Datenschutzerklärung
für elinora.net (Plattform: Elinora by GLC²)
Stand: 25.03.2026
Inhaltsübersicht
1. Verantwortlicher
GLC² Coaching x Consulting
Dr. Georg Lamers
2. Geltungsbereich & Mindestalter
Diese Datenschutzerklärung gilt für die Website https://www.elinora.net (Plattform Elinora by GLC²) einschließlich der dort angebotenen Inhalte, Funktionen, Kontaktmöglichkeiten und Produkte.
Das Produkt „Applicant Talent Report (ATR)" wird auf elinora.net/applicant-talent-report bereitgestellt.
Mindestalter: Unser Angebot richtet sich an Personen ab 18 Jahren.
3. Zwecke der Verarbeitung und Rechtsgrundlagen
3.1 Erstellung des Applicant Talent Reports (ATR)
Wir verarbeiten die im Formular eingegebenen Daten (Name, ggf. Titel, E-Mail, Angaben zur Zielstelle/zum Zielunternehmen) sowie hochgeladene Unterlagen (z. B. Lebenslauf, Zeugnisse), um eine kostenlose Vorschau zu erstellen. Bei anschließendem kostenpflichtigen Kauf erstellen und übermitteln wir die Vollversion (PDF).
Pflichtangaben: Mit * gekennzeichnete Angaben sind zur Erstellung der Vorschau/Vollversion erforderlich. Weitere Angaben sind freiwillig; bei Weglassen kann die Aussagekraft des Reports sinken.
3.2 Korrekturlauf
Innerhalb von in der Regel 14 Tagen nach Bereitstellung der Vollversion können Sie Korrekturwünsche mitteilen. Hierfür nutzen wir die beim Auftrag gespeicherten Unterlagen und Ihre neue Mitteilung.
3.3 Kontaktaufnahme / Kontaktformular / E-Mail-Anfragen
Bei Kontakt über das Formular oder per E-Mail verarbeiten wir Ihre Angaben zur Bearbeitung und Beantwortung Ihrer Anfrage.
Speicherdauer: Organisatorische Anfragen i. d. R. bis zu 12 Monate nach letztem Kontakt; bei gesetzlichen Pflichten oder Rechtsverteidigung entsprechend länger.
3.4 Kaufabwicklung über Stripe
Die Bezahlung erfolgt über Stripe. Dabei werden mindestens Name, E-Mail, Betrag und technische Transaktionsdaten an Stripe übermittelt. Kartendaten (z. B. Kreditkartennummer) werden ausschließlich bei Stripe verarbeitet; wir erhalten nur Statusinformationen (erfolgreich/abgelehnt).
3.5 Testbetrieb / Qualitätssicherung
Für Funktionsprüfungen nutzen wir ausschließlich nicht-personenbezogene oder anonymisierte Testdaten.
Speicherdauer: Testartefakte max. 7 Tage.
3.6 Technischer Betrieb und Sicherheit
Beim Aufruf der Website verarbeitet der Hosting-Anbieter technische Zugriffsdaten in Server-Logfiles zu Sicherheits- und Betriebszwecken (IP-Adresse, Zeitstempel, URL, Referrer, Browser/OS).
4. Verarbeitete Datenarten
| Datenkategorie | Beispiele |
|---|---|
| Stammdaten | Name, ggf. Titel, E-Mail-Adresse |
| Bewerbungs-/Karrieredaten | Inhalte aus hochgeladenen Unterlagen (Lebenslauf, Zeugnisse), Angaben zur Zielstelle/zum Zielunternehmen |
| Kommunikationsdaten | E-Mails an/von uns (inkl. Anhänge), Kontaktformular-Eingaben |
| Zahlungsdaten | Werden bei Stripe verarbeitet (wir erhalten keine Kartendaten) |
| Technische Daten | IP-Adresse, Zeitstempel, URL, Referrer, User-Agent (Server-Logs) |
Datenquellen: Wir verarbeiten personenbezogene Daten grundsätzlich direkt von Ihnen (Formulareingaben, hochgeladene Unterlagen, E-Mail-Kommunikation).
5. Einsatz von KI / LLM (Google Gemini)
Zur automatisierten Erstellung und sprachlichen Ausgestaltung des ATR setzen wir Google Gemini 2.5 Flash ein. Es werden nur die für die Erstellung des bestellten Reports erforderlichen Inhalte (Formulardaten, Unterlagen, Angaben zur Zielstelle) übermittelt; die Übertragung erfolgt verschlüsselt.
