Datenschutzrichtlinie

1. Einleitung

Willkommen bei preparAItor („Dienst“), betrieben von CHW-Services GmbH („Unternehmen“, „wir“, „uns“ oder „unser“). Wir verpflichten uns, Ihre personenbezogenen Daten und Ihr Recht auf Privatsphäre in Übereinstimmung mit dem schweizerischen Datenschutzgesetz (DSG), der EU-Datenschutz-Grundverordnung (DSGVO) und der EU-Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689) zu schützen.

Diese Datenschutzrichtlinie erläutert, wie wir Ihre Daten erheben, verwenden, offenlegen und schützen, wenn Sie unseren Dienst nutzen. Wenn Sie mit dieser Datenschutzrichtlinie nicht einverstanden sind, nutzen Sie den Dienst bitte nicht.

Verantwortliche Stelle: CHW-Services GmbH ist die verantwortliche Stelle für alle personenbezogenen Daten, die über den Dienst preparAItor verarbeitet werden. Das bedeutet, dass wir die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten festlegen. Unsere Unterauftragsverarbeiter (aufgeführt unter Unterauftragsverarbeiter) handeln als Auftragsverarbeiter in unserem Auftrag und verarbeiten Daten ausschliesslich nach unseren dokumentierten Weisungen.

2. Erhobene Daten

2.1 Von Ihnen bereitgestellte personenbezogene Daten

Kontoregistrierung:

• E-Mail-Adresse (erforderlich)
• Passwort (verschlüsselt)
• Anzeigename
• Vor- und Nachname
• Sprach- und Zeitzoneneinstellungen
• Altersbestätigung
• Zustimmung zu den Nutzungsbedingungen

Profildaten:

• Beruflicher Kurzprofil
• Kontaktangaben (Telefon, LinkedIn, GitHub, Portfolio-URLs)
• Ortsangaben (Stadt, Land, Postleitzahl)

Benutzereinstellungen:

• Farbschema (hell/dunkel)
• Oberflächen- und Dokumentensprache (DE, EN, FR, IT)
• Tonalitätspräferenz für Dokumente (formal, selbstbewusst, freundlich)
• Schweizer Schreibweise (ss statt ß)
• Aufbewahrungsdauer (Generierungsverlauf: 1, 7 oder 30 Tage; Interview-Sessions: 30, 90 oder 180 Tage; Bewerbungstracker-Einträge werden für 365 Tage aufbewahrt)
• E-Mail- und In-App-Benachrichtigungseinstellungen
• Formatpräferenzen für Sammel-Downloads (PDF-Dokumente, editierbare Word-Dokumente, reine Textdateien)

Lebenslauf-/CV-Daten:

• Berufserfahrung (Unternehmen, Positionen, Zeiträume, Beschreibungen)
• Ausbildung (Institutionen, Abschlüsse, Studienrichtungen, Zeiträume)
• Kompetenzen und Fähigkeiten (Hard und Soft Skills)
• Projekte und Erfolge
• Sprachen und Sprachniveau
• Referenzen (sofern angegeben)
• Rohtext aus der CV-Analyse
• Dateimetadaten (Name, Typ, Grösse, Upload-Datum, Analyse-Version)

Bewerbungsdaten:

• Stellenbezeichnungen und -beschreibungen
• Unternehmensinformationen
• Anforderungsprofile
• Bewerbungsfristen

Daten zum Interviewtraining:

• Transkripte von Interviewsitzungen (verschlüsselt gespeichert)
• KI-generierte Interviewfragen und Antworten
• Audiodaten der Voice-Interview-Funktion (transient): Bei Nutzung der Voice-Interview-Funktion wird Ihre Mikrofon-Audio in Echtzeit zur Spracherkennung an Google Vertex AI gestreamt und nicht gespeichert — nur das daraus resultierende verschlüsselte Transkript wird aufbewahrt
• Sitzungsmetadaten und Zeitstempel

Zahlungsdaten:

• Stripe-Kunden-ID
• Abonnementdetails
• Transaktionshistorie
• Rechnungsadresse (sofern angegeben)
• Hinweis: Wir speichern weder Kreditkartennummern noch Bankdaten direkt

Cloud-Synchronisationseinstellungen:

• Verbindungsstatus zu Google Drive und OAuth-Tokens (verschlüsselt)
• Verbindungsstatus zu OneDrive und OAuth-Tokens (verschlüsselt)

2.2 Automatisch erhobene Daten

Geräte- und Browser-Informationen:

• IP-Adresse, Browsertyp und -version, Bildschirmauflösung, Betriebssystem
• Spracheinstellungen, Zeitzone, Cookie- und JavaScript-Status
• Geräte-/Browser-Fingerabdruck (eine gehashte Visitor-ID, die Canvas-, Audio-, Schriftarten-, Zeitzonen- und ähnliche Browser-API-Signale kombiniert) — wird lokal in Ihrem Browser mit der Open-Source-Bibliothek FingerprintJS berechnet und für Registrierungs-Drosselung, Missbrauchsprävention und nachgelagerte Missbrauchscluster-Erkennung verwendet
• WebGL-Unterstützung — zur Kompatibilitätsprüfung
• Touch-Fähigkeit — zur Optimierung der Benutzeroberfläche

