← Zurück zur Startseite

Datenschutzerklärung

Stand: 15. Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Stolzenburg Ventures UG (haftungsbeschränkt)
c/o IP-Management #7306
Ludwig-Erhard-Straße 18
20459 Hamburg

Vertreten durch: Markus Stolzenburg (Geschäftsführer)
E-Mail: datenschutz@careertopia.io

Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich, da weniger als zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

2. Überblick über die Datenverarbeitung

Careertopia (nachfolgend „Plattform" oder „Dienst") ist eine KI-gestützte SaaS-Plattform für Karriereentwicklung, die unter der Domain careertopia.io betrieben wird. Die Plattform verarbeitet personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzbestimmungen. Nachfolgend informieren wir Sie umfassend über Art, Umfang und Zweck der Datenverarbeitung.

2.1 Arten der verarbeiteten Daten

  • Bestandsdaten (Name, Adresse, Kontaktdaten)
  • Inhaltsdaten (Lebensläufe, Karriereprofile, Qualifikationen, Berufserfahrungen)
  • Nutzungsdaten (besuchte Seiten, Zugriffszeiten, Interaktionen)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen, Browser-Typ)
  • Vertragsdaten (Vertragsgegenstand, Laufzeit, Zahlungsinformationen)
  • Zahlungsdaten (Bankverbindung, Kreditkarteninformationen – verarbeitet durch Stripe)
  • Bewerbungs- und Karrieredaten (hochgeladene Dokumente, Assessment-Ergebnisse, Skill-Profile)

2.2 Kategorien betroffener Personen

  • Besucher und Nutzer der Plattform
  • Registrierte Nutzer (B2C: Tech-Professionals)
  • Geschäftskunden und Partner (B2B: Personalberatungen, Unternehmen)
  • Mentoren und Experten auf der Plattform
  • Kontaktpersonen und Kommunikationspartner

2.3 Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit wir für Verarbeitungsvorgänge Ihre Einwilligung einholen.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Soweit die Verarbeitung zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen erforderlich ist.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir einer rechtlichen Verpflichtung unterliegen (z.B. steuerliche Aufbewahrungspflichten).
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen.

3. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen gehören insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL (HTTPS)
  • Verschlüsselte Speicherung sensibler Daten in der Datenbank
  • Zugriffskontrollen und rollenbasierte Autorisierung (RBAC)
  • Regelmäßige Sicherheitsüberprüfungen und Updates
  • Pseudonymisierung und Anonymisierung von Daten, soweit nach dem Verarbeitungszweck möglich
  • Row-Level-Security (RLS) auf Datenbankebene zur strikten Datentrennung
  • Automatische Sitzungsverwaltung mit sicheren HTTP-only Cookies
  • Brute-Force-Schutz durch Rate Limiting bei Authentifizierungsvorgängen

4. Datenverarbeitung und Drittlandtransfer

Im Rahmen unserer Datenverarbeitung werden Daten an Dritte übermittelt bzw. ihnen gegenüber offengelegt, sofern dies auf Basis einer Rechtsgrundlage gem. Art. 6 DSGVO erforderlich ist.

4.1 Datenverarbeitung innerhalb der EU/des EWR

Der überwiegende Teil der Datenverarbeitung findet innerhalb der Europäischen Union statt:

  • Datenbank und Authentifizierung (Supabase): Alle Nutzerdaten, Karriereprofile und Dokumente werden ausschließlich in der EU (Frankfurt am Main, Deutschland) gespeichert und verarbeitet. Es findet kein Drittlandtransfer statt.
  • KI-Verarbeitung (Azure OpenAI): Die KI-gestützte Analyse von Lebensläufen erfolgt über Microsoft Azure OpenAI mit garantierter EU-Datenresidenz (Schweden). Es findet kein Drittlandtransfer statt.
  • E-Mail-Marketing (Brevo): Brevo SAS ist ein EU-Unternehmen mit Sitz in Frankreich. Die Datenverarbeitung erfolgt innerhalb der EU.
  • Webanalyse (Vercel Analytics): Die Webanalyse erfolgt datenschutzkonform über Vercel Analytics. Die Verarbeitung der Analysedaten findet über europäische Edge-Standorte statt.

