Stand: 2026-05-07
Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze:
Nicolas Muissus
Interbrief (Einzelunternehmer)
Birkenredder 25a
22359 Hamburg
E-Mail: kontakt@interbrief.de
Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Eine Verarbeitung erfolgt nur auf Grundlage einer der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse).
Einige der von uns eingesetzten Dienste haben ihren Sitz außerhalb der EU/des EWR (insbesondere in den USA). Übermittlungen in solche Drittländer erfolgen ausschließlich auf Grundlage geeigneter Garantien nach Art. 46 DSGVO — in unserem Fall den EU-Standardvertragsklauseln (SCC) in der Fassung der Durchführungsverordnung 2021/914 — sowie zusätzlicher Auftragsverarbeitungs- vereinbarungen (AVV / DPA) gemäß Art. 28 DSGVO.
Konkret betroffen sind die folgenden Anbieter, deren Verarbeitungsgrundlagen in den jeweiligen Einzelabschnitten beschrieben sind:
Stripe Payments Europe Ltd. (Irland), Supabase mit EU-Frankfurt-Hosting, Brevo (Frankreich), Browserless (EU-Region) und Plausible Insights OÜ (Estland) verarbeiten Daten primär innerhalb der EU; konzerninterne Weiterleitungen sind in den jeweiligen Abschnitten beschrieben.
Unsere Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, gehostet. Beim Aufruf der Website werden IP-Adresse, Datum und Uhrzeit, übertragene Datenmenge sowie der anfragende Provider (Server-Logfiles) automatisch durch Vercel verarbeitet. Eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln liegen vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Bereitstellung).
Für Authentifizierung, Datenbank und Datei-Speicher (CV, generierte Outputs) setzen wir Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapore) mit EU-Frankfurt- Hosting ein. Eine AVV nach Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Zahlungen werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) abgewickelt. Bei der Bezahlung werden Zahlungsdaten (Kreditkarteninformationen, IBAN o. ä.) ausschließlich an Stripe übermittelt; wir selbst speichern keine Zahlungsdaten. Stripe verarbeitet die Daten in eigener Verantwortung. Eine AVV liegt vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzhinweise von Stripe: stripe.com/de/privacy.
Transaktions- und Bestätigungs-E-Mails werden über Brevo (Sendinblue SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich) versendet. Brevo ist ein französischer Anbieter mit EU-Hosting und Server-Infrastruktur in der EU; eine AVV nach Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 312f BGB (Pflicht zur Bestellbestätigung).
Für die Erstellung der individuellen Vorbereitung verwenden wir die Sprachmodelle von Anthropic, PBC (548 Market St, PMB 90375, San Francisco, CA 94104, USA). Im Rahmen der Generierung werden Auszüge aus dem Lebenslauf, der Stellenausschreibung und ggf. weitere Eingaben des Kunden an Anthropic übermittelt.
Drittland-Übermittlung: Anthropic verarbeitet die Daten in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie eines Auftragsverarbeitungsvertrages (Data Processing Addendum, DPA) nach Art. 28 DSGVO.
Zweckbindung und Speicherdauer: Anthropic nutzt die Eingaben ausschließlich zur Erbringung der API-Leistung und nicht zum Training der Modelle. Eingaben können bis zu 30 Tage zum Zweck der Missbrauchs- und Sicherheitsprüfung („Trust & Safety") vorgehalten werden; eine darüber hinausgehende Nutzung findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzhinweise von Anthropic: anthropic.com/legal/privacy.
Im Rahmen der Recherche-Engine senden wir Such-Queries (Firmen- und Stellen-bezogene Stichworte aus der hochgeladenen Stellenausschreibung) an die Brave Search API (Brave Software Inc., 580 Howard St, San Francisco, CA 94105, USA). Personenbezogene Daten des Kunden werden nicht übermittelt. Wir lesen ausschließlich öffentliche Suchergebnis-Snippets von Plattformen wie Glassdoor, Kununu und LinkedIn — direkte Profilseiten oder passwortgeschützte Inhalte werden nicht abgerufen.
Drittland-Übermittlung: Such-Queries werden in den USA verarbeitet. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Zur Recherche von Bewerber-Erfahrungen über die Zielfirma und -rolle nutzen wir die offizielle Reddit-API (Reddit, Inc., 548 Market St, San Francisco, CA 94104, USA) im Lese-Modus. Wir speichern dabei ausschließlich Beitrags- und Kommentar-Inhalte (Text, Score, Permalink) ohne Reddit-Usernamen oder weitere personenbezogene Daten der jeweiligen Reddit-Nutzer. Die abgerufenen Inhalte fließen in einen 30-Tage-Cache, damit dieselbe Recherche nicht für jeden Kunden erneut Anfragen erzeugt.
