§1 Verantwortlicher

MEDEED GmbH
Königsallee 19, 40212 Düsseldorf, Deutschland
Vertreten durch den Geschäftsführer: Reza Fonooni
Telefon: 0800 1111458
E-Mail (Impressum): impressum@medeed.eu
Allgemeiner Kontakt: info@medeed.eu

Geltung dieser Datenschutzerklärung für folgende Online-Dienste:

• Webseiten: www.medeed.eu, www.medeed.eu
• Medportal (Login-Bereich): portal.medeed.eu, portal.medeed.eu

§2 Datenschutzbeauftragter

MEDEED GmbH -- Datenschutz
Königsallee 19, 40212 Düsseldorf, Deutschland
E-Mail: datenschutz@medeed.eu

(Hinweis: Eine namentliche Benennung ist nicht zwingend; Meldung an die Aufsichtsbehörde erfolgt intern.)

§3 Geltungsbereich dieser Erklärung

Diese Erklärung beschreibt Art, Umfang, Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten bei Nutzung unserer Webseiten und des Medportals sowie im Rahmen der internationalen Personalvermittlung, Anerkennungs-/Aufenthalts-/Visaverfahren und der Integrationsbegleitung von Gesundheitsfachkräften in Deutschland.

Sie umfasst außerdem eingebettete Drittinhalte (z. B. YouTube, Google Maps, Instagram), Videokonferenzen (Zoom, Microsoft Teams, BigBlueButton, Google Meet) und unser Cookie-/Consent-Management.

Unsere Angebote richten sich an Volljährige (ab 18 Jahren).

§4 Begriffsbestimmungen (Art. 4 DSGVO)

Es gelten die Definitionen der DSGVO, insbesondere personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Empfänger, Dritter, Einwilligung, besondere Kategorien personenbezogener Daten.

§5 Zwecke der Datenverarbeitung (ausführliche Beschreibung)

§6 Kategorien personenbezogener Daten (Betroffenengruppen)

§7 Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung): Bewerbungs-/Vermittlungsprozess (§5/1), Anerkennung (§5/2), Visum/Aufenthalt (§5/3), Einreise/Start (§5/4), Integrationsbegleitung (§5/5), Kommunikation/Termin (§5/6), Videokonferenzen (ohne KH-Aufzeichnung), Web/Portalbetrieb (§5/9).
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht): Behörden-/SV-/Steuermeldungen, Nachweispflichten in Anerkennungs-/Aufenthaltsverfahren (§5/2--3).
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): PR/Marketing (Fotos/Videos/Interviews; §5/7), optionale Cookies/Analytics/Marketing/Externe Inhalte (§5/10), Aufzeichnungen von Videokonferenzen, soweit erforderlich, besondere Daten (Art. 9) soweit nicht gesetzlich gefordert.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-/Zugriffssicherheit, Missbrauchsprävention (§5/9), Qualitätssicherung/Dokumentation (inkl. Aufzeichnungen für Recruiter/Fachkräfte; §5/6), effiziente Kommunikation/Beweissicherung, Integrations-Feedback (§5/5).
• Art. 9 Abs. 2 DSGVO (besondere Daten): regelmäßig lit. a (ausdrückliche Einwilligung) oder -- wo einschlägig -- lit. b/h (Arbeits-/Gesundheitsrecht) für zwingende Nachweise.
• TTDSG § 25: Essentielle Cookies ohne Einwilligung; alle optionalen Kategorien nur mit Einwilligung.

§8 Empfänger; Auftragsverarbeiter; Zweckbindung

Empfänger/Kategorien:
Arbeitgeber (Krankenhäuser, Pflegeeinrichtungen) -- ausschließlich zur Anbahnung/Begründung des Beschäftigungsverhältnisses und zur Integration; Recruiter-Partner (Indien/Iran) -- prozessuale Unterstützung; Anerkennungsstellen (z. B. ZAB, Kammern); Ausländerbehörden/ZSEF/BA/Finanzämter/Melde-/SV-Träger; diplomatische Stellen (Botschaften/Konsulate); Dienstleister (Fluggesellschaften, Reisebüros, Vermieter, Übersetzer, Testanbieter); IT & Hosting (z. B. Strato AG, Deutschland; Videokonferenz-/E-Mail-/CDN-/CMP-Dienste); interne Stellen (Beratung, Integrationsmanagement, Personal/Finanzen, IT).

Auftragsverarbeitung (Art. 28 DSGVO): Mit Dienstleistern werden AV-Verträge geschlossen. Eigenverantwortliche Empfänger (z. B. Arbeitgeber/Behörden) verarbeiten Daten zu eigenen Zwecken und sind an die Zweckbindung „Beschäftigung/Verfahren" gebunden; sie stellen eigene Datenschutzhinweise bereit.

