben.
Für Unternehmen: Bei der Registrierung erheben wir: Firmenname, Vor- und Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Branche, Unternehmensgröße, Standort sowie optionale Angaben zur Unternehmensstruktur. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Plattformbetrieb).
Für Recruiter: Bei der Bewerbung als Recruiter erheben wir: Name, E-Mail-Adresse, Passwort (verschlüsselt), Standort, Tätigkeitsform (selbstständig/Agentur), Agenturname, Teamgröße, LinkedIn-Profil, Berufserfahrung, Spezialisierungen (Branchen, Regionen, Rollen), bisherige Kunden (freiwillig, vertraulich) sowie Bewerbungsmotivation. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Die manuell übermittelten Angaben zu bisherigen Kunden werden ausschließlich zur Plattformverifizierung genutzt und nicht an Dritte weitergegeben.
Kontodaten werden für die Dauer der Vertragsbeziehung sowie bis zu 3 Jahre nach Vertragsende gespeichert, sofern keine steuerrechtlichen Aufbewahrungsfristen entgegenstehen (§ 147 AO: 10 Jahre für rechnungsrelevante Unterlagen).
Recruiter können auf Vermio einen eigenen Kandidaten-Pool verwalten. In diesem Zusammenhang werden personenbezogene Daten von Kandidaten (Bewerbern) verarbeitet, namentlich: Vor- und Nachname (intern, wird gegenüber Unternehmen anonymisiert), Berufsbezeichnung, Berufserfahrung in Jahren, Gehaltsvorstellungen, Fähigkeiten, Branchen, Regionen, Verfügbarkeit, LinkedIn-Profil-URL, Geburtsdatum, Standort sowie Lebenslauf-Dokumente.
Anonymisierung gegenüber Unternehmen: Kandidatenprofile werden gegenüber Unternehmen standardmäßig anonymisiert dargestellt (Anzeigename z. B. „M. S." statt vollständiger Name). Eine Identifizierung des Kandidaten ist erst nach dessen ausdrücklicher Zustimmung und der Freigabe durch den betreuenden Recruiter möglich.
Einwilligung der Kandidaten: Recruiter sind verpflichtet, vor der Einstellung eines Kandidaten in den Talent-Pool dessen Einwilligung einzuholen (Art. 6 Abs. 1 lit. a DSGVO). Die Plattform unterstützt diesen Prozess durch einen Consent-Workflow. Recruiter tragen als datenschutzrechtliche Verantwortliche für die von ihnen verwalteten Kandidatendaten die eigenständige Verantwortung gemäß Art. 4 Nr. 7 DSGVO.
Kandidaten können jederzeit Auskunft über ihre gespeicherten Daten verlangen sowie deren Löschung oder Einschränkung der Verarbeitung fordern. Kontakt: datenschutz@getvermio.com
Wenn Sie unser Kontaktformular nutzen oder sich als Interessent registrieren, speichern wir Ihren Namen, Ihre E-Mail-Adresse und Ihre Nachricht. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage) bzw. Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Maßnahmen. Daten aus Kontaktanfragen werden nach Abschluss der Anfrage und einer Aufbewahrungsfrist von 3 Jahren gelöscht, sofern keine weitergehende Vertragsbeziehung begründet wurde.
Vermio betreibt ein eigenes, datenschutzfreundliches Analytics-System zur Verbesserung der Plattform. Dieses System speichert ausschließlich anonymisierte Nutzungsdaten (z. B. aufgerufene Seiten, Gerätekategorie, Spracheinstellung) ohne Personenbezug. Es werden weder IP-Adressen noch Nutzer-IDs gespeichert. Eine Identifizierung einzelner Personen ist technisch ausgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Verbesserung der Plattform). Da keine personenbezogenen Daten erhoben werden, ist für dieses System keine Einwilligung erforderlich.
Wir setzen Google Analytics 4 (GA4) des Unternehmens Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ein. GA4 wird ausschließlich nach ausdrücklicher Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG aktiviert. Vor Erteilung der Einwilligung werden keinerlei GA4-Cookies gesetzt und keine Daten an Google übertragen.
