← Zurück

Datenschutzerklärung

Mit den folgenden Informationen erläutern wir, welche personenbezogenen Daten wir bei der Nutzung von PromptMyCV verarbeiten, zu welchen Zwecken dies geschieht und auf welcher Rechtsgrundlage die Verarbeitung erfolgt.

Stand: Mai 2026

1. Verantwortlicher

Nowaity UG (haftungsbeschränkt)
vertreten durch den Geschäftsführer: David Grabovac
Bingenerstraße 18, 80993 München, Deutschland
E-Mail: hallo@promptmycv.com

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und sonstiger einschlägiger Datenschutzvorschriften. Die Verarbeitung erfolgt nur, soweit dies zur Bereitstellung unserer Dienste, zur Vertragserfüllung, zur Sicherheit des Betriebs, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer Einwilligung erforderlich ist.

PromptMyCV ist eine digitale Bewerbungsplattform, die Nutzerinnen und Nutzer bei der Erstellung, Strukturierung und Optimierung von Bewerbungsunterlagen unterstützt. Die Plattform richtet sich insbesondere an Einzelpersonen sowie an institutionelle Partner wie Hochschulen, Career Services, Bildungsanbieter oder arbeitsmarktnahe Programme.

3. Verarbeitete Datenkategorien

  • Stammdaten / Accountdaten: E-Mail-Adresse, Passwort-Hash, ggf. Name, Spracheinstellungen, Account-Status und Nutzerrolle.
  • Inhaltsdaten: hochgeladene oder eingegebene Lebensläufe, eingefügte Stellenanzeigen, Angaben zu Ausbildung, Studium, Berufserfahrung, Fähigkeiten, Bewerbungszielen, Notizen, Bearbeitungsvorschläge sowie generierte oder optimierte CV-Abschnitte und Anschreiben.
  • Nutzungs- und Logdaten: IP-Adresse, Zeitstempel, Geräte- und Browserinformationen, technische Interaktionen, Sitzungsinformationen, Fehlermeldungen und sicherheitsrelevante Ereignisse.
  • Kommunikationsdaten: E-Mails, Support-Anfragen, Feedback, Termin- oder Kontaktanfragen.
  • Zahlungs- und Abrechnungsdaten: Transaktions-IDs, Zahlungsstatus, Rechnungsangaben und abrechnungsrelevante Informationen. Vollständige Kartendaten speichern wir nicht selbst.
  • Partner- und Eventdaten: Informationen darüber, über welchen Partner, welche Hochschule, welches Event oder welche Kampagne ein Nutzerkonto oder eine Nutzung ausgelöst wurde, z. B. über Partner-Codes, Event-Links oder Kampagnenparameter.

4. Besondere Kategorien personenbezogener Daten

PromptMyCV fordert Nutzerinnen und Nutzer grundsätzlich nicht dazu auf, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO einzugeben, z. B. Angaben zu Gesundheit, Religion, politischer Meinung, Gewerkschaftszugehörigkeit oder biometrische Daten.

Es kann jedoch vorkommen, dass Nutzerinnen und Nutzer solche Informationen freiwillig in ihren Lebensläufen, Anschreiben oder sonstigen Bewerbungsunterlagen angeben. In diesem Fall werden diese Angaben nur verarbeitet, soweit dies zur Bereitstellung der gewünschten Funktion erforderlich ist. Wir empfehlen, besondere Kategorien personenbezogener Daten nur dann in Bewerbungsunterlagen aufzunehmen, wenn dies für die jeweilige Bewerbung erforderlich oder ausdrücklich gewünscht ist.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

  • Bereitstellung des Dienstes und Kontoverwaltung (Art. 6 Abs. 1 lit. b DSGVO): Registrierung, Login, Sitzungsverwaltung, Speicherung von Nutzerinhalten und Bereitstellung der gewünschten Funktionen.
  • Erstellung und Optimierung von Bewerbungsunterlagen (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung von Lebenslaufdaten, Stellenanzeigen und Nutzereingaben zur Erstellung, Strukturierung, Anpassung und Verbesserung von Bewerbungsunterlagen.
  • KI-gestützte Unterstützung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung der bereitgestellten Inhalte zur Erstellung von Formulierungs-, Strukturierungs-, Optimierungs- und Vorbereitungsvorschlägen.
  • Betriebssicherheit, Fehleranalyse und Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung von Log-, Sicherheits- und Diagnosedaten zur Stabilität, Sicherheit, Fehlerbehebung und zum Schutz vor unbefugter Nutzung.
  • Abrechnung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b und lit. c DSGVO): Zahlungsabwicklung, Rechnungsstellung sowie Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten.
  • Kommunikation und Support (Art. 6 Abs. 1 lit. b und lit. f DSGVO): Beantwortung von Anfragen, technische Unterstützung, wichtige Service-Mitteilungen und Kommunikation zu bestehenden Vertrags- oder Nutzungsverhältnissen.
  • Analyse und Reichweitenmessung (Art. 6 Abs. 1 lit. a DSGVO): Nutzung von Analyse-Tools wie Google Analytics nur, sofern Sie zuvor über das Cookie-Banner eingewilligt haben.
  • Anonymisierte oder aggregierte Auswertungen für Partner (Art. 6 Abs. 1 lit. f DSGVO): Erstellung nicht personenbezogener Statistiken und Auswertungen, z. B. zur Nutzung eines Career-Event-Angebots, zu häufigen Unterstützungsbedarfen oder zur Wirksamkeit einer Kampagne. Institutionelle Partner erhalten dabei keine individuellen Lebensläufe, Anschreiben oder personenbezogenen Nutzerprofile, sofern hierfür keine gesonderte Rechtsgrundlage besteht.

