← Zurück zur Startseite

Datenschutzerklärung

Stand: 10. Juni 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Plattform (Ambit) ist:

Dirk Walter
E-Mail: info (at) custain.de

Bei Fragen zum Datenschutz kannst du dich jederzeit per E-Mail an uns wenden.

2. Welche Daten wir verarbeiten

Wir verarbeiten ausschließlich Daten, die du aktiv eingibst oder hochlädst:

  • Kontodaten: E-Mail-Adresse, Passwort (verschlüsselt, via Supabase Auth)
  • Profildaten: Name, Telefon, Adresse, LinkedIn-URL, Zusammenfassung
  • Lebensläufe & Dokumente: Inhalte hochgeladener Dateien (PDF, DOCX, TXT)
  • Berufserfahrungen & Skills: Von dir eingetragene oder per KI extrahierte Daten
  • Jobs: Gefundene oder manuell importierte Stellenangebote inkl. KI-Bewertungen
  • Bewerbungen: Anschreiben, Status, Notizen, Datum
  • Interview-Vorbereitung: Generierte Guides und Cheat Sheets
  • Portal-Profile: Generierte LinkedIn- und XING-Texte
  • Suchpräferenzen: Stichworte, Standorte, Gehaltsvorstellungen, Match-Schwellenwert

Für Profil- und Bewerbungsdaten gilt: Wir verarbeiten nur, was du aktiv eingibst oder hochlädst. Es existieren keine Werbetreibenden-Netzwerke und keine Profilbildung für kommerzielle Zwecke. Zur Verbesserung der Plattform setzen wir Microsoft Clarity für Nutzungsanalyse (Session Recordings, Heatmaps, Klick- und Scroll-Verhalten) und Google Analytics 4 für Reichweitenmessung mit anonymisierter IP ein. Diese Daten werden ausschließlich für die Produktentwicklung genutzt, nicht für Werbung.

3. Zweck der Verarbeitung

Deine Daten werden ausschließlich genutzt, um die Kernfunktionen der Plattform bereitzustellen:

  • Erstellung, Verwaltung und Verbesserung deines Bewerberprofils
  • KI-gestützte Analyse von Stellenangeboten und Passgenaue-Bewertung
  • Generierung individueller Bewerbungsunterlagen
  • Vorbereitung auf Vorstellungsgespräche
  • Statusverfolgung deiner Bewerbungen

Deine Daten werden nicht an Arbeitgeber, Recruiter, Jobbörsen oder Werbetreibende weitergegeben.

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sie ist zur Bereitstellung der von dir genutzten Dienste erforderlich.

Für Daten, die über die reine Vertragserfüllung hinausgehen (z.B. optionale Profil-Anreicherung), stützen wir uns auf deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die du durch die explizite Nutzung der jeweiligen Funktion erteilst.

5. Drittanbieter & Datenübermittlung

Deine Daten sind bei uns sicher und wir gehen verantwortungsvoll damit um. Für den Betrieb der Plattform sind technische Partner notwendig, jeder mit klar umrissenem Zweck und DSGVO-konformer Grundlage. EU-Hosting ist Standard. Wo Anbieter ihren Sitz außerhalb der EU haben (insbesondere in den USA), greifen Auftragsverarbeitungsverträge, EU-Standardvertragsklauseln sowie, soweit der Anbieter zertifiziert ist, das EU-US Data Privacy Framework.

Im Einzelnen setzen wir folgende Dienste ein:

Supabase (Datenbank & Authentifizierung)

Alle Profil- und Bewerbungsdaten werden in einer Supabase-PostgreSQL-Datenbank gespeichert, die in Stockholm (Schweden, EU) gehostet wird. Deine Daten verlassen die EU im normalen Betrieb nicht. Ein Auftragsverarbeitungsvertrag (AVV) mit EU-Standardvertragsklauseln liegt vor. Anbieter: Supabase Inc., USA.