4.2 Drittlandtransfer (USA)

Bei der Nutzung bestimmter Infrastruktur-Dienste kann eine Übermittlung von Metadaten in die USA stattfinden. In diesen Fällen stellen wir sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden:

Hosting und Infrastruktur (Vercel): Vercel Inc. ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die Verarbeitung von Serverless Functions erfolgt in der EU (Frankfurt). Für den DDoS-Schutz werden IP-Adressen temporär in den USA verarbeitet. Vercel verarbeitet nur Metadaten (IP-Adressen, Request-Header), keine inhaltlichen Nutzerdaten (CVs, Profile, Karrieredaten). Rechtsgrundlage: EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln (SCCs).

Zahlungsabwicklung (Stripe): Stripe Payments Europe, Ltd. (Dublin, Irland) verarbeitet Zahlungsdaten primär in der EU. Für bestimmte Funktionen kann eine Übermittlung an die Stripe, Inc. (USA) erfolgen. Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Rechtsgrundlage: EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln (SCCs).

Transaktionale E-Mails (Resend): Resend, Inc. (USA) versendet systemrelevante E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung). Es werden ausschließlich E-Mail-Adressen und Zustellmetadaten verarbeitet. Rechtsgrundlage: Standardvertragsklauseln (SCCs).

Google Analytics 4: Wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert. Google Ireland Limited verarbeitet anonymisierte Nutzungsdaten. Google LLC (USA) ist unter dem EU-U.S. Data Privacy Framework zertifiziert. IP-Anonymisierung (IP-Masking) ist standardmäßig aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie EU-U.S. Data Privacy Framework.

4.3 Zusammenfassung der Datenresidenz

DatenkategorieDienstVerarbeitungsortDrittlandtransfer
Nutzerdaten, Profile, CVsSupabaseEU (Frankfurt)Nein
KI-Analyse (CV-Parsing)Azure OpenAIEU (Schweden)Nein
E-Mail-MarketingBrevoEU (Frankreich)Nein
WebanalyseVercel AnalyticsEU (Frankfurt)Nein
Hosting / InfrastrukturVercelEU (Frankfurt) / USA (DDoS)Ja – nur Metadaten (DPF, SCCs)
ZahlungenStripeEU (Irland) / USAJa – DPF, SCCs
Transakt. E-MailsResendUSAJa – SCCs
Webanalyse (bei Einwilligung)Google Analytics 4EU (Irland) / USAJa – DPF, IP-Masking

Kernprinzip: Alle inhaltlich sensiblen Daten (Lebensläufe, Karriereprofile, Assessment-Ergebnisse, persönliche Informationen) werden ausschließlich innerhalb der EU verarbeitet und gespeichert. Drittlandtransfers betreffen ausschließlich Metadaten und Infrastruktur-Dienste und sind durch das EU-U.S. Data Privacy Framework und/oder Standardvertragsklauseln abgesichert.

5. Speicherdauer und Löschung

Wir verarbeiten und speichern personenbezogene Daten nur solange, wie dies für die Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht.