Hinweis zur KI-Transparenz (EU AI Act)
Der Applicant Talent Report ist eine KI-gestützte Entscheidungshilfe, keine automatisierte Entscheidung. Sie als Bewerber entscheiden selbst, ob Sie den Report Ihrer Bewerbung beilegen. Personalverantwortliche nutzen den Report als zusätzliche Informationsquelle – er ersetzt keine menschliche Beurteilung und führt nicht automatisch zu Einstellungsentscheidungen.
Manuelle Alternative
Wenn Sie keine KI-Verarbeitung wünschen, können Sie vor oder unmittelbar nach der Bestellung per E-Mail an privacy@elinora.net die manuelle Erstellung verlangen. Hinweis: Dies kann Auswirkungen auf Bearbeitungszeit und Leistungsumfang haben.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Für die Eignungs-Validierung benötigen wir keine Angaben zu Gesundheit, Religions- oder Gewerkschaftszugehörigkeit, politischer Meinung, ethnischer Herkunft, sexueller Orientierung etc. Bitte laden Sie solche Informationen möglichst nicht hoch.
Hinweis: Sind derartige Angaben dennoch in Ihren Unterlagen enthalten, werden sie im Rahmen der technischen Verarbeitung mitdurchlaufen, jedoch nicht inhaltlich ausgewertet und nicht im Report angezeigt.
Kein automatisiertes Entscheiden (Art. 22 DSGVO)
Es werden keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung ausschließlich auf Basis automatisierter Verarbeitung getroffen. Der ATR dient als Informationsgrundlage; alle Entscheidungen treffen Menschen.
Drittlandübermittlungen (KI)
Bei Nutzung des KI-Dienstes kann es zu Übermittlungen in Drittländer (insb. USA) kommen. Diese stützen wir auf:
- •EU-US Data Privacy Framework (Angemessenheitsbeschluss)
- •Standardvertragsklauseln (SCC) nach Art. 46 DSGVO
- •Transfer-Folgenabschätzung (TIA)
- •Zusätzliche technische und organisatorische Maßnahmen (TOMs)
6. Empfänger und Kategorien von Empfängern
6.1 Hosting / Auslieferung der Website
Vercel Inc.
Bereitstellung der Website (PaaS/Edge/CDN). Beim Aufruf fallen Server-Logdaten an (IP-Adresse, Datum/Uhrzeit, URL, Referrer, Browser/OS).
Rolle: Auftragsverarbeiter (AVV besteht)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Speicherdauer: Logs werden i. d. R. bis zu 30 Tage vorgehalten.
Drittländer: Übermittlungen (insb. USA) sind durch SCC und zusätzliche TOMs abgesichert.
6.2 Datenspeicherung
Microsoft OneDrive for Business
Hochgeladene Unterlagen (Lebenslauf, Zeugnisse) sowie erstellte Reports werden hier gespeichert.
Rolle: Auftragsverarbeiter (DPA inkl. SCC)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO
Soweit verfügbar nutzen wir EU/EWR-Regionen (EU Data Boundary).
6.3 E-Mail-Kommunikation
Microsoft 365 / Exchange Online
Versand und Empfang von E-Mails, einschließlich Benachrichtigungen und Kommunikation mit Kunden.
Rolle: Auftragsverarbeiter (DPA inkl. SCC)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO
6.4 Zahlungsabwicklung
Stripe Payments Europe Ltd.
Wir übermitteln die für den Kauf erforderlichen Daten (Name, E-Mail, Betrag) an Stripe. Kartendaten werden ausschließlich bei Stripe verarbeitet.
Rolle: Eigenständig Verantwortlicher für Zahlungsabwicklung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO
Datenschutzhinweise von Stripe: stripe.com/de/privacy
6.5 KI-Analyse
Google Gemini 2.5 Flash (Google LLC)
Zur Erstellung des ATR werden relevante Daten an Google Gemini übermittelt. Die Daten werden nicht für das Training des Modells verwendet.
Rolle: Auftragsverarbeiter
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
6.6 Beratung / Steuer / Behörden
Soweit erforderlich zur Erfüllung gesetzlicher Pflichten (z. B. Steuerrecht, Handelsrecht) oder zur Wahrung berechtigter Interessen (z. B. Rechtsverteidigung) übermitteln wir Daten an:
- •Steuerberater und Wirtschaftsprüfer
- •Rechtsanwälte (bei Rechtsstreitigkeiten)
- •Zuständige Behörden (bei gesetzlicher Verpflichtung)
7. Drittlandübermittlungen
Bei den oben genannten Diensten (u. a. Vercel, Microsoft, Stripe, Google Gemini) kann es zu Übermittlungen personenbezogener Daten in Drittländer (insbesondere USA) kommen.
