careertrainer.ai
DSGVO-konform·Alle kritischen Maßnahmen aktiv

DSGVO-Status

Vollständige Transparenz über unsere technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 5, 24, 25 und 32 DS-GVO. Wir nehmen den Schutz Ihrer Daten ernst.

Verantwortungsvolle Nutzung von KI ist uns wichtig: Transparenz, Datenminimierung und klare Grenzen beim Einsatz von KI in unseren Trainings.

52/58
Maßnahmen
implementiert
7
Auftragsverarbeiter
mit AVV
100%
EU-Hosting & -Backups
5, 24, 25, 32
Art.
DSGVO-Artikel abgedeckt

Zuletzt aktualisiert: Version 1.1 – 18. Februar 2026 · DSFA gemäß Art. 35 DS-GVO durchgeführt

Gesamtstatus52 Maßnahmen implementiert · 6 in Planung
90%
ImplementiertIn Planung

Transparenz

Art. 5 Abs. 1 lit. a DS-GVO
5/6

Verarbeitung in nachvollziehbarer Weise für Betroffene

  • Dokumentation von Art, Umfang und Zweck der Verarbeitung
  • Dokumentation der Datenempfänger und Überlassungszeiträume
  • Mandantendokumentation & logische Datentrennung (Company-ID)
  • Dokumentation verbindlicher Löschfristen
  • Dokumentation aller Auftrags- und UnterauftragsverhältnisseIn Planung
  • Veröffentlichte Datenschutzerklärung auf der Website

Zweckbindung

Art. 5 Abs. 1 lit. b DS-GVO
2/3

Daten nur für festgelegte, eindeutige und legitime Zwecke

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)In Planung
  • Verpflichtung der Mitarbeiter auf DS-GVO
  • Änderungen ausschließlich auf schriftliche Anweisung

Datenminimierung

Art. 5 Abs. 1 lit. c DS-GVO
3/4

Daten auf das notwendige Maß beschränkt

  • Privacy by Design – nur notwendige Felder bei Registrierung
  • Privacy by Default – keine automatischen Opt-ins
  • Pseudonymisierung – keine User-IDs an externe KI-Provider
  • Automatisierte Retention-LöschzyklenIn Planung

Richtigkeit

Art. 5 Abs. 1 lit. d DS-GVO
3/3

Daten sachlich richtig und auf dem neuesten Stand

  • Self-Service Profil-Bearbeitung für Nutzer
  • Self-Service Account-Löschung verfügbar
  • Timestamps (created_at, updated_at) & Audit-Log auf allen Datensätzen

Speicherbegrenzung

Art. 5 Abs. 1 lit. e DS-GVO
2/2

Identifizierung nur so lange wie erforderlich

  • Definierte Aufbewahrungsfristen für alle Datenkategorien
  • Audio wird ausschließlich in Echtzeit gestreamt – keine Aufzeichnung

Vertraulichkeit & Zugriffskontrolle

Art. 32 DS-GVO
16/17

Schutz vor unbefugtem Zugriff und Datenweitergabe

  • Server in ISO 27001-zertifiziertem Rechenzentrum (Hetzner, Frankfurt)
  • 100% Cloud-basiert – keine physischen Büroserver
  • Individuelle Benutzerkonten mit E-Mail-Verifizierung
  • Better Auth Framework – bcrypt Hashing (10 Salt-Rounds)
  • Passwortrichtlinien (min. 8 Zeichen, Sonderzeichen erforderlich)
  • Google OAuth / Social Login verfügbar
  • Session-Expiration: 7 Tage, Update nach 1 Tag
  • Automatischer Session-Timeout implementiert
  • Umfassender Brute-Force-Schutz & Account-Lockout
  • Zwei-Faktor-Authentifizierung (2FA/MFA)In Planung
  • Rollenkonzept: STANDARD_USER, MANAGER, HR, ADMIN
  • Logische Mandantentrennung – Company-ID-basierte Filterung aller Abfragen
  • Differenzierte Admin-Rechte mit Guards & Middleware-Schutz
  • HTTPS/TLS für alle Verbindungen (NGINX + Let's Encrypt)
  • WSS für WebSocket-Verbindungen (LiveKit WebRTC verschlüsselt)
  • Verschlüsselte API-Kommunikation (Bearer-Token Authentifizierung)
  • TLS-Übermittlung zu allen Auftragsverarbeitern (OpenAI, LiveKit, Stripe …)

