Privacy
Privacy policy
The legally binding version of this document is in German.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Raphael Stedler
Martin-Opitz-Straße 22
13357 Berlin
Deutschland
E-Mail: kognicode@proton.me
Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO derzeit nicht erforderlich, da der Verantwortliche weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
2. Allgemeine Hinweise
Diese Datenschutzerklärung gilt für die Webseite https://www.zeugnispilot.de und die Webanwendung Zeugnispilot. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der DSGVO und des BDSG.
Arbeitszeugnisse enthalten besonders sensible personenbezogene Daten von Beschäftigten. Die Kernverarbeitung (Hosting, Datenbank, Authentifizierung, Speicher, KI, E-Mail) erfolgt ausschließlich auf Servern in der EU — ohne Datenpfad zu US-KI-Anbietern. Die Anwendung wird auf eigener Infrastruktur bei Hetzner (Deutschland) betrieben; Datenbank, Authentifizierung und Dateiablage laufen self-hosted auf diesem Server.
3. Geltungsbereich und Verantwortlichkeit
Marketing-Site: Auf der öffentlichen Webseite sind wir Verantwortlicher für alle Datenverarbeitungen.
SaaS-Anwendung: In der Anwendung gibt es zwei Datenkategorien:
- Daten zu Arbeitgebern (unsere Kunden): Wir sind Verantwortlicher. Diese Datenschutzerklärung gilt.
- Daten zu Beschäftigten und sonstigen Dritten: Der Arbeitgeber (unser Kunde) ist Verantwortlicher im Sinne der DSGVO. Wir verarbeiten diese Daten ausschließlich auf Weisung des Kunden als Auftragsverarbeiter gemäß Art. 28 DSGVO. Hierfür stellen wir einen Auftragsverarbeitungsvertrag (AVV) bereit.
4. Datenerhebung beim Besuch der Webseite
Server-Logfiles
Beim Aufruf unserer Webseiten erhebt unser Hosting-Anbieter Hetzner Online GmbH (Rechenzentrum Falkenstein, Deutschland) folgende Daten in Server-Logfiles: IP-Adresse, Datum und Uhrzeit der Anfrage, Referrer-URL, Browser-Typ und -Version, Betriebssystem. Diese Daten werden temporär gespeichert, um Funktionalität und Sicherheit zu gewährleisten, und nach spätestens 30 Tagen gelöscht oder anonymisiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und sicherer Bereitstellung).
Cookies
Wir setzen technisch notwendige Cookies ein, die für den Betrieb erforderlich sind (z. B. Session-Cookies für den Login). Diese sind nach § 25 Abs. 2 TTDSG nicht einwilligungspflichtig. Wir verwenden kein bereichsübergreifendes Werbe-Tracking.
5. Konto- und Nutzungsdaten
Welche Daten wir verarbeiten
- E-Mail-Adresse und Name
- Login-Daten (verschlüsselt)
- Bei Anmeldung über Google: Profildaten von Google Ireland Ltd. (Name, E-Mail, Profilbild — nur bei aktiver Nutzung dieser Anmeldemethode)
- Bei Bezahlung: Stripe-Customer-ID (keine Kartendaten bei uns)
- Nutzungsdaten innerhalb der App
- Eingegebene und generierte Zeugnisdaten (Name, Position, Leistungsbeurteilung etc. von Beschäftigten)
- Hochgeladenes Firmen-Briefpapier und Logo
- Bei Personio-Integration: synchronisierte Beschäftigtendaten (nur auf Weisung des Kunden)
Zweck und Rechtsgrundlage
- Bereitstellung der vertraglich geschuldeten Dienste: Art. 6 Abs. 1 lit. b DSGVO
- Rechnungsstellung: Art. 6 Abs. 1 lit. c DSGVO
- Sicherheit und Missbrauchsverhinderung: Art. 6 Abs. 1 lit. f DSGVO
Speicherdauer
- Konto-Daten: solange das Konto besteht plus 30 Tage Löschfrist
- Rechnungsdaten: 10 Jahre (steuerliche Aufbewahrungspflicht)
- Zeugnisdaten: solange das Konto besteht oder bis der Kunde diese löscht
6. KI-gestützte Funktionen
Zeugnispilot nutzt KI-Modelle zur Generierung und Prüfung von Zeugnistexten:
- Primär: IONOS AI Model Hub (Deutschland)
- Failover: Scaleway Generative APIs (Frankreich) und OVH (Frankreich)
- Verarbeitete Daten: eingegebene Beschäftigtendaten und Zeugnisinhalte
- Speicherung beim Anbieter: nicht zur Modell-Trainierung; Löschung nach Verarbeitung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Human-in-the-loop ist systemisch: kein Zeugnis wird ohne Prüfung durch eine zuständige Person freigegeben.
