Datenschutzerklärung
Stand: März 2026
1. Verantwortlicher und Kontaktdaten
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):
Sprad Software GmbH Kaiserstraße 16 / 7-9 1070 Wien, Österreich
Firmenbuchnummer: FN 558095d Firmenbuchgericht: Handelsgericht Wien UID-Nummer: ATU77057159
E-Mail: datenschutz@sprad.io
2. Grundsätze und verfassungsrechtlicher Rahmen
Diese Datenschutzerklärung basiert auf der Verordnung (EU) 2016/679 (DSGVO), dem österreichischen Datenschutzgesetz (DSG) idgF, dem Telekommunikationsgesetz 2021 (TKG 2021) sowie der Verordnung (EU) 2024/1689 über Künstliche Intelligenz (KI-Verordnung / AI Act).
Gemäß § 1 DSG hat jede Person Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dieses verfassungsgesetzlich gewährleistete Recht steht unter dem Grundsatz der Verhältnismäßigkeit. Eingriffe sind nur im geringstmöglichen Ausmaß zulässig.
Alle Mitarbeiterinnen und Mitarbeiter der Sprad Software GmbH sowie deren Auftragsverarbeiter unterliegen dem Datengeheimnis gemäß § 6 DSG. Sie sind vertraglich zur Geheimhaltung aller personenbezogenen Daten verpflichtet, die ihnen im Rahmen ihrer beruflichen Tätigkeit zugänglich werden. Diese Verpflichtung besteht auch nach Beendigung des Arbeitsverhältnisses fort.
Die Nutzung der Plattform unterliegt den Allgemeinen Geschäftsbedingungen (AGB) einschließlich der Anhänge (KI-Nutzungsbedingungen, Acceptable Use Policy), abrufbar unter https://atlas.now/terms.
3. Übersicht der Verarbeitungstätigkeiten
Atlas Apply ist eine KI-gestützte B2C-Plattform, die sich an Verbraucher im Europäischen Wirtschaftsraum (EWR) und in der Schweiz richtet. Kandidatinnen und Kandidaten erhalten einen personalisierten, tokenisierten Link per E-Mail und durchlaufen ein Onboarding (Texteingabe, optionaler PDF-Upload, sprachbasierte Interaktion mit dem Voice-Agenten, KI-gestützte CV-Generierung). Im Anschluss steht ein Jobs-Hub mit gematchten Stellen und maßgeschneiderten Bewerbungsunterlagen zur Verfügung. Die Registrierung ist kostenlos und umfasst ein einmaliges Nutzungskontingent; darüber hinaus können kostenpflichtige Abonnements mit einem monatlichen Nutzungskontingent abgeschlossen werden.
4. Kategorien personenbezogener Daten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
| Datenkategorie | Beschreibung | Erhebung |
|---|---|---|
| Persönliche Stammdaten | Name, E-Mail-Adresse, ggf. Telefonnummer | Direkt bei Registrierung/Onboarding |
| Profil- und Karrieredaten | Profiltexte, Berufserfahrung, Qualifikationen, Karrierepräferenzen, Gehaltsvorstellungen | Direkt (Texteingabe, Voice-Agent) |
| Hochgeladene Dokumente | Lebensläufe, Zeugnisse, Zertifikate (PDF/Bilder) | Direkt (Upload) |
| Voice-Daten | Audioaufnahmen der Voice-Agent-Sessions und daraus erstellte Transkripte | Direkt (Voice-Session) |
| KI-generierte Daten | Generierte Lebensläufe, Bewerbungsschreiben, Profilzusammenfassungen, Match-Scores | Automatisch durch KI-Systeme |
| Research- / Matching-Daten | Stellenrecherche-Ergebnisse, Job-Matches, Arbeitgeberdaten | Automatisch durch KI-Recherche |
| Zahlungsdaten | Abo-Käufe, Transaktionshistorie, Rechnungsdaten, SEPA-Mandatsreferenzen. Kredit-/Debitkartennummern | Von Ihnen beim Kauf |
| Browser-Telemetrie | Journey-Events, Seitenaufrufe, Fetch-Fehler, Geräteinformationen | Automatisch (mit Einwilligung) |
| E-Mail-Kommunikationsdaten | Inhalte transaktionaler E-Mails (Bestätigungen, Benachrichtigungen), Zustellungsstatus, Empfänger-E-Mail-Adresse, Zeitstempel | Automatisch bei E-Mail-Versand |
Besonderer Hinweis zu Voice-Daten Stimmaufnahmen können als biometrische Daten im Sinne von Art. 9 DSGVO gelten, sofern sie zur eindeutigen Identifizierung einer Person verarbeitet werden. Wir verwenden Ihre Stimmaufnahmen ausschließlich zur Transkription und Profilerfassung im Rahmen des Onboardings, nicht zur biometrischen Identifizierung. Die Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO).
