Skip to main content

Datenschutzrichtlinie

Zuletzt aktualisiert: 15. April 2026

Datenschutzrichtlinie v1.0.0

Verantwortliche Stelle: CHW-Services · Website: preparaitor.ch

Rechtsverbindliche Fassung

Die deutsche Fassung dieses Dokuments ist rechtlich verbindlich. Übersetzungen in andere Sprachen dienen ausschliesslich der Verständlichkeit; bei Widersprüchen oder Unstimmigkeiten ist die deutsche Fassung massgeblich.

1. Einleitung

Willkommen bei preparAItor („Dienst“), betrieben von CHW-Services („Unternehmen“, „wir“, „uns“ oder „unser“). Wir verpflichten uns, Ihre personenbezogenen Daten und Ihr Recht auf Privatsphäre in Übereinstimmung mit dem schweizerischen Datenschutzgesetz (DSG), der EU-Datenschutz-Grundverordnung (DSGVO) und der EU-Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689) zu schützen.

Diese Datenschutzrichtlinie erläutert, wie wir Ihre Daten erheben, verwenden, offenlegen und schützen, wenn Sie unseren Dienst nutzen. Wenn Sie mit dieser Datenschutzrichtlinie nicht einverstanden sind, nutzen Sie den Dienst bitte nicht.

Verantwortliche Stelle: CHW-Services ist die verantwortliche Stelle für alle personenbezogenen Daten, die über den Dienst preparAItor verarbeitet werden. Das bedeutet, dass wir die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten festlegen. Unsere Unterauftragsverarbeiter (aufgeführt unter Unterauftragsverarbeiter) handeln als Auftragsverarbeiter in unserem Auftrag und verarbeiten Daten ausschliesslich nach unseren dokumentierten Weisungen.

2. Erhobene Daten

2.1 Von Ihnen bereitgestellte personenbezogene Daten

Kontoregistrierung:

  • E-Mail-Adresse (erforderlich)
  • Passwort (verschlüsselt)
  • Anzeigename
  • Vor- und Nachname
  • Sprach- und Zeitzoneneinstellungen
  • Altersbestätigung
  • Zustimmung zu den Nutzungsbedingungen

Profildaten:

  • Beruflicher Kurzprofil
  • Kontaktangaben (Telefon, LinkedIn, GitHub, Portfolio-URLs)
  • Ortsangaben (Stadt, Land, Postleitzahl)

Benutzereinstellungen:

  • Farbschema (hell/dunkel)
  • Oberflächen- und Dokumentensprache (DE, EN, FR, IT)
  • Tonalitätspräferenz für Dokumente (formal, selbstbewusst, freundlich)
  • Schweizer Schreibweise (ss statt ß)
  • Aufbewahrungsdauer (5 Minuten, 30, 60, 90, 180 oder 365 Tage)
  • E-Mail- und In-App-Benachrichtigungseinstellungen
  • Formatpräferenzen für Sammel-Downloads (PDF-Dokumente, editierbare Word-Dokumente, reine Textdateien)

Lebenslauf-/CV-Daten:

  • Berufserfahrung (Unternehmen, Positionen, Zeiträume, Beschreibungen)
  • Ausbildung (Institutionen, Abschlüsse, Studienrichtungen, Zeiträume)
  • Kompetenzen und Fähigkeiten (Hard und Soft Skills)
  • Projekte und Erfolge
  • Sprachen und Sprachniveau
  • Referenzen (sofern angegeben)
  • Rohtext aus der CV-Analyse
  • Dateimetadaten (Name, Typ, Grösse, Upload-Datum, Analyse-Version)

Bewerbungsdaten:

  • Stellenbezeichnungen und -beschreibungen
  • Unternehmensinformationen
  • Anforderungsprofile
  • Bewerbungsfristen

Daten zum Interviewtraining:

  • Transkripte von Interviewsitzungen
  • KI-generierte Interviewfragen und Antworten
  • Sitzungsmetadaten und Zeitstempel

Zahlungsdaten:

  • Stripe-Kunden-ID
  • Abonnementdetails
  • Transaktionshistorie
  • Rechnungsadresse (sofern angegeben)
  • Hinweis: Wir speichern weder Kreditkartennummern noch Bankdaten direkt

Cloud-Synchronisationseinstellungen:

  • Verbindungsstatus zu Google Drive und OAuth-Tokens (verschlüsselt)
  • Verbindungsstatus zu OneDrive und OAuth-Tokens (verschlüsselt)

2.2 Automatisch erhobene Daten

Geräte- und Browser-Informationen:

  • IP-Adresse, Browsertyp und -version, Bildschirmauflösung, Betriebssystem
  • Spracheinstellungen, Zeitzone, Cookie- und JavaScript-Status
  • Canvas-Fingerprint (erste 50 Zeichen) — zur Betrugsprävention
  • WebGL-Unterstützung — zur Kompatibilitätsprüfung
  • Touch-Fähigkeit — zur Optimierung der Benutzeroberfläche

Rechtsgrundlage: Berechtigtes Interesse an Betrugsprävention und Sicherstellung der Dienstkompatibilität.