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 1 lit. c DSG) an Betrugsprävention, Verhinderung des Missbrauchs kostenloser Credits, Wiederherstellung von Missbrauchsschutz-Limiten nach Löschung und Neuregistrierung sowie Sicherstellung der Dienstkompatibilität. Der Geräte-Fingerabdruck wird vollständig in Ihrem Browser berechnet und nicht an Dritte übermittelt — lediglich die daraus resultierende gehashte Visitor-ID wird an unsere Server gesendet. Wir speichern begrenzte Registrierungs-Sicherheitsmetadaten wie gehashte Visitor-ID, IP-Adresse, User-Agent, Zeitzone/Sprache und Anmeldeanbieter zur Missbrauchsuntersuchung und Prüfung der Konto-Integrität.

Nutzungsinformationen:

• Besuchte Seiten, genutzte Funktionen, Generierungsverlauf
• Klickverhalten, Formularinteraktions-Zeiten, Sitzungsdauer
• Fehlerprotokolle

Authentifizierung und Sicherheit:

• Anmeldezeitpunkte, letzte Aktivität, Sicherheitsereignisse
• reCAPTCHA-Bewertungen, App-Check-Tokens

Bestätigung des Cookie-Hinweises:

• Versionsnummer des Hinweises, Zeitstempel und ID (UUID)
• Wird ausschliesslich im Browser-localStorage gespeichert, damit der Hinweis nicht bei jedem Besuch erneut erscheint

2.3 Daten von Dritten

OAuth-Anbieter (Google): E-Mail-Adresse, Anzeigename, URL des Profilbilds.

OAuth-Anbieter (Microsoft): E-Mail-Adresse, Anzeigename, OneDrive-Zugriffsrechte.

Zahlungsdienstleister (Stripe): Zahlungsbestätigung, Abonnementstatus, Transaktionsdetails.

3. Verwendung Ihrer Daten

3.1 Leistungserbringung (Rechtsgrundlage: Vertragserfüllung)

• Erstellen und Verwalten Ihres Kontos
• Verarbeitung Ihrer CV- und Stelleninformationen durch KI-Systeme
• Erstellung massgeschneiderter Bewerbungsunterlagen mittels KI
• Speicherung Ihrer Dokumente und Vorlagen
• Verfolgung Ihrer Nutzung und Credits
• Web-Suchen zur Anreicherung von Unternehmensinformationen
• Durchführung von Interviewtraining-Sitzungen mit KI-generierten Fragen

3.2 Verbesserung des Dienstes (Rechtsgrundlage: berechtigtes Interesse)

• Analyse von Nutzungsmustern
• Verbesserung der KI-Modellgenauigkeit (ausschliesslich mit anonymisierten Daten)
• Entwicklung neuer Funktionen, Fehlerbehebung, Leistungsoptimierung

3.3 KI-Verarbeitung

Wir setzen künstliche Intelligenz (Google-Gemini-Modelle via Vertex AI auf Google Cloud) ein, um:

• Ihren CV und Stellenbeschreibungen zu verarbeiten und zu analysieren
• massgeschneiderte Bewerbungsunterlagen zu erstellen
• Web-Suchen zur Anreicherung von Unternehmensinformationen durchzuführen
• relevante Informationen aus Stellenanzeigen zu extrahieren
• auf die Stellenanforderungen zugeschnittene Interviewfragen zu erzeugen
• Antworten von Kandidatinnen und Kandidaten während Interviewsitzungen zu analysieren

Wichtig: Die KI-Verarbeitung ist darauf beschränkt, Inhalte für Ihre Prüfung zu generieren, zu extrahieren, zu strukturieren und vorzuschlagen. Sie trifft keine Entscheidungen über Sie. Sie können eine menschliche Überprüfung KI-generierter Inhalte verlangen (siehe Abschnitt 12.3). Google verwendet Ihre via Vertex AI übermittelten Daten nicht, um seine Foundation-Modelle zu trainieren, wie im Google Cloud Data Processing Addendum bestätigt wird.

Nutzergesteuerte Datenminimierung: Sie steuern, welche personenbezogenen Daten Sie für die KI-Verarbeitung bereitstellen. Wenn Sie den Dienst nutzen möchten, ohne direkte Identifikatoren oder sensible persönliche Angaben wie Ihren echten Vornamen, Nachnamen, Ihre E-Mail-Adresse, Postadresse, Ihr Geburtsdatum oder ähnliche Informationen zu teilen, entfernen oder ersetzen Sie diese vor dem Upload in Ihrem CV und verwenden Sie Platzhalter in Ihren Profilinformationen. Wenn DOCX-Ausgaben für Sie verfügbar sind, können Sie heruntergeladene Dokumente lokal anpassen, bevor Sie sie versenden. Dasselbe gilt für das Interviewtraining: Wenn Sie während einer Sitzung keine personenbezogenen Identifikatoren nennen, werden diese nicht Teil der KI-Anfrage. Für sinnvolle Ergebnisse müssen CV- und Stellendaten jedoch weiterhin die für die Aufgabe erforderlichen beruflichen Informationen enthalten, etwa Berufserfahrung, Ausbildung, Kompetenzen, Projekte und relevante Erfahrung.