Brevo (Transaktions-E-Mails & Newsletter)

Für den Versand transaktionaler E-Mails (Waitlist-Bestätigung, Konto-Aktivierung, Passwort-Reset, Einladung, E-Mail-Änderung) setzen wir Brevo auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) ein. Dabei wird deine E-Mail-Adresse an Brevo übermittelt. Sobald wir einen Newsletter anbieten, läuft auch dieser über Brevo, dann auf Basis deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) mit Double-Opt-In und jederzeitigem Abmeldelink in jeder Mail. Brevo ist EU-ansässig und DSGVO-konform; ein Auftragsverarbeitungsvertrag (AVV) wurde bei der Kontoeinrichtung automatisch abgeschlossen. Anbieter: Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich.

Anthropic Claude (KI-Verarbeitung)

Für KI-Funktionen (CV-Analyse, Job-Matching, Anschreiben, Interview-Guides) werden ausschließlich berufliche Inhalte an die Anthropic API übermittelt. Stammdaten (Name, E-Mail, Telefon, Adresse) werden vor der Übermittlung technisch entfernt und niemals an Claude gesendet. Sie verbleiben ausschließlich in der verschlüsselten Datenbank. Anthropic speichert übermittelte Inhalte nicht dauerhaft für Trainingszwecke. Anbieter: Anthropic PBC, USA.

Vercel (Hosting)

Die Webanwendung wird über Vercel bereitgestellt. Dabei können technische Logs (IP-Adresse, Zeitstempel, Request-Pfad) anfallen. Anbieter: Vercel Inc., USA. EU-Standardvertragsklauseln liegen vor.

SerpAPI, Adzuna & Tavily (Job-Suche & Web-Recherche)

Für die automatische Jobsuche werden Suchbegriffe und Standorte an SerpAPI übermittelt. Perspektivisch nutzen wir zusätzlich Adzuna als zweite Job-Quelle mit identischem Datenfluss (nur Suchbegriffe und Standorte). Für Web-Recherche-Funktionen (z.B. Unternehmensanalyse in der Interview-Vorbereitung) werden URLs an Tavily übermittelt. Keine personenbezogenen Kerndaten werden an diese Dienste weitergegeben.

Upstash Redis (Rate Limiting)

Zur Absicherung gegen Missbrauch wird die IP-Adresse für Rate-Limiting-Zwecke temporär bei Upstash gespeichert. Keine weiteren personenbezogenen Daten werden übermittelt.

Microsoft Clarity (Nutzungsanalyse)

Zur Verbesserung der Plattform nutzen wir Microsoft Clarity. Clarity erfasst anonymisiertes Nutzungsverhalten: Mausbewegungen, Klicks, Scroll-Tiefe und Session Recordings. Auf Seiten der eingeloggten App läuft Clarity auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Produktverbesserung. Auf öffentlichen Seiten wird Clarity nur mit deiner Einwilligung geladen. Die Daten werden ausschließlich für Produktentwicklung genutzt, nicht für Werbung oder Profilbildung. Anbieter: Microsoft Corporation, USA. Datenschutzerklärung: privacy.microsoft.com.

Google Analytics 4 (Reichweitenmessung)

Wir nutzen Google Analytics 4 zur statistischen Auswertung von Seitenaufrufen, Geräten und Klickpfaden. Erfasst werden eine anonymisierte IP-Adresse, Pageviews und ausgewählte Events. Die IP-Anonymisierung ist serverseitig aktiv (anonymize_ip), eine direkte Identifikation einzelner Nutzer ist damit nicht möglich. Auf Seiten der eingeloggten App läuft Google Analytics auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Produktverbesserung. Auf öffentlichen Seiten wird Google Analytics nur mit deiner Einwilligung geladen. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung: policies.google.com/privacy.

Google Search Console (aggregierte Suchstatistiken)

Wir nutzen die Google Search Console, um zu sehen, über welche Suchanfragen unsere Seite gefunden wird und wie sie in den Google-Suchergebnissen erscheint. Search Console liefert ausschließlich aggregierte Auswertungen, keine besucherbezogenen Daten. Es werden keine Cookies durch dieses Tool gesetzt. Anbieter: Google Ireland Limited.

6. Automatisierte Entscheidungsfindung

Die Bewertung deiner Eignung für ein Stellenangebot (Match-Score von 0 bis 100) sowie die Generierung von Anschreiben, Karriere-Positionierungen und Interview-Vorbereitungen erfolgen KI-gestützt. Diese Vorschläge sind Empfehlungen und nicht bindend. Du behältst die volle Kontrolle darüber, auf welche Stellen du dich bewirbst, welche generierten Inhalte du nutzt und welche Schritte du gehst.

