Kontodaten (E-Mail, Name, gehashtes Passwort oder Google-OAuth-ID) — um dir ein Konto zu geben, Rechtsgrundlage: Vertrag. Die Lebensläufe, Anschreiben und Stellenanzeigen, die du hochlädst oder einfügst — um die von dir angefragte Funktion auszuführen, Rechtsgrundlage: Vertrag. Zahlungs-Metadaten (Kartendaten sehen wir nie) — zur Abwicklung von Käufen, Rechtsgrundlage: Vertrag + gesetzliche Pflicht. Produkt-Analytics — nur wenn du den Cookie-Banner akzeptierst, Rechtsgrundlage: Einwilligung, jederzeit widerrufbar. Grundlegende Server-Logs (IP, User-Agent) — zur Sicherheit, 30 Tage gespeichert, Rechtsgrundlage: berechtigtes Interesse.
Vercel (Hosting, EU/US), Neon (Postgres-Datenbank, EU), Vercel Blob (Datei-Speicher, EU/US), Resend (Transaktions-E-Mails, US mit Standardvertragsklauseln), Stripe und LemonSqueezy (Zahlungen, US mit Standardvertragsklauseln), Google (OAuth-Login, US mit Standardvertragsklauseln), PostHog (Analytics, EU, nur mit Einwilligung), OpenAI (KI-Funktionen über unseren Admin-Token, US mit Standardvertragsklauseln, kein Training mit deinen Daten). Wir verkaufen deine Daten nicht, geben sie nicht an Recruiter weiter und nutzen sie nicht für Werbung.
Aktive Kontodaten: bis du dein Konto löschst. Gelöschte Konten: innerhalb von 30 Tagen aus Datenbank und Blob-Speicher entfernt, aus PostHog sofort beim Löschen. Server-Logs: 30 Tage. Zahlungsbelege zu Rechnungen: werden von Stripe / LemonSqueezy für die gesetzliche Aufbewahrungsfrist (in der Regel bis zu 10 Jahre nach HGB / §147 AO) behalten — diese gesetzliche Pflicht können wir nicht umgehen.
Du kannst alles, was wir über dich speichern, unter Dashboard → Profil → „Meine Daten exportieren" als JSON herunterladen. Du kannst dein Konto und alle verknüpften Daten dort dauerhaft löschen. Du kannst die Analytics-Einwilligung jederzeit zurückziehen, indem du die Cookies löschst oder uns schreibst. Du kannst Berichtigung, Einschränkung der Verarbeitung oder Widerspruch verlangen. Du kannst dich auch bei einer Aufsichtsbehörde beschweren — zum Beispiel bei der Berliner Beauftragten für Datenschutz, wenn du in Deutschland bist, oder bei der für deinen Wohnort zuständigen Behörde.
HTTPS überall, verschlüsselte Datenbank, gehashte Passwörter, begrenzter Admin-Zugriff, Audit-Logs bei sensiblen Operationen. Falls es zu einer Datenschutzverletzung kommt, melden wir sie der Aufsichtsbehörde gemäß Art. 33 innerhalb von 72 Stunden — und dir direkt, falls ein hohes Risiko für dich besteht.
Datenschutzfragen, Auskunfts-, Lösch- oder Exportanfragen, oder alles, was komisch aussieht: hello@cvglow.org. Wir antworten innerhalb von 30 Tagen gemäß DSGVO Art. 12. CVGlow befindet sich derzeit in der Beta — Funktionen können sich ändern, deine Datenschutzrechte nicht.
We use privacy-friendly analytics to improve the product. No ads, no tracking across sites.