Datenschutzerklaerung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Datenschutzbeauftragter

Ein gesonderter Datenschutzbeauftragter ist derzeit nicht benannt. Sofern kuenftig eine gesetzliche Pflicht zur Benennung besteht oder ein Datenschutzbeauftragter freiwillig bestellt wird, werden die Kontaktdaten an dieser Stelle ergaenzt.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

• Bereitstellung der Webanwendung, Benutzerkonten und geschuetzten Bereiche
• Authentifizierung, Sitzungsverwaltung und Schutz vor Missbrauch
• Erfassung, Anzeige, Auswertung und Export von Arbeits- und Projektzeiten
• Verwaltung von Projekten, Projektmitgliedschaften und Projekteinladungen
• Versand transaktionsbezogener E-Mails, zum Beispiel Verifizierungs- und Einladungsmails
• IT-Sicherheit, Fehleranalyse und Abwehr unberechtigter Zugriffe

Rechtsgrundlagen sind je nach Verarbeitung insbesondere:

• Art. 6 Abs. 1 lit. b DSGVO fuer die Erfuellung vorvertraglicher Massnahmen und die Bereitstellung des Nutzerkontos und der Anwendung
• Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen
• Art. 6 Abs. 1 lit. f DSGVO fuer Sicherheitsmassnahmen, Missbrauchserkennung, Systemstabilitaet und interne Administration
• Art. 6 Abs. 1 lit. a DSGVO, soweit im Einzelfall eine Einwilligung eingeholt wird

4. Aufruf der Website und Server-Logfiles

Beim Aufruf der Website koennen technisch erforderliche Verbindungsdaten verarbeitet werden, damit die Seite ausgeliefert, die Stabilitaet sichergestellt und Angriffe erkannt werden koennen. Dazu gehoeren insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Inhalte, uebertragene Datenmengen, Browser- bzw. User-Agent-Informationen sowie technische Fehlerdaten.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einem sicheren und stabilen Betrieb der Anwendung.

Die Anwendung wird auf einem von uns gemieteten Server selbst betrieben. Wir haben alleinigen Zugriff auf die verarbeiteten Daten. Server- und Zugriffslogs werden fuer Sicherheits- und Fehleranalysezwecke fuer 30 Tage gespeichert und danach geloescht oder anonymisiert, soweit keine laengere Aufbewahrung im Einzelfall aus Sicherheits- oder Nachweisgruenden erforderlich ist.

5. Registrierung und Nutzerkonto

Bei der Registrierung fuer TimeMe verarbeiten wir die von dir eingegebenen Kontodaten. Nach dem aktuellen Funktionsumfang gehoeren dazu insbesondere Vorname, Nachname, E-Mail-Adresse und Passwort. Das Passwort wird nicht im Klartext gespeichert, sondern mit einem sicheren Hash-Verfahren verarbeitet.

Je nach Nutzung des Kontos koennen zusaetzlich Profildaten verarbeitet werden, etwa Soll-Arbeitszeiten, Rollen, Aktivierungsstatus oder weitere vom Nutzer bzw. vom System gepflegte Kontoeinstellungen.

Die Verarbeitung erfolgt zur Einrichtung und Verwaltung des Nutzerkontos auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

6. Login, Sessions, Sicherheitsmechanismen und Remember-Me

Beim Login verarbeiten wir die eingegebenen Zugangsdaten, um dich zu authentifizieren und dir den geschuetzten Zugriff auf dein Konto zu ermoeglichen. Zudem verwendet die Anwendung technisch erforderliche Session-Cookies zur Sitzungsverwaltung.

Nach dem aktuellen Codeumfang werden dabei unter anderem folgende sicherheitsbezogenen Daten verarbeitet:

• E-Mail-Adresse als Anmeldekennung
• IP-Adresse und User-Agent bei Login-Versuchen
• Zeitpunkt und Ergebnis von Anmeldeversuchen
• letzter Login und letzte Login-IP
• Session-Informationen und CSRF-Schutz-Token

Wenn du die Funktion "angemeldet bleiben" nutzt, wird ausserdem ein zusaetzlicher Authentifizierungs-Cookie gesetzt. Dazu wird ein gesicherter Remember-Me-Token verarbeitet, der serverseitig nur in gehashter Form hinterlegt wird.