5. Zwecke und Rechtsgrundlagen der Verarbeitung
5.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Bereitstellung der Plattform und der Kernfunktionen (Onboarding, Profilerstellung, Jobmatching, CV-Generierung, Bewerbungserstellung)
- Verwaltung Ihres Benutzerkontos
- Abwicklung von Zahlungsvorgängen
- Kommunikation zu Ihrem Konto und Ihren Bewerbungen
- Versand transaktionaler E-Mails (Vertragsbestätigungen, Widerrufsbestätigungen, Kontobenachrichtigungen, Passwort-Resets)
5.2 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Verarbeitung von Voice-Daten (Aufnahme und Transkription im Voice-Agent)
- Browser-Telemetrie und Nutzungsanalyse (§ 165 Abs. 3 TKG 2021)
- Verarbeitung von Daten durch KI-Systeme, soweit diese über die reine Vertragserfüllung hinausgeht
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 12). Der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.
5.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
- Verbesserung und Weiterentwicklung der Plattform
- Gewährleistung der IT-Sicherheit und Missbrauchserkennung
- KI-Observability und Qualitätssicherung der KI-Ausgaben (über Langfuse)
- Verteidigung rechtlicher Ansprüche (insb. Aufbewahrung nach GlBG § 29)
- Nutzung anonymisierter und aggregierter Daten (ohne Rückschluss auf einzelne Nutzer) zur Verbesserung der Plattform sowie für statistische Auswertungen (vgl. § 12 Abs. 5 der AGB). Anonymisierte Daten unterliegen nicht der DSGVO.
5.4 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
- Aufbewahrung steuerrechtlich relevanter Unterlagen (§ 132 BAO: 7 Jahre) und handelsrechtlicher Unterlagen (§§ 190–212 UGB: 7 Jahre)
- Sonstige gesetzliche Dokumentationspflichten
5.5 Vertragserfüllung bei Einmalkäufen (Art. 6 Abs. 1 lit. b DSGVO) Soweit die Plattform neben dem Abonnement einzelne digitale Inhalte anbietet (z. B. einmalige Kontingent-Erweiterungen), verarbeiten wir die hierfür erforderlichen personenbezogenen Daten (insbesondere Zahlungs- und Nutzungsdaten) auf Grundlage der Vertragserfüllung. Für den Entfall des Widerrufsrechts bei digitalen Inhalten gemäß § 18 Abs. 1 Z 11 FAGG gelten die Regelungen des § 7 Abs. 6 der AGB. Die hierfür erforderliche ausdrückliche Zustimmung und Kenntnisnahme werden im Bestellvorgang dokumentiert.
