Verantwortliche Stelle und Datenschutzbeauftragte
Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO ist die Workheld GmbH, Rotensterngasse 5, 1020 Wien, Österreich, E-Mail: hallo@workheld.com.
Datenschutzbeauftragte: Dipl.-Inf. Christine Geier, MBA, erreichbar über die Workheld GmbH (postalisch unter o.g. Anschrift, per E-Mail unter hallo@workheld.com mit dem Betreff „Datenschutz“).
Stand: 13. Mai 2026
Diese Seite beinhaltet die Datenschutzerklärung für die Workheld Plattform inklusive der Web-Applikation, der Desktop-Applikation und der mobilen Applikation. Die Datenschutzerklärung der Website workheld.com ist gesondert unter workheld.com/impressum/ abrufbar.
Sicherheit und Anonymität
Der Schutz personenbezogener Daten ist Workheld ein wichtiges Anliegen. Daher werden die personenbezogenen Daten, die bei der Nutzung der Workheld Plattform erhoben werden, gemäß den anwendbaren datenschutzrechtlichen Bestimmungen verarbeitet. Workheld hat technische und organisatorische Maßnahmen getroffen, um die Vorschriften über den Datenschutz einzuhalten und die anvertrauten Daten zu schützen.
Allgemeines und Rechtsgrundlagen
Die Nutzung der Workheld Plattform setzt eine Registrierung voraus, die in der Regel über den jeweiligen Unternehmensadministrator des Kunden erfolgt. Die Verarbeitung personenbezogener Daten der Nutzer stützt sich überwiegend auf die folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Erforderlichkeit zur Erfüllung des Vertrags zwischen Workheld und dem Kunden bzw. zur Durchführung vorvertraglicher Maßnahmen (z. B. Bereitstellung der Plattform, Authentifizierung, Auftragsabwicklung).
- Art. 6 Abs. 1 lit. f DSGVO – überwiegende berechtigte Interessen von Workheld, insbesondere an einem stabilen, sicheren und nutzerfreundlichen Betrieb der Plattform sowie an der Aufdeckung und Abwehr missbräuchlicher Nutzung.
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Verpflichtungen, denen Workheld unterliegt (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, soweit ausdrücklich darauf hingewiesen wird (z. B. Newsletter-Versand). Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO); ein Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt.
Soweit Workheld personenbezogene Daten von Endnutzern im Auftrag eines Kunden verarbeitet, geschieht dies auf Grundlage einer Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO; verantwortlich im Sinne der DSGVO ist in diesen Fällen der Kunde. Diese Datenschutzerklärung bezieht sich auf die Verarbeitungen, für die Workheld selbst Verantwortlicher ist.
Sicherheit in Microsoft Azure West Europe
Die Workheld Plattform wird auf der Cloud-Plattform Microsoft Azure in der Region West Europe betrieben. Die zugrundeliegenden Rechenzentren befinden sich in den Niederlanden. Weitere Informationen zur Plattform: azure.microsoft.com; Sicherheitsinformationen: microsoft.com/en-us/trust-center.
Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Bei der Nutzung der Workheld Plattform werden folgende Nutzergruppen unterschieden:
Registrierte Nutzer: Mitarbeiter und autorisierte Vertreter von Kunden bzw. Partnerunternehmen. Die Registrierung erfolgt in der Regel durch den jeweiligen Unternehmensadministrator.
Webseitenbesucher: Personen, die die Webseite von Workheld besuchen, ohne sich zu registrieren (siehe Datenschutzerklärung dieser Website unter workheld.com/impressum/).
Im Rahmen der Registrierung werden folgende Daten erhoben: Vorname, Nachname, E-Mail-Adresse, Telefonnummer (optional), Unternehmenszugehörigkeit sowie Rolle bzw. Funktion im Unternehmen.
