Zurück zur App

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Insomnia Project GmbH
Hans-Fromm-Straße 5, 01127 Dresden
E-Mail: info@insomnia-project.de
Telefon: 0173 / 458 98 92

Ansprechpartner für Datenschutzanfragen: Martin Jungnickel, Maximilian Köhler (erreichbar unter den oben genannten Kontaktdaten).

2. Überblick der Verarbeitungen

project-beat ist eine interne Plattform zur automatisierten Erkennung und Bewertung von Freelance-IT-Projektausschreibungen. Die Plattform durchsucht öffentlich zugängliche Projektbörsen, normalisiert die Ausschreibungen und erstellt automatisierte Matching-Scores gegen hinterlegte Mitarbeiterprofile.

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • § 26 Abs. 1 BDSG — Durchführung des Beschäftigungsverhältnisses. Da die Plattform ausschließlich von Beschäftigten der Insomnia Project GmbH genutzt wird, ist § 26 BDSG die primäre nationale Rechtsgrundlage für Kontoverwaltung, Mitarbeiterprofile, Matching und Feedback.
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Bereitstellung der Plattform, Authentifizierung, Profilverwaltung).
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse. Unsere berechtigten Interessen liegen in der effizienten Vermittlung von IT-Freelance-Projekten an unsere Mitarbeiter, der Optimierung unseres Matching-Algorithmus durch Nutzerfeedback, der Erfassung öffentlich zugänglicher Projektausschreibungen sowie der Gewährleistung der IT-Sicherheit (Server-Logfiles).

4. Welche Daten wir verarbeiten

4.1 Authentifizierungsdaten

Für den Login verarbeiten wir E-Mail-Adresse und ein verschlüsseltes Passwort. Die Authentifizierung erfolgt über Supabase Auth. Es werden ausschließlich funktionale Session-Cookies gesetzt — keine Tracking-Cookies, keine Analyse-Tools, keine Drittanbieter-Tracker.

4.2 Mitarbeiterprofile

Autorisierte Nutzer können Mitarbeiterprofile anlegen (Skills, Technologien, Domänen, bevorzugte Standorte, Stundensatz-Range). Diese Daten werden vom Nutzer selbst eingegeben und dienen ausschließlich dem automatisierten Matching mit Projektausschreibungen.

Optional können PDF-Lebensläufe hochgeladen werden, um Profildaten automatisch zu extrahieren. Die PDF-Dateien werden nicht dauerhaft gespeichert — sie werden kurzzeitig (unter 60 Sekunden) im Arbeitsspeicher verarbeitet, die relevanten Daten extrahiert, und anschließend verworfen.

4.3 Projektausschreibungen (gescrapte Daten)

Die Plattform erfasst öffentlich zugängliche Projektausschreibungen von IT-Freelance-Plattformen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Projektvermittlung). Eine individuelle Information der Job-Poster nach Art. 14 DSGVO erfolgt nicht (Ausnahme Art. 14 Abs. 5 lit. b — unverhältnismäßiger Aufwand bei öffentlichen Massendaten). Dabei werden ausschließlich projektbezogene Metadaten gespeichert:

  • Projekttitel und -beschreibung
  • Geforderte Skills und Technologien
  • Standort und Remote-Optionen
  • Budgetrahmen (soweit öffentlich angegeben)

Personenbezogene Daten aus Ausschreibungen (Namen, E-Mail-Adressen, Telefonnummern) werden vor der Speicherung automatisch entfernt (PII-Stripping mittels Named Entity Recognition und Regex-Filterung). Es werden keine Rohdaten der Quellplattformen gespeichert oder weitergegeben. Sollte dennoch versehentlich ein personenbezogenes Datum gespeichert werden, wird es bei Bekanntwerden unverzüglich gelöscht.

4.4 Feedback- und Interaktionsdaten

Nutzer können Match-Ergebnisse bewerten (Daumen hoch/runter), hervorheben oder ausblenden. Diese Interaktionsdaten dienen der Verbesserung der Matching-Qualität und werden dem jeweiligen Mitarbeiterprofil zugeordnet. Rechtsgrundlage: § 26 Abs. 1 BDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO. Zur Löschung bei Kontolöschung siehe Ziffer 8.

4.5 Server-Logfiles

Beim Zugriff auf die Plattform werden automatisch folgende Daten in Server-Logfiles erfasst:

  • IP-Adresse des zugreifenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und Statuscode
  • Browser-Typ und Betriebssystem

Frontend-Logs werden durch Vercel Inc. (USA, EU-Server) erfasst; Backend-Logs werden auf dem Hetzner-Server (Deutschland, Falkenstein/Nürnberg) rotierend geschrieben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse). Die Logfiles werden nach 30 Tagen automatisch gelöscht und nicht mit anderen Datenquellen zusammengeführt.

