Rechtliches

Datenschutzerklärung

Stand: Juni 2026

Diese Plattform verwendet keine Cookies für Tracking oder Werbung. Das verwendete Analyse-Tool (Umami) ist cookielos und speichert keine personenbezogenen Daten. Es wird ausschließlich ein technisch notwendiges Session-Cookie zur Sitzungsverwaltung gesetzt (kein Tracking, keine personenbezogenen Daten) — ein Cookie-Banner ist daher nicht erforderlich.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO:

Roman Jaborsky
Gustav-Adolf-Str. 12E
85051 Ingolstadt
Deutschland
E-Mail: datenschutz@recrulu.com

2. Kontoregistrierung und Login

2.1 Registrierungsdaten

Bei der Erstellung eines Kontos auf recrulu.com erheben wir folgende Daten:

  • E-Mail-Adresse
  • Benutzername (frei wählbar)
  • Vorname und Nachname
  • Nutzertyp (Kandidat oder Recruiter)
  • Avatar-Farbe (frei wählbar, wird im Profil angezeigt)
  • Profilslug (URL-Kennung des Profils, z. B. /lu/benutzername)
  • Plan (standardmäßig: free)
  • Zeitpunkt der Registrierung

Zweck: Erstellung und Verwaltung des Nutzerkontos sowie Bereitstellung aller Plattformfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Dienstes gemäß den Nutzungsbedingungen).

2.2 Passwort

Passwörter werden ausschließlich als bcrypt-Hash gespeichert und sind zu keinem Zeitpunkt im Klartext einsehbar — weder für uns noch für Dritte.

2.3 Registrierungsbestätigung per E-Mail

Nach der Registrierung erhalten Sie eine Bestätigungs-E-Mail. Diese wird über den Dienst Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich) versandt. Brevo verarbeitet dabei Ihre E-Mail-Adresse als Auftragsverarbeiter gemäß Art. 28 DSGVO. Es besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen: brevo.com/de/legal/privacypolicy/

3. Authentifizierung und Single Sign-On (SSO)

Nach dem Login wird ein JWT-Token (JSON Web Token, signiert mit HS256) als HttpOnly-Cookie gesetzt. Dieser Token hat eine Gültigkeit von 7 Tagen. Das Cookie ist für JavaScript nicht lesbar und wird ausschließlich über HTTPS übertragen.

Der Token gilt plattformübergreifend auf allen drei Recrulu-Diensten:

  • recrulu.com — Hauptplattform (Kontoführung, Profile)
  • forum.recrulu.com — Forum (kein separates Forum-Konto erforderlich)
  • app.recrulu.com — KI-gestützter Discovery-Chat

Dieses Single-Sign-On-Verfahren ermöglicht die nahtlose Nutzung aller drei Dienste mit einem einzigen Konto ohne erneute Anmeldung.

3a. Technisch notwendiges Authentifizierungs-Cookie

Beim Login setzt recrulu.com ein HttpOnly-Cookie mit dem Namen recrulu_session. Das Cookie enthält den JWT-Authentifizierungstoken und hat eine Gültigkeit von 7 Tagen — die Anmeldung bleibt nach einem Browser-Neustart erhalten, sodass keine erneute Eingabe von Zugangsdaten erforderlich ist.

Das Cookie ist durch das HttpOnly-Flag für JavaScript nicht auslesbar. Es wird ausschließlich über HTTPS übertragen (Secure-Flag). Es enthält keine Tracking-Informationen und wird ausschließlich zur Authentifizierung genutzt.

  • Name: recrulu_session
  • Inhalt: JWT-Authentifizierungstoken (signiert, nicht entschlüsselbar ohne Serverschlüssel)
  • Zweck: Authentifizierung und plattformübergreifendes Single Sign-On
  • Gültigkeit: 7 Tage (persistent, bleibt nach Browser-Neustart erhalten)
  • Flags: HttpOnly, Secure, SameSite=Lax, Domain=.recrulu.com
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig — keine Einwilligung erforderlich)

4. Nutzerprofile

Recrulu-Profile unter den Pfaden /lu/ (Kandidatenprofile), /rec/ (Recruiter-Profile) und /co/ (Unternehmensprofile) sind grundsätzlich nicht öffentlich zugänglich. Der Zugriff erfordert jederzeit eine aktive Anmeldung mit einem gültigen Recrulu-Konto. Es gibt keine öffentlich indexierbaren Profilseiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Karrieredaten (Kurzprofil)

Eingeloggte Nutzer können auf recrulu.com ein freiwilliges Kurzprofil mit karrierebezogenen Angaben hinterlegen. Folgende Felder werden erhoben (alle optional):

  • Wohnregion / Stadt
  • Gehaltsvorstellung oder Gehaltsrahmen
  • Höchster Bildungsabschluss
  • Studiengang oder Ausbildungsberuf
  • Berufserfahrung
  • Bevorzugtes Arbeitsmodell (Remote / Hybrid / Vor Ort)
  • Verfügbarkeit ab
  • Unternehmen und Standort der Stelle (für Recruiter)

Freitextfelder (Stadt, Studiengang, Unternehmen, Stellenstandort) sowie Gehaltsangaben werden verschlüsselt gespeichert (AES-128-Fernet). Strukturierte Auswahlfelder (Abschluss, Arbeitsmodell etc.) werden unverschlüsselt gespeichert.