Verarbeitungszwecke, Rechtsgrundlagen und Speicherdauern im Überblick
| Verarbeitung | Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Account-Anlage und Plattform-Nutzung | Stammdaten (Name, E-Mail, Telefon, Unternehmen, Rolle), Login-Daten | Bereitstellung der Plattform, Authentifizierung, Berechtigungssteuerung | Art. 6 Abs. 1 lit. b DSGVO | Für die Dauer des Vertragsverhältnisses; nach Schließung des Accounts werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen |
| Abrechnung und Buchhaltung | Rechnungs- und Vertragsdaten | Erfüllung steuer- und handelsrechtlicher Pflichten | Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 132 BAO, § 212 UGB | 7 Jahre ab Ende des jeweiligen Wirtschaftsjahres |
| Server-Logs und Mobile-Client-Logs | siehe Tabelle im Abschnitt „Erstellung anonymer und pseudonymer Nutzungsprofile“ | Stabiler Betrieb, Fehleranalyse, Sicherheits-Monitoring | Art. 6 Abs. 1 lit. f DSGVO (überwiegendes berechtigtes Interesse an Stabilität und Sicherheit) | Server-Logs in der Regel max. 30 Tage; sicherheitsrelevante Logs bis zu 12 Monate |
| Crash- und Error-Reporting (Sentry) | Geräte- und Sitzungsinformationen, Fehlerprotokolle, Pseudonyme; sendDefaultPii: false | Auffindung und Behebung technischer Fehler | Art. 6 Abs. 1 lit. f DSGVO | Bis zu 90 Tage |
| Produkt-Analytics (Mixpanel) | Pseudonyme Nutzungsdaten | Verbesserung der Plattform, Feature-Priorisierung | Art. 6 Abs. 1 lit. f DSGVO | Bis zu 12 Monate |
| Newsletter und Marketing-Kommunikation (HubSpot) | Klarname, E-Mail-Adresse, Interaktionsdaten | Versand von Newslettern, Produktinformationen, Veranstaltungseinladungen | Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 174 TKG 2021 (Einwilligung) | Bis zum Widerruf der Einwilligung |
| Missbrauchsprüfung und Sperrung | Eingaben, Login-Verhalten, Geräte-Identifikatoren | Verhinderung, Aufdeckung und Behebung verbotener oder rechtswidriger Aktivitäten | Art. 6 Abs. 1 lit. f DSGVO | Bis zur abschließenden Klärung des Vorgangs, längstens 12 Monate |
Erstellung anonymer und pseudonymer Nutzungsprofile
Workheld erstellt anonyme und pseudonyme Nutzungsprofile zur Verbesserung der Plattform. Dabei werden folgende Daten in Server-Logs und Mobile-Client-Logs erfasst:
| Datentyp | Server-Log | Mobile-Client-Log |
|---|---|---|
| Datum/Uhrzeit | Ja | Ja |
| IP-Adresse | Ja | Nein |
| URL/Pfad | Ja | Ja |
| HTTP-Statuscode | Ja | Nein |
| Browser-Typ | Ja | Nein |
| Betriebssystem | Ja | Ja |
| Gerätetyp | Nein | Ja |
| App-Version | Nein | Ja |
| Referrer-URL | Ja | Nein |
| User-ID (pseudonym) | Ja | Ja |
Außerdem wird in der Workheld Plattform (Web-Applikation, Mobile Applikation und Backend-Services) das Crash- und Error-Reporting-Service „Sentry“ von Functional Software, Inc. (EU-Hosting) eingebunden, welches zusätzlich zu vielen in der Tabelle oben genannten Daten weitere Diagnosedaten speichert.
In der Web-Applikation werden zusätzlich folgende Funktionen eingesetzt:
- Session Replay: Anonymisierte Aufzeichnung von Benutzerinteraktionen (DOM-Snapshots) zur Fehleranalyse. Texteingaben und personenbezogene Inhalte werden dabei automatisch maskiert. Die Aufzeichnung erfolgt stichprobenartig (10 % der Sitzungen) sowie bei 100 % der Sitzungen, in denen ein Fehler auftritt.
- Performance Tracing: Erfassung von Ladezeiten und Performancedaten zur Optimierung der Plattform (stichprobenartig bei 20 % der Sitzungen).
- Browser Profiling: Erfassung technischer Leistungsprofile des Browsers zur Identifikation von Performance-Engpässen (stichprobenartig bei 20 % der Sitzungen).
In der Mobilen Applikation werden zusätzlich folgende gerätespezifische Daten erfasst: Device-Type, Device-Id, Device-Language, Device-Network und StoreRegion.
