Privacy Policy / Datenschutzerklärung
Last updated: 2026-04-29 Effective: Public-Launch-Date (TBD, ~Mid-Juli 2026) Legal Entity Phase 1: Sparkpark Digital UG ("Sparkpark"), operating Waerrk as a service-product under Sparkpark legal entity until Estland-Waerrk-Company is set up post-first-revenue (siehe SPA-185). Legal Entity Phase 2: Estland-OÜ Waerrk (TBD post-Setup) — Customer-Subscriptions migrate via inter-company-transfer-process.
1. Wer wir sind
Waerrk ist eine Cross-Hierarchy Truth-Sharing-Plattform für Tech-Teams. Wir bieten eine kanonisierte, versionierte, kontextualisierte Wissensbasis mit Multi-Tenant-Architektur, EU-Souveränität und Self-Serve-Pricing.
Verantwortlicher (Phase 1): Sparkpark Digital UG Inhaber: Dustin Lundt Email: support@waerrk.com Web: https://waerrk.com
2. Welche Daten wir verarbeiten
2.1 Bei Account-Erstellung
- E-Mail-Adresse (Pflicht für Authentifizierung)
- Display-Name (optional)
- Workspace-Name (von dir gewählt)
- IP-Adresse (anonymisiert, für Sicherheit)
2.2 Bei Nutzung des Produkts
- Knowledge-Base-Inhalte (= Entries die du oder deine Team-Mitglieder erstellen)
- Workspace-Member-Beziehungen (Tier-Level, Rolle, Berechtigungen)
- Connection-Konfigurationen (Linear, GitHub, Notion, Slack etc. wenn du sie verbindest)
- Audit-Log (= wer hat was wann gemacht, für Compliance + Recovery)
2.3 Bei Bezahlung (Phase 1 via Sparkpark-Stripe-Account)
- Name
- Rechnungsadresse
- Zahlungsdaten (= verarbeitet ausschließlich von Stripe, wir sehen keine Kartendaten)
- Steuer-ID falls relevant
2.4 Bei Nutzung von AI-Features
- Suchanfragen + Knowledge-Base-Inhalte werden an Anthropic (EU-Region) gesendet
- AI-generierte Antworten werden gespeichert für Audit + Quality-Improvement
2.5 Analytics + Telemetrie
- Anonymisierte Page-Views via Plausible Analytics (EU-hosted, keine Cookies, keine Personen-Identifikation)
- Custom-Events (= signup_started, trial_started etc.) ohne PII-Daten
- Server-Logs (= Vercel + Supabase Standard-Logs) für 30 Tage Retention
3. Wo deine Daten gehostet werden (= Data-Processors)
| Service | Zweck | Region |
|---|---|---|
| Supabase | Database + Auth + Storage | EU (Frankfurt) |
| Vercel | Web-Hosting + Edge-Compute | EU-Edge-Network |
| Anthropic | AI-Features (Claude) | EU |
| Stripe | Zahlungen | US/EU (DPA mit Sparkpark) |
| Resend | Transactional Emails | EU-Region available |
| Plausible | Anonymous Analytics | EU (Germany) |
| Inngest | Background Workers | US (mit DPA, no PII processing) |
DPA (Data-Processing-Agreement) mit jedem Processor abgeschlossen.
4. Cookies + Tracking
Wir verwenden Cookies nur sparsam und kategorisiert:
4.1 Necessary (= immer aktiv)
- Auth-Session-Cookie (= damit du eingeloggt bleibst)
- Cookie-Consent-Persistence (= damit wir uns deine Wahl merken)
- CSRF-Protection-Token
4.2 Analytics (= deine Wahl)
- Plausible verwendet keine Cookies und kein Personen-Tracking — wir können das aktivieren ohne Consent
- Falls wir später Erweiterungen einsetzen die Cookies brauchen, werden sie in dieser Kategorie gelistet und brauchen explicit Opt-In
4.3 Marketing (= deine Wahl, aktuell keine)
- Aktuell setzen wir keine Marketing-Cookies ein
- Falls in Zukunft, wird hier transparent gelistet
5. Deine Rechte (DSGVO Art. 13-22)
5.1 Recht auf Auskunft (Art. 15)
Du kannst jederzeit eine Kopie aller Daten anfordern, die wir über dich gespeichert haben. Email an support@waerrk.com mit Subject "Auskunftsanfrage". Antwort innerhalb 30 Tagen.
5.2 Recht auf Berichtigung (Art. 16)
Korrigiere deine Account-Daten direkt in den Settings. Bei strukturellen Daten (= Account-Email-Change etc.) email an support@waerrk.com.
5.3 Recht auf Löschung (Art. 17 — "Right to be Forgotten")
Du kannst jederzeit deinen Account löschen lassen. Email an support@waerrk.com mit Subject "Account-Löschung". Wir löschen alle Customer-Daten innerhalb 30 Tagen.
