Workstack
starten

Stand · April 2026 · Version 1.0

Datenschutz.

Wer was wann wo wie speichert — die ehrliche Version. Keine US-Server für Personendaten, keine Tracking-Cookies, keine versteckten Datenflüsse.

Personenbezogene Daten sind kein Marketing-Material. Diese Erklärung beschreibt im Detail, was wir verarbeiten, wo, mit welcher Rechtsgrundlage und wie lange.

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

A Complex World GmbH
Dehnhardtstr. 11
60433 Frankfurt am Main
Deutschland
Telefon: +49 (0) 172 84 14 805
E-Mail: mail@a-complex-world.com

2. Datenschutzbeauftragter

Bei der A Complex World GmbH ist kein dezidierter Datenschutzbeauftragter benannt. Anfragen zum Datenschutz richten Sie bitte an: mail@a-complex-world.com

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der betroffenen Person. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

4. Hosting und Infrastruktur

4.1 Vercel (Hosting)

Diese Anwendung wird gehostet von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel verarbeitet Verbindungsdaten (IP-Adresse, Zeitstempel, User-Agent) zur Bereitstellung der Infrastruktur. Übermittlungen in die USA basieren auf Standardvertragsklauseln nach Art. 46 DSGVO.

4.2 Neon (Datenbank, EU/Frankfurt)

Strukturierte Daten werden bei Neon Inc. in einer Postgres-Datenbank mit Standort Frankfurt (EU) gespeichert.

4.3 Brevo (E-Mail-Versand, EU)

Transaktions-E-Mails (Magic-Link, Einladungen, Genehmigungen) werden über Brevo (Sendinblue SAS, Frankreich) versendet. Verarbeitung in der EU.

4.4 Vercel Blob Storage (EU)

Hochgeladene Dateien (Avatare, Dokumente, Logos) werden in Vercel Blob Storage gespeichert.

5. Verarbeitete Datenkategorien

  • Stammdaten (Name, E-Mail, ggf. Personalnummer, Geburtsdatum, Adresse)
  • Vertragsdaten (Job-Titel, Eintrittsdatum, Arbeitszeit, Vorgesetzte:r)
  • Bankdaten (IBAN, BIC) — verschlüsselt mit AES-256-GCM auf Anwendungsebene gespeichert
  • Notfallkontakte (freiwillig)
  • Abwesenheitsdaten (Urlaub, Krankheit, Home-Office, Sonderurlaub)
  • Zeiterfassung (Stempel-Zeiten, Arbeitsdauer)
  • Dokumente (vom Arbeitgeber bereitgestellte oder hochgeladene Dateien)
  • Audit-Daten (Wer hat wann was geändert — DSGVO Art. 30, Verzeichnis von Verarbeitungstätigkeiten)
  • Technische Daten (Login-Zeiten, IP-Adresse beim Anmelden, Browser-User-Agent)

6. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung der HR-Software gegenüber Unternehmens-Inhabern
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Audit-Logs und Sicherheits-Monitoring
  • Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz) für die Verarbeitung von Mitarbeiterdaten im Auftrag des Unternehmens
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Felder wie Geburtsdatum, Geschlecht, Notfallkontakte, Avatar

7. Auftragsverarbeitung

Workstack agiert für die hochgeladenen Mitarbeiterdaten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit Unternehmens-Inhabern (in der Regel der Arbeitgeber-Organisation) wird ein Auftragsverarbeitungsvertrag (AVV) geschlossen. Den AVV-Entwurf stellen wir auf Anfrage zur Verfügung.

8. Speicherdauer

  • Aktive Mitarbeiterdaten werden während der Vertragslaufzeit gespeichert.
  • Nach Archivierung erfolgt eine Soft-Delete-Markierung. Hard-Delete erfolgt nach 180 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. § 257 HGB, § 147 AO — bis zu 10 Jahre für steuerrelevante Belege).
  • Audit-Logs werden 24 Monate aufbewahrt.
  • Login-Sessions verfallen nach 30 Tagen Inaktivität.

9. Cookies und Local-Storage

Wir setzen ausschließlich technisch notwendige Cookies und Local-Storage-Einträge ein:

  • authjs.session-token — Login-Sitzung (HTTP-only, SameSite=Lax, Secure)
  • activeTenantId — aktiver Unternehmens-Wechsel
  • acw-theme — Hell/Dunkel-Modus-Wahl (Local-Storage, nur lokal)

Es werden keine Tracking- oder Werbe-Cookies gesetzt. Eine Einwilligung im Sinne von § 25 TTDSG ist daher nicht erforderlich.

10. Rechte der betroffenen Personen

Sie haben jederzeit folgende Rechte:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie bitte an mail@a-complex-world.com.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik ein, insbesondere:

  • HTTPS/TLS für sämtliche Verbindungen
  • Bankdaten (IBAN) mit AES-256-GCM auf Anwendungsebene verschlüsselt
  • Multi-Tenant-Isolation auf Datenbank-Ebene
  • Audit-Trail für alle datenrelevanten Aktionen
  • Magic-Link-Authentifizierung (passwortlos)
  • Soft-Delete mit Hard-Delete-Frist

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder Funktionalität der Anwendung ändert. Die jeweils aktuelle Version ist über diese Seite abrufbar.