Rechtliches
Datenschutzerklärung
Gemäß Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO)
1. Verantwortlicher
Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website und im internen Portal ist:
SMARTWERK GmbH
c/o Digitaler Hub Region Bonn AG
Am Hauptbahnhof 6
53111 Bonn
Telefon: +49 (0) 171 787 9095
E-Mail: info@smartwerk.org
Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist bei SMARTWERK nicht erforderlich. Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.
2. Verarbeitungsübersicht
Wir verarbeiten personenbezogene Daten für folgende Zwecke. Zu jeder Verarbeitung nennen wir die Rechtsgrundlage, betroffene Kategorien und Speicherdauer.
2.1 Website-Besuch / Server-Logs
Beim Aufruf unserer Website speichert unser Hosting-Anbieter (Vercel Inc., USA) automatisch Zugriffsdaten: IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Datum und Uhrzeit des Zugriffs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Fehlerdiagnose).
Speicherdauer: In der Regel 30 Tage, danach automatische Löschung.
2.2 Kontaktformular
Wenn Sie unser Kontaktformular nutzen, erfassen wir Ihre E-Mail-Adresse sowie optional Name, Unternehmen, Telefonnummer und Nachricht. Die Verarbeitung dient der Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Eine Einwilligungs- Checkbox ist nicht erforderlich.
Speicherdauer: 6–12 Monate nach Abschluss der Anfrage, sofern kein Vertragsverhältnis entsteht. Bei Vertragsschluss gelten handels- und steuerrechtliche Aufbewahrungsfristen (bis zu 8 Jahre).
Pflichtfelder: Lediglich Ihre E-Mail-Adresse ist erforderlich. Alle weiteren Felder sind freiwillig.
2.3 Newsletter (SMARTWERK Morning Post)
Mit Ihrer Anmeldung zum Newsletter verarbeiten wir Ihre E-Mail-Adresse sowie Datum, Uhrzeit und IP-Adresse der Anmeldung und Bestätigung (Double-Opt-In-Nachweis).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Anmeldung erfolgt ausschließlich im Double-Opt-In-Verfahren. Sie können Ihre Einwilligung jederzeit widerrufen.
Speicherdauer: Für die Dauer des Abonnements. Der Opt-In-Nachweis wird 3 Jahre nach dem letzten Versand aufbewahrt (§ 195 BGB).
Abmeldung: Über den Abmeldelink in jedem Newsletter oder per E-Mail an info@smartwerk.org. Die Abmeldung ist jederzeit und ohne Angabe von Gründen möglich.
E-Mails werden über Resend (Plus Five Five, Inc., USA) versendet. Es besteht ein Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln.
2.4 Internes Mitarbeiterportal
Im internen Portal verarbeiten wir Mitarbeiterdaten für den laufenden Betrieb: Name, E-Mail, Telefon, Rolle, Kompetenzen, Biografie sowie Arbeitszeitdaten, Spesenbelege und Gehaltsabrechnungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Stammdaten und Zeiterfassung; Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für Lohndaten und Buchungsbelege.
Speicherdauer: Gehaltsabrechnungen und Buchungsbelege: 8 Jahre (§ 147 AO); Lohnkontodaten: 6 Jahre (§ 41 EStG); Überstundennachweise: mindestens 2 Jahre (§ 16 Abs. 2 ArbZG).
Mitarbeitende haben das Recht, ihre im Portal gespeicherten Daten einzusehen, zu berichtigen und — soweit keine gesetzliche Aufbewahrungspflicht besteht — löschen zu lassen.
2.5 CRM (Kundendaten)
Im internen CRM speichern wir Unternehmens- und Kontaktdaten von Interessenten und Kunden: Unternehmensname, Anschrift, Ansprechpartner mit beruflicher E-Mail und Telefon, Gesprächsnotizen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Pflege von Geschäftsbeziehungen). Es werden ausschließlich berufliche Kontaktdaten verarbeitet.
Speicherdauer: Interessenten ohne aktive Geschäftsbeziehung: maximal 2–3 Jahre nach dem letzten Kontakt. Aktive Kunden: für die Dauer der Geschäftsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen (bis zu 8 Jahre).
Sofern Kontaktdaten nicht direkt von den betroffenen Personen stammen, werden diese gemäß Art. 14 DSGVO spätestens beim ersten Kontakt über die Verarbeitung informiert.
2.6 KI-Toolkit (Inhaltsgenerierung)
Das interne KI-Toolkit sendet Eingaben (Themen, Schlagworte, Tonalität) an die Claude API von Anthropic, Inc. (USA), um Textentwürfe zu generieren. Vor der Übertragung werden personenbezogene Daten automatisch aus den Eingaben entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Inhaltsproduktion).
Speicherdauer: API-Logs bei Anthropic werden automatisch nach 7 Tagen gelöscht. Anthropic verarbeitet keine Eingabedaten für das Modelltraining (Commercial API Terms). Es besteht ein Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln.
2.7 Datei-Uploads und Dokumente
Im Bereich Uploads und Spesen hochgeladene Dateien (Belege, Dokumente) werden verschlüsselt auf den Servern von Supabase (AWS eu-central-1, Frankfurt) gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO.
Speicherdauer: Buchungsbelege (Spesen): 8 Jahre. Sonstige Dateien: nach Ermessen des Nutzers, längstens bis zur Beendigung des Arbeitsverhältnisses zuzüglich gesetzlicher Fristen.
3. Auftragsverarbeiter (Drittanbieter)
Wir setzen folgende Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen wurde:
| Anbieter | Zweck | Sitz | Garantien |
|---|---|---|---|
| Vercel Inc. | Hosting, CDN | USA (DPF-zertifiziert) | AVV + EU-SCC |
| Supabase Inc. | Datenbank, Dateispeicher | EU (Frankfurt) | AVV + EU-SCC |
| Resend (Plus Five Five, Inc.) | E-Mail-Versand | USA | AVV + EU-SCC |
| Anthropic, Inc. | KI-Textgenerierung | USA | AVV + EU-SCC |
Für Anbieter mit Sitz in den USA dient der EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln als Grundlage für den Datentransfer (Art. 46 Abs. 2 lit. c DSGVO).
4. Cookies und Tracking
Diese Website verwendet ausschließlich technisch notwendige Cookies (z. B. Session-Cookie für das interne Portal, CSRF-Schutz). Diese Cookies erfordern keine Einwilligung nach § 25 TDDDG.
Wir verwenden Vercel Analytics zur anonymisierten Auswertung der Website-Nutzung. Vercel Analytics arbeitet ohne Cookies und ohne persistente Identifikatoren. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Websiteoptimierung).
5. Ihre Rechte als betroffene Person
Sie haben folgende Rechte gegenüber uns als Verantwortlichem:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
- Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) — z. B. Newsletter-Abonnement, mit Wirkung für die Zukunft
- Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO):
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@smartwerk.org. Wir antworten innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).
6. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein: Verschlüsselung der Übertragung (TLS 1.2+), Verschlüsselung der Speicherung (AES-256), rollenbasierte Zugriffskontrollen sowie regelmäßige Sicherheitsüberprüfungen.
Im Fall einer Datenpanne, die ein hohes Risiko für Ihre Rechte und Freiheiten begründet, informieren wir Sie unverzüglich gemäß Art. 34 DSGVO.
7. Aktualität dieser Erklärung
Wir überarbeiten diese Datenschutzerklärung bei Änderungen unserer Verarbeitungstätigkeiten oder der Rechtslage. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.
Stand: März 2026