Zum Inhalt springen
CertMapCertMap

Datenschutzerklärung

Stand: 2026-05-27

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

Threat-Informed Cybersecurity Solutions GmbH Ober-Saulheimer Str. 15 55291 Saulheim Deutschland

Registergericht: Amtsgericht Mainz, HRB 53346 USt-IdNr.: DE 450829291

E-Mail: kontakt@certmap.de

CertMap wird gewerblich betrieben. Da die gesetzlichen Schwellenwerte für die verpflichtende Bestellung eines Datenschutzbeauftragten nicht erreicht werden, ist kein Datenschutzbeauftragter benannt.

2. Bereitstellung der Website und Hosting

Beim Aufruf von CertMap werden automatisch technische Zugriffsdaten in Server-Logfiles erhoben.

Hosting-Anbieter

Hetzner Online GmbH, Deutschland. Die Verarbeitung erfolgt ausschließlich in deutschen Rechenzentren auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO).

Datenkategorien

IP-Adresse, Datum und Uhrzeit, abgerufene URL, Referrer-URL und User-Agent.

Zweck und Rechtsgrundlage

Sicherer Betrieb und IT-Sicherheit gemäß Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer

Server-Logfiles werden nach 7 Tagen automatisch gelöscht.

IP-Anonymisierung

Innerhalb der Anwendung werden IP-Adressen zur Missbrauchsabwehr (Rate-Limiting) lediglich als SHA-256-Hash, gekürzt auf 12 Hex-Stellen, verarbeitet. Eine Re-Identifikation ist damit praktisch ausgeschlossen.

Reichweiten-Messung mit Plausible Analytics

Zur Messung der allgemeinen Reichweite und zur statistischen Auswertung nutzen wir Plausible Analytics, betrieben von Plausible Insights OÜ, Västra 24, 10141 Tallinn, Estland.

Plausible arbeitet cookielos und ohne Geräte-Fingerprinting. Es werden ausschließlich aggregierte Daten ohne Personenbezug erhoben: aufgerufene Seite, Referrer, Gerätekategorie (Desktop/Mobile), Browser- und OS-Hauptversion sowie das Herkunftsland. Eine Identifikation einzelner Nutzerinnen und Nutzer ist mit den erhobenen Daten nicht möglich.

Verarbeitung ausschließlich innerhalb der EU. Die IP-Adresse wird kurzzeitig zur Berechnung eines täglich rotierenden, gehashten Besucher-Identifikators genutzt und nicht gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten-Messung). Da keine personenbezogenen Identifikatoren auf dem Endgerät gesetzt oder gelesen werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.

Datenschutzhinweise von Plausible: https://plausible.io/privacy

3. Lokale Speicherung (Cookies und Browser-Storage)

Wir verzichten auf Tracking-Cookies. Wir nutzen lediglich technisch notwendige lokale Speicherbereiche Ihres Browsers gemäß § 25 Abs. 2 Nr. 2 TDDDG.

Übersicht der gesetzten Cookies und Storage-Einträge

Name Typ Zweck Lebensdauer Wann gesetzt
__Secure-certmap.session_token (Produktion) bzw. certmap.session_token (Entwicklung) HTTP-Cookie (HttpOnly, Secure, SameSite=Lax, Path=/) Authentifizierte Login-Session Maximal 14 Tage, automatische Verlängerung bei Aktivität (Sliding stündlich) Nach erfolgreicher Anmeldung
certmap-theme LocalStorage Design-Präferenz (hell/dunkel/System) Bis zur Browser-Löschung oder Überschreiben Beim aktiven Klick auf den Theme-Schalter
certmap-consent-llm LocalStorage Einwilligung zur optionalen KI-Analyse von Job-Anzeigen Bis zur Browser-Löschung oder Widerruf in den Einstellungen Beim aktiven Bestätigen der Einwilligung
Tool-Zustand (Karrierepfad-Auswahl, pendingSave) SessionStorage Zwischenspeicherung der Eingaben über Seitenwechsel hinweg Bis zum Schließen des Browsertabs Beim Bedienen der Tools

Wir setzen keine Tracking-, Werbe- oder Drittanbieter-Cookies. Plausible (Analytics) arbeitet cookielos, siehe Abschnitt 2.

Rechtsgrundlage für alle obigen Einträge: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die vom Nutzer angeforderte Funktion) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

4. Nutzer-Konto und Portfolio-Funktionen

Sie können optional ein CertMap-Konto anlegen, um eigene Zertifizierungen, geplante Fortbildungen, CPE-Aktivitäten (Continuing Professional Education) und damit verbundene Kosten zu verwalten.

Konto-Anlage per Magic-Code

Die Anmeldung erfolgt passwortlos über einen achtstelligen Einmal-Code, der an Ihre E-Mail-Adresse versendet wird (Better-Auth Email-OTP, NIST SP 800-63B-konform).

