Stand: April 2026 (v2 — App-Datenverarbeitung ergänzt)

1. Verantwortlicher

Ulrich Diedrichsen
Kippingstraße 27
20144 Hamburg
Deutschland
E-Mail: [email protected]
USt-ID: DE299425124

2. Anwendungsbereich dieser Erklärung

Diese Datenschutzerklärung gilt für:

die Website workbrief.app und ihre Unterseiten (Abschnitte 3–4)
die WorkBrief App für iOS, Android und Web unter app.workbrief.app (Abschnitte 5–11)

WorkBrief ist ein KI-gestütztes Tool zur Umwandlung von Arbeitsdokumenten in mobile, ausführbare Auftragspakete. Die App ist ein B2B-Produkt: Mitarbeitende werden ausschließlich von ihrer Organisation eingeladen, ein eigenständiger Sign-Up von Endnutzer:innen ist nicht möglich.

3. Datenverarbeitung auf der Website

Wir setzen auf der Website keine Tracking-Cookies, keine Analytics-Software und keine Werbe-Tracker ein. Die einzige aktive Datenverarbeitung erfolgt im Zusammenhang mit dem Early-Access-Formular.

E-Mail-Adresse (Early Access)
Wenn Sie sich für den Early Access registrieren, erheben wir Ihre E-Mail-Adresse. Sie wird ausschließlich verwendet, um Sie über die Verfügbarkeit von WorkBrief zu informieren. Speicherort: Cloudflare KV (EU). Speicherdauer: bis Allgemeinverfügbarkeit oder maximal 24 Monate.

IP-Adresse
Beim Zugriff auf die Website wird Ihre IP-Adresse aus technischen Gründen an Cloudflare übertragen. Sie wird nicht dauerhaft gespeichert.

Theme- und Spracheinstellung
Ihre bevorzugte Sprache (Deutsch/Englisch) und Ihr bevorzugtes Farbschema (hell/dunkel) werden lokal in Ihrem Browser gespeichert (localStorage). Diese Daten verlassen Ihr Gerät nicht.

4. Drittanbieter — Website

Cloudflare (Hosting + KV)
Die Website wird über Cloudflare Pages gehostet. Cloudflare verarbeitet Ihre IP-Adresse zum Schutz der Website. Ein Auftragsverarbeitungsvertrag (AVV) mit Cloudflare liegt vor.

5. Datenverarbeitung in der WorkBrief App

Die App verarbeitet Daten ausschließlich zur Koordination von Arbeitsabläufen innerhalb Ihrer Organisation. Wir folgen unserer Vertrauens-Charta (verfügbar in der App und unter workbrief.app): kein Tracking von Mitarbeitenden, keine Bewertungen, keine Vergleiche, keine versteckte Datensammlung.

5.1 Persönliche Identifikationsdaten

Name — zur Anzeige in der Auftrags-Zuweisung. Erforderlich.
E-Mail-Adresse — als Login-Identifikator und für Account-Wiederherstellung. Erforderlich.
Nutzer-ID — interner Identifikator (Firebase Auth UID), nur zur App-Funktion verwendet. Erforderlich.
Bevorzugte Sprache — für die Lokalisierung der App-Oberfläche. Optional.
Rolle und Team-Zuordnung — vom Org-Admin gesetzt zur Berechtigungssteuerung. Erforderlich.

