Rechtliches

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO:

Roman Jaborsky
Gustav-Adolf-Str. 12E
85051 Ingolstadt
Deutschland
E-Mail: datenschutz@recrulu.com

---

2. Kontoregistrierung und Login

2.1 Registrierungsdaten

Bei der Erstellung eines Kontos auf recrulu.com erheben wir folgende Daten:

• E-Mail-Adresse
• Benutzername (frei wählbar)
• Vorname und Nachname
• Nutzertyp (Kandidat oder Recruiter)
• Avatar-Farbe (frei wählbar, wird im Profil angezeigt)
• Profilslug (URL-Kennung des Profils, z. B. /lu/benutzername)
• Plan (standardmäßig: free)
• Zeitpunkt der Registrierung

Zweck: Erstellung und Verwaltung des Nutzerkontos sowie Bereitstellung aller Plattformfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Dienstes gemäß den Nutzungsbedingungen).

2.2 Passwort

Passwörter werden ausschließlich als bcrypt-Hash gespeichert und sind zu keinem Zeitpunkt im Klartext einsehbar — weder für uns noch für Dritte.

2.3 Registrierungsbestätigung per E-Mail

Nach der Registrierung erhalten Sie eine Bestätigungs-E-Mail. Diese wird über den Dienst Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich) versandt. Brevo verarbeitet dabei Ihre E-Mail-Adresse als Auftragsverarbeiter gemäß Art. 28 DSGVO. Es besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen: brevo.com/de/legal/privacypolicy/

---

3. Authentifizierung und Single Sign-On (SSO)

Nach dem Login wird ein JWT-Token (JSON Web Token, signiert mit HS256) ausgestellt. Dieser Token hat eine Gültigkeit von 7 Tagen und wird im Browser-LocalStorage gespeichert.

Der Token gilt plattformübergreifend auf allen drei Recrulu-Diensten:

• recrulu.com — Hauptplattform (Kontoführung, Profile)
• forum.recrulu.com — Forum (kein separates Forum-Konto erforderlich)
• app.recrulu.com — KI-gestützter Discovery-Chat

Dieses Single-Sign-On-Verfahren ermöglicht die nahtlose Nutzung aller drei Dienste mit einem einzigen Konto ohne erneute Anmeldung.

3a. Technisch notwendiges Session-Cookie

Zusätzlich zum LocalStorage-Token setzt app.recrulu.com beim Login ein Session-Cookie mit dem Namen recrulu_session. Dieses Cookie hat keine Ablaufzeit — der Browser löscht es automatisch, wenn alle Browserfenster geschlossen werden. Dadurch wird sichergestellt, dass Nutzer nach dem Schließen des Browsers automatisch abgemeldet sind.

Das Cookie speichert ausschließlich den Wert 1 (ein technisches Flag) — keine personenbezogenen Daten, keine Tracking-Informationen.

• Name: recrulu_session
• Inhalt: 1 (technisches Flag, kein personenbezogener Inhalt)
• Zweck: Automatische Abmeldung beim Schließen des Browsers (Schutz auf gemeinsam genutzten Geräten)
• Speicherdauer: Browsersitzung (wird beim Schließen aller Browserfenster automatisch gelöscht)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz des Nutzerkontos) i. V. m. § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig — keine Einwilligung erforderlich)

---

4. Nutzerprofile

Recrulu-Profile unter den Pfaden /lu/ (Kandidatenprofile), /rec/ (Recruiter-Profile) und /co/ (Unternehmensprofile) sind grundsätzlich nicht öffentlich zugänglich. Der Zugriff erfordert jederzeit eine aktive Anmeldung mit einem gültigen Recrulu-Konto. Es gibt keine öffentlich indexierbaren Profilseiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

---

5. Karrieredaten (Kurzprofil)

Eingeloggte Nutzer können auf recrulu.com ein freiwilliges Kurzprofil mit karrierebezogenen Angaben hinterlegen. Folgende Felder werden erhoben (alle optional):

