Unser Datenschutzansatz, im technischen Detail
Die Kurzversion ist hier. Diese Seite ist die Langversion: der genaue Ablauf, die verwendeten Modelle und wie unsere Architektur das durchsetzt.
Das «PII-Sandwich»
Keine Cloud-KI eines Drittanbieters sieht jemals Ihre personenbezogenen Daten im Klartext. Das ist kein vertragliches Versprechen — es ist eine architektonische Einschränkung. Hier der vollständige Ablauf, wenn Sie einen Lebenslauf hochladen und wir ein Motivationsschreiben erstellen:
1. Ihr Lebenslauf landet auf unseren Servern in der Schweiz (Genf / Meyrin GE).
Souveränes Hosting — Hardware, die wir selbst betreiben,
keine gemietete Cloud-Instanz.
↓
2. Unser lokaler KI-Motor (Phi-4 / Qwen2.5, lokal auf unseren
GPUs in Genf ausgeführt) liest Ihren Lebenslauf und ERSETZT jede
identifizierende Angabe durch einen Marker:
"Marie Dupont" → [PERSON_A]
"marie@email.ch" → [EMAIL_X]
"Banque Exemple SA" → [COMPANY_Y]
"+41 78 234 56 78" → [PHONE_1]
"Rue du Rhône 14, 1204" → [ADDRESS_1]
↓
3. ERST IN DIESEM SCHRITT geht — und nur die anonymisierte Version —
zu einem Cloud-Modell, unter einer EU-Auftragsverarbeitungsvereinbarung (DPA),
null Speicherung:
Das Cloud-Modell sieht: "[PERSON_A] hat 4 Jahre bei [COMPANY_Y]
als [ROLE] gearbeitet…"
Das Cloud-Modell sieht NIEMALS: "Marie Dupont … Banque Exemple SA …"
↓
4. Die Antwort kommt mit den Markern zurück. Unser lokaler Motor
ersetzt sie durch Ihre echten Daten, BEVOR es Ihnen gesendet wird.
↓
5. Das fertige Schreiben erreicht Sie, vollständig und personalisiert — ohne
dass eine Cloud-KI jemals Ihre identifizierenden Infos gesehen hat.
Die beiden «Brotscheiben» (Anonymisierung + De-Anonymisierung) sind lokal. Die Cloud-«Füllung» berührt nur Marker.
Welches Modell verarbeitet was, und wo
Wir nutzen nicht dieselbe KI für alles. Jede Aufgabe wird zu einer Sensibilitätsstufe geroutet, und die Stufe bestimmt den Anbieter — der Aufrufer wählt nie frei.
| Stufe | Aufgaben | Anbieter | Standort | Was er sieht |
|---|---|---|---|---|
| PII — personenbezogene Daten | Lebenslauf-Extraktion, Anonymisierung/De-Anonymisierung, Matching-Scoring, erster Entwurf des Schreibens | Lokaler Motor (Phi-4, Qwen2.5) | Unsere GPUs in Genf — verlassen die Schweiz nie | Ihr echter Lebenslauf, Ihre echten Infos |
| PREMIUM — hochwertiges Reasoning | Politur des Motivationsschreibens, Streitfälle | Claude (Sonnet) | EU-DPA, null Speicherung | Nur anonymisierte Versionen (Marker) |
| PUBLIC — öffentliche Inhalte | Parsing indexierter Stelleninserate, Marketing-Inhalte | Kimi-Modell | Öffentliche API | Öffentliche Stellenbeschreibungen — nie ein Lebenslauf, nie Kandidatendaten |
Harte Regel: der Router wechselt nie von einer Stufe zur anderen. Ist unser lokaler Motor nicht verfügbar, lässt ein Coupe-circuit den PII-Aufruf fehlschlagen, statt ihn an einen Cloud-Anbieter umzuleiten. Wir bevorzugen eine Fehlermeldung gegenüber einem Leck.
