Stand: 10. März 2026

1. Verantwortlicher und Kontakt

Verantwortlicher: ContactVault (Inhaber: Louis Dauphin)
Thomas-Mann Str., 85080 Gaimersheim, Deutschland
E‑Mail: E-Mail anzeigen

Datenschutzbeauftragte/r: Es wurde derzeit keine gesonderte Datenschutzbeauftragte bzw. kein gesonderter Datenschutzbeauftragter benannt. Datenschutzanfragen richten Sie bitte an den oben genannten Verantwortlichen.

2. Welche Daten wir verarbeiten

• Bewerbungsdaten: Absender-E-Mail, verifizierter Arbeitgeber-Empfänger innerhalb des Dienstes, Nachrichtentext, optionale strukturierte Lebenslaufdaten (Berufserfahrung, Ausbildung, Skills), Stellenbezug und Arbeitgeberlabel.
• Verifikations- und Zustelldaten: Token, Zeitstempel, Signaturen sowie Zustell-/Abmeldeinformationen für den Nachrichtenfluss.
• Speicherform der Empfängeradresse: Für zugestellte Nachrichten wird die Empfängeradresse in der Nachrichtentabelle nicht im Klartext abgelegt, sondern als abgeleitete Referenz und verschlüsselter Wert gespeichert.
• Arbeitgeber-Onboarding- und Widget-Daten: Unternehmensname, Kontakt-E-Mail, Kontaktname, Rolle, Website, öffentliches Arbeitgeberlabel, Empfänger-Allow-List-Einträge, Widget-Metadaten (Stelle, Abteilung, Ort, Ablaufzeit, Owner-E-Mail) sowie zugehörige Prüf- und Freigabedaten.
• Dashboard-/Sessiondaten: mailboxbasierte Login-Tokens und sichere Session-Cookies für Bewerber- und Arbeitgeber-Dashboard.
• Kontaktformulardaten: Name, E-Mail, Betreff und Nachricht bei Nutzung des Kontaktformulars.
• Newsletterdaten (optional): E-Mail-Adresse bei bestätigter Anmeldung; gespeichert als verschlüsselter Eintrag mit pseudonymer Ableitungs-ID.
• Support-, Missbrauchs- und Compliance-Daten: Missbrauchsmeldungen, Löschanfragen, DSAR-Einträge, Vorfallregister und technische Referenzen.
• Technische Sicherheitsdaten: IP-bezogene Missbrauchs- und Rate-Limit-Informationen, Sicherheits-/Betriebslogs, Replay-/Nonce- und Integritätsmarker.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung des Dienstes (Übermittlung von Nachricht/Lebenslauf, Verifikation, Ablaufsteuerung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Sicherheit, Missbrauchsprävention und Stabilität (Rate-Limits, Schutzmechanismen, Sicherheitslogs). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
• Erfüllung rechtlicher Pflichten (z. B. Nachvollziehbarkeit bei Missbrauchsfällen). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
• Newsletter-Versand (nur bei aktiver Anmeldung). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, widerrufbar).

4. Empfänger und Auftragsverarbeiter

• E-Mail-Dienstleister: Mailgun Technologies, Inc. für transaktionale E-Mails, Zustellmanagement sowie Bounce-/Complaint-Verarbeitung.
• Hosting/Infrastruktur: technische Server- und Infrastrukturprovider für Betrieb und Speicherung.
• Verifizierte Arbeitgeber-Empfänger: Die übermittelten Inhalte gehen an den innerhalb des Dienstes freigegebenen Arbeitgeber-Posteingang bzw. an einen zugehörigen Widget-Empfänger. Diese Arbeitgeber handeln für ihre empfangene Kopie als eigenständig Verantwortliche.

5. Drittlandübermittlungen

Soweit Auftragsverarbeiter oder verifizierte Arbeitgeber-Empfänger außerhalb der EU/des EWR sitzen, erfolgt die Übermittlung unter Beachtung der Art. 44 ff. DSGVO (z. B. auf Basis geeigneter Garantien wie Standardvertragsklauseln), soweit solche Garantien einschlägig sind. Wenn Sie den Dienst für eine Zustellung an einen verifizierten Arbeitgeber-Empfänger außerhalb der EU/des EWR nutzen, kann die Übermittlung auf Ihre Veranlassung und zur Durchführung des angeforderten Dienstes erfolgen.