Die Übermittlung personenbezogener Daten (PII) an Sentry ist deaktiviert (sendDefaultPii: false). Sämtliche Daten werden auf EU-Servern verarbeitet (ingest.de.sentry.io) und nicht mit personenbezogenen Daten zusammengeführt. Ein Rückschluss auf die Person des Nutzers ist anhand dieser Daten nicht möglich.
Zweckbindung
Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten erfolgt ausschließlich zu den in dieser Datenschutzerklärung beschriebenen Zwecken. Eine über diese Zwecke hinausgehende Verarbeitung erfolgt nur, wenn hierfür eine eigene Rechtsgrundlage besteht.
Weitergabe von personenbezogenen Daten an Dritte
Workheld verkauft keine personenbezogenen Daten an Dritte. Es erfolgt keine Weitergabe personenbezogener Daten zu Werbe- oder Marketingzwecken an Dritte.
Mit der Registrierung ermächtigt der Nutzer Workheld, dem jeweiligen Unternehmensadministrator Zugang zu den im Rahmen der Nutzung der Plattform anfallenden Daten zu gewähren. Der Unternehmensadministrator kann diese Daten im Rahmen seiner Befugnisse einsehen und verwalten.
Soweit Workheld Dritte mit der Verarbeitung von Daten im Rahmen einer Auftragsverarbeitung beauftragt, unterliegen diese denselben Datenschutzstandards wie Workheld selbst (siehe Abschnitt „Einsatz von Drittanbietern und Sub-Auftragsverarbeitern“).
Workheld verwendet zum Versand von Newslettern, Informationsmails und Marketing-Kommunikation die CRM- und Marketing-Plattform HubSpot von HubSpot, Inc. HubSpot verarbeitet die Daten ausschließlich für und im Auftrag von Workheld; eine Datenverarbeitung durch HubSpot für eigene Zwecke erfolgt nicht. Wenn sich der Nutzer auf der Workheld Plattform registriert oder den Newsletter abonniert, werden die im Rahmen der Registrierung angegebenen Daten (Klarname und E-Mail-Adresse) an HubSpot übertragen und dort gespeichert. HubSpot bietet umfangreiche Analysemöglichkeiten darüber, wie Newsletter geöffnet und benutzt werden. Weitere Informationen: legal.hubspot.com/privacy-policy.
Einsatz von Drittanbietern und Sub-Auftragsverarbeitern
Zur Erbringung der Workheld-Plattform und der damit verbundenen Dienste setzt Workheld folgende Drittanbieter ein, die personenbezogene Daten im Auftrag von Workheld verarbeiten. Mit allen Anbietern bestehen Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO oder gleichwertige vertragliche Garantien.
| Anbieter | Zweck | Verarbeitete Daten | Standort | Übermittlungsmechanismus |
|---|---|---|---|---|
| Microsoft Ireland Operations Limited (Azure) | Cloud-Hosting der Plattform | Alle Plattformdaten | EU (West Europe, Niederlande) | Art. 28 DSGVO; bei Zugriffen aus Drittländern ergänzend SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| Okta, Inc. (Auth0) | Authentifizierung und Benutzerverwaltung | Login-Daten, E-Mail-Adressen, Session-Daten | EU-Hosting; Mutterunternehmen USA | EU-U.S. Data Privacy Framework (DPF); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| Functional Software, Inc. (Sentry) | Crash- und Error-Reporting | Gerätedaten, User-IDs (pseudonym), Session-Informationen, Fehlerprotokolle | EU-Hosting (ingest.de.sentry.io); Mutterunternehmen USA | EU-U.S. Data Privacy Framework (DPF); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| Twilio Ireland Limited (SendGrid) | Transaktionale E-Mails (z. B. Benachrichtigungen) | E-Mail-Adressen, Namen | EU; Mutterunternehmen Twilio Inc., USA | EU-U.S. Data Privacy Framework (DPF); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| HubSpot, Inc. | Newsletter und Marketing-Kommunikation | Klarname, E-Mail-Adresse, Nutzungsverhalten | EU-Hosting; Mutterunternehmen USA | EU-U.S. Data Privacy Framework (DPF); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| Mixpanel, Inc. | Produkt-Analytics | Pseudonymisierte Nutzungsdaten | EU-Hosting; Mutterunternehmen USA | EU-U.S. Data Privacy Framework (DPF); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| 84codes AB (CloudAMQP) | Message-Queue-Service | Technische Nachrichtendaten zwischen Services | EU (Schweden) | Art. 28 DSGVO |
