Datenschutzerklärung

1.1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) für die Verarbeitung personenbezogener Daten auf dieser Website und in der Applyze-Anwendung ist:

1.2 Datenschutzbeauftragter

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen gemäß Art. 37 DSGVO und § 38 BDSG nicht vorliegen. Für alle datenschutzrechtlichen Anfragen steht der Verantwortliche unter support@applyze.ai zur Verfügung.

1.3 Doppelrolle: Verantwortlicher und Auftragsverarbeiter

Applyze ist in zweierlei Eigenschaft tätig: (1) Als Verantwortlicher für die Daten von Website-Besuchern und Kunden (Accounts, Abrechnung). (2) Als Auftragsverarbeiter für die personenbezogenen Daten von Bewerbern, die Kunden von Applyze auf der Plattform hochladen und verarbeiten. Diese Datenschutzerklärung gilt für beide Rollen.

2.1 Server-Logfiles

Beim Besuch unserer Website übermittelt Ihr Browser automatisch Informationen an unseren Server. Diese werden in sogenannten Server-Logfiles gespeichert und umfassen: IP-Adresse (anonymisiert), Datum und Uhrzeit des Zugriffs, aufgerufene URL, Referrer-URL, Browsertyp und -version, Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Website). Speicherdauer: 14 Tage, danach automatische Löschung.

2.2 Cookies und Einwilligungsmanagement

Unsere Website und Anwendung setzen Cookies ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir unterscheiden:

• Technisch notwendige Cookies: Diese sind für den Betrieb der Plattform zwingend erforderlich (z. B. Session-Cookies für den Login, Speicherung Ihrer Cookie-Einwilligung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO sowie § 25 Abs. 2 TTDSG. Eine Einwilligung ist nicht erforderlich.
• Analyse- und Marketing-Cookies: Diese werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner gesetzt (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die in Ihrem Browser gespeicherten Cookies löschen.

Sie können Cookies in Ihren Browsereinstellungen jederzeit deaktivieren oder löschen. Dies kann die Funktionsfähigkeit der Plattform einschränken.

Folgende Dienste werden ausschließlich nach Ihrer Einwilligung über das Cookie-Banner geladen. Ohne Einwilligung werden keinerlei Skripte, Cookies oder Tracking-Pixel dieser Anbieter aktiviert.

Google Analytics 4

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA).
• Zweck: Reichweitenmessung und statistische Analyse des Nutzerverhaltens zur Verbesserung der Website.
• Verarbeitete Daten: IP-Adresse (gekürzt/anonymisiert), Geräteinformationen, Browser, Referrer, aufgerufene Seiten, Verweildauer, pseudonyme Nutzer-ID.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.
• Speicherdauer: Cookies bis zu 14 Monate; aggregierte Auswertungen bis zu 26 Monate.
• Drittlandtransfer: Übermittlung in die USA möglich. Grundlage sind die EU-Standardvertragsklauseln und das EU-US Data Privacy Framework.
• Widerruf / Opt-out: Cookie-Einstellungen im Browser löschen oder Browser-Add-on: tools.google.com/dlpage/gaoptout.
• Datenschutz des Anbieters: policies.google.com/privacy.

Meta Pixel (Facebook Pixel)

• Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland (Mutterunternehmen: Meta Platforms, Inc., USA).
• Zweck: Reichweiten- und Conversion-Tracking für Werbeanzeigen, Bildung von Zielgruppen, Optimierung von Kampagnen sowie Retargeting.
• Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Referrer, besuchte Seiten, Klick- und Konversionsereignisse, pseudonyme Cookie-IDs (u. a. _fbp, _fbc).
• Gemeinsame Verantwortlichkeit: Für die Erhebung und Übermittlung der Daten besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit Meta. Die Vereinbarung ist abrufbar unter facebook.com/legal/controller_addendum.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.
• Speicherdauer: Pixel-Cookies bis zu 90 Tage (_fbc) bzw. 90 Tage (_fbp); aggregierte Werbedaten gemäß Meta-Richtlinien.
• Drittlandtransfer: Übermittlung in die USA. Grundlage sind die EU-Standardvertragsklauseln und das EU-US Data Privacy Framework.
• Widerruf / Opt-out: Cookie-Einstellungen im Browser löschen oder Werbeeinstellungen anpassen unter facebook.com/settings?tab=ads.
• Datenschutz des Anbieters: facebook.com/policy.php.