6. Speicherdauer und Löschfristen

• Unbestätigte Einsendungen: automatisierte Löschung nach Ablauf des Verifikations-Timeouts (derzeit standardmäßig 10 Minuten im Hauptfluss).
• Weitere kurzlebige Pending-Flows: getrennte kurze Timeouts für signierte Bestätigungs- oder Zugangsvorgänge.
• Zugestellte Nachrichten: Löschung nach konfigurierter Nachrichtenfrist (derzeit standardmäßig 90 Tage) in Datenbank und dateibasierter Ablage.
• Inaktive Free-Accounts: Löschung nach konfigurierter Inaktivitätsfrist (derzeit standardmäßig 90 Tage), sofern keine verbleibenden Nachrichten-/Pending-Referenzen bestehen.
• Betriebs-/Sicherheitslogs: Rotation bei Größe und Löschung rotierten Materials nach konfigurierter Frist (derzeit standardmäßig 30 Tage).
• Rate-/Missbrauchscounter: Löschfristen je nach Domain (derzeit 14 Tage; Admin-Nonce-Marker 7 Tage).
• Arbeitgeber-Onboarding-Anfragen: offene Anfragen bleiben nur für ein kurzes Prüfungsfenster erhalten (derzeit 30 Tage). Freigegebene oder abgelehnte Anfragen werden für eine kurze Übergabe-/Nachweisfrist (derzeit 30 Tage) vorgehalten und anschließend gelöscht.
• Empfänger-Allow-List und Owner-Zuordnung: diese Datensätze bleiben gespeichert, solange sie für die Zustellung an verifizierte Arbeitgeber oder für die Widget-Verwaltung benötigt werden. Nach Offboarding oder Entfernung werden sie gelöscht, sobald sie dafür nicht mehr erforderlich sind.
• Widgets: aktive oder pausierte Widgets bleiben gespeichert, solange sie weiter betrieben oder wieder aktiviert werden können. Geschlossene oder abgelaufene Widgets werden nach einer begrenzten Inaktivitätsfrist (derzeit 90 Tage) gelöscht, sofern keine rechtlichen oder missbrauchsbezogenen Gründe entgegenstehen.
• Administrative Wiederherstellungskopien und Exporte: interne Backup-/Exportkopien unter backups_codex/ dienen nur der kurzfristigen Wiederherstellung, Übergabe oder Prüfung und werden nach einer separaten kurzen Aufbewahrungsrichtlinie gelöscht; maßgeblich bleiben die Ursprungsdaten in den jeweiligen Produkt- und Compliance-Speichern.
• DSAR-/Vorfallregister: konfigurierbare Aufbewahrungshorizonte (derzeit 3 Jahre DSAR, 6 Jahre Sicherheitsvorfälle). Auto-Purge ist standardmäßig deaktiviert.
• Finanz-/Compliance-Daten: Aufbewahrungshorizont derzeit 10 Jahre konfiguriert. Auto-Purge ist standardmäßig deaktiviert.
• Newsletter: bis zur Abmeldung; notwendige Sperreinträge können zur Verhinderung unerwünschter Zusendungen länger gespeichert werden.

7. Technische und organisatorische Maßnahmen

ContactVault nutzt Transportverschlüsselung (TLS), verschlüsselte Datenspeicherung, Zugriffsbeschränkungen, Secret-Management, Missbrauchsschutz (u. a. Rate-Limits/Proof-of-Work) sowie regelmäßige Bereinigung nicht mehr erforderlicher Betriebsdaten.

8. Ihre Rechte

• Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).
• Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

9. Cookies und ähnliche Technologien

Derzeit werden nur technisch notwendige Cookies bzw. gleichwertige Speichermechanismen eingesetzt.

Für signierte Kontositzungen werden sichere, HttpOnly-Session-Cookies eingesetzt (derzeit insbesondere cvp, cva und cve für mailbox-verifizierte Kontozugänge; Secure, SameSite=Strict, zeitlich begrenzt).

Sollten künftig nicht notwendige Cookies hinzukommen, werden Hinweise und Steuerungsmöglichkeiten entsprechend ergänzt, siehe /cookies.

10. Herkunft der Daten

Die meisten Daten werden direkt von Ihnen bereitgestellt. Technische Metadaten entstehen bei Nutzung automatisch durch Ihr Endgerät bzw. unsere Systeme.

11. Automatisierte Entscheidungen

Es finden keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Automatisierte Schutzmechanismen können verdächtige Eingaben blockieren oder begrenzen, um den Dienst zu schützen.

12. Ausübung Ihrer Rechte

Kontaktieren Sie uns per E-Mail anzeigen . Zum Schutz Ihrer Daten verlangen wir eine Verifikation der betroffenen Mailbox. Löschanfragen können zusätzlich über /gdpr/delete gestellt werden; die Bearbeitung erfolgt nach rechtlicher Prüfung und unter Berücksichtigung von Missbrauchsschutz. Aus Sicherheitsgründen werden bei diesem Prozess keine Bestandsauskünfte über das Vorliegen einer konkreten E-Mail-Adresse im System im Frontend offengelegt.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Verarbeitungsvorgänge oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist unter /privacy-policy verfügbar.