Stand: 27. März 2026

1. Verantwortlicher und Kontakt

Verantwortlicher: ContactVault (Inhaber: Louis Dauphin)
Thomas-Mann Str., 85080 Gaimersheim, Deutschland
E‑Mail: E-Mail anzeigen

Datenschutzbeauftragte/r: Es wurde derzeit keine gesonderte Datenschutzbeauftragte bzw. kein gesonderter Datenschutzbeauftragter benannt. Datenschutzanfragen richten Sie bitte an den oben genannten Verantwortlichen.

2. Welche Daten wir verarbeiten

• Bewerbungsdaten: Ihre E-Mail-Adresse, die von Ihnen eingegebene Empfänger-E-Mail-Adresse eines potenziellen Arbeitgebers oder Recruiting-Kontakts, optional Arbeitgebername und Stellenbezug, Nachrichtentext sowie optionale strukturierte Lebenslaufdaten (Berufserfahrung, Ausbildung, Skills/Levels).
• Verifikations- und Zustelldaten: Nachrichtenkennungen, Verifikationstokens, signierte Links, Zeitstempel, Zustell-/Bounce-/Complaint-Metadaten sowie technische Marker, die für den von Ihnen initiierten Versand- und Antwortfluss erforderlich sind.
• Speicherform der Empfängeradresse: Für zugestellte Nachrichten kann die Empfängeradresse in abgeleiteter und/oder verschlüsselter Form gespeichert werden, soweit dies für Zustellung, Thread-Zuordnung und Missbrauchsschutz erforderlich ist.
• Bewerbenden-Postfach- und Sessiondaten: mailboxbasierte Login-Tokens, sichere Session-Cookies für das Bewerbenden-Postfach, Thread-Metadaten sowie technische Zustandsdaten für Postfachfunktionen auf Bewerbendenseite.
• Antwort-Postfach- und Threaddaten: antwortfähige Postfachadressen, strukturierte Antwortkennzeichen, eingehende und ausgehende Thread-Ereignisse sowie zugehörige Zustellreferenzen.
• Kontaktformulardaten: Name, E-Mail, Betreff und Nachricht bei Nutzung des Kontaktformulars.
• Newsletterdaten (optional): E-Mail-Adresse bei bestätigter Anmeldung; gespeichert als verschlüsselter Eintrag mit pseudonymer Ableitungs-ID.
• Support-, Missbrauchs- und Compliance-Daten: Missbrauchsmeldungen, Löschanfragen, DSAR-Einträge, Vorfallregister und technische Referenzen.
• Technische Sicherheitsdaten: IP-bezogene Missbrauchs- und Rate-Limit-Informationen, Sicherheits-/Betriebslogs, Replay-/Nonce- und Integritätsmarker.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung des Dienstes (von Ihnen initiierter Versand von Nachricht/Lebenslauf, Verifikation, Zustellung, Bereitstellung des Bewerbenden-Postfachs sowie Zuordnung eingehender Antworten und strukturierter Antwortstatus). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Sicherheit, Missbrauchsprävention und Stabilität (Rate-Limits, Schutzmechanismen, Sicherheitslogs). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
• Erfüllung rechtlicher Pflichten (z. B. Nachvollziehbarkeit bei Missbrauchsfällen). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
• Newsletter-Versand (nur bei aktiver Anmeldung). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, widerrufbar).

4. Empfänger und Auftragsverarbeiter

• E-Mail-Dienstleister: Mailgun Technologies, Inc. für transaktionale E-Mails, Zustellmanagement sowie Bounce-/Complaint-Verarbeitung.
• Hosting/Infrastruktur: technische Server- und Infrastrukturprovider für Betrieb und Speicherung.
• Von Ihnen angegebener Nachrichtsempfänger: Wir senden Ihre Nachricht und etwaige Anhänge an die von Ihnen eingegebene Empfängeradresse, typischerweise einen potenziellen Arbeitgeber oder Recruiting-Kontakt. Dieser Empfänger handelt für die dort eingehende Kopie als eigenständig Verantwortlicher.

5. Drittlandübermittlungen

Soweit Auftragsverarbeiter oder von Ihnen ausgewählte Nachrichtsempfänger außerhalb der EU/des EWR sitzen, erfolgt die Übermittlung unter Beachtung der Art. 44 ff. DSGVO, soweit geeignete Garantien einschlägig sind. Wenn Sie den Dienst für eine Zustellung an eine Empfängeradresse außerhalb der EU/des EWR nutzen, kann die Übermittlung auf Ihre Veranlassung und zur Durchführung des angeforderten Dienstes erfolgen.