| Microsoft Ireland Operations Limited (Azure OpenAI Service) | AI-Chatbot innerhalb der Plattform; Modellaufrufe ohne Trainingsverwendung der übermittelten Daten | Nutzeranfragen im Chat-Kontext | EU; OpenAI-Modelle werden in der gleichen Region innerhalb des Microsoft-Tenants gehostet, eine Weitergabe an OpenAI Inc. erfolgt nicht | Art. 28 DSGVO; bei Zugriffen aus Drittländern ergänzend SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| HiveMQ GmbH | MQTT-Broker für IIoT-Telemetrie (Workheld Sense / Luna) | Keine personenbezogenen Daten | EU (Microsoft Azure West Europe, selbst gehostet durch den Auftragsverarbeiter) | Lizenzierte Software, selbst gehostet; HiveMQ GmbH hat keinen Zugriff auf die verarbeiteten Daten |
| TigerData Inc. (TimescaleDB) | Speicherung von Zeitreihen-Daten | Keine personenbezogenen Daten | EU (Microsoft Azure West Europe, selbst gehostet durch den Auftragsverarbeiter) | Lizenzierte Software, selbst gehostet; TigerData Inc. hat keinen Zugriff auf die verarbeiteten Daten |
Hinweis zur Klassifikation: HiveMQ GmbH und TigerData Inc. sind in obiger Tabelle aus Gründen der Transparenz aufgeführt, obwohl sie rechtlich keine Sub-Auftragsverarbeiter im Sinne von Art. 28 DSGVO darstellen. Beide stellen ausschließlich lizenzierte Software bereit, die der Auftragsverarbeiter innerhalb seiner eigenen Microsoft-Azure-Umgebung (West Europe) betreibt; eine eigene Datenverarbeitung durch diese Anbieter findet nicht statt.
Hinweis gemäß Art. 50 Abs. 1 EU-KI-Verordnung
Bei Nutzung der Workheld-AI-Funktionalität — insbesondere des innerhalb der Plattform eingebundenen Chatbots auf Basis von Microsoft Azure OpenAI Service — interagieren Sie mit einem KI-System im Sinne von Verordnung (EU) 2024/1689 (KI-Verordnung). Die KI-generierten Ergebnisse können fehlerhaft sein und ersetzen keine fachliche Prüfung durch berechtigte Mitarbeiter. Eingaben werden nicht zum Training der zugrunde liegenden Sprachmodelle verwendet. Die Verarbeitung erfolgt ausschließlich innerhalb des Microsoft-Azure-Tenants von Workheld in der Region West Europe.
Datenflüsse bei Workheld Sense
In der Komponente Workheld Sense werden Maschinen- und Anlagendaten aus dem OT-Netzwerk des Kunden über die Edge-Komponente Luna in die Workheld-Cloud übertragen. Der Datenfluss erfolgt ausschließlich ausgehend von Luna über eine TLS-gesicherte MQTT-Verbindung zu dem in Microsoft Azure (West Europe) betriebenen HiveMQ-MQTT-Broker. Eine eingehende Verbindung von Workheld in das Kundennetzwerk besteht nicht.
Diese Maschinen- und Anlagendaten sind grundsätzlich nicht personenbezogen. Soweit Bediener-Identifikatoren, RFID-Authentifizierungen oder Schichtzuordnungen verarbeitet werden, gelten für diese Anteile die Bestimmungen der Auftragsverarbeitungsvereinbarung (siehe workheld.com/auftragsverarbeitung).
Die zentrale Speicherung erfolgt in der Workheld-Cloud (Microsoft Azure West Europe). Luna speichert lokal nur temporäre Puffer und Konfigurationsdaten; eine dauerhafte Speicherung personenbezogener Daten auf der Edge-Hardware findet nicht statt.