Zweck: Verbesserung des Matchings und Vorabausfüllen des Discovery-Chats.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — freiwillige Angabe, jederzeit änderbar oder löschbar).

6. Forum (forum.recrulu.com)

Das Forum unter forum.recrulu.com ist kein eigenständiger Dienst — der Zugang erfordert ausschließlich ein gültiges recrulu.com-Konto (SSO, siehe Abschnitt 3). Es gibt keine separate Forum-Registrierung.

6.1 Forum-Aktivitäten

Bei der Nutzung des Forums werden folgende Daten in der Datenbank auf dem Hetzner-Server gespeichert:

  • Verfasste Beiträge und eröffnete Threads inkl. Zeitpunkt und Moderationsstatus
  • Abonnierte Threads (opt-in, jederzeit deaktivierbar)
  • IP-Adresse (anonymisiert — letztes Oktett auf .0 gesetzt, z. B. 192.168.1.0)
  • Zeitpunkt des Zugriffs, Browsertyp (User-Agent), aufgerufene Seiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Beiträge; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Sicherheit und Betrieb.

6.2 E-Mail-Benachrichtigungen bei Thread-Abonnements

Wer einen Thread abonniert, erhält bei neuen Antworten eine Benachrichtigungs-E-Mail. Der Versand erfolgt über Brevo (siehe Abschnitt 8). Das Abonnement kann jederzeit über die Thread-Einstellungen oder per Abmelde-Link in der E-Mail deaktiviert werden.

6.3 Anonymisierung bei Kontolöschung

Nach der Löschung eines Kontos werden alle persönlichen Identifikationsmerkmale (Name, E-Mail, Benutzername) sofort aus der Datenbank entfernt. Im Forum verbleibende Beiträge werden als [gelöscht] anonymisiert. Es verbleiben keinerlei Echtdaten des gelöschten Kontos.

7. Discovery-Chat & Persönlichkeitsfragebogen (app.recrulu.com)

7.1 Gesprächsinhalte (freier Chat)

Die freien Gesprächsnachrichten im Discovery-Chat werden ausschließlich im Arbeitsspeicher des Servers (RAM) verarbeitet und nicht dauerhaft in der Datenbank gespeichert. Nach Abschluss des Gesprächs wird ein strukturiertes Profil erstellt; anschließend werden alle Gesprächsnachrichten sofort und unwiderruflich gelöscht. Gespeichert bleiben ausschließlich:

  • Das strukturierte Profil (KI-extrahierte Zusammenfassung — keine wörtlichen Zitate) — verschlüsselt gespeichert (AES-128-Fernet)
  • Ein mathematischer Ähnlichkeitsvektor für das spätere Matching (nicht rückführbar auf den Gesprächstext)

7.2 Persönlichkeitsfragebogen — anonyme Nutzung

Der strukturierte Persönlichkeitsfragebogen (Big Five, RIASEC, Motivationsprofil, Charakterstärken) kann ohne Konto begonnen werden. Dabei werden folgende Daten vorübergehend in der Datenbank gespeichert, um das Fortsetzen der Sitzung zu ermöglichen:

  • Zwischenergebnisse: Die bisherigen Antworten (Skalenwert 1–5 pro Aussage) sowie die aktuelle Position im Fragebogen
  • Persönlichkeitsvektor: Normierte Dimensionswerte (0–1) abgeschlossener Abschnitte — mathematisch aggregierte Scores, keine Rohantworten im Klartext

Diese Daten sind keiner Person zugeordnet (keine E-Mail, kein Name, keine IP-Adresse). Sie werden ausschließlich einer zufällig generierten, technischen Session-ID zugewiesen.

Zusätzlich wird die Session-ID im lokalen Speicher des Browsers (localStorage) abgelegt, um die Sitzung nach einer Registrierung automatisch verknüpfen zu können. Dieser Eintrag wird nach erfolgreicher Verknüpfung automatisch gelöscht.

Automatische Löschung: Nicht mit einem Konto verknüpfte anonyme Sessions werden nach 30 Tagen automatisch und unwiderruflich gelöscht.

Zweck: Ermöglichung der Fortsetzung einer begonnenen Sitzung ohne sofortige Registrierungspflicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nutzerfreundlichkeit und Vermeidung von Datenverlust bei technisch notwendiger Zwischenspeicherung).

7.3 Persönlichkeitsfragebogen — eingeloggte Nutzer

Nach Anmeldung oder Registrierung wird die anonyme Session dem Konto zugeordnet. Ab diesem Zeitpunkt gelten die gleichen Bedingungen wie für alle anderen Kontodaten: Speicherung bis zur Kontolöschung, Recht auf Auskunft, Berichtigung und Löschung gemäß Abschnitt 15.