5.2 Auftragsbezogene Daten

Hochgeladene Quelldokumente (PDF, DOCX, Text) — zur Erstellung von KI-generierten Auftragsentwürfen. Vom Vorgesetzten hochgeladen, nicht von Mitarbeitenden.
Fotos — als Auslöser für Quick-Capture-Aufträge oder als Erledigungsnachweis. Vom Mitarbeitenden mit Kamera oder aus Galerie ausgewählt; explizite Berechtigung ist erforderlich.
Sprachaufnahmen / Transkripte — bei Quick-Capture-Aufträgen kann der Vorgesetzte eine Sprachaufnahme machen, die in Text transkribiert wird. Mikrofonberechtigung erforderlich. Sprachaufnahmen werden bei mobilen Plattformen direkt auf dem Gerät transkribiert (Apple Speech / Google SpeechRecognition); auf der Web-Version verwendet der Browser native Spracherkennung.
Text-Beiträge — Captions, Kommentare, Antworten auf Fragen, Sicherheits-Bestätigungen. Vom Nutzer eingegeben.
App-Interaktionen — wann ein Auftrag geöffnet, abgeschlossen, oder ein Checklisten-Punkt abgehakt wurde. Notwendig für die Nachvollziehbarkeit eines Auftrags und das Audit-Log.

5.3 Was wir explizit NICHT verarbeiten

Keine Standortdaten (weder kontinuierlich noch punktuell)
Keine Bewegungs- oder Sensor-Daten
Keine Kontakte, Kalender, Nachrichten oder andere App-Daten Ihres Geräts
Keine Werbe-IDs (IDFA / GAID)
Keine Browsing-Historie
Keine Profile oder Ranglisten von Mitarbeitenden
Keine Zeit- oder Geschwindigkeitsmessung von Arbeit

6. Zweck der App-Datenverarbeitung

Daten werden ausschließlich für folgende Zwecke verarbeitet:

Bereitstellung der App-Funktionen für Ihre Organisation
Verwaltung Ihres Accounts und Authentifizierung
KI-gestützte Umwandlung von Quelldokumenten in strukturierte Auftragsentwürfe (durch den Vorgesetzten initiiert)
Lieferung von Push-Benachrichtigungen über zugewiesene Aufträge oder Antworten
Audit-Log für die Nachvollziehbarkeit von Statusänderungen (Auftrag freigegeben, abgeschlossen etc.)
Fehlerdiagnose im Falle technischer Probleme

Daten werden nicht für Werbezwecke, Profiling, automatisierte Bewertungen oder Verkauf an Dritte verwendet.

7. Speicherort und Subprozessoren der App

Wir setzen folgende Auftragsverarbeiter ein. Mit allen liegen Auftragsverarbeitungsverträge (AVV/SCC) vor.

Google Firebase / Google Cloud Platform — Authentifizierung, Datenbank, Datei-Speicher, Push-Benachrichtigungen, Cloud Functions. Hauptverantwortlicher: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Datenbank (Cloud Firestore): Region eur3 (Multi-Region Europa, primär Frankfurt + Belgien)
Dateispeicher (Cloud Storage): Region EU Multi-Region
Authentifizierung (Firebase Auth): Google-globale Infrastruktur, Daten gespeichert in EU
Push-Benachrichtigungen (FCM): Google-globale Infrastruktur
KI-Inference (Vertex AI / Gemini): Region us-central1 (USA, Iowa) — siehe Abschnitt 8 zur Datenübermittlung

Apple iCloud / Apple Push Notification — bei iOS-Geräten zur Push-Zustellung. Hauptverantwortlicher: Apple Distribution International Limited, Cork, Irland.

Cloudflare — Bereitstellung der Web-App-Domain (app.workbrief.app), DNS, DDoS-Schutz. Datenverarbeitung primär in EU-Rechenzentren.

Stripe (für zahlungspflichtige Tarife, ab Q3/2026) — Abwicklung der Subscription-Zahlungen durch den Org-Admin. Stripe verarbeitet KEINE Daten von App-Endnutzer:innen, sondern ausschließlich Zahlungsdaten des Org-Admins. Hauptverantwortlicher: Stripe Payments Europe Limited, Dublin, Irland.

8. Internationale Datenübermittlung — Vertex AI

Die KI-Verarbeitung von Quelldokumenten und Quick-Capture-Inhalten erfolgt über Google Vertex AI (Modell: Gemini 2.5 Flash) in der Region us-central1 (Iowa, USA). Eine Übermittlung in die USA findet daher statt.