PostHog (Produkt-Analytics & Session Replay)

Cookieless Analytics ohne Einwilligung: Wir setzen PostHog in einer datensparsamen, cookielosen Konfiguration bereits ohne Einwilligung ein. Es werden keine Cookies und keine persistenten Identifier im Browser gespeichert (Konfiguration: persistence: 'memory',disable_persistence: true). Erfasst werden ausschließlich anonyme, aggregierbare Reichweitendaten (Seitenaufrufe, Referrer, ungefähre Herkunft auf Länderebene aus der gekürzten IP, Browser-/Geräteklasse). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung); § 25 TTDSG ist nicht einschlägig, weil keine Informationen in der Endeinrichtung gespeichert oder ausgelesen werden.

Mit Einwilligung: Nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner wird PostHog auf persistente Speicherung (LocalStorage + Cookies) umgestellt und das Session Replay (Aufzeichnung von Mausbewegungen, Klicks und Seitennavigation) aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.

• Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. Die Datenverarbeitung für unsere Website erfolgt ausschließlich über die EU-Cloud-Infrastruktur (Hosting in Frankfurt, Deutschland).
• Zweck: Reichweitenmessung (immer, anonym) und Session Replay zur Verbesserung der Nutzerfreundlichkeit und Identifikation von Fehlerquellen (nur mit Einwilligung).
• Verarbeitete Daten ohne Einwilligung: Gekürzte IP-Adresse, Browser- und Geräteklasse, Referrer, aufgerufene Seiten, Verweildauer. Keine Cookies, keine geräteübergreifende Wiedererkennung.
• Zusätzlich mit Einwilligung: Pseudonyme Geräte-/Session-IDs (LocalStorage/Cookie), Mausbewegungen, Klick- und Interaktionsereignisse, Session-Recordings. Tastatureingaben in Formularfeldern werden standardmäßig maskiert (maskAllInputs: true) und nicht aufgezeichnet.
• Speicherdauer: Anonyme Reichweitendaten bis zu 12 Monate; Session-Recordings bis zu 30 Tage.
• Datenverarbeitung & Drittlandtransfer: Daten werden in der EU-Cloud (Frankfurt, Deutschland) gespeichert. Eine Übermittlung an PostHog Inc. (USA) als Anbieter der Software kann im Rahmen von Support- und Wartungstätigkeiten nicht ausgeschlossen werden; Grundlage sind die EU-Standardvertragsklauseln.
• Widerspruch (cookieless Modus): Sie können der Verarbeitung auf Basis berechtigten Interesses jederzeit per E-Mail an support@applyze.ai widersprechen.
• Widerruf (Session Replay): Cookie-Einstellungen im Browser löschen oder Do-Not-Track aktivieren.
• Datenschutz des Anbieters: posthog.com/privacy.

Hinweis: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die in Ihrem Browser gespeicherten Cookies für diese Website löschen. Beim nächsten Besuch wird Ihnen das Cookie-Banner erneut angezeigt.

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen.

3.1 Kundenkonto und Registrierung

Bei der Registrierung verarbeiten wir: E-Mail-Adresse, Name, Unternehmensname, Zahlungsdaten (über unseren Zahlungsdienstleister, nicht direkt bei uns gespeichert), sowie technische Zugangsdaten (Passwort-Hash).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre für steuerrelevante Daten gemäß § 147 AO).

3.2 Nutzungsdaten und Audit-Trail

Zur Erbringung des Dienstes und aus rechtlichen Gründen (EU AI Act, DSGVO) protokollieren wir alle Aktionen innerhalb der Plattform in einem Audit-Trail: wer welchen Kandidaten wann aufgerufen, bewertet oder weiterverarbeitet hat. Diese Daten sind Bestandteil des Dienstleistungsvertrages.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO. Speicherdauer: 3 Jahre nach Vertragsbeendigung, sofern keine längeren Aufbewahrungspflichten bestehen.

3.3 Abrechnung und Zahlungen

Zahlungen werden über externe Zahlungsdienstleister abgewickelt. Applyze speichert keine vollständigen Zahlungsdaten (Kreditkartennummern etc.). Es werden lediglich für die Abrechnung notwendige Metadaten gespeichert (Betrag, Datum, Transaktions-ID).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: 10 Jahre gemäß steuerrechtlicher Aufbewahrungspflichten.

Wichtiger Hinweis: Wenn Kunden von Applyze Bewerberdaten (CVs, Anschreiben, sonstige Bewerbungsunterlagen) auf die Plattform hochladen, handelt Applyze als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlicher für diese Datenverarbeitung ist ausschließlich der jeweilige Kunde (das Unternehmen, das Applyze nutzt). Bewerberinnen und Bewerber, die Auskunft über ihre Daten oder deren Löschung begehren, wenden sich bitte direkt an das Unternehmen, bei dem sie sich beworben haben.

