klargehalt

    Datenschutzerklärung

    Stand: März 2026

    1. Verantwortlicher

    Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der EU-Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

    KITech Software UG (haftungsbeschränkt)
    Deutschland
    E-Mail: datenschutz@klargehalt.de
    Website: klargehalt.de

    2. Übersicht der Verarbeitungen

    Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

    Arten der verarbeiteten Daten

    • Bestandsdaten: Name, E-Mail-Adresse, Unternehmensinformationen, Rolle im Unternehmen
    • Gehaltsdaten: Vergütungsstrukturen, Gehaltsbänder, individuelle Gehälter, Jobprofile, Abteilungszuordnungen
    • Nutzungsdaten: Zugriffszeiten, genutzte Funktionen, Seitenaufrufe innerhalb der Plattform
    • Vertragsdaten: Vertragsgegenstand, Laufzeit, gewählter Tarif
    • Zahlungsdaten: Rechnungsadresse, Zahlungsmittelinformationen (verarbeitet durch Stripe)
    • Protokolldaten: IP-Adressen, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs
    • Audit-Daten: Protokollierung aller sicherheitsrelevanten Aktionen (Login, Datenänderungen, Rollenzuweisungen)

    Kategorien betroffener Personen

    • Kunden und deren Mitarbeitende (Administratoren, HR-Manager, Angestellte)
    • Interessenten und Besucher der Website
    • Kontaktpersonen bei Kunden

    3. Rechtsgrundlagen der Verarbeitung

    Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

    • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung des Vertrags über die Nutzung der Plattform KlarGehalt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies umfasst die Bereitstellung der SaaS-Funktionalitäten, die Kontoverwaltung und die Zahlungsabwicklung.
    • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Anbieters erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere: Gewährleistung der IT-Sicherheit, Betrugsprävention, Verbesserung der Plattform, Fehleranalyse.
    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit wir die Einwilligung der betroffenen Person für bestimmte Verarbeitungszwecke einholen (z.B. Newsletter), ist die Einwilligung die Rechtsgrundlage. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
    • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. steuerrechtliche Aufbewahrungspflichten, Handelsrecht).

    4. Verarbeitung von Gehaltsdaten

    Gehaltsdaten nehmen in unserer Plattform eine besondere Stellung ein. Obwohl Gehaltsdaten nicht unmittelbar unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) fallen, handelt es sich um hochsensible personenbezogene Daten, die eines besonderen Schutzes bedürfen.

    Zweck der Verarbeitung

    Gehaltsdaten werden ausschließlich für folgende Zwecke verarbeitet:

    • Verwaltung von Gehaltsstrukturen und Gehaltsbändern gemäß der EU-Entgelttransparenzrichtlinie 2023/970
    • Berechnung und Analyse des geschlechtsspezifischen Entgeltgefälles (Gender Pay Gap)
    • Erstellung von Compliance-Berichten zur Erfüllung der Berichtspflichten
    • KI-gestützte Analyse von Entgeltunterschieden (auf Anforderung des Kunden)

    Technische Schutzmaßnahmen für Gehaltsdaten

    • Verschlüsselung: Alle Gehaltsdaten werden mit AES-256 verschlüsselt gespeichert (Encryption at Rest) und ausschließlich über TLS 1.3 übertragen (Encryption in Transit).
    • Mandantentrennung: Die strikte Trennung der Daten verschiedener Organisationen erfolgt auf Datenbankebene mittels Row Level Security (RLS). Ein Zugriff auf Gehaltsdaten anderer Organisationen ist technisch ausgeschlossen.
    • Rollenbasierte Zugriffskontrolle: Innerhalb einer Organisation bestimmt das dreistufige Rollenmodell (Administrator, HR-Manager, Mitarbeiter), wer welche Gehaltsdaten einsehen kann. Die Durchsetzung erfolgt auf Datenbankebene.
    • Audit-Trail: Jeder Zugriff auf und jede Änderung an Gehaltsdaten wird protokolliert und ist nachvollziehbar.
    • Minimierung: Es werden nur die Gehaltsdaten erhoben und verarbeitet, die für die Zwecke der Entgelttransparenz-Compliance erforderlich sind.

    Verarbeitung durch KI-Systeme

    Zur Analyse von Entgeltunterschieden setzt die Plattform optional KI-gestützte Sprachmodelle ein. Dabei gilt:

    • Die Verarbeitung erfolgt nur auf ausdrückliche Anforderung des Kunden.
    • An das Sprachmodell werden ausschließlich aggregierte und anonymisierte Daten übermittelt, keine individuellen Gehaltsdaten.
    • Die Ergebnisse sind als Unterstützung gedacht und ersetzen keine fachliche Bewertung.

    5. Datenverarbeitung im Detail

    5.1 Hosting und Infrastruktur

    Supabase (Datenbank): Die Plattform nutzt Supabase als Datenbankinfrastruktur. Alle Daten werden auf Servern in Frankfurt am Main, Deutschland (AWS eu-central-1) gespeichert. Supabase bietet PostgreSQL-Datenbanken mit integrierter Row Level Security, automatischen Backups und Verschlüsselung. Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union.

