Datenschutzerklärung
Stand: Mai 2026 · Art. 13 DSGVO
1. Verantwortlicher
Jowomo UG (haftungsbeschränkt)
Tino-Schwierzina-Straße 85, 13089 Berlin
HRB 286364 B · Amtsgericht Berlin (Charlottenburg)
Vertreten durch: Baha Jamous (Geschäftsführer)
E-Mail Datenschutz: datenschutz@jowomo.com
Ein Datenschutzbeauftragter ist gemäß § 38 BDSG derzeit nicht erforderlich (weniger als 20 Personen sind ständig mit der Verarbeitung personenbezogener Daten beschäftigt). Wir prüfen die Bestellung mit dem nächsten Wachstumsschritt.
2. Welche Daten wir verarbeiten
Im Rahmen der Bereitstellung der Jowomo-Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:
- Stammdaten: Name, E-Mail, Rolle (Talent / Enterprise), Sprachpräferenz
- Profildaten: Telefonnummer, Adresse, Branche, Skills, Hauptarbeitgeber, Vertragsstatus, Wochenstunden
- Compliance-Daten: Antworten zu Nebentätigkeit, Wettbewerbsklausel, Gewerbeanmeldung, Hochladene Dokumente (verschlüsselt in GridFS)
- Vertrags- und Zahlungsdaten: Stripe-Customer-ID, Plan, Rechnungsadresse, USt-IdNr., Bezahlhistorie
- Nutzungsdaten: Login-Zeitpunkte, IP-Adresse (gekürzt nach 14 Tagen), Browser-Fingerprint via Cookies
- Einwilligungs-Logs: Zeitstempel, IP, gewählte Optionen (AGB, Datenschutz, Newsletter, Cookies)
- Inhalte: KI-Anfragen an Christoph (Compliance-AI), Match-Interessen, Nachrichten zwischen Talent und Enterprise
3. Zwecke & Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Vertragsabwicklung (Account, Compliance, Matching) | Art. 6 (1) b DSGVO |
| Marketing-E-Mails (Newsletter) | Art. 6 (1) a DSGVO + § 7 (2) UWG |
| Steuer- und handelsrechtliche Aufbewahrung | Art. 6 (1) c DSGVO + § 147 AO / § 257 HGB |
| Sicherheits-Monitoring (Login-Logs, Sentry) | Art. 6 (1) f + Art. 32 DSGVO |
| Reichweitenmessung (GA4, PostHog) — nur nach Cookie-Consent | Art. 6 (1) a DSGVO + § 25 TTDSG |
| KI-gestützte Compliance-Analyse (Christoph) | Art. 6 (1) b DSGVO + Art. 22 (2) a (Vertragserfüllung) |
Hinweis zu Art. 22 DSGVO: Christoph trifft keine automatisierte Einzelentscheidung mit rechtlicher Wirkung — die KI gibt eine Ampel-Empfehlung, die Entscheidung trifft immer der Nutzer (Talent oder Enterprise) selbst.
4. Auftragsverarbeiter
Mit allen folgenden Anbietern haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen. Bei Übermittlungen in Drittländer (USA) kommen Standard-Datenschutzklauseln (SCC) der EU-Kommission zur Anwendung.
| Anbieter | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Anthropic PBC | KI-Compliance-Analyse (Christoph) | USA | SCC + Art. 28 DSGVO AV-Vertrag |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) / USA | Art. 6 (1) b DSGVO + SCC |
| Resend Inc. | Transaktions- und Marketing-E-Mails | Irland (EU) | Art. 28 DSGVO AV-Vertrag |
| Sentry GmbH | Error-Tracking & Performance-Monitoring | EU-Region (Frankfurt) | Art. 28 DSGVO AV-Vertrag |
| MongoDB Atlas (EU) | Hosting der Anwendungsdaten | Frankfurt (eu-central-1) | Art. 28 DSGVO AV-Vertrag |
| Railway Corp. | Application-Hosting (Backend) | EU-West (Amsterdam) | Art. 28 DSGVO AV-Vertrag |
| Contentful GmbH | Headless-CMS für Blog & FAQ | Berlin | Art. 28 DSGVO AV-Vertrag |
| Cybot A/S (Cookiebot) | Cookie-Consent-Management | Kopenhagen | Art. 28 DSGVO AV-Vertrag |
| Google Ireland Ltd. | Google Maps Places (Adress-Autocomplete) + Analytics 4 | Irland (EU) | Art. 28 DSGVO AV-Vertrag + SCC für GA4 |
| PostHog Inc. | Product Analytics (EU-Region) | Frankfurt (EU) | Art. 28 DSGVO AV-Vertrag |
6. Speicherdauer
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Account-Stammdaten | Bis 30 Tage nach Account-Löschung | Art. 17 DSGVO |
| Rechnungs- & Steuerdaten | 10 Jahre | § 147 AO |
| Vertragsdaten (Subscriptions) | 6 Jahre nach Vertragsende | § 257 HGB |
| Einwilligungs-Logs | 3 Jahre nach Widerruf | Art. 7 (1) DSGVO Nachweispflicht |
| Compliance-Analyse-Cache | 30 Tage | Datenminimierung |
| Login-Logs / IP-Adressen | 14 Tage (Sicherheits-Monitoring) | Art. 32 DSGVO |
| Newsletter-Abonnements | Bis Widerruf | Art. 6 (1) a DSGVO |
| Support-Tickets / E-Mail-Verkehr | 2 Jahre | Berechtigtes Interesse |
7. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO) über Ihre verarbeiteten Daten
- Berichtigung (Art. 16) unrichtiger oder unvollständiger Daten
- Löschung (Art. 17) Ihrer Daten („Recht auf Vergessenwerden")
- Einschränkung (Art. 18) der Verarbeitung
- Datenübertragbarkeit (Art. 20) in einem strukturierten, gängigen Format (JSON-Export)
- Widerspruch (Art. 21) gegen Verarbeitung auf Basis berechtigter Interessen
- Widerruf (Art. 7 (3)) erteilter Einwilligungen mit Wirkung für die Zukunft
- Beschwerde (Art. 77) bei einer Aufsichtsbehörde, in Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Anfragen an datenschutz@jowomo.com — wir antworten innerhalb von 30 Tagen (Art. 12 (3) DSGVO). Eingeloggte Nutzer können Stamm- und Profildaten in Echtzeit über das Profil bearbeiten oder ihren Account vollständig löschen lassen.
8. Datensicherheit
Gemäß Art. 32 DSGVO setzen wir technische und organisatorische Maßnahmen ein:
- Transport-Verschlüsselung: TLS 1.3, HSTS
- At-Rest-Verschlüsselung: MongoDB Atlas AES-256, GridFS für Dokumente
- Authentifizierung: bcrypt-Password-Hashing, JWT mit Rotations-Mechanismus
- Zugriffskontrolle: Role-Based-Access-Control (Talent / Enterprise / Admin)
- Monitoring: Sentry (EU), Login-Anomalie-Detection
- Backup: Tägliche MongoDB-Atlas-Snapshots, 7-Tage-Retention
- Pen-Test: jährlich extern (geplant Q2 2026)
9. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Funktionen oder Verarbeiter ändern. Wesentliche Änderungen kündigen wir per E-Mail an aktive Nutzer an. Die jeweils aktuelle Version finden Sie immer unter www.jowomo.com/privacy.
Stand: Mai 2026 · Version 2.0