Warum diese Seite existiert
Wir listen jeden Sub-Prozessor, weil Art. 28 Abs. 2 DSGVO es verlangt, aber auch weil du genau wissen sollst, wer sonst noch deine Daten berühren kann. Mit jedem besteht ein Auftragsverarbeitungsvertrag (oder gleichwertiger Vertrag) mit der MEDTIP GmbH, der die Verwendung deiner Daten ausschließlich zur Bereitstellung des Dienstes bindet.
Bevor wir einen neuen Sub-Prozessor hinzufügen, der personenbezogene Daten verarbeitet, wirst du per E-Mail und In-App-Banner mindestens 14 Tage vor Inkrafttreten benachrichtigt. Diese Seite wird gleichzeitig aktualisiert. Wenn du widersprichst und wir ohne den neuen Sub-Prozessor nicht arbeiten können, kannst du deine Daten exportieren und dein Konto vor der Änderung schließen.
Aktuelle Sub-Prozessoren
Zum oben angegebenen Stand setzt die MEDTIP GmbH für CVVia folgende Sub-Prozessoren ein. „Mechanismus" beschreibt die Rechtsgrundlage für Transfers außerhalb der EU.
| Sub-Prozessor | Dienst | Datenkategorie | Jurisdiktion | Mechanismus |
|---|---|---|---|---|
| IONOS SE | Infrastruktur-Hosting (VPS, Primärdatenbank, Firebase-Storage-Replika) | Alle Anwendungsdaten, Logs | Deutschland (Frankfurt) | Deutsches Recht + AV-Vertrag |
| Google Ireland Ltd. | Firebase Authentication, Google Workspace (Postfach hello@cvvia.ai) | E-Mail, Passwort-Hash, Firebase-UID, Postfach-Nachrichten | Irland (EU) | GCP-AV-Vertrag + EU-SCCs |
| Google LLC | Firebase Storage, Custom Search API, Gemini LLM | Hochgeladene Dokumente, öffentliche Stellensuche-Anfragen, KI-Prompts | USA (EU-Regionen verfügbar) | SCCs + EU-US Data Privacy Framework |
| Cloudflare Inc. | DNS, R2-Objekt-Speicher für Off-Site-Backups | DNS-Anfragen, Client-IPs, verschlüsselte Backup-Dateien | EU-Region für R2, global für DNS | AV-Vertrag + SCCs + DPF |
| Resend Inc. | Transaktionale E-Mail-Zustellung | Name, E-Mail-Adresse, Nachrichtentext aus dem Kontaktformular | EU-Region (Irland-Infrastruktur) | AV-Vertrag + EU-SCCs |
| Functional Software Inc. (Sentry) | Fehler- und Ausnahme-Monitoring | Stack-Traces, Request-Metadaten (personenbezogene Daten vor Versand gescrubbt) | EU-Ingest (Deutschland) | Sentry-AV-Vertrag + EU-Residenz |
| OpenAI Ireland Ltd. | Large Language Model API — CV-Zuschnitt, Anschreiben, ATS-Scoring, Interview-Übung, Embeddings | Prompt-Text einschließlich CV / Profil / Antworten | Irland (Compute kann in die USA reichen) | OpenAI-Ireland-AV-Vertrag + EU-SCCs |
| Anthropic PBC | Large Language Model API — alternativer Anbieter | Wie OpenAI, sofern konfiguriert | USA | Anthropic-AV-Vertrag + SCCs |
| Microsoft Corporation | Text-to-Speech-Endpunkt für Interview-Übung-Sprachausgabe | Nur Fragetext — kein Mikrofon-Audio gesendet | USA | Best-Effort-Funktion mit dokumentiertem Risiko; Browser-Fallback verfügbar |
Wie wir diese Liste ändern
Bevor wir einen neuen Sub-Prozessor hinzufügen, der personenbezogene Daten verarbeitet, verpflichten wir uns:
- Nutzer mindestens 14 Tage im Voraus per E-Mail an die Konto-Adresse und über ein In-App-Banner zu benachrichtigen.
- Diese Seite vor dem Inkrafttreten zu aktualisieren.
- Widersprüche zu respektieren — wenn du nicht möchtest, dass deine Daten durch einen neuen Sub-Prozessor fließen, und wir ohne ihn nicht arbeiten können, kannst du deine Daten über Einstellungen → Daten herunterladen exportieren und dein Konto vor der Änderung schließen, mit anteiliger Rückerstattung soweit zutreffend.
- Auftragsverarbeiter zu entfernen, mit denen wir keinen AV-Vertrag mehr haben oder die wir nicht mehr nutzen, und die Entfernung hier zu vermerken.
Fragen oder Kopien der AV-Verträge
Wenn du mehr Details darüber möchtest, wie ein bestimmter Sub-Prozessor deine Daten behandelt, in welchem Land seine Rechenleistung läuft, oder eine Kopie eines zugrundeliegenden Auftragsverarbeitungsvertrags möchtest (soweit teilbar), schreib an privacy@cvvia.ai. Wir antworten innerhalb von 30 Tagen.