• Wohnregion / Stadt
• Gehaltsvorstellung oder Gehaltsrahmen
• Höchster Bildungsabschluss
• Studiengang oder Ausbildungsberuf
• Berufserfahrung
• Bevorzugtes Arbeitsmodell (Remote / Hybrid / Vor Ort)
• Verfügbarkeit ab
• Unternehmen und Standort der Stelle (für Recruiter)

Freitextfelder (Stadt, Studiengang, Unternehmen, Stellenstandort) werden verschlüsselt gespeichert (AES-128-Fernet). Strukturierte Auswahlfelder (Abschluss, Arbeitsmodell etc.) werden unverschlüsselt gespeichert.

Zweck: Verbesserung des Matchings und Vorabausfüllen des Discovery-Chats.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — freiwillige Angabe, jederzeit änderbar oder löschbar).

---

6. Forum (forum.recrulu.com)

Das Forum unter forum.recrulu.com ist kein eigenständiger Dienst — der Zugang erfordert ausschließlich ein gültiges recrulu.com-Konto (SSO, siehe Abschnitt 3). Es gibt keine separate Forum-Registrierung.

6.1 Forum-Aktivitäten

Bei der Nutzung des Forums werden folgende Daten in der Datenbank auf dem Hetzner-Server gespeichert:

• Verfasste Beiträge und eröffnete Threads inkl. Zeitpunkt und Moderationsstatus
• Abonnierte Threads (opt-in, jederzeit deaktivierbar)
• IP-Adresse (anonymisiert — letztes Oktett auf .0 gesetzt, z. B. 192.168.1.0)
• Zeitpunkt des Zugriffs, Browsertyp (User-Agent), aufgerufene Seiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Beiträge; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Sicherheit und Betrieb.

6.2 E-Mail-Benachrichtigungen bei Thread-Abonnements

Wer einen Thread abonniert, erhält bei neuen Antworten eine Benachrichtigungs-E-Mail. Der Versand erfolgt über Brevo (siehe Abschnitt 8). Das Abonnement kann jederzeit über die Thread-Einstellungen oder per Abmelde-Link in der E-Mail deaktiviert werden.

6.3 Anonymisierung bei Kontolöschung

Nach der Löschung eines Kontos werden alle persönlichen Identifikationsmerkmale (Name, E-Mail, Benutzername) sofort aus der Datenbank entfernt. Im Forum verbleibende Beiträge werden als [gelöscht] anonymisiert. Es verbleiben keinerlei Echtdaten des gelöschten Kontos.

---

7. Discovery-Chat & Persönlichkeitsfragebogen (app.recrulu.com)

7.1 Gesprächsinhalte (freier Chat)

Die freien Gesprächsnachrichten im Discovery-Chat werden ausschließlich im Arbeitsspeicher des Servers (RAM) verarbeitet und nicht dauerhaft in der Datenbank gespeichert. Nach Abschluss des Gesprächs wird ein strukturiertes Profil erstellt; anschließend werden alle Gesprächsnachrichten sofort und unwiderruflich gelöscht. Gespeichert bleiben ausschließlich:

• Das strukturierte Profil (KI-extrahierte Zusammenfassung — keine wörtlichen Zitate) — verschlüsselt gespeichert (AES-128-Fernet)
• Ein mathematischer Ähnlichkeitsvektor für das spätere Matching (nicht rückführbar auf den Gesprächstext)

7.2 Persönlichkeitsfragebogen — anonyme Nutzung

Der strukturierte Persönlichkeitsfragebogen (Big Five, RIASEC, Motivationsprofil, Charakterstärken) kann ohne Konto begonnen werden. Dabei werden folgende Daten vorübergehend in der Datenbank gespeichert, um das Fortsetzen der Sitzung zu ermöglichen:

• Zwischenergebnisse: Die bisherigen Antworten (Skalenwert 1–5 pro Aussage) sowie die aktuelle Position im Fragebogen
• Persönlichkeitsvektor: Normierte Dimensionswerte (0–1) abgeschlossener Abschnitte — mathematisch aggregierte Scores, keine Rohantworten im Klartext

Diese Daten sind keiner Person zugeordnet (keine E-Mail, kein Name, keine IP-Adresse). Sie werden ausschließlich einer zufällig generierten, technischen Session-ID zugewiesen.