    Vercel / Coolify (Webhosting): Die Webanwendung wird über eine Hosting-Infrastruktur bereitgestellt. Statische Assets können über ein Content Delivery Network (CDN) ausgeliefert werden. Es werden dabei keine personenbezogenen Daten dauerhaft auf dem Webserver gespeichert; die Datenhaltung erfolgt ausschließlich in der Supabase-Datenbank.

    5.2 Authentifizierung

    Logto (self-hosted): Für die Benutzerauthentifizierung und Kontoverwaltung setzen wir Logto ein, eine self-hosted Open-Source-Lösung für Identity und Access Management. Die Logto-Instanz wird auf einem EU-Server betrieben. Verarbeitete Daten umfassen: E-Mail-Adresse, Passwort-Hash (bcrypt), Session-Token, Login-Zeitpunkt, IP-Adresse bei Anmeldung. Da Logto self-hosted betrieben wird, verlassen die Authentifizierungsdaten zu keinem Zeitpunkt die EU-Infrastruktur.

    5.3 Zahlungsabwicklung

    Stripe: Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe ist nach PCI DSS Level 1 zertifiziert (höchste Sicherheitsstufe für Zahlungsdatenverarbeitung). Für die Übermittlung personenbezogener Daten in die USA bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Stripe verarbeitet: Zahlungsmittelinformationen (Kreditkartennummer, SEPA-Mandatsreferenz), Rechnungsadresse, Transaktionsbeträge. Der Anbieter hat keinen Zugriff auf vollständige Zahlungsmittelinformationen (z.B. vollständige Kreditkartennummer). Datenschutzerklärung von Stripe: stripe.com/de/privacy.

    5.4 E-Mail-Versand

    Resend: Für den Versand transaktionaler E-Mails (z.B. Passwort-Zurücksetzung, Kontoverifizierung, Benachrichtigungen) nutzen wir den Dienst Resend. Es werden ausschließlich transaktionale E-Mails versendet; ein Newsletter-Versand erfolgt nicht ohne gesonderte Einwilligung. Verarbeitete Daten: E-Mail-Adresse des Empfängers, E-Mail-Inhalt, Versand- und Zustellstatus.

    5.5 Fehlertracking

    Sentry: Zur Erkennung und Behebung technischer Fehler setzen wir Sentry ein (Functional Software, Inc., San Francisco, USA). Sentry erfasst bei Auftreten eines Fehlers: Fehlermeldung und Stack-Trace, Browsertyp und -version, Betriebssystem, URL der betroffenen Seite, anonymisierte IP-Adresse (letztes Oktett wird entfernt). Es werden keine Gehaltsdaten oder andere Inhaltsdaten an Sentry übermittelt. Die Verarbeitung dient dem berechtigten Interesse an der Aufrechterhaltung der Betriebssicherheit und Fehlerbehebung (Art. 6 Abs. 1 lit. f DSGVO). Datenschutzerklärung von Sentry: sentry.io/privacy.

    5.6 Analyse und Tracking

    Wir setzen keine Tracking-Cookies und kein Google Analytics oder vergleichbare Analyse-Dienste ein. Es erfolgt keine Weitergabe von Nutzungsdaten an Dritte zu Werbezwecken. Eine Analyse des Nutzungsverhaltens erfolgt ausschließlich serverseitig und anonymisiert zur Verbesserung der Plattform.

    6. Rechte der betroffenen Personen

    Als betroffene Person stehen Ihnen gemäß DSGVO die folgenden Rechte zu:

    6.1 Auskunftsrecht (Art. 15 DSGVO)

    Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen.

    6.2 Recht auf Berichtigung (Art. 16 DSGVO)

    Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten und unter Berücksichtigung der Verarbeitungszwecke die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

    6.3 Recht auf Löschung (Art. 17 DSGVO)

    Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

    6.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

    Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt, insbesondere wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.

    6.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

    Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die Plattform bietet hierfür eine integrierte Exportfunktion (CSV, JSON).

    6.6 Widerspruchsrecht (Art. 21 DSGVO)

    Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

    6.7 Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

    Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

    Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@klargehalt.de. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten.

    7. Auftragsverarbeitung

    Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO. Der AV-Vertrag regelt insbesondere:

    • Gegenstand und Dauer der Verarbeitung
    • Art und Zweck der Verarbeitung
    • Art der personenbezogenen Daten und Kategorien betroffener Personen
    • Pflichten und Rechte des Verantwortlichen (Kunden)
    • Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
    • Einsatz von Unterauftragsverarbeitern
    • Unterstützungspflichten bei Betroffenenrechten
    • Löschung und Rückgabe von Daten nach Vertragsende

    Der AV-Vertrag wird Kunden bei Vertragsabschluss bereitgestellt. Eine Kopie kann jederzeit unter datenschutz@klargehalt.de angefordert werden.

