Datenschutzerklärung
Stand: 29. April 2026
Hinweis: Dieses Dokument wurde KI-gestützt auf Basis des tatsächlichen Tech-Stacks und Geschäftsmodells von Heyapply erstellt. Vor produktivem Einsatz empfehlen wir die Prüfung durch eine Schweizer Anwältin oder einen Schweizer Anwalt mit Schwerpunkt Datenschutz und SaaS-Verträge.
1. Verantwortlicher und Kontakt
Verantwortlich für die Bearbeitung von Personendaten im Sinne des revidierten Schweizer Datenschutzgesetzes (revDSG) und – soweit anwendbar – der EU-Datenschutz-Grundverordnung (DSGVO) ist:
Heyapply – Pascal Beck (Einzelfirma)
Luisenstrasse 25, 8005 Zürich, Schweiz
E-Mail: hey@heyapply.ch
Web: https://heyapply.ch
Anfragen zum Datenschutz, zur Auskunft, Berichtigung oder Löschung können jederzeit an die oben genannte E-Mail-Adresse gerichtet werden.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Marketing-Website (heyapply.ch) sowie die Web-Applikation (app.heyapply.ch) von Heyapply und beschreibt, welche Personendaten wir zu welchen Zwecken bearbeiten, an wen wir sie weitergeben und welche Rechte du hast.
Zielmarkt: Heyapply richtet sich primär an Stellensuchende mit Wohnsitz in der Schweiz. Eine systematische Bearbeitung von Personendaten von Personen aus der EU im Sinne von Art. 3 Abs. 2 DSGVO ist nicht beabsichtigt; die Nutzung durch EU-Personen ist gleichwohl möglich, weshalb wir die DSGVO ergänzend berücksichtigen.
3. Begriffe
- Personendaten: alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Bearbeitung: jeder Vorgang mit Personendaten (Erheben, Speichern, Verändern, Bekanntgeben, Löschen usw.).
- Auftragsbearbeiter / Auftragsverarbeiter: externe Dienstleister, die in unserem Auftrag Personendaten bearbeiten.
4. Welche Daten wir bearbeiten
4.1 Account- und Profildaten
- E-Mail-Adresse, Vor- und Nachname
- Passwort (gespeichert ausschliesslich als bcrypt-Hash, nicht im Klartext)
- Profilbild (optional)
- Bei Login via Google oder LinkedIn: zusätzlich von dir freigegebene Profilangaben (Name, E-Mail, Profilbild, ggf. LinkedIn-URL und Profil-Daten zum Import deines Lebenslaufs)
- OAuth-Tokens (Access- und Refresh-Token) für die Verbindung zu LinkedIn
4.2 Lebenslauf- und Bewerbungsdaten
- Telefonnummer, Postadresse, Wohnort, Land
- Geburtsdatum, Geschlecht, Nationalität, Zivilstand, Führerausweis-Kategorien
- Berufserfahrung, Ausbildung, Sprachen, Skills, Zusammenfassung
- Hochgeladene CVs (PDF, DOCX, PPTX) und daraus extrahierte Inhalte
- Stelleninserate (Titel, Beschreibung, Anforderungen, Ansprechperson), die du in die App einfügst
- Generierte Lebensläufe und Anschreiben sowie deren HTML-Versionen
- ATS-Bewertungen, Match-Scores, Begründungen, Insights und Chatverläufe mit dem KI-Assistenten
Besonders schützenswerte Personendaten: Geburtsdatum, Nationalität, Geschlecht und ähnliche Angaben können je nach Kontext als besonders schützenswert nach revDSG Art. 5 lit. c gelten. Die Erfassung erfolgt freiwillig und ist für die Erstellung eines vollständigen Bewerbungsdossiers vorgesehen.
