Die Nejo Datenschutzerklärung

Diese Version gilt für alle Nutzer:innen, die sich ab dem 14.03.2026 registrieren oder Nejo ohne Registrierung verwenden. Für Nutzer:innen mit einem bestehenden Nejo Konto treten die Änderungen am 16.05.2026 in Kraft.

1. Einleitung

In dieser Datenschutzerklärung informieren wir dich über die wichtigsten Aspekte der Datenverarbeitung auf unserer Webseite. Wir möchten, dass du genau weißt, wie wir mit deinen Daten umgehen.

Zuletzt aktualisiert: 13.03.2026

2. Verantwortlicher und Geltungsbereich

Nejo FlexCo (kurz: "Nejo", "wir" oder "uns") ist verantwortlich für die Verarbeitung deiner persönlichen Daten, wenn du unsere Produkte und Services nutzt.

Diese Datenschutzerklärung richtet sich an verschiedene Personengruppen:

• Websitebesucher:innen: Alle, die unsere Webseite besuchen
• Arbeitgeber:innen: Ansprechpersonen unserer Kunden und Geschäftskontakte

Diese Datenschutzerklärung gilt für https://mynejo.com sowie für alle von der Nejo FlexCo betriebenen Websites und Dienste, die auf diese Datenschutzerklärung verweisen.

Verantwortlich für die Verarbeitung deiner personenbezogenen Daten im Sinne des Art. 4 Z 7 DSGVO ist:

Unseren Datenschutzbeauftragten erreichst du unter hi@mynejo.com.

3. Grundlagen der Datenverarbeitung

3.1 Was sind personenbezogene Daten?

Als personenbezogene Daten gelten alle Informationen, die sich auf dich als identifizierbare Person beziehen. Welche deiner Daten wir verarbeiten, hängt davon ab:

• welche unserer Dienste du nutzt
• welche freiwilligen Einwilligungen du uns gegeben hast
• welche Daten du selbst eingibst

3.2 Rechtsgrundlagen im Überblick

Wir nehmen den Schutz deiner Daten sehr ernst. Deine personenbezogenen Daten werden bei uns vertraulich und entsprechend den gesetzlichen Vorschriften behandelt.

Wir erheben und verarbeiten deine persönlichen Daten nur auf Grundlage der gesetzlichen Bestimmungen (insbesondere der Datenschutzgrundverordnung und des Telekommunikationsgesetzes 2003 und der DSGVO).

Wenn wir in dieser Datenschutzerklärung bestimmte Fachbegriffe nicht näher erklären, gelten die Definitionen der EU-Datenschutzgrundverordnung (DSGVO). Das ist die VERORDNUNG (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Grundsätzlich gilt bei allen Verarbeitungen das Prinzip der Datenminimierung: Nejo erhebt und verarbeitet ausschließlich jene personenbezogenen Daten, die zur Erfüllung der konkret angeforderten Funktion erforderlich sind, und keine Daten „auf Vorrat" oder für nicht zusammenhängende Zwecke.

3.3 Zwecke und Rechtsgrundlagen im Überblick

Wir verarbeiten deine personenbezogenen Daten für folgende Zwecke und auf folgenden Rechtsgrundlagen:

• Zur Erstellung und Verwaltung deines Benutzerkontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Zur Analyse deines Lebenslaufs zur Erstellung personalisierter Jobempfehlungen und für die Funktionalität „1-Klick-Bewerbung". Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Zur Zusendung von Service-E-Mails (z. B. Onboarding-Informationen, automatische Jobvorschläge basierend auf deinem Suchverhalten sowie individuelle Jobbenachrichtigungen über den Job-Agent). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Zur Zusendung von Marketing-E-Mails (z. B. Karriere-Tipps, Nejo-Updates). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Zur Missbrauchserkennung und Sicherheit unserer Dienste. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Zur Analyse von Nutzungsdaten zur Produktverbesserung und Weiterentwicklung unserer Plattform. Für nicht eingeloggte Nutzer:innen, die dem Tracking über unser Cookie-Banner zugestimmt haben, erfolgt die Analyse auf Grundlage ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Soweit keine Einwilligung erteilt wurde, erfassen wir ausschließlich anonyme, nicht personenbezogene Nutzungsstatistiken ohne Einsatz von Cookies (Recital 26 DSGVO). Für eingeloggte Nutzer:innen verarbeiten wir Nutzungsdaten auf Grundlage unseres berechtigten Interesses an der Verbesserung unseres Produkts (Art. 6 Abs. 1 lit. f DSGVO). Dabei stellen wir sicher, dass deine Rechte und Freiheiten gewahrt bleiben – insbesondere durch Pseudonymisierung und Datenminimierung.

Für Ansprechpersonen unserer Geschäftskunden und -kontakte verarbeiten wir Daten zur:

• Unterstützung im Recruitingprozess
• Unterstützung bei der Employer-Branding-Strategie

4. Dein Konto

4.1 Pflichtangaben

4.1.1 Konto erstellen & verwalten

Wenn du ein Nejo Konto anlegst, verarbeiten wir deinen Vornamen, deine E‑Mail-Adresse sowie ein von dir gesetztes Passwort, das wir verschlüsselt speichern. Wir nutzen diese Daten, um dein Konto anzulegen, dich anzumelden und dir betriebsnotwendige Informationen zu deinem Konto zu senden (z. B. Registrierungsbestätigung, Passwort‑Zurücksetzung).