Eine vollautomatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt. Insbesondere lehnen wir keine Nutzer aufgrund algorithmischer Bewertung ab und übermitteln Bewerbungen niemals automatisch an Arbeitgeber.

7. Speicherdauer

Deine Daten werden so lange gespeichert, wie dein Konto aktiv ist. Bei Kontolöschung werden alle personenbezogenen Daten unverzüglich und vollständig gelöscht, inklusive Profil, Erfahrungen, Skills, Dokumente, Jobs, Bewerbungen und generierte Inhalte.

Technische Logs (Vercel, Upstash) werden automatisch nach spätestens 30 Tagen gelöscht.

8. Deine Rechte

Als betroffene Person hast du gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15): Du kannst jederzeit alle über dich gespeicherten Daten einsehen und exportieren, über „Einstellungen → Alle Daten exportieren".
  • Berichtigung (Art. 16): Du kannst deine Daten jederzeit in deinem Profil und in den Einstellungen korrigieren.
  • Löschung (Art. 17): Du kannst dein Konto und alle damit verbundenen Daten jederzeit selbst löschen, über „Einstellungen → Konto schließen".
  • Einschränkung (Art. 18): Du kannst die Verarbeitung einschränken lassen, solange Berichtigungen geprüft werden.
  • Datenübertragbarkeit (Art. 20): Du kannst deine Daten als maschinenlesbares JSON exportieren.
  • Widerspruch (Art. 21): Du kannst der Verarbeitung widersprechen, soweit sie auf berechtigtem Interesse basiert.

Um deine Rechte geltend zu machen, wende dich an: info (at) custain.de

Du hast außerdem das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Zuständig ist die Behörde des Bundeslandes, in dem du wohnst.

9. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Die Datenbank ist durch Row-Level Security (RLS) abgesichert. Jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen. API-Routen sind durch Authentifizierungsprüfung geschützt.

Passwörter werden niemals im Klartext gespeichert, die Authentifizierung erfolgt vollständig über Supabase Auth mit bcrypt-Hashing.

Sollte es trotz aller Maßnahmen zu einem meldepflichtigen Datenschutzvorfall kommen, informieren wir betroffene Nutzer und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 und Art. 34 DSGVO.

10. Cookies & lokaler Speicher

Technisch notwendige Cookies (immer aktiv): Session-Token für die Authentifizierung über Supabase. Ohne diese Cookies ist eine Anmeldung nicht möglich.

Analyse (Microsoft Clarity, Google Analytics 4): Auf den Seiten der eingeloggten App laufen beide Dienste auf Basis berechtigten Interesses dauerhaft. Auf öffentlichen Seiten der Landing Page werden sie nur geladen, wenn du im Consent-Banner zugestimmt hast. Google Analytics setzt dabei Cookies (insbesondere_ga und _ga_*) für die Wiedererkennung von Sessions. Deine Consent-Wahl wird in localStorage gespeichert (Schlüssel: ambit_consent) und kann jederzeit durch Löschen des Browser-Speichers zurückgesetzt werden.

Für einzelne UI-Einstellungen (z.B. Onboarding-Status, Farbschema) wird ebenfallslocalStorage verwendet. Diese Daten verlassen deinen Browser nicht.

11. Minderjährige

Ambit richtet sich an volljährige Nutzer ab 18 Jahren. Wir verarbeiten wissentlich keine Daten von Minderjährigen. Solltest du erkennen, dass ein minderjähriger Nutzer ein Konto angelegt hat, informiere uns bitte unter info (at) custain.de, damit wir die Daten umgehend löschen können.

12. Änderungen dieser Erklärung

Wir werden diese Datenschutzerklärung bei wesentlichen Änderungen der Datenverarbeitung aktualisieren und das Datum oben anpassen. Bei eingetragenen Nutzern erfolgt eine Benachrichtigung per E-Mail.

Stand: 10. Juni 2026 · Diese Erklärung gilt für die Plattform unter ambit.career