Soweit Anbieter außerhalb des EWR ansässig sind oder ein US-Mutterunternehmen aufweisen, stützt Workheld die Übermittlung auf einen Angemessenheitsbeschluss der Europäischen Kommission (insbesondere das EU-U.S. Data Privacy Framework, Beschluss (EU) 2023/1795) oder auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, jeweils ergänzt um geeignete zusätzliche Maßnahmen (Schrems II, EuGH C-311/18).
Externe Entwicklungspartner
Workheld setzt zur Weiterentwicklung und Wartung der Plattform externe Entwicklungspartner ein. Diese arbeiten unter strikter Weisungsbindung, Geheimhaltungsvereinbarungen (NDA) und den Vorgaben des Informationssicherheits-Managementsystems (ISMS) von Workheld. Der Zugriff auf personenbezogene Daten erfolgt ausschließlich im erforderlichen Umfang und unter denselben Sicherheitsstandards, die für eigene Mitarbeiter gelten.
Einsatz von Cookies
Innerhalb der Workheld Plattform werden ausschließlich technisch notwendige Cookies und vergleichbare Technologien (z. B. Session-Cookies, localStorage für Authentifizierungs-Tokens) eingesetzt. Eine Einwilligung gemäß § 165 Abs. 3 TKG 2021 ist hierfür nicht erforderlich; das Setzen ist zur Bereitstellung der Plattform unbedingt notwendig (§ 165 Abs. 3 letzter Satz TKG 2021).
Ihre Rechte als Betroffene
Im Hinblick auf die Verarbeitung personenbezogener Daten haben Sie die folgenden Rechte gegenüber Workheld:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)
- Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an hallo@workheld.com oder schriftlich an: Workheld GmbH, z.H. Datenschutzbeauftragte, Rotensterngasse 5, 1020 Wien, Österreich. Sofern Workheld an Ihrer Identität begründete Zweifel hat, kann Workheld zusätzliche Angaben zur Identifikation verlangen (Art. 12 Abs. 6 DSGVO). Workheld antwortet auf Anträge in der Regel innerhalb eines Monats; in komplexen Fällen kann diese Frist gemäß Art. 12 Abs. 3 DSGVO um zwei weitere Monate verlängert werden.
Soweit Workheld personenbezogene Daten im Auftrag eines Kunden verarbeitet, richten Sie Ihren Antrag bitte direkt an den jeweiligen Kunden als Verantwortlichen; Workheld unterstützt den Kunden in diesem Fall gemäß Art. 28 Abs. 3 lit. e DSGVO bei der Erfüllung der Betroffenenanfragen.
Zuständige Aufsichtsbehörde in Österreich ist die Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, www.dsb.gv.at.
Derzeitiger Stand der Technik
Workheld setzt technische und organisatorische Sicherheitsmaßnahmen ein, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Die Sicherheitsmaßnahmen werden entsprechend dem Stand der Technik fortlaufend weiterentwickelt.
Aktualisierung dieser Datenschutzerklärung
Workheld passt diese Datenschutzerklärung an, wenn dies aufgrund geänderter Verarbeitungstätigkeiten, neuer Dienstleister oder rechtlicher Vorgaben erforderlich ist. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung. Über wesentliche Änderungen – insbesondere solche, die sich auf bereits erteilte Einwilligungen oder die Ausgestaltung der Verarbeitung auswirken – informiert Workheld die Nutzer in geeigneter Form (z. B. per E-Mail oder als In-App-Hinweis), bevor die Änderungen wirksam werden.
Newsletter
Wenn der Nutzer den Newsletter von Workheld abonniert, werden die bei der Registrierung angegebenen Daten (Klarname und E-Mail-Adresse) zur Versendung des Newsletters verwendet. Der Versand erfolgt ausschließlich auf Grundlage der erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 174 TKG 2021). Der Nutzer kann den Newsletter jederzeit abbestellen; ein Abmeldelink befindet sich in jedem Newsletter. Alternativ kann die Abmeldung per E-Mail an hallo@workheld.com erfolgen.
Auftragsverarbeitungsvereinbarung (AVV)
Soweit Workheld personenbezogene Daten im Auftrag eines Kunden verarbeitet, erfolgt dies auf Grundlage einer Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Unsere AVV-Vorlage ist unter workheld.com/auftragsverarbeitung öffentlich einsehbar und steht dort auch als Word-Dokument zum Download bereit.