Nach Einwilligung verarbeitet GA4: pseudonymisierte Nutzer-IDs, Seitenaufrufe, Verweildauer, Gerätekategorie, Browser, Spracheinstellung sowie anonymisierte IP-Adressen (IP-Anonymisierung ist aktiviert). Eine vollständige IP-Adresse wird nicht gespeichert. Die Daten werden auf Google-Servern in den USA verarbeitet; Google LLC hat sich den Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) unterworfen.
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie im Cookie-Banner auf „Ablehnen" klicken oder uns unter datenschutz@getvermio.com kontaktieren. Weitere Informationen zur Datenverarbeitung durch Google: policies.google.com/privacy
Speicherdauer: GA4-Daten werden nach 14 Monaten automatisch gelöscht. Cookie-Laufzeit: bis zu 2 Jahre (sofern Einwilligung erteilt).
Wir setzen Microsoft Clarity des Unternehmens Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland ein. Clarity ist ein Verhaltensanalyse-Dienst, der Sitzungsaufzeichnungen (Session Recordings), Heatmaps sowie Klick- und Scroll-Verhalten erfasst, um die Benutzerfreundlichkeit unserer Website zu verbessern.
Clarity wird ausschließlich nach ausdrücklicher Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG aktiviert. Vor Erteilung der Einwilligung werden keine Clarity-Cookies gesetzt und keine Daten an Microsoft übertragen.
Nach Einwilligung verarbeitet Clarity: Mausbewegungen, Klicks, Scroll-Verhalten, Seitenaufrufe, Verweildauer, Gerätekategorie, Browser sowie eine pseudonymisierte Nutzer-ID. Formularinhalte werden standardmäßig maskiert (Texteingaben sind in Aufzeichnungen unkenntlich). Die Daten werden auf Microsoft-Servern in den USA verarbeitet; Microsoft hat sich den Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) unterworfen.
Clarity ist mit Google Analytics 4 verknüpft, um Verhaltensaufzeichnungen direkt mit GA4-Sitzungen zu verbinden. Diese Verknüpfung erfolgt ausschließlich, wenn für beide Dienste eine Einwilligung vorliegt.
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Cookie-Banner → „Ablehnen" oder per E-Mail an datenschutz@getvermio.com). Speicherdauer: 13 Monate. Weitere Informationen: privacy.microsoft.com
Wir unterscheiden folgende Cookie-Kategorien:
Technisch notwendige Cookies: Erforderlich für den Betrieb der Plattform (z. B. Authentifizierungs-Token von Supabase, Sitzungs-Cookies). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG. Diese Cookies erfordern keine Einwilligung.
Einwilligungsbasierte Cookies (Analytics): Google Analytics 4 Cookies (_ga, _ga_*) sowie Microsoft Clarity Cookies (_clck, _clsk). Werden nur nach ausdrücklicher Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.
Einwilligungsstatus: Ihre Cookie-Entscheidung wird lokal im Browser gespeichert (localStorage). Sie können Ihre Einwilligung jederzeit widerrufen.
Unser Consent-Management ist als technische Lösung in die Plattform integriert. Bei Erstbesuch erscheint ein Einwilligungsbanner — Analytics-Dienste werden erst nach Klick auf „Akzeptieren" aktiviert.
Wir setzen den Website-Tracker von Apollo.io, Inc., 541 Jefferson Ave, Suite 100, Redwood City, CA 94063, USA ein. Apollo.io ermöglicht die anonymisierte Identifikation von Unternehmensbesuchen auf unserer Website auf Basis von IP-Adressen und öffentlichen Unternehmensdatenbanken. Dabei werden keine personenbezogenen Daten einzelner Personen erhoben; identifiziert wird ausschließlich das besuchende Unternehmen (Firmierung, Branche, Unternehmensgröße, ungefährer Standort).
Zweck der Verarbeitung: Identifikation potenzieller Unternehmenskunden für unsere Vertriebsaktivitäten (B2B-Lead-Identifikation). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Identifikation von B2B-Interessenten). Apollo.io verarbeitet keine Daten von Privatpersonen oder Verbrauchern.
Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Widerspruch gegen die Verarbeitung: apollo.io/privacy-policy (Opt-out-Formular verfügbar) oder per E-Mail an datenschutz@getvermio.com.
