Datenschutzerklärung

1. Einleitung und Verantwortlicher

1.1 Verantwortliche Stelle

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Dr. Wahed Hemati

Freiberufler (§ 18 EStG)

Radilostraße 35

60489 Frankfurt am Main

Deutschland

E-Mail: datenschutz@ceve.guru

1.2 Geltungsbereich

Diese Datenschutzerklärung gilt für die Webseite ceve.guru sowie alle damit verbundenen Dienste und Funktionen der ceve.guru-Plattform zur KI-gestützten Erstellung von Lebensläufen und Anschreiben.

2. Übersicht der Datenverarbeitung

2.1 Arten der verarbeiteten Daten

  • Bestandsdaten (Name, E-Mail-Adresse, Anschrift)
  • Kontaktdaten (Telefonnummer, E-Mail-Adresse)
  • Inhaltsdaten (Profildaten für Lebenslauf und Anschreiben)
  • Hochgeladene Dokumente (Lebensläufe zur Datenextraktion)
  • Bewerbungsdaten (Stellenanzeigen, generierte Dokumente)
  • Nutzungsdaten (besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen)

2.2 Kategorien betroffener Personen

Besucher der Webseite, registrierte Nutzer, Kunden der kostenpflichtigen Dienste.

2.3 Zwecke der Verarbeitung

  • Bereitstellung der Webseite und ihrer Funktionen
  • Erbringung des SaaS-Dienstes (Lebenslauf- und Anschreiben-Erstellung)
  • KI-gestützte Dokumentengenerierung und CV-Parsing
  • Benutzerkontoverwaltung und Authentifizierung
  • Abwicklung von Zahlungen
  • Verbesserung und Fehlerbehebung (nur nach Einwilligung)
  • Kommunikation mit Nutzern

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

Für das Hochladen und Parsen von Lebensläufen, die Nutzung von Analyse-Tools (z.B. Sentry) sowie die Übermittlung an Drittanbieter zu Analysezwecken. Ihre Einwilligung können Sie jederzeit widerrufen.

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung

Für die Bereitstellung unseres SaaS-Dienstes, die manuelle Eingabe von Profildaten, die KI-gestützte Erstellung von Lebensläufen und Anschreiben, die Kontoverwaltung sowie die Abwicklung von Zahlungen.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen

Für den Betrieb und die Sicherheit der Webseite, Server-Logging zur Fehlerbehebung sowie zur Verhinderung von Missbrauch. Unser berechtigtes Interesse besteht in der Bereitstellung eines sicheren und funktionsfähigen Dienstes.

4. Datenerfassung im Detail

4.1 Registrierung und Benutzerkonto

Bei der Registrierung erfassen wir folgende Daten:

  • E-Mail-Adresse (erforderlich)
  • Passwort (verschlüsselt gespeichert)
  • Vor- und Nachname
  • Gewählter Tarif und Credits

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.2 Profildaten für Lebenslauf-Erstellung

Zur Erstellung Ihrer Bewerbungsunterlagen erfassen wir umfangreiche Profildaten:

  • Persönliche Daten: Vollständiger Name, Geburtsdatum, Staatsangehörigkeit
  • Kontaktdaten: Adresse, Telefonnummer, E-Mail
  • Berufserfahrung: Arbeitgeber, Positionen, Zeiträume, Tätigkeitsbeschreibungen, Erfolge
  • Ausbildung: Bildungseinrichtungen, Abschlüsse, Zeiträume, Noten
  • Fähigkeiten: Skills mit Kompetenzstufen
  • Sprachen: Sprachkenntnisse mit CEFR-Niveaus
  • Zertifikate, Auszeichnungen, Projekte
  • Online-Profile: LinkedIn, GitHub, persönliche Website

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Angabe von Geburtsdatum und Staatsangehörigkeit ist optional.

4.3 Bewerbungen und Stellenanzeigen

Wenn Sie eine Bewerbung erstellen, verarbeiten wir:

  • URL und Text der Stellenanzeige
  • KI-analysierte Stellenanforderungen
  • Generierte Lebensläufe (als strukturierte Daten)
  • Generierte Anschreiben

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.4 Klärungsfragen und Benutzer-Memories

Zur Verbesserung Ihrer Bewerbungsunterlagen kann unser System:

  • KI-generierte Klärungsfragen basierend auf Ihrem Profil stellen
  • Ihre Antworten als „Memories" für künftige Bewerbungen speichern
  • Diese Informationen kategorisieren und mit Keywords versehen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

5. Lebenslauf-Upload und Parsing

Wichtiger Hinweis zum CV-Upload

Beim Hochladen eines Lebenslaufs werden Ihre Daten zur Extraktion an einen externen KI-Dienst (OpenAI) übermittelt. Diese Funktion erfordert Ihre ausdrückliche Einwilligung.