Nutzungsinformationen:

  • Besuchte Seiten, genutzte Funktionen, Generierungsverlauf
  • Klickverhalten, Formularinteraktions-Zeiten, Sitzungsdauer
  • Fehlerprotokolle

Authentifizierung und Sicherheit:

  • Anmeldezeitpunkte, letzte Aktivität, Sicherheitsereignisse
  • reCAPTCHA-Bewertungen, App-Check-Tokens

Bestätigung des Cookie-Hinweises:

  • Versionsnummer des Hinweises, Zeitstempel und ID (UUID)
  • Wird ausschliesslich im Browser-localStorage gespeichert, damit der Hinweis nicht bei jedem Besuch erneut erscheint

2.3 Daten von Dritten

OAuth-Anbieter (Google): E-Mail-Adresse, Anzeigename, URL des Profilbilds.

OAuth-Anbieter (Microsoft): E-Mail-Adresse, Anzeigename, OneDrive-Zugriffsrechte.

Zahlungsdienstleister (Stripe): Zahlungsbestätigung, Abonnementstatus, Transaktionsdetails.

3. Verwendung Ihrer Daten

3.1 Leistungserbringung (Rechtsgrundlage: Vertragserfüllung)

  • Erstellen und Verwalten Ihres Kontos
  • Verarbeitung Ihrer CV- und Stelleninformationen durch KI-Systeme
  • Erstellung massgeschneiderter Bewerbungsunterlagen mittels KI
  • Speicherung Ihrer Dokumente und Vorlagen
  • Verfolgung Ihrer Nutzung und Credits
  • Web-Suchen zur Anreicherung von Unternehmensinformationen
  • Durchführung von Interviewtraining-Sitzungen mit KI-generierten Fragen

3.2 Verbesserung des Dienstes (Rechtsgrundlage: berechtigtes Interesse)

  • Analyse von Nutzungsmustern
  • Verbesserung der KI-Modellgenauigkeit (ausschliesslich mit anonymisierten Daten)
  • Entwicklung neuer Funktionen, Fehlerbehebung, Leistungsoptimierung

3.3 KI-Verarbeitung

Wir setzen künstliche Intelligenz (Google-Gemini-Modelle via Vertex AI auf Google Cloud) ein, um:

  • Ihren CV und Stellenbeschreibungen zu verarbeiten und zu analysieren
  • massgeschneiderte Bewerbungsunterlagen zu erstellen
  • Web-Suchen zur Anreicherung von Unternehmensinformationen durchzuführen
  • relevante Informationen aus Stellenanzeigen zu extrahieren
  • auf die Stellenanforderungen zugeschnittene Interviewfragen zu erzeugen
  • Antworten von Kandidatinnen und Kandidaten während Interviewsitzungen zu analysieren

Wichtig: Die KI-Verarbeitung umfasst automatisierte Inhaltsgenerierung. Sie haben das Recht, eine menschliche Überprüfung KI-generierter Inhalte zu verlangen (siehe Abschnitt 12.3). Google verwendet Ihre via Vertex AI übermittelten Daten nicht, um seine Foundation-Modelle zu trainieren, wie im Google Cloud Data Processing Addendum bestätigt wird.