4.1.2 Registrierungsprotokolle

Zur Sicherheit und zum Nachweis deiner Registrierung speichern wir den Zeitpunkt der Bestätigung sowie die zugehörige IP‑Adresse.

4.1.3 Social Login (Google, LinkedIn, Facebook, Apple)

Wenn du dich über einen dieser Anbieter anmeldest, erhalten wir von dort in der Regel deinen Namen und deine E‑Mail-Adresse. Du brauchst bei Nejo dann kein Passwort. Eine spätere Änderung deiner E‑Mail-Adresse innerhalb Nejo ist bei Social‑Login‑Konten nicht möglich; bitte verwende ggf. die Änderungsfunktionen beim jeweiligen Anbieter.

4.2 Freiwillige Angaben

Du kannst in deinem Profil zusätzliche Informationen speichern, um deine Jobsuche zu verbessern oder Bewerbungen schneller auszufüllen. Dazu gehören z. B. Telefonnummer, Adresse, Geburtsdatum, Nationalität, Ausbildung, Berufserfahrung, Fähigkeiten/Skills, Zertifikate (und weitere berufliche Angaben).

Für Jobempfehlungen verwenden wir ausschließlich berufsbezogene Angaben wie Ausbildung, Berufserfahrung, Fähigkeiten und Zertifikate sowie Sprachkenntnisse. Wir verwenden nicht: Name, Adresse, E‑Mail, Telefonnummer, Nationalität, Geburtsdatum/Alter oder andere identifizierende Kontaktinformationen für das algorithmische Matching.

4.3 Rechtsgrundlage

Pflichtangaben: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO); Sicherheits‑ und Betrugsprävention: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Freiwillige Angaben: Soweit die Angaben zur Bereitstellung deiner gewünschten Funktionen (Jobsuche, Bewerbung) erforderlich sind: Vertragserfüllung / vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Für zusätzliche, rein freiwillige Daten: deine Einwilligung bzw. Nutzungshandlung (Art. 6 Abs. 1 lit. a DSGVO).

4.4 Speicherdauer

Solange dein Konto aktiv ist. Wenn du 24 Monate nicht aktiv bist, erinnern wir dich per E‑Mail. Reagierst du nicht, löschen wir dein Konto (inkl. Registrierungsprotokolle) nach weiteren 6 Monaten unwiderruflich, sofern keine gesetzlichen Pflichten entgegenstehen. Bei Kontolöschung löschen wir deine Profildaten und CV‑Dateien (siehe Löschfristen in den jeweiligen Abschnitten).

5. Jobsuche mit KI-Chat

Die Suche mit KI-Chat ist die standardmäßige Suchfunktion auf Nejo. Du kannst im Chat-Gespräch mit unserem KI-Assistenten deine beruflichen Präferenzen angeben und erhältst darauf basierend passende Jobvorschläge. Deine Chat-Inhalte werden nicht zum Trainieren von KI-Modellen verwendet und nicht an Dritte weitergegeben. Hinweis: Diese Funktion könnte nach aktuellem Diskussionsstand als potenzielles Hochrisiko-KI-System gemäß EU AI Act einzustufen sein. Unabhängig von der endgültigen Klassifizierung orientiert sich Nejo FlexCo bereits jetzt an den Anforderungen des EU AI Act.

5.1 Welche Daten verarbeiten wir?

Im Rahmen der KI-Chat-Funktion verarbeiten wir ausschließlich berufsbezogene Angaben, die du im Chat-Gespräch mit unserem KI-Assistenten teilst:

• Berufliche Laufbahn und Karriereweg
• Ausbildung und Qualifikationen
• Fähigkeiten und Kompetenzen
• Sprachkenntnisse
• IT- und technische Kenntnisse
• Projekt- und Branchenerfahrungen
• Gewünschter Arbeitsort

Wichtig: Wir fragen NIEMALS nach persönlichen Identifikationsdaten wie Name, Telefonnummer, E-Mail-Adresse, Nationalität, Geburtsdatum, Alter oder Wohnadresse. Bitte teile solche Informationen nicht im KI-Chat.

5.2 Rechtsgrundlage

Die Verarbeitung der im Chat geteilten berufsbezogenen Angaben erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die KI-Chat-Suche eine Kernfunktion der Plattform ist. Für die darauf basierende Personalisierung von Jobvorschlägen stützen wir uns zusätzlich auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

5.3 Speicherdauer

Bei Löschung deines Kontos werden alle personenbezogenen Chat-Daten unverzüglich und unwiderruflich gelöscht. Darüber hinaus gelten folgende Maximaldauern:

• Chat-Verlauf und extrahierte Daten: 18 Monate nach letzter Nutzung der KI-Chat-Funktion
• Anonymisierte Trainingsdaten: Unbegrenzt (da kein Personenbezug mehr besteht)

Die Speicherfristen beginnen jeweils neu zu laufen, wenn du die KI-Chat-Funktion erneut nutzt. Du kannst der Verarbeitung jederzeit widersprechen bzw. dein Konto löschen.