Die Plattform stellt ein internes Nachrichtensystem für die Kommunikation zwischen Recruitern und Unternehmen bereit. Dabei werden folgende Daten gespeichert: Inhalt der Nachrichten, Absender- und Empfänger-ID, Zeitstempel sowie Lesestatus (Read Receipts).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kommunikation ist zur Plattformnutzung notwendig). Nachrichten werden auf der Supabase-Infrastruktur (EU) gespeichert und für die Dauer der aktiven Vertragsbeziehung sowie 12 Monate nach deren Beendigung aufbewahrt.
Nachrichten können auf Anfrage gelöscht werden, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Unternehmen können weitere Mitarbeiter als Team-Mitglieder zur Plattform einladen. Dabei werden Name und E-Mail-Adresse des eingeladenen Nutzers sowie dessen Rolle (Admin/Mitglied) gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Unternehmens am Teamzugang).
Sub-Account-Daten werden mit dem Hauptkonto des Unternehmens verknüpft und bei Kündigung des Hauptkontos gelöscht. Der Inhaber des Hauptkontos ist verantwortlich dafür, ausgeschiedene Mitarbeiter aus dem Konto zu entfernen.
Wer am freiwilligen Referral-Programm für Recruiter teilnimmt, erklärt sich damit einverstanden, dass zur Abwicklung des Programms folgende Daten verarbeitet werden: E-Mail-Adresse und Nutzer-ID des werbenden Recruiters, E-Mail-Adresse und Nutzer-ID des geworbenen Recruiters sowie Placement-Daten zur Berechnung etwaiger Prämienleistungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Programmteilnahme als vertragliche Grundlage). Referral-Daten werden für die Dauer der Vertragsbeziehung und bis zu 3 Jahre nach deren Beendigung gespeichert.
Zur Gewährleistung der Sicherheit und Integrität der Plattform führt Vermio bei der Registrierung eine automatisierte Risikoprüfung durch. Dabei werden technische Merkmale der Registrierung (E-Mail-Domäne, IP-Adresse, Zeitstempel, Browserfingerabdruck, Verhaltensmuster im Formular) ausgewertet, um einen Risikoindikator zu berechnen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betrugsprävention). Die automatisierte Risikoprüfung kann zu einer manuellen Überprüfung oder Ablehnung der Registrierung führen. Es handelt sich jedoch nicht um eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO, da die abschließende Entscheidung stets manuell durch Vermio getroffen wird.
Betroffene Personen haben das Recht, eine menschliche Überprüfung der Entscheidung zu beantragen: datenschutz@getvermio.com
Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein, mit denen Auftragsverarbeitungsverträge (AVV) abgeschlossen sind:
Supabase Inc. (Datenbankdienst & Authentifizierung)
970 Toa Payoh North #07-04, Singapur 318992 (Infrastruktur: AWS eu-west-1, Irland/EU). Gespeicherte Daten: Nutzerprofile, Unternehmensdaten, Recruiter-Profile, Kandidaten-Talentpool, Stellenanzeigen, Nachrichten, Platzierungen, Log-Daten. Alle Daten werden physisch in der EU gespeichert (AWS Frankfurt/Irland). AVV: supabase.com/privacy
Netlify Inc. (Website-Hosting & CDN)
512 2nd Street, Suite 200, San Francisco, CA 94107, USA. Netlify hostet unsere Website (getvermio.com). Beim Aufruf der Website werden technische Zugriffsdaten (IP-Adresse, Browsertyp, Zeitstempel) vorübergehend in Server-Logs erfasst und nach spätestens 30 Tagen automatisch gelöscht. Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). AVV: netlify.com/legal/netlify-dpa
Google Ireland Limited (Google Analytics 4 — nur mit Einwilligung)
Gordon House, Barrow Street, Dublin 4, Irland. Verarbeitung ausschließlich nach Einwilligung (§ 7 dieser Erklärung). Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln. AVV: business.safety.google
Microsoft Ireland Operations Limited (Microsoft Clarity — nur mit Einwilligung)
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Verarbeitung ausschließlich nach Einwilligung (§ 8 dieser Erklärung). Verhaltensanalyse, Session Recordings, Heatmaps. Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Datenschutzerklärung: privacy.microsoft.com