6. KI-gestützte Verarbeitung

PromptMyCV nutzt KI-gestützte Funktionen, um Nutzerinnen und Nutzer bei der Erstellung, Strukturierung und Optimierung von Bewerbungsunterlagen zu unterstützen. Dazu können insbesondere Lebensläufe, Stellenanzeigen, Nutzerangaben, Bewerbungsziele und daraus abgeleitete Prompts verarbeitet werden.

Die KI-Funktionen dienen ausschließlich als Assistenzsystem. Die erzeugten Inhalte sind Vorschläge, die von Nutzerinnen und Nutzern geprüft, angepasst, übernommen oder verworfen werden können. Nutzerinnen und Nutzer bleiben selbst dafür verantwortlich, welche Inhalte sie in ihren Bewerbungsunterlagen verwenden.

Für die KI-gestützte Verarbeitung werden die jeweils erforderlichen Inhalte an unsere KI-Dienstleister OpenAI und Mistral AI übermittelt. Dies betrifft insbesondere Inhalte, die Nutzerinnen und Nutzer aktiv in PromptMyCV hochladen oder eingeben, z. B. Lebensläufe, Stellenanzeigen, Bewerbungsziele oder sonstige Angaben zur Bewerbung. Wir übermitteln nur solche Daten, die für die jeweilige Funktion erforderlich sind.

PromptMyCV trifft keine Entscheidung über Bewerbungen, Beschäftigung, Praktika, Studienplätze, Förderungen oder sonstige rechtlich oder ähnlich erheblich wirkende Sachverhalte. Es findet kein automatisiertes Ranking, keine Vorauswahl und keine Bewertung von Bewerberinnen oder Bewerbern im Auftrag von Arbeitgebern, Hochschulen oder Dritten statt.

Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt. Die Ergebnisse der KI-gestützten Verarbeitung dienen ausschließlich der Unterstützung der jeweiligen Nutzerinnen und Nutzer.

7. Einordnung der KI-Nutzung nach EU AI Act

PromptMyCV versteht seine KI-Funktionen als unterstützende Assistenzfunktionen für Einzelpersonen. Die Plattform ist nicht darauf ausgelegt, Bewerberinnen und Bewerber zu bewerten, zu ranken, auszusortieren oder Auswahlentscheidungen für Arbeitgeber, Hochschulen oder sonstige Dritte zu treffen.

Insbesondere wird PromptMyCV nicht als Recruiting-, Bewerbermanagement- oder Auswahlentscheidungssystem für Arbeitgeber betrieben. Die Plattform soll Nutzerinnen und Nutzer befähigen, eigene Bewerbungsunterlagen besser zu verstehen, zu strukturieren und eigenständig zu verbessern.

Soweit PromptMyCV KI-generierte Inhalte oder Vorschläge bereitstellt, wird dies im jeweiligen Nutzungskontext transparent gemacht. Nutzerinnen und Nutzer sollen erkennen können, dass bestimmte Vorschläge automatisiert erzeugt wurden und einer eigenen Prüfung bedürfen.

8. Nutzung im Rahmen von Hochschulen, Career Services und Partnerprogrammen

PromptMyCV kann im Rahmen von Kooperationen mit Hochschulen, Career Services, Karriereveranstaltungen, Bildungsanbietern oder arbeitsmarktnahen Programmen bereitgestellt werden. In solchen Fällen können Partner-Codes, Event-Links oder Kampagnenparameter verwendet werden, um die Nutzung einem bestimmten Partner, einer Veranstaltung oder einer Kampagne zuzuordnen.