3.4 Transparenz gemäss EU-KI-Verordnung (Verordnung (EU) 2024/1689, Artikel 50)

In Übereinstimmung mit der EU-Verordnung über künstliche Intelligenz legen wir Folgendes offen:

• Zweck des KI-Systems: preparAItor nutzt KI, um Bewerbungsunterlagen (Anschreiben, E-Mails, Interview-Fragen & Antworten, Stellenzusammenfassungen) zu erstellen und KI-gestützte Interviewsitzungen auf Basis der von Ihnen bereitgestellten CV-Daten und Stellenbeschreibungen durchzuführen.
• KI-Anbieter und Modelle: Wir verwenden Google-Gemini-Modelle, die über die Vertex-AI-API (Google Cloud) angesprochen werden. Die KI-Verarbeitung erfolgt in europe-west3 (Frankfurt, Deutschland).
• KI-generierte Inhalte: Alle von unserem Dienst erzeugten Dokumente werden durch KI erstellt und sind in der Anwendungsoberfläche als solche gekennzeichnet. Nutzerinnen und Nutzer sind dafür verantwortlich, KI-generierte Inhalte vor der Übermittlung an potenzielle Arbeitgeber zu prüfen und zu bearbeiten.
• Nutzerkontrolle: Unser KI-System ist ein Werkzeug zur Inhaltserstellung und Formulierung. Es trifft keine Entscheidungen über Sie, bestimmt nicht Ihre Eignung für eine Stelle, trifft keine Einstellungsentscheidungen und ersetzt nicht Ihr Urteil. Sie behalten die vollständige Kontrolle darüber, ob Sie KI-generierte Ausgaben übernehmen, verändern oder verwerfen.
• Risikoklassifizierung: preparAItor ist kein Hochrisiko-KI-System nach Anhang III der EU-KI-Verordnung. Es handelt sich um ein nutzerorientiertes Produktivitätswerkzeug zur Dokumentenerstellung; es führt keine Rekrutierung, Bewerberauswahl, Rangordnung, Bewertung oder automatische Filterung im Auftrag von Arbeitgebern durch.
• Einschränkungen: KI-generierte Inhalte können Ungenauigkeiten, Fehlinterpretationen des Kontexts oder veraltete Informationen aus Web-Suchen enthalten. Siehe unsere Nutzungsbedingungen Abschnitt 10.1 für vollständige Haftungsausschlüsse.

3.5 Kommunikation

• Versand von dienstbezogenen E-Mails (Kontobestätigung, Passwort-Reset, Benachrichtigungen zu fertigen Dokumenten)
• Benachrichtigungen zu Kontoaktivitäten
• Kundenservice
• Zahlungsbenachrichtigungen
• Warnmeldungen bei Sicherheitsvorfällen

3.6 Geschäftsbetrieb

• Zahlungsabwicklung, Prävention von Betrug und Missbrauch
• Durchsetzung unserer Nutzungsbedingungen
• Erfüllung gesetzlicher Verpflichtungen

3.7 Marketing (mit Einwilligung)

• Versand von Werbe-E-Mails, Informationen zu neuen Funktionen
• Tipps und Best Practices, Durchführung von Nutzerumfragen

4. Weitergabe Ihrer Daten

4.1 Dienstleister

Firebase (Google): Benutzer-Authentifizierung, Datenbankspeicherung (Firestore), Dateispeicherung (Cloud Storage), App Check. preparAItor verwendet kein Firebase Analytics und kein Firebase Performance Monitoring. Standort: europe-west6 (Zürich, Schweiz).

Google Vertex AI (Google Cloud): Dokumentenerstellung mit Google-Gemini-Modellen, Inhaltsanalyse, Web-Suche zur Unternehmensanreicherung (Grounding), Generierung von Interviewfragen und Analyse der Antworten. Standort: europe-west3 (Frankfurt, Deutschland). Google verwendet Ihre Daten nicht, um seine KI-Modelle zu trainieren. Gemäss dem Google Cloud Data Processing Addendum und den Vertex AI Service Specific Terms werden über die Vertex-AI-API übermittelte Kundendaten nicht zur Verbesserung oder zum Training der Foundation-Modelle von Google verwendet. KI-Anfragen werden aus den von Nutzenden übermittelten CV-, Stellen- und Interviewinhalten erstellt, die für die gewählte Funktion erforderlich sind; Identifikatoren können enthalten sein, wenn sie für das angeforderte Dokument oder Ergebnis erforderlich sind.

Google Cloud KMS: Feldbasierte Verschlüsselung für sensible Inhalte, soweit KMS-gestützte Verschlüsselung eingesetzt wird, etwa CV-Inhalte und Interviewdaten. OAuth-Tokens werden separat mit AES-256-GCM und einem als Secret verwalteten Anwendungsschlüssel verschlüsselt. Standort: europe-west6 (Zürich, Schweiz).

Google Drive: Cloud-Synchronisation generierter Dokumente (nur bei ausdrücklicher Aktivierung durch den Nutzer).

Microsoft OneDrive: Cloud-Synchronisation generierter Dokumente (nur bei ausdrücklicher Aktivierung durch den Nutzer).

