CV Schmied

Datenschutzerklärung

Datenschutzerklärung

des CV Schmied, Hagen Marggraf

Stand: April 2026

1. Verantwortlicher

Hagen Marggraf [Adresse wird nachgetragen] [PLZ Ort wird nachgetragen] E-Mail: hagenmarggraf@gmx.de

2. Übersicht der Verarbeitungen

Der CV Schmied ist eine KI-gestützte Webanwendung für Personalberater zur automatischen Formatierung von Kandidaten-Lebensläufen. Wir verarbeiten dabei personenbezogene Daten unserer Kunden (Personalberater) sowie der Kandidaten, deren Lebensläufe über den Dienst verarbeitet werden.

3. Kategorien personenbezogener Daten

3.1 Kundendaten (Personalberater)

  • Vor- und Nachname, E-Mail-Adresse, Passwort (gehasht)
  • Firmenname, Firmenlogo, Branding-Einstellungen
  • Zahlungsdaten (werden direkt bei Stripe gespeichert, nicht bei uns)
  • Nutzungsdaten (Login-Zeitpunkte, Anzahl verarbeiteter CVs, verwendete Features)

3.2 Kandidatendaten (Dritte)

  • Name, Kontaktdaten (E-Mail, Telefon, Adresse)
  • Berufserfahrung, Ausbildung, Qualifikationen
  • Gehaltsvorstellungen, Kündigungsfristen
  • Sprachkenntnisse, Zertifikate
  • Vom Kunden eingegebene Notizen und Bewertungen
  • KI-generierte Management-Summarys

3.3 Technische Daten

  • IP-Adresse (für Sicherheitszwecke, nicht geloggt)
  • Browser-Typ, Betriebssystem
  • Zeitstempel von Zugriffen

4. Rechtsgrundlagen

| Verarbeitung | Rechtsgrundlage | |---|---| | Vertragsdurchführung (Account, CV-Verarbeitung) | Art. 6 Abs. 1 lit. b DSGVO | | Einwilligung (bei Registrierung, Cookie) | Art. 6 Abs. 1 lit. a DSGVO | | Berechtigtes Interesse (Sicherheit, Betrugsschutz) | Art. 6 Abs. 1 lit. f DSGVO | | Gesetzliche Pflichten (Rechnungsaufbewahrung) | Art. 6 Abs. 1 lit. c DSGVO | | Kandidatendaten (Auftragsverarbeitung) | Art. 28 DSGVO i.V.m. AVV |

Hinweis zu Kandidatendaten: Wir verarbeiten Kandidatendaten ausschließlich im Auftrag und auf Weisung unserer Kunden (Personalberater). Der Kunde ist für die Rechtmäßigkeit der Verarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Eine eigenständige Rechtsgrundlage unsererseits ist die Auftragsverarbeitung gemäß Art. 28 DSGVO.

5. Zwecke der Verarbeitung

  • Bereitstellung und Betrieb des Dienstes
  • KI-gestütztes Parsing und Formatierung von Lebensläufen
  • Erstellung von Management-Summarys mittels KI
  • Benutzerverwaltung und Authentifizierung
  • Abrechnung und Zahlungsabwicklung
  • Kundenservice und Support
  • Technische Sicherheit und Missbrauchsschutz
  • Erfüllung gesetzlicher Aufbewahrungspflichten

6. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein:

| Dienstleister | Zweck | Standort | Rechtsgrundlage | |---|---|---|---| | Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | EU (Frankfurt am Main) | AVV, EU-Hosting | | Vercel Inc. | Hosting, Serverless Functions | EU + USA (Edge) | AVV, EU-US DPF | | Anthropic | KI-Verarbeitung (Parsing, Summarys) | USA | AVV, EU-US DPF, Pseudonymisierung | | Stripe Inc. | Zahlungsabwicklung | Irland (EU) | AVV, EU-Hosting | | Resend Inc. | E-Mail-Versand | USA | AVV, EU-US DPF | | Sentry (Functional Software Inc.) | Fehlerüberwachung | USA | AVV, EU-US DPF, PII-Filter |

Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge (AVVs) gemäß Art. 28 DSGVO abgeschlossen.

7. Drittlandtransfer

Einige unserer Dienstleister verarbeiten Daten in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Zusätzliche Schutzmaßnahmen:

  • Pseudonymisierung: Vor der Übermittlung an KI-Dienste (Anthropic) werden personenbezogene Daten in Kandidaten-CVs pseudonymisiert. Namen, E-Mail-Adressen, Telefonnummern und Adressen werden durch Platzhalter ersetzt.
  • Zero-Data-Retention: Anthropic speichert keine Daten aus API-Anfragen und verwendet diese nicht zum Training von KI-Modellen.
  • Minimierung: Es werden nur die für die jeweilige Verarbeitung zwingend erforderlichen Daten übermittelt.

8. Speicherdauer

| Datenkategorie | Speicherdauer | Rechtsgrundlage | |---|---|---| | Kundendaten (Account) | Bis zur Löschung durch den Kunden | Vertragserfüllung | | Kandidaten-CVs | Bis zur Löschung durch den Kunden, max. 2 Jahre | Vertragserfüllung | | KI-generierte Summarys | Wie Kandidaten-CVs | Vertragserfüllung | | Audit-Log-Einträge | 2 Jahre, danach anonymisiert | Berechtigtes Interesse | | KI-Verarbeitungsprotokolle | 30 Tage | Berechtigtes Interesse | | Rechnungsdaten | 10 Jahre | § 257 HGB, § 147 AO | | Einwilligungsnachweise | 3 Jahre nach Vertragsende | Berechtigtes Interesse (Nachweispflicht) | | Daten nach Kündigung | 90 Tage (Export-Frist), dann Löschung | Vertragliche Vereinbarung |

Automatische Löschung: Ein täglicher automatisierter Prozess prüft und löscht Daten, deren Aufbewahrungsfrist abgelaufen ist.

