🚀 myjobhub startet bald jetzt für Updates eintragen

Datenschutzerklärung

Stand: März 2026 — Version 2.0

1. Verantwortlicher

Oliver Kellermann
Ollenhauerstraße 99, 13403 Berlin
E-Mail: hallo@myjobhub.de
Telefon: 017638539130

2. Überblick

Unsere Datenschutz-Prinzipien auf einen Blick:

  • Server und Datenbanken stehen ausschließlich in Deutschland (Hetzner, Falkenstein)
  • Keine Werbe-Cookies, keine externen Tracker
  • Cookielose Webanalyse mit Plausible
  • KI-Verarbeitung: Personenbezogene Daten werden vor der Übermittlung automatisch anonymisiert
  • Alle KI-Anbieter verarbeiten Daten nur zur Auftragserfüllung, nicht zum Modelltraining

3. Hosting und technische Infrastruktur

3.1 Hetzner Online GmbH (Server + Datenbank)

  • Rechenzentrum Falkenstein, Deutschland
  • Zweck: Hosting der gesamten Anwendung (Frontend, Backend, Datenbank)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Betrieb)
  • Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen
  • Datenschutzhinweise: hetzner.com/rechtliches/datenschutz

3.2 Hetzner Object Storage (Dokumentenspeicher)

  • S3-kompatibler Objektspeicher, Standort Falkenstein, Deutschland
  • Zweck: Speicherung hochgeladener Bewerbungsdokumente, generierter PDFs und Profilfotos
  • TLS-verschlüsselte Übertragung, keine öffentlichen Buckets
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Durch bestehenden AVV mit Hetzner abgedeckt

4. Kundenkonto und Bestellungen

Erhobene Daten

  • Name und E-Mail-Adresse bei Registrierung
  • Hochgeladene Bewerbungsunterlagen
  • Zahlungsbezogene Daten (durch Stripe verarbeitet)
  • Kommunikationsdaten
  • Technische Daten (z. B. IP-Adresse, Browser, Zeitstempel)

Zweck der Verarbeitung

  • Vertragserfüllung (Bewerbungsoptimierung, Coaching)
  • Kommunikation mit Kunden
  • Zahlungsabwicklung
  • Qualitätssicherung und Produktverbesserung

Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

Speicherdauer

  • Rechnungen: 10 Jahre (§ 147 AO)
  • Bewerbungsunterlagen: Löschung 90 Tage nach Service-Abschluss (sofern kein aktives Abo besteht)
  • Bei Kontolöschung: sofortige Löschung aller Dokumente
  • Kundenkonto-Daten: Löschung nach 2 Jahren Inaktivität (mit vorheriger E-Mail-Benachrichtigung)

5. Eingesetzte Dienstleister und Datenverarbeitung

a) Stripe (Zahlungsabwicklung)

  • Zweck: Zahlungsabwicklung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Empfänger: Stripe Inc., USA
  • Drittlandtransfer: USA, EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs)
  • Speicherdauer: gemäß Stripe-Richtlinien + gesetzliche Aufbewahrungsfristen

a2) Klarna (Ratenzahlung / Rechnungskauf)

  • Zweck: Ratenzahlung und Rechnungskauf im Checkout-Prozess (über Stripe integriert)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Empfänger: Klarna Bank AB, Sveavägen 46, 111 34 Stockholm, Schweden
  • Drittlandtransfer: Kein Drittlandtransfer (EU/EWR)
  • Verarbeitete Daten: Name, E-Mail, Rechnungsadresse, Bestellbetrag — Klarna führt ggf. eine Bonitätsprüfung durch
  • Speicherdauer: gemäß Klarna-Datenschutzrichtlinien und gesetzlichen Aufbewahrungsfristen
  • Hinweis: Klarna kann im Checkout-Prozess eigene Cookies setzen. Details unter klarna.com/de/datenschutz

b) Hetzner (Hosting + S3 Object Storage)

  • Zweck: Hosting der gesamten Anwendung (Frontend + Backend), Speicherung hochgeladener Dokumente
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b + f DSGVO
  • Empfänger: Hetzner Online GmbH, Deutschland
  • Kein Drittlandtransfer
  • Speicherdauer: bis zur Löschung durch Nutzer oder Kontolöschung

c) Resend (E-Mail-Versand)

  • Zweck: Versand transaktionaler E-Mails (Bestellbestätigung, Passwort-Reset)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Empfänger: Resend Inc., USA
  • Drittlandtransfer: USA, EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs)

d) Plausible Analytics (Website-Analyse)

  • Zweck: Datenschutzfreundliche Website-Analyse
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Empfänger: Plausible Insights OÜ, Estland (EU)
  • Besonderheit: Keine Cookies, keine personenbezogenen Daten, EU-gehostet
  • Kein Drittlandtransfer

e) Slack (Interne Benachrichtigungen)

