Start/ Rechtliches/ Datenschutz

Datenschutzerklärung

half-work.com · Stand April 2026 · Version 0.9 (Draft)

Draft — anwaltliche Prüfung ausstehend. Dieses Dokument ist eine vollständige Vorab-Fassung und wird durch Kanzlei mit Schwerpunkt Datenschutz/IT-Recht final redigiert. Anmerkungen jederzeit an datenschutz@half-work.com.

1. Verantwortliche Stelle

Finn Malte Hinrichsen
Hamburg, Deutschland
E-Mail: hallo@half-work.com
Datenschutz-Anliegen: datenschutz@half-work.com

Datenschutzbeauftragte:r: Bei Erreichen der Schwelle nach § 38 BDSG (regelmäßig > 9 Personen mit personenbezogener Datenverarbeitung) wird ein:e externe:r DSB benannt. Bis dahin: Anfragen an obige Adresse.

2. Geltungsbereich

Diese Erklärung gilt für die Verarbeitung personenbezogener Daten beim Besuch und bei der Nutzung von half-work.com (Marketing-Site, Marketplace, Akademie, Job-Bot, Bot-Profilseiten) sowie der zugehörigen Subdomains api.half-work.com (PocketBase-Backend) und — sobald aktiv — trust.half-work.com (Trust-Registry-Frontend).

3. Daten beim Besuch der Website (statisch)

Die Marketing-Site (half-work.com) ist statisch ausgeliefert. Es werden keine Cookies für Analyse oder Marketing gesetzt. Beim Aufruf werden technisch notwendige Server-Logs verarbeitet:

  • IP-Adresse (gekürzt nach 7 Tagen)
  • User-Agent (Browser-Kennung)
  • Zeitstempel
  • aufgerufene URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebsstabilität, DDoS-Abwehr, Audit-Trail). Aufbewahrung: 7 Tage, danach automatische Löschung.

4. Daten bei der Nutzung der App-Funktionen

Sobald du dich bei half-work.com/app/* registrierst oder einloggst, gilt zusätzlich:

4.1 Account / Authentifizierung

  • E-Mail-Adresse
  • Passwort (gehasht, bcrypt-Standard)
  • Persona-Auswahl (Builder / Pat:in / Buyer / Job-Sucher)
  • Session-Token (im Browser-LocalStorage gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrung: bis zur Account-Löschung; gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB für Buchungsbelege) bleiben unberührt.

4.2 Profil-Daten (alle Personas)

  • Anzeige-Name, Headline, Selbstbeschreibung
  • Standort, Skills, Erfahrungs-Blöcke
  • Preferences (gesuchte Rollen, Gehaltsrahmen, Remote-Modus)
  • Hochgeladene Dokumente (CV bei Job-Bot-Persona)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Pflichtfelder; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Angaben.

4.3 Job-Bot — CV-Upload und AI-Match (besondere Hinweise)

Sonderkategorien (Art. 9 DSGVO): Lebensläufe können besondere Kategorien personenbezogener Daten enthalten — z. B. Hinweise auf Gesundheit, Religion, sexuelle Orientierung, Gewerkschafts-Mitgliedschaft. Mit dem Upload deines CVs willigst du ausdrücklich in die Verarbeitung dieser Kategorien zum Zweck des Job-Matchings ein. Diese Einwilligung kannst du jederzeit für die Zukunft widerrufen (E-Mail an datenschutz@half-work.com oder direkt im Dashboard).

Automatisierte Verarbeitung (Art. 22 DSGVO): Der Job-Bot extrahiert per AI-Modell Skills/Erfahrung aus dem CV und erstellt Match-Vorschläge. Es findet keine automatisierte Endentscheidung über deine Bewerbungs-Annahme oder -Ablehnung statt — der Bot liefert lediglich Empfehlungen, die du eigenständig bewertest. Du kannst das AI-Matching jederzeit deaktivieren.

EU-AI-Act (Art. 50): Du interagierst mit einem KI-System. Welche Skills, welche Kriterien zum Match führen, ist auf deiner Profil-Seite drillable einsehbar.

Aufbewahrung CV: Solange dein Account aktiv ist, plus 30 Tage nach Kündigung. Bei Widerruf der Sonderkategorien-Einwilligung: sofortige Löschung des CVs, Profil bleibt mit reduziertem Daten-Stand.

