Diese DSGVO-Hinweise erklären, wie Job4Talents Konto-, Lebenslauf-, Bewerbungs-, KI-, Abrechnungs-, Sharing-, Cookie- und Speicherungsdaten verarbeitet.
Stand: 11. Juni 2026
Datenschutzkontakt
security@j4t.atGast-Dokumente, Import-Zwischenstände, Private-Vault-Material und viele Einstellungen bleiben im Browser, solange du dich nicht anmeldest und Cloud-Funktionen nutzt.
Gehostete KI sendet Prompt und ausgewählten Dokumentkontext über den Job4Talents Server an den konfigurierten Anbieter. Lokales Ollama verarbeitet auf deinem Gerät, außer du wählst eine Cloud-Laufzeit.
Ein Lebenslauf wird erst öffentlich, wenn du einen Share-Link veröffentlichst. Du kannst ihn wieder deaktivieren; der veröffentlichte Snapshot ist von deinem privaten Workspace-Dokument getrennt.
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch oder Widerruf kannst du unter security@j4t.at anfragen.
Diese Tabelle ordnet die Produktbereiche im Repository den wichtigsten DSGVO-Informationspflichten zu: Datenkategorien, Zwecke, Rechtsgrundlagen und Aufbewahrung.
| Aktivität | Personenbezogene Daten | Zweck | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|---|
| Konto und Authentifizierung | E-Mail-Adresse, User-ID, Session-Cookies, Profileinstellungen, Sprache, Kontostatus und Sicherheitsmetadaten. | Konten erstellen und schützen, Anmeldung ermöglichen, Magic Links routen, Zugriffsregeln anwenden und Support leisten. | Vertragserfüllung, berechtigte Sicherheitsinteressen und rechtliche Verpflichtung, soweit Aufbewahrung vorgeschrieben ist. | Für die Kontolaufzeit, danach Löschung oder Anonymisierung, sofern keine Rechts-, Sicherheits- oder Abrechnungsgründe entgegenstehen. |
| Lebensläufe, Anschreiben, Dokumente, Vorlagen und Importe | Dokumenttext, Namen, Kontaktdaten, Fotos, Ausbildung, Berufserfahrung, Skills, importierte PDFs/DOCX/Textdateien, Vorlageneinstellungen und lokale Bearbeitungsmetadaten. | Bewerbungsdokumente erstellen, bearbeiten, importieren, exportieren, synchronisieren, wiederherstellen und rendern. | Vertragserfüllung. Besondere Kategorien personenbezogener Daten werden nur verarbeitet, wenn Nutzer sie selbst in ein Dokument aufnehmen. | Lokale Dokumente bleiben bis zur Löschung oder Browser-Speicherbereinigung. Cloud-Dokumente bleiben bis zur Löschung, Kontoschließung oder Entfernung aus der Synchronisierung. |
| Private Vault und Cloud-Sync | Verschlüsseltes Vault-Material, Passkey-/Geräte-Credential-Metadaten, Recovery-Status, Cloud-Revisionen, Geräte-IDs, private Dokument-Assets und Sync-Einstellungen. | Sensible Dokumente schützen, Geräte-Sync koordinieren, Dokumentzustände wiederherstellen und nutzereigenen Zugriff durchsetzen. | Vertragserfüllung und berechtigte Interessen an Konto- und Datensicherheit. | Bis zur Deaktivierung, Löschung oder Kontoschließung. Geräte-Credentials und private Assets werden entfernt, wenn die zugehörigen Vault-/Sync-Datensätze gelöscht werden. |
| KI-Funktionen und KI-Verlauf | Prompts, ausgewählter Dokumentkontext, generierter Text, ungültiges JSON, Issue-Zusammenfassungen, Anbieter-/Modellmetadaten, Tokenzahlen, Latenz, Kosten, Workflow-Typ und geschwärzte lokale Audit-Metadaten. | Lebensläufe, Anschreiben, Vorlagen, Übersetzungen, Job-Varianten und Nutzungs-/Verlaufsanzeigen auf Anfrage erstellen oder verbessern. | Vertragserfüllung für angeforderte KI-Ausgaben und berechtigte Interessen für Missbrauchsprävention, Metering, Zuverlässigkeit und Kostenkontrolle. | Inhaltstragender KI-Verlauf hat ein Ziel von 90 Tagen und kann früher im KI-Verlauf bereinigt werden. Nutzungs-, Abrechnungs- und Audit-Metadaten können bis zu 7 Jahre aufbewahrt werden. |