Wie die KI-Chat-Funktion und darauf basierend die Empfehlung von Jobs im Detail funktioniert, erfährst du in unseren Nutzungsbedingungen.

6. Suche mit Lebenslauf und 1-Klick-Bewerbung

Um diese beiden Funktionen zu nutzen, musst du deinen Lebenslauf hochladen. Dafür bitten wir dich beim Upload um dein gesondertes Einverständnis.

Wichtiger Hinweis: Die Funktion „Suche mit Lebenslauf" ist als potenzielles Hochrisiko-KI-System gemäß EU AI Act klassifiziert. Unabhängig von der endgültigen Klassifizierung orientiert sich Nejo FlexCo bereits jetzt an den Anforderungen des EU AI Act und übernimmt als Provider die Verantwortung für die Einhaltung der geltenden Vorschriften.

6.1 Welche Daten analysieren wir aus deinem Lebenslauf?

• Berufliche Laufbahn und Karriereweg
• Ausbildung und Qualifikationen
• Fähigkeiten und Kompetenzen
• Sprachkenntnisse
• IT- und technische Kenntnisse
• Projekt- und Branchenerfahrungen
• Wohnort (falls im CV angegeben)

Zusätzliche erfasste Daten falls im Lebenslauf enthalten:

• Name, Telefonnummer, Nationalität, Geburtsdatum, Adresse
• Wichtig: Diese Daten werden NIEMALS für Jobempfehlungen verwendet, sondern nur für die Funktion „1-Klick-Bewerbung" in deinem Profil sicher gespeichert.

6.2 1-Klick-Bewerbung

Wenn du dich bewirbst, zeigen wir dir vor dem Absenden, welche Daten aus deinem Profil an den Arbeitgeber übermittelt werden. Du bestätigst diese Übermittlung aktiv.

6.3 Rechtsgrundlage

Die Verarbeitung deines Lebenslaufs erfolgt auf Grundlage deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst diese Einwilligung jederzeit widerrufen. Die KI-Chat-Suche ist eine Kernfunktion der Plattform und erfordert keine gesonderte Einwilligung.

6.4 Speicherdauer

Du kannst deine Daten jederzeit über deine Profileinstellungen auf Nejo löschen. Alle personenbezogenen Daten werden dann unverzüglich und unwiderruflich von uns gelöscht.

Auch wenn du deine Einwilligung nicht widerrufst, speichern wir deine Daten nur für eine gewisse Maximaldauer:

• CV-Rohdaten: 12 Monate nach letzter Nutzung der CV-Suchfunktion
• Extrahierte Profildaten: 18 Monate nach letzter Nutzung der CV-Suchfunktion
• Anonymisierte Trainingsdaten: Unbegrenzt (da kein Personenbezug mehr besteht)

Die Speicherfristen beginnen jeweils neu zu laufen, wenn du die CV-Suchfunktion erneut nutzt.

7. E-Mail-Kommunikation

Wir unterscheiden drei Arten von E-Mails: Systembenachrichtigungen, Service-E-Mails und Marketing-E-Mails. Der Versand erfolgt über Azure Communication Services (Region Deutschland) und Customer.io (EU-Region) als Auftragsverarbeiter gemäß Art. 28 DSGVO.

7.1 Systembenachrichtigungen (nicht abwählbar)

Wir senden dir bestimmte E‑Mails, die für die Nutzung deines Kontos notwendig sind – z. B. Registrierungsbestätigung, Passwort‑Zurücksetzung, Hinweis wenn dein Lebenslauf verarbeitet wurde, sowie sicherheits- oder rechtsrelevante Mitteilungen (z. B. Änderungen der Nutzungsbedingungen oder der Datenschutzerklärung).

Diese Systemmails kannst du nicht abbestellen. Wir erfassen dabei keine Öffnungs- oder Klickdaten. Zur Sicherstellung der Zustellbarkeit speichern wir Versandzeitpunkte und technische Statusinformationen, solange dein Konto besteht.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse an der sicheren und zuverlässigen Bereitstellung unserer Dienste (Art. 6 Abs. 1 lit. f DSGVO).

7.2 Service-E-Mails (Onboarding, Jobvorschläge und Job-Agent)

Wenn du ein Nejo-Konto erstellst, senden wir dir E-Mails zu Diensten, die denen ähnlich sind, die du bereits nutzt. Dazu gehören insbesondere:

• Onboarding-E-Mails: Informationen und Tipps zur optimalen Nutzung deines Nejo-Kontos nach der Registrierung
• Ähnliche Jobs: Automatische Jobempfehlungen basierend auf deinem Suchverhalten, deinen gespeicherten Suchkriterien oder deinen Profilinformationen (z. B. Fähigkeiten, Berufserfahrung, Wunschort)
• Job-Agent: Du kannst individuelle Jobbenachrichtigungen einrichten – mit eigenen Suchkriterien, bevorzugten Regionen und gewünschter Häufigkeit. Der Job-Agent sendet dir regelmäßig passende Stellenangebote per E-Mail.