5.1 Was wird verarbeitet?

Wenn Sie einen Lebenslauf hochladen, verarbeiten wir:

  • Die hochgeladene Datei (PDF, Word-Dokument)
  • Den extrahierten Textinhalt zur KI-Analyse
  • Die aus dem Dokument erkannten Profildaten (Berufserfahrung, Ausbildung, Skills etc.)

5.2 Zweck der Verarbeitung

Der CV-Upload dient der vereinfachten Profilerstellung. Anstatt alle Daten manuell einzugeben, können Sie einen bestehenden Lebenslauf hochladen, aus dem wir automatisch die relevanten Informationen extrahieren und in Ihr Profil übernehmen.

5.3 Datenminimierung

Wir setzen technische Maßnahmen zur Datenminimierung ein:

  • Kontaktdaten (E-Mail, Telefon, Adresse) werden vor der Übermittlung an OpenAI nach Möglichkeit entfernt oder maskiert
  • Es werden nur die für die Profilbefüllung notwendigen Datenfelder extrahiert
  • Die Original-Datei wird nach der Verarbeitung automatisch gelöscht

5.4 Ihre Pflichten beim Upload

Bitte beachten Sie

  • Laden Sie keine sensiblen Daten hoch (Gesundheitsdaten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung etc.)
  • Entfernen Sie optionale Abschnitte, die solche Informationen enthalten könnten
  • Laden Sie keine Daten Dritter hoch (z.B. Referenzkontakte), es sei denn, Sie haben deren ausdrückliche Erlaubnis

5.5 Alternative ohne Upload

Sie können alle Profildaten auch manuell eingeben, ohne einen Lebenslauf hochzuladen. Die Einwilligung zum CV-Upload ist vollständig optional und kann jederzeit für zukünftige Uploads widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung vor dem Upload)

6. Einsatz Künstlicher Intelligenz (KI)

Wichtiger Hinweis zur KI-Verarbeitung

Unser Service nutzt Künstliche Intelligenz zur Erstellung von Lebensläufen und Anschreiben. Dabei werden Ihre Daten an externe KI-Anbieter übermittelt. Bitte lesen Sie diesen Abschnitt sorgfältig, um zu verstehen, wie Ihre Daten verarbeitet werden.

6.1 Art der KI-Verarbeitung

Wir nutzen die API von OpenAI für folgende Funktionen:

  • Parsing hochgeladener Lebensläufe zur Profilerstellung
  • Analyse von Stellenanzeigen
  • Generierung passgenauer Lebensläufe
  • Erstellung individueller Anschreiben
  • Generierung von Klärungsfragen zu Ihrem Profil

6.2 An OpenAI übermittelte Daten

Bei der KI-Verarbeitung werden folgende Daten an OpenAI übermittelt:

  • Bei CV-Upload: Textinhalt des Lebenslaufs (nach Möglichkeit ohne Kontaktdaten)
  • Bei Dokumentgenerierung: Profildaten (Name, Berufserfahrung, Ausbildung, Skills)
  • Text der Stellenanzeige
  • Ihre Antworten auf Klärungsfragen (Memories)

Hinweis zur Datenminimierung: Wir bemühen uns, Kontaktdaten (E-Mail, Telefon, Adresse) vor der Übermittlung zu entfernen oder zu maskieren. Eine vollständige Entfernung kann jedoch nicht in allen Fällen garantiert werden.

6.3 Empfänger und Drittlandtransfer

OpenAI Ireland Ltd. / OpenAI, L.L.C.

3180 18th Street, San Francisco, California 94110, USA

Datentransfer in die USA: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie des Data Processing Addendum (DPA) von OpenAI.

Kopie der SCCs/DPA: Eine Kopie der Standardvertragsklauseln und des Auftragsverarbeitungsvertrags können Sie bei uns unter datenschutz@ceve.guru anfordern.