Stripe: Zahlungsabwicklung, Abonnementverwaltung, Zugang zum Kundenportal, Transaktionsnachweise. Stripe handelt als eigenständige verantwortliche Stelle für die von ihm verarbeiteten Zahlungsdaten.

Brevo (früher Sendinblue): Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Reset, Zahlungshinweise). Marketing-E-Mails nur mit ausdrücklicher Einwilligung. CV- oder Dokumenteninhalte werden nicht per E-Mail versendet.

reCAPTCHA (Google): Bot-Erkennung und Sicherheitsbewertung.

4.2 Gesetzliche Anforderungen

Wir können Ihre Daten offenlegen, sofern dies gesetzlich vorgeschrieben ist, etwa aufgrund gerichtlicher Anordnungen, behördlicher Anfragen, Strafverfolgungsmassnahmen und Gerichtsverfahren.

4.3 Unternehmensübertragungen

Im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten können Ihre Daten im Rahmen der Transaktion übertragen werden.

4.4 Aggregierte Daten

Wir können aggregierte, anonymisierte Daten, die Sie nicht identifizieren, zu Forschungs- oder Verbesserungszwecken mit Dritten teilen.

4.5 Ihre Einwilligung

Mit Ihrer ausdrücklichen Einwilligung können wir Ihre Daten zu bestimmten Zwecken weitergeben.

5. Datensicherheit

5.1 Sicherheitsmassnahmen

• HTTPS-/TLS-Verschlüsselung für alle Datenübertragungen (HSTS erzwungen)
• Feldbasierte Verschlüsselung mit AES-256-GCM für sensible Inhalte wie CV-Inhalte und Interviewdaten; die Schlüssel werden durch Google Cloud KMS verwaltet, soweit KMS-gestützte Verschlüsselung eingesetzt wird
• Firebase Authentication zur sicheren Passwortverarbeitung und Sitzungsverwaltung
• Firebase-Sicherheitsregeln mit rollenbasierter Zugriffskontrolle
• Firebase App Check – API-Schutz mittels reCAPTCHA Enterprise
• Ruheverschlüsselte OAuth-Tokens (AES-256-GCM) mit nutzergebundenen authentifizierten Daten und einem als Secret verwalteten Anwendungsschlüssel
• Strikte Content Security Policy und Browser-Sicherheitsheader, einschliesslich expliziter frame-ancestors-Whitelist und X-Content-Type-Options
• Regelmässige Sicherheitsaudits
• Geografische Einschränkungen auf europäische Rechenzentren, soweit möglich
• Ruheverschlüsselung in allen Rechenzentren
• Rate-Limiting und Schutz vor Missbrauch auf allen API-Endpunkten

5.2 Reaktion auf Datenschutzverletzungen

Im Falle einer Datenschutzverletzung:

• Benachrichtigen wir betroffene Nutzerinnen und Nutzer innerhalb von 72 Stunden per E-Mail
• Melden wir den Vorfall innerhalb von 72 Stunden dem EDÖB (Schweiz)
• Informieren wir zuständige EU-Aufsichtsbehörden, wenn EU-Ansässige betroffen sind
• Dokumentieren wir den Vorfall und ergreifen umgehend Massnahmen zur Schadensminderung

6. Speicherdauer

6.1 Vom Nutzer konfigurierbare Speicherdauer

• Generierungsverlauf (Anschreiben, E-Mails, erzeugte Dokumente): 1, 7 oder 30 Tage — Standard 30 Tage, maximal 30 Tage
• Interview-Sessions (Transkripte, Zusammenfassungen): 30, 90 oder 180 Tage — Standard 90 Tage, maximal 180 Tage
• Bewerbungstracker-Einträge: feste Aufbewahrung von 365 Tagen ab Import (nicht vom Nutzer einstellbar)
• Temporäre Upload-Daten (rohe CV-/Job-PDFs): werden innerhalb von Minuten nach der Verarbeitung gelöscht; spätestens innerhalb 1 Stunde durch einen automatisierten Sweep und innerhalb 1 Tag durch Speicher-Lifecycle-Regeln
• Automatische Löschung nach Ablauf der konfigurierten Dauer
• Aufbewahrungsdauer für Generierungsverlauf und Interview-Sessions kann jederzeit in den Kontoeinstellungen geändert werden

6.2 Fest vorgegebene Speicherdauer

• Einwilligungsnachweise: werden während des Bestehens des Kontos und grundsätzlich bis zu 3 Jahre nach Kontolöschung aufbewahrt, soweit dies für Nachweis- und Rechenschaftspflichten nach DSGVO/DSG erforderlich ist
• Sicherheitsprotokolle: 180 Tage
• E-Mail-Protokolle: 90 Tage
• Lösch-Auditeinträge: 90 Tage; diese können Konto-E-Mail, IP-Adresse und User-Agent der anfragenden Person, Löschzeitpunkte, Löschzusammenfassung und gegebenenfalls Stripe-Kunden-ID enthalten
• Anti-Missbrauchs-Datensätze nach Kontolöschung: 180 Tage; diese können E-Mail, Google-Nutzer-ID, gegebenenfalls Stripe-Kunden-ID, frühere Nutzungs-/Credit-Snapshots, IP-Adresse, User-Agent und Hinweise auf verdächtige Muster enthalten
• Registrierungs-Sicherheitsmetadaten zur Missbrauchscluster-Erkennung: werden als Konto-Sicherheitsmetadaten aufbewahrt und unterliegen nicht der Aufbewahrung des Generierungsverlaufs
• Fehlerprotokolle: 30 Tage
• Ausstehende Checkout-Sitzungen: werden nach Ablauf automatisch bereinigt
• Zahlungsunterlagen: Transaktionsmetadaten werden von unserem Zahlungsdienstleister (Stripe) gemäss dessen Aufbewahrungsrichtlinien gespeichert