Alle gespeicherten Daten befinden sich auf dem Hetzner-Server in Helsinki (EU) und sind ausschließlich dem eingeloggten Nutzer und dem Betreiber zugänglich — niemals öffentlich einsehbar.

Zweck: Erstellung eines diskreten Karriereprofils und Ermöglichung des Matchings.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da die Profilbildung den Kernbestandteil des vertraglich vereinbarten Dienstes darstellt).

Besondere Datenkategorien (Art. 9 DSGVO): Soweit im Rahmen des Fragebogens Rückschlüsse auf Persönlichkeitsmerkmale möglich sind, die als besondere Datenkategorie eingestuft werden könnten, erfolgt die Verarbeitung auf Grundlage deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) durch aktiven Start des Fragebogens. Diese Einwilligung kann jederzeit durch Löschung des Profils in den Kontoeinstellungen widerrufen werden.

7a. Stellenanzeigen und Rollen-Interview (Recruiter*innen)

7a.1 Stellenanzeigen und Rollenvektor

Recruiter*innen können auf recrulu.com/jobs/ Stellenanzeigen anlegen. Folgende Daten werden verarbeitet:

  • Stellentitel, Beschreibung, Anforderungen und Rahmenbedingungen
  • KI-generierter Rollenvektor (37-dimensionaler mathematischer Wert — kein personenbezogenes Datum)
  • Standort der Stelle (ggf. mit Koordinaten zur standortbasierten Matching-Berechnung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherung: Bis zur Löschung der Stelle oder bei Kontolöschung.

7a.1a Team-Profil (aggregierte Team-Beschreibung)

Recruiter*innen können zu einer Stelle ein Team-Profil hinterlegen, das den Team-Ergänzungs-Fit im Matching ermöglicht. Es beschreibt das Team ausschließlich als Ganzes (Arbeitstempo, Entscheidungs-, Kommunikations- und Konfliktkultur, fehlende Eigenschaften) — es werden keine einzelnen Teammitglieder erfasst oder bewertet. Der optionale Freitext wird AES-128 Fernet-verschlüsselt gespeichert, da er im Einzelfall Rückschlüsse auf Personen enthalten könnte; er fließt nicht in die Score-Berechnung ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Löschung: mit der Stelle bzw. dem Konto.

7a.2 Rollen-Interview (KI-geführtes Gespräch zur Stellenanalyse)

Zur Präzisierung des idealen Persönlichkeitsprofils führt recrulu ein KI-geführtes Interview mit der Recruiter*in. Dabei gilt:

  • Inhalt: Das Gespräch enthält ausschließlich geschäftliche Angaben zur Stelle (Rollenanforderungen, Teamkultur, Entscheidungsstrukturen) — keine personenbezogenen Daten der Recruiter*in selbst
  • Speicherung: Das Gesprächsprotokoll wird AES-128 Fernet-verschlüsselt in der Datenbank gespeichert, um Pause und Fortsetzung des Gesprächs zu ermöglichen
  • Löschung: Bei Löschung der Stelle oder des Kontos wird das Protokoll sofort und unwiderruflich gelöscht
  • Weitergabe: Das Protokoll wird ausschließlich zur Ableitung des Rollenvektors verwendet — keine Weitergabe an Dritte
  • KI-Verarbeitung: Das Gespräch wird durch ein auf eigenen EU-Servern betriebenes Sprachmodell (Qwen) analysiert. Keine Übermittlung an externe KI-Dienste

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Erstellung des Rollenprofils). Da es sich um geschäftliche Rollendaten handelt, sind die besonderen Datenkategorien nach Art. 9 DSGVO nicht berührt.

7b. Automatisiertes Matching und Profiling (Art. 22 DSGVO)

Das Matching-System berechnet einen mathematischen Ähnlichkeits-Score zwischen einem Kandidat*innen-Profil und einem Rollenprofil. Dabei findet ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO statt: Aus deinen Angaben (Persönlichkeitsfragebogen, Kurzprofil, Discovery) wird ein mehrdimensionaler Eignungs- und Persönlichkeitsvektor gebildet und mit Rollenvektoren verglichen.

Keine ausschließlich automatisierte Entscheidung. Der Match-Score ist ausschließlich eine Empfehlung und Entscheidungshilfe. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 Abs. 1 DSGVO statt — über Kontaktaufnahme, Einladung und Einstellung entscheiden ausschließlich Menschen. recrulu trifft keine Personalentscheidungen.