    Unterauftragsverarbeiter

    Folgende Unterauftragsverarbeiter werden von uns eingesetzt:

    DienstleisterZweckStandortGarantien
    Supabase Inc.Datenbank, SpeicherungFrankfurt, DE (EU)AV-Vertrag, DSGVO-konform
    Logto (self-hosted)AuthentifizierungEU-ServerSelf-hosted, keine Drittübermittlung
    Stripe Inc.ZahlungsabwicklungUSASCC, PCI DSS Level 1
    Resend Inc.Transaktionale E-MailsUSASCC, AV-Vertrag
    Functional Software (Sentry)FehlertrackingUSASCC, Datenminimierung

    8. Datensicherheit

    Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

    Zu den Maßnahmen gehören insbesondere:

    • Verschlüsselung in Transit: Sämtliche Datenübertragungen erfolgen ausschließlich über TLS 1.3 mit HSTS-Preloading. Unverschlüsselte Verbindungen werden automatisch abgelehnt.
    • Verschlüsselung at Rest: Alle gespeicherten Daten werden mit AES-256 auf Datenbankebene verschlüsselt. Automatische Schlüsselrotation ist aktiviert.
    • Multi-Faktor-Authentifizierung (MFA): Für alle Benutzerkonten wird die Aktivierung von MFA dringend empfohlen und kann vom Administrator verpflichtend gemacht werden.
    • Row Level Security (RLS): Die Mandantentrennung ist auf PostgreSQL-Datenbankebene implementiert. Jede Datenbankabfrage wird automatisch auf die Organisation des authentifizierten Benutzers gefiltert, unabhängig vom Anwendungscode.
    • Rollenbasierte Zugriffskontrolle (RBAC): Drei klar definierte Rollen (Administrator, HR-Manager, Mitarbeiter) mit unterschiedlichen Zugriffsberechtigungen, durchgesetzt auf Datenbankebene.
    • Audit-Trail: Alle sicherheitsrelevanten Aktionen (Anmeldungen, Datenänderungen, Rollenzuweisungen, Exporte) werden vollständig protokolliert und sind nicht manipulierbar.
    • Automatische Backups: Tägliche automatische Backups mit Point-in-Time Recovery. Backup-Infrastruktur ist vom Produktivsystem getrennt.
    • Session-Management: Automatische Session-Invalidierung bei Inaktivität. Kein persistentes Token-Caching im Browser.

    9. Speicherdauer

    Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

    • Vertragsdaten und Gehaltsdaten: Für die Dauer der Vertragsbeziehung zuzüglich 90 Kalendertage nach Vertragsende (Exportzeitraum). Anschließend unwiderrufliche Löschung einschließlich Backups.
    • Rechnungsdaten: 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (§257 HGB, §147 AO).
    • Audit-Logs: Für die Dauer der Vertragsbeziehung zuzüglich 1 Jahr nach Vertragsende zur Nachvollziehbarkeit.
    • Serverprotokolle: 30 Tage, danach automatische Löschung.
    • Fehlerberichte (Sentry): 90 Tage, danach automatische Löschung.
    • Daten nach Testphase ohne Konvertierung: 90 Kalendertage nach Ablauf der Testphase, danach unwiderrufliche Löschung.

    Nach Ablauf der jeweiligen Speicherdauer werden die Daten automatisch und unwiderruflich gelöscht. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden müssen, sind für den regulären Zugriff gesperrt und werden nach Ablauf der gesetzlichen Frist gelöscht.

    10. Cookies und lokale Speicherung

    Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform unerlässlich sind:

    • Session-Cookie: Zur Aufrechterhaltung der authentifizierten Sitzung. Wird beim Schließen des Browsers oder nach Ablauf der Session gelöscht.
    • CSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen.

    Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Analyse-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich, da ausschließlich technisch notwendige Cookies verwendet werden, die nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG) von der Einwilligungspflicht ausgenommen sind.

    11. Datenschutzbeauftragter

    Für Fragen zum Datenschutz und zur Ausübung Ihrer Rechte als betroffene Person wenden Sie sich bitte an:

    KITech Software UG (haftungsbeschränkt)
    Datenschutzbeauftragter
    E-Mail: datenschutz@klargehalt.de

    Wir beantworten Anfragen zum Datenschutz in der Regel innerhalb von 72 Stunden und stellen die Erfüllung Ihrer Betroffenenrechte innerhalb der gesetzlichen Frist von einem Monat sicher.

    12. Beschwerderecht bei einer Aufsichtsbehörde

    Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

    Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland, in dem der Anbieter seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten finden Sie unter: bfdi.bund.de.

    13. Änderungen dieser Datenschutzerklärung

    Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die aktualisierte Datenschutzerklärung.

    Wesentliche Änderungen dieser Datenschutzerklärung werden registrierten Kunden per E-Mail mitgeteilt. Die jeweils aktuelle Version ist unter klargehalt.de/datenschutz abrufbar.

    KITech Software UG (haftungsbeschränkt) -- Stand: März 2026