Start/ Rechtliches/ Datenschutz

Datenschutzerklärung

half-work.com · Stand Mai 2026 · Version 1.0

1. Verantwortliche Stelle

Finn Malte Hinrichsen
Gärtnerstr. 105
20253 Hamburg
Deutschland
E-Mail: hallo@half-work.com
Telefon: +49 176 88499977
Datenschutz-Anliegen: recht@half-work.com

Datenschutzbeauftragte:r: Bei Erreichen der Schwelle nach § 38 BDSG (regelmäßig > 20 Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) wird ein:e externe:r DSB benannt. Bis dahin: Anfragen an obige Adresse.

2. Geltungsbereich

Diese Erklärung gilt für die Verarbeitung personenbezogener Daten beim Besuch und bei der Nutzung von half-work.com (Marketing-Site, Bot-Pat:innen-Arbeitsbereich unter /app/, Companion-Bot-Profilseiten) sowie der zugehörigen Subdomains api.half-work.com (PocketBase-Backend) und trust.half-work.com (Trust-Layer-Frontend, sobald aktiv).

3. Daten beim Besuch der Website (statisch)

Die Marketing-Site (half-work.com) ist statisch ausgeliefert. Es werden keine Cookies für Analyse oder Marketing gesetzt. Beim Aufruf werden technisch notwendige Server-Logs verarbeitet:

  • IP-Adresse (gekürzt nach 7 Tagen)
  • User-Agent (Browser-Kennung)
  • Zeitstempel
  • aufgerufene URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebsstabilität, DDoS-Abwehr, Audit-Trail). Aufbewahrung: 7 Tage, danach automatische Löschung.

4. Daten bei der Nutzung der App-Funktionen

Sobald du dich bei half-work.com/app/* registrierst oder einloggst, gilt zusätzlich:

4.1 Account / Authentifizierung

  • E-Mail-Adresse
  • Passwort (gehasht, bcrypt-Standard)
  • Persona (intern, z. B. Bot-Pat:in)
  • Session-Token (im Browser-LocalStorage gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrung: bis zur Account-Löschung; gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB für Buchungsbelege) bleiben unberührt.

4.2 Profil-Daten (alle Personas)

  • Anzeige-Name, Headline, Selbstbeschreibung
  • Standort, Skills, Erfahrungs-Blöcke
  • Bot-Pat:in-Profil-Felder: Fachgebiet, Erfahrungs-Jahre, öffentliche Bio, Avatar

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Pflichtfelder; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Angaben.

4.3 Bot-Pat:in — Identitäts-Verifizierung

  • Klarname, Foto, Fachprofil (öffentlich auf Pat:innen-Profilseite)
  • Identitäts-Verifikation (z. B. via VideoIdent oder Stripe Identity) — Verarbeitung erfolgt durch den jeweiligen Anbieter, wir speichern nur das Verifikations-Ergebnis (verifiziert ja/nein, Datum)
  • Berufshaftpflicht-Bestätigung (PDF, intern)
  • Track-Record (Referenzen, anonymisiert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Klarname-Veröffentlichung mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a).

4.4 Bot-Konversations-Logs

Wenn du als Endnutzer:in mit einem von half-work begleiteten Companion-Bot interagierst, wird die Konversation geloggt:

  • Anfrage, Antwort, Zeitstempel, Bot-DID, Modell-Version
  • Trust-Score-Snapshot zum Zeitpunkt der Antwort
  • ggf. Eskalations-Markierung

Aufbewahrung: Roh-Logs 30 Tage, anschließend Pseudonymisierung (User-Identifier durch Hash ersetzt). Vollständige Löschung nach 12 Monaten oder auf Antrag früher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Quality-Assurance, Audit-Trail iSv EU-AI-Act Art. 12) sowie Art. 6 Abs. 1 lit. b (Vertragserfüllung gegenüber Auftraggeber und Bot-Pat:in).