  • Kontodaten: Werden nach Kündigung und Ablauf eventueller Fristen gelöscht. Bei Kontolöschung erfolgt eine sofortige Anonymisierung der E-Mail-Adresse und ein Soft-Delete des Profils.
  • Karrieredaten und Lebensläufe: Werden auf Wunsch des Nutzers jederzeit gelöscht. Bei Kontolöschung spätestens nach 30 Tagen unwiderruflich gelöscht.
  • Vertragsdaten: Unterliegen der handels- und steuerrechtlichen Aufbewahrungspflicht von 6 bzw. 10 Jahren (§§ 147 AO, 257 HGB).
  • Server-Logfiles: Werden nach spätestens 30 Tagen automatisch gelöscht.
  • Analysedaten: Werden nach 14 Monaten anonymisiert (Google Analytics) bzw. gemäß den Vorgaben des jeweiligen Dienstes.
  • Cookie-Einwilligungsdaten: Werden für die Dauer der Einwilligung, maximal 12 Monate, gespeichert.

6. Bereitstellung der Plattform und Erstellung von Logfiles

Bei jedem Aufruf unserer Plattform erfasst unser Hosting-Anbieter (Vercel Inc.) automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind:

  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL (die zuvor besuchte Seite)
  • IP-Adresse des zugreifenden Rechners (ggf. anonymisiert)
  • Uhrzeit der Serveranfrage
  • Übertragene Datenmenge

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung der Plattform).

Hosting

Die Plattform wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet die oben genannten Daten in unserem Auftrag. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages (Data Processing Agreement). Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Serverless Functions und Edge-Funktionen werden über den europäischen Standort Frankfurt ausgeliefert. Vercel verarbeitet keine inhaltlichen Nutzerdaten (Lebensläufe, Profile), sondern ausschließlich technische Metadaten (IP-Adressen, Request-Header) zum Zweck der Auslieferung und des DDoS-Schutzes.

7. Registrierung, Nutzerkonto und Profilverwaltung

7.1 Registrierung und Anmeldung

Bei der Registrierung auf unserer Plattform erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtangabe)
  • Passwort (verschlüsselt gespeichert, Pflichtangabe)
  • Vor- und Nachname (im Rahmen der Profilerstellung)

Zweck: Einrichtung und Verwaltung des Nutzerkontos, Bereitstellung der Plattformfunktionen, Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Die Authentifizierung erfolgt über Supabase Auth (Supabase Inc., Sitz in den USA, Datenverarbeitung in der EU, Region Frankfurt). Supabase verarbeitet die Authentifizierungsdaten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrages. Alle Authentifizierungsdaten verbleiben in der EU.

7.2 Karriereprofil (Living Career Profile)

Im Rahmen der Nutzung können Sie ein umfassendes Karriereprofil anlegen und pflegen. Dabei können folgende Daten verarbeitet werden:

  • Persönliche Daten (Name, Kontaktdaten, Standort)
  • Berufserfahrung (Positionen, Unternehmen, Zeiträume, Beschreibungen)
  • Ausbildung und Qualifikationen
  • Fähigkeiten und Kompetenzen (Skills)
  • Sprachkenntnisse
  • Soziale Profile (LinkedIn, GitHub – freiwillig)
  • Gehaltsvorstellungen und -historie (freiwillig)
  • Karriereziele und Präferenzen

Zweck: Bereitstellung personalisierter Karriereanalysen, KI-gestützte Empfehlungen, Matching mit Stellenangeboten (bei Opt-in), Erstellung von Karrieredokumenten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); soweit die Daten für optionale Features verwendet werden, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.3 Lebenslauf-Upload und KI-Analyse

Sie können Lebensläufe (PDF-Dateien) auf die Plattform hochladen. Diese werden wie folgt verarbeitet:

  • Upload und Speicherung: Die Datei wird verschlüsselt in unserem Cloud-Speicher (Supabase Storage, EU-Region Frankfurt) abgelegt.
  • KI-gestützte Analyse: Der Inhalt wird mittels Microsoft Azure OpenAI (EU-Region Schweden) analysiert, um strukturierte Daten zu extrahieren (Name, Berufserfahrung, Qualifikationen, Skills). Die gesamte KI-Verarbeitung findet innerhalb der EU statt.
  • Strukturierte Speicherung: Die extrahierten Daten werden in strukturierter Form in der Datenbank (EU Frankfurt) gespeichert und bilden die Basis Ihres Karriereprofils.
  • Löschung: Hochgeladene Dokumente können jederzeit gelöscht werden. Bei Kontolöschung werden alle Dokumente und extrahierten Daten gelöscht.