3.4 Transparenz gemäss EU-KI-Verordnung (Verordnung (EU) 2024/1689, Artikel 50)

In Übereinstimmung mit der EU-Verordnung über künstliche Intelligenz legen wir Folgendes offen:

  • Zweck des KI-Systems: preparAItor nutzt KI, um Bewerbungsunterlagen (Anschreiben, E-Mails, Interview-Fragen & Antworten, Stellenzusammenfassungen) zu erstellen und KI-gestützte Interviewsitzungen auf Basis der von Ihnen bereitgestellten CV-Daten und Stellenbeschreibungen durchzuführen.
  • KI-Anbieter und Modelle: Wir verwenden Google-Gemini-Modelle, die über die Vertex-AI-API (Google Cloud) angesprochen werden. Die KI-Verarbeitung erfolgt in europe-west3 (Frankfurt, Deutschland).
  • KI-generierte Inhalte: Alle von unserem Dienst erzeugten Dokumente werden durch KI erstellt und sind in der Anwendungsoberfläche als solche gekennzeichnet. Nutzerinnen und Nutzer sind dafür verantwortlich, KI-generierte Inhalte vor der Übermittlung an potenzielle Arbeitgeber zu prüfen und zu bearbeiten.
  • Menschliche Aufsicht: Unser KI-System ist ein Entscheidungs-Unterstützungstool. Es trifft keine autonomen Einstellungsentscheidungen und ersetzt nicht das menschliche Urteilsvermögen. Sie behalten die vollständige Kontrolle darüber, ob Sie KI-generierte Ausgaben übernehmen, verändern oder verwerfen.
  • Risikoklassifizierung: preparAItor ist kein Hochrisiko-KI-System nach Anhang III der EU-KI-Verordnung. Es handelt sich um ein nutzerorientiertes Produktivitätswerkzeug zur Dokumentenerstellung; es führt keine Rekrutierung, Bewerberauswahl oder automatische Filterung im Auftrag von Arbeitgebern durch.
  • Einschränkungen: KI-generierte Inhalte können Ungenauigkeiten, Fehlinterpretationen des Kontexts oder veraltete Informationen aus Web-Suchen enthalten. Siehe unsere Nutzungsbedingungen Abschnitt 10.1 für vollständige Haftungsausschlüsse.

3.5 Kommunikation

  • Versand von dienstbezogenen E-Mails (Kontobestätigung, Passwort-Reset, Benachrichtigungen zu fertigen Dokumenten)
  • Benachrichtigungen zu Kontoaktivitäten
  • Kundenservice
  • Zahlungsbenachrichtigungen
  • Warnmeldungen bei Sicherheitsvorfällen

3.6 Geschäftsbetrieb

  • Zahlungsabwicklung, Prävention von Betrug und Missbrauch
  • Durchsetzung unserer Nutzungsbedingungen
  • Erfüllung gesetzlicher Verpflichtungen

3.7 Marketing (mit Einwilligung)

  • Versand von Werbe-E-Mails, Informationen zu neuen Funktionen
  • Tipps und Best Practices, Durchführung von Nutzerumfragen

4. Weitergabe Ihrer Daten

4.1 Dienstleister

Firebase (Google): Benutzer-Authentifizierung, Datenbankspeicherung (Firestore), Dateispeicherung (Cloud Storage), App Check. preparAItor verwendet kein Firebase Analytics und kein Firebase Performance Monitoring. Standort: europe-west6 (Zürich, Schweiz).

Google Vertex AI (Google Cloud): Dokumentenerstellung mit Google-Gemini-Modellen, Inhaltsanalyse, Web-Suche zur Unternehmensanreicherung (Grounding), Generierung von Interviewfragen und Analyse der Antworten. Standort: europe-west3 (Frankfurt, Deutschland). Google verwendet Ihre Daten nicht, um seine KI-Modelle zu trainieren. Gemäss dem Google Cloud Data Processing Addendum und den Vertex AI Service Specific Terms werden über die Vertex-AI-API übermittelte Kundendaten nicht zur Verbesserung oder zum Training der Foundation-Modelle von Google verwendet. Personenbezogene Identifikatoren (Name, E-Mail, Telefon, Adresse) werden entfernt oder minimiert, bevor Daten an die KI-API gesendet werden.

Google Cloud KMS: Feldbasierte Verschlüsselung sensibler personenbezogener Daten (CV-Inhalte, OAuth-Tokens). Standort: europe-west6 (Zürich, Schweiz).

Google Drive: Cloud-Synchronisation generierter Dokumente (nur bei ausdrücklicher Aktivierung durch den Nutzer).

Microsoft OneDrive: Cloud-Synchronisation generierter Dokumente (nur bei ausdrücklicher Aktivierung durch den Nutzer).

Stripe: Zahlungsabwicklung, Abonnementverwaltung, Zugang zum Kundenportal, Transaktionsnachweise. Stripe handelt als eigenständige verantwortliche Stelle für die von ihm verarbeiteten Zahlungsdaten.