Verarbeitete Daten: E-Mail-Adresse, Anmelde-Zeitstempel, Einmal-Code (gehasht, kurzlebig), Browser-Session-Token, IP-Adresse und User-Agent der Sitzung (zur Anzeige im Sicherheits-Bereich und zur Erkennung verdächtiger Aktivität).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsverhältnis Konto-Nutzung).

Speicherdauer: Konto-Daten bis zur Konto-Löschung durch Sie (Self-Service in den Einstellungen oder per E-Mail). Sessions laufen automatisch nach maximal 14 Tagen ab und werden bei aktiver Nutzung stündlich verlängert. Nach 8 Stunden ohne Interaktion werden Sie automatisch ausgeloggt. Sicherheitsrelevante Aktionen (Konto-Löschung) verlangen zusätzlich einen frischen Einmal-Code zur Bestätigung.

Portfolio-Inhalte

Innerhalb Ihres Kontos speichern wir Ihre eigenen Eingaben:

  • Liste der von Ihnen gehaltenen Zertifizierungen (Slug, Ausstellungs- und Ablaufdatum, optional Zertifikatsnummer)
  • CPE-Aktivitäten (Datum, Aktivitätstyp, Stundenzahl, optionale Kostenangabe und freie Beschreibung)
  • Cycle-Konten und Buchungen, die aus den CPE-Aktivitäten automatisch abgeleitet werden
  • Optionale Einstellungen wie Stundensatz, aktuelle und Ziel-NICE-Rolle

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Daten verlassen unsere Server nicht und werden nicht an Dritte weitergegeben.

Konto-Löschung und Hard-Delete

Sie können Ihr Konto jederzeit selbst löschen (Einstellungen → Konto löschen). Die Löschung erfolgt sofort und vollständig: alle verknüpften Daten (Zertifizierungen, Aktivitäten, Cycle-Konten, Buchungen, Einstellungen, Einwilligungs-Historie) werden per Foreign-Key-Cascade aus der Datenbank entfernt. Zusätzlich löschen wir Ihre E-Mail-Korrespondenz aus unserem M365-Postfach (siehe Abschnitt 7). Es gibt kein Recovery-Fenster.

5. KI-gestützte Funktionen

CertMap nutzt KI-Verarbeitung für zwei optionale Funktionen. Die Nutzung ist freiwillig.

Betroffene Funktionen

  • Stelle zu Zertifikate (anonym nutzbar und im Konto): Sie geben einen Stellentext ein, die KI schlägt passende Zertifizierungen vor.
  • Zertifikat-PDF-Auslese (nur im Konto-Portal): Sie laden ein Zertifikat-PDF hoch, die KI liest Cert-Titel, Cert-Nummer, Ausstellungs-Datum und Holder-Name aus und schlägt strukturierte Felder zum Eintrag in Ihr Portal vor. Sie prüfen die Vorschläge und übernehmen oder korrigieren sie.

Datenübermittlung bei Stellentexten

Eingegebene Stellentexte werden an Anthropic, PBC (USA) übermittelt. Ein serverseitiger Filter ersetzt zuvor erkannte E-Mail-Adressen, Telefonnummern, IBAN, Kreditkarten-Nummern und Sozialversicherungsnummern (SSN) durch Platzhalter.

Hinweis: Klarnamen (z. B. Hiring-Manager-Namen in Stellenanzeigen) werden derzeit nicht automatisch gefiltert. Diese werden mit dem Stellentext an Anthropic übermittelt.

Datenübermittlung bei der PDF-Auslese

Bei Text-PDFs wird ausschließlich der vom PDF lesbare Text-Layer an Anthropic übermittelt. Derselbe PII-Filter wie bei Stellentexten greift vor der Übermittlung. Der auf dem Zertifikat angegebene Holder-Name wird in der Regel mit übermittelt (Klarnamen-Filter ist nicht aktiv).

Bei Bild-PDFs (Scans) wird kein Text-Layer extrahiert. Verarbeitet wird der vollständige Bild-Inhalt durch die Vision-Funktion von Anthropic. Damit werden Holder-Name, Cert-Nummer, Logo und alle weiteren auf dem Zertifikat sichtbaren Angaben an Anthropic in die USA übermittelt. Vor dem Upload eines Bild-PDFs wird Ihnen dieser Hinweis erneut angezeigt und Sie bestätigen die Übermittlung separat (granulare Einwilligung nach Art. 7 Abs. 2 DSGVO).

Rechtsgrundlage

Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a in Verbindung mit Art. 49 Abs. 1 lit. a DSGVO. Ohne Einwilligung sind die KI-Funktionen nicht nutzbar; alle übrigen Funktionen (manueller Cert-Eintrag, Vergleich, Portfolio) bleiben uneingeschränkt verfügbar.