Drittland-Übermittlung: API-Anfragen erfolgen an Server in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Für die orchestrierte, mehrstufige Generierung der Vorbereitungen setzen wir Inngest (Inngest, Inc., 16238 Highway 620 N, Suite F-318, Austin, TX 78717, USA) ein. Inngest bietet eine EU-Region an, in der die Verarbeitung primär stattfindet; das Unternehmen selbst hat seinen Sitz in den USA.
Drittland-Übermittlung: Da Inngest seinen Sitz in den USA hat und Zugriff durch US-Personal nicht ausgeschlossen ist, behandeln wir die Übermittlung konservativ als Drittland-Transfer. Sie erfolgt auf Grundlage der EU-Standardvertrags- klauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Für das Rendering der Vorbereitungen als PDF verwenden wir Browserless mit EU-Region. Eine AVV besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Wir setzen Plausible Analytics (Plausible Insights OÜ, Tallinn, Estland) zur Reich- weitenmessung ein. Plausible arbeitet cookielos, ohne IP-Speicherung und ohne Tracking über Geräte hinweg; aggregierte, anonyme Statistiken werden auf einem EU-Server verarbeitet.
Einwilligungspflicht: Das Plausible-Skript wird ausschließlich geladen, nachdem Sie im Cookie-Banner aktiv „Plausible erlauben" gewählt haben. Bis zur Einwilligung werden keinerlei Daten an Plausible übertragen. Sie können die Einwilligung jederzeit widerrufen, indem Sie den im Browser gespeicherten Consent-Eintrag (`interbrief_consent_v1`) löschen — beim nächsten Seitenbesuch erscheint der Banner erneut.
Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) ist als technische Abhängigkeit installiert, wird zum aktuellen Zeitpunkt jedoch weder browserseitig noch serverseitig aktiviert — es findet keine Übertragung von Fehler- oder Telemetriedaten an Sentry statt.
Falls wir Sentry zukünftig aktivieren, wird der Browser-Anteil ausschließlich nach einer ausdrücklichen Einwilligung im Cookie-Banner geladen (TTDSG § 25 Abs. 1). Die Übermittlung erfolgt dann auf Grundlage der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO. Diese Datenschutzerklärung wird bei Aktivierung entsprechend aktualisiert.
Wir setzen technisch erforderliche Cookies und Browser-Speicher (Local Storage, Session-Storage) ein, soweit sie für den Betrieb der Plattform unerlässlich sind (insbesondere Login-Session, Theme-Einstellung, Consent-Eintrag). Diese unterliegen nach § 25 Abs. 2 Nr. 2 TTDSG keiner Einwilligungspflicht. Tracking-Cookies oder Marketing-Cookies werden nicht eingesetzt.
Consent-Eintrag (`interbrief_consent_v1`): Speichert Ihre Antwort im Cookie-Banner („Plausible erlauben" oder „Nur notwendige") als First-Party-Cookie und im Local-Storage. Laufzeit 1 Jahr; bei Widerruf einfach Cookie + Local-Storage-Eintrag löschen, der Banner erscheint dann beim nächsten Besuch erneut.
Im Rahmen der Bestellung erhebt und speichert Interbrief Ihre ausdrückliche Zustimmung zur sofortigen Bereitstellung der Vorbereitung sowie Ihre Bestätigung der AGB und der Widerrufsbelehrung. Diese Speicherung dient der Beweissicherung gemäß § 312f BGB.
Zweck: Beweissicherung des exakten Wortlauts und Zeitpunkts Ihrer Zustimmung zur sofortigen Leistungserbringung gemäß § 356 Abs. 5 BGB.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 312f BGB (gesetzliche Pflicht zur Bestätigungs-Mail mit Volltext der Zustimmung).
Gespeicherte Daten: E-Mail-Adresse, exakter Wortlaut der bestätigten Texte, SHA-256-Hash der Texte, Zeitstempel der Bestätigung, Versions-Tag der zum Bestellzeitpunkt geltenden Fassung, IP-Adresse sowie User-Agent.
Speicherdauer: Die Daten werden für mindestens drei Jahre nach Bestellung aufbewahrt (handels- und steuerrechtliche Aufbewahrungspflichten); ein Löschungsanspruch nach Art. 17 DSGVO entsteht erst nach Ablauf dieser Pflichtfrist. Bei Account-Löschung wird der Personenbezug der Consent-Rows pseudonymisiert (`user_id` auf NULL gesetzt; Wortlaut, Hash und Zeitstempel bleiben für die Aufbewahrungspflicht erhalten).
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Sie können diese Rechte direkt im Account-Bereich (Self-Service-Export und -Löschung) oder per E-Mail an kontakt@interbrief.de ausüben.
Unbeschadet anderer Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem Sie wohnen oder in dem der mutmaßliche Verstoß stattfindet. Für Interbrief ist dies der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), datenschutz-hamburg.de.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen, z. B. bei der Einführung neuer Dienste. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.