9. KI-Verarbeitung

9.1 Einsatz von KI

Wir setzen KI-Modelle (Anthropic Claude) für folgende Zwecke ein:

  • Extraktion strukturierter Daten aus Lebensläufen (Parsing)
  • Erstellung von Management-Summarys
  • Übersetzung von Inhalten (Deutsch ↔ Englisch)

9.2 Datenschutzmaßnahmen bei KI-Verarbeitung

  • Pseudonymisierung: Personenbezogene Daten (Name, Kontaktdaten, Adresse) werden vor der Übermittlung an den KI-Dienst durch Platzhalter ersetzt und nach der Verarbeitung wieder eingesetzt.
  • Kein Training: Unsere Daten werden nicht zum Training der KI-Modelle verwendet (Zero-Data-Retention-Policy von Anthropic).
  • Keine automatisierten Entscheidungen: Es findet keine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO statt. Alle KI-generierten Inhalte sind Vorschläge, die vom Personalberater geprüft und bearbeitet werden.
  • Transparenz: KI-generierte Inhalte werden im Dienst als solche gekennzeichnet.

10. Betroffenenrechte

Sie haben folgende Rechte gegenüber dem Verantwortlichen:

10.1 Für Kunden (Personalberater)

| Recht | Beschreibung | Artikel | |---|---|---| | Auskunft | Welche Daten wir über Sie speichern | Art. 15 DSGVO | | Berichtigung | Korrektur unrichtiger Daten | Art. 16 DSGVO | | Löschung | Löschung Ihrer Daten ("Recht auf Vergessenwerden") | Art. 17 DSGVO | | Einschränkung | Einschränkung der Verarbeitung | Art. 18 DSGVO | | Datenübertragbarkeit | Export Ihrer Daten in maschinenlesbarem Format | Art. 20 DSGVO | | Widerspruch | Widerspruch gegen die Verarbeitung | Art. 21 DSGVO | | Widerruf | Widerruf erteilter Einwilligungen (für die Zukunft) | Art. 7 Abs. 3 DSGVO |

10.2 Für Kandidaten (betroffene Dritte)

Wenn Ihr Lebenslauf über unseren Dienst verarbeitet wurde und Sie Ihre Rechte ausüben möchten:

  1. Kontaktieren Sie uns unter hagenmarggraf@gmx.de oder über das Formular unter [URL]/betroffenenrechte.
  2. Wir leiten Ihre Anfrage an den verantwortlichen Personalberater (unseren Kunden) weiter, da dieser der datenschutzrechtlich Verantwortliche ist.
  3. Wir unterstützen unseren Kunden bei der Erfüllung Ihrer Rechte, z. B. durch Auskunft über gespeicherte Daten oder Löschung.
  4. Reaktionszeit: Wir bestätigen den Eingang Ihrer Anfrage innerhalb von 3 Werktagen und bearbeiten diese innerhalb von 30 Tagen.

10.3 Recht auf Einschränkung (Art. 18 DSGVO)

Auf Antrag können Kandidatendaten "eingefroren" werden, d. h. sie werden weder verarbeitet noch gelöscht, bis die Berechtigung zur Verarbeitung geklärt ist.

10.4 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2-4 40213 Düsseldorf https://www.ldi.nrw.de

11. Cookies und Tracking

11.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookie von Supabase Auth). Diese Cookies sind für den Betrieb des Dienstes zwingend erforderlich und bedürfen keiner Einwilligung gemäß § 25 Abs. 2 TDDDG (ehemals TTDSG).

11.2 Kein Tracking

Wir verwenden keine Tracking-Cookies, keine Analyse-Tools von Drittanbietern und kein Profiling. Es werden keine Daten an Werbenetzwerke übermittelt.

12. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein, insbesondere:

  • Verschlüsselung aller Daten bei der Übertragung (TLS 1.3)
  • Verschlüsselung ruhender Daten (AES-256)
  • Zusätzliche Spaltenverschlüsselung für besonders sensible Daten (Gehalt, vertrauliche Notizen)
  • Row-Level Security (RLS) für mandantengetrennte Datenhaltung
  • Regelmäßige Sicherheitsüberprüfungen und Monitoring
  • Automatische Löschroutinen
  • Zugriffsprotokollierung (Audit-Log)

Die vollständigen technisch-organisatorischen Maßnahmen (TOMs) sind im Anhang des AVV dokumentiert.

13. Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) werden wir:

  1. Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO).
  2. Betroffene Personen unverzüglich informieren, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat (Art. 34 DSGVO).
  3. Unsere Kunden (Auftraggeber) unverzüglich informieren, damit diese ihren eigenen Meldepflichten nachkommen können.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, der Dienste oder der Datenverarbeitung anzupassen. Die aktuelle Fassung ist stets unter [URL]/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir unsere Kunden per E-Mail.

Stand: April 2026 Hagen Marggraf, CV Schmied