WinNet

Zurück

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

TD Production Inh. Tim Dittmann Kaiserbachstraße 49 76829 Landau in der Pfalz E-Mail: support@winnet.app Web: winnet.app

Bei Fragen zum Datenschutz wenden Sie sich bitte jederzeit an: support@winnet.app

2. Überblick über die Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Basis der nachfolgend genannten Rechtsgrundlagen. Wir erheben keine Daten, die über den beschriebenen Zweck hinausgehen.

Diese Datenschutzerklärung gilt für: • registrierte Partner (Empfehlungsgeber) • registrierte Unternehmer (Dienstleister, Handwerksbetriebe, Arbeitgeber) • Kontaktpersonen (empfohlene Dritte, die eine Einladungs-E-Mail erhalten) • Bewerber (Personen, die sich auf Stellenanzeigen bewerben) • Besucher der Webseite winnet.app

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen: • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): z. B. für Push-Benachrichtigungen, Profilbild-Upload, Verarbeitung der Kontaktdaten einer Kontaktperson nach deren Bestätigung im Zwei-Schritt-Empfehlungsprozess • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): z. B. für Registrierung, Empfehlungs- und Provisionssystem, Mitarbeitervermittlung, Auszahlungen, Vertragsanbahnung zwischen Kontaktperson/Bewerber und Unternehmer • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): z. B. für steuerliche Meldepflichten nach PStTG/DAC7, handels- und steuerrechtliche Aufbewahrungspflichten • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): z. B. für Betrugsprävention, Plattformsicherheit, Versand der Einladungs-E-Mail im ersten Schritt des Empfehlungsprozesses, Analyse zur Verbesserung der App

4. Registrierung und Nutzerkonto

Bei der Registrierung in unserer App erheben wir folgende Daten: • Vorname und Nachname • E-Mail-Adresse • Passwort (verschlüsselt gespeichert, nicht im Klartext) • Telefonnummer (verpflichtend bei Partnern und Unternehmern) • Gewählte Rolle (Partner oder Unternehmer) • Einladungscode (sofern vorhanden) • Profilbild (optional, vom Nutzer selbst hochgeladen)

Das Profilbild wird ausschließlich zur Darstellung Ihres Profils innerhalb der WinNet-App verwendet. Der Zugriff auf die Fotobibliothek Ihres Geräts erfolgt nur nach ausdrücklicher Einwilligung. Das hochgeladene Bild wird auf unseren Servern gespeichert und ist nur für eingeloggte Nutzer sichtbar. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit durch Löschen des Profilbilds in den Profileinstellungen widerrufen werden.

Diese Daten werden zur Erstellung und Verwaltung Ihres Nutzerkontos sowie zur Abwicklung des Empfehlungs-, Cashback- und Vermittlungssystems benötigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Kontodaten werden für die Dauer des Nutzungsverhältnisses gespeichert. Nach Löschung des Kontos werden die Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Verifizierung von Unternehmern

Im Rahmen der Verifizierung von Unternehmern erheben und verarbeiten wir folgende Verifizierungsdaten: • Kopie/Foto des Personalausweises oder Reisepasses (Vorder- und Rückseite) • Gewerbeanmeldung oder vergleichbarer Nachweis der gewerblichen Tätigkeit • Firmenname, Firmenadresse und Branche • ggf. Handelsregisternummer • ggf. weitere Nachweise wie Referenzen, Leistungsnachweise oder Zertifikate

Diese Daten werden ausschließlich zur Identitätsprüfung und Verifizierung der gewerblichen Tätigkeit verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betrugsprävention und Plattformintegrität).

Speicherfristen: • Ausweisdokumente: max. 6 Monate nach Abschluss der Verifizierung • Gewerbeanmeldung: Dauer des Nutzungsverhältnisses • Sonstige Verifizierungsnachweise: max. 3 Monate nach Abschluss der Prüfung

6. Empfehlungen, Cashback und Provisionen

Im Rahmen unseres Empfehlungs- und Cashback-Systems verarbeiten wir folgende Datenkategorien:

a) Nutzungsdaten: • abgegebene Empfehlungen und Eigenanfragen • Auftragsstatus und Auftragsvolumen • Zeitstempel und Verlauf der Empfehlungsaktivitäten

b) Vergütungsdaten: • Provisionshöhe und Cashback-Beträge • Netzwerk-Pool-Gutschriften • Wallet-Guthaben und Auszahlungshistorie

c) Daten im Zwei-Schritt-Empfehlungsprozess: Im ersten Schritt verarbeiten wir ausschließlich die vom Partner eingegebene E-Mail-Adresse der Kontaktperson sowie einen einmaligen, kryptografisch gesicherten Bestätigungstoken. Diese Daten werden verwendet, um der Kontaktperson eine Einladungs-E-Mail zu senden. Im zweiten Schritt – nach freiwilliger Bestätigung durch die Kontaktperson – verarbeiten wir: • Name und Telefonnummer der Kontaktperson (selbst eingegeben) • Zeitstempel der Bestätigung • IP-Adresse zum Zeitpunkt der Bestätigung (zur Betrugsprävention und als Nachweis der Einwilligung)

