Datenschutzhinweise

Beim Aufruf unserer Website erhebt unser Hosting-Anbieter automatisch technische Zugriffsdaten in Server-Logfiles. Diese Daten sind technisch erforderlich, um die Website auszuliefern und die Stabilität und Sicherheit zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Bereitstellung und Absicherung unserer Website).

Speicherdauer: Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

Empfänger: Vercel Inc. und Cloudflare Inc. als Hosting- und CDN-Dienstleister (siehe Abschnitt 8).

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website zwingend erforderlich sind. Diese Cookies ermöglichen grundlegende Funktionen wie Seitennavigation, Zugriff auf geschützte Bereiche und Session-Verwaltung.

Rechtsgrundlage: §25 Abs. 2 Nr. 2 TDDDG (Ausnahme von der Einwilligungspflicht für unbedingt erforderliche Speichertechnologien) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.

Wir setzen derzeit keine Analyse-, Tracking- oder Marketing-Cookies ein.

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen mitgeteilten personenbezogenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) ausschließlich zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Wir löschen Ihre Anfrage spätestens nach 3 Jahren (regelmäßige Verjährungsfrist gemäß §§195, 199 BGB).

Für die Nutzung der Klok-Plattform ist die Erstellung eines Betreiber-Kontos erforderlich.

Zweck: Begründung, Durchführung und Verwaltung des Vertragsverhältnisses; Authentifizierung und Zugriffskontrolle; Kundenbetreuung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Vertragslaufzeit + bis zu 10 Jahre nach Vertragsende gemäß §257 HGB, §147 AO.

Die Benutzeranmeldung erfolgt über den Authentifizierungsdienst unseres Infrastrukturanbieters Supabase. Dabei werden E-Mail-Adresse, gehashtes Passwort, Session-Token und Anmeldezeitpunkte verarbeitet. Supabase speichert diese Daten auf Servern in Frankfurt am Main (AWS-Region eu-central-1).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 28 DSGVO.

Wenn Sie unseren Support kontaktieren, verarbeiten wir die im Rahmen der Kommunikation übermittelten Daten (Name, E-Mail, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: 3 Jahre nach Abschluss der Bearbeitung.

Wir analysieren anonymisierte und aggregierte Nutzungsdaten der Plattform (z.B. Häufigkeit der Nutzung bestimmter Funktionen, Fehlerstatistiken), um unsere Dienste zu verbessern. Eine Zuordnung zu einzelnen Personen findet nicht statt. Soweit tatsächlich anonymisierte Daten verarbeitet werden, findet die DSGVO keine Anwendung (Erwägungsgrund 26 DSGVO).

Der Betreiber (Arbeitgeber), der die Klok-Plattform für sein Unternehmen einsetzt, ist der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Beschäftigtendaten seiner Mitarbeiter.

Klok handelt insoweit ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO und verarbeitet die Beschäftigtendaten nur auf dokumentierte Weisung des Betreibers.

Informationspflicht des Betreibers: Die datenschutzrechtliche Information der Beschäftigten nach Art. 13 DSGVO obliegt dem jeweiligen Betreiber als Verantwortlichem.

Zwischen Klok und jedem Betreiber wird ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Der AVV kann unter datenschutz@fatec.io angefordert werden.

Die Rechtsgrundlagen bestimmt der Betreiber als Verantwortlicher. In der Regel kommen in Betracht:

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung): Arbeitgeber sind gesetzlich zur Arbeitszeiterfassung verpflichtet (§16 Abs. 2 ArbZG; BAG, Beschl. v. 13.09.2022 – 1 ABR 22/21; §17 MiLoG für Gastronomie und Einzelhandel).
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Zeiterfassung zur korrekten Entgeltabrechnung erforderlich ist.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): Soweit der Betreiber ein berechtigtes Interesse an der Organisation und Dokumentation von Arbeitszeiten hat.

Hinweis: Das BAG hat mit Urteil vom 08.05.2025 (8 AZR 209/21) bestätigt, dass §26 Abs. 1 S. 1 BDSG die Anforderungen der Öffnungsklausel des Art. 88 DSGVO nicht erfüllt und daher nicht anwendbar ist. Die Rechtsgrundlagen richten sich daher unmittelbar nach Art. 6 DSGVO.

Wenn ein Beschäftigter das Unternehmen des Betreibers verlässt, wird der Mitarbeiter-Account im System deaktiviert. Nach 30 Tagen werden personenbezogene Identifikatoren (Name, E-Mail, PIN) automatisch und irreversibel anonymisiert. Zeiterfassungsdaten, Zuschlagsnachweise und Zeitkontodaten verbleiben in anonymisierter Form für die Dauer der jeweiligen gesetzlichen Aufbewahrungsfrist (2–10 Jahre je nach Datentyp) und werden anschließend endgültig gelöscht.

Der Betreiber als Verantwortlicher kann vor Ablauf der 30-Tage-Frist einen Datenexport des Mitarbeiterdatensatzes durchführen. Die Initiative zur Deaktivierung liegt beim Betreiber.

Supabase stellt die Datenbankinfrastruktur (PostgreSQL), Authentifizierung und Edge Functions bereit. Alle Kundendaten werden auf Servern in Frankfurt am Main, Deutschland (AWS-Region eu-central-1) gespeichert und verarbeitet. Supabase handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Drittlandübermittlung: Abgesichert durch EU-US DPF und SCCs (Modul 2). Supabase ist SOC 2 Type II-zertifiziert.

