Wer wir sind
CVVia ist ein Produkt der MEDTIP GmbH, Innstraße 69b, 94032 Passau, Deutschland (HRB 13100, Amtsgericht Passau; USt-IdNr. DE361378149). Die MEDTIP GmbH ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und „veri sorumlusu" nach KVKK Art. 3(1)(ı).
Geschäftsführer: Osman Nergiz. Fragen zu dieser Erklärung oder zu deinen Daten kannst du jederzeit an privacy@cvvia.ai schicken. Für formelle Datenschutzanfragen erreichen wir dich zusätzlich unter dpo@cvvia.ai.
Was wir erheben
Wir erheben nur, was das Produkt tatsächlich braucht. Alles unten ist an eine echte Funktion gebunden — wir sammeln nichts „für alle Fälle".
- Konto: E-Mail-Adresse, Anzeigename und (bei Google-Anmeldung) ein Profilbild aus deinem Google-Konto. Die Authentifizierung erfolgt über Firebase Authentication; dein Passwort sehen wir nie im Klartext.
- Einstellungen: UI-Sprache, Theme, gewählte Ausgabesprache für KI-Inhalte. Zeitstempel und Version deiner AGB-Zustimmung sowie ein Zeitstempel deiner Altersbestätigung (du bestätigst bei der Anmeldung, dass du 16 Jahre oder älter bist).
- Profilinhalte: Basisprofilinformationen, hochgeladene Lebensläufe und Dokumente, manuelle Wissenseinträge und alle weiteren Texte, die du bereitstellst, um deine Bewerbungen zu personalisieren.
- Generierte Materialien: Basis-Lebensläufe, zugeschnittene Lebensläufe, Anschreiben, ATS-Check-Ergebnisse, Interview-Übungssitzungen (inkl. deiner Antworten), Follow-up-E-Mail-Entwürfe und Unternehmensrecherchen, die du auslöst.
- Bewerbungs-Metadaten: Stellen, die du verfolgst, Unternehmensinformationen, Bewerbungsstatus, Interview-Aufzeichnungen.
- Betriebsdaten: Logdaten (Request-Pfade, Antwortzeiten, Fehler), Rate-Limit-Zähler, Hintergrund-Task-Status, Audit-Ereignisse zu wichtigen Aktionen.
- Besuchsdaten der Website: minimale Request-Daten (IP, User-Agent) kurzfristig für Sicherheit und Missbrauchsprävention; nicht für Werbung oder Profiling.
Warum wir verarbeiten (Rechtsgrundlage)
Wir stützen uns auf folgende Rechtsgrundlagen nach Art. 6 DSGVO und KVKK Art. 5:
- Vertrag (Art. 6 Abs. 1 lit. b DSGVO; KVKK Art. 5(2)(c)): zur Bereitstellung des CVVia-Dienstes, für den du dich angemeldet hast — Dokumente generieren, Analysen durchführen, deine Arbeit speichern, operative E-Mails versenden.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO; KVKK Art. 5(2)(f)): Sicherheit des Dienstes, Missbrauchs- und Betrugsprävention, Verbesserung der Zuverlässigkeit, Rechtsverteidigung. Du kannst jederzeit widersprechen.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; KVKK Art. 5(1) „açık rıza"): für alles Optionale wie nicht notwendige Cookies oder eventuell zukünftige Marketing-E-Mails. Du kannst die Einwilligung jederzeit widerrufen, ohne Nachteile.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO; KVKK Art. 5(2)(a)): Aufbewahrung von Rechnungen und Steuerunterlagen für die gesetzlichen Aufbewahrungsfristen (§257 HGB — 10 Jahre für Rechnungen), falls du zahlender Kunde wirst.