7.2.1 Welche Daten verarbeiten wir für Service-E-Mails?

• E-Mail-Adresse für den Versand
• Suchverhalten und gespeicherte Suchkriterien (Stichwörter, Ort, Branche etc.)
• Profilinformationen (sofern vorhanden: Fähigkeiten, Berufserfahrung, Wunschort)
• Registrierungszeitpunkt und Kontostatus (für Onboarding-Sequenz)
• Interaktionsdaten (Öffnungen, Klicks) zur Optimierung und statistischen Auswertung

7.2.2 Rechtsgrundlage

Die Zusendung von Service-E-Mails erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 174 Abs. 4 TKG 2003. Unser berechtigtes Interesse liegt in der Information über Dienste, die denen ähnlich sind, die du als registrierte:r Nutzer:in bereits in Anspruch nimmst.

Interessenabwägung: Als Nutzer:in einer Jobsuchplattform kannst du vernünftigerweise erwarten, über relevante neue Jobangebote und Funktionen informiert zu werden. Der Versand erfolgt ausschließlich in Bezug auf Dienste, die du bereits nutzt (z. B. Jobsuche, Profiloptimierung), und verfolgt das Ziel, dir einen besseren Service zu bieten. Dein Recht auf Widerspruch wird durch einfache Opt-out-Möglichkeiten in jeder E-Mail gewährleistet.

7.2.3 Abmeldung

Du kannst dich jederzeit von Service-E-Mails abmelden:

• Per Klick auf den Abmeldelink in jeder E-Mail
• In deinen Profileinstellungen unter E-Mail-Einstellungen

Service-E-Mails werden für die Dauer der aktiven Nutzungsbeziehung versendet (d. h. solange du ein aktives Nejo-Konto hast und dich nicht abgemeldet hast).

7.3 Marketing-E-Mails (nur mit Einwilligung)

Zusätzlich zu den Service-E-Mails kannst du dich für Marketing-E-Mails anmelden. Diese umfassen:

• Karriere-Tipps und Tricks für deine Jobsuche
• Reaktivierungs-E-Mails bei längerer Inaktivität
• Nejo-Updates und Neuigkeiten zur Plattform

Rechtsgrundlage: Deine ausdrückliche und freiwillige Einwilligung gemäß § 174 Abs. 3 TKG 2003 in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung kannst du bei der Registrierung oder später in deinen Profileinstellungen erteilen.

7.3.1 Abmeldung

Du kannst deine Einwilligung jederzeit widerrufen, indem du:

• auf den Abmeldelink in der E-Mail klickst, oder
• die Einstellung in deinen Profileinstellungen auf Nejo änderst

Bei Widerruf werden keine weiteren Nutzungsdaten mit deiner E-Mail-Adresse verknüpft und keine Marketing-E-Mails mehr versendet.

7.4 Personalisierung von E-Mails

Um dir relevantere Inhalte zu senden, kombinieren wir für bestimmte E-Mails deine pseudonymisierten Nutzungsdaten aus PostHog (z. B. welche Features du nutzt, welche Seiten du besuchst) mit deiner E-Mail-Adresse in Customer.io.

7.4.1 Service-E-Mails

Für Service-E-Mails (z. B. Onboarding, Jobvorschläge) nutzen wir diese Verknüpfung, um dir relevantere Inhalte basierend auf deiner tatsächlichen Plattformnutzung zu senden – etwa welche Funktionen du bereits verwendet hast oder welche Jobkategorien dich interessieren. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die Verknüpfung dient ausschließlich der Verbesserung des Services, den du bereits nutzt.

7.4.2 Marketing-E-Mails

Für Marketing-E-Mails erfolgt die Verknüpfung nur mit deiner ausdrücklichen Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.5 E-Mail-Tracking (Zählpixel)

Unsere Service-E-Mails und Marketing-E-Mails enthalten sogenannte Zählpixel (Tracking-Pixel). Dabei handelt es sich um eine kleine, eingebettete Grafik, mit deren Hilfe wir erkennen können, ob und wann eine E-Mail geöffnet wurde und welche Links angeklickt wurden. Diese Daten helfen uns, die Relevanz und Qualität unserer E-Mails zu verbessern. Rechtsgrundlage für Service-E-Mails: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); für Marketing-E-Mails: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

7.6 Speicherdauer

• Service-E-Mail-Daten: Für die Dauer der aktiven Nutzungsbeziehung; bei Kontolöschung oder Abmeldung werden die Daten gelöscht
• Marketing-E-Mail-Daten: Nach 12 Monaten ohne E-Mail-Interaktion automatische Löschung der zugehörigen Einwilligungs- und Interaktionsdaten
• Versandhistorie: 3 Monate für technische Nachverfolgung

8. Nutzungsanalyse zur Produktverbesserung

8.1 Was wir tun und warum

Zur Verbesserung unserer Plattform nutzen wir das Produktanalysetool PostHog Cloud EU, um zu verstehen, wie unsere Services verwendet werden – z. B. welche Funktionen genutzt werden, wo Abbrüche auftreten oder welche Seiten besonders gefragt sind. So können wir Fehler beheben, Nutzerfreundlichkeit verbessern und die Entwicklung priorisieren.