Institutionelle Partner erhalten grundsätzlich nur aggregierte oder anonymisierte Auswertungen, beispielsweise zur Anzahl der Nutzungen, zu häufig gewählten Zielrollen, zu häufigen Unterstützungsbedarfen oder zu allgemeinen Optimierungspotenzialen im Rahmen eines Career-Events. Einzelne Lebensläufe, Anschreiben, Nutzerprofile oder personenbezogene Inhalte werden institutionellen Partnern nicht offengelegt, sofern hierfür keine ausdrückliche Einwilligung, vertragliche Grundlage oder gesetzliche Verpflichtung besteht.

Sofern PromptMyCV im Auftrag eines institutionellen Partners personenbezogene Daten verarbeitet, schließen wir bei Bedarf einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO ab. In diesem Fall richten sich die Einzelheiten der Verarbeitung zusätzlich nach dem jeweiligen Vertrag und den Weisungen des verantwortlichen Partners.

9. Empfänger und Auftragsverarbeiter

Zur Bereitstellung von PromptMyCV setzen wir technische Dienstleister ein. Diese verarbeiten personenbezogene Daten nur, soweit dies für die jeweiligen Zwecke erforderlich ist und soweit entsprechende vertragliche oder gesetzliche Grundlagen bestehen.

  • Hosting und technische Bereitstellung — Vercel Inc. Bereitstellung der Web-Plattform, Auslieferung der Anwendung sowie Verarbeitung technischer Betriebs-, Sicherheits- und Server-Logs.
  • Datenbank, Authentifizierung und Datei-Storage — Supabase. Speicherung von Accountdaten, Inhaltsdaten, Authentifizierungsdaten und hochgeladenen Dateien. Soweit möglich, wird eine EU-Region verwendet.
  • KI- und Sprachmodell-Dienste — OpenAI und Mistral AI. Zur Bereitstellung KI-gestützter Funktionen nutzen wir Dienste von OpenAI und Mistral AI. Dabei können Lebenslaufdaten, Stellenanzeigen, Nutzereingaben, Prompts, Metadaten und generierte Ausgaben verarbeitet werden, soweit dies zur Erstellung von Formulierungs-, Strukturierungs-, Optimierungs- und Vorbereitungsvorschlägen erforderlich ist.

    Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der jeweiligen PromptMyCV-Funktion. Nach unserem aktuellen Einsatzmodell werden die über PromptMyCV übermittelten Inhalte nicht zum Training allgemein verfügbarer KI-Modelle von OpenAI oder Mistral AI verwendet, sofern wir einer solchen Nutzung nicht ausdrücklich zustimmen oder eine entsprechende Einstellung aktivieren.

    Je nach Anbieter können technische Protokollierungs-, Sicherheits- oder Missbrauchspräventionsdaten verarbeitet und für begrenzte Zeit gespeichert werden. Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln, Angemessenheitsbeschlüssen, Zertifizierungen nach dem EU-U.S. Data Privacy Framework oder zusätzlicher technischer und organisatorischer Schutzmaßnahmen.
  • Zahlungsabwicklung — Stripe. Abwicklung von Zahlungen, Rechnungsstellung, Zahlungsstatus, Betrugsprävention und abrechnungsrelevante Nachweise. Wir speichern keine vollständigen Kartendaten.
  • Analyse — Google Analytics. Reichweitenmessung und Nutzungsanalyse nur, sofern Sie zuvor über das Cookie-Banner eingewilligt haben.
  • Kommunikation und Support. Je nach Kontaktweg können E-Mail-, Kalender- oder Support-Dienstleister eingesetzt werden, um Anfragen zu beantworten und Support zu leisten.

Eine aktuelle Übersicht wesentlicher Unterauftragsverarbeiter stellen wir institutionellen Partnern auf Anfrage zur Verfügung.

10. Drittlandübermittlung

Einzelne Dienstleister können personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA. Dies kann insbesondere Dienste für Hosting, Infrastruktur, Zahlungsabwicklung, Analyse, Kommunikation oder KI-Funktionen betreffen.

Soweit eine Drittlandübermittlung erfolgt, stellen wir sicher, dass geeignete Garantien im Sinne der DSGVO bestehen. Dazu können insbesondere Angemessenheitsbeschlüsse, Zertifizierungen nach dem EU-U.S. Data Privacy Framework, EU-Standardvertragsklauseln sowie zusätzliche technische und organisatorische Schutzmaßnahmen gehören.