6. Einsatz Künstlicher Intelligenz / Transparenzhinweise
6.1 KI-Systeme Atlas Apply setzt mehrere KI-Systeme ein. Gemäß Art. 50 der KI-Verordnung (VO 2024/1689) und Art. 13 Abs. 2 lit. f DSGVO informieren wir Sie transparent über deren Einsatz:
| KI-Funktion | Beschreibung | Anbieter | Datenfluss |
|---|---|---|---|
| CV-Generierung / Profil Zusammenfassung | KI generiert aus Ihren Angaben professionelle Lebensläufe und Kontextzusammenfassungen | Anthropic (Claude API) | Profildaten an Anthropic (USA) |
| Bewerbungsmaterialien | KI erstellt maßgeschneiderte Bewerbungsschreiben auf Basis Ihres Profils und der Stellenausschreibung | Anthropic (Claude API) | Profil- und Stellendaten an Anthropic (USA) |
| Deep Research und Jobsuche | KI recherchiert passende Stellenangebote und analysiert Arbeitgeberinformationen | OpenAI (API) | Suchparameter und Präferenzen an OpenAI (USA/Irland) |
| Voice-Agent | KI-gestützter Sprachassistent für die Erfassung Ihres beruflichen Profils | ElevenLabs | Audiodaten an ElevenLabs (EU) |
| KI-Observability | Qualitätsmonitoring der KI-Ein- und Ausgaben | Langfuse (Berlin) | Prompts/Antworten an Langfuse in der EU |
Wichtiger Hinweis gemäß Art. 50 Abs. 1 KI-VO: Wenn Sie mit dem Voice-Agenten oder einem KI-gestützten Chatbot interagieren, sprechen Sie mit einem künstlichen Intelligenzsystem und nicht mit einem Menschen. Sämtliche von der KI generierten Inhalte (Lebensläufe, Bewerbungsschreiben, Profilzusammenfassungen) sind KI-generiert.
6.2 Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO) Atlas Apply führt Profiling im Sinne von Art. 4 Nr. 4 DSGVO durch: Wir werten Ihre beruflichen Daten automatisiert aus, um Ihr Profil mit Stellenangeboten abzugleichen und passende Stellen zu identifizieren (Jobmatching).
Funktionslogik des Jobmatching-Algorithmus Das System analysiert Ihre beruflichen Qualifikationen, Erfahrungen, Fähigkeiten und Präferenzen und vergleicht diese mit den Anforderungen und Merkmalen der Stellenangebote. Dabei werden insbesondere folgende Faktoren berücksichtigt:
- Übereinstimmung von Qualifikationen und Stellenanforderungen
- Berufserfahrung und Karrierelevel
- Branchenkenntnisse und Spezialisierungen
- Ihre angegebenen Präferenzen (Standort, Gehalt, Arbeitsmodell)
- Sprachkenntnisse und weitere Skills
Bedeutung und Tragweite Die Match-Ergebnisse bestimmen, welche Stellenangebote Ihnen in welcher Reihenfolge angezeigt werden, und bilden die Grundlage für die KI-generierten Bewerbungsunterlagen.
Keine rein automatisierte Entscheidung mit rechtlicher Wirkung. Die endgültige Entscheidung, sich auf eine Stelle zu bewerben, liegt ausschließlich bei Ihnen. Atlas Apply lehnt keine Kandidaten automatisiert ab und trifft keine automatisierten Einstellungsentscheidungen. Die KI-generierten Empfehlungen sind Vorschläge, die Ihrer Bewertung und Kontrolle unterliegen.
Ihre Rechte bei automatisierter Verarbeitung Ungeachtet der vorstehenden Einordnung garantieren wir Ihnen im Einklang mit Art. 22 Abs. 3 DSGVO folgende Rechte:
- Recht auf menschliche Überprüfung: Sie können jederzeit eine Überprüfung von KI-Ergebnissen durch einen Menschen verlangen
- Recht auf Darlegung des eigenen Standpunkts: Sie können Einwände gegen Match-Ergebnisse vorbringen
- Recht auf Anfechtung: Sie können KI-generierte Ergebnisse anfechten und eine Neubeurteilung verlangen
- Recht auf Erklärung: Sie haben Anspruch auf aussagekräftige Informationen über die tatsächlich angewandten Verfahren und Grundsätze der automatisierten Verarbeitung
Kontakt für die Ausübung dieser Rechte: datenschutz@sprad.io
Keine Verarbeitung besonderer Datenkategorien: Der Matching-Algorithmus verwendet keine Daten zu ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit, genetischen oder biometrischen Daten, Gesundheit oder sexueller Orientierung (Art. 9 DSGVO). Sollten Sie solche Informationen freiwillig in Ihren Profiltexten angeben, bitten wir Sie, dies zu unterlassen.