• Nicht eingeloggte Nutzer:innen: Eine Analyse erfolgt nur nach deiner Zustimmung über unser Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO).
• Eingeloggte Nutzer:innen: Die Analyse erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Dabei achten wir besonders auf Pseudonymisierung, Datenminimierung und Transparenz.

Auch bei eingeloggten Nutzer:innen werden keine direkt identifizierenden Daten (wie Name oder E-Mail-Adresse) an PostHog übermittelt, sondern eine pseudonyme Nutzerkennung. Zusätzlich nutzen wir technische Schutzmaßnahmen, um sensible Inhalte auszuschließen (z. B. Maskierung, clientseitige Filter).

8.2 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, unseren Dienst funktionsfähig, sicher und nutzerorientiert bereitzustellen und fortlaufend zu verbessern. Hierzu führen wir eine Interessenabwägung durch: Unsere Entwicklungs‑ und Qualitätsinteressen werden den möglichen Auswirkungen auf die Privatsphäre unserer Nutzer:innen gegenübergestellt. Maßgebliche Kriterien sind u.a. Erwartungshaltung registrierter Nutzer:innen, Pseudonymisierung, Datenminimierung, technische und organisatorische Schutzmaßnahmen sowie Transparenz und einfache Widerspruchsmöglichkeit.

8.3 Widerruf / Opt-out

Du kannst der Verarbeitung deiner personenbezogenen Daten zu Produktanalysezwecken jederzeit widersprechen. In der Anwendung findest du unter [Profil > Einstellungen > Nutzungsanalyse] einen Schalter; beim Deaktivieren stoppen wir die weitere Erfassung und Übermittlung von Nutzungsereignissen an PostHog. Alternativ kannst du deinen Widerspruch auch per E‑Mail an uns richten; wir setzen den Opt‑out dann technisch für dich um. Auf Wunsch prüfen wir die Löschung bereits erfasster Daten.

8.4 Welche Daten wir übermitteln

Typische erfasste Daten sind:

• pseudonyme Nutzer-ID (für eingeloggte Nutzer:innen)
• Eventname (z. B. Klick, Seitenaufruf, Feature verwendet, …)
• Zeitstempel und URL-Kontext
• Geräte- und Browserinformationen
• Kampagnen-/Referrer-Daten (z. B. UTM-Tags)

8.5 Speicherdauer und Löschung

Dienstleister: PostHog, Inc. als Auftragsverarbeiter. Wir nutzen PostHog Cloud EU; Diese Instanz wird in der AWS‑Region eu-central-1 (Frankfurt, Deutschland) betrieben, und Nutzungsdaten verbleiben in der EU. Eine Auftragsverarbeitungsvereinbarung wurde abgeschlossen.

Für die Nutzungsanalyse in PostHog verwenden wir eine pseudonyme Nutzerkennung (distinct_id). Wenn dein Nutzerprofil gelöscht wird, wird die Verbindung zwischen deinem Konto und dieser Kennung unwiderruflich gelöscht. Zusätzlich löschen oder leeren wir – soweit vorhanden – das entsprechende Personenprofil in PostHog (einschließlich identifizierender Eigenschaften). Bereits erfasste Nutzungsereignisse bleiben erhalten, sind danach jedoch keinem identifizierbaren Konto mehr zuordenbar und werden nur noch in aggregierter Form für Produktstatistiken ausgewertet.

9. Nutzung über Drittplattformen (z. B. ChatGPT)

Nejo kann auch über Plattformen Dritter genutzt werden, z. B. über KI-Plattformen wie ChatGPT. Wenn du Nejo über eine solche Drittplattform nutzt, verarbeiten wir deine Eingaben und die daraus abgeleiteten Informationen, um dir die gewünschte Funktion bereitzustellen (z. B. Jobsuche, Jobempfehlungen, Hilfestellung beim Bewerben).

Nejo verarbeitet dabei ausschließlich jene konkreten Inhaltsausschnitte, die von der Drittplattform gezielt zur Erfüllung der angeforderten Funktion übermittelt werden. Wir fordern keinen vollständigen Gesprächsverlauf an, rekonstruieren oder inferieren diesen nicht und verarbeiten keine darüber hinausgehenden Kontextdaten aus der Drittplattform.

Wenn du Nejo über ChatGPT oder eine ähnliche Drittplattform nutzt, verarbeiten wir die Eingaben grundsätzlich ohne Zuordnung zu einem Nejo-Benutzerkonto. Wir versuchen nicht, dich zu identifizieren, und wir führen keine Zusammenführung dieser Daten mit bestehenden Nejo-Profilen durch.