  • Zweck: Interne Benachrichtigung bei neuen Waitlist-Einträgen (Webhook)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Empfänger: Slack Technologies LLC, USA (Salesforce)
  • Übermittelte Daten: Nur E-Mail-Adresse + Quelle (kein Profildaten-Transfer)
  • Drittlandtransfer: USA, EU-US Data Privacy Framework

f) INWX (DNS)

  • Zweck: Domain-Verwaltung und DNS-Auflösung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Empfänger: INWX GmbH, Berlin, Deutschland
  • Kein Drittlandtransfer

g) mailbox.org (E-Mail-Kommunikation)

  • Zweck: Manuelle E-Mail-Kommunikation mit Kunden (hallo@myjobhub.de)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Empfänger: Heinlein Hosting GmbH, Berlin, Deutschland
  • Kein Drittlandtransfer
  • Speicherdauer: gemäß gesetzlichen Aufbewahrungsfristen

h) Zeeg (Terminbuchung)

  • Zweck: Online-Terminbuchung für Coaching-Gespräche
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Empfänger: Zeeg GmbH, Deutschland
  • Übermittelte Daten: Name, E-Mail, gewählter Termin
  • Kein Drittlandtransfer (EU-gehostet)

i) OAuth-Anbieter (Social Login)

Nur relevant, wenn du dich über einen dieser Dienste anmeldest.

  • Zweck: Vereinfachte Anmeldung über LinkedIn, Microsoft oder Apple
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Empfänger: LinkedIn Corp. (USA), Microsoft Corp. (USA), Apple Inc. (USA)
  • Übermittelte Daten: Nur bei aktiver Nutzung; Name und E-Mail-Adresse
  • Drittlandtransfer: USA, EU-US Data Privacy Framework

j) Anthropic (KI-gestützte Dokumentenerstellung)

  • Zweck: KI-gestützte Erstellung und Analyse von Bewerbungsunterlagen (CV, Anschreiben, Strategie)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Einwilligung
  • Empfänger: Anthropic PBC, USA
  • Übermittelte Daten: CV-Text, Stellenanzeigen-Text, Assessment-Daten — personenbezogene Daten (Name, E-Mail, Telefonnummer, Adresse) werden vor der Übermittlung automatisch anonymisiert
  • Drittlandtransfer: USA, EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs)
  • Speicherdauer: Keine dauerhafte Speicherung durch Anthropic (API-Nutzung ohne Training)

Auftragsverarbeitung: Anthropic bietet ein Data Processing Addendum (DPA) mit EU-Standardvertragsklauseln (SCCs) an, das automatisch in die Commercial Terms of Service integriert ist.

Speicherdauer bei Anthropic: API-Inputs und -Outputs werden maximal 30 Tage in Backend-Logs gespeichert (zur Missbrauchserkennung). Keine dauerhafte Speicherung. Keine Nutzung für Modelltraining.

Anonymisierung: Personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer, LinkedIn-URL, Adresse) werden vor der Übermittlung an die API automatisch durch Platzhalter ersetzt. Anthropic erhält ausschließlich den beruflichen Inhalt (Berufserfahrung, Qualifikationen, Fähigkeiten), nicht deine Kontaktdaten.

DPA ansehen · Privacy Center

k) OpenAI (KI-gestützte Analyse-Tools)

  • Zweck: KI-gestützte Skill-Analyse (Marktpuls) und CV-Schnellcheck
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f (berechtigtes Interesse bei kostenlosem Quick Check)
  • Empfänger: OpenAI Inc., USA
  • Übermittelte Daten: CV-Text, Stellenanzeigen-Text, Berufsbezeichnungen — personenbezogene Daten werden vor der Übermittlung automatisch anonymisiert
  • Drittlandtransfer: USA, EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs)
  • Speicherdauer: Keine dauerhafte Speicherung durch OpenAI (API-Nutzung, Zero Data Retention)

Anonymisierung: Wie bei Anthropic werden personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer, LinkedIn-URL, Adresse) vor der Übermittlung automatisch durch Platzhalter ersetzt.

DPA ansehen

l) Cloudflare Turnstile (Bot-Schutz)

  • Zweck: Schutz vor automatisierten Zugriffen (CAPTCHA-Alternative) auf Registrierung, Passwort-Reset und Waitlist
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit), § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich)
  • Empfänger: Cloudflare Inc., USA
  • Übermittelte Daten: IP-Adresse, Browser-Informationen (zur Bot-Erkennung)
  • Drittlandtransfer: USA, EU-US Data Privacy Framework
  • Besonderheit: Cloudflare Turnstile ist als datenschutzfreundliche CAPTCHA-Alternative konzipiert und erfordert keine explizite Nutzer-Einwilligung

Mit allen Auftragsverarbeitern werden die erforderlichen Verträge zur Auftragsverarbeitung geschlossen.