7. Auftragsverarbeiter und Empfänger
7.1 Übersicht der Auftragsverarbeiter Wir setzen folgende Auftragsverarbeiter ein:
| Auftragsverarbeiter | Zweck | Standort | Transfermechanismus | Zertifizierungen |
|---|---|---|---|---|
| Supabase Inc. | Hauptdatenbank (PostgreSQL), Dateispeicher | EU - AWS Frankfurt (eu-central-1) | EU-SCCs für etwaige US-Zugriffe | SOC 2 Type II |
| Anthropic PBC | CV-Generierung, Profilzusammenf., Bewerbungsmaterialien | USA | EU-SCCs (Modul 2+3, Beschluss 2021/914) | SOC 2, ISO 27001, ISO 42001 |
| OpenAI Ireland Ltd. | Deep Research, Jobsuche | USA (EWR-Daten über OpenAI Ireland) | EU-SCCs | SOC 2, ISO 27001, ISO 27701 |
| ElevenLabs Inc. | Voice-Agent, Transkription | EU (Verarbeitung); Unternehmenssitz USA | EU-Verarbeitung; für etwaige US-Zugriffe: EU-US DPF + EU-SCCs | SOC 2, ISO 27001, PCI DSS |
| Langfuse GmbH | KI-Observability, Prompt-/Antwort-Logging | EU | Kein Drittlandtransfer | SOC 2, ISO 27001 |
| Stripe Payments Europe, Limited / Stripe, Inc. | Zahlungsabwicklung, Abo-Verwaltung, Rechnungsstellung, Betrugserkennung, Steuerberechnung | EU (Irland); USA | EU-Verarbeitung (Irland); für US-Zugriffe: EU-SCCs (Modul 2+3) | PCI DSS Level 1, SOC 1, SOC 2 |
| Mailgun Technologies, Inc. | Transaktionaler E-Mail-Versand (Bestätigungen, Benachrichtigungen, Passwort-Resets, …) | EU | EU-Verarbeitung; für etwaige US-Zugriffe: EU-US DPF + EU-SCCs (Modul 2+3, Beschluss 2021/914) | SOC 2, ISO 27001, ISO 27701 |
7.2 Detailinformationen zu den Auftragsverarbeitern Anthropic (Claude API): Anthropic verarbeitet die an die API übermittelten Daten ausschließlich zur Erbringung des Dienstes. Anthropic verwendet API-Daten nicht zum Training seiner KI-Modelle. Prompts und Outputs werden standardmäßig innerhalb von 30 Tagen gelöscht. Anthropic ist nicht im EU-US Data Privacy Framework zertifiziert — die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs).
OpenAI (API): OpenAI verarbeitet API-Daten ausschließlich im Auftrag. OpenAI trainiert keine Modelle mit Geschäftsdaten aus der API. Die Datenspeicherung beträgt maximal 30 Tage. Für EWR-Nutzer fungiert OpenAI Ireland Ltd. als Vertragspartner. Die Datenübermittlung in die USA wird durch SCCs abgesichert.
ElevenLabs: ElevenLabs verarbeitet Voice-Daten für Sprachsynthese und Transkription. Die Datenverarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Da ElevenLabs Inc. ihren Unternehmenssitz in den USA hat, kann der Zugriff auf personenbezogene Daten aus den USA nicht ausgeschlossen werden. Für diesen Fall stützen wir uns auf die DPF-Zertifizierung von ElevenLabs (verifizierbar unter dataprivacyframework.gov) sowie auf EU-Standardvertragsklauseln (SCCs). Wir haben die Option aktiviert, dass Ihre Sprachdaten nicht für das Training von ElevenLabs-Modellen verwendet werden.
Supabase: Alle Kandidatendaten, Uploads und Datenbankdaten werden in AWS Frankfurt (EU) gespeichert und verlassen den EWR für die Kerndatenhaltung nicht. Für etwaige US-Zugriffe (z.B. Support) gelten SCCs.
Langfuse: Die Langfuse GmbH mit Sitz in Berlin verarbeitet KI-Prompts und -Antworten für das Qualitätsmonitoring ausschließlich innerhalb der EU.
