Datenschutzerklärung

1. Verantwortlicher für die Datenverarbeitung

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist: Martin Dimitrov Pillersdorfgasse 13 1020 Wien Österreich E-Mail: hi@hirenapse.com Telefon: +43(0)6604395272 UID-Nr.: ATU83228115 Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen gemäß Art. 37 DSGVO nicht vorliegen. Bei datenschutzrechtlichen Anfragen wende dich bitte direkt an den oben genannten Verantwortlichen. Unser Service richtet sich ausschließlich an Personen, die das 16. Lebensjahr vollendet haben. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren.

2. Welche Daten wir verarbeiten und zu welchem Zweck

2.1 Daten bei der Nutzung des Verifizierungsservices Wenn du unseren Service zur Erstellung deines Karriere-Verifizierungszertifikats nutzt, erheben und verarbeiten wir folgende Daten, die du uns aktiv zur Verfügung stellst: • Lebenslauf (CV): Name, Kontaktdaten, Werdegang, Qualifikationen und alle weiteren Informationen, die du in deinem CV angibst. • Versicherungsdatenauszug: Wir verarbeiten aus diesem Dokument ausschließlich die darin enthaltenen Beschäftigungsstationen (Arbeitgeber und Beschäftigungszeitraum) sowie die digitale Signatur des Dokuments zur Echtheitsprüfung. Weitere im Dokument enthaltene Informationen; insbesondere Gesundheitsdaten, Krankenstände oder Rehabilitationszeiten, werden von uns technisch nicht ausgelesen, nicht an Dritte weitergegeben und fließen nicht in den Abgleich ein. • Technische Daten: IP-Adresse, Browsertyp und Zeitpunkt des Zugriffs für den sicheren Betrieb der Website • E-Mail-Adresse: Zur Authentifizierung über den einmaligen Zugangscode (One-Time-Code) sowie zur Zustellung von Transaktions-E-Mails (Bestätigung, Zertifikat). 2.2 Daten bei der Erstellung des öffentlichen Profils Wir nutzen die Ergebnisse des Abgleichs, um für dich ein persönliches, teilbares Hirenapse-Profil unter der URL hirenapse.com/deinnutzername zu erstellen. Der Zweck ist es, dir eine Plattform zu bieten, auf der du potenziellen Arbeitgebern deinen verifizierten Werdegang präsentieren kannst. Das Profil ist ohne Login für jeden Internetnutzer öffentlich zugänglich und kann von Suchmaschinen indexiert werden. Auf diesem Profil sind ausschließlich folgende Informationen sichtbar: • Dein vollständiger Name • Dein Hirenapse-Benutzername • Deine verifizierten Beschäftigungsstationen (Arbeitgeber) mit Zeitraum in Monaten (z. B. März 2022 – April 2025) Folgende Daten werden niemals im öffentlichen Profil angezeigt: Geburtsdatum, taggenaue Anstellungszeiträume sowie alle sonstigen im Versicherungsdatenauszug enthaltenen Informationen. Das Profil kann auf Wunsch als verifiziertes Zertifikat auf Plattformen wie LinkedIn verlinkt werden, wobei Dritte beim Aufrufen des Links auf dein Hirenapse-Profil weitergeleitet werden. Wenn du dein Profil nicht mehr öffentlich zugänglich haben möchtest, kannst du dein Konto jederzeit durch eine E-Mail an hi@hirenapse.com löschen lassen. 2.3 Verifizierungsabruf durch Arbeitgeber Wenn du dein Hirenapse-Zertifikat einem potenziellen Arbeitgeber vorlegst, kann dieser die Echtheit und Unverändertheit des Zertifikats über unsere Verify-Seite unter hirenapse.com/verify prüfen. Der Abruf erfolgt ausschließlich durch Eingabe der auf dem Zertifikat aufgedruckten UUID sowie deines Nachnamens. Der Arbeitgeber sieht dabei ausschließlich die Informationen deines öffentlichen Profils sowie eine 1:1-Spiegelung des ausgestellten Zertifikats inklusive Geburtsdatum und Beschäftigungszeiträumen. Dieser Abruf wird von uns weder gespeichert noch protokolliert. Da bei diesem Vorgang keine personenbezogenen Daten auf unserer Seite erhoben, gespeichert oder anderweitig verarbeitet werden, liegt keine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO vor; eine Rechtsgrundlage nach Art. 6 DSGVO ist daher nicht erforderlich. Da du das Zertifikat dem Arbeitgeber aktiv und eigenständig vorlegst, erfolgt der Abruf ausschließlich mit deiner Kenntnis und auf deine Initiative hin. 2.4 Keine automatisierten Einzelentscheidungen Wir treffen auf Basis der verarbeiteten Daten keine automatisierten Entscheidungen über deine Eignung für einen Arbeitsplatz im Sinne von Art. 22 Abs. 1 DSGVO. Der Abgleich dient ausschließlich der Verifizierung der von dir gemachten Angaben.