Brevo (früher Sendinblue): Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Reset, Zahlungshinweise). Marketing-E-Mails nur mit ausdrücklicher Einwilligung. CV- oder Dokumenteninhalte werden nicht per E-Mail versendet.

reCAPTCHA (Google): Bot-Erkennung und Sicherheitsbewertung.

4.2 Gesetzliche Anforderungen

Wir können Ihre Daten offenlegen, sofern dies gesetzlich vorgeschrieben ist, etwa aufgrund gerichtlicher Anordnungen, behördlicher Anfragen, Strafverfolgungsmassnahmen und Gerichtsverfahren.

4.3 Unternehmensübertragungen

Im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten können Ihre Daten im Rahmen der Transaktion übertragen werden.

4.4 Aggregierte Daten

Wir können aggregierte, anonymisierte Daten, die Sie nicht identifizieren, zu Forschungs- oder Verbesserungszwecken mit Dritten teilen.

4.5 Ihre Einwilligung

Mit Ihrer ausdrücklichen Einwilligung können wir Ihre Daten zu bestimmten Zwecken weitergeben.

5. Datensicherheit

5.1 Sicherheitsmassnahmen

  • HTTPS-/TLS-Verschlüsselung für alle Datenübertragungen (HSTS erzwungen)
  • Feldbasierte Verschlüsselung mit AES-256-GCM für sensible personenbezogene Daten (CV-Inhalte, OAuth-Tokens); die Schlüssel werden durch Google Cloud KMS verwaltet
  • Firebase Authentication zur sicheren Passwortverarbeitung und Sitzungsverwaltung
  • Firebase-Sicherheitsregeln mit rollenbasierter Zugriffskontrolle
  • Firebase App Check – API-Schutz mittels reCAPTCHA Enterprise
  • Ruheverschlüsselte OAuth-Tokens (AES-256-GCM) mit nutzergebundenen authentifizierten Daten
  • Strikte Content Security Policy und Browser-Sicherheitsheader, einschliesslich expliziter frame-ancestors-Whitelist und X-Content-Type-Options
  • Regelmässige Sicherheitsaudits
  • Geografische Einschränkungen auf europäische Rechenzentren, soweit möglich
  • Ruheverschlüsselung in allen Rechenzentren
  • Rate-Limiting und Schutz vor Missbrauch auf allen API-Endpunkten

5.2 Reaktion auf Datenschutzverletzungen

Im Falle einer Datenschutzverletzung:

  • Benachrichtigen wir betroffene Nutzerinnen und Nutzer innerhalb von 72 Stunden per E-Mail
  • Melden wir den Vorfall innerhalb von 72 Stunden dem EDÖB (Schweiz)
  • Informieren wir zuständige EU-Aufsichtsbehörden, wenn EU-Ansässige betroffen sind
  • Dokumentieren wir den Vorfall und ergreifen umgehend Massnahmen zur Schadensminderung

6. Speicherdauer

6.1 Vom Nutzer konfigurierbare Speicherdauer

  • Optionen: 5 Minuten, 30, 60, 90, 180 oder 365 Tage
  • Standard: 60 Tage
  • Gilt für: Generierungsverlauf, Stellendaten, temporäre Dateien, Daten von Interviewsitzungen
  • Automatische Löschung nach Ablauf der konfigurierten Dauer
  • Die Speicherdauer kann jederzeit in den Kontoeinstellungen geändert werden

6.2 Fest vorgegebene Speicherdauer

  • Einwilligungsnachweise: 3 Jahre (für den Nachweis der Einwilligung gemäss DSGVO/DSG)
  • Sicherheitsprotokolle: 180 Tage
  • E-Mail-Protokolle: 90 Tage
  • Lösch-Auditeinträge: 30 Tage (ohne personenbezogene Inhalte; zur Missbrauchsprävention und Compliance)
  • Missbrauchs-Auditeinträge: 30 Tage
  • Fehlerprotokolle: 30 Tage
  • Ausstehende Checkout-Sitzungen: werden nach Ablauf automatisch bereinigt
  • Zahlungsunterlagen: Transaktionsmetadaten werden von unserem Zahlungsdienstleister (Stripe) gemäss dessen Aufbewahrungsrichtlinien gespeichert

6.3 Kontolöschung

Sie können Ihr Konto jederzeit über die Kontoeinstellungen löschen. Die Löschung erfordert eine mehrsprachige Bestätigung (Eingabe von „DELETE“, „LÖSCHEN“, „ELIMINA“ oder „SUPPRIMER“). Die Löschung erfolgt sofort und ist unwiderruflich – es gibt keine Kulanzfrist und kein Wiederherstellungsfenster. Mit der Bestätigung:

  • Werden alle personenbezogenen Daten unverzüglich dauerhaft gelöscht (Konto, CVs, analysierte Stellenanzeigen, generierte Dokumente, Tracker-Einträge, Interviewsitzungen, Zusammenfassungen, individuelle Vorlagen)
  • Werden aktive Stripe-Abonnements im selben Vorgang gekündigt, so dass keine weiteren Belastungen erfolgen
  • Erhalten Sie eine Bestätigungs-E-Mail zur Löschung
  • Wird ein Lösch-Auditeintrag (ohne personenbezogene Inhalte – lediglich die Tatsache, dass eine Löschung stattfand) 30 Tage lang zu Missbrauchs- und Compliance-Zwecken aufbewahrt
  • Bleiben Abrechnungsdaten und Transaktionsmetadaten bei Stripe gemäss dessen Richtlinien und dem geltenden Steuerrecht gespeichert
  • Können anonymisierte, aggregierte Nutzungsdaten zu Verbesserungszwecken weiterhin aufbewahrt werden
  • Verbleiben bereits in Ihr eigenes Google Drive oder OneDrive synchronisierte Dateien dort; widerrufen Sie bei Bedarf unseren OAuth-Zugang über Ihr Google- bzw. Microsoft-Konto, um auch diese Verbindung zu trennen

Exportieren Sie alles, was Sie behalten möchten, vor der Bestätigung – nach der Löschung kann nichts wiederhergestellt werden.

7. Ihre Datenschutzrechte

7.1 Auskunft und Datenübertragbarkeit

Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu erhalten, Ihre Daten in einem portablen Format herunterzuladen, den Generierungsverlauf einzusehen, Ihre CV-Daten zu exportieren und eine vollständige Kopie aller Ihrer Daten per E-Mail an admin@preparaitor.ch anzufordern.

Hinweis: Die Bearbeitung umfassender Auskunftsersuchen kann bis zu 30 Tage dauern.

7.2 Berichtigung und Aktualisierung

Sie können Ihre Profildaten aktualisieren, unzutreffende Daten berichtigen, Ihre Einstellungen anpassen und Benachrichtigungseinstellungen ändern.

7.3 Löschung

Sie können die Löschung einzelner Dokumente, bestimmter Datenpunkte oder Ihres gesamten Kontos verlangen. Bestimmte Daten können aus rechtlichen Gründen weiter aufbewahrt werden.

7.4 Einschränkung und Widerspruch

Sie können die Verarbeitung Ihrer Daten einschränken, bestimmten Verarbeitungen widersprechen und sich aus Marketingkommunikation abmelden. preparAItor erhebt keine Analysedaten, daher gibt es in dieser Kategorie nichts zu deaktivieren.

7.5 Widerruf der Einwilligung

Sie können Einwilligungen für Marketingkommunikation, nicht zwingend erforderliche Cookies und Werbe-E-Mails widerrufen.

Nicht abwählbar: Zwingend erforderliche Cookies, KI-Verarbeitung (Kernfunktion des Dienstes), Speicherung öffentlicher Stellendaten und grundlegende Nutzungserfassung zu Sicherheits- und Abrechnungszwecken. Diese sind für die Erbringung unseres Dienstes unerlässlich.

8. Cookie-Richtlinie

Geltungsbereich: Diese Cookie-Richtlinie gilt für die Anwendung preparAItor unter app.preparaitor.ch. Die öffentliche Landingpage unter preparaitor.ch setzt keine Cookies und verwendet keine Tracking-Technologien.

preparAItor verwendet ausschliesslich Cookies und lokale Speicher, die für die Erbringung des von Ihnen angeforderten Dienstes unbedingt erforderlich sind. Wir setzen weder Google Analytics, Firebase Analytics, Firebase Performance Monitoring, Werbe-Pixel noch andere Tracking-Tools ein. Es gibt nichts, das Sie aktivieren oder deaktivieren müssten, und keine Einwilligungs-Schalter – denn nichts verfolgt Sie.

