Ihre Daten, Ihre Regeln.

CVVia wird von einem kleinen Team in Deutschland betrieben. Verantwortlicher im Sinne von Art. 4(7) DSGVO und „veri sorumlusu" nach KVKK ist CVVia (Kontakt unten).

Fragen zu dieser Erklärung oder Ihren Daten senden Sie jederzeit an privacy@cvvia.ai. Unseren Datenschutzkontakt erreichen Sie unter dpo@cvvia.ai.

Wir erheben nur, was das Produkt wirklich braucht. Jeder unten genannte Punkt ist an eine echte Funktion gebunden — wir sammeln nichts „auf Verdacht".

• —Konto: E-Mail-Adresse, Anzeigename und (bei Google-Anmeldung) das Profilbild aus Ihrem Google-Konto.
• —Einstellungen: UI-Sprache, Theme und gewählte Ausgabesprache für KI-Inhalte.
• —Profilinhalt: Grunddaten, hochgeladene Lebensläufe und Dokumente, manuelle Wissenseinträge — alles, was Sie zur Personalisierung Ihrer Bewerbungen angeben.
• —Erzeugte Materialien: Basis-Lebensläufe, maßgeschneiderte Lebensläufe, Anschreiben, ATS-Prüfergebnisse, Interview-Übungssitzungen und von Ihnen ausgelöste Unternehmensrecherchen.
• —Bewerbungs-Metadaten: verfolgte Stellen, Unternehmensinfos, Bewerbungsstatus, Interviewdaten.
• —Betriebsdaten: Log-Daten (Request-Pfade, Antwortzeiten, Fehler), Rate-Limit-Zähler, Status von Hintergrundaufgaben.
• —Besucherdaten: minimale Request-Daten (IP, User-Agent), kurz aufbewahrt für Sicherheit und Missbrauchsprävention.

Nach Art. 6 DSGVO und Art. 5 KVKK stützen wir uns auf folgende Rechtsgrundlagen:

• —Vertrag (Art. 6(1)(b)): um den von Ihnen bestellten CVVia-Dienst bereitzustellen — Dokumente erzeugen, Analysen ausführen, Arbeit speichern.
• —Berechtigtes Interesse (Art. 6(1)(f)): Dienst sicher halten, Missbrauch verhindern, Zuverlässigkeit verbessern. Sie können jederzeit widersprechen.
• —Einwilligung (Art. 6(1)(a)): für Optionales wie Newsletter oder nicht zwingende Cookies. Jederzeit widerrufbar.
• —Rechtliche Verpflichtung (Art. 6(1)(c)): Aufbewahrung von Rechnungen und Steuerunterlagen über gesetzliche Fristen, sofern Sie zahlender Kunde werden.

Wir speichern Ihre Daten nur so lange, wie sie Ihnen nützen oder gesetzlich erforderlich sind.

Wenn Sie Ihr Konto löschen, entfernen wir Ihre personenbezogenen Daten und erzeugten Materialien endgültig binnen 30 Tagen. Sicherungskopien werden im gewöhnlichen Rollback-Zyklus überschrieben und nie länger als 90 Tage aufbewahrt.

Anonymisierte, nicht identifizierende Aggregatstatistiken (z. B. „X Lebensläufe diesen Monat erstellt") können unbegrenzt zur Produktplanung gehalten werden — diese Daten sind nicht mehr auf Sie zurückführbar.

Wir verkaufen Ihre Daten nicht. Nie. Die einzigen Dritten, die sie sehen, sind Auftragsverarbeiter, die wir zur Leistungserbringung brauchen und die durch Auftragsverarbeitungsverträge gebunden sind:

• —Hetzner Online GmbH (Deutschland) — Infrastruktur-Hosting, Datenresidenz ausschließlich EU.
• —Firebase / Google Cloud (EU-Rechenzentren) — Authentifizierung und Dateispeicher für Profilbilder und hochgeladene Dokumente.
• —LiteLLM-Proxy (selbst gehostet, Deutschland) — leitet Prompts an LLM-Anbieter. Logs werden 14 Tage zur Fehlersuche aufbewahrt, dann gelöscht.
• —OpenAI, Anthropic — KI-Modellanbieter via LiteLLM. Wir nutzen API-Endpunkte mit vertraglichem No-Training-Zusatz: Ihre Daten trainieren deren Modelle nie.
• —Resend (Niederlande) — transaktionaler E-Mail-Versand für Kontaktformular und Kontomitteilungen.
• —Sentry (falls aktiv, EU-Region) — Fehlermonitoring. Personenbezogene Daten werden vor der Aufnahme aus Stack-Traces bereinigt.

Der Großteil unserer Infrastruktur steht in Deutschland. Wenn wir OpenAI- oder Anthropic-APIs nutzen, werden manche Daten in den USA verarbeitet — auf Grundlage der EU-Standardvertragsklauseln (SCC 2021/914) in Verbindung mit der EU-US-Datenschutzrahmen-Zertifizierung dieser Anbieter.

Sie können jederzeit anfordern zu erfahren, welche Ihrer Daten konkret die EU verlassen haben — schreiben Sie an privacy@cvvia.ai.

Nach Art. 15–22 DSGVO und Art. 11 KVKK haben Sie jederzeit folgende Rechte:

• —Auskunft — welche Daten wir zu Ihnen halten, inklusive Kopie.
• —Berichtigung — Unrichtiges oder Unvollständiges korrigieren.
• —Löschung — Konto und alle zugehörigen personenbezogenen Daten löschen („Recht auf Vergessenwerden").
• —Einschränkung — Verarbeitung begrenzen, solange ein Punkt geklärt wird.
• —Datenübertragbarkeit — Ihre Daten strukturiert maschinenlesbar exportieren (JSON).
• —Widerspruch — gegen Verarbeitung auf Basis berechtigten Interesses, inkl. Profiling.
• —Widerruf der Einwilligung — jederzeit, ohne Nachteil.
• —Beschwerde — bei einer Aufsichtsbehörde. In Deutschland der zuständige Landesdatenschutzbeauftragte; in der Türkei das KVKK Kurumu.

Sämtlicher Verkehr ist mit TLS 1.2+ verschlüsselt. Passwörter werden von Firebase Auth verwaltet und sind uns nie im Klartext sichtbar. Datenbankverbindungen sind verschlüsselt, Backups ruhen verschlüsselt, Produktionszugriff erfordert SSH-Schlüssel.

Sollte eine Datenpanne Sie betreffen, benachrichtigen wir die Aufsichtsbehörde gemäß Art. 33 DSGVO binnen 72 Stunden und informieren Sie ohne unangemessene Verzögerung, sofern ein hohes Risiko besteht.

CVVia richtet sich an Jobsuchende ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16. Wenn Sie glauben, ein Kind hat sich angemeldet, schreiben Sie uns — wir löschen das Konto.

Wir können diese Erklärung aktualisieren, wenn wir Funktionen hinzufügen, Auftragsverarbeiter wechseln oder Gesetzesänderungen folgen. Wesentliche Änderungen kündigen wir mindestens 14 Tage vorher per E-Mail und mit einem In-App-Banner an.

Um ein Recht auszuüben, eine Frage zu stellen oder eine Beschwerde einzureichen, schreiben Sie an privacy@cvvia.ai oder dpo@cvvia.ai. Wir antworten gemäß Art. 12 DSGVO binnen 30 Tagen.