Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Bashabsheh Vergabepartner
Inhaber: Mohammad Bashabsheh
c/o VirtualOfficeBerlin
Kolonnenstraße 8
10827 Berlin, Deutschland
Telefon: +49 176 30365636
E-Mail: info@bashabsheh-vergabepartner.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3. Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Registrierung und Nutzung der Anwendung — Sie stimmen bei der Registrierung der Datenschutzerklärung und den AGB aktiv zu.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der Schichtplanungsfunktionen, Arbeitszeiterfassung, Abwesenheitsverwaltung und sonstige vertraglich vereinbarte Leistungen.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Sicherheit der Anwendung, Missbrauchsprävention und technische Betriebsführung (z.B. Session-Cookies, Fehler-Logging).

4. Datenerfassung auf dieser Website

Welche Daten werden erfasst?

Wir erheben personenbezogene Daten, die Sie uns bewusst mitteilen:

• Bei der Registrierung: Name, E-Mail-Adresse, Firmenname, Passwort (gehasht gespeichert)
• Bei der Nutzung: Schichtdaten, Arbeitszeiten, Abwesenheiten, Verfügbarkeiten
• Mitarbeiterprofile: Name, E-Mail, Telefon, Position, Stundensatz (durch Arbeitgeber/Manager angelegt)
• Digitale Unterschriften: Base64-codierte Signaturbilder, kryptographisch mit Zeitstempel und Besuchs-ID verknüpft (SHA-256-Hash)
• Geräte-Informationen: User-Agent, Geräte-ID (anonymisiert) — zur Sicherheit und Revisionssicherheit der Audit-Logs

Wofür werden Ihre Daten genutzt?

Die Daten werden ausschließlich zur Bereitstellung der Schichtplanungsfunktionen erhoben. Ein Teil der Daten wird benötigt, um eine fehlerfreie Bereitstellung der Website zu gewährleisten.

5. Datenspeicherung und Aufbewahrungsfristen

Ihre Daten werden so lange gespeichert, wie Ihr Benutzerkonto aktiv ist und zur Bereitstellung des Dienstes benötigt wird. Gemäß Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) haben wir ein automatisiertes Löschkonzept implementiert, das personenbezogene Daten nach Ablauf der jeweiligen Aufbewahrungsfrist unwiderruflich löscht.

Automatische Datenbereinigung

Die folgende Übersicht zeigt die konkreten Aufbewahrungsfristen je Datentyp. Die automatische Bereinigung erfolgt wöchentlich (sonntags, 04:30 UTC) über einen Cron-Job:

Kontolöschung (Art. 17 DSGVO)

• Kontodaten: Bis zur Löschung Ihres Kontos (jederzeit in den Einstellungen möglich).
• Arbeitszeitdaten: Gemäß gesetzlicher Aufbewahrungspflichten (§ 16 Abs. 2 ArbZG: 2 Jahre nach Erfassung; § 147 AO: 10 Jahre für Lohnbuchhaltung).
• Server-Logs: Automatische Löschung nach 30 Tagen.

Der Workspace-Inhaber kann über die Einstellungen eine vollständige und unwiderrufliche Löschung aller Workspace-Daten auslösen (kaskadierendes Löschen aller zugehörigen Tabellen). Sofern keine gesetzlichen Aufbewahrungspflichten bestehen, werden alle personenbezogenen Daten sofort gelöscht.

6. Hosting und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen:

a) Vercel Inc. — Hosting

Sitz: San Francisco, USA. Server-Standort: EU (Frankfurt am Main). Datenübermittlung in die USA kann bei Support-/Wartungszugriffen erfolgen. Transfergarantie: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO) sowie ergänzend EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO). Datenschutzerklärung von Vercel.

b) Supabase Inc. — Datenbank (PostgreSQL)

Sitz: San Francisco, USA. Server-Standort: EU (Frankfurt am Main, AWS eu-central-1). Alle Datenbankdaten werden ausschließlich in der EU verarbeitet und gespeichert. Administrativer Zugriff aus den USA möglich. Transfergarantie: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln (SCCs). Datenschutzerklärung von Supabase.

c) Resend Inc. — E-Mail-Versand

Sitz: San Francisco, USA. Versand von System-E-Mails (Schichtbenachrichtigungen, Abwesenheitsgenehmigungen, Verifizierung). E-Mail-Inhalte werden in den USA verarbeitet. Transfergarantie: EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO). Sie können E-Mail-Benachrichtigungen jederzeit in Ihren Einstellungen deaktivieren. Datenschutzerklärung von Resend.

