Datenschutzerklärung

Bei Fragen zum Datenschutz wenden Sie sich bevorzugt per E-Mail an privacy@gastwerk.com.

Gastwerk verarbeitet personenbezogene Daten nach den Grundsätzen des Art. 5 DSGVO: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Diese Datenschutzerklärung gilt für die Website gastwerk.com und die Gastwerk-SaaS-Plattform in ihrer Funktion als eigenverantwortliche Datenverarbeitung (z.B. Kontaktdaten, Rechnungsadressen, Nutzungsstatistiken). Für die Verarbeitung personenbezogener Mitarbeiterdaten durch unsere Kunden als Verantwortliche verweisen wir auf § 7.

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken auf den genannten Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Nutzerkontoverwaltung, Rechnungsstellung, Support-Kommunikation.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Missbrauchsprävention, Verbesserung der Plattformstabilität, aggregierte Nutzungsanalyse.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / § 25 TDDDG): Optionale Cookies und Tracking-Technologien; Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Steuerliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB), Auskunftspflichten gegenüber Behörden.
• Auftragsverarbeitung (Art. 28 DSGVO): Verarbeitung von Mitarbeiterdaten unserer Kunden ausschließlich auf Weisung; keine eigenständige Nutzung dieser Daten.

Die Gastwerk-Plattform wird auf Infrastruktur von Supabase und Vercel betrieben (Details unter § 8). Der primäre Datenbankserver befindet sich in der EU (Frankfurt, Deutschland).

Beim Aufruf der Plattform werden Server-Logfiles verarbeitet, die technisch zur Bereitstellung erforderlich sind. Diese enthalten:

• IP-Adresse (anonymisiert nach 7 Tagen, vollständig gelöscht nach 30 Tagen)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL, HTTP-Statuscode
• Browser-Typ und -Version, Betriebssystem
• Referrer-URL (sofern übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattformstabilität und IT-Sicherheit). Eine Zusammenführung mit anderen Datenbeständen oder eine Identifizierung einzelner Nutzer findet nicht statt.

Gastwerk verwendet ausschließlich technisch notwendige Cookies (Session-Cookies, Authentifizierungs-Tokens) sowie einen einwilligungspflichtigen Cookie für die Speicherung von Theme-Präferenzen. Tracking-, Werbe- oder Analyse-Cookies werden nicht eingesetzt.

• sb-access-token / sb-refresh-token: Authentifizierungs-Session, HttpOnly, Secure. Laufzeit: Session bzw. max. 7 Tage (Refresh-Token). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• gastwerk-active-org: Speichert die zuletzt aktive Organisation für das Routing. Laufzeit: 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• gastwerk-theme: Speichert die Farbschema-Präferenz (Hell/Dunkel/System). Laufzeit: 1 Jahr. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner).
• gastwerk-cookie-consent: Speichert das Ergebnis der Cookie-Einwilligung. Laufzeit: 1 Jahr. Rechtsgrundlage: § 25 TDDDG.

Nutzerkonten werden von Administratoren der jeweiligen Organisation angelegt — eine Selbstregistrierung ist nicht möglich. Dabei werden folgende Daten verarbeitet:

• Vorname, Nachname
• E-Mail-Adresse
• Systemrolle innerhalb der Organisation
• Datum und Uhrzeit der Kontoerstellung
• Letzter Login-Zeitpunkt (für Sicherheitszwecke)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Passwörter werden ausschließlich in gehashter Form gespeichert (bcrypt); eine Entschlüsselung durch Gastwerk ist technisch nicht möglich.

Bei der Nutzung der Plattform werden Aktionsprotokolle gespeichert (z.B. Kursabschlüsse, Onboarding-Fortschritt, Zeiteinträge). Diese Daten dienen der Vertragserfüllung und der Bereitstellung der Plattformfunktionen; die Verantwortlichkeit für diese Daten liegt beim jeweiligen Kunden als Auftraggeber.

Soweit Kunden von Gastwerk personenbezogene Daten ihrer Mitarbeitenden und Beschäftigten über die Plattform verarbeiten, handelt Gastwerk als Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Die datenschutzrechtliche Verantwortlichkeit für diese Daten verbleibt beim jeweiligen Kunden als Verantwortlichem i.S.d. Art. 4 Nr. 7 DSGVO.

Mit jedem Kunden wird ein Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 Abs. 3 DSGVO geschlossen, der die Weisungsgebundenheit von Gastwerk, die Pflichten der Parteien, technische und organisatorische Maßnahmen (TOM) sowie die eingesetzten Unterauftragsverarbeiter regelt.