Stripe (Zahlungsabwicklung): Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Limited mit Sitz in Irland. Stripe verarbeitet die an die API übermittelten Zahlungsdaten ausschließlich zur Erbringung des Zahlungsdienstes. Vollständige Kredit- und Debitkartennummern werden ausschließlich von Stripe verarbeitet und gemäß PCI DSS Level 1 gesichert; der Anbieter hat keinen Zugriff auf diese Daten. Stripe setzt Cookies und ähnliche Technologien zur Betrugserkennung ein (Stripe Radar); diese sind als technisch notwendig einzustufen. Für die Steuerberechnung (Stripe Tax) übermitteln wir die Adresse bzw. den Standort des Nutzers bei Stripe, um die korrekte Umsatzsteuer des Bestimmungslandes zu ermitteln. Stripe erstellt automatisiert Rechnungen (Stripe Invoicing) mit Ausweisung der länderspezifischen Umsatzsteuer. Die Datenverarbeitung erfolgt primär auf Servern innerhalb der EU, insbesondere in Irland. Da Stripe, Inc. ihren Konzernsitz in den USA hat, kann der Zugriff auf personenbezogene Daten aus den USA nicht ausgeschlossen werden. Für diesen Fall haben wir EU-Standardvertragsklauseln (SCCs) gemäß dem Durchführungsbeschluss (EU) 2021/914 vereinbart. Die Datenschutzerklärung von Stripe ist unter stripe.com/privacy abrufbar.
Mailgun (E-Mail-Versand): Der Versand transaktionaler E-Mails (insbesondere Vertragsbestätigungen, Widerrufsbestätigungen, Widerrufsformular-Empfangsbestätigungen, Kontobenachrichtigungen, Passwort-Resets und AGB-Änderungsmitteilungen) erfolgt über Mailgun Technologies, Inc., ein Tochterunternehmen der Sinch AB (publ), Schweden. Mailgun verarbeitet die übermittelten Daten (Name, E-Mail-Adresse, E-Mail-Inhalt, Zustellungsmetadaten) ausschließlich zur Erbringung des E-Mail-Dienstes. Die Datenverarbeitung erfolgt auf Servern innerhalb der EU (Google Cloud in Deutschland). Da Mailgun Technologies, Inc. ihren Unternehmenssitz in den USA hat (112 E Pecan St, Suite 1135, San Antonio, TX 78205), kann der Zugriff auf personenbezogene Daten aus den USA nicht ausgeschlossen werden. Für diesen Fall stützen wir uns auf die DPF-Zertifizierung von Mailgun (verifizierbar unter dataprivacyframework.gov) sowie auf EU-Standardvertragsklauseln (SCCs) gemäß dem Durchführungsbeschluss (EU) 2021/914. Der AVV (DPA-Version 8, Oktober 2025) wird automatisch mit den Nutzungsbedingungen von Mailgun abgeschlossen und ist unter mailgun.com/dpa abrufbar. E-Mail-Inhalte werden bei Mailgun maximal 7 Tage gespeichert; nach Kontolöschung erfolgt die vollständige Datenlöschung innerhalb von 90 Tagen. Die Datenschutzerklärung von Mailgun ist unter mailgun.com/legal/privacy-policy abrufbar.
7.3 Weitere Empfänger Darüber hinaus können personenbezogene Daten an folgende Empfänger übermittelt werden:
- Stripe Payments Europe, Limited (Irland) für die Zahlungsabwicklung, Abo-Verwaltung, automatisierte Rechnungsstellung und Betrugserkennung (Näheres unter § 7.2)
- Behörden bei gesetzlicher Verpflichtung (z.B. Steuerbehörden, Gerichte)
- IT-Dienstleister für Hosting, Wartung und Support
- Anbieter von Analyse-, Performance- und funktionalen Diensten gemäß der Cookie-Richtlinie (z. B. Webanalyse, Verhaltensanalyse, Support-Chat). Die vollständige Auflistung dieser Empfänger einschließlich der jeweiligen Transfermechanismen finden Sie in der Cookie-Richtlinie.
8. Internationale Datenübermittlung
8.1 Übermittlung in die USA Mehrere unserer Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten. Die Übermittlung personenbezogener Daten in die USA wird wie folgt abgesichert:
EU-US Data Privacy Framework (DPF): Für ElevenLabs und Mailgun stützen wir uns primär auf die EU-Datenverarbeitung (kein regulärer Drittlandtransfer). Für den Fall eines Zugriffs aus den USA stützen wir uns ergänzend auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795) sowie auf SCCs. ElevenLabs und Mailgun sind im DPF zertifiziert.
