Datenschutzerklärung

Prüfhinweis: Diese Datenschutzerklärung ist eine ausformulierte Vorlage und muss vor Veröffentlichung mit den tatsächlichen Betreiberangaben, Dienstleistern, Hosting-Standorten und Rechtsgrundlagen geprüft werden.

1. Verantwortlicher

Anakin Luke Hoffmann, Emmericher Straße 162, 47533 Kleve, Deutschland. Vertreten durch Anakin Luke Hoffmann. Kontakt: administration@zeitdock.de. Datenschutzkontakt: administration@zeitdock.de.

2. Rollen der Beteiligten

Zeitdock ist eine SaaS-Anwendung für Arbeitszeiterfassung, Abwesenheiten, Rollen/Rechte, Mitarbeiterverwaltung, Berichte, Support und optionale Zahlungs-/Auszahlungsfunktionen. Bei Beschäftigtendaten eines Kunden ist der Kunde grundsätzlich Verantwortlicher; der Betreiber verarbeitet diese Daten als Auftragsverarbeiter nach Art. 28 DSGVO. Für eigene Vorgänge wie Website, Registrierung, Verträge, Abrechnung, Support und Sicherheit ist der Betreiber selbst Verantwortlicher.

3. Datenkategorien

Verarbeitet werden je nach Nutzung Account- und Stammdaten, Firmen- und Rollendaten, Login- und Sicherheitsdaten, Arbeitszeitdaten, Pausen, Abwesenheiten, Genehmigungen, Stundenkonten, vorbereitende Payroll- und Berichtsdaten, Support- und Feedbackdaten, Audit-Logs, technische Zugriffsdaten sowie optionale Zahlungs-/Auszahlungsdaten wie Stripe-Referenzen oder PayPal-E-Mail-Adressen.

4. Zwecke

Die Verarbeitung erfolgt zur Bereitstellung der Plattform, Registrierung und Anmeldung, E-Mail-Verifizierung, Passwort-Reset, Arbeitszeit- und Abwesenheitsverwaltung, Rollen- und Rechteprüfung, Berichten und Exporten, Payroll-/Abrechnungsunterstützung, optionalen Integrationen, Support, Fehleranalyse, Missbrauchsschutz, Auditierung, IT-Sicherheit und Erfüllung vertraglicher oder gesetzlicher Pflichten.

5. Rechtsgrundlagen

Je nach Vorgang erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 lit. f DSGVO oder, bei optionalen einwilligungsbasierten Funktionen, Art. 6 Abs. 1 lit. a DSGVO. Kundendaten werden im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO verarbeitet. Für Beschäftigtendaten können zusätzlich nationale arbeitsrechtliche und beschäftigungsdatenschutzrechtliche Vorschriften relevant sein.

6. Cookies und technische Speicherung

Zeitdock verwendet technisch notwendige Cookies und vergleichbare Speichertechniken, insbesondere Session-Cookies, CSRF-Token, Sicherheits- und UI-Zustände. Marketing-Tracking ist in der Standardkonfiguration nicht vorgesehen.

7. Empfänger und Dienstleister

Daten können an Hosting- und Infrastrukturbetreiber, SMTP-/E-Mail-Dienstleister, Stripe für Abos und Rechnungen, PayPal für optionale Auszahlungen, Microsoft Teams oder Webhook-Endpunkte bei aktivierter Integration sowie an Rechts-, Steuer- oder Sicherheitsberater übermittelt werden, soweit dies erforderlich ist. Eine Weitergabe zu Werbezwecken erfolgt nicht.

8. Drittlandübermittlungen

Eine Verarbeitung außerhalb der EU/des EWR kann bei externen Dienstleistern nicht ausgeschlossen werden. In diesem Fall werden geeignete Garantien wie Standardvertragsklauseln, Angemessenheitsbeschlüsse oder zusätzliche Schutzmaßnahmen verwendet. Die konkret eingesetzten Unterauftragsverarbeiter sind separat zu dokumentieren.

9. Speicherfristen

Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Accountdaten bestehen während der Nutzung. Supporttickets werden regelmäßig bis zu drei Jahre nach Abschluss gespeichert. Audit-/Security-Logs werden regelmäßig 6 bis 24 Monate gespeichert, bei Sicherheitsvorfällen länger nach Erforderlichkeit. Vertrags- und Rechnungsdaten werden nach gesetzlichen Pflichten, regelmäßig bis zu zehn Jahre, aufbewahrt. Arbeitszeit-, Payroll- und Abwesenheitsdaten werden nach Kundenweisung und gesetzlichen Nachweis-/Aufbewahrungspflichten gelöscht oder anonymisiert.

10. Automatisierte Entscheidungen

Zeitdock trifft in der Standardkonfiguration keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Rollen, Freigaben, IP-Regeln und Sicherheitsprüfungen dienen der Zugriffskontrolle und Sicherheit.

11. Sicherheit

Zeitdock unterstützt Mandantentrennung, rollenbasierte Zugriffskontrolle, CSRF-Schutz, sichere Session-Konfiguration, Passwort-Hashing, E-Mail-Verifizierung, 2FA, Passkeys, Audit-Logs, Rate-Limiting, Upload-Beschränkungen und Backup-/Restore-Prozesse. Der Betreiber muss Hosting, Systemzugänge, Backups, Monitoring und Unterauftragsverarbeiter zusätzlich organisatorisch absichern.

12. Betroffenenrechte

Betroffene Personen haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf einer Einwilligung mit Wirkung für die Zukunft. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde. Anfragen können an administration@zeitdock.de gerichtet werden. Beschäftigte eines Kunden sollten sich grundsätzlich zuerst an ihren Arbeitgeber wenden, da dieser Verantwortlicher für Beschäftigtendaten ist.

13. Pflicht zur Bereitstellung

Für Registrierung, Vertragsabschluss und Nutzung der Anwendung sind bestimmte Daten erforderlich. Ohne diese Daten können die jeweiligen Funktionen nicht bereitgestellt werden. Optionale Integrationen können separat aktiviert oder deaktiviert werden.

14. Änderungen

Diese Datenschutzerklärung wird angepasst, wenn sich Funktionen, Dienstleister, Rechtsgrundlagen oder Prozesse ändern.