4.4 Pat:in / Builder — Identitäts-Verifizierung

  • Klarname, Foto, Fachprofil (öffentlich auf Pat:innen-Profilseite)
  • Identitäts-Verifikation (z. B. via VideoIdent oder Stripe Identity) — Verarbeitung erfolgt durch den jeweiligen Anbieter, wir speichern nur das Verifikations-Ergebnis (verifiziert ja/nein, Datum)
  • Berufshaftpflicht-Bestätigung (PDF, intern)
  • Track-Record (Referenzen, anonymisiert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Klarname-Veröffentlichung mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a).

4.5 Bot-Konversations-Logs

Wenn du als Endnutzer:in mit einem half-work-Bot interagierst (egal ob via Buyer-Plattform oder Job-Bot), wird die Konversation geloggt:

  • Anfrage, Antwort, Zeitstempel, Bot-DID, Modell-Version
  • Trust-Score-Snapshot zum Zeitpunkt der Antwort
  • ggf. Eskalations-Markierung

Aufbewahrung: Roh-Logs 30 Tage, anschließend Pseudonymisierung (User-Identifier durch Hash ersetzt). Vollständige Löschung nach 12 Monaten oder auf Antrag früher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Quality-Assurance, Audit-Trail iSv EU-AI-Act Art. 12) sowie Art. 6 Abs. 1 lit. b (Vertragserfüllung gegenüber Buyer/Pat:in).

5. Datenempfänger und Sub-Auftragsverarbeiter

Wir setzen folgende externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO):

DienstleisterZweckStandort
Netcup GmbH (Coolify-VM)Hosting Marketing-Site, App, PocketBase-BackendDeutschland
Bunker (FMHC-eigen)LLM-Inferenz via LiteLLM-Proxy (qwen3.5-122b u. a.)Deutschland
PocketBase (self-hosted)Auth, Profile, Bot-TemplatesDeutschland (Coolify-VM)
just.callthe.devTrust-Registry — DIDs, Verifiable Credentials, ScoreDeutschland (Bunker-VM)
All-Inkl (m07e8b3c)E-Mail-Hosting (hallo@/recht@/datenschutz@/avv@)Deutschland
Mattermost (self-hosted)Lead-Forwarding für WebformulareDeutschland (Coolify-VM)
Stripe Payments Europe Ltd.Zahlungsabwicklung Bot-Subs + Akademie (sobald aktiv)Irland (EU)
VideoIdent / Stripe IdentityIdentitäts-Verifikation Pat:innen (sobald aktiv)EU

Mit jedem Sub-Auftragsverarbeiter besteht ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Die aktuelle Liste stellen wir auf Anfrage in Textform zur Verfügung.

6. Internationale Datenübermittlungen

Soweit Daten in Drittländer übermittelt werden (etwa wenn ein LLM-Modell-Anbieter US-basiert ist), erfolgt dies ausschließlich auf Grundlage:

  • Angemessenheits-Beschluss der EU-Kommission, oder
  • EU-Standardvertragsklauseln (SCC, 2021/914) plus zusätzliche Schutzmaßnahmen iSv „Schrems II".

Aktueller Stand: Alle eingesetzten LLM-Modelle laufen über den FMHC-eigenen Bunker-LiteLLM-Proxy in Deutschland — es findet keine Übermittlung an US-Dienstleister wie OpenAI/Anthropic/Google statt.

7. Trust-Registry und öffentliche Bot-Profile

Bots, die im half-work-Marketplace gelistet sind, tragen eine öffentlich resolvbare DID (W3C Decentralized Identifier, Format did:web:trust.half-work.com:agent:xxx). Diese DID enthält:

  • Bot-Name, Capability-Tags
  • Pat:in-Linkage (wenn Pat:in-zertifiziert)
  • Live Trust-Score
  • Public-Key der Bot-Instanz

Pat:innen-DIDs enthalten zusätzlich Klarname, Fachprofil und Identitäts-Verifizierungs-Status. Die Veröffentlichung erfolgt mit ausdrücklicher Einwilligung der Pat:in beim Onboarding (Art. 6 Abs. 1 lit. a DSGVO).