Diese Verarbeitung erfolgt zur Vertragsdurchfuehrung nach Art. 6 Abs. 1 lit. b DSGVO sowie zum Schutz unserer Systeme auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

7. E-Mail-Verifizierung, Passwort-Reset und System-E-Mails

Nach der Registrierung kann eine E-Mail-Verifizierung erfolgen. Zudem ist im System eine Passwort-Reset-Funktion vorgesehen. Hierfuer werden zeitlich befristete Sicherheits-Token erstellt und in gehashter Form gespeichert. Die zugehoerigen E-Mails werden an die von dir angegebene E-Mail-Adresse versendet.

Die Verarbeitung dient der sicheren Bereitstellung des Kontos und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

8. Projektverwaltung und Projekteinladungen

In TimeMe koennen Projekte angelegt und Mitglieder Projekten zugeordnet werden. Dabei verarbeiten wir insbesondere Projektnamen, Projektfarben, Erstellerinformationen, Mitgliedschaften und einladungsbezogene Daten.

Wenn Projektmitglieder eingeladen werden, werden nach dem aktuellen Systemstand insbesondere folgende Daten verarbeitet:

• E-Mail-Adresse der eingeladenen Person
• optional angegebener Vor- und Nachname
• Projektbezug, Status der Einladung und Ablaufdatum
• ein gesicherter Einladungs-Token in gehashter Form
• Information, welcher Nutzer die Einladung veranlasst hat

Besteht bereits ein Nutzerkonto, kann eine Login-Einladung versendet werden. Andernfalls kann eine Registrierungs-Einladung erfolgen. Die Verarbeitung erfolgt zur Bereitstellung der Team- und Projektfunktionen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

9. Zeiterfassung, Dashboard, Kalender und Berichte

Kernfunktion von TimeMe ist die Zeiterfassung und Auswertung projektbezogener Arbeitszeiten. Dabei verarbeiten wir insbesondere Zeitbuchungen und die dazugehoerigen Projektbeziehungen.

Nach dem aktuellen Funktionsumfang koennen dabei insbesondere folgende Daten verarbeitet werden:

• Projektzuordnung einer Buchung
• Beginn und Ende einer Zeitbuchung
• Pausenzeiten bzw. Pausenbeginn und Pausenende
• manuell angelegte Eintraege
• Notizen oder Beschreibungen zu Buchungen
• aus den Buchungen berechnete Dauern, Tageswerte, Wochenwerte und Summen

Diese Daten werden im Dashboard, im Kalender sowie in Berichten und PDF-Exporten angezeigt und verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

10. Empfaenger der Daten

Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf personenbezogene Daten, die diese zur Erfuellung der genannten Zwecke benoetigen. Die technische Infrastruktur wird von uns selbst auf einem gemieteten Server betrieben. Nach dem derzeitigen Stand haben nur wir Zugriff auf die gespeicherten Daten.

Empfaenger bzw. Zugriffskategorien sind nach dem derzeitigen Stand insbesondere:

• wir selbst als Betreiber und Verantwortlicher
• der Anbieter des von uns gemieteten Servers im Rahmen der technischen Bereitstellung der Infrastruktur
• gegebenenfalls eingesetzte Mail-Infrastruktur fuer Systemnachrichten, soweit technisch erforderlich

11. Internationale Datentransfers

Eine Uebermittlung personenbezogener Daten in Staaten ausserhalb der Europaeischen Union bzw. des EWR ist aus dem Quellcode nicht eindeutig fuer alle Dienste ersichtlich. Sofern eingebundene Dienste oder Infrastruktur in Drittstaaten eingesetzt werden, erfolgt eine Uebermittlung nur bei Vorliegen der gesetzlichen Voraussetzungen, insbesondere auf Grundlage von Angemessenheitsbeschluessen oder geeigneten Garantien gemaess Art. 44 ff. DSGVO.