EU-Standardvertragsklauseln (SCCs): Für Anthropic, OpenAI, Supabase, Stripe und Mailgun haben wir EU-Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 vereinbart (Modul 2: Verantwortlicher an Auftragsverarbeiter; Modul 3: Auftragsverarbeiter an Unterauftragsverarbeiter). Ergänzend haben wir Transfer Impact Assessments (TIAs) durchgeführt. Stripe verarbeitet Zahlungsdaten primär innerhalb der EU (Irland); SCCs gelten als Absicherung gegen etwaige US-Zugriffe.
8.2 Verarbeitung innerhalb der EU/des EWR Die Kerndatenhaltung erfolgt bei Supabase in AWS Frankfurt (EU) und bei Langfuse in Berlin (EU). Diese Daten verlassen den Europäischen Wirtschaftsraum für die reguläre Verarbeitung nicht.
9. Cookies, Browser-Telemetrie und § 165 TKG 2021
9.1 Technisch notwendige Cookies Gemäß § 165 Abs. 3 TKG 2021 setzen wir folgende technisch notwendige Cookies ein, die keiner Einwilligung bedürfen, da sie für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich sind:
- Session-Cookies zur Authentifizierung und Sitzungsverwaltung
- CSRF-Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen
- Cookie-Consent-Speicher zur Dokumentation Ihrer Cookie-Einstellungen
- Cookies und ähnliche Technologien des Zahlungsdienstleisters Stripe zur Betrugserkennung, Geräteerkennung und sicheren Zahlungsabwicklung (Stripe Radar)
9.2 Einwilligungspflichtige Technologien Darüber hinaus setzen wir einwilligungspflichtige Technologien ein, insbesondere für Webanalyse, Verhaltensanalyse und funktionale Dienste (z. B. Support-Chat). Diese Technologien werden ausschließlich mit Ihrer vorherigen aktiven Einwilligung gemäß § 165 Abs. 3 TKG 2021 iVm Art. 6 Abs. 1 lit. a DSGVO aktiviert.
Eine vollständige Auflistung aller eingesetzten Cookies und ähnlicher Technologien, einschließlich Anbieternamen, Zwecken, Speicherdauern und etwaigen Drittlandtransfers, finden Sie in unserer Cookie-Richtlinie unter https://atlas.now/cookie-policy. Die Cookie-Richtlinie ist Bestandteil dieser Datenschutzerklärung im Sinne der Informationspflichten nach Art. 13 DSGVO.
Ihre Einwilligung holen wir über ein Cookie-/Consent-Banner vor dem Setzen nicht notwendiger Cookies ein. Die Einwilligung kann jederzeit widerrufen werden; der Widerruf ist ebenso einfach wie die Erteilung (Consent-Einstellungen). Voreinstellungen sind stets auf „abgelehnt" gesetzt (Privacy by Default).
10. Speicherfristen
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht:
| Datenkategorie | Speicherfrist | Rechtsgrundlage/Begründung |
|---|---|---|
| Kontodaten (aktive Nutzer) | Dauer des Vertragsverhältnisses | Art. 6 Abs. 1 lit. b DSGVO |
| Profil- und Karrieredaten | Dauer des aktiven Kontos; bei Löschung: 30 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Hochgeladene Dokumente | Dauer des aktiven Kontos; bei Löschung: 30 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Voice-Aufnahmen | Max. 90 Tage nach Erstellung; Transkripte als Profilteil | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| KI-generierte Dokumente | Dauer des aktiven Kontos; bei Löschung: 30 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| KI-Observability-Daten (Langfuse) | Min. 6 Monate, max. 3 Jahre | Art. 6 Abs. 1 lit. f DSGVO (berecht. Interesse); Art. 12, 19 KI-VO (Aufbewahrungspflicht für Hochrisiko-KI) |
| Browser-Telemetrie | Max. 13 Monate, dann Anonymisierung/Löschung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Zahlungs-/Rechnungsdaten | 7 Jahre ab Ende des Kalenderjahres | § 132 BAO, §§ 190–212 UGB |
| Daten bei API-Verarbeitern | Anthropic/OpenAI: max. 30 Tage | DPA/AVV-Regelungen |