8.1 Was wird gespeichert und warum

  • Anmeldung (Firebase Auth, IndexedDB): hält Sie über Browsersitzungen hinweg angemeldet. Wird bei Abmeldung oder Kontolöschung entfernt.
  • Bot-Schutz (reCAPTCHA via Firebase App Check): kurzlebige Tokens und serverseitige Google-Cookies auf google.com/recaptcha zur Abwehr automatisierten Missbrauchs. Für die Funktion der Anwendung erforderlich.
  • Tab-übergreifende Abmeldungs-Signalisierung (localStorage): ein kurzlebiges Flag, damit andere geöffnete Tabs wissen, dass Sie sich in diesem Tab abgemeldet haben.
  • Zahlungsabwicklung (Stripe): Stripe.js setzt eigene Cookies (__stripe_mid, __stripe_sid), jedoch nur während des Checkout-Prozesses und nur auf Seiten, auf denen Sie aktiv bezahlen.
  • Theme, Oberflächensprache und Benutzereinstellungen (localStorage): damit sich die Anwendung Ihr bevorzugtes Farbschema, die Oberflächensprache und gespeicherte Einstellungen zwischen den Besuchen merkt. First Party, niemals übertragen.
  • Bestätigung des Cookie-Hinweises (localStorage): damit der Hinweis nicht bei jedem Besuch erneut erscheint.

Alle oben genannten Punkte fallen unter die Ausnahme „unbedingt erforderlich für einen vom Nutzer angeforderten Dienst“ im Sinne der ePrivacy-Richtlinie, wie sie von CNIL (Frankreich) und der ICO (Grossbritannien) ausgelegt wird.

8.2 Google-Anmeldung

Wenn Sie sich mit Google anmelden, setzt Google während des OAuth-Flows eigene Cookies auf accounts.google.com, basierend auf Googles eigener Datenschutzerklärung. preparAItor kontrolliert diese Cookies nicht und kann sie nicht auslesen. Wer die E-Mail-Anmeldung verwendet, umgeht dies vollständig.

8.3 KI-Verarbeitung ist separat geregelt

Die Verarbeitung Ihrer CV- und Stellendaten durch Google Gemini (Vertex AI) benötigt eine ausdrückliche Einwilligung. Diese wird beim ersten Anmelden über ein blockierendes Dialogfenster eingeholt („AI Processing Consent“-Flow, siehe Abschnitte 3.3 und 4.1), nicht über den Cookie-Hinweis. Der Widerruf erfolgt jederzeit durch Löschung des Kontos – ohne KI-Verarbeitung kann der Kernfunktion des Dienstes nicht erbracht werden.

8.4 Verwaltung

Sie können den Cookie-Hinweis jederzeit erneut aufrufen unter Einstellungen → Präferenzen → Datenschutz → Cookie-Hinweis anzeigen. Da nichts verfolgt wird, gibt es nichts zu deaktivieren. Um lokal Gespeichertes zu entfernen, verwenden Sie die Funktion Websitedaten löschen Ihres Browsers – dies meldet Sie ab und setzt Ihre Theme-/Sprachpräferenzen zurück.

9. Datenschutz für Kinder

Unser Dienst richtet sich nicht an Kinder unter 16 Jahren (gemäss Art. 8 DSGVO). Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten wir feststellen, dass uns ein Kind unter 16 Jahren personenbezogene Daten übermittelt hat, löschen wir diese umgehend.

10. Internationale Datenübermittlungen

10.1 Verarbeitungsstandorte

Primäre Rechenzentren:

  • Firebase-Dienste: europe-west6 (Zürich, Schweiz)
  • KI-Verarbeitung (Google Gemini / Vertex AI): europe-west3 (Frankfurt, Deutschland)
  • Dokumentenerstellung (Cloud Run): europe-west6 (Zürich, Schweiz)
  • Rate-Limiting und KMS: europe-west6 (Zürich, Schweiz)

Verarbeitung durch Dritte:

  • Stripe: Europäische Rechenzentren (primär), ggf. Verarbeitung in den USA
  • Google OAuth/reCAPTCHA: Globale Infrastruktur, nächstgelegenes Rechenzentrum
  • Microsoft OAuth (OneDrive): Europäische Rechenzentren (primär)
  • Brevo E-Mail-Versand: Europäische Rechenzentren

10.2 Garantien für Datenübermittlungen

Für jede Übermittlung personenbezogener Daten ausserhalb der Schweiz oder des EWR setzen wir folgende Garantien um:

  • Standardvertragsklauseln (SCCs): mit allen Auftragsverarbeitern und Unterauftragsverarbeitern abgeschlossen, soweit erforderlich
  • Transfer Impact Assessment (TIA): Wir haben im Einklang mit dem Schrems-II-Urteil (EuGH C-311/18) eine Transfer-Impact-Assessment für alle Datenflüsse zu Auftragsverarbeitern durchgeführt, bei denen eine Verarbeitung ausserhalb des EWR in Betracht kommt. Die Beurteilung berücksichtigt den Rechtsrahmen des Empfängerlandes, ergänzende technische Massnahmen (Verschlüsselung, Pseudonymisierung) sowie die praktische Wahrscheinlichkeit behördlicher Zugriffe auf übermittelte Daten. Die TIA wird jährlich überprüft.
  • Verschlüsselung während der Übertragung (TLS 1.3) und bei der Speicherung (AES-256)
  • Einhaltung der Übermittlungsbestimmungen des DSG und der DSGVO
  • Datenlokalisierung in europäischen Rechenzentren (Zürich, Frankfurt) als Standard
  • Regelmässige Sicherheits- und Compliance-Audits

11. Datenschutzrechte in Kalifornien (CCPA)

Wenn Sie in Kalifornien ansässig sind, haben Sie das Recht zu erfahren, welche personenbezogenen Daten erhoben werden und ob sie verkauft oder offengelegt werden, das Recht, einem Verkauf zu widersprechen, das Recht auf gleichwertigen Dienst zu gleichen Konditionen sowie das Recht auf Löschung personenbezogener Daten. Wir verkaufen keine personenbezogenen Daten an Dritte.

12. Schweizer und europäische Datenschutzrechte (DSG/DSGVO)

12.1 Ihre Rechte

Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung, keine ausschliesslich automatisierte Entscheidungsfindung sowie Beschwerde bei einer Aufsichtsbehörde.

12.2 Rechtsgrundlagen der Verarbeitung

  • Vertragserfüllung: Kontoverwaltung, Leistungserbringung, KI-gestützte Dokumentenerstellung
  • Berechtigtes Interesse: Sicherheit, Betrugsprävention, Dienstverbesserung
  • Einwilligung: Marketingkommunikation, Verbesserung der KI-Modelle (nur anonymisierte Daten)
  • Rechtliche Verpflichtung: Steuerunterlagen, Compliance

12.3 Automatisierte Entscheidungsfindung (Art. 13 Abs. 2 lit. f / Art. 22 DSGVO)

Unser Dienst umfasst automatisierte Verarbeitung in folgenden Formen:

  • Dokumentenerstellung: KI erzeugt automatisch Anschreiben, E-Mails und weitere Bewerbungsunterlagen auf Basis Ihrer CV-Daten und der Stellenbeschreibungen. Dies ist die Kernfunktion des Dienstes und beruht auf Ihrer ausdrücklichen Einwilligung und der Vertragserfüllung.
  • CV-Analyse: KI extrahiert strukturierte Informationen (Kompetenzen, Erfahrung, Ausbildung) aus hochgeladenen CV-Dokumenten.
  • Interviewtraining: KI erzeugt passgenaue Interviewfragen und bewertet Ihre Antworten anhand mehrerer Dimensionen.
  • Hinweise zur Stellenpassung: KI kann auf Basis der Stellenanforderungen relevante Kompetenzen oder Erfahrungslücken hervorheben. Dies ist ausschliesslich informativ und stellt keine verbindliche Entscheidung dar.

Keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung: preparAItor trifft keine Einstellungsentscheidungen, nimmt keine Bewerberauswahl im Auftrag von Arbeitgebern vor und erzeugt keine Ausgaben, die Sie im Sinne von Art. 22 Abs. 1 DSGVO rechtlich oder in ähnlicher Weise erheblich beeinträchtigen. Die KI-Ausgabe ist ein Entwurf zu Ihrer Prüfung.

Ihre Rechte in Bezug auf automatisierte Verarbeitung:

  • Menschliche Überprüfung jeglicher KI-generierter Inhalte verlangen, indem Sie sich an admin@preparaitor.ch
  • Ihren Standpunkt zu KI-generierten Ausgaben darlegen
  • Ausgaben anfechten, die Sie für unrichtig oder unfair halten
  • Eine Erklärung verlangen, wie eine bestimmte Ausgabe zustande kam
  • Wir bemühen uns, Anfragen zur menschlichen Überprüfung innerhalb von 5 Werktagen zu beantworten

12.4 Aufsichtsbehörden

Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, CH-3003 Bern — www.edoeb.admin.ch

EU: Ihre zuständige lokale Datenschutzbehörde.