5. Datenempfänger und Sub-Auftragsverarbeiter

Wir setzen folgende externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO):

DienstleisterZweckStandort
Netcup GmbHHosting Marketing-Site, App, PocketBase-Backend (Coolify-VM)Deutschland
PocketBase (self-hosted)Auth, Profile, Pat:innen-Bewerbungen, Pilot-DatenDeutschland
just.callthe.devTrust-Layer — DIDs, Verifiable Credentials, Capability-PässeDeutschland
All-InklE-Mail-Hosting (hallo@/recht@/avv@/pate@ u. a.)Deutschland
Mattermost (self-hosted)Internes Lead-Forwarding aus WebformularenDeutschland
Stripe Payments Europe Ltd.Rechnungs- und Zahlungsabwicklung für Companion-Bot-Projekte (sobald aktiv)Irland (EU)
VideoIdent / Stripe IdentityIdentitäts-Verifikation Bot-Pat:innen (sobald aktiv)EU

Mit jedem Sub-Auftragsverarbeiter besteht ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Die aktuelle Liste stellen wir auf Anfrage in Textform zur Verfügung.

6. Internationale Datenübermittlungen

Soweit Daten in Drittländer übermittelt werden (etwa wenn ein LLM-Modell-Anbieter US-basiert ist), erfolgt dies ausschließlich auf Grundlage:

  • Angemessenheits-Beschluss der EU-Kommission, oder
  • EU-Standardvertragsklauseln (SCC, 2021/914) plus zusätzliche Schutzmaßnahmen iSv „Schrems II".

Aktueller Stand: Die laufende Verarbeitung findet ausschließlich auf EU-Servern statt; das half-work-Backend ruft keinen LLM-Drittanbieter direkt auf. Sollte ein konkretes Companion-Bot-Projekt einen externen Modell-Anbieter (z. B. Anthropic, OpenAI) erfordern, wird dies im Projekt-AVV-Modul gesondert dokumentiert und ggf. auf Grundlage des EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln abgewickelt.

Stripe: Stripe Payments Europe Ltd. (IE) ist Konzern-Tochter von Stripe Inc. (USA — DPF-zertifiziert, SCC vereinbart, siehe Stripe-DPA).

7. Trust-Registry und öffentliche Bot-Profile

Companion-Bots, die wir gemeinsam mit Bot-Pat:innen ausliefern, tragen eine öffentlich resolvbare DID (W3C Decentralized Identifier, Format did:web:trust.half-work.com:agent:xxx). Diese DID enthält:

  • Bot-Name, Capability-Tags
  • Pat:in-Linkage (wenn Pat:in-zertifiziert)
  • Live Trust-Score
  • Public-Key der Bot-Instanz

Pat:innen-DIDs enthalten zusätzlich Klarname, Fachprofil und Identitäts-Verifizierungs-Status. Die Veröffentlichung erfolgt mit ausdrücklicher Einwilligung der Pat:in beim Onboarding (Art. 6 Abs. 1 lit. a DSGVO).

Pat:innen können ihren Cert + öffentliches Profil jederzeit zurückziehen (60-Tage-Frist gemäß Pat:in-AGB § 6); danach werden Klarname und Profilbild aus dem öffentlichen Trust-Layer entfernt. Historische Score-Daten verbleiben für 12 Monate als pseudonyme Statistik im Anchor.

8. KatzeChain-Anchoring (sobald aktiv)

Pat:innen-Cert- und Audit-Pass-VC-Hashes (kein Klartext) werden bei Companion-Bot-Projekten mit auditierter Begleitung periodisch auf KatzeChain (catcx.net) als Notarization-Anchor geschrieben. Es werden keine personenbezogenen Daten on-chain gespeichert — nur kryptographische Hashes, mit denen die Echtheit eines off-chain-Dokuments nachgewiesen werden kann. Die zugrundeliegenden Daten verbleiben auf den unter Ziffer 5 genannten Servern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an manipulationssicherem Compliance-Trail für auditierte Companion-Bot-Projekte).

9. Webformulare

Briefing-Formular (/brief.html): wird via fetch-API an unseren EU-Server gesendet und intern als Mattermost-Nachricht zugestellt. Bei Server-Ausfall öffnet sich ein mailto:-Fallback in deinem Mail-Programm. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

Bewerbung ins Fachexpert:innen-Netzwerk (/pate.html): Deine Angaben — Name, E-Mail, Fachgebiet, Erfahrung, deine Aufgaben-Beschreibung sowie optionale Angaben zu Profil und Berufshaftpflicht — werden über /api/pate/apply in unserer PocketBase-Datenbank auf einem EU-Server (Collection pate_applications) gespeichert und dort von uns gesichtet. Du erhältst eine Eingangsbestätigung per E-Mail. Zur Missbrauchs-Vermeidung (Spam-Prävention, Rate-Limit) speichern wir zusätzlich einen Hash deiner IP-Adresse (kein Klartext, keine Rückrechnung auf die IP). Rechtsgrundlage hierfür: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Missbrauchs-Abwehr.