| Inaktive Konten | 24 Monate Inaktivität → Benachrichtigung; dann Löschung nach 30 Tagen | Art. 6 Abs. 1 lit. f DSGVO |
| Einwilligungsnachweise | 3 Jahre nach Ende der Verarbeitung | Art. 7 Abs. 1 DSGVO (Nachweispflicht) |
| Daten bei Stripe | Transaktionsdaten: Dauer der Geschäftsbeziehung + 7 Jahre (steuerliche Aufbewahrung); Tokenisierte Kartendaten: bis Widerruf/Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); § 132 BAO, §§ 190–212 UGB (Aufbewahrungspflichten) |
| Daten bei Mailgun | E-Mail-Inhalte: max. 7 Tage; Zustellungslogs: max. 30 Tage; nach Kontolöschung: vollständige Löschung innerhalb von 90 Tagen | AVV/DPA-Regelungen |
Verteidigung rechtlicher Ansprüche (GlBG): Soweit Atlas Apply Daten im Zusammenhang mit Bewerbungsprozessen verarbeitet, bewahren wir relevante Daten bis zu 7 Monate nach Abschluss eines Bewerbungsvorgangs auf, um uns gegen etwaige Diskriminierungsansprüche gemäß § 29 Abs. 1 GlBG verteidigen zu können (Rechtsgrundlage: Art. 17 Abs. 3 lit. e DSGVO).
Datenexport bei Vertragsende: Nach Beendigung des Vertragsverhältnisses können Sie innerhalb von 30 Tagen den Export Ihrer gespeicherten Daten und Dokumente beantragen (vgl. § 15 Abs. 2 der AGB). Nach Ablauf dieser Frist werden Ihre personenbezogenen Daten gelöscht, sofern gesetzliche Aufbewahrungspflichten nicht entgegenstehen.
11. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO, DSG und KI-Verordnung folgende Rechte:
DSGVO Rechte
- Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten, einschließlich Informationen über die Herkunft der Daten, deren Empfänger und den Zweck der Verarbeitung.
- Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige Daten werden auf Ihren Hinweis hin unverzüglich berichtigt.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, wenn der Verarbeitungszweck entfallen ist, Sie Ihre Einwilligung widerrufen haben oder die Verarbeitung unrechtmäßig war. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten. Bei der Löschung werden auch alle KI-generierten abgeleiteten Daten gelöscht.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Ausübung der Rechte Sämtliche Rechte können Sie per E-Mail an datenschutz@sprad.io oder per Post an die oben genannte Adresse ausüben. Wir antworten innerhalb eines Monats (bei komplexen Anfragen verlängerbar um zwei Monate gemäß Art. 12 Abs. 3 DSGVO). Die Ausübung der Rechte ist kostenlos.
Beschwerderecht bei der Aufsichtsbehörde Sie haben das Recht auf Beschwerde bei der Österreichischen Datenschutzbehörde (DSB): Österreichische Datenschutzbehörde Barichgasse 40-42 1030 Wien Telefon: +43 1 52 152-0 E-Mail: dsb@dsb.gv.at Web: https://www.dsb.gv.at
12. Altersbeschränkung
Atlas Apply richtet sich ausschließlich an Personen, die das 18. Lebensjahr vollendet haben (vgl. § 2 Abs. 2 der AGB). Wir verarbeiten wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Sollten wir Kenntnis davon erlangen, dass eine Person unter 18 Jahren die Plattform nutzt, werden wir die betreffenden Daten unverzüglich löschen.
13. Änderungen dieser Datenschutzerklärung
Wir überprüfen diese Datenschutzerklärung regelmäßig und passen sie bei Bedarf an, insbesondere bei Änderungen unserer Verarbeitungstätigkeiten, der Rechtslage oder behördlicher Vorgaben. Wesentliche Änderungen teilen wir Ihnen per E-Mail oder über die Plattform mit. Die jeweils aktuelle Fassung ist stets unter https://atlas.now/privacy abrufbar.
14. Kontakt
Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zu dieser Datenschutzerklärung wenden Sie sich bitte an: Sprad Software GmbH Kaiserstraße 16 / 7-9 1070 Wien, Österreich E-Mail: datenschutz@sprad.io