Integrität

Art. 32 Abs. 1 lit. b DS-GVO
6/6

Schutz vor unbeabsichtigter Datenveränderung

  • Input-Validierung (Zod für Server Actions, Pydantic im Agent-Service)
  • SQL-Injection-Schutz (Prisma ORM mit Prepared Statements)
  • XSS-Schutz durch React Auto-Escaping
  • File-Upload-Validierung (Typ-Prüfung & Größenlimit 5–10 MB)
  • Stripe Webhook-Signatur-Verifizierung
  • Rate Limiting auf App-Ebene

Verfügbarkeit

Art. 32 Abs. 1 lit. b DS-GVO
5/5

Daten jederzeit zugänglich und nutzbar

  • Automatische tägliche Backups (S3 Frankfurt, EU)
  • PostgreSQL 16 auf dediziertem Server
  • Prometheus Metriken & Performance-Monitoring (keine User-Daten in Logs)
  • Dokumentierter Recovery-Prozess
  • Regelmäßige Recovery-Tests

Belastbarkeit

Art. 32 Abs. 1 lit. b DS-GVO
4/4

Auf Dauer sichergestellte Systemresilienz

  • Container-basierte Infrastruktur (Docker) – isolierte Services
  • NGINX Reverse Proxy (Load Handling & Request-Routing)
  • Watchdog-Mechanismen (120s Timeout, automatischer Session-Cleanup)
  • Hard-Cap maximale Session-Dauer: 3 600 Sekunden (1 Stunde)

Rechenschaftspflicht

Art. 5 Abs. 2 DS-GVO
3/5

Nachweis der Einhaltung aller Datenschutzgrundsätze

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)In Planung
  • Datenschutzbeauftragter (DSB)In Planung
  • Audit-Log (AuditLog-Tabelle mit IP, User-Agent, Timestamps, Old/New Values)
  • Protokollierung aller Anmeldevorgänge (Login-Historie mit IP & User-Agent)
  • JSON-strukturierte Logs ohne sensible Daten

KI-spezifische Maßnahmen

3/3

Besondere Schutzmaßnahmen für KI-gestützte Sprachverarbeitung

  • Audio nur in Echtzeit gestreamt – kein Recording, kein Buffer
  • Keine User-IDs / E-Mails / Company-Namen an KI-Provider (OpenAI, OpenRouter)
  • Transkripte für Evaluation ohne User-Name an OpenRouter übermittelt

Aufbewahrungsfristen

Klare Regeln darüber, wie lange wir Ihre Daten speichern

DatenartAufbewahrungsfrist
Nutzer-Account-DatenBis zur Account-Löschung
Training-Sessions & TranskripteBis zur Account-Löschung
Application Logs1 Jahr
Audit-Logs1 Jahr
B2B-Daten nach VertragsendeAuf Anfrage / Bei Ende der Zusammenarbeit

Auftragsverarbeiter

Alle Dienstleister, die personenbezogene Daten in unserem Auftrag verarbeiten, sind durch Auftragsverarbeitungsverträge (AVV) gebunden.

Hetzner Online GmbH
Hetzner Online GmbH
Deutschland

Hosting, Server, Datenbank

AVV abgeschlossen
LiveKit Labs Inc.
LiveKit Labs Inc.
EU (Frankfurt)

Voice / Video Streaming

AVV abgeschlossen
OpenAI LLC
OpenAI LLC
USA (SCCs)

Realtime API, GPT-Modelle

AVV abgeschlossen
OpenRouter Inc.
OpenRouter Inc.
USA (SCCs)

LLM-Routing & Evaluation

AVV abgeschlossen
Stripe Inc.
Stripe Inc.
USA (SCCs)

Zahlungsabwicklung

AVV abgeschlossen
Maileroo
Maileroo
Australien

E-Mail-Versand

AVV abgeschlossen
AWS (CloudFront / S3)
AWS (CloudFront / S3)
EU (Frankfurt)

CDN, Bilder, Backups

AVV abgeschlossen

Häufige Fragen zum Datenschutz

Konkrete Antworten zu technischen und organisatorischen Maßnahmen bei Careertrainer.ai

  • Werden Sprach- oder Audioaufnahmen meiner Trainings gespeichert?