Rechtsgrundlage für die Verarbeitung der E-Mail-Adresse und des Tokens im ersten Schritt ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Kontaktperson wird in der Einladungs-E-Mail gemäß Art. 14 DSGVO über die Quelle ihrer Daten und den Zweck der Verarbeitung informiert. Rechtsgrundlage für die Verarbeitung der Daten im zweiten Schritt ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

Speicherfristen: • E-Mail-Adresse und Token (unbestätigt): automatische Löschung nach 14 Tagen • Kontaktdaten nach Bestätigung (ohne Auftragsabschluss): Löschung nach 90 Tagen • Kontaktdaten bei Auftragsabschluss: Aufbewahrung gemäß gesetzlicher Pflichten (bis zu 10 Jahre) • Nachweis der Einwilligung (Zeitstempel, IP-Adresse): 3 Jahre ab Bestätigung • Nutzungsdaten (Empfehlungen, Zeitstempel): Dauer des Nutzungsverhältnisses, danach Löschung innerhalb von 30 Tagen • Vergütungsdaten (Provisionen, Cashback, Wallet, Auszahlungen): 10 Jahre gemäß §§ 147 AO, 257 HGB

7. Mitarbeitervermittlung und Bewerberdaten

Im Rahmen der Mitarbeitervermittlung verarbeiten wir folgende Daten:

a) Daten des Bewerbers (bei Selbstbewerbung): • Name, E-Mail-Adresse, Telefonnummer • Anschreiben (sofern eingereicht) • Lebenslauf (sofern hochgeladen, als Dateianhang) • Gewählte Stelle und Zeitstempel der Bewerbung

b) Daten des empfohlenen Kandidaten (bei Empfehlung durch Partner): • E-Mail-Adresse (im ersten Schritt, vor Bestätigung) • Name und Telefonnummer (nach freiwilliger Bestätigung durch den Kandidaten) • Zeitstempel der Bestätigung und IP-Adresse (als Einwilligungsnachweis)

c) Stellenanzeigen-Daten: • Stellenbezeichnung, Beschäftigungsart, Arbeitsort • Tätigkeitsbeschreibung und Anforderungen • Probezeitdauer und Vermittlungsprovision

Rechtsgrundlage für die Verarbeitung der Bewerberdaten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Für empfohlene Kandidaten gilt im ersten Schritt Art. 6 Abs. 1 lit. f DSGVO, nach Bestätigung Art. 6 Abs. 1 lit. a und b DSGVO.

Speicherfristen: • Bewerberdaten bei Ablehnung: Löschung nach 6 Monaten (Verjährungsfrist AGG) • Bewerberdaten bei Einstellung: Übergang in Personalakte des Unternehmers; WinNet löscht die Daten nach 90 Tagen nach Einstellungsbestätigung • Lebenslauf-Anhänge: Löschung nach 6 Monaten oder auf Anfrage des Bewerbers • Vermittlungsprovisionsdaten: 10 Jahre gemäß §§ 147 AO, 257 HGB

Weitergabe an Unternehmer: Bewerberdaten werden ausschließlich an den Unternehmer weitergegeben, auf dessen Stellenanzeige sich der Bewerber beworben hat oder für den die Empfehlung ausgesprochen wurde. Eine Weitergabe an andere Unternehmer oder Dritte erfolgt nicht.

8. Steuerliche Daten und Meldepflichten (PStTG/DAC7)

Zur Erfüllung unserer gesetzlichen Pflichten nach dem Plattformen-Steuertransparenzgesetz (PStTG), das die EU-Richtlinie DAC7 (Richtlinie 2021/514/EU) in deutsches Recht umsetzt, erheben und verarbeiten wir bei meldepflichtigen Partnern zusätzlich: • Steueridentifikationsnummer (Steuer-ID) • Gewerbeanmeldung oder Nachweis des Kleinunternehmerstatus (ab 2.000,00 € Jahresprovision) • Transaktionsanzahl und Gesamtvergütung pro Kalenderjahr • Wohnsitzland (für grenzüberschreitende Meldungen)

Meldepflichtig sind Partner, die im Kalenderjahr mehr als 30 Transaktionen durchführen oder Vergütungen von mehr als 2.000,00 € erhalten. Diese Daten werden gemäß Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) verarbeitet und an das Bundeszentralamt für Steuern (BZSt) übermittelt.