4.1 Art der verarbeiteten Bewerberdaten

• Stammdaten: Name, Kontaktdaten, Geburtsdatum (soweit im CV enthalten)
• Berufliche Daten: Ausbildung, Berufserfahrung, Qualifikationen, Fähigkeiten, Zertifikate
• Selbstdarstellung: Anschreiben, Motivationsschreiben, Referenzen
• KI-generierte Metadaten: Scores, Auswertungen, Dimensionsbewertungen auf Basis der hochgeladenen Unterlagen
• Audit-Daten: wer die Unterlagen wann aufgerufen und bewertet hat

4.2 KI-Verarbeitung und automatisierte Analyse

Applyze setzt künstliche Intelligenz zur Analyse und Bewertung von Bewerbungsunterlagen ein. Die KI analysiert die eingereichten Dokumente anhand des vom Kunden definierten Anforderungsprofils und erstellt einen erklärbaren Score in sechs Dimensionen.

Rechtsgrundlage der Verarbeitung durch den Kunden: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage des Bewerbers) in Verbindung mit Art. 88 DSGVO und § 26 BDSG (Datenverarbeitung im Beschäftigungsverhältnis).

Human-in-the-Loop-Prinzip: Applyze trifft keinerlei automatisierte Entscheidungen im Sinne von Art. 22 DSGVO. Die KI gibt ausschließlich Empfehlungen ab. Jede Personalentscheidung wird von einem Menschen getroffen. Die Verarbeitung unterliegt daher nicht dem Verbot des Art. 22 DSGVO. Gleichwohl informieren wir transparent über den Einsatz der KI.

4.3 Blind Mode

Die Blind-Mode-Funktion blendet automatisch biografische Merkmale (Alter, Geschlecht, Nationalität, Religion etc.) aus dem Kandidatenprofil aus, um unbewusste Verzerrungen im Auswahlprozess zu reduzieren. Diese Daten werden nicht gelöscht, sondern nur in der Ansicht ausgeblendet.

4.4 Talent Pool

Wenn Kunden die Talent-Pool-Funktion nutzen, werden Bewerberdaten für den Abgleich mit zukünftigen Stellen gespeichert. Kunden sind als datenschutzrechtlich Verantwortliche verpflichtet, hierfür eine geeignete Rechtsgrundlage (z. B. Einwilligung des Bewerbers) sicherzustellen. Applyze unterstützt Kunden technisch bei der Verwaltung von Löschfristen.

4.5 Speicherdauer für Bewerberdaten

Bewerberdaten werden gespeichert, solange der Kunde sie auf der Plattform hält. Nach Beendigung des Kundenkontracts werden alle Bewerberdaten spätestens nach 30 Tagen unwiderruflich gelöscht. Innerhalb dieser Frist kann der Kunde einen vollständigen Datenexport anfordern. Kunden können Bewerberdaten jederzeit selbst löschen oder automatische Löschfristen konfigurieren.

4.6 Auftragsverarbeitungsvertrag (AVV)

Zwischen Applyze und jedem Kunden wird gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag geschlossen. Dieser regelt die Rechte und Pflichten beider Parteien hinsichtlich der Verarbeitung von Bewerberdaten. Der AVV ist unter www.applyze.ai abrufbar und wird bei Vertragsschluss automatisch wirksam.

Applyze setzt KI-Systeme ein, die als Hochrisikosystem gemäß Anhang III der EU-KI-Verordnung (Verordnung (EU) 2024/1689, „EU AI Act") eingestuft sind, da sie im Bereich der Personalauswahl eingesetzt werden. Der Anbieter ergreift alle gesetzlich vorgeschriebenen Maßnahmen, insbesondere:

• Technische und organisatorische Maßnahmen zur Sicherstellung der Erklärbarkeit jeder KI-Entscheidung
• Vollständige Protokollierung aller KI-Analysen im Audit-Trail
• Sicherstellung des Human-in-the-Loop-Prinzips durch Systemdesign und Vertragsgestaltung
• Maßnahmen zum Schutz vor Prompt-Injection-Angriffen und Manipulation der KI durch eingebettete Instruktionen in Bewerbungsunterlagen
• Regelmäßige Überprüfung der KI-Systeme auf Verzerrungen und Diskriminierungspotenzial

Die Pflichten des Betreibers (Kunden) gemäß EU AI Act — insbesondere Transparenzpflichten gegenüber Bewerbern — obliegen dem Kunden als Betreiber des Systems in seiner eigenen Nutzungsumgebung. Der Kunde ist verpflichtet, Bewerber über den Einsatz von KI zu informieren (vgl. AGB § 4 Abs. 6).