LinkedIn Ireland Unlimited Company (optionaler Profil-Import)
Wilton Place, Dublin 2, Irland. Recruiter können Kandidaten-Profile über die LinkedIn-API importieren. Diese Funktion ist vollständig optional und setzt eine ausdrückliche Handlung des Nutzers voraus. Wir speichern ausschließlich die vom Recruiter selektiv übertragenen Profildaten. Die Nutzung der LinkedIn-API unterliegt den Datenschutzrichtlinien von LinkedIn: linkedin.com/legal/privacy-policy
Resend Inc. (Transaktionale E-Mails)
2261 Market Street #4008, San Francisco, CA 94114, USA. Resend wird für den Versand transaktionaler E-Mails eingesetzt (Registrierungsbestätigung, Passwort-Reset, Match-Benachrichtigungen, Platzierungsbestätigungen). Dabei werden E-Mail-Adresse und Name des Empfängers an Resend übermittelt. Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). AVV: resend.com/legal/dpa
Stripe Inc. (Zahlungsabwicklung)
510 Townsend Street, San Francisco, CA 94103, USA (EU-Niederlassung: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland). Stripe wickelt alle Zahlungstransaktionen auf der Plattform ab (Erfolgsgebühren, Recruiter-Auszahlungen via Stripe Connect). Dabei werden Zahlungsdaten, Unternehmens- und Personendaten der Zahlungspflichtigen verarbeitet. Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln. AVV: stripe.com/de/legal/dpa
OpenAI, L.L.C. (KI-gestütztes CV-Parsing)
3180 18th Street, San Francisco, CA 94110, USA. OpenAI wird ausschließlich für die automatische Analyse hochgeladener Lebensläufe (CV-Parsing) eingesetzt. Dabei werden Inhalte aus Kandidaten-Lebensläufen (Berufserfahrung, Kenntnisse, Ausbildung) zur maschinellen Extraktion von Strukturdaten an die OpenAI API übermittelt. Eine Nutzung dieser Daten zum Training von KI-Modellen durch OpenAI ist vertraglich ausgeschlossen (Zero Data Retention Policy). Datenübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). AVV: openai.com/policies/data-processing-addendum
Alle Datenübertragungen erfolgen ausschließlich verschlüsselt über TLS/HTTPS (mindestens TLS 1.2). Passwörter werden ausschließlich als bcrypt-Hashes gespeichert und sind für uns nicht einsehbar. Der Zugang zur Datenbankinfrastruktur (Supabase) ist durch Row-Level-Security (RLS) auf Datenbankebene abgesichert — jeder Nutzer sieht ausschließlich die für ihn freigegebenen Daten.
Kandidatenprofile im Talent-Pool werden gegenüber Unternehmen technisch anonymisiert. Vollständige Profildaten sind für Unternehmen erst nach einem mehrstufigen Freigabeprozess (Recruiter-Bestätigung + Kandidaten-Einwilligung) zugänglich. Wir führen regelmäßige Sicherheitsüberprüfungen durch.
Nutzerkontodaten: Für die Dauer der Vertragsbeziehung; nach Kündigung Löschung innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Rechnungsrelevante Daten (Placements, Rechnungen): 10 Jahre gemäß § 147 AO.
Kandidatendaten im Talent-Pool: Bis zur Löschung durch den Recruiter oder auf Anfrage des Kandidaten; spätestens 6 Monate nach Inaktivität des zugehörigen Recruiter-Kontos.
Server-Logs (Netlify): Automatische Löschung nach 30 Tagen.
Google Analytics 4 Daten: 14 Monate (automatische Löschung durch GA4).
Plattform-Chat-Nachrichten: Für die Dauer der aktiven Vertragsbeziehung; 12 Monate nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Referral-Programm-Daten: Für die Dauer der Vertragsbeziehung; bis zu 3 Jahre nach Vertragsende.
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO): Auskunft darüber, ob und welche personenbezogenen Daten wir verarbeiten.
Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung.
Zur Geltendmachung Ihrer Rechte wenden Sie sich an: datenschutz@getvermio.com
Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde zu:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
www.lda.bayern.de
Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Bei wesentlichen Änderungen, die registrierte Nutzer betreffen, informieren wir per E-Mail. Die jeweils aktuelle Version ist stets unter getvermio.com/vermio-datenschutz.html abrufbar.
Stand: Mai 2026 · Vermio, getvermio.com · München, Deutschland