Betroffene Partner werden über die bevorstehende Meldung vorab informiert und erhalten eine Kopie der übermittelten Daten auf Anfrage.

Speicherdauer: Steuerliche Meldedaten werden 10 Jahre aufbewahrt (§§ 147 AO, 257 HGB).

9. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen (Verifizierungsgebühr, Provisionsabgaben durch Unternehmer) nutzen wir den Zahlungsdienstleister Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.

Bei der Nutzung von Stripe werden folgende personenbezogene Daten an Stripe übermittelt: • Name des Zahlungspflichtigen • E-Mail-Adresse • Zahlungsinformationen (z. B. Kreditkartendaten, IBAN) • Rechnungsbetrag und Transaktionsdaten • IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Rechtsgrundlage für die Datenübermittlung an Stripe ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet diese Daten als eigenverantwortliche Stelle gemäß Art. 4 Nr. 7 DSGVO.

Da Stripe seinen Sitz in den USA hat, erfolgt eine Übermittlung personenbezogener Daten in ein Drittland. Stripe hat sich zur Einhaltung des EU-US Data Privacy Framework verpflichtet und verwendet zusätzlich Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als Garantie für ein angemessenes Datenschutzniveau.

Weitere Informationen zum Datenschutz bei Stripe: https://stripe.com/de/privacy

10. Auszahlungen (PayPal)

Für die Auszahlung von Provisionen und Cashback-Beträgen an Partner nutzen wir PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg.

Bei der Auszahlung werden folgende Daten an PayPal übermittelt: • Name des Empfängers • PayPal-E-Mail-Adresse des Empfängers • Auszahlungsbetrag und Verwendungszweck

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen zum Datenschutz bei PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

11. Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen über neue Empfehlungen, Bewerbungen, Auftragsbestätigungen, Provisionen und relevante Updates. Sie können Push-Benachrichtigungen jederzeit in den Geräteeinstellungen oder in den App-Einstellungen deaktivieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Für den Versand von Push-Benachrichtigungen nutzen wir den Dienst Expo Push Notifications (Expo, Inc., 140 2nd Street, 4th Floor, San Francisco, CA 94105, USA). Dabei werden folgende Daten an die Server von Expo in den USA übermittelt: • ein gerätespezifisches Push-Token (enthält keine personenbezogenen Daten) • den Inhalt der Benachrichtigung (Titel und Nachrichtentext) • technische Metadaten (Plattform, Priorität)

Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Expo verarbeitet die Daten ausschließlich zur Zustellung der Benachrichtigung und speichert sie nicht dauerhaft. Weitere Informationen: https://expo.dev/privacy

12. E-Mail-Kommunikation

Für den Versand von transaktionalen E-Mails (z. B. Bestätigungslinks, Einladungen, Statusbenachrichtigungen, Passwort-Zurücksetzung) nutzen wir den Dienst Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA).

Dabei werden folgende Daten an Resend übermittelt: • E-Mail-Adresse des Empfängers • Name des Empfängers (sofern im E-Mail-Inhalt enthalten) • Inhalt der E-Mail • Zeitstempel des Versands

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Sicherheits- und Systembenachrichtigungen. Die Datenübermittlung in die USA erfolgt auf Grundlage von SCC gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: https://resend.com/privacy

13. Hosting und technische Infrastruktur

Unsere App und die zugehörigen Dienste werden auf Servern von Railway (Railway Corporation, 548 Market Street, Suite 45767, San Francisco, CA 94104, USA) gehostet. Folgende Daten werden auf Railway-Servern verarbeitet: • API-Anfragen und -Antworten (einschließlich IP-Adressen) • Anwendungslogs und Fehlermeldungen • serverseitige Geschäftslogik (Provisions- und Empfehlungsverarbeitung)

Die Datenbank wird auf Servern innerhalb der Europäischen Union betrieben. Personenbezogene Daten werden primär in der EU-Datenbank gespeichert.

Die Datenübermittlung an Railway in die USA erfolgt auf Grundlage von SCC gemäß Art. 46 Abs. 2 lit. c DSGVO sowie auf Grundlage des EU-US Data Privacy Framework. Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Die Datenübertragung erfolgt verschlüsselt über TLS/SSL.