d) Stripe, Inc. — Zahlungsabwicklung

Sitz: San Francisco, USA. Europäische Verarbeitung über Stripe Payments Europe, Ltd. (Dublin, Irland). Abwicklung von Abonnement-Zahlungen (Kreditkarte, SEPA-Lastschrift). Kartennummern werden nie auf unseren Servern gespeichert. Transfergarantie: EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO) sowie EU-Standardvertragsklauseln (SCCs). Stripe ist PCI DSS Level 1 zertifiziert. Datenschutzerklärung von Stripe.

e) Sentry (Functional Software, Inc.) — Fehlerüberwachung

Sitz: San Francisco, USA. Server-Standort: EU (Frankfurt am Main). Erfassung von Anwendungsfehlern zur Qualitätssicherung. Es werden technische Daten (Fehlermeldungen, Browser, Betriebssystem) übermittelt — keine personenbezogenen Inhalte. Transfergarantie: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln (SCCs). Die Aktivierung erfolgt nur mit Ihrer Einwilligung über den Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO). Datenschutzerklärung von Sentry.

f) Upstash, Inc. — Rate Limiting (Redis)

Sitz: San Francisco, USA. Server-Standort: EU (Frankfurt am Main, AWS eu-central-1). Einsatz für IP-basiertes Rate Limiting zum Schutz der API-Endpunkte. Es werden ausschließlich gehashte IP-Adressen mit kurzlebigen Zählern gespeichert (TTL: 60 Sekunden). Keine personenbezogenen Inhalte. Transfergarantie: EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsprävention). Datenschutzerklärung von Upstash.

g) Vercel Blob — Dateispeicher

Teil der Vercel-Plattform (siehe oben). Speicherung von nutzergeneriertem Datei-Upload (z. B. Profilbilder, exportierte Berichte). Es gelten die gleichen Transfergarantien und der Auftragsverarbeitungsvertrag wie unter a) Vercel beschrieben. Die Daten werden auf EU-Servern gespeichert.

7. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies:

• Session-Cookie: Für die Authentifizierung (wird beim Abmelden oder nach Ablauf automatisch gelöscht).
• Spracheinstellung: Speichert Ihre bevorzugte Sprache (Deutsch/Englisch).

Technisch notwendige Cookies (Session, Spracheinstellung) werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG). Für optionale Analyse-Cookies (z. B. Sentry Fehlerüberwachung) holen wir Ihre ausdrückliche Einwilligung über unseren Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können Ihre Einstellungen jederzeit über den Link "Cookie-Einstellungen" in der Fußzeile ändern.

8. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige Daten können Sie in Ihren Einstellungen selbst korrigieren.
• Recht auf Löschung (Art. 17 DSGVO): Sie können Ihr Konto jederzeit in den Einstellungen löschen. Alle Daten werden unwiderruflich entfernt.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Kontaktieren Sie uns, um die Verarbeitung einzuschränken.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten jederzeit als JSON-Datei in den Einstellungen exportieren.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung jederzeit widersprechen.
• Recht auf Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit widerrufen — die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

9. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
www.datenschutz-berlin.de

10. Datenschutz-Ansprechpartner

Für Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Betroffenenrechte steht Ihnen unser freiwilliger Datenschutz-Ansprechpartner zur Verfügung:

Mohammad Bashabsheh
Bashabsheh Vergabepartner
Kolonnenstraße 8, 10827 Berlin
E-Mail: info@bashabsheh-vergabepartner.de
Telefon: +49 176 30365636

Hinweis: Eine formelle Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO i. V. m. § 38 BDSG erfolgt, sobald die gesetzlichen Voraussetzungen (insbesondere die Beschäftigtenschwelle oder eine Kerntätigkeit in umfangreicher regelmäßiger und systematischer Überwachung) vorliegen.

11. Kontakt für Datenschutzfragen

Zur Ausübung Ihrer Rechte oder bei Fragen zum Datenschutz wenden Sie sich bitte an:

Bashabsheh Vergabepartner
Mohammad Bashabsheh
Kolonnenstraße 8, 10827 Berlin
E-Mail: info@bashabsheh-vergabepartner.de
Telefon: +49 176 30365636

Wir werden Ihr Anliegen schnellstmöglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO), bearbeiten.