12.5 Geografischer Anwendungsbereich

preparAItor ist primär für den Schweizer Arbeitsmarkt konzipiert. Bei der Registrierung bestätigen Nutzerinnen und Nutzer, dass sie in der Schweiz ansässig sind oder dass der Dienst primär für den Schweizer Arbeitsmarkt ausgerichtet ist. Wir gewähren allen Nutzenden unabhängig von ihrem Standort Datenschutzrechte, die dem DSG und der DSGVO entsprechen. Nutzerinnen und Nutzer ausserhalb der Schweiz nutzen den Dienst auf eigene Verantwortung und sind für die Einhaltung ihrer lokalen Datenschutzvorschriften selbst zuständig.

Unser Dienst kann Links zu Websites Dritter enthalten. Wir sind nicht verantwortlich für deren Datenschutzpraktiken und empfehlen Ihnen, deren Datenschutzerklärungen zu lesen.

14. Änderungen dieser Datenschutzrichtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Wir werden Sie durch Veröffentlichung der neuen Richtlinie, Aktualisierung des „Zuletzt aktualisiert“-Datums sowie bei wesentlichen Änderungen per E-Mail informieren.

15. Auftragsverarbeitungsnachtrag (DPA)

Geschäftskundinnen und -kunden, die einen DPA benötigen, wenden sich bitte an admin@preparaitor.ch. Unser Standard-DPA enthält DSG- und DSGVO-Konformitätsklauseln, Standardvertragsklauseln, Sicherheitspflichten, Prüfrechte und eine Liste der Unterauftragsverarbeiter.

16. Verzeichnis der Verarbeitungstätigkeiten

Gemäss DSG und Art. 30 DSGVO führen wir ein Verzeichnis sämtlicher Verarbeitungstätigkeiten. Diese Verzeichnisse werden den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

17. Privacy by Design

  • Datensparsamkeit in KI-Prompts: Wir entfernen oder pseudonymisieren personenbezogene Identifikatoren (vollständiger Name, E-Mail, Telefonnummer, Adresse) in KI-Prompts, bevor diese an die Vertex-AI-API gesendet werden. In KI-Anfragen sind nur der fachliche Inhalt Ihres CV (Kompetenzen, Erfahrungsbeschreibungen, Ausbildungsdetails) und der Text der Stellenbeschreibung enthalten.
  • Verschlüsselung standardmässig (Cloud KMS für sensible Felder, HTTPS für die Übertragung)
  • Regelmässige Datenschutz-Folgenabschätzungen
  • Datenschutz-Folgenabschätzung (DSFA): Gemäss Art. 35 DSGVO durchgeführt für unsere KI-basierten CV-Verarbeitungstätigkeiten, die eine umfangreiche Verarbeitung personenbezogener Daten und automatisiertes Profiling umfassen. Die DSFA wird jährlich oder bei wesentlichen Änderungen an der KI-Verarbeitungspipeline überprüft.
  • Sicherheitstests und Audits
  • Trennung personenbezogener Daten von KI-Trainingsdaten
  • Anonymisierung vor jedem KI-Modelltraining

Eine Zusammenfassung unserer DSFA-Ergebnisse wird Aufsichtsbehörden auf Anfrage zur Verfügung gestellt. Die Beurteilung umfasst die Erforderlichkeit und Verhältnismässigkeit der KI-Verarbeitung, Risiken für die betroffenen Personen sowie die umgesetzten Schutzmassnahmen (Verschlüsselung, Datensparsamkeit, Aufbewahrungssteuerung und Rechte auf menschliche Überprüfung).

18. Kontakt

Bei Fragen oder Anliegen zu dieser Datenschutzrichtlinie kontaktieren Sie uns bitte:

Kontakt zum Datenschutz

CHW-Services

Ettenhauserstrasse 46, 8620 Wetzikon, Schweiz

E-Mail: admin@preparaitor.ch

Website: preparaitor.ch

Für Auskunftsersuchen: admin@preparaitor.ch (bis zu 30 Tage Bearbeitungszeit)
Für DSG/DSGVO-Anfragen: admin@preparaitor.ch
Für CCPA-Anfragen: admin@preparaitor.ch

Datenanfragen können Sie auch über Ihre Kontoeinstellungen einreichen.

preparAItor ist ein Dienst der CHW-Services, Ettenhauserstrasse 46, 8620 Wetzikon, Schweiz.

MIT DER NUTZUNG UNSERES DIENSTES BESTÄTIGEN SIE, DASS SIE DIESE DATENSCHUTZRICHTLINIE GELESEN UND VERSTANDEN HABEN.

← Zurück zur Startseite