Nejo erhebt, verlangt oder verarbeitet bei der Nutzung über Drittplattformen keine sogenannten eingeschränkten Daten. Dazu zählen insbesondere Zahlungsdaten (z. B. Kreditkartendaten), staatliche Identifikationsnummern, Gesundheitsdaten, sowie Zugangsdaten oder Authentifizierungsgeheimnisse (z. B. Passwörter, API-Keys oder Einmalcodes).

Nejo übermittelt in diesem Zusammenhang keine personenbezogenen Daten an den Drittplattformanbieter. Die Rückgabe der Ergebnisse (z. B. Jobvorschläge) erfolgt ausschließlich in Form inhaltlicher Antworten innerhalb der Plattform.

Bitte beachte: Für die Verarbeitung deiner Daten durch die jeweilige Drittplattform (z. B. ChatGPT/OpenAI) gelten zusätzlich die Datenschutzbestimmungen und Nutzungsbedingungen der jeweiligen Drittplattform. Nejo ist für die Verarbeitung der Daten verantwortlich, die wir im Rahmen der Nejo-Funktionalität erhalten und verarbeiten; der Drittanbieter ist für die Datenverarbeitung innerhalb seiner Plattform verantwortlich.

9.1 Welche Daten verarbeiten wir?

• Chat-Inhalte, die du im Rahmen der Nutzung der Nejo-Funktion teilst (insbesondere berufsbezogene Angaben wie Ausbildung, Berufserfahrung, Fähigkeiten, Jobpräferenzen).
• Technische Metadaten, die strikt für den sicheren Betrieb und die Missbrauchsprävention erforderlich sind (z. B. Zeitstempel, Statusinformationen, pseudonyme Sitzungs-/Request-IDs, Fehlermeldungen). Diese Metadaten werden nicht für Tracking, Profiling, Verhaltensanalysen oder Analytics innerhalb von Drittplattformen verwendet.

Wichtig: Bitte teile über Drittplattformen keine sensiblen oder vertraulichen Informationen, die für die Funktion nicht erforderlich sind (insb. besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO).

9.2 Speicherdauer und Löschung

Bei der Nutzung von Nejo über Drittplattformen (z. B. ChatGPT) erfolgt die Verarbeitung ohne Zuordnung zu einer identifizierbaren Person oder zu einem Nejo-Benutzerkonto.

Da uns keine identifizierenden Merkmale zur Verfügung stehen, ist eine individuelle Zuordnung, Auskunft oder Löschung auf Anfrage technisch nicht möglich (Art. 11 DSGVO). Wir sind in diesen Fällen nicht verpflichtet, zusätzliche Informationen zu erheben, um eine Identifizierung zu ermöglichen.

Stattdessen gelten folgende feste Speicher- und Löschfristen:

• Chat-Inhalte (Prompts und Antworten): Speicherung für maximal 30 Tage nach Verarbeitung, anschließend automatische Löschung.
• Technische Betriebs- und Sicherheitslogs (z. B. Zeitstempel, Status- und Fehlermeldungen): Speicherung für maximal 30 Tage, ausschließlich zu Zwecken der Systemsicherheit, Fehleranalyse und Missbrauchsprävention.
• Anonymisierte und aggregierte Nutzungsdaten: können ohne zeitliche Begrenzung gespeichert werden, da kein Personenbezug mehr besteht.

Nach Ablauf der jeweiligen Fristen werden die Daten automatisiert gelöscht oder irreversibel anonymisiert.

Eine Weitergabe von Daten an weitere Dritte erfolgt nicht. Nejo erstellt auf Basis der über Drittplattformen übermittelten Inhalte keine öffentlich sichtbaren Inhalte und führt keine externen Kommunikations- oder Versandhandlungen aus.

10. Hosting und Infrastruktur

Wir betreiben unsere Plattform auf Railway (EU-Region) als Anwendungshosting und nutzen Cloudflare als Content-Delivery-Network (CDN) und DNS-Dienst. Für KI‑Systeme und Datenverarbeitung setzen wir Microsoft Azure in der EU‑Region Deutschland ein, für KI-gestützte Analyse- und Verarbeitungsfunktionen zusätzlich Google Cloud (EU). Die KI-Modelle können von verschiedenen Anbietern stammen (z. B. Google, OpenAI, Anthropic) und werden ausschließlich über unsere Auftragsverarbeiter auf EU-Servern betrieben.

10.1 Auftragsverarbeiter

Mit unseren direkten Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. KI-Modellanbieter, deren Modelle über unsere EU-Infrastruktur betrieben werden, erhalten keinen direkten Zugang zu personenbezogenen Daten. Deine Daten werden nicht zum Trainieren von KI-Modellen verwendet.