Logik und Tragweite (Art. 13 Abs. 2 lit. f DSGVO): Berechnet werden ein Charakter-Passungswert (gewichtete, deterministische Vergleichsrechnung über Persönlichkeits-, Interessen-, Werte-, Motivations- und Arbeitsstil-Dimensionen, ggf. einschließlich Team-Passung), ein fachlicher Passungswert und ein Rahmen-Passungswert (Arbeitsmodell, Erfahrungslevel, Teamgröße, Standort). Die Gehaltsvorstellung fließt in keinen Passungswert ein; bei fehlender Überschneidung mit dem Stellenbudget wird lediglich ein Hinweis angezeigt. Zu jedem Match wird ein Daten-Snapshot der Berechnungsgrundlage einschließlich Algorithmus-Version gespeichert (Audit-Trail). Das Matching läuft ausschließlich auf eigenen Servern in der EU; es werden keine externen KI-Dienste genutzt.

Text-Embeddings (fachlicher Passungswert): Für den fachlichen Passungswert werden aus deinen Karriereprofil-Angaben, deinem Discovery-Profil und deinem Karriere-Narrativ sogenannte Embeddings erzeugt — numerische Vektordarstellungen des Textinhalts. Sie dienen ausschließlich dem Ähnlichkeitsvergleich mit Stellen-Texten, werden auf unseren eigenen EU-Servern berechnet und gespeichert (kein externer Dienst) und sind nicht in den Ursprungstext rückübersetzbar. Bei Löschung deines Profils werden sie mitgelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sichtbarkeit für Recruiter: Dein Suchstatus steuert, ab welchem Passungswert Recruiter dein anonymes Profil sehen („Aktiv": immer; „Passiv offen": erst ab sehr hoher Passung; „Einfach neugierig": gar nicht). Deine eigenen Matches siehst du unabhängig davon immer vollständig.

Deine Rechte: Du kannst der automatisierten Profilbewertung jederzeit widersprechen (Art. 21 DSGVO) und dein Profil löschen. Auf Anfrage erläutern wir dir die Grundlage eines Matches — datenschutz@recrulu.com. Das Matching wird im Einstellungskontext eingesetzt; nähere Hinweise enthalten die Nutzungsbedingungen (Abschnitt „Matching-System und EU AI Act").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); soweit besondere Datenkategorien betroffen sind, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung, siehe Abschnitt 7.3).

8. E-Mail-Versand via Brevo

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich) als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag besteht. Brevo hat seinen Sitz in Frankreich (EU).

Über Brevo werden folgende E-Mail-Typen versendet:

  • Registrierungsbestätigung (nach Kontoerstellung)
  • Passwort-Reset (auf Anfrage des Nutzers)
  • Thread-Benachrichtigungen im Forum (opt-in durch Abonnieren eines Threads)
  • Moderationsbenachrichtigungen (bei blockierten Beiträgen)

Brevo verarbeitet dabei ausschließlich E-Mail-Adresse und Benutzername zur Zustellung der jeweiligen E-Mail.

9. KI-gestützte Moderation (Forum)

Beiträge im Forum werden vor der Veröffentlichung automatisch durch ein KI-Sprachmodell auf unangemessene Inhalte geprüft. Diese Prüfung erfolgt ausschließlich durch eigene KI-Modelle auf eigenen Servern in der Europäischen Union. Es werden keine externen Cloud-KI-Dienste genutzt und keine Daten an Dritte übermittelt.

Der Text von Beiträgen wird dabei nicht dauerhaft gespeichert. Bei blockierten Beiträgen wird der Text ausschließlich per E-Mail an den Verfasser zurückgeschickt und anschließend nirgendwo auf dem Server abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität der Plattform).

10. Website-Analyse (Umami)

Recrulu nutzt Umami Analytics — eine Open-Source-Analysesoftware, die selbst auf unserem Server in der EU betrieben wird. Umami ist vollständig cookielos und speichert keine personenbezogenen Daten. Es werden ausschließlich aggregierte, anonymisierte Nutzungsstatistiken erhoben (z. B. Seitenaufrufe, Herkunftsland, Gerätetyp). Eine Identifizierung einzelner Personen ist technisch nicht möglich. Es findet keine Datenweitergabe an Dritte statt.

11. Hosting und Datenspeicherung

Alle Daten werden auf einem Server bei Hetzner Online GmbH in Helsinki, Finnland (EU/EWR) gespeichert. Hetzner verarbeitet Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO; ein entsprechender Vertrag besteht. Weitere Informationen: hetzner.com/de/legal/privacy-policy

Die Übertragung aller Daten erfolgt ausschließlich über HTTPS (TLS). Passwörter werden als bcrypt-Hash gespeichert. Sensible Karrieredaten (Freitextfelder) sowie das strukturierte Discovery-Profil werden verschlüsselt gespeichert (AES-128-Fernet). Sonstige Nutzerdaten (E-Mail, Benutzername) liegen in der Datenbank unverschlüsselt vor, sind jedoch durch Serverzugangskontrollen und HTTPS geschützt. Freie Gesprächsnachrichten des Discovery-Chats werden nach Profil-Erstellung sofort und unwiderruflich gelöscht — sie verlassen nie den RAM. Zwischenergebnisse des Persönlichkeitsfragebogens werden vorübergehend gespeichert und nach 30 Tagen (anonyme Sessions) bzw. bei Kontolöschung unwiderruflich entfernt (siehe Abschnitt 7).

