Workstack
starten

Stand · April 2026 · Version 1.0

Datenschutz.

Wer was wann wo wie speichert — die ehrliche Version. Keine US-Server für Personendaten, keine Tracking-Cookies, keine versteckten Datenflüsse.

Personenbezogene Daten sind kein Marketing-Material. Diese Erklärung beschreibt im Detail, was wir verarbeiten, wo, mit welcher Rechtsgrundlage und wie lange.

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

A Complex World GmbH
Dehnhardtstr. 11
60433 Frankfurt am Main
Deutschland
Telefon: +49 (0) 172 84 14 805
E-Mail: mail@a-complex-world.com

2. Datenschutzbeauftragter

Bei der A Complex World GmbH ist kein dezidierter Datenschutzbeauftragter benannt. Anfragen zum Datenschutz richten Sie bitte an: mail@a-complex-world.com

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der betroffenen Person. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

4. Hosting, Infrastruktur und Sub-Auftragsverarbeiter

Workstack setzt die folgenden externen Dienstleister als Sub-Auftragsverarbeiter nach Art. 28 DSGVO ein. Drittlandsübermittlungen (USA) erfolgen ausschließlich auf Basis von Standardvertragsklauseln nach Art. 46 DSGVO. Die Liste ist identisch mit Anhang A unseres Auftragsverarbeitungsvertrags und ist die einzige verbindliche Quelle.

4.1 Vercel Inc.

Sitz / Verarbeitung: USA / EU-Region Frankfurt (fra1) (Drittland)
Zweck: Hosting der Webanwendung, Edge-Network, Build-/Deploy-Infrastruktur
Garantien: Standardvertragsklauseln 2021/914 (SCCs)
Datenschutzhinweis des Anbieters: vercel.com/legal/privacy-policy

4.2 Vercel Blob Storage

Sitz / Verarbeitung: EU-Region (fra1) (EU)
Zweck: Datei-Speicher fuer Avatare, Dokumente, hochgeladene Vertraege, Tenant-Logos
Datenschutzhinweis des Anbieters: vercel.com/legal/privacy-policy

4.3 Neon Inc.

Sitz / Verarbeitung: USA / EU-Region Frankfurt (Drittland)
Zweck: Postgres-Datenbank: Daten-at-rest in der EU-Region Frankfurt; Control-Plane (Account-Mgmt, Backups-Index) in den USA
Garantien: Standardvertragsklauseln 2021/914 (SCCs), Encryption-at-rest AES-256
Datenschutzhinweis des Anbieters: neon.tech/privacy-policy

4.4 Brevo (Sendinblue SAS)

Sitz / Verarbeitung: Frankreich (EU)
Zweck: Versand transaktionaler E-Mails (Magic-Link, Einladungen, Benachrichtigungen)
Datenschutzhinweis des Anbieters: www.brevo.com/de/legal/privacypolicy/

4.5 Resend Inc. (optional)

Sitz / Verarbeitung: USA (Drittland)
Zweck: E-Mail-Versand-Fallback, nur aktiv wenn Brevo nicht konfiguriert ist (z.B. Migrations-Phasen)
Garantien: Standardvertragsklauseln 2021/914 (SCCs)
Datenschutzhinweis des Anbieters: resend.com/legal/privacy-policy

4.6 Sentry (Functional Software, Inc.) (optional)

Sitz / Verarbeitung: EU-Region (de.sentry.io oder Self-hosted) (EU)
Zweck: Error- und Performance-Monitoring (sendDefaultPii=false, keine Klartext-PII; nur Stack-Traces, Tenant-IDs, anonymisierte Kontext-Daten)
Datenschutzhinweis des Anbieters: sentry.io/privacy/

4.7 Plausible Insights OÜ (optional)

Sitz / Verarbeitung: Estland (EU) (EU)
Zweck: Aggregierte Reichweiten-Statistik für Marketing-Pages (Workstack-Landing). Cookie-frei, keine personenbezogenen Daten, keine Drittlandsübermittlung. EU-Hosting in Frankfurt.
Datenschutzhinweis des Anbieters: plausible.io/data-policy

4.8 OpenAI Ireland Limited / OpenAI, L.L.C. (optional)

Sitz / Verarbeitung: Irland (Vertrag) / USA (Verarbeitung) (Drittland)
Zweck: KI-gestuetzte Vertrags-Datenextraktion (gpt-4o-mini): Vertragstext wird an OpenAI uebermittelt, um Stammdatenfelder fuer den Onboarding-Wizard vorauszufuellen. Aufbewahrung gemaess OpenAI Enterprise Privacy: 30 Tage Abuse-Monitoring, kein Training. Nur aktiv wenn Auftraggeber die KI-Funktion nutzt.
Garantien: Standardvertragsklauseln 2021/914 (SCCs), OpenAI Enterprise Privacy
Datenschutzhinweis des Anbieters: openai.com/policies/privacy-policy/

