Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Allgemeines zur Datenverarbeitung

PlanBär ist eine cloudbasierte Zeiterfassungssoftware (Software as a Service). Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder in Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags (Bereitstellung der Zeiterfassungssoftware)
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. Arbeitszeitgesetz, Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit und Stabilität der Anwendung)

4. Kategorien verarbeiteter Daten

4.1 Registrierung und Kontodaten

Bei der Registrierung erheben wir: E-Mail-Adresse, Passwort (ausschließlich als kryptografischer Hash gespeichert), Unternehmensname, gewählte Subdomain, Vor- und Nachname, Geburtsdatum (optional), Eintrittsdatum (optional).

4.2 Zeiterfassungsdaten

Im Rahmen der Nutzung werden folgende Daten verarbeitet: Stempelzeiten (Ein-/Ausstempeln), Pausenzeiten und -dauern, Abwesenheiten und Urlaubstage, Soll- und Ist-Arbeitszeiten, IP-Adresse zum Zeitpunkt des Stempelns (sofern die IP-Validierung aktiviert ist).

4.3 Technische Daten

Bei jedem Zugriff auf unsere Anwendung werden automatisch technische Informationen erfasst: IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem. Diese Daten werden ausschließlich zur Gewährleistung der Systemsicherheit und -stabilität verwendet und nach 30 Tagen automatisch gelöscht.

5. Zweck der Datenverarbeitung

• Bereitstellung und Betrieb der Zeiterfassungssoftware
• Verwaltung von Benutzerkonten und Authentifizierung
• Erfüllung gesetzlicher Arbeitszeitdokumentationspflichten (ArbZG)
• Erstellung von Monatsberichten und Arbeitszeitauswertungen
• Berücksichtigung gesetzlicher Feiertage je Bundesland
• Gewährleistung der Systemsicherheit und Missbrauchsprävention

6. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Zeiterfassungsdaten: Mindestens 2 Jahre (gemäß § 16 Abs. 2 ArbZG), maximal 10 Jahre (steuerliche Aufbewahrungspflichten)
• Kontodaten: Bis zur Löschung des Kontos durch den Administrator, anschließend 30 Tage Karenzzeit
• Server-Logs: 30 Tage

7. Weitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur in folgenden Fällen statt:

• Hosting-Anbieter: Unsere Anwendung wird auf Servern von Vercel Inc. (USA) gehostet. Es besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.
• Datenbank: Die Datenbank wird bei Supabase (EU-Rechenzentrum, Frankfurt am Main) betrieben. Es besteht ein AV-Vertrag gemäß Art. 28 DSGVO.

Darüber hinaus werden keine personenbezogenen Daten an Dritte verkauft, gehandelt oder zu Werbezwecken weitergegeben.

8. Cookies und Session-Verwaltung

PlanBär verwendet ausschließlich technisch notwendige Cookies zur Authentifizierung und Session-Verwaltung. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Der Session-Cookie wird verschlüsselt übertragen (HTTPS), ist HTTP-only (kein JavaScript-Zugriff) und wird beim Abmelden oder nach Ablauf der Sitzung automatisch gelöscht.

9. Technische und organisatorische Maßnahmen

• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Passwörter werden ausschließlich als kryptografische Hashes gespeichert (bcrypt)
• Multi-Tenant-Architektur mit strikter Datentrennung je Unternehmen (Schema-Isolation auf Datenbankebene)
• Rollenbasierte Zugriffskontrolle (Admin, Lead, Mitarbeiter)
• Automatische Sitzungszeitbegrenzung und sichere Cookie-Konfiguration

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) – Recht auf Auskunft über die verarbeiteten Daten
• Berichtigungsrecht (Art. 16 DSGVO) – Recht auf Korrektur unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) – Recht auf Löschung Ihrer Daten („Recht auf Vergessenwerden“)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) – Recht auf Herausgabe Ihrer Daten in einem maschinenlesbaren Format
• Widerspruchsrecht (Art. 21 DSGVO) – Recht auf Widerspruch gegen die Verarbeitung
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO) – Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@planbaer.de

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

12. Auftragsverarbeitung

PlanBär fungiert als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Kunde (das registrierte Unternehmen) bleibt Verantwortlicher für die Daten seiner Beschäftigten. Die Verarbeitung erfolgt ausschließlich nach dokumentierter Weisung des Kunden. Bei Bedarf stellen wir einen Auftragsverarbeitungsvertrag (AV-Vertrag) zur Verfügung.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.