Administrative Zugriffe auf Nutzerdaten sowie Verwaltungsaktionen werden intern protokolliert (wer, was, wann — ohne Profilinhalte), um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Diese Protokolle werden nach 12 Monaten gelöscht.

12. Datensicherung (Backups)

Regelmäßige Datensicherungen werden automatisch erstellt. Backups werden mit AES-256-CBC verschlüsselt. Die Aufbewahrungsfristen sind:

  • 30 Tage auf dem Hetzner-Server (Helsinki)
  • 90 Tage lokal beim Betreiber (verschlüsselt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datensicherheit und Betriebskontinuität).

12a. Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)

Im Fall einer Verletzung des Schutzes personenbezogener Daten ergreifen wir unverzüglich Maßnahmen zur Eindämmung und Aufklärung. Soweit gesetzlich erforderlich, melden wir die Verletzung innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde (Art. 33 DSGVO). Besteht für dich voraussichtlich ein hohes Risiko für deine Rechte und Freiheiten, benachrichtigen wir dich unverzüglich und in klarer Sprache (Art. 34 DSGVO).

13. Aufbewahrungsfristen

  • Aktive Konten: Daten gespeichert solange das Konto aktiv ist
  • Discovery-Chat-Nachrichten (freier Chat): sofortige Löschung nach Profil-Erstellung
  • Fragebogen-Zwischenergebnisse (anonyme Sessions): 30 Tage, danach automatisch gelöscht
  • Fragebogen-Ergebnisse (eingeloggte Nutzer): bis zur Kontolöschung
  • Nach Kontolöschung: Nutzerdaten sofort gelöscht, Forum-Beiträge anonymisiert
  • Authentifizierungs-Cookie (recrulu_session): 7 Tage (persistent, kein Tracking)
  • Server-Zugriffslogs: 7 Tage, danach automatisch gelöscht
  • Passwort-Reset-Links: 1 Stunde Gültigkeit
  • Backups: 30 Tage auf Server, 90 Tage lokal beim Betreiber (jeweils verschlüsselt)

14. Keine Weitergabe an Dritte

Daten werden nicht verkauft und nicht zu Werbe- oder Profilbildungszwecken an Dritte weitergegeben. Eine Weitergabe erfolgt ausschließlich an folgende Auftragsverarbeiter, die vertraglich zur DSGVO-konformen Verarbeitung verpflichtet sind:

  • Brevo (Frankreich, EU) — für den E-Mail-Versand
  • Hetzner Online GmbH (Finnland, EU) — für das Hosting

Darüber hinaus erfolgt eine Weitergabe nur, wenn wir gesetzlich dazu verpflichtet sind.

15. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Recht auf Auskunft über die über Sie gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO): Recht auf Korrektur unrichtiger Daten — jederzeit in den Kontoeinstellungen möglich
  • Löschung (Art. 17 DSGVO): Recht auf Löschung Ihres Kontos — jederzeit selbst über die Kontoeinstellungen möglich. Nach Löschung werden Forum-Posts anonymisiert; keine echten Daten bleiben erhalten.
  • Einschränkung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung
  • Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen sowie gegen die automatisierte Profilbewertung (Matching)
  • Automatisierte Entscheidungen (Art. 22 DSGVO): recrulu trifft keine ausschließlich automatisierten Einzelentscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung; Näheres siehe Abschnitt 7b
  • Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten können auf schriftliche Anfrage per E-Mail an datenschutz@recrulu.com in maschinenlesbarem Format herausgegeben werden. Es gibt keinen automatischen API-Export.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@recrulu.com

Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, www.lda.bayern.de.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

1. Data Controller

Controller within the meaning of the GDPR:

Roman Jaborsky
Gustav-Adolf-Str. 12E
85051 Ingolstadt
Germany
Email: datenschutz@recrulu.com

2. Account Registration and Login

2.1 Registration Data

When you create an account on recrulu.com, we collect the following data:

  • Email address
  • Username (freely chosen)
  • First and last name
  • User type (candidate or recruiter)
  • Avatar colour (freely chosen, displayed in the profile)
  • Profile slug (URL identifier of the profile, e.g. /lu/username)
  • Plan (default: free)
  • Date and time of registration

Purpose: Creating and managing the user account and providing all platform features.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — provision of the service under the Terms of Use).

2.2 Password

Passwords are stored exclusively as a bcrypt hash and are never accessible in plain text — neither to us nor to third parties.

2.3 Registration Confirmation Email

After registration, you receive a confirmation email. This is sent via the service Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, France). Brevo processes your email address as a processor pursuant to Art. 28 GDPR. A data processing agreement is in place. Further information: brevo.com/de/legal/privacypolicy/

3. Authentication and Single Sign-On (SSO)

After login, a JWT token (JSON Web Token, signed with HS256) is set as an HttpOnly cookie. This token is valid for 7 days. The cookie cannot be read by JavaScript and is transmitted exclusively over HTTPS.

