Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Datenschutzbeauftragter

{TODO: Falls ein Datenschutzbeauftragter bestellt ist (Pflicht ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, § 38 BDSG), hier Name und Kontaktdaten angeben. Andernfalls diesen Abschnitt entfernen oder als „Nicht benannt" kennzeichnen.}

3. Erhobene Daten

Bei der Nutzung von Unheard werden folgende Kategorien personenbezogener Daten verarbeitet:

3.1 Daten der HR-Nutzer (Dashboard)

• Name, E-Mail-Adresse und Passwort (bei der Registrierung)
• Unternehmensinformationen (Firmenname, Unternehmensgröße)
• Nutzungsdaten des Dashboards (Logins, angelegte Surveys)

3.2 Daten der Mitarbeiter (App/Portal)

• Einladungscode (zur Zuordnung zum Unternehmen)
• Selbst gewählter anonymer Anzeigename
• Freiwillig angegebene Metadaten (Abteilung, Standort — optional)
• Feedback-Texte (werden vor der Übermittlung an HR durch KI anonymisiert)
• Survey-Antworten

3.3 Technische Daten

• Server-Logdaten (IP-Adresse, Browsertyp, Zugriffszeit) — werden ausschließlich zur Fehleranalyse verwendet und nach {TODO: Zeitraum, z. B. 7 Tagen} gelöscht

Hinweis: Unheard erhebt bewusst keine Geräte-IDs, keine Verhaltensprofile und keine Tracking-Daten. Es werden keine Analyse-Cookies gesetzt.

4. Zweck der Verarbeitung

Die erhobenen Daten werden zu folgenden Zwecken verarbeitet:

• Bereitstellung und Betrieb der Plattform (Feedback-Einreichung, Dashboard, Surveys)
• KI-gestützte Anonymisierung von Feedback-Texten
• Aggregierte Auswertungen und Sentiment-Analyse für HR (keine Einzelperson-Zuordnung)
• Kontoverwaltung und Authentifizierung
• Kommunikation bei Supportanfragen und Kontaktformular-Eingaben
• Verbesserung der Plattform und Fehlerbehebung

5. Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Bereitstellung der Plattform gemäß den Nutzungsbedingungen
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Betrieb, Sicherheit und Verbesserung der Plattform, Fehleranalyse
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Soweit du ausdrücklich in eine Verarbeitung einwilligst (z. B. Kontaktformular)
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Soweit gesetzliche Aufbewahrungspflichten bestehen

6. Empfänger der Daten

Personenbezogene Daten werden nur an Dritte weitergegeben, soweit dies zur Vertragserfüllung erforderlich ist oder eine Rechtsgrundlage besteht:

• LLM-/KI-Anbieter — Für die KI-Anonymisierung werden Feedback-Texte über eine API an den LLM-Anbieter übermittelt. Mit diesem besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO. Texte werden nicht zum Training von KI-Modellen verwendet und nach der Verarbeitung nicht gespeichert. {TODO: Anbieter namentlich nennen, z. B. OpenAI Inc.}
• Hosting-Anbieter — Unsere Server werden in {TODO: Rechenzentrum/Anbieter, z. B. Hetzner Cloud, Frankfurt am Main} betrieben. Auftragsverarbeitungsvertrag liegt vor.
• E-Mail-Anbieter — Für den Versand von Transaktions-E-Mails (z. B. Einladungen, Passwort-Reset). {TODO: Anbieter nennen}

Darüber hinaus findet keine Weitergabe an sonstige Dritte, Werbetreibende oder Datenhändler statt.

7. Übermittlung in Drittländer

{TODO: Wenn der LLM-Anbieter (z. B. OpenAI) seinen Sitz in den USA hat, muss hier die Rechtsgrundlage für die Übermittlung angegeben werden:}

Für die KI-gestützte Anonymisierung werden Feedback-Texte an einen Anbieter mit Sitz in den USA übermittelt. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie eines Auftragsverarbeitungsvertrags (AVV).

{TODO: Prüfen, ob der Anbieter unter das EU-U.S. Data Privacy Framework fällt und ggf. als zusätzliche Grundlage aufnehmen.}

8. Speicherdauer

• Feedback-Texte (anonymisiert) — Werden gespeichert, solange das Unternehmen aktiver Kunde ist. Bei Kündigung: Löschung innerhalb von 30 Tagen.
• Original-Feedback-Texte — Werden nach erfolgreicher Anonymisierung nicht gespeichert. Der Originaltext existiert nur transient während der KI-Verarbeitung.
• HR-Nutzerkonten — Werden bei Kündigung innerhalb von 30 Tagen gelöscht. Auf Wunsch auch früher.
• Mitarbeiterkonten — Mitarbeiter können ihr Konto jederzeit löschen. Bereits anonymisiertes Feedback bleibt bestehen (ist keiner Person zuordenbar).
• Kontaktformular-Eingaben — Werden {TODO: Zeitraum, z. B. 12 Monate} nach Bearbeitung gelöscht, sofern kein Vertragsverhältnis entsteht.
• Server-Logdaten — Löschung nach {TODO: z. B. 7 Tagen}.

9. Deine Rechte

Dir stehen folgende Rechte in Bezug auf deine personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO) — Du hast das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über diese Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO) — Du hast das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen.
• Recht auf Löschung (Art. 17 DSGVO) — Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Recht auf Einschränkung (Art. 18 DSGVO) — Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Du hast das Recht, die dich betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) — Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Recht auf Widerruf (Art. 7 Abs. 3 DSGVO) — Sofern die Verarbeitung auf einer Einwilligung beruht, kannst du diese jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung deiner Rechte wende dich an: {TODO: datenschutz@unheard.de}

10. Cookies

Unheard verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

• Session-Cookie — Für die Authentifizierung eingeloggter Nutzer (HR-Dashboard und Mitarbeiter-Portal). Wird beim Ausloggen oder nach Ablauf der Sitzung gelöscht.

Es werden keine Analyse-Cookies, Marketing-Cookies oder Tracking-Cookies verwendet. Ein Cookie-Banner ist daher nicht erforderlich.

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs hast du das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn du der Ansicht bist, dass die Verarbeitung der dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die zuständige Aufsichtsbehörde ist:

Eine Liste der Datenschutzaufsichtsbehörden in Deutschland findest du unter: www.bfdi.bund.de

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.

13. Online-Streitbeilegung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr/

Unsere E-Mail-Adresse findest du oben in Abschnitt 1 (Verantwortlicher).