6.3 Kontolöschung

Sie können Ihr Konto jederzeit über die Kontoeinstellungen löschen. Die Löschung erfordert eine mehrsprachige Bestätigung (Eingabe von „DELETE“, „LÖSCHEN“, „ELIMINA“ oder „SUPPRIMER“). Die Löschung erfolgt sofort und ist unwiderruflich – es gibt keine Kulanzfrist und kein Wiederherstellungsfenster. Mit der Bestätigung:

• Werden zentrale Kontoinhalte unverzüglich dauerhaft gelöscht (Kontoprofil, CVs, analysierte Stellenanzeigen, generierte Dokumente, Tracker-Einträge, Interviewsitzungen, Zusammenfassungen, individuelle Vorlagen), vorbehaltlich der in dieser Datenschutzerklärung beschriebenen begrenzten Compliance-, Abrechnungs-, Sicherheits- und Anti-Missbrauchs-Datensätze
• Werden aktive Stripe-Abonnements im selben Vorgang gekündigt, so dass keine weiteren Belastungen erfolgen
• Erhalten Sie eine Bestätigungs-E-Mail zur Löschung
• Wird ein Lösch-Auditeintrag 90 Tage lang aufbewahrt; dieser kann Konto-E-Mail, IP-Adresse und User-Agent der anfragenden Person, Löschzeitpunkte, Löschzusammenfassung und gegebenenfalls Stripe-Kunden-ID enthalten
• Werden Anti-Missbrauchs-Datensätze nach Kontolöschung 180 Tage lang aufbewahrt, um wiederholten Missbrauch von kostenlosen Credits oder lebenslangen Interview-Sessions durch Lösch- und Neuregistrierungszyklen zu verhindern
• Können Einwilligungsnachweise zu Compliance-Zwecken aufbewahrt werden; Registrierungs-Sicherheitsmetadaten können für Konto-Integrität und Missbrauchscluster-Untersuchungen verfügbar bleiben
• Bleiben Abrechnungsdaten und Transaktionsmetadaten bei Stripe gemäss dessen Richtlinien und dem geltenden Steuerrecht gespeichert
• Können anonymisierte, aggregierte Nutzungsdaten zu Verbesserungszwecken weiterhin aufbewahrt werden
• Verbleiben bereits in Ihr eigenes Google Drive oder OneDrive synchronisierte Dateien dort; widerrufen Sie bei Bedarf unseren OAuth-Zugang über Ihr Google- bzw. Microsoft-Konto, um auch diese Verbindung zu trennen

Exportieren Sie alles, was Sie behalten möchten, vor der Bestätigung – nach der Löschung kann nichts wiederhergestellt werden.

7. Ihre Datenschutzrechte

7.1 Auskunft und Datenübertragbarkeit

Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu erhalten, Ihre Daten in einem portablen Format herunterzuladen, den Generierungsverlauf einzusehen, Ihre CV-Daten zu exportieren und eine vollständige Kopie aller Ihrer Daten per E-Mail an admin@preparaitor.ch anzufordern.

Hinweis: Die Bearbeitung umfassender Auskunftsersuchen kann bis zu 30 Tage dauern.

7.2 Berichtigung und Aktualisierung

Sie können Ihre Profildaten aktualisieren, unzutreffende Daten berichtigen, Ihre Einstellungen anpassen und Benachrichtigungseinstellungen ändern.

7.3 Löschung

Sie können die Löschung einzelner Dokumente, bestimmter Datenpunkte oder Ihres gesamten Kontos verlangen. Bestimmte Daten können aus rechtlichen Gründen weiter aufbewahrt werden.

7.4 Einschränkung und Widerspruch

Sie können die Verarbeitung Ihrer Daten einschränken, bestimmten Verarbeitungen widersprechen und sich aus Marketingkommunikation abmelden. preparAItor erhebt keine Analysedaten, daher gibt es in dieser Kategorie nichts zu deaktivieren.

7.5 Widerruf der Einwilligung

Sie können Einwilligungen für Marketingkommunikation, nicht zwingend erforderliche Cookies und Werbe-E-Mails widerrufen.

Nicht abwählbar: Zwingend erforderliche Cookies, KI-Verarbeitung (Kernfunktion des Dienstes), Speicherung öffentlicher Stellendaten und grundlegende Nutzungserfassung zu Sicherheits- und Abrechnungszwecken. Diese sind für die Erbringung unseres Dienstes unerlässlich.