Zweck: Automatisierte Erstellung und Anreicherung des Karriereprofils, Zeitersparnis bei der Dateneingabe, KI-gestützte Karriereanalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die KI-Analyse ist Bestandteil des Dienstes und dient ausschließlich der strukturierten Datenextraktion – es werden keine automatisierten Einzelentscheidungen im Sinne des Art. 22 DSGVO getroffen.

Wichtiger Hinweis: Careertopia ist als Entscheidungsunterstützungssystem konzipiert. Die KI-gestützten Analysen und Empfehlungen dienen ausschließlich der Information und ersetzen keine menschliche Entscheidungsfindung. Es werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen, die rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

8. Einsatz von KI-Diensten

Careertopia nutzt Künstliche Intelligenz zur Analyse und Verarbeitung von Karrieredaten. Die KI-Verarbeitung erfolgt ausschließlich über Microsoft Azure mit garantierter EU-Datenresidenz.

8.1 Azure OpenAI Service (Primär)

  • Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Muttergesellschaft: Microsoft Corporation, USA)
  • Azure-Region: Sweden Central (EU-Datenresidenz)
  • KI-Modell: GPT-4o-mini (bereitgestellt über Azure OpenAI Service)
  • Zweck: Primärer KI-Dienst für Lebenslauf-Parsing, strukturierte Datenextraktion, Textanalyse, Übersetzung (DE↔EN) und Karriereanalysen.
  • Verarbeitete Daten: Inhalte hochgeladener Lebensläufe und Karriereprofildaten werden zur Analyse an die Azure OpenAI-API übermittelt.
  • Datenresidenz: Alle Daten werden innerhalb der EU (Schweden) verarbeitet. Es findet kein Drittlandtransfer statt. Microsoft garantiert im Rahmen des Azure-Vertrages die EU-Datenresidenz für den gewählten Azure-Standort.
  • Speicherung durch Microsoft: Bei Nutzung des Azure OpenAI Service werden übermittelte Daten nicht für das Training von KI-Modellen verwendet. Daten werden für maximal 30 Tage zum Zweck der Missbrauchserkennung gespeichert (Abuse Monitoring), sofern nicht deaktiviert.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die KI-Analyse ist wesentlicher Bestandteil des Dienstes).

8.2 Azure AI Foundry – Claude (Fallback)

  • Anbieter: Microsoft Ireland Operations Limited (wie oben); KI-Modell bereitgestellt durch Anthropic, PBC über Azure AI Foundry
  • Zweck: Fallback-KI-Dienst, der nur bei Nichtverfügbarkeit des primären Dienstes (Azure OpenAI) automatisch aktiviert wird.
  • Verarbeitete Daten: Identisch mit Azure OpenAI (Lebenslauf-Inhalte und Karrieredaten).
  • Datenresidenz: Die Verarbeitung über Azure AI Foundry erfolgt über Microsoft-Infrastruktur. Die genaue Datenresidenz kann je nach Verfügbarkeit des Modells variieren. Microsoft wendet die Datenschutzbestimmungen des Azure-Vertrages an.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe:

  • Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Muttergesellschaft: Stripe, Inc., USA)
  • Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkartendaten, SEPA-Bankverbindung), IP-Adresse, Transaktionsdaten.
  • Speicherung: Zahlungsdaten (insbesondere Kreditkartennummern) werden ausschließlich von Stripe gespeichert und verarbeitet. Wir erhalten lediglich Bestätigungen über erfolgreiche Zahlungen sowie tokenisierte Referenzen.
  • Drittlandtransfer: Stripe verarbeitet Zahlungsdaten primär in der EU (Irland). Für bestimmte Funktionen kann eine Übermittlung in die USA erfolgen. Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Weitere Informationen: https://stripe.com/de/privacy