6.4 Speicherung durch OpenAI

Gemäß den API-Nutzungsbedingungen von OpenAI:

  • API-Daten werden standardmäßig nicht zum Training der KI-Modelle verwendet
  • Logs zur Missbrauchserkennung werden bis zu 30 Tage gespeichert
  • Bei gesetzlicher Verpflichtung kann eine längere Speicherung erfolgen
  • Wir nutzen nach Möglichkeit Einstellungen, die keine Datenpersistenz bei OpenAI erfordern

6.5 Rechtsgrundlage für KI-Verarbeitung

Für CV-Upload/Parsing: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).
Für Dokumentgenerierung aus manuell eingegebenen Daten: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die KI-Verarbeitung zur Erbringung unseres SaaS-Dienstes erforderlich ist.

6.6 Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Die KI-gestützte Erstellung von Lebensläufen und Anschreiben stellt keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO dar. Die generierten Dokumente sind Vorschläge, die:

  • von Ihnen vor der Verwendung überprüft und bearbeitet werden können
  • keine unmittelbaren rechtlichen oder wirtschaftlichen Auswirkungen auf Sie haben
  • Ihrer vollständigen Kontrolle unterliegen

Sie haben jederzeit die Möglichkeit, die generierten Inhalte zu überprüfen, zu ändern oder abzulehnen. Bei Fragen zur KI-Verarbeitung können Sie sich an datenschutz@ceve.guru wenden.

7. Drittanbieter und Internationale Datentransfers

Hinweis zu Drittlandtransfers

Während unsere primären Server in Frankfurt (Deutschland) stehen, werden für KI-Verarbeitung und Fehlerüberwachung Daten in Drittländer (USA) übermittelt. Diese Übermittlungen erfolgen auf Grundlage geeigneter Garantien (SCCs).

7.1 Amazon Web Services (AWS)

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxemburg

Primärer Serverstandort: Frankfurt am Main (eu-central-1)

Genutzte Dienste:

  • Amazon Cognito (Benutzerauthentifizierung)
  • Amazon RDS (PostgreSQL-Datenbank)
  • AWS App Runner / Amplify (Hosting)
  • Amazon CloudWatch (Logging)

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung). Mit AWS besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO.

7.2 OpenAI (USA)

Details zur OpenAI-Datenverarbeitung finden Sie in Abschnitt 6 (Einsatz Künstlicher Intelligenz).

7.3 Sentry (Fehlerüberwachung)

Einwilligungspflichtig

Sentry wird nur nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner aktiviert.

Functional Software, Inc. (Sentry)

45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

Erfasste Daten (nur nach Einwilligung):

  • IP-Adresse (anonymisiert)
  • Browser- und Betriebssysteminformationen
  • Performance-Metriken
  • Fehlerberichte mit Stack-Traces

Session-Replay: Auf sensiblen Seiten (Profil, CV-Upload) ist Session-Replay deaktiviert oder stark maskiert. Eingabefelder und persönliche Daten werden nicht aufgezeichnet.

Zweck: Fehlererkennung und Performance-Optimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datentransfer in die USA auf Grundlage von EU-Standardvertragsklauseln (SCCs).

7.4 Stripe (Zahlungsabwicklung)

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower, Dublin 2, Irland

Verarbeitete Daten: Name, E-Mail, Zahlungsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist selbst Verantwortlicher für die Zahlungsabwicklung.

8. Hinweis zu besonderen Datenkategorien (Art. 9 DSGVO)

Wichtiger Hinweis

Unser Service ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO konzipiert. Bitte laden Sie keine solchen Daten hoch.

8.1 Was sind besondere Datenkategorien?

Art. 9 DSGVO definiert folgende Daten als besonders schützenswert:

  • Rassische oder ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische oder biometrische Daten (z.B. Fotos zur Identifizierung)
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

8.2 Klarstellung: Geburtsdatum und Staatsangehörigkeit

Geburtsdatum und Staatsangehörigkeit sind nach herrschender Meinung keine besonderen Kategorien im Sinne von Art. 9 DSGVO. Sie werden bei uns als normale personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) verarbeitet. Die Angabe dieser Daten ist optional.