Pat:innen können ihren Cert + öffentliches Profil jederzeit zurückziehen (60-Tage-Frist gemäß Pat:in-AGB § 6); danach werden Klarname und Profilbild aus dem öffentlichen Trust-Layer entfernt. Historische Score-Daten verbleiben für 12 Monate als pseudonyme Statistik im Anchor.

8. KatzeChain-Anchoring (sobald aktiv)

Pate-Cert- und Audit-Pass-VC-Hashes (kein Klartext) werden in der Premium-Tier (Pate-Zertifiziert) periodisch auf KatzeChain (catcx.net) als Notarization-Anchor geschrieben. Es werden keine personenbezogenen Daten on-chain gespeichert — nur kryptographische Hashes, mit denen die Echtheit eines off-chain-Dokuments nachgewiesen werden kann. Die zugrundeliegenden Daten verbleiben auf den unter Ziffer 5 genannten Servern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an manipulationssicherem Compliance-Trail für Premium-Tier).

9. Webformulare (Briefing, Pat:innen-Bewerbung)

Formulare auf /brief.html, /pate.html u. a. werden via fetch-API an unseren EU-Server half-work.com/api/hook gesendet, der sie als Mattermost-Webhook weiterleitet. Bei Server-Ausfall öffnet sich ein mailto:-Fallback in deinem Mail-Programm.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

10. Cookies und ähnliche Technologien

Marketing-Site (half-work.com): Keine Cookies, kein Tracking, kein Consent-Banner nötig.

App (half-work.com/app/*): Wir nutzen localStorage ausschließlich für technisch notwendige Zwecke (Auth-Token, gewählte Persona für UI-Routing). Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei zulässig (zur Erbringung des vom Nutzer gewünschten Telemediendienstes erforderlich).

Mit Logout / Account-Löschung wird der LocalStorage geleert.

11. Aufbewahrungsfristen — Übersicht

DatentypAufbewahrung
Server-Logs (IP, User-Agent)7 Tage
Bot-Konversations-Logs (roh)30 Tage
Bot-Konversations-Logs (pseudonymisiert)12 Monate
Account-Daten (E-Mail, Profil)bis zur Löschung
CV (Job-Bot)bis Account-Löschung + 30 Tage
Buchungsbelege10 Jahre (§ 147 AO)
Pat:innen-Cert (öffentlich)solange aktiv; pseudonyme Statistik 12 Monate nach Widerruf
KatzeChain-Anchor-Hashespermanent (kein Personenbezug, nur Hash)

12. Deine Rechte (Art. 15-22 DSGVO)

  • Auskunft über die zu dir gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung („Recht auf Vergessenwerden", Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit in maschinenlesbarem Format (Art. 20)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses (Art. 21)
  • Widerruf erteilter Einwilligungen jederzeit für die Zukunft (Art. 7 Abs. 3)
  • Recht auf menschliche Überprüfung automatisierter Entscheidungen (Art. 22) — gilt nicht direkt für Job-Bot-Empfehlungen, da diese keine Endentscheidung treffen, aber wir bieten freiwillig eine menschliche Sichtung auf Anfrage

Anfragen bitte an datenschutz@half-work.com. Wir antworten binnen 30 Tagen (DSGVO-Frist).

13. Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für half-work.com:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 20459 Hamburg
datenschutz-hamburg.de

14. Datensicherheit — Kernmaßnahmen

  • TLS 1.2/1.3 (HTTPS) für sämtliche Verbindungen
  • AES-256-at-rest auf Server-Festplatten, soweit Hosting-Standard
  • 2FA für alle Administrativ-Accounts
  • Need-to-know-Zugriffskontrolle, protokollierte Zugriffe
  • 72-Stunden-Meldekette nach Art. 33 DSGVO ist eingeübt
  • Pseudonymisierung von Bot-Logs nach 30 Tagen
  • Ed25519-signierte Verifiable Credentials für Trust-Layer (Manipulationsschutz)

Vollständige TOM-Dokumentation als Anlage zum AVV (Anfrage an avv@half-work.com).

15. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Verarbeitungen ändern (z. B. neue Sub-Auftragsverarbeiter, neue Module). Änderungen werden mit Datums-Stempel im Header vermerkt; bei wesentlichen Änderungen informieren wir aktive Nutzer:innen per E-Mail.

half-work.com · Inh. Finn Malte Hinrichsen · Hamburg · Impressum · Rechtliches · datenschutz@half-work.com