Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und weiterer nationaler Datenschutzgesetze ist der Arbeitgeber, der diese Anwendung zur Einsatzplanung seiner Mitarbeiter einsetzt:

[RWD SICHERHEIT – VOLLSTÄNDIGE FIRMIERUNG]
[STRASSE UND HAUSNUMMER]
[PLZ ORT]
Deutschland
E-Mail: kontakt@rwd-sicherheit.de

2. Auftragsverarbeiter

Die technische Bereitstellung und Wartung dieser Anwendung erfolgt im Auftrag des Verantwortlichen durch:

Maxim Rehne
[STRASSE UND HAUSNUMMER]
[PLZ ORT]
E-Mail: maximrehne@gmail.com

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Auftragsverarbeiter ist ausschließlich auf dokumentierte Weisung des Verantwortlichen tätig.

3. Weitere Auftragsverarbeiter (Hosting & E-Mail)

Für den Betrieb der Server-Infrastruktur sowie den Versand von System-E-Mails wird folgender Dienstleister eingesetzt:

Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland.
Die Server befinden sich in Deutschland. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor. Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU / des EWR findet nicht statt.

4. Kategorien verarbeiteter Daten

4.1 Stamm- und Kontaktdaten

• Vor- und Nachname, E-Mail-Adresse
• Rolle (Admin, Büro, Regionalleiter, Marktleiter, Mitarbeiter)
• Status (aktiv, inaktiv, gelöscht)
• Zugeordnete Einsatzobjekte (sogenannte „Heim-Objekte“)

4.2 Authentifizierungsdaten

• Passwort (ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext)
• Token-Versionierung, Zähler fehlgeschlagener Anmeldeversuche, Sperrzeitpunkt bei Kontosperrung

4.3 Einsatz- und Arbeitszeitdaten

• Dienstpläne und Schichten (Datum, Objekt, Uhrzeit, Pausenminuten)
• Stammschichten (wiederkehrende Zuweisungen)
• Stundenzettel und Arbeitszeiterfassung (Einträge, Einreichung, Freigabe)
• Urlaubsanträge (Zeitraum, Anzahl Werktage, Status)
• Krankmeldungen

4.4 Standortdaten (GPS-Stempel)

Beim Ein- und Ausstempeln an einer Schicht wird auf Wunsch der aktuelle Standort (Breiten- und Längengrad) erfasst. Die Erfassung erfolgt ausschließlich zum Zweck der Verifikation, dass die Zeiterfassung am Einsatzort stattfindet. Eine dauerhafte oder fortlaufende Ortung findet nicht statt. Details siehe Abschnitt 9.

4.5 Protokoll- und Sicherheitsdaten

• IP-Adresse bei Anmeldung sowie bei sicherheitsrelevanten Aktionen
• Zeitstempel, durchgeführte Aktion, Akteur (Benutzer-ID, E-Mail, Rolle)
• Audit-Log-Einträge (siehe Abschnitt 10)

5. Zwecke und Rechtsgrundlagen

• Durchführung des Beschäftigungsverhältnisses (Einsatzplanung, Arbeitszeiterfassung, Urlaubsverwaltung): Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 26 Abs. 1 BDSG.
• Erfüllung gesetzlicher Pflichten (Aufzeichnung der Arbeitszeit nach § 16 Abs. 2 ArbZG, steuer- und sozialversicherungsrechtliche Aufbewahrungspflichten nach § 147 AO, § 257 HGB): Art. 6 Abs. 1 lit. c DSGVO.
• IT-Sicherheit und Missbrauchsvermeidung (Rate-Limiting, Kontosperrung, Audit-Log): Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Schutz vor unbefugtem Zugriff und Nachvollziehbarkeit sicherheitsrelevanter Vorgänge.
• Standortdaten (GPS-Stempel): Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 26 BDSG. Berechtigtes Interesse: Verifikation der Zeiterfassung am Einsatzort. Die Erfassung erfolgt ereignisbezogen (Stempelvorgang), nicht kontinuierlich.

6. Empfänger der Daten

Innerhalb des Unternehmens erhalten nur die Personen Zugang, die diesen zur Erfüllung ihrer Aufgaben benötigen (Rollen- und Objektbindung durch das Berechtigungssystem). Eine Weitergabe an externe Empfänger erfolgt nur, soweit dies gesetzlich vorgeschrieben ist (z. B. Finanzbehörden, Sozialversicherungsträger, Steuerberater) oder der oben genannte Auftragsverarbeiter bzw. Hosting-Dienstleister technisch erforderlich eingebunden ist.