11. Speicherdauer und Löschung

  • Account- und Inhaltsdaten: werden grundsätzlich gespeichert, solange Ihr Nutzerkonto besteht oder die Daten zur Bereitstellung der gewünschten Funktionen erforderlich sind. Sie können die Löschung Ihrer Daten oder Ihres Kontos verlangen.
  • Hochgeladene Lebensläufe und Bewerbungsinhalte: werden gespeichert, solange sie für die Nutzung der Plattform benötigt werden oder bis Sie diese löschen bzw. die Löschung verlangen.
  • Log- und Sicherheitsdaten: werden in der Regel für 30 bis 90 Tage gespeichert, sofern keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen, Missbrauch oder technischen Störungen erforderlich ist.
  • Abrechnungs- und Buchhaltungsdaten: werden entsprechend handels- und steuerrechtlicher Aufbewahrungspflichten für 6 bis 10 Jahre gespeichert.
  • Support- und Kommunikationsdaten: werden gespeichert, solange dies zur Bearbeitung der Anfrage und zur Nachvollziehbarkeit der Kommunikation erforderlich ist.
  • Aggregierte oder anonymisierte Auswertungen: können dauerhaft gespeichert werden, sofern sie keinen Rückschluss auf einzelne Personen ermöglichen.

12. Google Analytics und optionale Analyse

Wir nutzen Google Analytics 4 zur Reichweitenmessung und Verbesserung unseres Angebots nur, wenn Sie zuvor über das Cookie-Banner eingewilligt haben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen oder ändern.

Ohne Ihre Einwilligung setzen wir keine optionalen Analyse-Cookies ein. Notwendige technische Cookies und vergleichbare Technologien können eingesetzt werden, soweit sie für die Bereitstellung der Plattform erforderlich sind.

13. Stripe und Zahlungsabwicklung

Für Zahlungen nutzen wir Stripe. Stripe verarbeitet Zahlungsdaten, Transaktionsdaten, Rechnungsdaten und technische Informationen zur Zahlungsabwicklung, Betrugsprävention und Erfüllung gesetzlicher Pflichten. Wir erhalten keine vollständigen Kartendaten.

Rechtsgrundlage für die Zahlungsabwicklung ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Zahlungsdaten aus gesetzlichen Gründen aufbewahrt werden müssen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

14. Cookies und Einwilligungsverwaltung

Wir verwenden notwendige Cookies und vergleichbare Technologien, um grundlegende Funktionen der Plattform bereitzustellen, z. B. Login, Sitzungsverwaltung, Sicherheit und Cookie-Einstellungen. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

Optionale Cookies und vergleichbare Technologien, insbesondere für Analysezwecke, setzen wir nur mit Ihrer Einwilligung ein. Sie können Ihre Auswahl jederzeit über die Cookie-Einstellungen ändern oder widerrufen.

15. Ihre Rechte

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten (Art. 15 DSGVO),
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Recht auf Löschung Ihrer Daten (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO),
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte genügt eine E-Mail an hallo@promptmycv.com.

Außerdem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für nicht-öffentliche Stellen in Bayern ist grundsätzlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, sofern keine andere Aufsichtsbehörde zuständig ist.

16. Sicherheit und technische organisatorische Maßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Veränderung oder Offenlegung zu schützen. Dazu gehören insbesondere verschlüsselte Datenübertragung mittels TLS, rollenbasierte Zugriffskonzepte, Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, technische Zugriffskontrollen, Protokollierung sicherheitsrelevanter Vorgänge, regelmäßige Aktualisierung eingesetzter Systeme und organisatorische Vertraulichkeitsverpflichtungen.

Bei der Auswahl und Konfiguration von KI-Dienstleistern achten wir darauf, dass Inhalte aus PromptMyCV nicht zum Training allgemein verfügbarer Modelle verwendet werden, soweit dies durch Anbieterbedingungen, Vertragsgestaltung oder technische Einstellungen steuerbar ist.

Für institutionelle Partner, Hochschulen und Career Services stellen wir auf Anfrage weitere Informationen zu unseren technischen und organisatorischen Maßnahmen, eingesetzten Unterauftragsverarbeitern, Löschprozessen und Datenschutzprozessen bereit.

17. Pflicht zur Bereitstellung personenbezogener Daten

Bestimmte Angaben sind für die Nutzung von PromptMyCV erforderlich. Dazu gehören insbesondere eine E-Mail-Adresse für die Kontoerstellung sowie die Inhalte, die für die jeweilige Bewerbungsfunktion verarbeitet werden sollen, z. B. Lebenslaufdaten oder Stellenanzeigen. Ohne diese Daten kann PromptMyCV nicht oder nicht vollständig genutzt werden.

18. Minderjährige

Unser Angebot richtet sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen PromptMyCV nur nutzen, wenn hierfür eine wirksame Einwilligung der Erziehungsberechtigten vorliegt oder eine andere gesetzliche Grundlage besteht.

19. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche, technische oder organisatorische Änderungen ergeben. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

20. Kontakt bei Datenschutzfragen

Bei Fragen zur Verarbeitung personenbezogener Daten, zur Ausübung Ihrer Rechte oder zu Datenschutzthemen rund um PromptMyCV können Sie uns jederzeit kontaktieren:

E-Mail: hallo@promptmycv.com

© 2026 PromptMyCV — Nowaity UG (haftungsbeschränkt)