3. Rechtsgrundlagen der Verarbeitung

3.1 Verarbeitung des Lebenslaufs und des Versicherungsdatenauszugs (reguläre Daten) Die Verarbeitung deines Lebenslaufs und des Versicherungsdatenauszugs erfolgt zur Erfüllung des mit dir geschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Beide Dokumente sind zwingend erforderlich, um den Abgleich durchzuführen und das Verifizierungszertifikat auszustellen; ohne diese Daten kann der Service nicht erbracht werden. In Ausnahmefällen, etwa wenn eine Beschäftigung über ein Einzelunternehmen oder eine Personalvermittlung erfolgte und der Versicherungsdatenauszug keine direkte Zuordnung zum tatsächlichen Arbeitgeber ermöglicht, führen wir ergänzend eine öffentliche Unternehmensrecherche durch, um die Verifizierung zu vervollständigen; auch diese Recherche erfolgt ausschließlich zum Zweck der Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. 3.2 Verarbeitung besonderer Datenkategorien (Gesundheitsdaten) Der von dir hochgeladene Versicherungsdatenauszug kann besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, darunter insbesondere Gesundheitsdaten. Wir verarbeiten diese Daten nicht. Vor dem Abgleich werden aus dem Versicherungsdatenauszug mittels eines automatisierten Parsing-Prozesses ausschließlich die Beschäftigungsstationen und die digitale Signatur in ein strukturiertes Format überführt. Nur diese extrahierten Daten werden weiterverarbeitet. Zur Prüfung der Amtssignatur wird der Versicherungsdatenauszug zuvor kurzzeitig an unseren eigenen Signaturprüfdienst übermittelt, der auf der Infrastruktur von Railway in einem Rechenzentrum in der EU betrieben wird (siehe Abschnitt 5.6). Dieser Dienst prüft ausschließlich die kryptografische Echtheit der Signatur; der inhaltliche Text des Dokuments wird dabei nicht ausgelesen, und das Dokument wird unmittelbar nach der Prüfung automatisch gelöscht. Darüber hinaus werden das Rohdokument und die darin enthaltenen sonstigen Informationen nicht an Dritte weitergegeben. Soweit der Versicherungsdatenauszug besondere Datenkategorien enthält, stützen wir deren Verarbeitung auf deine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die du vor dem Upload aktiv über eine Checkbox erteilst. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. 3.3 Erstellung und Betrieb des öffentlichen Profils Die Erstellung und der Betrieb des öffentlichen Hirenapse-Profils erfolgen zur Erfüllung des mit dir geschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO, da das öffentlich teilbare Verifizierungsprofil den Kernbestandteil des von dir in Anspruch genommenen Services darstellt. 3.4 Technische Daten (Serverprotokolle) Die Verarbeitung technischer Daten erfolgt auf Grundlage unseres berechtigten Interesses am sicheren und störungsfreien Betrieb der Website gemäß Art. 6 Abs. 1 lit. f DSGVO. 3.5 Zahlungsabwicklung Die Verarbeitung von Zahlungsdaten erfolgt zur Erfüllung des Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. 3.6 Authentifizierung und transaktionale E-Mails Die Verarbeitung deiner E-Mail-Adresse zum Zweck der Authentifizierung mittels einmaligem Zugangscode sowie zur Zustellung von Transaktions-E-Mails erfolgt zur Erfüllung des mit dir geschlossenen Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Die Zugangscodes werden automatisch nach einer Stunde ungültig und nicht weiter gespeichert.

