Personio

Personio hat seinen Hauptsitz in München. Vertragspartnerin ist die Personio SE & Co. KG (Amtsgericht München HRA 115934, Seidlstr. 3, 80335 München, USt-IdNr. DE351718597, LEI 8945001OIB4XWY7NNA54), die zum 1. Juli 2022 aus der ursprünglichen Personio GmbH ausgegliedert wurde. Komplementärin der KG ist die Personio Group SE (Amtsgericht München HRB 281581) -- seit dem 13. Januar 2023 eine Societas Europaea; die Holding wurde seit 2014 mehrfach umfirmiert (Bladebyte UG -> Bladebyte GmbH -> Personio GmbH -> Personio Group GmbH -> Personio Group AG -> Personio Group SE). Vorstand ist Hanno F. Renner (CEO und Mitgründer); Vorsitzender des Aufsichtsrats ist Mitgründer Roman Schumacher. Die niederländische Eintragung in der Van Diemenstraat 298, Amsterdam (KvK 87101416), ist eine Zweigniederlassung der SE & Co. KG und keine eigenständige niederländische BV.

Die Exposition wird als „partial-via-subprocessors“ eingestuft. Die Vertragspartnerin Personio SE & Co. KG ist eine deutsche SE & Co. KG ohne US-Muttergesellschaft, und HR-Kundendaten werden physisch auf AWS Frankfurt (eu-central-1) im Rahmen eines Vertrags mit der AWS EMEA SARL in Luxemburg gespeichert. Die US-Vertriebstochter Personio Inc. wird im Nachgang zum angekündigten vollständigen US-Marktrückzug im Oktober/November 2025 (165 Entlassungen, davon 47 in New York) abgewickelt. Allerdings hat die übergeordnete Muttergesellschaft der EU-AWS-Vertragsentität (Amazon.com, Inc.) ihren Sitz in den USA, sodass ein CLOUD-Act-Zugriff theoretisch auch auf bei AWS gespeicherte Kundendaten reicht, selbst wenn diese über Luxemburg kontrahiert werden. AWS Bedrock (der LLM-Dienst hinter AI Assistant und Conversations Answers), Google Workspace (Unternehmens-E-Mail), Vercel (Marketing-Website) und weitere US-kontrollierte Unterauftragsverarbeiter (Atlassian hat zwar seinen Sitz in Australien, die Jira/Confluence-Cloud-Regionen liegen für die meisten Tenants jedoch in den USA) sind Teil des operativen Stacks. Eine vollständig CLOUD-Act-freie souveräne Aufstellung ist nicht verfügbar.

Personio veröffentlicht keine vollständig öffentliche, abschließende Liste der Unterauftragsverarbeiter. Die maßgebliche Liste wird im Kunden-Tenant unter Einstellungen -> Konto -> Abonnement und Abrechnung -> Datenschutzhinweise bereitgestellt. Der AVV (DPA) ist über die Trust-Center-Sitzung des Kunden unter https://trust.personio.com/ herunterladbar -- der öffentliche Trust-Center-Index zeigt die Asset-Namen (DPA, AWS Infrastructure Details, ISO/IEC 27001:2022-Zertifikat, Statement of Applicability, ISO/IEC 27017:2015-Zertifikat, Penetrationstest-Bericht, BC/DR-Dokumentation, DSGVO-TOM, Übersicht zu Security-Schulungen) an, erfordert jedoch einen SafeBase-Zugriffsprozess für den Download einzelner PDFs. Eine Drittanbieter-Spiegelung besteht über Openli (https://explore.openli.com/privacy/personio/subprocessors). Indirekt bestätigte Unterauftragsverarbeiter sind unter anderem AWS EMEA SARL (Luxemburg) sowie die übergeordnete AWS Inc. (USA), AWS Bedrock für das LLM-Hosting, Google LLC für Unternehmens-E-Mail, Atlassian, Vercel, Contentful und SafeBase selbst.

Das öffentliche Trust Center unter trust.personio.com listet ISO/IEC 27001:2022 inklusive zugehörigem Statement of Applicability, ISO/IEC 27017:2015 (Erweiterung für Cloud-Sicherheit), die technischen und organisatorischen Maßnahmen (TOM) nach DSGVO, einen externen Penetrationstest-Bericht (Cobalt oder ein vergleichbarer Drittanbieter-Tester), eine Business-Continuity-/Disaster-Recovery-Dokumentation sowie eine Übersicht zu Mitarbeiter-Security-Schulungen. SOC 2 Type II, BSI C5 und TISAX sind im öffentlichen Trust-Center-Index NICHT sichtbar und werden für dieses Vorschauprofil als UNBESTÄTIGT geführt -- ein Personio-Vertriebskontakt kann nicht gelistete Attestierungen bei Bedarf bestätigen. Der Audit-Rhythmus für ISO/IEC 27001 erfolgt jährlich durch externe Auditoren (Standard im ISO-Schema); auch der Penetrationstest findet jährlich statt.

Ja. In den Jahren 2024 und 2025 fanden drei größere Entlassungsrunden statt (Januar 2024: rund 100 Stellen in Produkt und Engineering bzw. etwa 5 %; November 2024: rund 115 Mitarbeitende; Oktober/November 2025: 165 Stellen einschließlich 47 in New York im Zuge des vollständigen US-Marktrückzugs). Die Belegschaft sank von einem Höchststand 2024 von rund 2.000 bis 2.300 auf etwa 1.200 bis 1.500 im Juli 2025. Parallel wuchs der Kundenstamm weiter: rund 3.000 Kunden 2021, über 12.000 im Jahr 2024 und etwa 15.000 in über 80 Ländern bis 2026. Personio blieb laut Berichterstattung von Contrary in Deutschland profitabel. Der US-Marktrückzug bedeutet, dass Neukundengewinnung nunmehr auf europäische Märkte beschränkt ist; bestehende US-Kunden wurden im Rahmen des Wind-Down 2025 migriert oder off-geboardet.