Rechtsgrundlagen für Drittlandübermittlungen:
- •EU-US Data Privacy Framework: Angemessenheitsbeschluss der EU-Kommission (soweit Empfänger zertifiziert)
- •Standardvertragsklauseln (SCC): nach Art. 46 Abs. 2 lit. c DSGVO
- •Transfer-Folgenabschätzung (TIA): zur Bewertung des Schutzniveaus im Drittland
- •Zusätzliche Maßnahmen: Technische und organisatorische Maßnahmen (TOMs) zur Absicherung
8. Cookies & Einwilligungs-Management
Wir setzen einen eigenen Cookie-Consent-Banner ein. Notwendige Cookies/Techniken, die für Betrieb und Sicherheit der Website erforderlich sind, werden ohne Einwilligung eingesetzt (§ 25 Abs. 2 Nr. 2 TDDDG).
Optionale Kategorien (Analyse/Marketing) werden erst nach ausdrücklicher Einwilligung geladen (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Ihre Auswahl können Sie jederzeit über den Cookie-Banner ändern.
8.1 Google Analytics 4
Google Analytics
Analyse der Website-Nutzung. Wird nur nach Ihrer Einwilligung aktiviert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Mess-ID: G-TSEVSY50DD
Verarbeitete Daten:
- •Pseudonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Interaktionen)
- •Technische Daten (Browser, Gerät, Bildschirmauflösung)
- •Ungefährer Standort (auf Basis der IP-Adresse, die anonymisiert wird)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
8.2 Google Ads (Conversion Tracking)
Google Ads
Messung der Wirksamkeit unserer Werbemaßnahmen. Wird nur nach Ihrer Einwilligung aktiviert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Ads-ID: AW-17741350700
Bei aktivierter Einwilligung wird erfasst, wenn Sie nach Klick auf eine Google-Anzeige eine bestimmte Aktion durchführen (z. B. Report-Erstellung).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
9. Speicherdauern
Einheitliche Speicherfrist: 6 Monate
Alle von Ihnen hochgeladenen Dokumente (Lebensläufe, Zeugnisse) sowie von uns erstellte Reports werden maximal 6 Monate nach dem jeweiligen Upload- bzw. Erstellungsdatum gespeichert und danach automatisch gelöscht. Diese Frist gilt einheitlich für alle Produkte (AJO, ATR, AIG).
| Daten | Speicherdauer |
|---|---|
| Hochgeladene Dateien (Lebensläufe, Zeugnisse) | 6 Monate (automatische Löschung) |
| Erstellte Reports (PDF) | 6 Monate ab Erstellung (automatische Löschung) |
| Kandidaten-Dateispeicher (Vercel Blob) | 6 Monate nach Upload |
| E-Mail-Kommunikation | Bis Abschluss des Vorgangs + max. 12 Monate |
| Test-/QA-Artefakte | Max. 7 Tage |
| Server-Logs (Vercel) | I. d. R. bis zu 30 Tage |
| Cookie-Einwilligung | Bis zu 12 Monate |
| Handels-/steuerrechtliche Unterlagen | I. d. R. 10 Jahre (gesetzliche Pflicht) |
Die automatische Löschung erfolgt täglich um 04:00 Uhr UTC durch einen automatisierten Prozess. Nach Ablauf der 6-Monats-Frist werden die Dateien unwiderruflich aus unserem System (Vercel Blob Storage) entfernt.
10. Sicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen (TOMs) ein, um ein dem Risiko angemessenes Schutzniveau sicherzustellen:
11. Rechte der betroffenen Personen
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
Sie können die Berichtigung unrichtiger Daten verlangen.
Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
Sie können die Einschränkung der Verarbeitung verlangen.
Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
Sie können der Verarbeitung auf Basis von Art. 6 Abs. 1 lit. e oder f widersprechen.
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Soweit wir Daten auf Basis Ihrer Einwilligung verarbeiten (z. B. Cookies, Newsletter), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Anfragen richten Sie bitte an: privacy@elinora.net
Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, beantworten.
12. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart, Deutschland
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste oder der Datenverarbeitung anzupassen. Dies gilt jedoch nur im Hinblick auf Erklärungen zur Datenverarbeitung.
Sofern Einwilligungen der Nutzer erforderlich sind oder Bestandteile der Datenschutzerklärung Regelungen des Vertragsverhältnisses mit den Nutzern enthalten, erfolgen Änderungen nur mit Zustimmung der Nutzer.
Es gilt die jeweils auf elinora.net/datenschutz veröffentlichte Fassung.