Datenschutzerklärung

Allgemeine Hinweise
[Allgemeine Einleitung zur Datenverarbeitung]

Wer ist verantwortlich?
Der Verantwortliche für die Datenverarbeitung auf dieser Plattform ist: [Name und Anschrift des Verantwortlichen]

Beschäftigtendaten (§26 BDSG)
Im Rahmen der Nutzung der Plattform werden folgende personenbezogene Daten von Mitarbeitern verarbeitet:

• Name, Vorname
• E-Mail-Adresse (für Login)
• Personalnummer
• Anstellungsart und Vertragsdaten
• Arbeitszeiten und Schichtzuweisungen
• Lohn- und Gehaltsdaten
• Verfügbarkeiten
• Einsatzorte (Objekte)

Technische Zugriffsdaten
[Server-Logs, IP-Adressen, Sitzungsdaten]

Die Verarbeitung von Beschäftigtendaten erfolgt auf Grundlage von §26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

[Weitere Rechtsgrundlagen ergänzen]

Mit folgenden Anbietern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO), soweit für den jeweiligen Dienst erforderlich. Standorte und Übermittlungen sind zu dokumentieren und vertraglich abzusichern.

Für den Betrieb der Plattform setzen wir folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen wurden:

Verschlüsselung besonders sensibler Daten
Seit Datenbank-Migration 012 werden ausgewählte Finanz-/Steuerfelder (z. B. IBAN, Steuer-ID, Sozialversicherungsnummer) nicht mehr im Klartext in der Datenbank gespeichert, sondern mit AES-256-GCM verschlüsselt (Spalten mit verschlüsseltem Inhalt).

Zwei-Faktor-Authentifizierung (MFA)
Für Administratoren ist die Einrichtung von TOTP-basierter Zwei-Faktor-Authentifizierung vorgeschrieben (Migration 018). TOTP-Geheimnisse werden durch den Authentifizierungsdienst verwaltet; Wiederherstellungscodes werden nur als Hash gespeichert, nicht im Klartext.

Rate-Limiting und Schutz vor Missbrauch
Anmelde- und sicherheitsrelevante Aktionen werden begrenzt (Migration 017). Es werden keine Passwörter oder Klartext-E-Mail-Adressen dauerhaft protokolliert; es können gekürzte Hash-Werte von IP bzw. E-Mail für die Dauer der Sperrfenster (typisch bis zu 15 Minuten) verarbeitet werden.

Audit-Logging
Sicherheits- und änderungsrelevante Vorgänge werden zeitlich begrenzt protokolliert (Migration 014), derzeit mit Vorhalt von etwa 90 Tagen für den Nachweis von Integrität und Zugriffskontrolle.

Löschung und Anonymisierung
Zur Umsetzung von Betroffenenrechten kann ein kontrollierter Lösch- bzw. Anonymisierungsprozess erfolgen (Migration 019): das personenbezogene Profil kann anonymisiert werden; gesetzlich aufzubewahrende Arbeitszeit-/Abrechnungsnachweise können weiter bestehen (z. B. Handels-/Steuerrecht, typisch bis zu 10 Jahre).

Auskunft und Datenexport
Nutzer können über die Profiloberfläche eine maschinenlesbare Zusammenstellung ihrer in der App gespeicherten Daten als ZIP-Datei herunterladen (Art. 15 und 20 DSGVO). Dies ist auf höchstens einen Export pro 24 Stunden je Nutzer begrenzt, um Missbrauch zu vermeiden.

Die Plattform enthält eine optionale KI-Assistenzfunktion, die ausschließlich für Administratoren zugänglich ist. Dabei werden Eingaben an Anthropic, Inc. (Claude API) übermittelt. Es sollten keine besonders sensiblen personenbezogenen Daten in das KI-System eingegeben werden.

[Datenschutzinformationen zu Anthropic / Claude API ergänzen]

DATEV-Export / Steuerberater
Abgerechnete Schicht- und Lohndaten können als CSV-Datei exportiert und an den Steuerberater des Unternehmens übermittelt werden. Diese Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung / steuerrechtliche Anforderungen).

[Weitere Datenweitergaben beschreiben]

Betroffene Personen haben nach DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Zur Ausübung dieser Rechte wenden Sie sich an: [Kontakt-E-Mail des Verantwortlichen]

Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.

Die Plattform setzt ausschließlich technisch notwendige Cookies für die Authentifizierung (Login-Sitzung). Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Es werden keine Tracking- oder Marketing-Cookies verwendet.

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Die jeweils aktuelle Fassung ist unter app.security-workforce-manager.de/datenschutz abrufbar.