Zusätzlich wird die Session-ID im lokalen Speicher des Browsers (localStorage) abgelegt, um die Sitzung nach einer Registrierung automatisch verknüpfen zu können. Dieser Eintrag wird nach erfolgreicher Verknüpfung automatisch gelöscht.

Automatische Löschung: Nicht mit einem Konto verknüpfte anonyme Sessions werden nach 30 Tagen automatisch und unwiderruflich gelöscht.

Zweck: Ermöglichung der Fortsetzung einer begonnenen Sitzung ohne sofortige Registrierungspflicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nutzerfreundlichkeit und Vermeidung von Datenverlust bei technisch notwendiger Zwischenspeicherung).

7.3 Persönlichkeitsfragebogen — eingeloggte Nutzer

Nach Anmeldung oder Registrierung wird die anonyme Session dem Konto zugeordnet. Ab diesem Zeitpunkt gelten die gleichen Bedingungen wie für alle anderen Kontodaten: Speicherung bis zur Kontolöschung, Recht auf Auskunft, Berichtigung und Löschung gemäß Abschnitt 15.

Alle gespeicherten Daten befinden sich auf dem Hetzner-Server in Helsinki (EU) und sind ausschließlich dem eingeloggten Nutzer und dem Betreiber zugänglich — niemals öffentlich einsehbar.

Zweck: Erstellung eines diskreten Karriereprofils und Ermöglichung des Matchings.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

---

8. E-Mail-Versand via Brevo

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich) als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag besteht. Brevo hat seinen Sitz in Frankreich (EU).

Über Brevo werden folgende E-Mail-Typen versendet:

• Registrierungsbestätigung (nach Kontoerstellung)
• Passwort-Reset (auf Anfrage des Nutzers)
• Thread-Benachrichtigungen im Forum (opt-in durch Abonnieren eines Threads)
• Moderationsbenachrichtigungen (bei blockierten Beiträgen)

Brevo verarbeitet dabei ausschließlich E-Mail-Adresse und Benutzername zur Zustellung der jeweiligen E-Mail.

---

9. KI-gestützte Moderation (Forum)

Beiträge im Forum werden vor der Veröffentlichung automatisch durch ein KI-Sprachmodell auf unangemessene Inhalte geprüft. Diese Prüfung erfolgt ausschließlich lokal auf unserem Server (Modell: qwen2.5:0.5b) oder — bei Bedarf — über eine verschlüsselte VPN-Verbindung zu einem separaten Rechner des Betreibers (Modell: Qwen3:8b). Es werden keine externen Cloud-KI-Dienste genutzt.

Der Text von Beiträgen wird dabei nicht dauerhaft gespeichert. Bei blockierten Beiträgen wird der Text ausschließlich per E-Mail an den Verfasser zurückgeschickt und anschließend nirgendwo auf dem Server abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität der Plattform).

---

10. Website-Analyse (Umami)

Recrulu nutzt Umami Analytics — eine Open-Source-Analysesoftware, die selbst auf unserem Server in der EU betrieben wird. Umami ist vollständig cookielos und speichert keine personenbezogenen Daten. Es werden ausschließlich aggregierte, anonymisierte Nutzungsstatistiken erhoben (z. B. Seitenaufrufe, Herkunftsland, Gerätetyp). Eine Identifizierung einzelner Personen ist technisch nicht möglich. Es findet keine Datenweitergabe an Dritte statt.