Gastwerk verarbeitet die im Auftrag verarbeiteten Daten:

• ausschließlich auf dokumentierte Weisung des Kunden
• nicht für eigene Zwecke oder zugunsten Dritter
• innerhalb der EU/EWR, soweit nicht abweichend vereinbart
• unter Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen

Gastwerk setzt folgende Unterauftragsverarbeiter ein, mit denen jeweils ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht:

Aktuelle Änderungen an der Liste der Unterauftragsverarbeiter werden Kunden mindestens 14 Tage im Voraus per E-Mail mitgeteilt. Kunden haben das Recht, gegen neue Unterauftragsverarbeiter Einwände zu erheben.

Einige unserer Unterauftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie der ergänzenden technischen und organisatorischen Maßnahmen (TOMs) der jeweiligen Anbieter.

Für Stripe-Verarbeitungen auf dem EU-Serverstandort (stripe.com/eu) gilt der EU-U.S. Data Privacy Framework (Art. 45 DSGVO). Für alle übrigen US-Übermittlungen stützen wir uns auf die SCCs der Europäischen Kommission (Durchführungsbeschluss 2021/914).

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

• Nutzerkontodaten: Für die Dauer des aktiven Nutzungsvertrags. Nach Vertragsende und Ablauf der Exportfrist (30 Tage) werden alle personenbezogenen Daten gelöscht oder unwiderruflich anonymisiert.
• Rechnungs- und Vertragsdaten: 10 Jahre ab Entstehung (§ 147 AO, § 257 HGB).
• Server-Logfiles: Anonymisierung der IP-Adresse nach 7 Tagen, vollständige Löschung nach 30 Tagen.
• E-Mail-Kommunikation: 3 Jahre ab letztem Kontakt (Verjährungsfrist), sofern kein längerer gesetzlicher Aufbewahrungszeitraum gilt.
• Cookies: Gemäß den in § 5 genannten Fristen.
• Im Auftrag verarbeitete Mitarbeiterdaten: Nach Weisung des Kunden (Verantwortlicher); nach Vertragsende gemäß AVV und DSGVO.

Als betroffene Person stehen Ihnen gegenüber Gastwerk als Verantwortlichem folgende Rechte zu:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben Anspruch auf Herausgabe Ihrer Daten in einem maschinenlesbaren Format.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Beschwerde (Art. 77 DSGVO): Sie haben das Recht zur Beschwerde bei der zuständigen Aufsichtsbehörde, z.B. der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), Friedrichstr. 219, 10969 Berlin.

Anfragen richten Sie bitte an privacy@gastwerk.com. Wir bearbeiten Anfragen innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

Gastwerk trifft dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

• Verschlüsselung: TLS 1.3 für alle Datenübertragungen; AES-256-Verschlüsselung für Daten-at-Rest in der Datenbank.
• Authentifizierung: Mehrfaktor-Authentifizierung (MFA) für Administratoren; sicheres Session-Management mit kurzlebigen JWTs.
• Zugriffskontrolle: Rollenbasiertes Berechtigungsmodell (RBAC) mit Row-Level-Security auf Datenbankebene; Prinzip der minimalen Rechte.
• Mandantentrennung: Vollständige logische Trennung aller Kundendaten durch Row-Level-Security (RLS) auf Datenbankebene.
• Backups: Tägliche automatisierte Backups mit 30-tägiger Aufbewahrung; Point-in-Time-Recovery (PITR).
• Monitoring: Kontinuierliches Sicherheits-Monitoring, automatische Anomalieerkennung, Penetrationstests (mindestens jährlich).
• Incident Response: Verfahren zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen gemäß Art. 33/34 DSGVO innerhalb von 72 Stunden.

Das optionale Modul Lumen (KI-Assistent) verwendet KI-Technologie von Anthropic PBC (Claude API), um semantische Suche und natürlichsprachliche Anfragen über die betriebliche Wissensbasis zu ermöglichen.

Bei Nutzung des KI-Moduls werden Anfragen und relevante Wissensinhalte zur Verarbeitung an die Anthropic API übermittelt. Anthropic verarbeitet diese Daten ausschließlich zur Beantwortung der jeweiligen Anfrage; eine Verwendung zum Training von Modellen findet gemäß API-Vereinbarung nicht statt.

• Das KI-Modul ist standardmäßig deaktiviert und muss vom Administrator explizit aktiviert werden.
• Personenbezogene Daten werden nur insoweit an die KI-API übermittelt, wie sie in den vom Nutzer angefragten Wissensinhalten enthalten sind.
• Anthropic ist als Unterauftragsverarbeiter im AVV aufgeführt; der Datentransfer erfolgt auf Basis von SCCs.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 28 DSGVO.

Gastwerk behält sich vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen, technische Verarbeitungsprozesse oder der Kreis der eingesetzten Dienstleister ändern.

Wesentliche Änderungen werden registrierten Kunden mindestens 2 Wochen im Voraus per E-Mail mitgeteilt. Die jeweils aktuelle Version ist dauerhaft unter gastwerk.com/legal/privacy abrufbar. Das Datum der letzten Änderung ist am Anfang dieses Dokuments ausgewiesen.