Wie KI verwendet wird — und was sie nicht tut
CVVia ist ein KI-unterstütztes Produkt. Unsere KI trifft keine Entscheidungen über dich — sie generiert Inhalte für dich, die du prüfst und über deren Verwendung du entscheidest. Es gibt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (keine automatisierten Einstellungsentscheidungen, keine Bonitätsprüfung, kein Profiling mit Rechtswirkung). Die menschliche Entscheidung liegt bei dir.
Wenn du eine KI-Funktion nutzt, wird der dafür nötige Text (dein Lebenslauf für einen zugeschnittenen CV, die Stellenausschreibung für einen ATS-Check, deine Hintergrund-Zusammenfassung plus Antwort für die Interview-Übung) über unser selbstgehostetes KI-Gateway an einen Large-Language-Model-Anbieter gesendet. Die Anbieter:
- OpenAI Ireland Ltd. (Irland; Rechenleistung kann in die USA reichen) — primärer LLM-Anbieter für CV-Zuschnitt, Anschreiben, ATS-Scoring, Interview-Übung, Follow-up-E-Mails und Embeddings.
- Anthropic PBC (USA) — alternativer LLM-Anbieter, sofern konfiguriert.
- Google LLC (USA) — Gemini-Modelle für Unternehmensrecherche und strukturierte Extraktion.
- Microsoft Corporation (USA) — Text-to-Speech für die optionale Sprachausgabe der Interview-Übung. Es wird nur der Fragetext gesendet; kein Mikrofon-Audio. Best-Effort-Funktion — kann zeitweise nicht verfügbar sein; als Fallback dient die native Sprachsynthese des Browsers.
Was die KI-Anbieter mit deinen Daten machen
Speicherung bei den Anbietern: OpenAI speichert API-Anfragen bis zu 30 Tage zur Sicherheits- und Missbrauchsüberwachung und löscht sie dann. Anthropic speichert bis zu 30 Tage. Googles API-Tier folgt einer vergleichbaren Regelung. Unser KI-Gateway hält Request-Logs (nur Metadaten, keine vollständigen Prompts) 14 Tage vor und löscht sie dann.
Trainingsdaten: Wir nutzen die API-Tiers, deren Verträge ausdrücklich ausschließen, dass deine Eingaben und Ausgaben zum Training von Anbieter-Modellen verwendet werden. Wir aktivieren keinerlei „mit dem Anbieter zur Modellverbesserung teilen"-Schalter. Sollte ein Anbieter dies jemals ändern, behandeln wir das als wesentliche Richtlinienänderung und informieren dich vorab.
Wie lange wir deine Daten speichern
Wir speichern personenbezogene Daten nur so lange, wie es für dich nützlich oder gesetzlich erforderlich ist. Die Tabelle unten listet jede Aufbewahrungsfrist:
- Authentifizierungs-Identität (Firebase Auth): bis du dein Konto löschst, oder 24 Monate ohne Anmeldung bei einem Free-Plan (vorher 30-Tage-Erinnerungs-E-Mail).
- Profil, hochgeladene Dokumente, Lebensläufe, Anschreiben, Interview-Sitzungen, Chat-Verlauf: bis zur Kontolöschung oder bis zur inaktivitätsbedingten Sperrung gemäß der oben genannten Free-Plan-Regel; danach innerhalb von 30 Tagen aus dem Primärspeicher entfernt.
- Verschlüsselte Off-Site-Backups (EU-Region): rollierendes 7-Tage-Fenster — automatisch überschrieben.
- Lokale Notfall-DB-Dumps auf dem Produktions-Server: rollierendes 3-Tage-Fenster — automatisch überschrieben.
- Audit-Log wichtiger Nutzeraktionen (nach Kontolöschung anonymisiert): 12 Monate — berechtigtes Interesse (Missbrauchs- und Betrugsuntersuchung).
- Fehler-Monitoring-Ereignisse: 90 Tage, mit Scrubbing personenbezogener Daten vor der Speicherung.
- KI-Gateway-Logs (keine vollständigen Prompts gespeichert): 14 Tage.