Weitere Informationen: supabase.com/privacy | DPA: supabase.com/legal/dpa

Vercel stellt die technische Infrastruktur zum Betrieb unserer Webanwendung bereit (Hosting, Content Delivery, Serverless Functions). Beim Zugriff auf unsere Anwendung werden durch Vercel automatisch erhoben: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Referrer-URL, Browser und Betriebssystem sowie Fehlerdaten.

Rolle nach DSGVO: Vercel ist für Customer Data unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Für eigene Service-Logdateien und Traffic-Metadaten (Service-Generated Data) handelt Vercel als eigenständiger Verantwortlicher gemäß seiner Datenschutzerklärung.

Serverstandorte: Serverless Functions laufen in der EU-Region Frankfurt (fra1). Statische Inhalte werden über das globale Vercel Edge Network ausgeliefert.

Drittlandübermittlung: Vercel ist unter dem EU-US DPF zertifiziert. Ergänzend gelten SCCs gemäß Durchführungsbeschluss 2021/914 (Modul 1–3). Vercel ist ISO 27001- und SOC 2 Type 2-zertifiziert.

Weitere Informationen: vercel.com/legal/privacy-policy | DPA: vercel.com/legal/dpa | Sub-Processors: vercel.com/legal/sub-processors

Cloudflare fungiert als vorgelagertes Sicherheits- und Leistungsnetzwerk. Sämtliche HTTP(S)-Anfragen an unsere Anwendung werden über das Cloudflare-Netzwerk geroutet. Dabei werden verarbeitet: IP-Adresse, HTTP-Request-Header (User-Agent, Referer), angeforderte URL, Statuscodes, TLS-Verbindungsdaten sowie aus der IP abgeleitete Standortinformationen.

EU-Rechenzentren in Deutschland: Berlin, Düsseldorf, Frankfurt, Hamburg, München, Stuttgart. Cloudflare betreibt über 330 Rechenzentren weltweit.

Speicherdauer: Edge-Zugriffslogs: ca. 4 Stunden. Fehlerlogs: ca. 1 Woche.

Drittlandübermittlung: Cloudflare ist unter dem EU-US DPF zertifiziert. Ergänzend gelten SCCs (Modul 2 und 3). Cloudflare ist ISO 27001 und ISO 27701-zertifiziert.

Weitere Informationen: cloudflare.com/privacypolicy | DPA: cloudflare.com/dpa

Wir nutzen New Relic zur Fehlerdiagnose, Absturzanalyse und Performance-Überwachung unserer Webanwendung. Dabei werden ausschließlich technische Daten verarbeitet: aufgerufene Pfade (ohne Query-Parameter mit personenbezogenen Inhalten), JavaScript-Fehlermeldungen samt Stacktrace, Ladezeiten, Core Web Vitals, User-Agent, Browserversion und eine pseudonyme Session-Kennung. Ergänzend übermitteln wir die technischen Kennungen der eingeloggten Nutzer (User-ID, Firmen-ID), um Fehlerreports der richtigen Umgebung zuordnen zu können — keine Klarnamen, E-Mail-Adressen oder andere Inhaltsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb der Anwendung). Eine Einwilligung ist nicht erforderlich, da die Verarbeitung technisch notwendig und auf Fehlerdiagnose beschränkt ist.

Rolle nach DSGVO: New Relic ist Auftragsverarbeiter gemäß Art. 28 DSGVO. Es wurde ein Auftragsverarbeitungsvertrag (AVV/DPA) abgeschlossen.

Speicherdauer: 8 Tage für Logs und Events, 13 Monate für aggregierte Metriken.

Drittlandübermittlung: Die operative Verarbeitung erfolgt ausschließlich in der EU. Für Support- und Verwaltungszwecke kann New Relic Inc. (USA) Zugriff erhalten; dies ist durch EU-US DPF und Standardvertragsklauseln abgesichert.

Weitere Informationen: newrelic.com/privacy | DPA: newrelic.com/dpa

* Die Speicherdauer für Beschäftigtendaten wird durch den jeweiligen Betreiber (Verantwortlichen) festgelegt.

Hinweis: Durch das 4. Bürokratieentlastungsgesetz (BEG IV) vom 23.10.2024 wurde die steuerliche Aufbewahrungsfrist für Buchungsbelege von 10 auf 8 Jahre verkürzt (§147 Abs. 3 S. 1 AO n.F., gültig ab 01.01.2025).

Bei Kündigung des Abonnements durchlaufen die Daten ein gestuftes Löschverfahren:

• Exportzeitraum (30 Tage): Lesezugriff auf alle Daten mit Self-Service-Export (CSV, JSON, PDF)
• Sperrung (Tag 31–60): Zugang gesperrt, Daten erhalten, Reaktivierung auf Anfrage möglich
• Anonymisierung (ab Tag 61): Irreversible Entfernung personenbezogener Identifikatoren
• Löschbestätigung (ab Tag 90): Proaktive schriftliche Bestätigung an den Betreiber

Details regelt der Auftragsverarbeitungsvertrag (§ 12a).

Soweit gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen, werden personenbezogene Identifikatoren (Name, E-Mail, PIN und alle weiteren direkt identifizierenden Merkmale) irreversibel durch generische Platzhalter ersetzt. Die verbleibenden anonymisierten Daten (z.B. Zeitstempel, berechnete Stundenwerte) ermöglichen keine Rückführung auf einzelne Personen und unterliegen daher nicht mehr dem Anwendungsbereich der DSGVO (ErwG. 26).

Die für uns zuständige Aufsichtsbehörde ist:

Sie können sich auch an die Datenschutz-Aufsichtsbehörde Ihres Wohnsitzes oder Arbeitsplatzes wenden.