    Nein. Audio wird ausschließlich in Echtzeit gestreamt (Browser → LiveKit EU → Agent). Es gibt kein Recording im Agent-Service, bei LiveKit ist Egress deaktiviert, und es werden keine Audio-Buffer oder temporären Dateien erzeugt.

  • Wo werden meine Daten gehostet und wo liegen die Backups?

    Anwendung und Datenbank laufen bei Hetzner in Frankfurt am Main (Deutschland), ISO 27001 zertifiziert. Backups werden täglich automatisiert in AWS S3 in der Region Frankfurt (EU) gespeichert.

  • Welche meiner Daten werden an OpenAI oder andere KI-Anbieter übermittelt?

    Es werden bewusst minimale Daten übermittelt: Keine User-ID, keine E-Mail und keine Firmennamen an OpenAI. Ihr Name wird nur bei der ersten Nachricht (gpt-4o-mini) und im Leadership Coach genutzt. Transkripte für die Evaluation gehen ohne Ihren Namen an OpenRouter.

  • Wie lange werden personenbezogene Daten aufbewahrt?

    Nutzer-Account-Daten und Training-Sessions/Transkripte werden bis zur Account-Löschung gespeichert. Application- und Audit-Logs maximal 1 Jahr. B2B-Daten nach Vertragsende auf Anfrage bzw. bei Ende der Zusammenarbeit gelöscht.

  • Gibt es mit allen Auftragsverarbeitern einen Vertrag (AVV)?

    Ja. Mit allen genannten Anbietern (Hetzner, LiveKit, OpenAI, OpenRouter, Stripe, Maileroo, AWS) sind Auftragsverarbeitungsverträge (AVV/DPA) abgeschlossen. Bei Drittländern (z. B. USA) kommen Standardvertragsklauseln (SCCs) zum Einsatz.

  • Wird eine Zwei-Faktor-Authentifizierung (2FA) angeboten?

    2FA/MFA ist für Enterprise-Kunden geplant. Aktuell sichern wir Anmeldungen durch starke Passwortrichtlinien (Mindestlänge, Komplexität), optional Google OAuth und umfassenden Brute-Force- sowie Account-Lockout-Schutz.

  • Wie ist die Trennung der Daten zwischen verschiedenen Unternehmen (Mandanten) umgesetzt?

    Multi-Tenancy erfolgt über eine Company-ID. Alle abfragen sind company-basiert gefiltert; Nutzer sehen nur eigene Daten, Manager/HR nur Daten der eigenen Company. Es gibt eine logische Mandantentrennung, keine gemeinsamen Datenbereiche.

  • Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?

    Ja. Eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO wurde durchgeführt. Die Dokumentation ist Bestandteil unserer Datenschutz- und Compliance-Maßnahmen.

  • Wie werden Passwörter gespeichert und geschützt?

    Wir nutzen Better Auth mit bcrypt-Hashing (10 Salt-Rounds). Es gelten Passwortrichtlinien (Mindestlänge 8 Zeichen, Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen). Zusätzlich sind Session-Timeout, Brute-Force-Schutz und Account-Lockout aktiv.

  • Wie kann ich meine Daten einsehen, berichtigen oder löschen lassen?

    Sie können Ihr Profil selbstständig im Account-Bereich bearbeiten (Berichtigung). Die vollständige Account-Löschung ist als Self-Service möglich; damit werden Ihre Nutzer- und Trainingsdaten gelöscht. Für weitere Anfragen (Auskunft, Löschung, Widerspruch) können Sie uns über die Kontaktmöglichkeiten in der Datenschutzerklärung erreichen.

Fragen zum Datenschutz?

Mehr Informationen zum Datenschutz in einer Produkt-Demo.

Zur Produkt-Demo

Dokumentationsversion 1.1 (18.02.2026) · DSFA gemäß Art. 35 DS-GVO durchgeführt