Datenschutzerklärung

Stand: 23. April 2026

Verantwortlicher im Sinne der DSGVO:

Entwicklerherz GmbH
Am Hauptbahnhof 16
60329 Frankfurt am Main
Deutschland

E-Mail: kontakt@entwicklerherz.de

Datenschutzbeauftragter:

Ein Datenschutzbeauftragter ist nicht gesetzlich erforderlich und wurde nicht bestellt.

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Unsere Grundsätze:

  • Datensparsamkeit: Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind.
  • Transparenz: Sie erfahren jederzeit, welche Daten wir verarbeiten.
  • Datenhoheit: Ihre Daten gehören Ihnen. Export und Löschung sind jederzeit möglich.
  • Keine Werbung, kein Datenverkauf: Ihre Daten werden niemals verkauft oder für Werbezwecke genutzt.

2.3.1 Beim Besuch der Website

Beim reinen Besuch der Website erfassen wir automatisch folgende Daten, die Ihr Browser an unseren Server übermittelt:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • HTTP-Statuscode
  • Jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt (Referrer)
  • Browser, Betriebssystem und dessen Oberfläche, Sprache und Version

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch einwandfreien und sicheren Betrieb der Website).

Speicherdauer: IP-Adressen werden nach 7 Tagen anonymisiert. Log-Daten werden nach 30 Tagen gelöscht, sofern sie nicht zur Aufklärung von Sicherheitsvorfällen benötigt werden.

2.3.2 Bei der Erstellung eines Profils

Wenn Sie ein Profil auf upstand.work erstellen, verarbeiten wir:

Pflichtangaben:

  • Vor- und Nachname
  • Beruflicher Werdegang (Positionen, Arbeitgeber, Zeiträume, Verantwortungsbereiche)
  • Selbstgewählter Profil-URL-Name (Slug)
  • Sprache(n) des Profils

Optionale Angaben:

  • E-Mail-Adresse (für Edit-Zugang via Magic Link)
  • Profilbild (bei Upload oder automatischer Extraktion aus hochgeladenem CV)
  • Fachgruppen-spezifische Angaben (Extension-Felder)
  • Verfügbarkeitsstatus
  • Arbeitsweise, aktueller Fokus, weitere persönliche Angaben (Human Layer und Collaboration Layer Felder)
  • Standort (Timezone, Stadt)

Bei CV-Upload zusätzlich:

  • Inhalte des hochgeladenen CV-Dokuments (wird nach Verarbeitung gelöscht, extrahierte strukturierte Daten bleiben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsverhältnis / vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionalen Angaben).

Zweckbindung: Die Daten dienen ausschließlich der Darstellung Ihres beruflichen Profils auf upstand.work und der Nutzung unserer Dienste. Sie werden nicht zu Werbezwecken genutzt oder an Dritte verkauft.

2.3.3 Öffentliche Sichtbarkeit des Profils

Wichtig: Ihr Profil ist standardmäßig öffentlich über das Internet abrufbar und wird von Suchmaschinen indexiert.

Sie können jederzeit zwischen drei Sichtbarkeits-Stufen wählen:

  • Öffentlich (Standard): Profil ist via URL erreichbar und suchmaschinenindexiert
  • Unlisted: Profil ist nur mit direktem Link erreichbar, keine Indexierung
  • Inaktiv: Profil ist deaktiviert, kein Zugriff möglich

Diese Einstellung können Sie jederzeit im Dashboard ändern.

Beim Veröffentlichen Ihres Profils willigen Sie in die öffentliche Zugänglichkeit der von Ihnen bereitgestellten Inhalte ein.