Rechtsgrundlage der Bewerbungs-Verarbeitung: Anbahnung einer Zusammenarbeit (Art. 6 Abs. 1 lit. b DSGVO). Die Datenschutz-Bestätigung im Formular dokumentiert nachweisbar, dass du über diese Verarbeitung informiert wurdest. Du kannst jederzeit Widerruf, Auskunft und Löschung per E-Mail an recht@half-work.com verlangen. Nicht erfolgreiche Bewerbungen löschen wir spätestens nach sechs Monaten; eine kürzere Frist scheidet aus, weil § 15 Abs. 4 AGG Klagefristen von zwei Monaten setzt und wir bis zur Klärung etwaiger Diskriminierungsvorwürfe nachweisfähig bleiben müssen. Bei Aufnahme ins Netzwerk wird die Bewerbung Teil der Zusammenarbeits-Dokumentation.

10. Cookies und ähnliche Technologien

Marketing-Site (half-work.com): Keine Cookies, kein Tracking, kein Consent-Banner nötig.

App (half-work.com/app/*): Wir nutzen localStorage ausschließlich für technisch notwendige Zwecke (Auth-Token, gewählte Persona für UI-Routing). Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei zulässig (zur Erbringung des vom Nutzer gewünschten Telemediendienstes erforderlich).

Mit Logout / Account-Löschung wird der LocalStorage geleert.

11. Aufbewahrungsfristen — Übersicht

DatentypAufbewahrung
Server-Logs (IP, User-Agent)7 Tage
Bot-Konversations-Logs (roh)30 Tage
Bot-Konversations-Logs (pseudonymisiert)12 Monate
Account-Daten (E-Mail, Profil)bis zur Löschung
Buchungsbelege10 Jahre (§ 147 AO)
Pat:innen-Bewerbungen (nicht erfolgreich)max. 6 Monate
Pat:innen-Cert (öffentlich)solange aktiv; pseudonyme Statistik 12 Monate nach Widerruf
KatzeChain-Anchor-Hashespermanent (kein Personenbezug, nur Hash)

12. Deine Rechte (Art. 15-22 DSGVO)

  • Auskunft über die zu dir gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung („Recht auf Vergessenwerden", Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit in maschinenlesbarem Format (Art. 20)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses (Art. 21)
  • Widerruf erteilter Einwilligungen jederzeit für die Zukunft (Art. 7 Abs. 3)
  • Recht auf menschliche Überprüfung automatisierter Entscheidungen (Art. 22) — Companion-Bots treffen keine bindenden Endentscheidungen über Personen; die Bot-Pat:in eskaliert Grenzfälle, eine menschliche Sichtung ist Teil des Modells

Anfragen bitte an recht@half-work.com. Wir antworten binnen 30 Tagen (DSGVO-Frist).

13. Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für half-work.com:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 20459 Hamburg
datenschutz-hamburg.de

14. Datensicherheit — Kernmaßnahmen

  • TLS 1.2/1.3 (HTTPS) für sämtliche Verbindungen
  • AES-256-at-rest auf Server-Festplatten, soweit Hosting-Standard
  • 2FA für alle Administrativ-Accounts
  • Need-to-know-Zugriffskontrolle, protokollierte Zugriffe
  • 72-Stunden-Meldekette nach Art. 33 DSGVO ist eingeübt
  • Pseudonymisierung von Bot-Logs nach 30 Tagen
  • Ed25519-signierte Verifiable Credentials für Trust-Layer (Manipulationsschutz)

Vollständige TOM-Dokumentation als Anlage zum AVV (Anfrage an avv@half-work.com).

15. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Verarbeitungen ändern (z. B. neue Sub-Auftragsverarbeiter, neue Module). Änderungen werden mit Datums-Stempel im Header vermerkt; bei wesentlichen Änderungen informieren wir aktive Nutzer:innen per E-Mail.

half-work.com · Inh. Finn Malte Hinrichsen · Hamburg · Impressum · Rechtliches · recht@half-work.com