MindCheck← Zur Startseite
DSGVO · § 13 TMG · BDSG

Datenschutzerklärung

Stand: Mai 2026 · Diese Erklärung gilt für die Plattform mindcheck.cloud und alle zugehörigen Subdomains.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz- Grundverordnung (DSGVO) ist:

Hannes Weindorf
Weindorf Beratung (Einzelunternehmen)
Adalbert-Stifter-Straße 6
74629 Pfedelbach
Deutschland

Telefon: 07941 — 6 97 80 80
E-Mail: info@weindorf-beratung.de

2. Was MindCheck tut — und was uns wichtig ist

MindCheck ist eine Plattform für die psychische Gefährdungsbeurteilung nach § 5 Abs. 3 Nr. 6 ArbSchG. Arbeitgeber legen Befragungen an und verteilen einen anonymen Master-Link an ihre Belegschaft. Mitarbeitende beantworten ohne Login, ohne Cookie, ohne Identifikation.

Anonymität ist nicht nur ein Versprechen, sondern technisch durchgesetzt:

  • Ein Master-Token pro Befragung — keine personenbezogene Token-zu-Mitarbeitenden-Zuordnung wird je erzeugt oder gespeichert.
  • Keine IP-Adressen-Speicherung in Antworten. Für Rate-Limiting wird ausschließlich ein gehashter IP-Wert tagesweise gezählt — keine Klartext-Speicherung, keine Verknüpfung zu Antworten.
  • Mindestgruppenschutz ≥ 5: Auswertungen, die weniger als 5 Antworten je Auswertungseinheit (Standort, Bereich, Altersgruppe) enthalten, werden in Berichten ausgeblendet.
  • Freitext-PII-Filter: E-Mail-Adressen, Telefonnummern, Eigennamen und Selbst-Outing-Muster werden serverseitig vor der Speicherung automatisch ersetzt.

3. Welche Daten wir verarbeiten

3.1 Konto-Daten (Arbeitgeber-Account)

  • E-Mail-Adresse (für Magic-Link-Login)
  • Optional: Name und Telefon (in den Account-Einstellungen)
  • Firmenname, Branche, Mitarbeiterzahl (selbst gepflegt)
  • Konfigurierte Standorte und Abteilungen

Zweck: Bereitstellung der Plattform-Funktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Befragungs-Antworten (Mitarbeitende)

  • Antworten auf 24 standardisierte Fragen zur psychischen Belastung (GDA-orientiert, 5-stufige Likert-Skala)
  • Optionale Demografie-Angaben: Altersgruppe, Beschäftigungsdauer, Standort, Abteilung (alle Angaben freiwillig, jeweils einzeln überspringbar)
  • Optionale Freitext-Antworten (durch automatischen PII-Filter entschärft, siehe Abschnitt 2)

Anonymität: Es findet keine Zuordnung zu einzelnen Personen statt. Die Daten werden bewusst so erhoben, dass eine Re-Identifikation nicht möglich ist (Master-Token, keine IPs, keine Cookies, Mindestgruppenschutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO im Verhältnis Arbeitgeber–MindCheck (Vertragserfüllung). Mitarbeitende beantworten freiwillig im Rahmen der gesetzlich verpflichtenden Beurteilung des Arbeitgebers.

3.3 Maßnahmen-Daten

Aus den Befragungen abgeleitete Maßnahmen, die der Arbeitgeber selbst anlegt: Titel, Beschreibung, Priorität, Verantwortliche-Bezeichnung (Position, nicht zwingend Klarname), Fälligkeitsdatum, Status.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Server-Logs

Bei jedem Zugriff werden Server-Logs angelegt (Vercel-Standard): URL, Zeitstempel, Browser-Useragent, anonymisierte Region. Diese Logs werden nach 30 Tagen gelöscht und nicht mit Konto- oder Antwort-Daten verknüpft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Plattform).

4. Auftragsverarbeiter (Sub-Processors)

Wir setzen folgende Auftragsverarbeiter ein. Mit allen wurden Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen.