| Abrechnung und bezahlter Zugriff | Stripe-Kunden-, Checkout-, Rechnungs-, Zahlungs-, Abo-, Steuer-, Produkt-, Preis-, Credit-Grant-, Reservierungs- und Webhook-IDs. | Zahlungen verarbeiten, doppelte Abos verhindern, bezahlten Zugriff gewähren, Erstattungen/Streitfälle bearbeiten, Steuern berechnen und Nutzung abstimmen. | Vertragserfüllung und rechtliche Pflichten für Buchhaltung, Steuern und Streitfälle. | Abrechnungs-, Stripe- und Ledger-Daten werden bis zu 7 Jahre aufbewahrt, sofern keine längere gesetzliche Pflicht gilt. |
| Öffentliche Lebenslauf-Links und Analytics | Veröffentlichter Lebenslauf-Snapshot, Slug, Veröffentlichungsstatus, No-Index-Einstellung, signierter Analytics-Token, Event-ID, Session-ID, Event-Typ, Section-ID, Dauer, Zeitpunkt, Referrer-Domain und Browser-Familie. | Den vom Nutzer ausgewählten öffentlichen Lebenslauf hosten, aggregierte Aufrufe messen, gefälschte Analytics-Events verhindern und Deaktivierung ermöglichen. | Einwilligung oder Vertragserfüllung für Veröffentlichung; berechtigte Interessen für datensparsame Analytics und Sicherheit. | Veröffentlichte Snapshots bleiben bis zur Deaktivierung/Löschung. Event-Zeilen werden mit dem veröffentlichten Lebenslauf gelöscht. |
| Warteliste und Produktupdates | E-Mail, Name, Zielgruppe, Locale, Quellpfad, Marketing-Einwilligung, Submission Count, gehashte E-Mail-/IP-Rate-Limit-Schlüssel, kurzlebige IP-Sicherheitsereignisse, User Agent, Origin, Referrer und Accept-Language. | Launch-Zugang verwalten, gewünschte Updates senden, Spam und Missbrauch verhindern und Einwilligungen nachweisen. | Einwilligung für Marketing und berechtigte Interessen für Missbrauchsprävention. | Signup-Datensätze bleiben bis Abmeldung/Löschung. Sicherheitsereignisse laufen standardmäßig nach 30 Tagen ab und sind auf 90 Tage begrenzt. |
| Bewerbungsworkspace | Rollenbezeichnungen, Firmennamen, Job-URLs, Orte, Gehaltsnotizen, Statusverlauf, Follow-ups, Interview-Prep, Story-Bank-Daten, Application-Pack-Entwürfe und importierte Stellenanzeigen-Hinweise. | Bewerbungen organisieren, zugeschnittene Bewerbungspakete erstellen, Ergebnisse verfolgen und angeforderte Entwürfe generieren. | Vertragserfüllung und berechtigte Interessen an zuverlässigen Workspace-Funktionen. | Lokale Daten bleiben bis zur Löschung oder Browser-Speicherbereinigung. Cloud-Sync-Daten bleiben bis zur Löschung oder Kontoschließung. |
| Sicherheit, Diagnostik, Logs und Missbrauchskontrollen | Request-Metadaten, IP-abgeleitete Rate-Limit-Schlüssel, Fehlerkategorien, Scanner-Pfadblockaden, CSP-/Security-Header und Betriebslogs mit möglichst inhaltsarmer Speicherung. | Dienst absichern, Fehler diagnostizieren, Rate Limits durchsetzen, Missbrauch verhindern und Verfügbarkeit sicherstellen. | Berechtigte Interessen an Sicherheit, Zuverlässigkeit, Betrugsprävention und Rechtsverteidigung. | Nur so lange wie für Betrieb und Sicherheit nötig, außer Daten sind mit Abrechnung, Rechtsfragen oder Missbrauchsnachweisen verbunden. |
Verantwortlicher im Sinne dieser Erklärung ist Job4Talents, der Betreiber der Job4Talents Webanwendung. Datenschutz- und Sicherheitsanfragen kannst du an security@j4t.at senden. Falls eine konkrete Produktionsbereitstellung von einer abweichenden juristischen Person betrieben wird, sollten Impressum oder Nutzungsbedingungen diese Person und Postanschrift nennen.
Diese Erklärung gilt für die first-party Job4Talents Web-App, serverlose API-Routen, Supabase-Cloud-Funktionen, öffentliches Lebenslauf-Hosting, den gehosteten KI-Proxy und browserlokale Produktbereiche.