10. E-Mail-Kommunikation

10.1 Transaktionale E-Mails (Resend)

  • Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA
  • Zweck: Versand von systemrelevanten E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung, Benachrichtigungen).
  • Verarbeitete Daten: E-Mail-Adresse, Zustellstatus, Zeitstempel.
  • Drittlandtransfer: USA. Grundlage: Standardvertragsklauseln (SCCs).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10.2 Marketing-E-Mails und Newsletter (Brevo)

  • Anbieter: Brevo SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich (EU-Unternehmen)
  • Zweck: Verwaltung der Warteliste, Versand von Marketing-E-Mails, Newsletter und Kampagnen, Einwilligungsverwaltung (Double-Opt-in).
  • Verarbeitete Daten: E-Mail-Adresse, Anmeldezeitpunkt, IP-Adresse bei Anmeldung, Einwilligungsstatus, Öffnungs- und Klickverhalten (bei Einwilligung).
  • Drittlandtransfer: Keiner. Brevo ist ein EU-Unternehmen mit Sitz in Frankreich. Die Datenverarbeitung erfolgt innerhalb der EU.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Marketing); Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für transaktionale Kommunikation).

Sie können Ihre Einwilligung zum Newsletter-Empfang jederzeit widerrufen, z.B. über den Abmeldelink in jeder E-Mail.

11. Webanalyse und Tracking

Wir verwenden Analysedienste, um die Nutzung unserer Plattform zu verstehen und zu verbessern.

11.1 Vercel Analytics (Primär)

  • Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
  • Zweck: Datenschutzkonforme Webanalyse, Reichweitenmessung, Performance-Monitoring.
  • Verarbeitete Daten: Aggregierte und anonymisierte Nutzungsdaten (Seitenaufrufe, Web Vitals, Verweildauer). Vercel Analytics ist Privacy-by-Design: Es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben.
  • Cookies: Keine. Vercel Analytics funktioniert ohne Cookies und ohne Einwilligung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Plattformnutzung). Da keine personenbezogenen Daten verarbeitet werden und keine Cookies gesetzt werden, ist keine Einwilligung nach § 25 TDDDG erforderlich.

11.2 Google Analytics 4 (Ergänzend)

  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA)
  • Zweck: Ergänzende Analyse des Nutzungsverhaltens, Conversion-Tracking, Optimierung der Marketingmaßnahmen.
  • Verarbeitete Daten: Pseudonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Endgeräte), IP-Adresse (anonymisiert durch IP-Masking).
  • Cookies: Google Analytics verwendet Cookies mit einer Speicherdauer von bis zu 14 Monaten.
  • Aktivierung: Google Analytics wird ausschließlich mit Ihrer vorherigen ausdrücklichen Einwilligung über unseren Cookie-Consent-Banner aktiviert.
  • Drittlandtransfer: USA. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert. IP-Anonymisierung ist standardmäßig aktiviert.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner).
  • Opt-out: https://tools.google.com/dlpage/gaoptout
  • Datenschutzerklärung Google: https://policies.google.com/privacy

12. Cookies und Einwilligungsmanagement

12.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Sie dienen dazu, unser Angebot nutzerfreundlicher und effektiver zu machen. Einige Cookies sind technisch notwendig, während andere nur mit Ihrer Einwilligung gesetzt werden.

12.2 Cookie-Kategorien

KategorieZweckRechtsgrundlageEinwilligung erforderlich
EssentiellAuthentifizierung, Sitzungsverwaltung, Sicherheit, Cookie-ConsentArt. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 TDDDGNein
FunktionalSpracheinstellungen, UI-PräferenzenArt. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDGJa
AnalyseNutzungsanalyse, Conversion-Tracking (GA4)Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDGJa

12.3 Cookie-Einwilligungsverwaltung

Beim ersten Besuch unserer Plattform werden Sie über einen Cookie-Consent-Banner über den Einsatz von Cookies informiert. Nicht-essentielle Cookies werden erst nach Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer der Plattform ändern oder widerrufen. Die Einwilligung wird für maximal 12 Monate gespeichert und danach erneut eingeholt.