Was wird gelöscht:
- Alle Account-Daten (Email, Display-Name, Settings)
- Alle deine Knowledge-Base-Entries (= Entries die du erstellt hast)
- Alle deine Subscription-Daten (Stripe-Customer wird deaktiviert)
- Alle deine Audit-Log-Einträge
Was bleibt:
- Aggregierte Analytics-Daten (= anonymisiert, kein Personen-Bezug)
- Compliance-Logs für 1 Jahr (= regulatorische Pflicht für Finanzbuchhaltung)
5.4 Recht auf Datenübertragbarkeit (Art. 20)
Du kannst deine Daten als JSON-Export herunterladen — direkt aus den Settings (Self-Service) oder via support@waerrk.com.
5.5 Widerspruchsrecht (Art. 21)
Bei Marketing-Kommunikation: Unsubscribe-Link in jeder Email. Bei Tracking: Cookie-Banner-Einstellung jederzeit änderbar.
5.6 Beschwerde-Recht (Art. 77)
Du kannst dich bei der zuständigen Datenschutz-Behörde beschweren:
- Deutschland: Landesbeauftragter für Datenschutz deines Bundeslands
- Sonstige EU: nationale Datenschutz-Behörde
6. Datenweitergabe an Dritte
Wir verkaufen keine Daten. Wir geben Daten nur weiter:
- An Data-Processors aus §3 (= zur Erbringung des Services)
- Wenn rechtlich verpflichtet (= Behörden-Anfrage mit gültiger Rechtsgrundlage)
- Wenn du explizit eine Connection einrichtest (= z.B. Linear-Webhook → Linear sieht relevante Daten)
7. Speicherdauer
- Account-Daten: solange der Account aktiv ist + 30 Tage post-Löschung
- Knowledge-Base-Inhalte: solange du sie behältst (du entscheidest)
- Audit-Log: 1 Jahr Retention für Compliance
- Server-Logs: 30 Tage Retention
- Analytics: aggregiert, kein Personen-Bezug, unbegrenzt
8. Multi-Tenant-Isolation
Waerrk ist Multi-Tenant: deine Daten sind technisch isoliert von anderen Customern. Per Postgres-Row-Level-Security kann niemand ausserhalb deines Workspaces deine Daten sehen — nicht andere Customer, nicht unsere Mitarbeiter (= wir haben Service-Role-Access für Support, nutzen ihn nur mit deinem expliziten Consent).
9. AI-Features + dein Content
Wenn du AI-Features verwendest (= Search, Generate, Classify):
- Dein Content wird an Anthropic-EU gesendet zur Verarbeitung
- Anthropic verarbeitet es temporär zur Antwort-Generation
- Anthropic verwendet deine Inhalte nicht für Modell-Training (per DPA)
- Wir speichern AI-Antworten zur Quality-Improvement und für Audit
10. Internationale Datenübermittlung
Phase 1: Stripe (Zahlungs-Daten) wird teilweise in den USA verarbeitet via Stripe-Standard-Contract-Clauses (SCC). Andere Daten bleiben in der EU.
Phase 2 (= Estland-Setup): alle primären Daten in EU.
11. Änderungen dieser Policy
Wir benachrichtigen Customer per Email + In-App-Banner mindestens 30 Tage vor Inkrafttreten von Material-Changes. Letzte Änderung siehe Header.
12. Kontakt
Für alle Datenschutz-Fragen:
Email: support@waerrk.com Subject-Prefix: [Privacy] für schnellere Bearbeitung
Phase 1 Verantwortlicher: Sparkpark Digital UG Dustin Lundt [Adresse TBD wenn Markenanmeldung locked]
Implementation-Notes (= for Frontend / not for Customer-View)
Diese Policy ist Initial-v1.0. Vor Public-Launch braucht sie:
- Jurist-Review (= optional, aber empfohlen für DSGVO-Compliance-Confidence)
- Sparkpark-UG offizielle Adresse in §12 nachtragen
- DPA-Documentation pro Processor (= bei Processor-Onboarding sammeln)
- Cookie-Banner-Component muss konsistent zu §4 Categorization sein
- Right-to-Erasure + Data-Export Process-Mechanik in App implementiert
Diese Policy bezieht sich auf das Pre-Launch-State. Nach Phase-2 (Estland-Setup) muss §1 + §3 + §10 angepasst werden.
References:
- DSGVO (= GDPR EU 2016/679)
- ePrivacy-Directive (Cookie-Consent)
- TMG (Telemediengesetz Deutschland Phase-1)
- Stripe-DPA: https://stripe.com/legal/dpa
- Supabase-DPA: https://supabase.com/dpa
- Vercel-DPA: https://vercel.com/legal/dpa
- Anthropic-DPA: https://www.anthropic.com/dpa
- Plausible-DPA: https://plausible.io/dpa.pdf
Lock-Date: 2026-04-29 Lock-By: Lead-Stream + Dustin (= Sparkpark-Owner)