  • Supabase Inc. — Hosting der Datenbank und Authentifizierung. EU-Region (Frankfurt). DPA + Standardvertragsklauseln.
  • Vercel Inc. — Hosting der Frontend-Anwendung und Serverless-Funktionen. EU-Region (Frankfurt). DPA + SCC.
  • Resend (Bounce Inc.) — Versand transaktionaler E-Mails (Magic-Links, Bestätigungen, Erinnerungen). Keine Befragungs-Inhalte werden übermittelt.
  • Mistral AI SAS — KI-gestützte Auswertung der aggregierten, anonymisierten Befragungs-Ergebnisse für Maßnahmen- Vorschläge und Freitext-Cluster (sofern aktiviert). Hosting in Frankreich (EU). Nur sanitisierte, nicht-personenbezogene Daten.
  • Stripe Payments Europe Ltd. — Abwicklung von Zahlungen. Stripe verarbeitet Zahlungs- und Rechnungsdaten in eigener Verantwortung (Joint Controllership für Payment-Daten). DPA + Standardvertragsklauseln sind über die Stripe-Plattform aktiv.
  • n8n GmbH (selbst gehostet) — Workflow-Orchestrierung zwischen MindCheck, Mail-Versand und CRM-Anbindung. Hosting in der EU auf unseren eigenen Servern.
  • Hannes Weindorf UG (haftungsbeschränkt), Pfedelbach — Schwester-Gesellschaft. Bei Nutzung der Konzept-Anfrage-Funktion („VitalPro-Konzept anfragen“ im Report) werden die übermittelten Kontaktdaten an die UG weitergegeben für die anschließende Beratung. Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (DSGVO-Checkbox im Modal). Adresse: Adalbert-Stifter-Straße 6, 74629 Pfedelbach.

Eine vollständige Übersicht der Auftragsverarbeiter mit aktuellen Standorten stellen wir auf Anfrage als AVV-Dokument bereit.

5. Cookies und Tracking

Mitarbeiter-Befragungs-Strecke: Keine Cookies. Kein Tracking. Kein Local-Storage außer der Session-ID, die mit dem Schließen des Browser-Tabs verfällt.

Arbeitgeber-Bereich: Ein technisch notwendiges Session-Cookie für die Login-Funktion (Supabase Auth). Keine Tracking-, Marketing- oder Analyse-Cookies.

6. Speicherdauer

  • Befragungs-Antworten: 5 Jahre nach Abschluss der Befragung — entspricht dem empfohlenen Aufbewahrungszeitraum für PGB-Nachweise nach GDA.
  • Konto-Daten: So lange das Konto besteht. Nach Konto-Löschung 30 Tage Karenz (Rückforderbar), danach unwiderruflich gelöscht.
  • Rechnungs- und Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungsfrist nach § 257 HGB / § 147 AO).
  • Server-Logs: 30 Tage.

7. Ihre Rechte als Betroffene/r

Ihnen stehen folgende Rechte zu:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wenden Sie sich für die Wahrnehmung dieser Rechte an info@weindorf-beratung.de. Wir antworten in der Regel innerhalb von 14 Tagen.

Hinweis zu Befragungs-Antworten: Da diese aufgrund des Anonymisierungs-Konzepts keiner Person zugeordnet werden können, können wir Auskunfts- oder Löschungsanfragen zu einzelnen Antworten technisch nicht beantworten — genau das ist Ziel und Wert des Designs.

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb des EWR findet nicht statt. Alle Auftragsverarbeiter hosten die für MindCheck relevanten Daten innerhalb der EU.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, die Auftragsverarbeiter oder die Plattform-Funktionen ändern. Die jeweils aktuelle Version finden Sie immer unter mindcheck.cloud/datenschutz.

Kontakt für Datenschutz-Anfragen

Hannes Weindorf — Weindorf Beratung
Adalbert-Stifter-Straße 6, 74629 Pfedelbach
E-Mail: info@weindorf-beratung.de
Telefon: 07941 — 6 97 80 80

Datenschutzerklärung | MindCheck