§9 Datenübermittlungen in Drittländer (USA/Indien/Iran)

Datenübermittlungen können erforderlich sein nach USA (Google, Meta/Instagram, Zoom, Microsoft/Teams, YouTube/Maps, ggf. weitere), sowie Indien und Iran (Recruiter/Behörden/Botschaften).

Schutzmechanismen: Standardvertragsklauseln (SCC, Art. 46 DSGVO), ggf. EU-US Data Privacy Framework, zusätzliche technische/organisatorische Maßnahmen (Verschlüsselung, Datenminimierung).

Hinweis auf Restrisiko: In einigen Drittländern besteht kein EU-gleichwertiges Datenschutzniveau (mögliche Behördenzugriffe). Soweit keine andere Rechtsgrundlage greift, stützen wir Übermittlungen auf Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. b/c (Vertrag/Verfahrenserforderlichkeit).

§10 Fotos, Videos & Öffentlichkeitsarbeit (PR/Social Media)

Wir erstellen und veröffentlichen Medieninhalte (u. a. bei Einreise am Flughafen, Arbeitsbeginn in Einrichtungen): Fotos, Videos, Interviews/Testimonials für Website, Social-Media-Kanäle, Broschüren, Präsentationen.

Rechtsgrundlage: vorab vertraglich eingeholte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Ein Widerruf ist jederzeit mit Wirkung für die Zukunft möglich; bereits verbreitete Inhalte werden, soweit zumutbar, entfernt.

§11 Videokonferenzen und Aufzeichnungen

Plattformen: Zoom, Microsoft Teams, BigBlueButton, Google Meet.

Recruiter & Fachkräfte: Aufzeichnung zur Dokumentation, Qualitätssicherung und Beweissicherung; Speicherung nur solange erforderlich (siehe §15).

Krankenhäuser/Einrichtungen: keine Aufzeichnung.

Datenumfang: Anzeigename, (dienstliche) E-Mail, Meeting-ID, Zeiten, IP/Endgerät, ggf. Chat-/Freigabeinhalte.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (erforderlich zur Durchführung von Beratung/Verfahren) und lit. f (berechtigtes Interesse an Nachweis/Qualität). Ergänzende Einwilligungen können eingesetzt werden, insbesondere bei sensiblen Inhalten.

§12 Integrationsbegleitung (12--24 Monate) & Feedback

Wir begleiten vermittelte Fachkräfte mindestens 12 Monate (optional bis 24 Monate).

Verarbeitung: Planung/Dokumentation von Gesprächen (z. B. 3/6/12 Monate), Protokolle, Maßnahmen, Evaluationspunkte, Integrationsfortschritte; fallbezogene Einbindung des Arbeitgebers.

Zweck: Qualitätssicherung, nachhaltige Beschäftigung, Betreuung nach Probezeit.

§13 Cookies & ähnliche Technologien; TTDSG; Consent; Do-Not-Track

Wir verwenden Cookies/ähnliche Technologien:

• Essentiell (Sitzung/Login, CSRF-Schutz, Consent-Status) -- ohne Einwilligung nach § 25 Abs. 2 TTDSG; Verarbeitung auf Basis Art. 6 Abs. 1 lit. b/f DSGVO.
• Optional (Komfort, Statistik/Analyse, Marketing, externe Inhalte wie YouTube/Maps/Instagram) -- nur mit Einwilligung nach § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO.
• Consent-Management (CMP): Granularer Opt-In; Widerruf jederzeit über „Cookie-Einstellungen" (Footer). Consent-Cookie 12 Monate, Consent-Log bis 24 Monate (Art. 7 DSGVO).
• Do-Not-Track: wird -- soweit technisch möglich -- respektiert (keine optionalen Cookies).

Einzelheiten (Kategorien, Cookie-Beispiele, Laufzeiten, Dienste) sind in der Cookie-Richtlinie der MEDEED GmbH (Stand 10.09.2025) beschrieben.

§14 Server-Logs, Hosting und IT-Sicherheit

Beim Zugriff werden IP-Adresse, Datum/Uhrzeit, angeforderte Ressource, Referrer, User-Agent protokolliert.

Zweck: Betrieb/Stabilität, IT-Sicherheit, Fehleranalyse, Missbrauchsprävention.

Hosting: u. a. Strato AG (Deutschland); Transportverschlüsselung (TLS), Systemhärtung, Rollenrechte, Protokollierung.

Löschung/Anonymisierung: in der Regel nach 7--30 Tagen, es sei denn, Sicherheitsvorfälle rechtfertigen eine längere Aufbewahrung.

