1. Verantwortlicher
Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Deutschland — [email protected]
Stand: 07.07.2026
Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Deutschland — [email protected]
Art. 6(1)(b) Vertragserfüllung: Konto (einschließlich Altersprüfung), Hochladen/Analyse/Erstellen des Lebenslaufs, Berichte. Art. 6(1)(a) Einwilligung: Statistik-/Marketing-Cookies sowie besondere Datenkategorien (Art. 9) im Lebenslauf. Art. 6(1)(c) rechtliche Pflichten: Aufbewahrung von Rechnungen. Art. 6(1)(f) berechtigtes Interesse: Sicherheit der Plattform, Betrugsprävention, stabiler Betrieb.
Die Website und ihre Datenbank werden vollständig auf einem VPS der netcup GmbH (Karlsruhe, Deutschland) gehostet. Alle Lebensläufe und Berichte werden ausschließlich auf diesem Server innerhalb Deutschlands/der EU gespeichert. Mit netcup besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.
Die Originaldatei des Lebenslaufs wird niemals gespeichert. Der Text wird im Arbeitsspeicher extrahiert und nach Erstellung des Berichts gelöscht. Es verbleibt nur der abgeleitete Bericht, den Sie jederzeit löschen können.
Zur Erstellung der Analyse wird der Text des Lebenslaufs über eine verschlüsselte API an Anthropic PBC (USA) übermittelt – eine Übermittlung in ein Drittland auf Grundlage der Garantien der Art. 44–49 DSGVO (EU-US Data Privacy Framework und/oder Standardvertragsklauseln). Anthropic ist als Unterauftragsverarbeiter auf Grundlage des Standard-Auftragsverarbeitungszusatzes (DPA) eingebunden, der Bestandteil der Commercial Terms von Anthropic ist. Wir haben die in unseren Anthropic-Kontoeinstellungen verfügbare Zero-Data-Retention-Option aktiviert; nach den Commercial Terms von Anthropic werden Eingaben und Ausgaben nicht zum Training von Modellen verwendet. Die Übermittlung stützt sich auf Standardvertragsklauseln (SCC). Anthropics Auftragsverarbeitungsbedingungen und Unterauftragsverarbeiter-Liste: https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com
Kontodaten (Name, Geburtsdatum [zur Altersprüfung], E-Mail mit Double-Opt-in-Bestätigung, gehashtes Passwort, Sprache); Inhaltsdaten (CV-Text vorübergehend, Berichte, Stellenbeschreibungen); Zahlungsdaten (vollständig bei Paddle – keine Kartendaten auf unseren Servern); Logfiles (IP, Zeitpunkt, Browser/System).
Zugriffsprotokolle werden auf Grundlage des berechtigten Interesses (Art. 6(1)(f)) zur Angriffserkennung erhoben und automatisch innerhalb von 7 Tagen gelöscht (Aufschub nur als Beweismittel in einem laufenden Sicherheitsvorfall).
Technisch notwendige Cookies (Sitzung/Sicherheit): ohne Einwilligung (Art. 6(1)(f) + § 25 Abs. 2 TDDDG). Cloudflare Turnstile (Mensch-/Bot-Prüfung, Cloudflare Inc., USA – Übermittlung mit DPF/SCC-Garantien). Cloudflare Web Analytics wird cookielos betrieben. Statistik-/Marketing-Cookies werden derzeit nicht eingesetzt; ihr Einsatz würde nur mit Ihrer ausdrücklichen Einwilligung erfolgen.
Zahlungen werden über Paddle.com Market Ltd als Merchant of Record abgewickelt. Ihre Zahlungsdaten (Karte, Name, E-Mail, Rechnungsadresse) werden direkt bei Paddle verarbeitet und nicht auf unseren Servern gespeichert. Paddle übernimmt Rechnungsstellung und internationale Steuerkonformität. Datenschutz von Paddle: https://www.paddle.com/legal/privacy
Für B2B-Kunden, die Bewerberdaten hochladen, stellen wir einen AV-Vertrag (Art. 28 DSGVO) bereit, der im Kundenbereich zur Annahme verfügbar ist und Vertragsbestandteil wird.
Sie können Ihre Lebensläufe und Berichte jederzeit löschen; sie werden bei Löschung umgehend vom Server entfernt. Ausgenommen sind Rechnungen, die wir aufbewahren: 8 Jahre gemäß § 147 AO.
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage des berechtigten Interesses. Zum Widerruf einer Einwilligung oder zur Ausübung Ihrer Rechte: [email protected].
Sie haben ein Beschwerderecht: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.
Verschlüsselung bei Übertragung (TLS) und Speicherung, strenge Zugriffskontrolle, Netzwerktrennung, verschlüsselte Backups und Datenminimierung.
Es findet keine ausschließlich automatisierte Entscheidung statt. Die Analyse ist ein Hilfsmittel mit einer bewertenden Logik (Abgleich von Fähigkeiten/Erfahrung/ATS); die Entscheidung bleibt beim Menschen. Hinweis: Systeme zur Bewertung/Sortierung von Bewerbern können nach dem EU-KI-Gesetz (Annex III) als hochriskant gelten – die entsprechenden Pflichten werden vor einer kommerziellen Einführung berücksichtigt. Hinweis zum KI-Gesetz: Die Pflichten für Hochrisiko-Systeme (Anhang III) gelten – nach der Verschiebung durch das Digital-Omnibus-Paket – ab dem 2. Dezember 2027. Unabhängig davon informieren wir Sie gemäß Art. 50 KI-VO (ab 2. August 2026) klar darüber, dass Sie mit einem KI-System interagieren und die Ausgaben KI-generiert sind.