8.3 Ihr Verhalten bei sensiblen Daten

Sollte Ihr Lebenslauf besondere Datenkategorien enthalten (z.B. Erwähnung einer Behinderung, religiöser Aktivitäten oder Gewerkschaftsmitgliedschaft):

  • Entfernen Sie diese Informationen vor dem Upload, wenn möglich
  • Nutzen Sie alternativ die manuelle Dateneingabe ohne CV-Upload
  • Laden Sie das Dokument nur hoch, wenn Sie mit der Verarbeitung einverstanden sind

9. Cookies und LocalStorage

9.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Webseite erforderlich und können nicht deaktiviert werden. Alle Authentifizierungs-Tokens werden in httpOnly-Cookies gespeichert, um maximalen Schutz vor XSS-Angriffen zu gewährleisten.

NameZweckDauerhttpOnly
ceevee_access_tokenAPI-Authentifizierung1 Stunde✓ Ja
ceevee_id_tokenUser-Identity-Claims1 Stunde✓ Ja
ceevee_refresh_tokenToken-Erneuerung30 Tage✓ Ja
ceevee_csrf_tokenCSRF-Schutz1 Stunde✗ Nein (JS-lesbar)
ceevee-cookie-consentSpeichert Cookie-Präferenzen365 Tage✗ Nein

Hinweis: httpOnly-Cookies können nicht von JavaScript gelesen werden und bieten dadurch Schutz vor XSS-Angriffen (Cross-Site-Scripting). Der CSRF-Token ist absichtlich JS-lesbar, damit er in API-Anfragen als Header mitgesendet werden kann.

9.2 LocalStorage

Aus Sicherheitsgründen werden keine Authentifizierungs-Tokens im LocalStorage gespeichert. Alle Tokens befinden sich ausschließlich in httpOnly-Cookies. Im LocalStorage werden lediglich unkritische Metadaten wie Token-Ablaufzeitpunkte gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) und § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich).

9.3 Analyse-Cookies (nur nach Einwilligung)

Sentry-Cookies werden nur aktiviert, wenn Sie im Cookie-Banner zustimmen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Cookie-Banner auf "Einstellungen" klicken.

10. Speicherdauer und Löschung

DatenartSpeicherdauer
KontodatenBis zur Kontolöschung durch Sie
Hochgeladener Lebenslauf (Datei)Automatische Löschung nach Abschluss des Parsings (max. 24 Stunden)
Parsing-Ergebnis (extrahierte Profildaten)Bis zur Löschung durch Sie oder Kontolöschung
Manuell eingegebene ProfildatenBis zur Kontolöschung durch Sie
Bewerbungen & generierte DokumenteBis zur Löschung durch Sie oder Kontolöschung
Server-Logs (AWS CloudWatch)90 Tage
Sentry-Daten90 Tage
OpenAI Abuse-Monitoring-LogsBis zu 30 Tage (durch OpenAI)
Einwilligungs-Protokolle3 Jahre (Nachweispflicht)
Rechnungsdaten10 Jahre (gesetzliche Aufbewahrungspflicht)

11. Ihre Rechte (Art. 15-22 DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger sowie den Zweck der Verarbeitung verlangen.

Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkungsrecht (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) jederzeit widersprechen.

Widerruf der Einwilligung

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z.B. CV-Upload, Sentry), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

datenschutz.hessen.de

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@ceve.guru

12. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder Zugriff unberechtigter Personen zu schützen:

  • TLS/SSL-Verschlüsselung für alle Datenübertragungen
  • httpOnly-Cookies zum Schutz vor XSS-Angriffen
  • CSRF-Token zum Schutz vor Cross-Site-Request-Forgery
  • Verschlüsselte Passwortspeicherung (Cognito)
  • Verschlüsselung hochgeladener Dateien im Ruhezustand
  • Automatische Löschung temporärer Dateien nach Verarbeitung
  • Regelmäßige Sicherheitsupdates
  • Zugriffsbeschränkungen nach dem Prinzip der minimalen Rechte

Serverstandorte

Primärer Serverstandort: Frankfurt am Main (AWS eu-central-1).
KI-Verarbeitung: Server in den USA (OpenAI) – Übermittlung auf Basis von SCCs.
Fehlerüberwachung: Server in den USA (Sentry) – nur nach Einwilligung, auf Basis von SCCs.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder durch einen Hinweis auf der Webseite.

14. Zuständige Aufsichtsbehörde

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

Telefon: +49 611 1408-0

E-Mail: poststelle@datenschutz.hessen.de

datenschutz.hessen.de

Stand: Januar 2026

Zurück zur Startseite