Garantien:

EU-US Data Privacy Framework (DPF): Google ist zertifiziert, gültiges Angemessenheitsbeschluss-Abkommen.
Standard-Vertragsklauseln (SCC) der EU-Kommission als zusätzliche Absicherung.
Google Vertex AI verwendet Ihre Daten NICHT zum Training eigener oder fremder Modelle (vertraglich zugesichert via Google Cloud Customer Data Protection Addendum).
Daten werden nur für die jeweilige Inference-Anfrage verarbeitet und unmittelbar danach gelöscht. Es gibt keine permanente Speicherung Ihrer Inhalte bei Google Vertex AI.

9. Speicherdauer (App-Daten)

Aktive Daten (Aufträge, Beweisfotos, Kommentare): solange Ihre Organisation Kunde von WorkBrief ist.
Audit-Log: 365 Tage (Starter), 730 Tage (Professional), individuell verhandelbar (Enterprise).
Sprachaufnahmen-Transkripte: Persistiert als Text-Caption auf dem Auftrag. Die ursprüngliche Audio-Datei wird nicht gespeichert.
Bei Vertragsende: vollständiger Daten-Export auf Knopfdruck verfügbar; anschließend Löschung aller Daten innerhalb von 30 Tagen, einschließlich Backups.
Bei Account-Deaktivierung eines einzelnen Mitarbeitenden: persönliche Daten werden anonymisiert; auftragsbezogene Daten bleiben pseudonymisiert erhalten zur Nachvollziehbarkeit der Org-Aktivität.

10. Rechtsgrundlage

Die Verarbeitung Ihrer Daten erfolgt auf Grundlage:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die Bereitstellung der App-Funktionen gegenüber Ihrer Organisation.
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) — für Sicherheit, Audit-Log, Fehlerdiagnose.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für die Web-Early-Access-Anmeldung.
Art. 28 DSGVO — wenn WorkBrief als Auftragsverarbeiter für Ihren Arbeitgeber tätig ist (Standardfall für Mitarbeiter-Daten innerhalb der Org).

11. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

Auskunft (Art. 15)
Berichtigung (Art. 16)
Löschung (Art. 17)
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20)
Widerspruch (Art. 21)
Widerruf der Einwilligung (Art. 7 Abs. 3) — nur bei einwilligungsbasierter Verarbeitung

In der App: Profil-Bildschirm → "Meine Daten exportieren". Wir bereiten Ihren Export vor und versenden ihn per E-Mail innerhalb von 24 Stunden.

Per E-Mail: Anfragen an [email protected]. Wir antworten innerhalb von 30 Tagen, üblicherweise innerhalb von 5 Werktagen.

Hinweis für Mitarbeitende: Wenn Ihre Daten als Teil einer Org-Subscription verarbeitet werden, ist Ihr Arbeitgeber datenschutzrechtlich verantwortlich. Wir leiten Ihre Anfrage an Ihren Org-Admin weiter, falls erforderlich.

12. Sicherheit

Verschlüsselung in Übertragung: TLS 1.2+ für alle Verbindungen (HTTPS).
Verschlüsselung at rest: alle Datenbank-Inhalte und Dateien sind bei Google Cloud verschlüsselt.
Rollen- und Organisations-Trennung: Firestore Security Rules verhindern Zugriff zwischen verschiedenen Organisationen.
Audit-Log für alle wichtigen Statusänderungen.
Vertrauens-Charta vertraglich bindend ab Org-Aktivierung.

13. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: 040 / 428 54 - 4040
E-Mail: [email protected]

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Bei wesentlichen Änderungen, die Ihre Rechte einschränken, informieren wir Sie mindestens 30 Tage im Voraus per E-Mail. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Versionshistorie: v1 (April 2026) — initial. v2 (April 2026) — App-Datenverarbeitung ergänzt nach erstem App-Release.