7. Speicherdauer

• Arbeitszeitaufzeichnungen: mindestens 2 Jahre (§ 16 Abs. 2 ArbZG).
• Lohn- und gehaltsrelevante Daten, Stundenzettel: 6 Jahre (§ 147 Abs. 3 AO) bzw. 10 Jahre soweit Buchungsbeleg (§ 147 Abs. 1 Nr. 4 AO, § 257 HGB).
• Urlaubsanträge: bis zum Ende des auf die Bewilligung folgenden Kalenderjahres, sofern keine längeren Aufbewahrungspflichten greifen.
• Stammdaten aktiver Mitarbeiter: für die Dauer des Beschäftigungsverhältnisses.
• Ausgeschiedene Mitarbeiter: werden inaktiv gesetzt (Soft-Delete) und nach Ablauf aller gesetzlichen Aufbewahrungsfristen gelöscht.
• GPS-Stempel-Koordinaten: werden nach Abschluss der Prüfung des jeweiligen Stundenzettels (spätestens nach 12 Monaten) gelöscht.
• Audit-Log: 12 Monate, danach automatische Löschung.
• Fehlgeschlagene Anmeldeversuche / Sperrzeitpunkte: werden bei erfolgreicher Anmeldung zurückgesetzt.

8. Cookies und lokale Speicherung

Diese Anwendung verwendet ausschließlich technisch notwendige Cookies bzw. lokale Speicherobjekte:

• token (Cookie): enthält das JWT-Authentifizierungstoken, erforderlich für die angemeldete Sitzung. Laufzeit: 7 Tage. Flags: Secure, SameSite=Strict.
• user (localStorage): enthält die Rolle und den Namen des angemeldeten Benutzers zur Steuerung der Oberfläche.

Es werden keine Tracking-Cookies, keine Analyse-Dienste (z. B. Google Analytics), kein Werbe-Tracking und keine Social-Media-Plugins eingesetzt. Eine Einwilligung nach § 25 Abs. 1 TTDSG ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

9. Standortdaten (GPS-Stempel) – ergänzende Hinweise

• Die Erfassung des Standorts erfolgt nur im Moment des Stempelvorgangs (Einstempeln / Ausstempeln).
• Eine Hintergrund-Ortung oder fortlaufende Standortverfolgung findet nicht statt.
• Der Zugriff auf die Standortfunktion des Endgeräts muss vom Nutzer aktiv freigegeben werden.
• Koordinaten werden nach Abschluss der Prüfung des zugehörigen Stundenzettels gelöscht.
• Die genauen Koordinaten der Einsatzobjekte sind für Mitarbeiter nicht sichtbar; sie werden serverseitig vor der Ausgabe entfernt.

10. Audit-Log

Zu Zwecken der IT-Sicherheit und zur Nachvollziehbarkeit administrativer Vorgänge werden sicherheitsrelevante Aktionen protokolliert (Anmeldungen und Anmeldefehler, Passwortänderungen, Kontosperrungen, Änderungen an Mitarbeiterdaten, Schichten, Urlauben und Stundenzetteln). Protokolliert werden: Zeitpunkt, Akteur, Aktion, betroffene Ressource und IP-Adresse. Zugriff auf das Audit-Log ist ausschließlich Benutzern mit der Rolle „Admin“ vorbehalten. Speicherdauer: siehe Abschnitt 7.

11. Automatisierte Entscheidungen, Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt.

12. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), insbesondere bei der für den Sitz des Verantwortlichen zuständigen Landesdatenschutzbehörde.

Anfragen zu Ihren Rechten richten Sie bitte an den Verantwortlichen (Abschnitt 1).

13. Technische und organisatorische Maßnahmen

• Transportverschlüsselung (TLS / HTTPS) für alle Verbindungen
• Passwörter ausschließlich als bcrypt-Hash gespeichert
• JWT-Authentifizierung mit Token-Versionierung (sofortige Invalidierung bei Passwortänderung)
• Automatische Kontosperrung nach 5 fehlgeschlagenen Anmeldeversuchen (15 Minuten)
• Rate-Limiting gegen Brute-Force und Missbrauch
• Sicherheits-Header (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy)
• SSH-Zugriff zum Server nur mit Schlüsselauthentifizierung (Passwort-Login deaktiviert)
• Firewall, Datenbank ausschließlich über localhost erreichbar
• Tägliche Backups mit zugriffsbeschränkten Dateirechten, automatische Rotation nach 14 Tagen
• Rollenbasiertes Berechtigungssystem mit Objektbindung
• Vollständiges Audit-Log sicherheitsrelevanter Ereignisse

14. Änderungen dieser Datenschutzerklärung

Diese Erklärung kann bei Änderungen der Rechtslage oder bei Änderungen des Dienstes angepasst werden. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.

Stand: Mai 2026