The token is valid across all three recrulu services:

  • recrulu.com — main platform (account management, profiles)
  • forum.recrulu.com — forum (no separate forum account required)
  • app.recrulu.com — AI-powered Discovery chat

This single sign-on mechanism allows seamless use of all three services with a single account, without logging in again.

3a. Technically Necessary Authentication Cookie

Upon login, recrulu.com sets an HttpOnly cookie named recrulu_session. The cookie contains the JWT authentication token and is valid for 7 days — your login persists across browser restarts, so you don't need to re-enter your credentials.

The cookie cannot be read by JavaScript due to the HttpOnly flag. It is transmitted exclusively over HTTPS (Secure flag). It contains no tracking information and is used exclusively for authentication.

  • Name: recrulu_session
  • Content: JWT authentication token (signed, cannot be decrypted without the server key)
  • Purpose: Authentication and cross-platform single sign-on
  • Validity: 7 days (persistent, survives browser restarts)
  • Flags: HttpOnly, Secure, SameSite=Lax, Domain=.recrulu.com
  • Legal basis: Art. 6(1)(b) GDPR (performance of a contract) in conjunction with § 25(2) No. 2 TTDSG (German Telecommunications and Telemedia Data Protection Act — technically necessary, no consent required)

4. User Profiles

recrulu profiles under the paths /lu/ (candidate profiles), /rec/ (recruiter profiles) and /co/ (company profiles) are not publicly accessible as a matter of principle. Access always requires an active login with a valid recrulu account. There are no publicly indexable profile pages.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

5. Career Data (Short Profile)

Logged-in users can optionally maintain a short profile with career-related information on recrulu.com. The following fields are collected (all optional):

  • Region of residence / city
  • Salary expectation or salary range
  • Highest level of education
  • Field of study or training occupation
  • Work experience
  • Preferred working model (remote / hybrid / on-site)
  • Availability from
  • Company and location of the position (for recruiters)

Free-text fields (city, field of study, company, job location) as well as salary information are stored encrypted (AES-128 Fernet). Structured selection fields (education level, working model, etc.) are stored unencrypted.

Purpose: Improving matching and pre-filling the Discovery chat.

Legal basis: Art. 6(1)(a) GDPR (consent — voluntary information, which can be changed or deleted at any time).

6. Forum (forum.recrulu.com)

The forum at forum.recrulu.com is not a standalone service — access requires only a valid recrulu.com account (SSO, see section 3). There is no separate forum registration.

6.1 Forum Activity

When using the forum, the following data is stored in the database on the Hetzner server:

  • Posts written and threads opened, including timestamp and moderation status
  • Subscribed threads (opt-in, can be disabled at any time)
  • IP address (anonymised — last octet set to .0, e.g. 192.168.1.0)
  • Timestamp of access, browser type (user agent), pages visited

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) for posts; Art. 6(1)(f) GDPR (legitimate interest) for security and operations.

6.2 Email Notifications for Thread Subscriptions

Anyone who subscribes to a thread receives a notification email when new replies are posted. Delivery is via Brevo (see section 8). Subscriptions can be disabled at any time via the thread settings or the unsubscribe link in the email.

6.3 Anonymisation upon Account Deletion

After an account is deleted, all personally identifying information (name, email, username) is immediately removed from the database. Posts remaining in the forum are anonymised as [deleted]. No real data from the deleted account remains.

7. Discovery Chat & Personality Questionnaire (app.recrulu.com)

7.1 Conversation Content (Free Chat)

Free conversation messages in the Discovery chat are processed exclusively in the server's working memory (RAM) and are not stored permanently in the database. After the conversation ends, a structured profile is created; all conversation messages are then deleted immediately and irrevocably. Only the following is retained:

  • The structured profile (AI-extracted summary — no verbatim quotes) — stored encrypted (AES-128 Fernet)
  • A mathematical similarity vector for later matching (cannot be traced back to the conversation text)

7.2 Personality Questionnaire — Anonymous Use

The structured personality questionnaire (Big Five, RIASEC, motivation profile, character strengths) can be started without an account. The following data is temporarily stored in the database to allow the session to be resumed:

  • Intermediate results: Your answers so far (scale value 1–5 per statement) and your current position in the questionnaire
  • Personality vector: Normalised dimension values (0–1) for completed sections — mathematically aggregated scores, no raw answers in plain text

This data is not linked to any person (no email, no name, no IP address). It is assigned exclusively to a randomly generated, technical session ID.

In addition, the session ID is stored in the browser's local storage (localStorage) so that the session can be automatically linked after registration. This entry is automatically deleted once linking has succeeded.

Automatic deletion: Anonymous sessions not linked to an account are automatically and irrevocably deleted after 30 days.

Purpose: Allowing a session that has been started to be resumed without requiring immediate registration.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest: usability and avoiding data loss through technically necessary temporary storage).