8. Cookie-Richtlinie

Geltungsbereich: Diese Cookie-Richtlinie gilt für die Anwendung preparAItor unter app.preparaitor.ch. Die öffentliche Landingpage unter preparaitor.ch setzt keine Cookies und verwendet keine Tracking-Technologien.

preparAItor verwendet ausschliesslich Cookies und lokale Speicher, die für die Erbringung des von Ihnen angeforderten Dienstes unbedingt erforderlich sind. Wir setzen weder Google Analytics, Firebase Analytics, Firebase Performance Monitoring, Werbe-Pixel noch andere Tracking-Tools ein. Es gibt nichts, das Sie aktivieren oder deaktivieren müssten, und keine Einwilligungs-Schalter – denn nichts verfolgt Sie.

8.1 Was wird gespeichert und warum

• Anmeldung (Firebase Auth, IndexedDB): hält Sie über Browsersitzungen hinweg angemeldet. Wird bei Abmeldung oder Kontolöschung entfernt.
• Bot-Schutz (reCAPTCHA via Firebase App Check): kurzlebige Tokens und serverseitige Google-Cookies auf google.com/recaptcha zur Abwehr automatisierten Missbrauchs. Für die Funktion der Anwendung erforderlich.
• Tab-übergreifende Abmeldungs-Signalisierung (localStorage): ein kurzlebiges Flag, damit andere geöffnete Tabs wissen, dass Sie sich in diesem Tab abgemeldet haben.
• Zahlungsabwicklung (Stripe): Stripe.js setzt eigene Cookies (__stripe_mid, __stripe_sid), jedoch nur während des Checkout-Prozesses und nur auf Seiten, auf denen Sie aktiv bezahlen.
• Theme, Oberflächensprache und Benutzereinstellungen (localStorage): damit sich die Anwendung Ihr bevorzugtes Farbschema, die Oberflächensprache und gespeicherte Einstellungen zwischen den Besuchen merkt. First Party, niemals übertragen.
• Bestätigung des Cookie-Hinweises (localStorage): damit der Hinweis nicht bei jedem Besuch erneut erscheint.

Alle oben genannten Punkte fallen unter die Ausnahme „unbedingt erforderlich für einen vom Nutzer angeforderten Dienst“ im Sinne der ePrivacy-Richtlinie, wie sie von CNIL (Frankreich) und der ICO (Grossbritannien) ausgelegt wird.

8.2 Google-Anmeldung

Wenn Sie sich mit Google anmelden, setzt Google während des OAuth-Flows eigene Cookies auf accounts.google.com, basierend auf Googles eigener Datenschutzerklärung. preparAItor kontrolliert diese Cookies nicht und kann sie nicht auslesen. Wer die E-Mail-Anmeldung verwendet, umgeht dies vollständig.

8.3 Einwilligung in die KI-Verarbeitung

Die Verarbeitung Ihres Lebenslaufs, der Stellenbeschreibungen und der Inhalte aus dem Interview-Training durch Google Gemini (Vertex AI) erfordert eine ausdrückliche Einwilligung. Mit der Annahme dieser Datenschutzerklärung bei der Registrierung erteilen Sie diese Einwilligung – es gibt kein separates KI-Einwilligungs-Dialogfenster, und der Cookie-Hinweis deckt sie nicht ab. Der vollständige Umfang der KI-Verarbeitung (Zwecke, Modelle, Region, Transparenzpflichten nach EU-KI-Verordnung, Zweckbindung sowie die vertragliche Zusicherung von Google nach den Vertex-AI-Servicebedingungen, Ihre Daten nicht zum Training der Modelle zu verwenden) ist in den Abschnitten 3.3, 3.4 und 4.1 dieser Datenschutzerklärung geregelt. Sie können Ihre Einwilligung jederzeit durch Löschen Ihres Kontos widerrufen; ohne KI-Verarbeitung kann die Kernfunktion des Dienstes nicht erbracht werden.

8.4 Verwaltung

Sie können den Cookie-Hinweis jederzeit erneut aufrufen unter Einstellungen → Präferenzen → Datenschutz → Cookie-Hinweis anzeigen. Da nichts verfolgt wird, gibt es nichts zu deaktivieren. Um lokal Gespeichertes zu entfernen, verwenden Sie die Funktion Websitedaten löschen Ihres Browsers – dies meldet Sie ab und setzt Ihre Theme-/Sprachpräferenzen zurück.

9. Datenschutz für Kinder

Unser Dienst richtet sich nicht an Kinder unter 16 Jahren (gemäss Art. 8 DSGVO). Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten wir feststellen, dass uns ein Kind unter 16 Jahren personenbezogene Daten übermittelt hat, löschen wir diese umgehend.