Drittlandtransfer

Da für Anthropic derzeit kein Angemessenheitsbeschluss vorliegt, erfolgt die Übermittlung auf Basis Ihrer informierten Einwilligung bezüglich der Risiken von Zugriffen durch US-Behörden.

Einwilligung und Nachweis (anonyme Nutzung)

Sie können die KI-gestützte Stellenanalyse ohne Konto-Anlage nutzen. In diesem Fall wird Ihre Einwilligung wie folgt eingeholt und dokumentiert:

  • Vor der ersten Analyse wird Ihnen ein Hinweisdialog mit den vorstehenden Informationen zur Drittland-Übermittlung angezeigt. Sie bestätigen die Einwilligung aktiv per Klick.
  • Der Status der Einwilligung wird im LocalStorage Ihres Browsers (certmap-consent-llm) gespeichert, damit der Dialog nicht bei jedem Aufruf erneut erscheint. Diese Speicherung erfolgt ausschließlich lokal in Ihrem Browser.
  • Serverseitig speichern wir zum Zeitpunkt der Bestätigung einen mit SHA-256 gehashten und auf 12 Hex-Stellen gekürzten IP-Identifikator zusammen mit einem Zeitstempel als Nachweis nach Art. 7 Abs. 1 DSGVO. Der Hash erlaubt uns keine Re-Identifikation einzelner Personen.
  • Sie können die Einwilligung jederzeit widerrufen, indem Sie den LocalStorage-Eintrag löschen oder uns eine kurze Mail senden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Bei eingeloggter Nutzung erteilen Sie die Einwilligung einmalig bei der ersten Verwendung der KI-Funktion und können sie jederzeit in den Einstellungen widerrufen.

Speicherung

CertMap speichert übermittelte Texte und PDF-Inhalte nicht dauerhaft auf eigenen Servern (transient zur Laufzeit). Aus der PDF-Auslese werden ausschließlich die strukturierten Felder (Cert-Slug, Cert-Nummer, Datum), die Sie aktiv bestätigen, dauerhaft in Ihrem Konto-Portal abgelegt. Anthropic speichert übermittelte Daten gemäß eigenen Richtlinien bis zu 30 Tage zu Sicherheitszwecken (kein Training von KI-Modellen).

Hinweis Zertifikatsnummer

Cert-Nummern sind in Ihrem Konto-Portal hinterlegt und Voraussetzung für eine spätere Verifikation gegenüber Dritten. Cert-Nummern allein erlauben in Verbindung mit den jeweiligen Anbieter-Verifikations-Portalen (z. B. PECB, ISC2, GIAC) eine Rückführung auf Ihren Klarnamen. Eine Weitergabe an Dritte erfolgt durch CertMap nicht.

Keine automatisierte Entscheidung

Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt. Die Analyseergebnisse sind eine unverbindliche Orientierungshilfe und entfalten keine Rechtsfolgen.

6. Beratungs-Anfrage und Zahlungsabwicklung

Beratungs-Anfrage

Bei Interesse an einer Beratung haben Sie die Möglichkeit, über ein Anfrage-Formular Kontakt aufzunehmen. Verarbeitet werden Name, E-Mail-Adresse und freiwillige Angaben zum Beratungsanliegen. Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt und über Microsoft 365 (siehe unten) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO bei reiner Vorab-Information.

Speicherdauer: 6 Monate nach Abschluss der Korrespondenz, sofern kein Mandat zustande kommt; bei Mandatsanbahnung bis zu 36 Monate ab letzter Interaktion.

Stripe (Zahlung)

Zahlungen werden über Stripe Payments Europe Ltd. (Irland) bzw. Stripe, Inc. (USA) abgewickelt. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

7. Microsoft 365 (Mail-Kommunikation)

E-Mail-Korrespondenz und Anfrage-Daten werden über Microsoft Ireland Operations Ltd. verarbeitet. Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert. Um Datensparsamkeit zu wahren, werden Bestätigungsmails an Sie nicht im Gesendet-Ordner des Servers gespeichert (saveToSentItems=false).

Bei Konto-Löschung (siehe Abschnitt 4) löschen wir Ihre gesamte E-Mail-Korrespondenz manuell aus dem M365-Postfach inkl. „Wiederherstellbarer Elemente".

8. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): welche Daten wir über Sie verarbeiten
  • Berichtigung (Art. 16 DSGVO): unrichtige Daten korrigieren lassen
  • Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in einem strukturierten, gängigen Format
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen, die auf berechtigtem Interesse beruhen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Kontaktieren Sie uns hierzu unter kontakt@certmap.de. Auskunfts- und Löschanfragen werden in der Regel innerhalb von 30 Tagen bearbeitet.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Hintere Bleiche 34 55116 Mainz E-Mail: poststelle@datenschutz.rlp.de https://www.datenschutz.rlp.de

Stand: Mai 2026