4.3 Zahlungs- und Abrechnungsdaten
- E-Mail-Adresse, Stripe-Customer-ID, Abo-Tier, Rechnungsstatus
- Wir verarbeiten keine Kartendaten auf unseren Servern. Die Zahlungsabwicklung erfolgt vollständig über Stripe (siehe Ziffer 7).
4.4 Nutzungs- und Logdaten
- IP-Adresse, User-Agent, Zeitstempel, aufgerufene Endpunkte
- Fehler- und Sicherheits-Logs (z.B. fehlgeschlagene Logins)
- Audit-Log für sicherheitskritische Aktionen (Account-Löschung, Subscription-Events)
4.5 Cookies und Tracking
Siehe Ziffer 11.
5. Zwecke der Bearbeitung
Wir bearbeiten Personendaten ausschliesslich für die nachfolgenden Zwecke:
| Zweck | Datenkategorien | Rechtsgrundlage (revDSG / DSGVO) |
|---|---|---|
| Bereitstellung des Nutzerkontos und der App-Funktionen | 4.1, 4.2 | Vertragserfüllung (revDSG Art. 31 Abs. 2 lit. a / DSGVO Art. 6 Abs. 1 lit. b) |
| KI-gestützte Generierung von CVs und Anschreiben | 4.2 | Vertragserfüllung (revDSG Art. 31 Abs. 2 lit. a / DSGVO Art. 6 Abs. 1 lit. b) |
| Abo-Verwaltung, Rechnungsstellung, Zahlungsabwicklung | 4.3 | Vertragserfüllung + gesetzliche Pflichten (revDSG Art. 31 Abs. 2 lit. a, e / DSGVO Art. 6 Abs. 1 lit. b, c) |
| Sicherheit, Betrugsprävention, Fehleranalyse | 4.4 | Überwiegendes Interesse (revDSG Art. 31 Abs. 2 lit. b / DSGVO Art. 6 Abs. 1 lit. f) |
| Produktverbesserung mit anonymisierten Nutzungsstatistiken | 4.4, 4.5 | Überwiegendes Interesse (revDSG Art. 31 Abs. 2 lit. b / DSGVO Art. 6 Abs. 1 lit. f); für nicht zwingend nötige Cookies: Einwilligung |
| Versand von transaktionalen E-Mails (Verifizierung, Passwort-Reset) | 4.1 | Vertragserfüllung |
| Versand von Marketing-E-Mails (nur mit Einwilligung) | 4.1 | Einwilligung (revDSG Art. 31 Abs. 1 / DSGVO Art. 6 Abs. 1 lit. a) – jederzeit widerrufbar |
Eine darüber hinausgehende Verwendung deiner Daten findet nicht statt. Insbesondere verkaufen wir keine Personendaten an Dritte.
6. KI-Verarbeitung (Anthropic Claude)
Zur Erstellung von Lebensläufen, Anschreiben, Match-Analysen und ATS-Bewertungen übermitteln wir folgende Daten an die Anthropic Inc. (Claude API), San Francisco, USA:
- Inhalte deines Lebenslaufs (extrahierter Text)
- Stelleninserat (Titel, Beschreibung, Anforderungen)
- Ausgewählte Profilangaben (Name, Berufserfahrung, Skills)
- Verlauf deiner Eingaben im KI-Chat
Was Anthropic mit den Daten macht:
- Anthropic verarbeitet die Daten gemäss den Anthropic Commercial Terms of Service ausschliesslich zur Beantwortung der API-Anfrage.
- Daten aus API-Anfragen werden gemäss Anthropic-Policy nicht zum Training der Modelle verwendet.
- Aufbewahrungsdauer auf Anthropic-Seite: bis zu 30 Tage zur Missbrauchsprävention.
Disclaimer zu KI-Output: Die von Claude generierten Texte sind Entwürfe und keine Rechts- oder Karriereberatung. Du bist für die finale Prüfung und Korrektheit deiner Bewerbungsunterlagen selbst verantwortlich.
7. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir – soweit gesetzlich erforderlich – Auftragsbearbeitungs-Verträge (DPA) abgeschlossen haben:
| Dienstleister | Zweck | Datenkategorien | Sitz / Hosting |
|---|---|---|---|
| Anthropic Inc. | KI-Generierung (Claude API) | CV-Texte, Stelleninserate, Profilauszüge | USA |
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung, Abo-Management | E-Mail, Stripe-Customer-ID, Zahlungsdaten | IE / USA |
| Supabase Inc. | Datei-Speicherung (CVs, Profilbilder) | Hochgeladene Dateien | EU-Region |
| Neon Inc. | PostgreSQL-Datenbank | Sämtliche Account-, Profil- und Bewerbungsdaten | EU (Frankfurt) |
| Resend Inc. | Versand von Transaktions-E-Mails | E-Mail-Adresse, Tokens | USA |
| PostHog Inc. | Produkt-Analytics (EU-Instanz) | Pseudonyme Nutzer-ID, Event-Daten, Seitenaufrufe | EU (eu.posthog.com) |
| Google LLC | Login via Google OAuth | E-Mail, Name, Profilbild | USA |
| LinkedIn Corp. (Microsoft Ireland) | Login und Profil-Import | E-Mail, Name, Profil-URL, freigegebene Profil-Daten | USA / IE |
| Vercel Inc. / Netlify Inc. | Hosting der Web-Applikation und CDN | IP-Adresse, Request-Daten | USA, globales CDN |
Eine aktuelle Liste der Sub-Processors stellen wir auf Anfrage zur Verfügung.
8. Bekanntgabe von Personendaten ins Ausland
Einige der oben genannten Dienstleister haben ihren Sitz ausserhalb der Schweiz oder des EWR, insbesondere in den USA. Die Bekanntgabe erfolgt auf folgender Grundlage:
- revDSG Art. 16 / 17: Bekanntgabe in Länder mit angemessenem Datenschutz gemäss Liste des Bundesrats (z.B. EU/EWR) sowie in die USA an Empfänger, die unter dem Swiss-US Data Privacy Framework zertifiziert sind.
- Für nicht zertifizierte Empfänger stützen wir uns auf EU-Standardvertragsklauseln (SCC) in der Fassung 2021 sowie auf das Swiss Addendum des EDÖB.
- Bei Bedarf treffen wir zusätzliche technische Massnahmen (Verschlüsselung, Pseudonymisierung).
Eine Kopie der Garantien kann unter hey@heyapply.ch angefordert werden.
9. Aufbewahrungsdauer
| Datenkategorie | Aufbewahrung |
|---|---|
| Account-Daten | bis zur Löschung des Kontos durch dich |
| CV-, Profil- und Bewerbungsdaten | bis zur Löschung des Kontos; einzelne Bewerbungen kannst du jederzeit selbst löschen |
| KI-Chat-Verläufe | mit der jeweiligen Bewerbung verknüpft, bis zur Löschung der Bewerbung oder des Kontos |
| Hochgeladene Dateien (Supabase Storage) | bis zur Löschung durch dich oder des Kontos; nach Account-Löschung erfolgt automatische Bereinigung |
| Zahlungs- und Rechnungsdaten | 10 Jahre gemäss Schweizer Aufbewahrungspflicht (OR Art. 958f) |
| Server- und Sicherheits-Logs | maximal 90 Tage, danach automatische Löschung oder Anonymisierung |
| E-Mail-Versand-Logs (Resend) | gemäss Resend-Standard, in der Regel 30 Tage |
| Audit-Log (Account-Löschung) | dauerhaft pseudonymisiert zu Compliance-Zwecken |
Nach Ablauf der Frist werden die Daten gelöscht oder anonymisiert.
10. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, insbesondere:
- TLS/HTTPS-Verschlüsselung sämtlicher Datenübertragungen
- Verschlüsselung at rest in der Datenbank und im Datei-Speicher (Provider-Standard)
- Passwörter ausschliesslich als bcrypt-Hash
- Row-Level-Security in Supabase Storage; serverseitige Authentifizierung
- Idempotenz- und Signaturprüfung bei Stripe-Webhooks
- Audit-Logging sicherheitskritischer Aktionen
- Strikte Zugriffstrennung; API-Keys werden niemals geloggt
- Regelmässige Backups durch unsere Infrastruktur-Anbieter
11. Cookies und Tracking
| Typ | Zweck | Speicherdauer | Einwilligungspflichtig |
|---|---|---|---|
| NextAuth Session-Cookie | Login-Sitzung aufrechterhalten | Sitzungsdauer / max. 30 Tage | Nein (technisch erforderlich) |
| OAuth State-Cookie | CSRF-Schutz bei Login mit Google/LinkedIn | wenige Minuten | Nein (technisch erforderlich) |
| Referral-Cookie (ref_code) | Zuordnung zu werbendem Nutzer im Referral-Programm | 30 Tage | Nein (vertragsanbahnend) |
| PostHog Analytics (EU) | pseudonyme Produkt-Analytik | bis zu 1 Jahr | Ja (Opt-Out möglich) |
Opt-Out für Analytics: Du kannst die Übermittlung von Nutzungs-Events an PostHog jederzeit über deine Privatsphäre-Einstellungen in der App deaktivieren.
Hinweis: Wir setzen aktuell weder Werbe-Cookies noch Tracking-Pixel von sozialen Netzwerken ein.
12. Deine Rechte
Du hast nach revDSG und DSGVO insbesondere folgende Rechte:
- Auskunftsrecht über die zu deiner Person bearbeiteten Daten (revDSG Art. 25 / DSGVO Art. 15)
- Recht auf Berichtigung unrichtiger Daten (revDSG Art. 32 / DSGVO Art. 16)
- Recht auf Löschung deiner Daten (revDSG Art. 32 Abs. 2 lit. c / DSGVO Art. 17)
- Recht auf Datenherausgabe / -portabilität in einem maschinenlesbaren Format (revDSG Art. 28 / DSGVO Art. 20)
- Recht auf Einschränkung der Bearbeitung (DSGVO Art. 18)
- Widerspruchsrecht gegen Bearbeitungen, die auf überwiegendem Interesse beruhen (DSGVO Art. 21)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
So machst du deine Rechte geltend:
| Recht | Self-Service in der App | Manuelle Anfrage |
|---|---|---|
| Auskunft / Datenexport | GET /api/user/export-data (vollständiger JSON-Export aller Daten) | hey@heyapply.ch |
| Berichtigung | Profil-Einstellungen in der App | hey@heyapply.ch |
| Löschung des Kontos | DELETE /api/user/delete (kaskadierende Löschung inkl. Stripe-Cancellation und Datei-Bereinigung) | hey@heyapply.ch |
| Privatsphäre-Einstellungen | PUT /api/user/privacy-settings | hey@heyapply.ch |
Wir bestätigen Anfragen in der Regel innerhalb von 30 Tagen.
13. Automatisierte Entscheidungen und Profiling
Heyapply trifft keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung im Sinne von revDSG Art. 21 oder DSGVO Art. 22. Der ATS-Score und Match-Score sind rein informatorische Werkzeuge zur Selbsteinschätzung und werden weder gegenüber Arbeitgebern weitergegeben noch zur Diskriminierung verwendet.
14. Datenschutz-Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutzbehörde zu beschweren:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, edoeb.admin.ch
- EU: zuständig ist die Aufsichtsbehörde deines Wohnsitzes oder gewöhnlichen Aufenthaltsorts.
15. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen, Dienstleister oder Rechtslage ändern. Die jeweils aktuelle Fassung ist unter heyapply.ch/datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir per E-Mail oder in der App.