2.3.4 Bei Peer-Verifications

Wenn Sie eine Verification anfragen oder jemand Sie verifiziert, verarbeiten wir:

Von Ihnen:

  • E-Mail-Adresse und Name der Person, die Sie um Verification bitten
  • Kontext der Anfrage

Von der verifizierenden Person (Verifier):

  • Name
  • Berufliche Rolle und Arbeitgeber zum Zeitpunkt der bestätigten Tätigkeit
  • E-Mail-Adresse (wird öffentlich nicht angezeigt, nur Domain-Typ: "firmen" oder "privat")
  • Freiwilliger Verification-Text

Besonderheit: Der Verifier stimmt der öffentlichen Nennung seines Namens, seiner Rolle und seines Arbeitgebers sowie seines optionalen Verification-Texts explizit zu. Er kann die Verification jederzeit ohne Angabe von Gründen über einen in der Bestätigungs-E-Mail enthaltenen Link zurückziehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung des Verifiers).

2.3.5 Bei Kontaktanfragen

Wenn Sie als Besucher eine Kontaktanfrage über einen Profil-Inhaber stellen, verarbeiten wir:

  • Ihre E-Mail-Adresse (Pflicht — private Anbieter wie Gmail ausgeschlossen bei Business-Anfragen)
  • Ihr Unternehmen (Pflicht bei Business-Anfragen)
  • Art der Anfrage und Kontext-Nachricht
  • Bei Business-Anfragen: Budget, Zeitraum, Remote-Präferenz, Standort

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähiger Kommunikations-Infrastruktur) sowie Art. 6 Abs. 1 lit. b DSGVO bei konkretem Vertragsinteresse.

2.3.6 Bei "Ask Me"-Antworten

Wenn Sie auf eine "Ask Me"-Frage eines Profilinhabers antworten, verarbeiten wir:

  • Ihren Namen
  • Ihre E-Mail-Adresse
  • Ihre Antwort

Die Antworten werden ausschließlich an den Profil-Inhaber übermittelt und sind nicht öffentlich sichtbar. Öffentlich sichtbar ist nur die Anzahl bestätigter Antworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Absenden).

Wir geben personenbezogene Daten ausschließlich in folgenden Fällen weiter:

2.4.1 An Auftragsverarbeiter

Wir nutzen folgende Dienstleister, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen sind:

Vercel Inc. (USA)

  • Zweck: Hosting und Content Delivery
  • Datenkategorien: Technische Logdaten, Profilinhalte
  • Standort: aktuell US-Region (iad1) — Umstellung auf EU-Region fra1 (Frankfurt) geplant
  • Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln, zusätzlich DPF (EU-U.S. Data Privacy Framework)
  • Datenschutz: vercel.com/legal/privacy-policy

Supabase Inc.

  • Zweck: Datenbank, Authentifizierung, Datei-Speicher
  • Datenkategorien: Profilinhalte, E-Mail-Adressen, Uploads
  • Standort: EU (Zürich, Schweiz, eu-central-2)
  • Datenschutz: supabase.com/privacy

OpenAI, L.L.C. (USA)

  • Zweck: KI-gestützte Textverarbeitung von CV-Inhalten und Profilerstellung
  • Datenkategorien: CV-Texte, Profilinhalte zur Verarbeitung
  • Standort: USA
  • Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln
  • Besonderheit: Wir nutzen OpenAI über die API mit deaktiviertem Training ("data retention" auf 0 Tage, kein Training mit API-Daten)
  • Datenschutz: openai.com/policies/privacy-policy

Sendinblue SAS (Brevo, Frankreich)

  • Zweck: Versand transaktionaler E-Mails
  • Datenkategorien: E-Mail-Adressen, E-Mail-Inhalte
  • Standort: EU (Frankreich)
  • Datenschutz: brevo.com/privacy-policy

2.4.2 An Behörden

Wir geben Daten an Behörden weiter, wenn wir dazu gesetzlich verpflichtet sind (z.B. strafrechtliche Ermittlungen).

2.4.3 An Dritte bei berechtigtem Interesse

Wenn Sie einer Weitergabe ausdrücklich zustimmen, z.B. durch Annahme einer Kontaktanfrage mit Freigabe Ihrer E-Mail-Adresse.