- Eingehende Kontaktformular-Nachrichten in unserem Google-Workspace-Postfach: 24 Monate — berechtigtes Interesse (Folge-Kommunikation).
- DMARC-Aggregat-Berichte für cvvia.ai: 6 Monate.
- Anonymisierte, nicht identifizierende Aggregatstatistiken (z.B. „X Lebensläufe diesen Monat erstellt"): können unbegrenzt aufbewahrt werden — diese Daten lassen sich nicht zu dir zurückverfolgen.
Aktuelle Sub-Prozessor-Liste
Die kanonische, stets aktuelle Liste der Sub-Prozessoren — mit Rechtsträger, Jurisdiktion, verarbeiteter Datenkategorie und Transfermechanismus — findest du auf unserer /subprocessors-Seite. Bevor wir einen neuen Sub-Prozessor hinzufügen, der personenbezogene Daten verarbeitet, benachrichtigen wir dich regelmäßig mindestens 14 Tage vorher per E-Mail und In-App-Banner. Erfordert ein Sicherheitsvorfall, eine rechtliche oder behördliche Verpflichtung oder die Nichtverfügbarkeit des bisherigen Sub-Prozessors einen schnelleren Wechsel, benachrichtigen wir dich so schnell wie praktikabel — die 14-Tage-Frist gilt in diesen Fällen nicht. Du kannst einem neuen Sub-Prozessor widersprechen; wenn wir ohne diesen Sub-Prozessor nicht weitermachen können, kannst du dein Konto schließen und deine Daten vorher exportieren.
Internationale Transfers
Unsere primäre Infrastruktur, Datenbank und Backups liegen in Deutschland und der EU. Einige Auftragsverarbeiter haben ihren Hauptsitz in den USA, betreiben die von uns genutzten Dienste aber aus EU-Regionen.
Bei Nutzung von OpenAI, Anthropic, Google AI oder Microsoft Edge TTS werden manche Daten in den USA verarbeitet. Diese Transfers stützen sich auf EU-Standardvertragsklauseln (Modul 2 — Verantwortlicher-zu-Auftragsverarbeiter, 2021/914), kombiniert mit den EU-U.S. Data Privacy Framework-Zertifizierungen der Anbieter (sofern verfügbar) und zusätzlichen technischen Maßnahmen (TLS in Übertragung, No-Training-Verträge).
Du kannst jederzeit per E-Mail an privacy@cvvia.ai erfahren, welche konkreten Daten von dir die EU verlassen haben.
Deine Rechte
Nach Art. 15–22 DSGVO und Art. 11 KVKK hast du jederzeit folgende Rechte:
- Auskunft — uns fragen, welche Daten wir über dich speichern, und eine Kopie erhalten (Art. 15 DSGVO; KVKK Art. 11(1)(b)(c)).
- Berichtigung — Korrektur unrichtiger oder unvollständiger Daten (Art. 16 DSGVO; KVKK Art. 11(1)(e)).
- Löschung — Konto und alle zugehörigen personenbezogenen Daten löschen; Recht auf Vergessenwerden (Art. 17 DSGVO; KVKK Art. 11(1)(e)).
- Einschränkung — die Verarbeitung deiner Daten begrenzen, während ein Problem geklärt wird (Art. 18 DSGVO).
- Datenübertragbarkeit — deine Daten in einem strukturierten, maschinenlesbaren Format exportieren (Art. 20 DSGVO).
- Widerspruch — gegen Verarbeitung auf Grundlage berechtigten Interesses, einschließlich zukünftiges Profiling (Art. 21 DSGVO; KVKK Art. 11(1)(g)).
- Keine automatisierte Entscheidungsfindung über dich — bereits ausgeschlossen, siehe „Wie KI verwendet wird" (Art. 22 DSGVO).
- Widerruf der Einwilligung — für alles auf Einwilligungsbasis, jederzeit, ohne Nachteile (Art. 7 Abs. 3 DSGVO; KVKK „açık rıza").