4. Pflicht zur Bereitstellung der Daten

Die Bereitstellung von Lebenslauf und Versicherungsdatenauszug ist für die Erbringung des Services zwingend erforderlich. Ohne diese Daten kann das Hirenapse-Zertifikat nicht ausgestellt werden. Es besteht keine gesetzliche Pflicht zur Bereitstellung, jedoch ist sie vertraglich notwendig. Die Bereitstellung technischer Daten erfolgt automatisch im Rahmen des Seitenbesuchs. Die Bereitstellung der E-Mail-Adresse ist für die Authentifizierung und die Nutzung des Services zwingend erforderlich; ohne sie kann kein Zugangscode zugestellt und kein Konto erstellt werden.

5. Einsatz von KI-Technologie und Auftragsverarbeiter

5.1 Google Gemini API Zur Durchführung des Textabgleichs setzen wir die Gemini API von Google ein. • Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland • Zweck: Automatisierter Textabgleich zur Erstellung des Zertifikats • Datenschutzgarantie: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen; Wir haben vertraglich sichergestellt, dass Google deine hochgeladenen Dokumente nicht verwendet, um eigene KI-Modelle zu trainieren. Deine Daten dienen lediglich der temporären Verarbeitung zur Erstellung deines Zertifikats. • Drittlandtransfer: Auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO), unter dem Google LLC zertifiziert ist • Involvierte Logik: Vor der Übermittlung an die API werden Lebenslauf und Versicherungsdatenauszug durch einen automatisierten Parsing-Prozess in ein strukturiertes JSON-Format überführt. An die Gemini API werden ausschließlich diese extrahierten, strukturierten Daten übermittelt; Rohdokumente werden zu keinem Zeitpunkt an Google weitergegeben. Die API gleicht die extrahierten Angaben auf inhaltliche Übereinstimmung ab. Es wird kein Score, kein Ranking und keine Eignungsbewertung vorgenommen. • Datenspeicherort: Die Verarbeitung erfolgt innerhalb der EU; Google verarbeitet die übermittelten Dokumente ausschließlich temporär und speichert sie nicht dauerhaft. 5.2 Vercel Inc. (Webhosting) Wir hosten unsere Website bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Servern im Rechenzentrum Frankfurt am Main, Deutschland (EU). Ein Transfer personenbezogener Daten in Drittländer findet nicht statt. Mit Vercel haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. 5.3 Resend Inc. (E-Mail-Versand) Für den Versand von Transaktions-E-Mails (Zugangscodes, Zertifikatsbestätigungen) nutzen wir den Dienst Resend, betrieben von Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. • Zweck: Versand von Authentifizierungscodes und Bestätigungs-E-Mails nach Abschluss des Verifizierungsprozesses • Übermittelte Daten: E-Mail-Adresse sowie Inhalte der transaktionalen E-Mails • Datenschutzgarantie: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen • Drittlandtransfer: Resend ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO); ergänzend sind EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart 5.4 Supabase Inc. (Datenbank) Wir betreiben unsere Datenbank über den Dienst Supabase, bereitgestellt von Supabase Inc., 970 Toa Payoh North, Singapur. • Zweck: Speicherung von Nutzerdaten, Profildaten und Zertifikatsdaten • Datenspeicherort: Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rechenzentrum Frankfurt am Main, Deutschland (EU). Ein Transfer personenbezogener Daten in Drittländer findet nicht statt. • Datenschutzgarantie: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen 5.5 Upstash, Inc. (Zwischenspeicherung und Rate-Limiting) Für die temporäre Zwischenspeicherung während des Verifizierungsvorgangs sowie zur Abwehr von Missbrauch und Überlastung (Rate-Limiting) nutzen wir den Redis-Dienst von Upstash, Inc. (Delaware-Gesellschaft, San Jose, Kalifornien, USA). • Zweck: Temporäre Zwischenspeicherung der Abgleichergebnisse bis zum Abschluss der Zahlung (automatische Löschung nach maximal 24 Stunden) sowie kurzzeitige Verarbeitung der IP-Adresse zur Begrenzung der Anfragehäufigkeit. • Datenspeicherort: Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in einem Rechenzentrum in der Europäischen Union. Ein Transfer personenbezogener Daten in Drittländer findet nicht statt. • Datenschutzgarantie: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen 5.6 Railway Corporation (Signaturprüfdienst) Die Prüfung der Amtssignatur des Versicherungsdatenauszugs erfolgt durch einen von uns selbst betriebenen Signaturprüfdienst, der auf der Infrastruktur von Railway Corporation (USA) gehostet wird. • Zweck: Ausschließlich die Prüfung der kryptografischen Echtheit der digitalen Signatur des hochgeladenen Versicherungsdatenauszugs. • Übermittelte Daten: Das hochgeladene Dokument wird ausschließlich zur Signaturprüfung kurzzeitig verarbeitet und unmittelbar danach automatisch gelöscht; der inhaltliche Text wird dabei nicht ausgelesen oder gespeichert. • Datenspeicherort: Die Verarbeitung erfolgt ausschließlich in einem Rechenzentrum in der Europäischen Union. Ein Transfer personenbezogener Daten in Drittländer findet nicht statt. • Datenschutzgarantie: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen

6. Zahlungsabwicklung über Stripe

Wenn du dich für einen kostenpflichtigen Service von Hirenapse entscheidest (z. B. die Ausstellung des Zertifikats), wickeln wir die Zahlung über den Zahlungsdienstleister Stripe ab. Anbieter und Empfänger: Für Nutzer im Europäischen Wirtschaftsraum (EWR) ist der verantwortliche Anbieter die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Verarbeitete Daten: Um die Zahlung abzuwickeln, gibst du deine Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum, CVC-Code) im Stripe Checkout ein. Diese Daten werden direkt an Stripe übermittelt und auf deren Servern verarbeitet. Wir von Hirenapse speichern deine vollständigen Kreditkartendaten nicht auf unseren eigenen Servern. Wir erhalten von Stripe lediglich Informationen über den Status der Zahlung (erfolgreich/fehlgeschlagen) sowie kryptographische Token zur Zuordnung. Zusätzlich können weitere Daten wie Name, E-Mail-Adresse und Transaktionsbetrag an Stripe übermittelt werden. Zweck und Rechtsgrundlage: Die Verarbeitung deiner Daten durch uns und die Übermittlung an Stripe erfolgt ausschließlich zum Zweck der Zahlungsabwicklung und Vertragserfüllung. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags). Drittlandtransfer: Stripe ist ein weltweit agierendes Unternehmen. Es ist daher möglich, dass deine Zahlungsdaten auch auf Server von Stripe in den USA übertragen werden. Dieser Datentransfer ist durch das EU-US Data Privacy Framework abgesichert, unter dem die US-Muttergesellschaft (Stripe, Inc.) zertifiziert ist. Weitere Details zum Umgang mit deinen Daten durch Stripe findest du in der Datenschutzerklärung von Stripe unter: https://stripe.com/de/privacy.