Aktuell eingesetzte Dienstleister:

• Microsoft Azure: KI-Systeme, Datenverarbeitung und Cloud-Infrastruktur (EU-Region Deutschland)
• OpenAI (als Unterauftragsverarbeiter im Rahmen von Azure OpenAI)
• Google Cloud: KI-gestützte Analyse- und Verarbeitungsfunktionen
• Customer.io: E-Mail-Versand für Systemmails (Art. 6 Abs. 1 lit. b DSGVO), Service-E-Mails inkl. Onboarding, Jobvorschläge und Job-Agent (Art. 6 Abs. 1 lit. f DSGVO) sowie Marketing-E-Mails (Art. 6 Abs. 1 lit. a DSGVO). Customer.io wird in der EU-Region betrieben.
• PostHog, Inc.: Nutzungsanalyse zur Produktverbesserung (PostHog Cloud EU, AWS eu-central-1 Frankfurt)
• MongoDB, Inc. (MongoDB Atlas): Speicherung von Nutzerprofilen, Suchdaten und Plattformdaten. Betrieb auf Microsoft Azure in der EU-Region Frankfurt (Germany West Central).
• Railway Corp.: Anwendungshosting der Nejo-Plattform (EU-Region).
• Cloudflare, Inc.: Content-Delivery-Network (CDN) und DNS-Dienst. Cloudflare verarbeitet dabei technische Verbindungsdaten (insbesondere IP-Adressen) zur Auslieferung und Absicherung unserer Website.
• Weitere KI-Modellanbieter (z. B. Anthropic), deren Modelle ausschließlich über unsere EU-Infrastruktur (Azure, Google Cloud) betrieben werden

10.2 Rechtsgrundlagen

• Basisbetrieb (Kontoverwaltung, Website, Systemmails): Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie berechtigtes Interesse an Sicherheit, Verfügbarkeit und Performance (Art. 6 Abs. 1 lit. f DSGVO).
• CV‑Verarbeitung & Jobvorschläge: Deine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir verarbeiten deinen Lebenslauf und generieren erst nach deiner Zustimmung personalisierte Jobvorschläge. Dein Lebenslauf wird nicht zum Trainieren von KI-Modellen verwendet.
• Alle Verarbeitungsvorgänge erfolgen in der EU, verschlüsselt und gemäß Art. 32 DSGVO abgesichert. Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO liegen vor.

10.3 Einwilligung

• Für den Basisbetrieb ist keine Einwilligung erforderlich.
• Für die KI‑gestützte Verarbeitung deines Lebenslaufs ist eine gesonderte Einwilligung nötig, die du jederzeit widerrufen kannst. Die KI-Chat-Suche ist eine Kernfunktion der Plattform und erfordert keine gesonderte Einwilligung.

10.4 Datenübermittlung ins Ausland

Die Verarbeitung deiner Daten erfolgt grundsätzlich auf EU-Servern. Sofern im Einzelfall (z. B. für Support oder Fehlerbehebung) eine Übermittlung in Drittländer nicht vollständig ausgeschlossen werden kann, erfolgt diese auf Grundlage geeigneter Garantien wie Standardvertragsklauseln (Art. 46 DSGVO). Mit unseren direkten Dienstleistern wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

Wenn wir deine personenbezogenen Daten in ein Land außerhalb der EU/des EWR (Drittland) übertragen, für das kein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO vorliegt, stellen wir den Schutz deiner Daten über geeignete Garantien im Sinne des Art. 46 DSGVO sicher.

Die Weitergabe jeglicher Daten erfolgt ausschließlich auf Grundlage von vertraglichen Vereinbarungen und unter Einhaltung der gesetzlichen Datenschutzvorschriften.

10.5 Speicherdauer und Löschung

• Basisdaten: Solange dein Konto aktiv ist; nach 24 Monaten Inaktivität Erinnerung, nach weiteren 6 Monaten Löschung.
• CV‑Verarbeitungsdaten & Logs: entsprechend deiner Einwilligung, identischer Lifecycle wie Kontodaten.

Du kannst über deine Profileinstellungen die vollständige und unwiderrufliche Löschung deines Profils jederzeit selbst durchführen.

10.6 Technische und organisatorische Maßnahmen

• Alle Verarbeitungsvorgänge erfolgen in Azure DE (EU‑Region), verschlüsselt und gemäß Art. 32 DSGVO abgesichert.
• Für das KI‑System „Suche mit Lebenslauf" wurde eine Datenschutz‑Folgenabschätzung (DPIA) durchgeführt und technische Filter implementiert, um sensible Daten (Art. 9) nicht zu extrahieren oder weiterzugeben.

11. Cookies und Webseite

Wir möchten, dass dein Besuch auf unserer Website so angenehm wie möglich ist. Um zu verstehen, was dir wirklich wichtig ist, setzen wir daher entsprechende Technologien ein, insbesondere Cookies.

Mit unserer Cookie-Box kannst du selbst bestimmen, wie viel wir über dich wissen dürfen, und deine Auswahl jederzeit anpassen.

Das Blockieren bestimmter Arten von Cookies kann dazu führen, dass nicht alle Funktionen im vollen Umfang genutzt werden können.

Unsere Webseite ist über alle gängigen Browser zugänglich. Du kannst in deinem Browser auch direkt Einstellungen zur Cookie-Nutzung vornehmen.

Je nach deinen individuellen Cookie-Einstellungen verarbeiten wir folgende personenbezogene Daten:

• Browsertyp
• Cookie-Daten
• Gerätetyp
• Scrollverhalten
• Identifikations-ID (UUID)
• Klickverhalten

Nähere Informationen zu unserer Cookie-Nutzung findest du in unserer Cookie-Richtlinie.