5. Auftragsverarbeiter und Drittanbieter

5.1 Supabase (Datenbank & Authentifizierung)

Wir nutzen Supabase Inc. (USA) für Datenbankhaltung und Authentifizierung. Supabase verarbeitet Daten auf Servern innerhalb der EU (Frankfurt/Main). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht. Weitere Informationen: supabase.com/privacy

5.2 Vercel (Frontend-Hosting)

Das Frontend wird über Vercel Inc. (USA) gehostet. Es werden keine personenbezogenen Daten an Vercel übermittelt, die über Standard-Webserver-Logs (IP-Adresse, User-Agent, Zeitstempel) hinausgehen. Die Verarbeitung erfolgt auf Basis des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: vercel.com/legal/privacy-policy

5.3 Hetzner (Backend-Hosting)

Das Backend wird auf einem dedizierten Server der Hetzner Online GmbH (Deutschland) betrieben. Hetzner verarbeitet Daten ausschließlich auf Servern in Deutschland (Falkenstein/Nürnberg). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht. Weitere Informationen: hetzner.com/de/legal/privacy-policy

5.4 Sub-Auftragsverarbeiter

Supabase und Vercel setzen eigene Sub-Auftragsverarbeiter ein (z.B. Cloud-Infrastruktur-Anbieter). Für Änderungen des Sub-Prozessor-Kreises haben wir eine allgemeine Vorab-Genehmigung gemäß Art. 28 Abs. 2 Satz 2 DSGVO erteilt und behalten uns ein Widerspruchsrecht mit Kündigungsoption vor. Die jeweils aktuellen Sub-Prozessor-Listen sind über die oben verlinkten Datenschutzseiten der Anbieter einsehbar.

6. Datenübermittlung in Drittländer

Supabase Inc. und Vercel Inc. sind US-amerikanische Unternehmen. Die Datenverarbeitung durch Supabase erfolgt auf EU-Servern (Frankfurt/Main). Bei Vercel können Edge- und Server-Logfiles auch in den USA verarbeitet werden.

Der Transfer personenbezogener Daten in die USA erfolgt je Dienstleister auf unterschiedlichen Grundlagen:

  • Vercel Inc. (Covina, CA) ist aktiver Teilnehmer des EU-US Data Privacy Framework (DPF) (Original- Zertifizierung 20.06.2019, aus Privacy Shield übernommen), der UK Extension zu EU-US DPF (seit 06.05.2024) und des Swiss-US DPF (seit 20.06.2019). Die nächste Rezertifizierung ist zum 29.04.2026 fällig. Grundlage: Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023. Ergänzend gelten EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) Modul 2 nach Durchführungsbeschluss (EU) 2021/914. Verifikation: dataprivacyframework.gov/list.
  • Supabase Inc. ist nach derzeitigem Stand nicht unter dem DPF zertifiziert. Die Drittlandübermittlung erfolgt ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCCs) Modul 2 nach Durchführungsbeschluss (EU) 2021/914, vereinbart im Supabase Data Processing Addendum, ergänzt um die technische und organisatorische Maßnahme der EU-Server-Bindung (Datenbank-Region Frankfurt/Main), die einen laufenden Datentransfer in die USA im Normalbetrieb verhindert.

7. Cookies und Tracking

project-beat verwendet ausschließlich funktionale Session-Cookies für die Authentifizierung. Diese Cookies sind technisch notwendig und fallen unter § 25 Abs. 2 Nr. 2 TDDDG (ehemals TTDSG). Eine Einwilligung ist hierfür nicht erforderlich.

Wir setzen keine Analyse-Tools, Tracking-Pixel, Marketing-Cookies oder Social-Media-Plugins ein.

8. Speicherdauer und Löschung

  • Projektausschreibungen: Automatische Archivierung nach 21 Tagen. Projekte mit Nutzer-Feedback werden nach 90 Tagen archiviert. Archivierte Ausschreibungen werden nach 180 Tagen endgültig und unwiderruflich gelöscht (Gesamtlebensdauer bei Feedback 270 Tage).
  • Mitarbeiterprofile: Werden für die Dauer des Beschäftigungsverhältnisses gespeichert, zuzüglich 3 Monate Kulanz-Sperrfrist zur Streitklärung. Bei Inaktivität (> 12 Monate kein Login) erfolgt automatische Deaktivierung, Löschung nach weiteren 90 Tagen. Bei Profil-Löschung werden zugehörige Match-Ergebnisse innerhalb von 30 Tagen kaskadierend mitgelöscht.
  • Feedback- und Bewertungsdaten: Bei Kontolöschung wird die Profil-Zuordnung des Feedbacks entfernt; nur aggregierte, nicht re-identifizierbare Posting-Counter bleiben für die Qualitätssicherung des Matching-Algorithmus erhalten (Art. 17 Abs. 3 lit. d DSGVO analog). Freitext-Kommentare werden bei Kontolöschung vollständig entfernt.
  • Authentifizierungsdaten: Session-Tokens werden nach 30 Tagen gelöscht. Konto-Stammdaten werden 90 Tage nach Kontoschließung entfernt.
  • PDF-Uploads: Werden nicht dauerhaft gespeichert, sondern nur temporär (unter 60 Sekunden) im Arbeitsspeicher verarbeitet.
  • Server-Logfiles: 30 Tage rotierend, anschließend automatische Löschung.

9. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — inkl. des internen Entscheidungs-Protokolls (decision_log) zu Ihrer Person
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Eingreifen einer natürlichen Person / Anfechtung von Entscheidungen (Art. 22 Abs. 3 DSGVO) — jede Vermittlungs-Entscheidung wird revisionssicher protokolliert und kann auf Wunsch überprüft werden

Richten Sie Ihre Anfragen an: info@insomnia-project.de

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5, 01067 Dresden
www.saechsdsb.de

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Übertragung via TLS/SSL
  • Row Level Security (RLS) auf Datenbankebene
  • API-Authentifizierung mittels HMAC-basierter Schlüsselprüfung
  • Regelmäßige Sicherheitsaudits und Abhängigkeitsprüfungen
  • Automatisierte PII-Entfernung vor Datenspeicherung

11. Automatisiertes Matching und Profiling

project-beat setzt ein automatisiertes Matching-System ein, das Ihre selbst eingegebenen Profilangaben (Skills, Technologien, Domänen, Standortpräferenzen) mit gescrapten Projektmetadaten abgleicht und eine numerische Relevanz-Bewertung (Score) sowie eine Ähnlichkeits-Einstufung („Hohe / Mittlere / Geringe Ähnlichkeit“) erstellt. Rechtsgrundlage: § 26 Abs. 1 BDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

Dies dient ausschließlich als Entscheidungsvorbereitungzur Priorisierung der Anzeige. Die Ähnlichkeits-Einstufung wird nicht mehr als vorentscheidende Kategorie dargestellt; sie ist eine visuell gleichgewichtete Hilfsinfo. Die Standard-Sortierreihenfolge ist chronologisch nach Eingang; eine Sortierung nach Score ist optional und muss aktiv gewählt werden. Kein Projekt wird vom Zugriff ausgeschlossen — alle Ausschreibungen bleiben unabhängig von Score oder Einstufung sichtbar.

Die endgültige Entscheidung über eine Projekt-Vermittlung trifft stets ein menschlicher Entscheider (Geschäftsführung) und wird revisionssicher mit Score-Snapshot, Ähnlichkeits-Snapshot und Freitext-Begründung in einem internen Entscheidungs-Protokoll (decision_log) dokumentiert. Dies setzt Art. 14 EU AI Act (menschliche Aufsicht) und Art. 22 Abs. 3 DSGVO (Recht auf Eingreifen einer natürlichen Person) um. Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung wird nicht getroffen.

Die Matching-Logik basiert auf semantischer Ähnlichkeit (Textembeddings), Skill-Übereinstimmung und konfigurierbaren Gewichtungsfaktoren. Eine detaillierte Aufschlüsselung der Score-Komponenten (matched_skills, gate_passed, angewandte Boosts) wird für jedes Ergebnis im Dashboard angezeigt (Art. 15 Abs. 1 lit. h DSGVO — Auskunft über die Logik des Profilings).

Widerspruchsrecht: Sie können jederzeit Widerspruch gegen das Scoring Ihres Profils einlegen (Art. 21 DSGVO). Bei Widerspruch erfolgt die Projekt-Vermittlung ausschließlich manuell ohne automatisiertes Scoring. Zusätzlich können Sie eine menschliche Überprüfung einzelner Score-Ergebnisse anfordern (info@insomnia-project.de).

12. Bereitstellung personenbezogener Daten

Die Bereitstellung Ihrer Authentifizierungsdaten (E-Mail-Adresse, Passwort) ist für die Nutzung der Plattform erforderlich. Ohne diese Daten kann kein Nutzerkonto angelegt und der Dienst nicht erbracht werden.

Die Eingabe von Profildetails (Skills, Technologien, Domänen, Standorte) ist für den Kernzweck der internen Projektvermittlung erforderlich; ohne Profilangaben kann kein automatisiertes Matching durchgeführt werden. Die Angabe eines Stundensatz-Rahmens ist zur Budgetabgleichsfunktion vorgesehen, jedoch nicht zwingend — Nichtangabe hat keine arbeitsrechtlichen Nachteile und führt lediglich dazu, dass Budgetabgleiche entfallen.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.