6. Speicherdauer und Löschfristen

• Unbestätigte Einsendungen: automatisierte Löschung nach Ablauf des Verifikations-Timeouts (derzeit standardmäßig 10 Minuten im Hauptfluss).
• Kurzlebige Zugangs- und Bestätigungsvorgänge: signierte Bestätigungs- und Login-Challenges haben getrennte kurze Timeouts und werden nach Verbrauch oder Ablauf regelmäßig bereinigt.
• Zugestellte Nachrichten und Thread-Inhalte: Löschung nach konfigurierter Nachrichtenfrist (derzeit standardmäßig 90 Tage) in Datenbank und dateibasierter Ablage, sofern keine rechtlichen Pflichten eine längere Aufbewahrung verlangen.
• Inaktive Bewerbenden-Konto-/Postfachreferenzen: Löschung nach konfigurierter Inaktivitätsfrist, sofern keine verbleibenden Nachrichten-, Thread- oder Pending-Referenzen bestehen.
• Antwort-Postfachadressen und strukturierte Antwortkennzeichen: werden nur solange vorgehalten, wie sie für Thread-Fortführung, Zustellung und Missbrauchsschutz benötigt werden; sie werden zusammen mit den zugehörigen Nachrichten- oder Threaddatensätzen gelöscht.
• Betriebs-/Sicherheitslogs: Rotation bei Größe und Löschung rotierten Materials nach konfigurierter Frist (derzeit standardmäßig 30 Tage).
• Rate-/Missbrauchscounter: Löschfristen je nach Domain (derzeit 14 Tage; Admin-Nonce-Marker 7 Tage).
• Administrative Wiederherstellungskopien und Exporte: interne Backup-/Exportkopien unter backups_codex/ dienen nur der kurzfristigen Wiederherstellung, Übergabe oder Prüfung und werden nach einer separaten kurzen Aufbewahrungsrichtlinie gelöscht; maßgeblich bleiben die Ursprungsdaten in den jeweiligen Produkt- und Compliance-Speichern.
• DSAR-/Vorfallregister: konfigurierbare Aufbewahrungshorizonte (derzeit 3 Jahre DSAR, 6 Jahre Sicherheitsvorfälle). Auto-Purge ist standardmäßig deaktiviert.
• Finanz-/Compliance-Daten: Aufbewahrungshorizont derzeit 10 Jahre konfiguriert. Auto-Purge ist standardmäßig deaktiviert.
• Newsletter: bis zur Abmeldung; notwendige Sperreinträge können zur Verhinderung unerwünschter Zusendungen länger gespeichert werden.

7. Technische und organisatorische Maßnahmen

ContactVault nutzt Transportverschlüsselung (TLS), verschlüsselte Datenspeicherung, Zugriffsbeschränkungen, Secret-Management, Missbrauchsschutz (u. a. Rate-Limits/Proof-of-Work) sowie regelmäßige Bereinigung nicht mehr erforderlicher Betriebsdaten.

8. Ihre Rechte

• Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).
• Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

9. Cookies und ähnliche Technologien

Derzeit werden nur technisch notwendige Cookies bzw. gleichwertige Speichermechanismen eingesetzt.

Für signierte Kontositzungen werden sichere, HttpOnly-Session-Cookies eingesetzt (derzeit insbesondere cvp, cva und cv2_session für mailbox-verifizierte Kontozugänge und Bewerbenden-Inbox-Sitzungen; Secure, SameSite=Lax, zeitlich begrenzt).

Sollten künftig nicht notwendige Cookies hinzukommen, werden Hinweise und Steuerungsmöglichkeiten entsprechend ergänzt, siehe /cookies.

10. Herkunft der Daten

Die meisten Daten werden direkt von Ihnen bereitgestellt. Technische Metadaten entstehen bei Nutzung automatisch durch Ihr Endgerät bzw. unsere Systeme.

11. Automatisierte Entscheidungen

Es finden keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Automatisierte Schutzmechanismen können verdächtige Eingaben blockieren oder begrenzen, um den Dienst zu schützen.

12. Ausübung Ihrer Rechte

Kontaktieren Sie uns per E-Mail anzeigen . Zum Schutz Ihrer Daten verlangen wir eine Verifikation der betroffenen Mailbox. Löschanfragen können zusätzlich über /gdpr/delete gestellt werden; die Bearbeitung erfolgt nach rechtlicher Prüfung und unter Berücksichtigung von Missbrauchsschutz. Aus Sicherheitsgründen werden bei diesem Prozess keine Bestandsauskünfte über das Vorliegen einer konkreten E-Mail-Adresse im System im Frontend offengelegt.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Verarbeitungsvorgänge oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist unter /privacy-policy verfügbar.