Dies kann insbesondere relevant sein, wenn externe Schriftarten, CDN-, Hosting- oder Maildienste ausserhalb der EU eingesetzt werden.

12. Cookies und aehnliche Technologien

Die Anwendung verwendet nach dem aktuell erkennbaren Stand technisch erforderliche Cookies fuer Session-Funktionen und optional fuer die Remember-Me-Anmeldung. Diese Cookies sind erforderlich, um geschuetzte Funktionen, Login-Zustaende und Sicherheitsmechanismen bereitzustellen.

Rechtsgrundlage fuer technisch erforderliche Speicherungen und Zugriffe auf Endeinrichtungen ist regelmaessig § 25 Abs. 2 TDDDG. Die anschliessende Verarbeitung personenbezogener Daten erfolgt, soweit einschlaegig, auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

Tracking-, Analyse- oder Marketing-Cookies sind aus den geprueften Dateien derzeit nicht ersichtlich. Falls spaeter Analyse- oder Werbedienste eingebunden werden, muss diese Datenschutzerklaerung entsprechend erweitert und gegebenenfalls ein Consent-Banner ergaenzt werden.

13. Externe Schriftarten und Drittinhalte

In mehreren Seitenstilen werden nach dem aktuellen Stand Schriftarten von Google Fonts ueber die Domains fonts.googleapis.com und fonts.gstatic.com eingebunden. Dabei kann es technisch bedingt zur Uebermittlung der IP-Adresse und weiterer Verbindungsdaten an Google kommen.

Falls diese Einbindung in der Live-Umgebung aktiv bleibt, sollte geprueft werden, ob eine datenschutzfreundlichere lokale Einbindung der Schriftarten erfolgen kann. Solange die externe Einbindung verwendet wird, sollte dieser Umstand transparent beschrieben und rechtlich geprueft werden.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies fuer die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Kontodaten speichern wir grundsaetzlich fuer die Dauer des Nutzerverhaeltnisses
• Zeiterfassungs- und Projektdaten speichern wir fuer die Dauer der Nutzung und soweit erforderlich fuer Nachweis-, Abrechnungs- oder Dokumentationszwecke
• Login-, Server- und Sicherheitsprotokolle speichern wir in der Regel fuer 30 Tage
• Reset-, Verifizierungs- und Einladungs-Token werden nach Ablauf oder Verwendung ungueltig

15. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist fuer die Nutzung der Anwendung erforderlich. Ohne Angaben wie Name, E-Mail-Adresse, Passwort und die fuer die jeweilige Funktion noetigen Eingaben koennen Nutzerkonto, Login, Projektzuordnung, Zeiterfassung oder Berichte nicht bereitgestellt werden.

16. Rechte der betroffenen Personen

Du hast nach den gesetzlichen Voraussetzungen insbesondere folgende Rechte:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung nach Art. 16 DSGVO
• Recht auf Loeschung nach Art. 17 DSGVO
• Recht auf Einschraenkung der Verarbeitung nach Art. 18 DSGVO
• Recht auf Datenuebertragbarkeit nach Art. 20 DSGVO
• Recht auf Widerspruch nach Art. 21 DSGVO
• Recht, eine erteilte Einwilligung jederzeit mit Wirkung fuer die Zukunft zu widerrufen
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehoerde

17. Aufsichtsbehoerde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehoerde zu beschweren. Zustaendig ist insbesondere die Aufsichtsbehoerde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat oder in dem du dich gewoehnlich aufhaeltst.

18. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschliesslich Profiling gemaess Art. 22 DSGVO ist nach dem derzeit geprueften Funktionsumfang nicht ersichtlich.

19. Stand und Aktualisierung

Wir passen diese Datenschutzerklaerung an, wenn sich Funktionen, eingesetzte Dienste oder die Rechtslage aendern. Bitte pruefe die Datenschutzerklaerung daher regelmaessig auf den aktuellen Stand.