Wir verkaufen keine Daten. Wir nutzen keine Werbung.

2.5.1 Technisch notwendige Cookies / Local Storage

Wir setzen folgende technisch erforderliche Daten im Browser:

  • Authentifizierungs-Token (nach Login via Magic Link): Notwendig für den eingeloggten Zugriff auf das Dashboard
  • Theme-Cookie (data-theme): Speichert Ihre Präferenz für helles oder dunkles Layout
  • Sprach-Cookie: Speichert Ihre gewählte UI-Sprache

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).

2.5.2 Keine Marketing-Cookies, kein Tracking

Wir setzen keine Marketing-Cookies, Tracking-Pixel oder Werbe-Technologien ein. Wir betreiben kein klassisches Web-Analytics.

Profildaten: Solange das Profil besteht. Nach Löschung des Profils werden alle Daten innerhalb von 30 Tagen aus aktiven Systemen entfernt. Backups werden nach spätestens 90 Tagen vollständig überschrieben.

Server-Logdaten: 30 Tage. IP-Adressen werden nach 7 Tagen anonymisiert.

Kontaktanfragen: Bis zur Bearbeitung, danach nach Aufforderung gelöscht — spätestens nach 3 Jahren.

Verifications: Solange das Profil existiert. Bei Rückzug der Verification sofort gelöscht.

Ask-Me-Antworten: Bis zur Kenntnisnahme durch den Profilinhaber, danach maximal 90 Tage.

Rechnungs- und steuerrelevante Daten: 10 Jahre gemäß § 147 AO.

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Diese Löschung können Sie auch jederzeit direkt im Dashboard auslösen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) exportieren — jederzeit und kostenfrei direkt aus Ihrem Dashboard.
  • Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Wenden Sie sich für die Ausübung Ihrer Rechte an: kontakt@entwicklerherz.de

Beschwerderecht bei der Aufsichtsbehörde: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
datenschutz.hessen.de

Wir nutzen KI-gestützte Textverarbeitung (OpenAI GPT-4o) für folgende Zwecke:

  1. Extraktion strukturierter Daten aus hochgeladenen CV-Dokumenten
  2. Textgenerierung von Experience Stories, Zusammenfassungen und Vorschlägen basierend auf Ihren Eingaben
  3. Übersetzung Ihres Profils in eine Zweitsprache (auf Wunsch)

Transparenz:

  • Alle KI-generierten Texte werden Ihnen vor Veröffentlichung zur Überprüfung und Bearbeitung vorgelegt.
  • Sie können KI-Vorschläge jederzeit ablehnen und Ihr Profil vollständig manuell erstellen.
  • Die KI trifft keine Entscheidungen mit rechtlicher Wirkung über Sie im Sinne von Art. 22 DSGVO.
  • Daten, die an OpenAI übermittelt werden, werden nicht für das Training von KI-Modellen verwendet (API-Nutzung mit entsprechender Konfiguration).

Rechtsgrundlage KI-Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung) oder Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung, wo erforderlich).

Wir nutzen branchenübliche technische und organisatorische Maßnahmen:

  • TLS-Verschlüsselung für alle Datenübertragungen
  • Zugriffsbeschränkung durch Row Level Security in der Datenbank
  • Authentifizierung über zeitlich begrenzte Magic Links
  • Verschlüsselung von Passwörtern (falls genutzt) nach aktuellen Standards
  • Regelmäßige Sicherheits-Updates aller Komponenten

Wir passen diese Datenschutzerklärung gelegentlich an, um auf gesetzliche Änderungen oder Änderungen unserer Dienste zu reagieren. Die aktuelle Fassung ist jederzeit unter upstand.work/datenschutz abrufbar.

Wesentliche Änderungen kommunizieren wir Ihnen aktiv per E-Mail (sofern Sie eine E-Mail-Adresse hinterlegt haben) mindestens 14 Tage vor Inkrafttreten.