7.3 Personality Questionnaire — Logged-in Users

After logging in or registering, the anonymous session is linked to the account. From this point on, the same conditions apply as for all other account data: storage until account deletion, and the right to access, rectification and erasure under section 15.

All stored data resides on the Hetzner server in Helsinki (EU) and is accessible only to the logged-in user and the operator — never publicly visible.

Purpose: Creating a discreet career profile and enabling matching.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract, as profile creation is a core component of the contractually agreed service).

Special categories of data (Art. 9 GDPR): To the extent the questionnaire allows inferences about personality traits that could be classified as a special category of data, processing is based on your explicit consent (Art. 9(2)(a) GDPR), given by actively starting the questionnaire. This consent can be withdrawn at any time by deleting your profile in the account settings.

7a. Job Postings and Role Interview (Recruiters)

7a.1 Job Postings and Role Vector

Recruiters can create job postings at recrulu.com/jobs/. The following data is processed:

  • Job title, description, requirements and conditions
  • AI-generated role vector (a 37-dimensional mathematical value — not personal data)
  • Job location (optionally with coordinates for location-based matching calculations)

Legal basis: Art. 6(1)(b) GDPR (performance of a contract). Storage: Until the job posting is deleted or the account is deleted.

7a.1a Team Profile (Aggregated Team Description)

Recruiters can add a team profile to a job posting, which enables the team-fit calculation in matching. It describes the team exclusively as a whole (pace of work, decision-making, communication and conflict-handling culture, missing traits) — no individual team members are recorded or assessed. The optional free text is stored AES-128 Fernet encrypted, as it could in individual cases allow inferences about persons; it does not feed into the score calculation. Legal basis: Art. 6(1)(b) GDPR. Deletion: with the job posting or the account.

7a.2 Role Interview (AI-Guided Conversation for Role Analysis)

To refine the ideal personality profile, recrulu conducts an AI-guided interview with the recruiter. The following applies:

  • Content: The conversation contains exclusively business-related information about the role (role requirements, team culture, decision-making structures) — no personal data about the recruiter themselves
  • Storage: The conversation log is stored AES-128 Fernet encrypted in the database, to allow the conversation to be paused and resumed
  • Deletion: When the job posting or account is deleted, the log is deleted immediately and irrevocably
  • Disclosure: The log is used exclusively to derive the role vector — no disclosure to third parties
  • AI processing: The conversation is analysed by a language model (Qwen) operated on our own EU servers. No transmission to external AI services

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — creation of the role profile). As this concerns business-related role data, the special categories of data under Art. 9 GDPR are not affected.

7b. Automated Matching and Profiling (Art. 22 GDPR)

The matching system calculates a mathematical similarity score between a candidate profile and a role profile. This involves profiling within the meaning of Art. 4 No. 4 GDPR: based on your input (personality questionnaire, short profile, Discovery), a multi-dimensional suitability and personality vector is created and compared with role vectors.

No decision based solely on automated processing. The match score is exclusively a recommendation and decision-support tool. There is no decision based solely on automated processing, including profiling, which produces legal effects concerning you or similarly significantly affects you, within the meaning of Art. 22(1) GDPR — contact, invitations and hiring decisions are made exclusively by humans. recrulu makes no personnel decisions.

Logic and significance (Art. 13(2)(f) GDPR): The system calculates a character-fit score (a weighted, deterministic comparison across personality, interest, values, motivation and working-style dimensions, potentially including team fit), a skills-fit score, and a context-fit score (working model, experience level, team size, location). Salary expectations do not feed into any fit score; if there is no overlap with the job's budget, only a notice is displayed. For each match, a data snapshot of the calculation basis, including the algorithm version, is stored (audit trail). Matching runs exclusively on our own servers in the EU; no external AI services are used.

Text embeddings (skills-fit score): For the skills-fit score, so-called embeddings — numerical vector representations of text content — are generated from your career profile information, your Discovery profile and your career narrative. They are used exclusively for similarity comparison with job texts, are calculated and stored on our own EU servers (no external service), and cannot be translated back into the original text. They are deleted when you delete your profile. Legal basis: Art. 6(1)(b) GDPR.

Visibility to recruiters: Your search status controls from which fit score recruiters can see your anonymous profile ("Active": always; "Passively open": only from a very high fit; "Just curious": never). You can always see your own matches in full, regardless of this setting.

Your rights: You can object to automated profile assessment at any time (Art. 21 GDPR) and delete your profile. On request, we will explain the basis of a match to you — datenschutz@recrulu.com. Matching is used in a recruitment context; further information can be found in the Terms of Use (section "Matching System and EU AI Act").

Legal basis: Art. 6(1)(b) GDPR (performance of a contract); where special categories of data are affected, additionally Art. 9(2)(a) GDPR (explicit consent, see section 7.3).

8. Email Delivery via Brevo

For sending transactional emails, we use the service Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, France) as a processor pursuant to Art. 28 GDPR. A data processing agreement is in place. Brevo is based in France (EU).