6. Cookies und Session-Management

Wir verwenden ausschließlich technisch notwendige Cookies:

Cookie-NameZweckLaufzeitSicherheit
access_tokenAuthentifizierung (Login-Status)15 MinutenSecure, SameSite=Lax
refresh_tokenToken-Erneuerung7 TageHttpOnly, Secure, SameSite=Strict, Path=/api/auth/refresh
cf_clearanceBot-Erkennung (Turnstile)SessionSecure

Es werden keine Marketing- oder Drittanbieter-Cookies eingesetzt. Die eingesetzte Webanalyse (Plausible) arbeitet ohne Cookies. Ein Cookie-Banner ist daher gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

Hinweis zu Klarna: Wenn du im Checkout Klarna als Zahlungsart wählst, kann Klarna eigene technisch notwendige Cookies setzen. Diese Cookies dienen der Zahlungsabwicklung und werden nicht von myjobhub gesteuert. Details findest du in der Klarna-Datenschutzerklärung.

Weitere Details in unserer Cookie-Richtlinie.

7. Webanalyse (Plausible)

Für die statistische Auswertung der Website-Nutzung setzen wir Plausible Analytics ein.

  • Cookielos — es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben
  • IP-Adressen werden nicht gespeichert
  • Kein Drittlandtransfer (EU-gehostet, Plausible Insights OÜ, Estland)
  • Keine Einwilligung erforderlich gemäß § 25 Abs. 2 Nr. 2 TDDDG
  • Datenschutzrichtlinie: plausible.io/data-policy

8. Betroffenenrechte (Art. 15–21 DSGVO)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung — Recht auf Vergessenwerden (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf erteilter Einwilligungen (mit Wirkung für die Zukunft)

Diese Rechte kannst du direkt im Kundenkonto ausüben (Datenexport, Kontolöschung) oder per E-Mail an hallo@myjobhub.de.

9. Widerspruchsrecht

Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Widerspruch einlegen: hallo@myjobhub.de

10. Kundendokumente

  • Gespeicherte Daten: Hochgeladene Bewerbungsunterlagen und generierte Dokumente (CV, Anschreiben, Strategie)
  • Speicherort: Hetzner Object Storage, Falkenstein, Deutschland
  • Löschfristen: 90 Tage nach Service-Abschluss / sofort bei Kontolöschung / jederzeit auf Anfrage
  • Zugriff: Nur der Nutzer selbst über das authentifizierte Kundenkonto

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • TLS/HTTPS + HSTS für alle Verbindungen
  • Gehashte Passwörter (bcrypt)
  • Docker-Container mit isolierten Netzwerken
  • SSH-Schlüssel-basierte Server-Authentifizierung
  • Tägliche automatisierte Datenbank-Backups (pg_dump → verschlüsselter S3-Upload)
  • SPF, DKIM und DMARC für E-Mail-Sicherheit
  • Firewall + DDoS-Schutz durch Hetzner

12. Auftragsverarbeiter-Übersicht

DienstleisterZweckSitzAVV/DPA
Hetzner Online GmbHHosting, Server, DB, Object StorageFalkenstein, DEAVV ✓
Anthropic, PBCKI-Textgenerierung (Claude API)San Francisco, USADPA mit SCCs ✓
OpenAI, Inc.KI-Analyse (Quick Check, Marktpuls)San Francisco, USADPA mit SCCs ✓
Stripe, Inc.ZahlungsabwicklungUSA / IrlandDPA mit SCCs ✓
Klarna Bank ABRatenzahlung / RechnungskaufSchweden (EU)Innerhalb EU/EWR ✓
Resend (Plus Five Five)Transaktionale E-MailsUSADPA mit SCCs ✓
Cloudflare, Inc.CAPTCHA (Turnstile)USADPA ✓
Plausible Insights OÜWebanalyseEstland (EU)AVV ✓

13. Drittlandtransfer

Drittlandtransfers erfolgen ausschließlich an die oben dokumentierten US-Dienstleister (Stripe, Anthropic, OpenAI, Resend, Cloudflare). Diese Transfers sind jeweils durch das EU-US Data Privacy Framework (DPF-Zertifizierung) und/oder EU-Standardvertragsklauseln (SCCs) abgesichert.

Hosting, Datenbank und Dokumentenspeicher befinden sich ausschließlich in Deutschland.

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde deines Bundeslandes oder:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin

15. Änderungen dieser Datenschutzerklärung

Bei wesentlichen Änderungen dieser Datenschutzerklärung benachrichtigen wir registrierte Nutzer per E-Mail.

DatumÄnderung
März 2026Erstveröffentlichung Version 2.0 — erweitert um Datensicherheit, Auftragsverarbeiter-Übersicht, Anonymisierungs-Details und Speicherfristen
MarktpulsSkill-AnalyseQuick CheckCV vs. Stelle
Datenschutzerklärung | myjobhub