10. Internationale Datenübermittlungen

10.1 Verarbeitungsstandorte

Primäre Rechenzentren:

• Firebase-Dienste: europe-west6 (Zürich, Schweiz)
• KI-Verarbeitung (Google Gemini / Vertex AI): europe-west3 (Frankfurt, Deutschland)
• Dokumentenerstellung (Cloud Run): europe-west6 (Zürich, Schweiz)
• Rate-Limiting und KMS: europe-west6 (Zürich, Schweiz)

Verarbeitung durch Dritte:

• Stripe: Europäische Rechenzentren (primär), ggf. Verarbeitung in den USA
• Google OAuth/reCAPTCHA: Globale Infrastruktur, nächstgelegenes Rechenzentrum
• Microsoft OAuth (OneDrive): Europäische Rechenzentren (primär)
• Brevo E-Mail-Versand: Europäische Rechenzentren

10.2 Garantien für Datenübermittlungen

Für jede Übermittlung personenbezogener Daten ausserhalb der Schweiz oder des EWR setzen wir folgende Garantien um:

• Standardvertragsklauseln (SCCs): mit allen Auftragsverarbeitern und Unterauftragsverarbeitern abgeschlossen, soweit erforderlich
• Transfer Impact Assessment (TIA): Wir haben im Einklang mit dem Schrems-II-Urteil (EuGH C-311/18) eine Transfer-Impact-Assessment für alle Datenflüsse zu Auftragsverarbeitern durchgeführt, bei denen eine Verarbeitung ausserhalb des EWR in Betracht kommt. Die Beurteilung berücksichtigt den Rechtsrahmen des Empfängerlandes, ergänzende technische Massnahmen (Verschlüsselung, Pseudonymisierung) sowie die praktische Wahrscheinlichkeit behördlicher Zugriffe auf übermittelte Daten. Die TIA wird jährlich überprüft.
• Verschlüsselung während der Übertragung (TLS 1.3) und bei der Speicherung (AES-256)
• Einhaltung der Übermittlungsbestimmungen des DSG und der DSGVO
• Datenlokalisierung in europäischen Rechenzentren (Zürich, Frankfurt) als Standard
• Regelmässige Sicherheits- und Compliance-Audits

11. Datenschutzrechte in Kalifornien (CCPA)

Wenn Sie in Kalifornien ansässig sind, haben Sie das Recht zu erfahren, welche personenbezogenen Daten erhoben werden und ob sie verkauft oder offengelegt werden, das Recht, einem Verkauf zu widersprechen, das Recht auf gleichwertigen Dienst zu gleichen Konditionen sowie das Recht auf Löschung personenbezogener Daten. Wir verkaufen keine personenbezogenen Daten an Dritte.

12. Schweizer und europäische Datenschutzrechte (DSG/DSGVO)

12.1 Ihre Rechte

Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, soweit anwendbar, sowie Beschwerde bei einer Aufsichtsbehörde.

12.2 Rechtsgrundlagen der Verarbeitung

• Vertragserfüllung: Kontoverwaltung, Leistungserbringung, KI-gestützte Dokumentenerstellung
• Berechtigtes Interesse: Sicherheit, Betrugsprävention, Dienstverbesserung
• Einwilligung: Marketingkommunikation, Verbesserung der KI-Modelle (nur anonymisierte Daten)
• Rechtliche Verpflichtung: Steuerunterlagen, Compliance

12.3 KI-gestützte Verarbeitung und keine automatisierte Entscheidungsfindung (Art. 13 Abs. 2 lit. f / Art. 22 DSGVO)

Unser Dienst nutzt automatisierte Verarbeitung, um Inhalte für Sie zu generieren und zu strukturieren. Diese Verarbeitung trifft keine Entscheidungen über Sie. Dazu gehören:

• Dokumentenerstellung: KI erzeugt Entwürfe für Anschreiben, E-Mails und weitere Bewerbungsunterlagen auf Basis Ihrer CV-Daten und der Stellenbeschreibungen. Dies ist die Kernfunktion des Dienstes und beruht auf Ihrer ausdrücklichen Einwilligung und der Vertragserfüllung.
• CV-Analyse: KI extrahiert strukturierte Informationen (Kompetenzen, Erfahrung, Ausbildung) aus hochgeladenen CV-Dokumenten, damit Sie diese prüfen, korrigieren und wiederverwenden können.
• Interviewtraining: KI erzeugt passgenaue Interviewfragen und gibt Feedback zu Ihren Antworten für die Selbstvorbereitung. Sie bewertet nicht Ihre Beschäftigungsfähigkeit und entscheidet über kein Ergebnis.
• Hinweise zur Stellenpassung: KI kann auf Basis der Stellenanforderungen relevante Kompetenzen oder mögliche Erfahrungslücken hervorheben. Dies sind ausschliesslich informative Hinweise für Ihre Prüfung und keine verbindliche Entscheidung.

Keine automatisierte Entscheidungsfindung: preparAItor trifft keine Entscheidungen über Sie, keine Einstellungsentscheidungen, lehnt keine Bewerbungen ab, ordnet oder bewertet keine Kandidatinnen und Kandidaten für Arbeitgeber, nimmt keine Bewerberauswahl im Auftrag von Arbeitgebern vor und sendet keine automatisierten Entscheidungen an Dritte. Die KI-Ausgabe ist Inhalt, den Sie prüfen, bearbeiten, verwenden oder verwerfen können. Sie hat keine rechtlichen oder ähnlich erheblichen Wirkungen im Sinne von Art. 22 Abs. 1 DSGVO.