The following types of emails are sent via Brevo:

  • Registration confirmation (after account creation)
  • Password reset (on user request)
  • Thread notifications in the forum (opt-in by subscribing to a thread)
  • Moderation notifications (for blocked posts)

Brevo processes only the email address and username in order to deliver the respective email.

9. AI-Powered Moderation (Forum)

Forum posts are automatically reviewed by an AI language model for inappropriate content before publication. This review is carried out exclusively by our own AI models on our own servers in the European Union. No external cloud AI services are used and no data is transmitted to third parties.

The text of posts is not stored permanently. For blocked posts, the text is sent back to the author exclusively by email and is not stored anywhere on the server afterwards.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in the security and integrity of the platform).

10. Website Analytics (Umami)

recrulu uses Umami Analytics — open-source analytics software that we operate ourselves on our server in the EU. Umami is entirely cookieless and stores no personal data. Only aggregated, anonymised usage statistics are collected (e.g. page views, country of origin, device type). Identifying individual persons is technically not possible. No data is shared with third parties.

11. Hosting and Data Storage

All data is stored on a server operated by Hetzner Online GmbH in Helsinki, Finland (EU/EEA). Hetzner processes data as a processor pursuant to Art. 28 GDPR; a corresponding agreement is in place. Further information: hetzner.com/de/legal/privacy-policy

All data is transmitted exclusively over HTTPS (TLS). Passwords are stored as bcrypt hashes. Sensitive career data (free-text fields) and the structured Discovery profile are stored encrypted (AES-128 Fernet). Other user data (email, username) is stored unencrypted in the database but is protected by server access controls and HTTPS. Free conversation messages from the Discovery chat are deleted immediately and irrevocably after profile creation — they never leave RAM. Intermediate results of the personality questionnaire are stored temporarily and irrevocably removed after 30 days (anonymous sessions) or upon account deletion (see section 7).

Administrative access to user data and management actions are logged internally (who, what, when — without profile content) in order to fulfil the accountability obligation under Art. 5(2) GDPR. These logs are deleted after 12 months.

12. Data Backups

Regular data backups are created automatically. Backups are encrypted with AES-256-CBC. Retention periods are:

  • 30 days on the Hetzner server (Helsinki)
  • 90 days locally with the operator (encrypted)

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in data security and operational continuity).

12a. Reporting Data Breaches (Art. 33/34 GDPR)

In the event of a personal data breach, we take immediate measures to contain it and investigate its causes. Where legally required, we report the breach to the competent supervisory authority within 72 hours of becoming aware of it (Art. 33 GDPR). If the breach is likely to result in a high risk to your rights and freedoms, we will notify you without undue delay and in clear language (Art. 34 GDPR).

13. Retention Periods

  • Active accounts: data is stored for as long as the account is active
  • Discovery chat messages (free chat): deleted immediately after profile creation
  • Questionnaire intermediate results (anonymous sessions): 30 days, then automatically deleted
  • Questionnaire results (logged-in users): until account deletion
  • After account deletion: user data deleted immediately, forum posts anonymised
  • Authentication cookie (recrulu_session): 7 days (persistent, no tracking)
  • Server access logs: 7 days, then automatically deleted
  • Password reset links: valid for 1 hour
  • Backups: 30 days on the server, 90 days locally with the operator (each encrypted)

14. No Disclosure to Third Parties

Data is not sold and is not disclosed to third parties for advertising or profiling purposes. Data is disclosed only to the following processors, who are contractually obliged to process data in compliance with the GDPR:

  • Brevo (France, EU) — for email delivery
  • Hetzner Online GmbH (Finland, EU) — for hosting

Beyond this, data is disclosed only where we are legally obliged to do so.

15. Your Rights (GDPR)

You have the following rights regarding your personal data:

  • Access (Art. 15 GDPR): the right to obtain information about the data stored about you
  • Rectification (Art. 16 GDPR): the right to have inaccurate data corrected — possible at any time in the account settings
  • Erasure (Art. 17 GDPR): the right to delete your account — possible at any time yourself via the account settings. After deletion, forum posts are anonymised; no real data is retained.
  • Restriction (Art. 18 GDPR): the right to restrict processing
  • Objection (Art. 21 GDPR): the right to object to processing based on legitimate interests and to automated profile assessment (matching)
  • Automated decisions (Art. 22 GDPR): recrulu does not make any decisions based solely on automated processing that produce legal effects concerning you or similarly significantly affect you; see section 7b for details
  • Data portability (Art. 20 GDPR): on written request by email to datenschutz@recrulu.com, your data can be provided in a machine-readable format. There is no automatic API export.

To exercise your rights, please contact: datenschutz@recrulu.com

You also have the right to lodge a complaint with the competent data protection supervisory authority. In Bavaria, this is the Bavarian State Office for Data Protection Supervision (BayLDA), Promenade 27, 91522 Ansbach, www.lda.bayern.de.

16. Changes to This Privacy Policy

We reserve the right to amend this privacy policy as needed. The current version is always available on this page. In the event of material changes, registered users will be notified by email.