11.1 Server-Log Files

Beim Besuch unserer Webseite erfassen wir bestimmte Informationen in sogenannten "Server-Log Files" automatisch. Dies sind technische Daten, die bei jedem Webseitenbesuch anfallen:

• IP-Adresse oder Hostname
• Verwendeter Browser
• Aufenthaltsdauer auf der Webseite
• Datum und Uhrzeit des Besuchs
• Aufgerufene Seiten unserer Webseite
• Spracheinstellungen und Betriebssystem
• "Leaving-Page" (auf welcher URL hast du unsere Webseite verlassen)
• ISP (Internet Service Provider)

Diese Informationen werden nicht personenbezogen verarbeitet und auch nicht mit anderen personenbezogenen Daten in Verbindung gebracht. Sie helfen uns dabei, unsere Webseite technisch zu optimieren und ihre Sicherheit zu gewährleisten.

11.2 Google Fonts

Für eine ansprechende und einheitliche Darstellung unserer Website verwenden wir Schriftarten von Google Fonts. Der Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Tel: +353 1 543 1000).

Wenn du unsere Webseite besuchst, lädt dein Browser die benötigten Schriftarten und speichert sie im Cache. Dabei kann Google Cookies auf deinem Gerät setzen.

Die Verwendung von Google Fonts dient der optimalen Darstellung unserer Inhalte und einer einheitlichen Gestaltung unserer Website. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Google verarbeitet Daten auch in den USA, hat sich aber dem EU-US Data Privacy Framework

unterworfen.

Weitere Informationen zu Google Fonts

und die Google Datenschutzerklärung.

12. Weiterleitung von Bewerbungsdaten

Nejo erhebt deine persönlichen Daten ausschließlich von dir selbst. In manchen Fällen müssen wir deine Daten an andere weitergeben. Wir teilen deine persönlichen Daten nur mit Behörden und öffentlichen Stellen im gesetzlich verpflichtenden Umfang (zum Beispiel Datenschutzbehörde, Gerichte oder Arbeiterkammer).

Wenn du auf Nejo auf den „Jetzt Bewerben" Button klickst, leiten wir dich immer zur Originalausschreibung des Arbeitgebers weiter. Wenn du deine Bewerbung dort dann verschickst, ist für die weitere Verarbeitung deiner Daten das Unternehmen verantwortlich, dem du deine Daten schickst.

13. Deine Rechte

Du hast in Bezug auf deine bei uns gespeicherten Daten verschiedene Rechte:

• Recht auf Auskunft: Du kannst jederzeit nachfragen, welche Daten wir über dich gespeichert haben.
• Recht auf Löschung: Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten dagegensprechen.
• Recht auf Berichtigung: Wenn deine Daten nicht korrekt sind, kannst du jederzeit eine Berichtigung verlangen.
• Recht auf Datenübertragbarkeit: Du kannst verlangen, dass wir deine Daten in einem gängigen Format an dich oder einen anderen Verantwortlichen übermitteln.
• Recht auf Widerruf und Widerspruch: Du kannst erteilte Einwilligungen jederzeit widerrufen und der Datenverarbeitung widersprechen.
• Recht auf Einschränkung: Du kannst verlangen, dass wir die Verarbeitung deiner Daten einschränken.

13.1 KI-spezifische Rechte

Zusätzlich zu den DSGVO-Rechten hast du bei der Funktion „Suchen mit Lebenslauf" und „Bewerben mit Lebenslauf" folgende Rechte:

• Auskunft über KI-Logik: Information über die Funktionsweise unserer Algorithmen
• Bias-Beschwerde: Meldung vermuteter diskriminierender Behandlung durch das KI-System
• Menschliche Überprüfung: Anfrage einer manuellen Überprüfung der KI-Empfehlungen
• Transparenz: Detaillierte Informationen über Capabilities und Limitationen des KI-Systems
• Widerruf der KI-Verarbeitung inklusive Löschung deines Lebenslaufs und jeglicher daraus extrahierter Daten

Soweit personenbezogene Daten ohne Identifizierbarkeit verarbeitet werden (z. B. bei anonymer Nutzung über Drittplattformen wie ChatGPT), können bestimmte Rechte (z. B. Auskunft oder Löschung auf individueller Ebene) technisch nicht umgesetzt werden. In diesen Fällen gelten die Regelungen des Art. 11 DSGVO.

13.2 Beschwerderecht

Wenn du vermutest, dass bei der Verarbeitung deiner Daten gegen Datenschutzrecht verstoßen wurde, hast du das Recht, dich zu beschweren:

• Bei uns direkt per E-Mail an: hi@mynejo.com
• Bei der zuständigen Datenschutzbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.

Du kannst die Behörde hier erreichen.

• EU AI Act: Entsprechende nationale Aufsichtsbehörde für KI-Systeme (Details werden bei Inkrafttreten aktualisiert)

Wir nehmen deine Anliegen ernst und bemühen uns, deine Anfragen so schnell wie möglich zu bearbeiten.

Danke, dass du uns deine Daten anvertraust!