5. Reichweiten-Analyse · Plausible Analytics

Auf unseren oeffentlichen Marketing-Seiten (Landing-Page, Datenschutzerklaerung, Impressum, Karriere) setzen wir Plausible Analytics der Plausible Insights OÜ (Estland) ein, gehostet ausschliesslich in der EU (Frankfurt). Plausible misst aggregierte Reichweite (Seitenaufrufe, Referrer, ungefaehre Geo-Region nach Land) und ist bewusst datensparsam ausgelegt:

  • Es werden keine Cookies gesetzt.
  • Es werden keine personenbezogenen Daten gespeichert — keine IP-Adressen, keine User-IDs, keine Cross-Site-Tracker.
  • Wiedererkennung von Besucher:innen erfolgt ueber einen taeglich rotierenden, nicht-personenbeziehbaren Hash; dieser ist nicht IP-basiert und am Folgetag nicht mehr zuordenbar.
  • Auf authentifizierten Seiten (/dashboard, /admin) wird Plausible nicht geladen.

Da keine Cookies und keine zugriffsberechtigten Endgeraete-Informationen im Sinne des § 25 TTDSG verwendet werden, ist eine Einwilligung nicht erforderlich. Rechtsgrundlage fuer die aggregierte Reichweiten-Messung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenanalyse unserer Marketing-Inhalte).

Datenschutz-Hinweis des Anbieters: plausible.io/data-policy

6. Verarbeitete Datenkategorien

  • Stammdaten (Name, E-Mail, ggf. Personalnummer, Geburtsdatum, Adresse)
  • Vertragsdaten (Job-Titel, Eintrittsdatum, Arbeitszeit, Vorgesetzte:r)
  • Bankdaten (IBAN, BIC) — verschlüsselt mit AES-256-GCM auf Anwendungsebene gespeichert
  • Notfallkontakte (freiwillig)
  • Abwesenheitsdaten (Urlaub, Krankheit, Home-Office, Sonderurlaub)
  • Zeiterfassung (Stempel-Zeiten, Arbeitsdauer)
  • Dokumente (vom Arbeitgeber bereitgestellte oder hochgeladene Dateien)
  • Audit-Daten (Wer hat wann was geändert — DSGVO Art. 30, Verzeichnis von Verarbeitungstätigkeiten)
  • Technische Daten (Login-Zeiten, IP-Adresse beim Anmelden, Browser-User-Agent)

7. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung der HR-Software gegenüber Unternehmens-Inhabern
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Audit-Logs und Sicherheits-Monitoring
  • Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz) für die Verarbeitung von Mitarbeiterdaten im Auftrag des Unternehmens
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Felder wie Geburtsdatum, Geschlecht, Notfallkontakte, Avatar

8. Auftragsverarbeitung

Workstack agiert für die hochgeladenen Mitarbeiterdaten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit Unternehmens-Inhabern (in der Regel der Arbeitgeber-Organisation) wird ein Auftragsverarbeitungsvertrag (AVV) geschlossen. Den AVV-Entwurf können Admins direkt im Dashboard unter Einstellungen → Rechtliches als PDF herunterladen.

Aktuelle AVV-Vorlage: v1.3.0 · 5b54e89f2f28die Versionskennung steht im Footer jedes generierten PDF und erlaubt Auftraggebern, ihr unterschriebenes Exemplar mit dem aktuellen Stand abzugleichen.

9. Speicherdauer

  • Aktive Mitarbeiterdaten werden während der Vertragslaufzeit gespeichert.
  • Nach Archivierung erfolgt eine Soft-Delete-Markierung. Hard-Delete erfolgt nach 180 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. § 257 HGB, § 147 AO — bis zu 10 Jahre für steuerrelevante Belege).
  • Audit-Logs werden 24 Monate aufbewahrt.
  • Login-Sessions verfallen nach 30 Tagen Inaktivität.

10. Cookies und Local-Storage

Wir setzen ausschließlich technisch notwendige Cookies und Local-Storage-Einträge ein:

  • authjs.session-token — Login-Sitzung (HTTP-only, SameSite=Lax, Secure)
  • activeTenantId — aktiver Unternehmens-Wechsel
  • acw-theme — Hell/Dunkel-Modus-Wahl (Local-Storage, nur lokal)

Es werden keine Tracking- oder Werbe-Cookies gesetzt. Eine Einwilligung im Sinne von § 25 TTDSG ist daher nicht erforderlich.

11. Rechte der betroffenen Personen

Sie haben jederzeit folgende Rechte:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie bitte an mail@a-complex-world.com.

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik ein, insbesondere:

  • HTTPS/TLS für sämtliche Verbindungen
  • Bankdaten (IBAN) mit AES-256-GCM auf Anwendungsebene verschlüsselt
  • Multi-Tenant-Isolation auf Datenbank-Ebene
  • Audit-Trail für alle datenrelevanten Aktionen
  • Magic-Link-Authentifizierung (passwortlos)
  • Soft-Delete mit Hard-Delete-Frist

13. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder Funktionalität der Anwendung ändert. Die jeweils aktuelle Version ist über diese Seite abrufbar.