Ihre Kontrollmöglichkeiten für KI-generierte Inhalte:

• Menschliche Überprüfung jeglicher KI-generierter Inhalte verlangen, indem Sie sich an admin@preparaitor.ch
• Feedback zu KI-generierten Ausgaben geben
• Ausgaben melden, die Sie für unrichtig, voreingenommen oder unfair halten
• Eine Erklärung verlangen, wie eine bestimmte Ausgabe zustande kam
• Gegebenenfalls eine Korrektur oder erneute Generierung verlangen
• Wir bemühen uns, Anfragen zur menschlichen Überprüfung innerhalb von 5 Werktagen zu beantworten

12.4 Aufsichtsbehörden

Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, CH-3003 Bern — www.edoeb.admin.ch

EU: Ihre zuständige lokale Datenschutzbehörde. Ein Verzeichnis der Aufsichtsbehörden in der EU/EWR wird vom Europäischen Datenschutzausschuss geführt (edpb.europa.eu/about-edpb/about-edpb/members_en).

12.5 Geografischer Anwendungsbereich

preparAItor ist primär für den Schweizer Arbeitsmarkt konzipiert. Bei der Registrierung bestätigen Nutzerinnen und Nutzer, dass sie in der Schweiz ansässig sind oder dass der Dienst primär für den Schweizer Arbeitsmarkt ausgerichtet ist. Wir gewähren allen Nutzenden unabhängig von ihrem Standort Datenschutzrechte, die dem DSG und der DSGVO entsprechen. Nutzerinnen und Nutzer ausserhalb der Schweiz nutzen den Dienst auf eigene Verantwortung und sind für die Einhaltung ihrer lokalen Datenschutzvorschriften selbst zuständig.

13. Links zu Dritten

Unser Dienst kann Links zu Websites Dritter enthalten. Wir sind nicht verantwortlich für deren Datenschutzpraktiken und empfehlen Ihnen, deren Datenschutzerklärungen zu lesen.

14. Änderungen dieser Datenschutzrichtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Wir werden Sie durch Veröffentlichung der neuen Richtlinie, Aktualisierung des „Zuletzt aktualisiert“-Datums sowie bei wesentlichen Änderungen per E-Mail informieren.

15. Auftragsverarbeitungsnachtrag (DPA)

Geschäftskundinnen und -kunden, die einen DPA benötigen, wenden sich bitte an admin@preparaitor.ch. Unser Standard-DPA enthält DSG- und DSGVO-Konformitätsklauseln, Standardvertragsklauseln, Sicherheitspflichten, Prüfrechte und eine Liste der Unterauftragsverarbeiter.

16. Verzeichnis der Verarbeitungstätigkeiten

Gemäss DSG und Art. 30 DSGVO führen wir ein Verzeichnis sämtlicher Verarbeitungstätigkeiten. Diese Verzeichnisse werden den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

17. Privacy by Design

• Zweckgebundene KI-Anfragen: KI-Anfragen werden aus den CV-, Stellen- und Interviewinhalten erstellt, die für die von Ihnen gewählte Funktion erforderlich sind. Da Bewerbungsunterlagen Identitäts- oder Kontaktdaten erfordern können, behaupten wir nicht, dass alle personenbezogenen Identifikatoren vor der Verarbeitung durch Vertex AI automatisch entfernt oder pseudonymisiert werden.
• Verschlüsselung standardmässig (Cloud KMS für KMS-gestützte sensible Felder, separate AES-256-GCM-Verschlüsselung für OAuth-Tokens, HTTPS für die Übertragung)
• Aufbewahrungssteuerung für generierte Dokumente, Interviewsitzungen, Uploads und temporäre Verarbeitungsdateien
• Datenschutz-Folgenabschätzung (DSFA): Gemäss Art. 35 DSGVO für unsere KI-basierte CV- und Dokumentenerstellung durchgeführt. Die Verarbeitung ist automatisiert, dient aber der Inhaltserstellung zur Prüfung durch die nutzende Person und umfasst keine automatisierte Entscheidungsfindung nach Art. 22 DSGVO. Die DSFA wird jährlich oder bei wesentlichen Änderungen an der KI-Verarbeitungspipeline überprüft.
• Sicherheitstests und Audits
• Keine Nutzung von Vertex-AI-Kundenprompts oder -Ausgaben zum Training von Google-Foundation-Modellen gemäss Google Cloud Data Processing Addendum
• Aggregierte oder anonymisierte Daten nur für interne Dienstverbesserungen, soweit anwendbar

Eine Zusammenfassung unserer DSFA-Ergebnisse wird Aufsichtsbehörden auf Anfrage zur Verfügung gestellt. Die Beurteilung umfasst die Erforderlichkeit und Verhältnismässigkeit der KI-Verarbeitung, Risiken für die betroffenen Personen sowie die umgesetzten Schutzmassnahmen (Verschlüsselung, Zweckbindung, Aufbewahrungssteuerung, Prüfung durch die nutzende Person und menschliche Überprüfung auf Anfrage).

18. Kontakt

Bei Fragen oder Anliegen zu dieser Datenschutzrichtlinie kontaktieren Sie uns bitte:

Für Auskunftsersuchen: admin@preparaitor.ch (bis zu 30 Tage Bearbeitungszeit)
Für DSG/DSGVO-Anfragen: admin@preparaitor.ch
Für CCPA-Anfragen: admin@preparaitor.ch

Datenanfragen können Sie auch über Ihre Kontoeinstellungen einreichen.