6.1 Grundsatz

Wir geben personenbezogene Daten nur weiter, wenn dies zur Leistungserbringung erforderlich, gesetzlich erlaubt oder durch Ihre Einwilligung gedeckt ist.

6.2 Eingesetzte Dienstleister (Auftragsverarbeiter)

Applyze setzt folgende Kategorien von Dienstleistern ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden:

• Cloud-Hosting und Infrastruktur: Alle Server befinden sich ausschließlich in der Europäischen Union.
• Zahlungsabwicklung: Externe Zahlungsdienstleister für die Abrechnung von Abonnements und Credits.
• E-Mail-Versand: Für transaktionale E-Mails (Registrierungsbestätigung, Rechnungen etc.).
• KI-Modelle: Soweit externe KI-Infrastruktur zur Analyse eingesetzt wird, erfolgt dies ausschließlich über EU-konforme Anbieter ohne Datenweitergabe zu Trainingszwecken.

Eine vollständige und aktuell gehaltene Liste der eingesetzten Unterauftragsverarbeiter ist auf Anfrage unter support@applyze.ai erhältlich.

6.3 Keine Datenweitergabe zu Werbezwecken

Wir verkaufen keine personenbezogenen Daten und geben sie nicht zu Werbezwecken an Dritte weiter.

6.4 Internationale Datenübertragungen

Alle personenbezogenen Daten der Kunden- und Bewerberverarbeitung werden ausschließlich auf Servern innerhalb der Europäischen Union gespeichert und verarbeitet. Eine Übertragung in Drittländer (außerhalb der EU/des EWR) findet im Rahmen der Plattform nicht statt. Soweit auf der Website Analyse- und Marketing-Dienste eingesetzt werden (siehe Abschnitt 2a), kann eine Übertragung in die USA erfolgen — ausschließlich auf Basis Ihrer Einwilligung und auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln, EU-US Data Privacy Framework).

Applyze setzt umfangreiche technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein, um die Sicherheit der verarbeiteten Daten zu gewährleisten:

• Verschlüsselte Datenübertragung via TLS/SSL (HTTPS)
• Verschlüsselung sensibler Daten in der Datenbank
• Zugriffskontrollen und rollenbasierte Berechtigungen
• Vollständiger Audit-Trail aller Zugriffe und Aktionen
• Maßnahmen gegen Prompt-Injection-Angriffe auf KI-Systeme
• Regelmäßige Sicherheitsüberprüfungen
• Serverstandort ausschließlich in der Europäischen Union

Im Fall einer Datenpanne, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, wird die zuständige Datenschutzbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden benachrichtigt. Betroffene Personen werden gemäß Art. 34 DSGVO unverzüglich informiert, sofern ein hohes Risiko besteht.

Sie haben gemäß DSGVO folgende Rechte gegenüber dem Verantwortlichen:

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, sowie Auskunft über diese Daten und weitere Informationen (Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer etc.).

8.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

8.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen (z. B. Daten nicht mehr erforderlich, Einwilligung widerrufen, unrechtmäßige Verarbeitung).

8.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

8.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

8.7 Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

8.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Alternativ können Sie sich an die Datenschutzbehörde Ihres Bundeslandes oder Ihres Wohnsitzstaates wenden.

8.9 Ausübung Ihrer Rechte

Zur Ausübung aller vorgenannten Rechte genügt eine formlose E-Mail an: support@applyze.ai. Wir bearbeiten Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie informieren werden.

Wenn Sie sich bei einem Unternehmen beworben haben, das Applyze einsetzt, und Ihre Bewerbungsunterlagen auf der Applyze-Plattform verarbeitet wurden, gilt Folgendes:

• Verantwortlicher für Ihre Bewerbungsdaten ist das Unternehmen, bei dem Sie sich beworben haben — nicht Applyze.
• Applyze verarbeitet Ihre Daten ausschließlich im Auftrag dieses Unternehmens und nach dessen Weisung.
• Anfragen zur Auskunft, Berichtigung, Löschung oder sonstigen Betroffenenrechten richten Sie bitte direkt an das Unternehmen, bei dem Sie sich beworben haben.
• Ihre Bewerbungsunterlagen wurden mithilfe von KI analysiert. Die endgültige Entscheidung über Ihre Bewerbung wurde von einem Menschen getroffen.

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, der Plattformfunktionen oder der eingesetzten Dienstleister anzupassen. Die jeweils aktuelle Version ist stets unter www.applyze.ai/privacy abrufbar. Bei wesentlichen Änderungen werden registrierte Kunden per E-Mail informiert. Das Datum der letzten Aktualisierung ist oben auf dieser Seite vermerkt.