Vandrap Portal
PrivacyImprint
Stand: 14. Mai 2026 · Version 2026-05-14 · English version

Datenschutzerklärung

Diese Datenschutzerklärung informiert dich darüber, wie wir personenbezogene Daten im internen Vandrap Portal verarbeiten. Die Vorgaben der DSGVO und des BDSG werden eingehalten.

1. Verantwortlicher

Vandrap Media UG (haftungsbeschränkt)
Berliner Platz 39
48143 Münster
Deutschland

Telefon: 0176 21629474
E-Mail: info@vandrapmedia.com
Geschäftsführer: Sebastian Chojnacki

Ein externer Datenschutzbeauftragter ist gesetzlich nicht erforderlich (weniger als 20 Personen ständig mit automatisierter Verarbeitung beschäftigt). Anfragen zum Datenschutz richtest du direkt an die obige Adresse oder an info@vandrapmedia.com.

2. Gegenstand der Datenverarbeitung

Das Vandrap Portal ist ein internes Tool für die Verwaltung von Beschäftigungsverhältnissen bei Vandrap Media UG. Es ist nur für Mitarbeiterinnen und Mitarbeiter zugänglich. Mit dem Portal werden folgende Vorgänge abgewickelt:

  • Urlaubs- und Sonderurlaubsanträge
  • Erfassung und Genehmigung von Überstunden
  • Krankmeldungen und Arbeitsunfähigkeitsbescheinigungen
  • Persönliche Dokumente (Verträge, Gehaltsabrechnungen, sonstige Personalunterlagen)
  • Bestätigung von Firmen-Dokumenten
  • Kommunikation über Slack-Benachrichtigungen

3. Verarbeitete Datenkategorien

Wir verarbeiten folgende Kategorien personenbezogener Daten:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Nationalität, Adresse, Sprache, Avatar
  • Beschäftigungsdaten: Job-Titel, Abteilung, Rolle im Portal, Beschäftigungsart, Wochenstunden, Start- und Vertragsenddatum, Slack-User-ID
  • Gehaltsrelevante Daten: IBAN, BIC, Steuer-Identifikationsnummer, Sozialversicherungsnummer, Krankenkasse
  • Notfallkontakt: Name, Telefonnummer und Beziehung des Notfallkontakts
  • Abwesenheits- und Arbeitszeitdaten: Urlaubsanträge, Krankheitszeiträume, Überstunden, Sonderurlaub jeweils mit Zeiträumen, Status und ggf. Begründung
  • Dokumente: Arbeitsvertrag, Gehaltsabrechnungen, AU-Bescheinigungen, sonstige Personalunterlagen
  • Nutzungsdaten: Login-Zeitstempel, IP-Adresse bei Login, Browser-Typ, durchgeführte Aktionen (Audit-Log)

4. Zwecke und Rechtsgrundlagen

Die Verarbeitung erfolgt zu folgenden Zwecken:

  • Durchführung des Beschäftigungsverhältnisses: § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO und Art. 6 Abs. 1 lit. b DSGVO
  • Erfüllung gesetzlicher Pflichten (z.B. Steuerrecht, Sozialversicherung, Arbeitsschutz): Art. 6 Abs. 1 lit. c DSGVO
  • Berechtigte Interessen (z.B. IT-Sicherheit, Audit-Log): Art. 6 Abs. 1 lit. f DSGVO
  • Einwilligung (soweit erforderlich, z.B. für optionale Funktionen): Art. 6 Abs. 1 lit. a DSGVO

5. Empfänger und Auftragsverarbeiter

Wir setzen folgende technische Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:

  • Supabase (Supabase Inc., 970 Toa Payoh North, Singapur): Datenbank-Hosting und Authentifizierung. Server-Standort: Frankfurt am Main, Deutschland (eu-central-1). Datenverarbeitung verbleibt in der EU.
  • Vercel (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA): Hosting der Web-Anwendung. Verarbeitung erfolgt in EU-Rechenzentren mit EU-Standardvertragsklauseln für ggf. Datenübermittlungen.
  • n8n Cloud (n8n GmbH, Stresemannstraße 121, 10963 Berlin): Workflow-Automatisierung für Benachrichtigungen. Datenverarbeitung in EU.
  • Slack (Slack Technologies LLC, 500 Howard Street, San Francisco, CA 94105, USA): Versand von Slack-Benachrichtigungen. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Frameworks.
  • Google Workspace (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland): E-Mail-Kommunikation. Server-Standort EU.

Eine Weitergabe deiner Daten an Dritte außerhalb dieser Auftragsverarbeiter findet nur statt, wenn eine gesetzliche Pflicht besteht (z.B. Steuerbehörden, Sozialversicherung) oder du ausdrücklich eingewilligt hast.

6. Speicherdauer und Löschung

Personenbezogene Daten werden für die Dauer des Beschäftigungsverhältnisses verarbeitet. Nach Beendigung gelten folgende Aufbewahrungsfristen:

  • Personalunterlagen, Verträge, Lohnabrechnungen: 10 Jahre nach Ende des Geschäftsjahres (§ 257 HGB, § 147 AO)
  • Sozialversicherungsrelevante Unterlagen: bis zu 6 Jahre nach Beendigung (§ 28f Abs. 1 SGB IV)
  • Audit-Log: 10 Jahre als Nachweis der Verarbeitung

Nach Ablauf der Aufbewahrungsfristen werden alle personenbezogenen Daten automatisch anonymisiert. Persönliche Dokumente im Vault werden in diesem Schritt gelöscht. Beschäftigungs- und Abwesenheitsdaten verbleiben in anonymisierter Form als statistische Aggregate.

7. Deine Rechte

Du hast jederzeit folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Du kannst eine ZIP-Datei mit allen über dich gespeicherten Daten im Portal unter Einstellungen → Datenschutz selbst herunterladen.
  • Berichtigung (Art. 16 DSGVO): Stammdaten kannst du in den Einstellungen selbst aktualisieren. Andere Korrekturen meldest du an Sebastian.
  • Löschung (Art. 17 DSGVO): unter Beachtung der gesetzlichen Aufbewahrungsfristen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): erfüllt durch die Selbstauskunfts-ZIP
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde, in NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:

  • Verschlüsselte Übertragung per TLS (HTTPS)
  • Verschlüsselte Speicherung in der Datenbank (at rest)
  • Row-Level-Security: jeder Mitarbeiter sieht nur seine eigenen Daten. Personalverantwortliche sehen Daten nur im notwendigen Umfang
  • Authentifizierung über Passwort (Mindestlänge 10 Zeichen) oder Google Workspace
  • Schutz gegen Passwort-Kompromittierung über HaveIBeenPwned-Datenbank
  • Automatische tägliche Backups
  • Vollständiges Audit-Log aller administrativen Aktionen
  • Sensible Dokumente (Verträge, Gehaltsabrechnungen) erfordern eine erneute Passwort-Eingabe vor dem Öffnen

9. Cookies

Das Portal nutzt ausschließlich technisch notwendige Cookies für die Anmelde-Session und die Sprachauswahl. Es werden keine Tracking- oder Analyse-Cookies eingesetzt. Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen ändern oder wir neue Funktionen einführen. Bei wesentlichen Änderungen wirst du beim nächsten Login um eine erneute Bestätigung gebeten.

11. Kontakt bei Datenschutzfragen

Bei Fragen zur Verarbeitung deiner Daten wende dich an info@vandrapmedia.com oder direkt an Sebastian Chojnacki.