Job4Talents nutzt Infrastruktur und Unterauftragsverarbeiter, die personenbezogene Daten nur erhalten, soweit dies für die jeweilige Funktion erforderlich ist. Dazu gehören Supabase für Authentifizierung, Datenbank, Storage und Realtime-Sync; Vercel oder eine vergleichbare Hosting-Plattform für App-Auslieferung und serverlose Funktionen; Stripe für Checkout, Abos, Steuern, Rechnungen und Zahlungsdaten; OpenRouter und der ausgewählte KI-Modellanbieter für gehostete KI; sowie optional ein externer Renderer für serverseitige PDF-Erstellung.
Einige Anbieter können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. Dafür sollte Job4Talents geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln, Auftragsverarbeitungsverträge oder gleichwertige rechtliche Mechanismen des jeweiligen Deployments nutzen.
Die App nutzt notwendige Cookies und Browser-Speicher für Authentifizierung, Sprache/Theme, lokale Dokumente, Editor-Recovery, Private-Vault-Status, aktuelle KI-Modellauswahl und Feature-Einstellungen. Diese Daten werden nicht für websiteübergreifende Werbung verwendet.
Der Gastmodus ist local-first. Ohne Anmeldung oder Cloud-Sync bleibt der Dokument-Workspace überwiegend in IndexedDB/localStorage auf deinem Gerät. Browser-Speicherbereinigung, Dokumentlöschung oder Abmeldung auf gemeinsam genutzten Geräten kann lokale Daten entfernen.
KI-Ausgaben sind Assistenzfunktionen. Job4Talents kann Formulierungen, Übersetzungen, Vorlagenstrukturen, Fit-Analysen, Job-Varianten, Anschreiben und Bewerbungsmaterial vorschlagen; Nutzer entscheiden selbst, was sie übernehmen, veröffentlichen, exportieren oder an Arbeitgeber senden.
Der Dienst trifft keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich erhebliche Wirkung für Nutzer haben. Nutzungsgrenzen, bezahlte Zugriffskontrollen, Rate Limits und Missbrauchskontrollen können automatisiert sein, betreffen aber Produktzugriff und nicht Beschäftigungsfähigkeit oder rechtlichen Status.
Die Aufbewahrung richtet sich nach Funktion und Rechtsgrundlage. Nutzererstellte lokale Daten bleiben auf dem Gerät bis zur Löschung oder Browser-Speicherbereinigung. Cloud-Dokumente, Vorlagen, Vault-Daten, öffentliche Lebenslauf-Snapshots und Bewerbungsdaten bleiben bis zur Löschung, Feature-Deaktivierung, Deveröffentlichung oder Kontoschließung bestehen, vorbehaltlich Backup- und Integritätsfristen.
Inhaltstragender KI-Verlauf hat ein Ziel von 90 Tagen und kann früher im KI-Verlauf bereinigt werden. Abrechnungs-, Credit-, Stripe-, Steuer-, Streitfall- und Nutzungsmetadaten können bis zu 7 Jahre aufbewahrt werden. Wartelisten-Sicherheitsereignisse laufen standardmäßig nach 30 Tagen ab und sind auf 90 Tage begrenzt.
Vorbehaltlich der Voraussetzungen der DSGVO kannst du Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen und Widerruf von Einwilligungen verlangen. Sende Anfragen an security@j4t.at.
Du hast außerdem das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. In Österreich ist dies die Datenschutzbehörde. In anderen EWR-Staaten kannst du die dort zuständige Aufsichtsbehörde kontaktieren.
Das Projekt nutzt Row-Level Security für nutzereigene Cloud-Daten, private Storage Buckets für private Dokument-Assets, öffentliche Buckets nur für bewusst veröffentlichte Assets, signierte Analytics-Tokens für öffentliche Lebenslauf-Events, Rate Limits, CSP-/Security-Header, Scanner-Pfadblockaden und möglichst metadatenorientierte Admin-Ansichten.
Kein Webdienst kann absolute Sicherheit garantieren. Nutzer sollten keine unnötigen sensiblen oder besonderen Kategorien personenbezogener Daten in Lebensläufe oder öffentliche Links aufnehmen, Kontozugänge schützen und Links deaktivieren, die nicht mehr öffentlich sein sollen.
Job4Talents richtet sich an Jobsuchende und professionelle Nutzer. Der Dienst ist nicht auf Kinder ausgerichtet. Wenn ein Kind ohne passende Erlaubnis personenbezogene Daten angegeben hat, kontaktiere uns, damit die Daten geprüft und, soweit erforderlich, entfernt werden können.
Diese Erklärung kann angepasst werden, wenn sich Produktfunktionen, Auftragsverarbeiter, Aufbewahrungsregeln oder rechtliche Anforderungen ändern. Wesentliche Aktualisierungen sollten durch ein neues Stand-Datum auf dieser Seite sichtbar sein.