7. Auftragsverarbeiter und Drittanbieter
Wir setzen folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bestehen bzw. abgeschlossen werden:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting der App; self-hosted Datenbank, Authentifizierung und Dateiablage | Deutschland (Falkenstein) |
| Scaleway SAS (TEM) | Transaktionale E-Mails (Registrierung, Passwort-Reset, Erinnerungen) | Frankreich |
| IONOS SE | KI-Generierung (primär) | Deutschland |
| Scaleway SAS | KI-Generierung (Failover) | Frankreich |
| OVH SAS | KI-Generierung (Failover) | Frankreich |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland / USA |
| Google Ireland Ltd. | Anmeldung über Google (OAuth, optional) | Irland / USA |
Hinweis zu Datentransfers in Drittländer
Für Hosting, Datenbank, Authentifizierung, Speicher, KI und E-Mail erfolgt die Verarbeitung ausschließlich in der EU. Bei Zahlung (Stripe) und optionaler Google-Anmeldung kann ein Datentransfer in die USA nicht ausgeschlossen werden. Hier schließen wir Standardvertragsklauseln (SCC) ab bzw. nutzen Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind.
8. Anmeldung mit Google
Sie können sich optional mit Ihrem Google-Konto anmelden. Dabei verarbeitet Google Ireland Ltd. personenbezogene Daten (u. a. Name, E-Mail-Adresse, Profilbild) zur Authentifizierung. Google ist hierbei eigenständiger Verantwortlicher. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. a DSGVO (Einwilligung durch aktive Wahl der Anmeldemethode). Datenschutzerklärung von Google: policies.google.com/privacy
9. Zahlungsabwicklung mit Stripe
Bei Buchung kostenpflichtiger Tarife werden Zahlungsdaten von Stripe Payments Europe, Ltd. verarbeitet. Stripe ist eigenständiger Verantwortlicher für die Zahlungsabwicklung. Wir erhalten von Stripe nur Stripe-Customer-ID, Abo-Status, Zahlungsstatus und Rechnungsdaten. Wir speichern keine Kreditkarten-Daten. Datenschutzerklärung von Stripe: stripe.com/de/privacy
10. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zur Wahrnehmung Ihrer Rechte wenden Sie sich an: kognicode@proton.me
11. Zuständige Aufsichtsbehörde
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin
Telefon: 030 / 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de
12. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen:
- Verschlüsselte Übertragung (TLS 1.2+)
- Verschlüsselte Speicherung sensibler Daten
- Row Level Security (RLS) — strikte Mandantentrennung
- Zugriff nur für autorisierte Personen
- Regelmäßige Backups
- Audit-Log aller KI-Aufrufe und Freigabeentscheidungen
Weitere Details finden Sie im Trust Center unter /trust.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund neuer Funktionen, geänderter Rechtsprechung oder sonstiger Gründe erforderlich ist. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie aktiv benachrichtigen (z. B. per E-Mail).
Sub-processors
Registry of processors involved. Where required we conclude DPAs under Art. 28 GDPR; links to provider DPAs where publicly available.
| Provider | Purpose | Location |
|---|---|---|
| Hetzner Online GmbH | Hosting; self-hosted database, authentication and storage | Deutschland (Falkenstein) · EU |
| Scaleway SAS (Transactional Email) | Transactional email (auth, reminders) | Frankreich · EU |
| IONOS SE (AI Model Hub) | AI generation of reference texts (primary) | Deutschland · EU |
| Scaleway SAS (Generative APIs) | AI generation (failover) | Frankreich · EU |
| OVH SAS | AI generation (failover) | Frankreich · EU |
| Stripe Payments Europe, Ltd. | Payment processing | Irland / USA · EU / US (SCC) |
| Google Ireland Ltd. | Sign-in with Google (OAuth, optional) | Irland / USA · EU / US (SCC) |
Data processing agreement (DPA)
For use as an employer we provide a data processing agreement under Art. 28 GDPR on request. Contact the email address in the legal notice; the template does not replace legal advice.
Trust Center →Stand: Juni 2026