- Beschwerde bei einer Aufsichtsbehörde — siehe Abschnitt unten.
Wie du deine Rechte mit einem Klick wahrnimmst
Wir machen das konkret statt im Juristen-Jargon zu vergraben. Aus deinen Einstellungen kannst du die häufigsten Anfragen selbst bedienen:
Für alles, was unser Self-Service-UI nicht abdeckt — eine Kopie aller Kommunikation mit uns, ein bestimmtes Exportformat, etwas anderes — schreib an privacy@cvvia.ai. Wir antworten innerhalb von 30 Tagen, wie es Art. 12 DSGVO verlangt; KVKK Art. 13's 30-Tage-Frist beginnt mit Eingang deiner schriftlichen Anfrage.
- Daten herunterladen — erstellt ein strukturiertes ZIP mit deinem Konto-JSON, hochgeladenen Dokumenten, generierten Lebensläufen und Anschreiben sowie Chat-Verlauf. Du erhältst innerhalb von 24 Stunden einen signierten Download-Link per E-Mail; der Link ist 24 Stunden gültig.
- Konto löschen — entfernt dein Konto und deine personenbezogenen Daten innerhalb von 30 Tagen dauerhaft aus dem Primärspeicher, mit Kaskade über alle generierten Materialien. Off-Site-Backup-Kopien werden im normalen 7-Tage-Rolling überschrieben. Audit-Log-Einträge werden anonymisiert; Zeitstempel und Aktionstypen bleiben aus berechtigtem Interesse (Betrugs- und Missbrauchsuntersuchung) erhalten.
- Berichtigung — bearbeite jedes Feld direkt in deinem Profil und gespeicherten Bewerbungen; für Felder, die nicht user-editierbar sind, schreib an privacy@cvvia.ai.
Sicherheit
Sämtlicher Traffic zu und von CVVia ist mit TLS 1.2 oder höher verschlüsselt (HSTS erzwungen; Apex-Domain auf zwei Jahre gehärtet). Passwörter werden von Firebase Authentication verarbeitet und sind uns niemals im Klartext zugänglich. Primärdatenbank und Firebase-Storage-Daten sind beim Anbieter at-rest verschlüsselt. Off-Site-Backups sind mit AES-256 verschlüsselt.
Zugriff auf Produktionssysteme erfordert SSH-Schlüssel-Authentifizierung; Passwort-Login ist deaktiviert. Administrativer Zugriff auf unsere Infrastruktur und Firebase ist mit Multi-Faktor-Authentifizierung geschützt.
Sollte eine Verletzung personenbezogener Daten deine Informationen betreffen, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO. Liegt ein hohes Risiko für deine Rechte vor, benachrichtigen wir dich unverzüglich direkt (Art. 34).
Kinder
CVVia richtet sich an Bewerber ab 16 Jahren. Bei der Anmeldung bestätigst du, dass du 16 oder älter bist — der Zeitstempel dieser Bestätigung wird zusammen mit deiner AGB-Zustimmung gespeichert. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Solltest du der Meinung sein, ein Kind hat sich angemeldet, schreib an privacy@cvvia.ai und wir schließen das Konto und löschen die Daten.
Änderungen und Kontakt
Wir aktualisieren diese Erklärung, wenn wir Funktionen hinzufügen, Auftragsverarbeiter wechseln oder rechtliche Anforderungen sich ändern. Wesentliche Änderungen werden mindestens 14 Tage vor Inkrafttreten per E-Mail und In-App-Banner angekündigt. Das Datum oben auf der Seite spiegelt immer die aktuelle Version wider.
Um ein Recht auszuüben, eine Frage zu stellen oder eine Beschwerde einzureichen, schreib an privacy@cvvia.ai. Wir antworten innerhalb von 30 Tagen, wie es Art. 12 DSGVO und KVKK Art. 13 verlangen.