§15 Speicherdauern und Löschfristen

• Absage/keine Vermittlung: Bewerbungsunterlagen werden spätestens nach 6 Monaten gelöscht.
• Erfolgreiche Vermittlung: Verfahrensdaten bis 12 Monate ab Arbeitsbeginn; Verlängerung bis 24 Monate bei fortgesetzter Integrationsbegleitung.
• Videokonferenz-Aufzeichnungen (Recruiter/Fachkräfte): bis zu 24 Monate, sofern der Dokumentations-/Nachweiszweck fortbesteht; kürzere Fristen möglich, wenn der Zweck entfällt.
• Consent-Protokolle: bis 24 Monate (Nachweis der Einwilligung).
• Server-Logs: 7--30 Tage.
• Gesetzliche Aufbewahrungspflichten (HGB/AO): 6--10 Jahre (gesperrt; Zweck Nachweis/Archiv).
• Rechtsansprüche: Daten können länger gespeichert werden, solange sie zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen erforderlich sind (Art. 17 Abs. 3 lit. e DSGVO).

§16 Pflicht zur Bereitstellung bestimmter Daten; Folgen der Nichtangabe

Für die Durchführung der Vermittlung/Verfahren ist die Bereitstellung bestimmter Daten zwingend erforderlich:

Fachkräfte: Stammdaten; gültiger Reisepass (+ Visaunterlagen); Lebenslauf; Zeugnisse/Hochschulabschlüsse; Anerkennungsnachweise; Sprachzertifikate; ggf. arbeitsmedizinische/Impfnachweise; Steuer-/SV-Daten (z. B. Steuer-ID, Krankenkasse).

Einrichtungen: Arbeitsverträge, Beschäftigungszusagen, Vollmachten, Erklärungen zum Beschäftigungsverhältnis, sprachliche Bestätigungen, Versicherungsnachweise, Zusatz-/Begleitschreiben, Erstzusagen.

Ohne diese Angaben sind Registrierung, Identitätsprüfung, Terminvergabe und Verfahrensschritte nicht möglich.

§17 Datenquellen außerhalb der betroffenen Person

Einrichtungen/Recruiter (Status/Anforderungen/Unterlagen) -- nur zulässig/erforderlich; Behörden/Kammern/ZAB (Bescheide, Termininfos, Nachforderungen); öffentliche Quellen (ausnahmsweise zur Verifikation, soweit rechtlich zulässig).

§18 Rechte der betroffenen Personen; Widerruf

Betroffene haben Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f (Art. 21 DSGVO).

Erteilte Einwilligungen (insb. PR/Medien, optionale Cookies, Aufzeichnungen) können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).

Kontakt für Betroffenenrechte/Widerruf: datenschutz@medeed.eu.

§19 Beschwerderecht bei Aufsichtsbehörden

Zuständig für den Sitz Düsseldorf:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Tel. +49 (0)981 53-1300.

Weitere zuständige Landesbehörden (für Tochter-/Franchise-Gesellschaften) können einschlägig sein (NRW, Hamburg, Berlin, Baden-Württemberg, Hessen). Betroffene können sich an jede für sie zuständige Aufsichtsbehörde wenden.

§20 Keine automatisierte Entscheidungsfindung/Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling i. S. v. Art. 22 DSGVO statt. Fachbezogene Tests werden zwar extern durchgeführt; die Bewertung und Entscheidungen über die Vermittlung treffen ausschließlich MEDEED-Mitarbeitende.

§21 Datensicherheit (Art. 32 DSGVO)

MEDEED setzt angemessene technische und organisatorische Maßnahmen ein: TLS-Verschlüsselung, rollenbasierte Zugriffskontrolle, Need-to-know-Prinzip, Protokollierung, Systemhärtung/Patch-Management, Firewalls/Intrusion-Prevention, gesicherte Backups, Mitarbeiterschulungen. Bei Datenschutzvorfällen prüfen wir unverzüglich Melde-/Benachrichtigungspflichten nach Art. 33/34 DSGVO.

§22 Sprache, Gültigkeit und Bereichsspezifika

Vertragssprache und maßgebliche Fassung dieser Erklärung ist Deutsch. Diese Erklärung gilt für www.medeed.eu, www.medeed.eu, portal.medeed.eu, portal.medeed.eu sowie für die darüber CRM-gestützt abgewickelten Vermittlungs- und Integrationsprozesse. Franchise-/Partnerunternehmen sind rechtlich eigenständig und veröffentlichen eigene Datenschutzhinweise.

§23 Änderungen und Aktualisierungen

Diese Datenschutzerklärung wird angepasst, wenn sich Rechtslage, Verfahren oder eingesetzte Dienste ändern. Maßgeblich ist die oben genannte Version/Stand.