14. Betrugsprävention und Plattformsicherheit

Zur Sicherung der Plattformintegrität und zur Verhinderung von Betrug und Manipulation verarbeiten wir folgende Daten: • IP-Adressen und Geräteinformationen • Nutzungsmuster und Transaktionsverhalten • Zeitstempel von Aktionen in der App • Abweichungen zwischen geschätztem und tatsächlichem Auftragsvolumen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betrugsprävention und Plattformsicherheit). Diese Daten werden für maximal 12 Monate gespeichert, sofern kein konkreter Verdachtsfall vorliegt. Bei einem konkreten Verdachtsfall können die Daten bis zur abschließenden Klärung aufbewahrt werden.

15. Übersicht der Datenempfänger und Drittlandübermittlungen

Folgende Dritte können im Rahmen der beschriebenen Zwecke Zugang zu personenbezogenen Daten erhalten:

• Stripe, Inc. (USA) – Zahlungsabwicklung; Rechtsgrundlage: SCC + EU-US DPF • PayPal (Europe) S.à r.l. et Cie (Luxemburg) – Auszahlung von Provisionen und Cashback; Rechtsgrundlage: Vertragserfüllung • Railway Corporation (USA) – Hosting der App-Server; Rechtsgrundlage: SCC + EU-US DPF • Expo, Inc. (USA) – Push-Benachrichtigungen; Rechtsgrundlage: SCC • Resend Inc. (USA) – E-Mail-Versand; Rechtsgrundlage: SCC • Bundeszentralamt für Steuern (BZSt) – Meldepflicht nach PStTG/DAC7; Rechtsgrundlage: rechtliche Verpflichtung • Registrierte Unternehmer – Empfangsberechtigte für Empfehlungen und Bewerbungen; nur die für den jeweiligen Deal relevanten Daten werden übermittelt

Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet oder der Nutzer hat ausdrücklich eingewilligt.

16. Speicherfristen im Überblick

Kontodaten: Dauer des Nutzungsverhältnisses, danach Löschung innerhalb von 30 Tagen Profilbild: Bis zur Löschung durch den Nutzer oder Kontolöschung Verifizierungsdokumente (Personalausweis): max. 6 Monate nach Abschluss der Verifizierung Gewerbeanmeldung: Dauer des Nutzungsverhältnisses Sonstige Verifizierungsnachweise: max. 3 Monate nach Abschluss der Prüfung Provisions- und Transaktionsdaten: 10 Jahre (§§ 147 AO, 257 HGB) Steuerliche Meldedaten (Steuer-ID, PStTG): 10 Jahre (§§ 147 AO, 257 HGB) Betrugspräventionsdaten: max. 12 Monate (bei Verdachtsfall länger) E-Mail-Adresse und Token (unbestätigter Empfehlungslink): automatische Löschung nach 14 Tagen Kontaktdaten empfohlener Dritter nach Bestätigung (ohne Auftragsabschluss): Löschung nach 90 Tagen Einwilligungsnachweis (Zeitstempel, IP-Adresse): 3 Jahre ab Bestätigung Bewerberdaten bei Ablehnung: Löschung nach 6 Monaten Bewerberdaten bei Einstellung: Löschung nach 90 Tagen nach Einstellungsbestätigung Lebenslauf-Anhänge: Löschung nach 6 Monaten oder auf Anfrage

17. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO) – Sie können jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen, einschließlich Empfänger, Zweck und Speicherdauer. • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird. • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen. • Recht auf Widerspruch (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen. • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) – Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@winnet.app Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.

Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Hintere Bleiche 34, 55116 Mainz Web: https://www.datenschutz.rlp.de

18. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Zu unseren Sicherheitsmaßnahmen gehören insbesondere: • Verschlüsselte Übertragung aller Daten über TLS/SSL • Verschlüsselte Speicherung von Passwörtern (bcrypt) • Zugriffsbeschränkungen auf personenbezogene Daten (Need-to-know-Prinzip) • Regelmäßige Sicherheitsupdates und Penetrationstests • Rate Limiting und Account-Lockout-Mechanismen zum Schutz vor Brute-Force-Angriffen • Automatische Löschung abgelaufener Tokens und temporärer Daten

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Über wesentliche Änderungen informieren wir Sie per E-Mail oder über die App mindestens 30 Tage vor Inkrafttreten. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

20. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an: TD Production Inh. Tim Dittmann Kaiserbachstraße 49 76829 Landau in der Pfalz E-Mail: support@winnet.app