---

11. Hosting und Datenspeicherung

Alle Daten werden auf einem Server bei Hetzner Online GmbH in Helsinki, Finnland (EU/EWR) gespeichert. Hetzner verarbeitet Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO; ein entsprechender Vertrag besteht. Weitere Informationen: hetzner.com/de/legal/privacy-policy

Die Übertragung aller Daten erfolgt ausschließlich über HTTPS (TLS). Passwörter werden als bcrypt-Hash gespeichert. Sensible Karrieredaten (Freitextfelder) sowie das strukturierte Discovery-Profil werden verschlüsselt gespeichert (AES-128-Fernet). Sonstige Nutzerdaten (E-Mail, Benutzername) liegen in der Datenbank unverschlüsselt vor, sind jedoch durch Serverzugangskontrollen und HTTPS geschützt. Freie Gesprächsnachrichten des Discovery-Chats werden nach Profil-Erstellung sofort und unwiderruflich gelöscht — sie verlassen nie den RAM. Zwischenergebnisse des Persönlichkeitsfragebogens werden vorübergehend gespeichert und nach 30 Tagen (anonyme Sessions) bzw. bei Kontolöschung unwiderruflich entfernt (siehe Abschnitt 7).

---

12. Datensicherung (Backups)

Regelmäßige Datensicherungen werden automatisch erstellt. Backups werden mit AES-256-CBC verschlüsselt. Die Aufbewahrungsfristen sind:

• 30 Tage auf dem Hetzner-Server (Helsinki)
• 90 Tage lokal beim Betreiber (verschlüsselt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datensicherheit und Betriebskontinuität).

---

13. Aufbewahrungsfristen

• Aktive Konten: Daten gespeichert solange das Konto aktiv ist
• Discovery-Chat-Nachrichten (freier Chat): sofortige Löschung nach Profil-Erstellung
• Fragebogen-Zwischenergebnisse (anonyme Sessions): 30 Tage, danach automatisch gelöscht
• Fragebogen-Ergebnisse (eingeloggte Nutzer): bis zur Kontolöschung
• Nach Kontolöschung: Nutzerdaten sofort gelöscht, Forum-Beiträge anonymisiert
• Session-Cookie (recrulu_session): Browsersitzung, automatisch gelöscht beim Schließen aller Browserfenster
• Server-Zugriffslogs: 7 Tage, danach automatisch gelöscht
• Passwort-Reset-Links: 1 Stunde Gültigkeit
• Backups: 30 Tage auf Server, 90 Tage lokal beim Betreiber (jeweils verschlüsselt)

---

14. Keine Weitergabe an Dritte

Daten werden nicht verkauft und nicht zu Werbe- oder Profilbildungszwecken an Dritte weitergegeben. Eine Weitergabe erfolgt ausschließlich an folgende Auftragsverarbeiter, die vertraglich zur DSGVO-konformen Verarbeitung verpflichtet sind:

• Brevo (Frankreich, EU) — für den E-Mail-Versand
• Hetzner Online GmbH (Finnland, EU) — für das Hosting

Darüber hinaus erfolgt eine Weitergabe nur, wenn wir gesetzlich dazu verpflichtet sind.

---

15. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Recht auf Auskunft über die über Sie gespeicherten Daten
• Berichtigung (Art. 16 DSGVO): Recht auf Korrektur unrichtiger Daten — jederzeit in den Kontoeinstellungen möglich
• Löschung (Art. 17 DSGVO): Recht auf Löschung Ihres Kontos — jederzeit selbst über die Kontoeinstellungen möglich. Nach Löschung werden Forum-Posts anonymisiert; keine echten Daten bleiben erhalten.
• Einschränkung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung
• Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
• Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten können auf schriftliche Anfrage per E-Mail an datenschutz@recrulu.com in maschinenlesbarem Format herausgegeben werden. Es gibt keinen automatischen API-Export.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@recrulu.com

Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, www.lda.bayern.de.

---

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.