7. Speicherdauer

• Lebenslauf und Versicherungsdatenauszug: Unmittelbar nach dem Abgleich, spätestens jedoch 24 Stunden nach dem Upload, werden beide Dokumente unwiderruflich und vollständig von unseren Servern gelöscht (Art. 5 Abs. 1 lit. e DSGVO, Grundsatz der Speicherbegrenzung). • Öffentliches Profil und verifizierter Lebenslauf: Diese Daten bleiben gespeichert, bis du dein Nutzerkonto bei Hirenapse löschst oder den Nutzungsvertrag kündigst. Nach der Kontolöschung werden alle zugehörigen Daten vollständig von unseren Servern entfernt (Art. 17 Abs. 1 lit. a DSGVO). • Verifizierte Kerndaten (Name, Geburtsdatum, Berufsstationen, Signaturdaten): Diese Daten werden für die Dauer des aktiven Nutzerkontos gespeichert und dienen der Generierung deines Zertifikats auf Abruf. Nach Kontolöschung werden sie vollständig und unwiderruflich von unseren Servern entfernt (Art. 17 Abs. 1 lit. a DSGVO). Zertifikate werden nicht als Datei gespeichert, sondern ausschließlich on demand aus diesen Kerndaten generiert. • Technische Daten und Rate-Limiting: Zugriffsdaten wie die IP-Adresse werden zur Gewährleistung der Sicherheit und zur Begrenzung der Anfragehäufigkeit (Rate-Limiting) verarbeitet. Hierfür wird die IP-Adresse an unseren Infrastrukturdienstleister Upstash (Rechenzentrum in der EU, siehe Abschnitt 5.5) übermittelt; die entsprechenden Einträge werden nur kurzzeitig vorgehalten und laufen automatisch ab. Eine darüber hinausgehende dauerhafte Speicherung der IP-Adresse zu diesem Zweck erfolgt nicht (Art. 5 Abs. 1 lit. e DSGVO i.V.m. Art. 6 Abs. 1 lit. f DSGVO). • E-Mail-Adresse: Die E-Mail-Adresse wird für die Dauer des aktiven Nutzerkontos gespeichert und nach Kontolöschung vollständig entfernt (Art. 17 Abs. 1 lit. a DSGVO). Einmalige Zugangscodes (One-Time-Codes) werden automatisch nach einer Stunde ungültig und anschließend gelöscht (Art. 5 Abs. 1 lit. e DSGVO). • Zahlungsdaten: Zahlungsrelevante Daten werden von Stripe gemäß deren Datenschutzrichtlinie verarbeitet und gespeichert. Rechnungsbelege werden von uns entsprechend den gesetzlichen Aufbewahrungspflichten für die Dauer von 7 Jahren aufbewahrt (§ 132 BAO, § 212 UGB).

8. Deine Rechte als betroffene Person

Du hast jederzeit folgende Rechte: • Auskunftsrecht (Art. 15 DSGVO) • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO) • Recht auf Löschung, "Recht auf Vergessenwerden" (Art. 17 DSGVO). Zur Ausübung deines Löschungsrechts wende dich per E-Mail an hi@hirenapse.com. Wir bearbeiten dein Anliegen innerhalb von einem Monat nach Eingang deiner Anfrage gemäß Art. 12 Abs. 3 DSGVO. Eine Selbstlöschung über die Plattform ist derzeit nicht möglich. • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Zur Ausübung dieses Rechts wende dich per E-Mail an hi@hirenapse.com; wir stellen dir deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) innerhalb eines Monats zur Verfügung. • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Soweit wir Daten auf Grundlage deiner Einwilligung verarbeiten — insbesondere besondere Datenkategorien aus dem Versicherungsdatenauszug (Art. 9 Abs. 2 lit. a DSGVO) — kannst du diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Im Übrigen erfolgt die Verarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), die du durch Kündigung des Nutzungsvertrags und Löschung deines Kontos beenden kannst. • Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen. • Beschwerderecht (Art. 77 DSGVO): Du kannst dich jederzeit bei der zuständigen Aufsichtsbehörde beschweren: Datenschutzbehörde (DSB) Barichgasse 40–42, 1030 Wien | dsb@dsb.gv.at | www.dsb.gv.at Zur Ausübung deiner Rechte wende dich an: hi@hirenapse.com

9. Cookies, Session-Verwaltung und lokale Speicherung

Unsere Website ist cookie-frei: Wir setzen keine Cookies — weder technisch notwendige noch Tracking- oder Werbe-Cookies. Die Sprachauswahl (Deutsch/Englisch) wird ausschließlich über die URL gesteuert. Für den Betrieb des Dienstes nutzen wir ausschließlich technisch notwendigen lokalen Speicher (localStorage) in deinem Browser, um deine angemeldete Sitzung aufrechtzuerhalten und den Verifizierungsablauf zwischenzuspeichern. Diese Informationen verbleiben ausschließlich auf deinem Endgerät, enthalten keine Tracking- oder Werbefunktionen und werden nicht an uns oder Dritte übertragen. Für den Zugriff auf diese technisch notwendigen Informationen ist gemäß § 165 Abs. 3 TKG 2021 keine Einwilligung erforderlich.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf unserer Website abrufbar.