Rechtsgrundlage: § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) i.V.m. Art. 6 Abs. 1 lit. a DSGVO.

13. Kontaktaufnahme

Wenn Sie per E-Mail oder Kontaktformular mit uns in Verbindung treten, werden die von Ihnen mitgeteilten Daten (E-Mail-Adresse, ggf. Name und Telefonnummer, Inhalt der Anfrage) zum Zwecke der Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), hilfsweise Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. Warteliste

Vor dem offiziellen Start der Plattform bieten wir die Möglichkeit, sich für eine Warteliste anzumelden:

  • Verarbeitete Daten: E-Mail-Adresse, Zeitpunkt der Anmeldung, IP-Adresse, Einwilligungsstatus (Service-Kommunikation und Marketing getrennt erfasst).
  • Double-Opt-in: Die Anmeldung wird erst nach Bestätigung per E-Mail wirksam.
  • Rate Limiting: Zum Schutz vor Missbrauch sind maximal 3 Anmeldungen pro 15 Minuten pro IP-Adresse möglich.
  • Dienstleister: Brevo SAS (EU) – siehe Abschnitt 10.2.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

15. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden und Auskunft über diese Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO erfüllt sind.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben unter bestimmten Voraussetzungen das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Careertopia bietet hierfür PDF- und DOCX-Exportfunktionen an.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen. Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de

16. Profil-Sichtbarkeit für Partner und Unternehmen

Careertopia bietet die Möglichkeit, Ihr Karriereprofil für Partnerunternehmen (z.B. Personalberatungen) sichtbar zu machen. Diese Funktion ist standardmäßig deaktiviert und wird nur aktiviert, wenn Sie:

  • ausdrücklich in die Sichtbarkeit einwilligen (Opt-in), und
  • den Umfang der sichtbaren Daten selbst bestimmen (granulare Kontrolle).

Sie können anonymisierte Profile freigeben, bei denen persönliche Identifikationsmerkmale (Name, Kontaktdaten) durch generische Bezeichnungen ersetzt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

16.1 Gesponserter Zugang über Partnerunternehmen (Sponsored Account)

Personalberatungen und andere Partnerunternehmen können Ihnen einen gesponserten Zugang zur Plattform bereitstellen. Auch in diesem Fall registrieren Sie sich direkt bei Careertopia und erteilen Ihre Einwilligung zur Datenverarbeitung selbst. Careertopia ist Verantwortlicher im Sinne der DSGVO für Ihre personenbezogenen Daten. Das Partnerunternehmen erhält nur dann Zugriff auf Ihre Profildaten, wenn Sie dem gemäß Abschnitt 16 ausdrücklich zustimmen (Opt-in).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Kontobereitstellung; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Datenweitergabe an das Partnerunternehmen.

17. Mentoring-Dienste und Experten-Marketplace

Im Rahmen des Mentor-Marketplaces werden folgende Daten verarbeitet:

  • Für Mentoren/Experten: Profilangaben (Name, Qualifikationen, Fachgebiete), Verfügbarkeiten, Bewertungen, Zahlungsinformationen (über Stripe Connect).
  • Für Nutzer (Mentees): Buchungsdaten, Session-Notizen (soweit vom Nutzer eingegeben), Bewertungen, Zahlungsinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der Vermittlungsleistung).

18. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Die aktuelle Version ist jeweils auf unserer Plattform unter dem Link „Datenschutz" abrufbar.

Stand: 15. Februar 2026

HomeImpressumDatenschutzAGBAVVWiderrufsformular