Datenschutzerklärung

Stand: 07.07.2026

1. Verantwortlicher

Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Deutschland — [email protected]

2. Rechtsgrundlagen (Art. 6 DSGVO)

Art. 6(1)(b) Vertragserfüllung: Konto (einschließlich Altersprüfung), Hochladen/Analyse/Erstellen des Lebenslaufs, Berichte. Art. 6(1)(a) Einwilligung: Statistik-/Marketing-Cookies sowie besondere Datenkategorien (Art. 9) im Lebenslauf. Art. 6(1)(c) rechtliche Pflichten: Aufbewahrung von Rechnungen. Art. 6(1)(f) berechtigtes Interesse: Sicherheit der Plattform, Betrugsprävention, stabiler Betrieb.

3. Hosting und Speicherort

Die Website und ihre Datenbank werden vollständig auf einem VPS der netcup GmbH (Karlsruhe, Deutschland) gehostet. Alle Lebensläufe und Berichte werden ausschließlich auf diesem Server innerhalb Deutschlands/der EU gespeichert. Mit netcup besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.

4. Aufbewahrung der hochgeladenen Datei

Die Originaldatei des Lebenslaufs wird niemals gespeichert. Der Text wird im Arbeitsspeicher extrahiert und nach Erstellung des Berichts gelöscht. Es verbleibt nur der abgeleitete Bericht, den Sie jederzeit löschen können.

5. KI-Verarbeitung (Anthropic) und Drittlandübermittlung

Zur Erstellung der Analyse wird der Text des Lebenslaufs über eine verschlüsselte API an Anthropic PBC (USA) übermittelt – eine Übermittlung in ein Drittland auf Grundlage der Garantien der Art. 44–49 DSGVO (EU-US Data Privacy Framework und/oder Standardvertragsklauseln). Anthropic ist als Unterauftragsverarbeiter auf Grundlage des Standard-Auftragsverarbeitungszusatzes (DPA) eingebunden, der Bestandteil der Commercial Terms von Anthropic ist. Wir haben die in unseren Anthropic-Kontoeinstellungen verfügbare Zero-Data-Retention-Option aktiviert; nach den Commercial Terms von Anthropic werden Eingaben und Ausgaben nicht zum Training von Modellen verwendet. Die Übermittlung stützt sich auf Standardvertragsklauseln (SCC). Anthropics Auftragsverarbeitungsbedingungen und Unterauftragsverarbeiter-Liste: https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com

6. Erhobene Daten

Kontodaten (Name, Geburtsdatum [zur Altersprüfung], E-Mail mit Double-Opt-in-Bestätigung, gehashtes Passwort, Sprache); Inhaltsdaten (CV-Text vorübergehend, Berichte, Stellenbeschreibungen); Zahlungsdaten (vollständig bei Paddle – keine Kartendaten auf unseren Servern); Logfiles (IP, Zeitpunkt, Browser/System).

7. Server-Logfiles

Zugriffsprotokolle werden auf Grundlage des berechtigten Interesses (Art. 6(1)(f)) zur Angriffserkennung erhoben und automatisch innerhalb von 7 Tagen gelöscht (Aufschub nur als Beweismittel in einem laufenden Sicherheitsvorfall).

8. Cookies und Schutzmaßnahmen

Technisch notwendige Cookies (Sitzung/Sicherheit): ohne Einwilligung (Art. 6(1)(f) + § 25 Abs. 2 TDDDG). Cloudflare Turnstile (Mensch-/Bot-Prüfung, Cloudflare Inc., USA – Übermittlung mit DPF/SCC-Garantien). Cloudflare Web Analytics wird cookielos betrieben. Statistik-/Marketing-Cookies werden derzeit nicht eingesetzt; ihr Einsatz würde nur mit Ihrer ausdrücklichen Einwilligung erfolgen.

9. Zahlungsdienstleister (Paddle)

Zahlungen werden über Paddle.com Market Ltd als Merchant of Record abgewickelt. Ihre Zahlungsdaten (Karte, Name, E-Mail, Rechnungsadresse) werden direkt bei Paddle verarbeitet und nicht auf unseren Servern gespeichert. Paddle übernimmt Rechnungsstellung und internationale Steuerkonformität. Datenschutz von Paddle: https://www.paddle.com/legal/privacy

10. Auftragsverarbeitung für Unternehmen (B2B)

Für B2B-Kunden, die Bewerberdaten hochladen, stellen wir einen AV-Vertrag (Art. 28 DSGVO) bereit, der im Kundenbereich zur Annahme verfügbar ist und Vertragsbestandteil wird.

11. Aufbewahrung und Löschung

Sie können Ihre Lebensläufe und Berichte jederzeit löschen; sie werden bei Löschung umgehend vom Server entfernt. Ausgenommen sind Rechnungen, die wir aufbewahren: 8 Jahre gemäß § 147 AO.

12. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage des berechtigten Interesses. Zum Widerruf einer Einwilligung oder zur Ausübung Ihrer Rechte: [email protected].

13. Aufsichtsbehörde

Sie haben ein Beschwerderecht: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

14. Technische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung bei Übertragung (TLS) und Speicherung, strenge Zugriffskontrolle, Netzwerktrennung, verschlüsselte Backups und Datenminimierung.

15. Automatisierte Verarbeitung und Transparenz (Art. 13(2)(f), 22 DSGVO)

Es findet keine ausschließlich automatisierte Entscheidung statt. Die Analyse ist ein Hilfsmittel mit einer bewertenden Logik (Abgleich von Fähigkeiten/Erfahrung/ATS); die Entscheidung bleibt beim Menschen. Hinweis: Systeme zur Bewertung/Sortierung von Bewerbern können nach dem EU-KI-Gesetz (Annex III) als hochriskant gelten – die entsprechenden Pflichten werden vor einer kommerziellen Einführung berücksichtigt. Hinweis zum KI-Gesetz: Die Pflichten für Hochrisiko-Systeme (Anhang III) gelten – nach der Verschiebung durch das Digital-Omnibus-Paket – ab dem 2. Dezember 2027. Unabhängig davon informieren wir Sie gemäß Art. 50 KI-VO (ab 2. August 2026) klar darüber, dass Sie mit einem KI-System interagieren und die Ausgaben KI-generiert sind.