Durch die Architektur erzwungen, kein Marketing-Versprechen
Das Sensibilitäts-Routing ist im Kern des Backends implementiert: pro Stufe ist beim Start genau ein Anbieter verdrahtet, und jeder LLM-Aufruf muss durch diesen Router. Konkret:
- ein PII-Aufruf kann nie einen Cloud-Anbieter erreichen;
- ist der lokale Motor nicht verfügbar, lässt der Coupe-circuit PII-Aufrufe fehlschlagen, statt sie umzuleiten;
- jeder Aufruf wird protokolliert.
Eine automatisierte Testsuite prüft diese drei Garantien fortlaufend, bei jeder Änderung des Codes.
Prüfpfad (Nachweis EDÖB / nDSG / DSGVO)
Jeder LLM-Aufruf wird in einem Prüfprotokoll mit einem SHA-256-Hash der Eingabe — niemals dem Klartext festgehalten. So bleibt eine nachvollziehbare Spur (wer hat was aufgerufen, welche Stufe, welcher Anbieter, wann), ohne irgendwelche personenbezogenen Daten zu duplizieren. Unsere Administratoren können dieses Protokoll als CSV exportieren, um es für ein Audit bereitzustellen (EDÖB, Auftragsverarbeiter, DSGVO-Experte). Audit-Zugriffsanfrage an legal@ninjob.ch.
Ein ehrlicher Vergleich
Gemäss der öffentlichen Dokumentation der Konkurrenten (Stand 2026):
| Umgang mit Ihrem Lebenslauf / Ihren Daten | Was sie ankündigen | |
|---|---|---|
| aiapply | An ein generalistisches Cloud-Modell gesendet | Dokumentiert offen die Nutzung einer Cloud-KI; keine lokale Anonymisierung |
| jobwinner.ai | Auf WordPress gebaute Erweiterung | Keine dokumentierte KI-Verarbeitungsrichtlinie |
| ninjob | Lokal in Genf anonymisiert vor jedem Cloud-Aufruf; die Cloud sieht nur Marker | Architektur öffentlich dokumentiert (oben) — nicht nur ein vertragliches Versprechen |
Wir sagen nicht, dass die anderen Ihre Daten «stehlen» — die meisten haben DPAs und TLS-Verschlüsselung. Aber die TLS-Verschlüsselung ist für die Cloud-KI, die den Inhalt empfängt, transparent: sie sieht Ihren Lebenslauf im Klartext. Bei uns sieht sie ihn nie, denn was die Schweiz verlässt, sind Marker.
Cloud-Auftragsverarbeiter
| Auftragsverarbeiter | Nutzung | Übermittelte Daten | Rahmen |
|---|---|---|---|
| Anthropic (Claude) | Politur von Schreiben, Streitfälle | Nur anonymisierter Text | EU-DPA, null Trainings-Speicherung |
| Moonshot (Kimi) | Parsing öffentlicher Inserate, Marketing | Keine Kandidatendaten | Nur öffentliche Inhalte |
Kein Cloud-Auftragsverarbeiter erhält identifizierende Kandidatendaten. Die aktuelle Liste der Auftragsverarbeiter steht auch in unserer Datenschutzerklärung.
Ihre Rechte
Konform mit dem nDSG (Schweiz) + DSGVO (EU):
- Zugriff auf alle Ihre Daten:
/account/export - Korrigieren, was Sie möchten
- Löschen Ihres Kontos → alle Ihre Daten innerhalb von 30 Tagen gelöscht
- Portabilität: vollständiger Export in JSON oder CSV
- Widerruf der Einwilligung: jederzeit, ohne Begründung
Weiterführend
- Wie unser Datenschutz funktioniert (einfache Version)
- Vollständige Datenschutzerklärung
- Allgemeine Geschäftsbedingungen
Eine Datenschutzfrage, die hier nicht behandelt wird? Schreiben Sie an legal@ninjob.ch — eine Person, kein Bot.