DSGVO
Datenschutzerklärung
Klare Informationen zu Website, Registrierung, App, Beschäftigtendaten, Support, Abrechnung und Sicherheit.
Stand: 2026-05-02
1. Verantwortlicher und Kontakt
Anakin Luke Hoffmann, Emmericher Straße 162, 47533 Kleve, Deutschland. Vertreten durch Anakin Luke Hoffmann. Allgemeiner Kontakt: administration@zeitdock.de. Datenschutzkontakt: administration@zeitdock.de.
2. Rollen: Plattformbetreiber, Kunde und Beschäftigte
Zeitdock ist eine SaaS für Arbeitszeiten, Pausen, Urlaub, Krankheit, Teamkalender, Rollen/Rechte, Mitarbeiterverwaltung, Berichte, Integrationen, Support und Abrechnung. Für Website, Registrierung, Vertrag, Abrechnung, Support und Plattformsicherheit ist der Betreiber Verantwortlicher. Für Beschäftigtendaten, die ein Unternehmen in Zeitdock anlegt oder verwaltet, ist in der Regel das jeweilige Unternehmen bzw. der Arbeitgeber Verantwortlicher. Der Betreiber verarbeitet diese Daten grundsätzlich als Auftragsverarbeiter nach Art. 28 DSGVO.
Hosting und Datenstandort
Produktive Kundendaten werden in deutschen Hetzner-Rechenzentren gespeichert und verarbeitet, sofern kein Kunde bewusst externe Integrationen aktiviert.
Diese Aussage bezieht sich auf das produktive Kernsystem von Zeitdock. Optionale Integrationen wie Zahlungsanbieter, E-Mail-Versand, Webhooks, SSO oder Analytics werden separat ausgewiesen und nur nach Konfiguration bzw. Einwilligung genutzt.
Hostingprovider für die Kerninfrastruktur ist Hetzner Online GmbH. Weitere Details stehen unter Sicherheit & Datenschutz und in der Unterauftragsverarbeiterliste.
Information für vom Arbeitgeber angelegte Nutzer: Wenn dein Arbeitgeber dein Konto anlegt oder dich einlädt, stammen Stammdaten wie Name, E-Mail, Rolle, Team, Arbeitsmodell oder Personalbezug nicht immer direkt von dir. Die Quelle ist dann dein Arbeitgeber. Zweck ist die Bereitstellung der Arbeitszeit-, Abwesenheits-, Freigabe- und Nachweisprozesse des Arbeitgebers.
3. Verarbeitung nach konkreten Vorgängen
| Vorgang | Daten | Zweck | Typische Rechtsgrundlage |
|---|---|---|---|
| Website und Server-Logs | IP-Adresse, Zeit, URL, User-Agent, Fehlerlogs | Auslieferung, Sicherheit, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO |
| Registrierung und Login | Name, Firma, E-Mail, Passwort-Hash, Sessiondaten | Kontoanlage, Authentifizierung, Vertragsdurchführung | Art. 6 Abs. 1 lit. b/f DSGVO |
| Einladung durch Arbeitgeber | Name, E-Mail, Rolle, Team, Einladungstoken | Einrichtung des Nutzerkontos im Auftrag des Kunden | Art. 28 DSGVO, Grundlage beim Arbeitgeber |
| Arbeitszeit und Pausen | Start, Ende, Pausen, Korrekturen, Saldo | Zeiterfassung, Nachweise, Monatsabschluss | Art. 28 DSGVO, Grundlage beim Arbeitgeber |
| Urlaub, Krankheit und Abwesenheiten | Anträge, Typen, Zeiträume, Freigaben, Status | Abwesenheitsplanung, Teamkalender, Freigaben | Art. 28 DSGVO; bei Gesundheitsbezug besondere Rechtsgrundlagen beim Arbeitgeber |
| Payroll, Berichte und Exporte | Monatsberichte, CSV/PDF, vorbereitende Lohn-/Buchhaltungsdaten | Auswertung, Übergabe an Buchhaltung oder HR | Art. 28 DSGVO, gesetzliche Pflichten beim Kunden |
| Support und Feedback | Kontaktdaten, Ticketinhalt, technische Metadaten | Bearbeitung von Anfragen, Fehlerbehebung | Art. 6 Abs. 1 lit. b/f DSGVO |
| Billing und Zahlungsstatus | Plan, Rechnung, Stripe-Referenzen, Zahlungsstatus | Abo, Rechnung, Kundenportal, Nachweis | Art. 6 Abs. 1 lit. b/c/f DSGVO |
| Security und Audit-Logs | Loginversuche, Rollenänderungen, Freigaben, Admin-Aktionen | Sicherheit, Nachvollziehbarkeit, Missbrauchsschutz | Art. 6 Abs. 1 lit. f DSGVO, Art. 32 DSGVO |
| Integrationen, API, Webhooks, SSO/OIDC | Konfigurationsdaten, Tokens, Empfänger, Zustellstatus | Vom Kunden aktivierte Verbindungen | Art. 28 DSGVO oder Art. 6 Abs. 1 lit. b/f DSGVO |
4. Gesundheits- und Krankheitsdaten
Krankheit oder krankheitsbezogene Abwesenheiten können besondere Kategorien personenbezogener Daten betreffen. Zeitdock verarbeitet solche Angaben nur, wenn der Kunde diese Funktion nutzt und die Daten im System einträgt. Der Arbeitgeber muss die passende Rechtsgrundlage, Berechtigungen, Aufbewahrungsfristen und interne Informationspflichten sicherstellen. Zeitdock unterstützt die Trennung über Rollen, Rechte, Protokolle und Exporte.
5. Cookies und technische Speicherung
In der Standardkonfiguration nutzt Zeitdock technisch notwendige Speicherungen, insbesondere Session-Cookies, CSRF-Schutz, Sicherheitsstatus und UI-Zustände. Sie dienen Login, Formularschutz, Missbrauchsabwehr und Betriebssicherheit. Marketing-Tracking, Heatmaps, Retargeting oder externe Medien dürfen erst aktiviert werden, wenn dafür eine passende Einwilligungslösung eingerichtet ist.
6. Empfänger und Unterauftragsverarbeiter
Je nach Nutzung können Daten an Hosting-/Infrastrukturbetreiber, E-Mail-Dienstleister, Stripe, PayPal, Microsoft-Dienste, Webhook-Ziele, SSO-/OIDC-Anbieter, Steuer-/Rechtsberatung oder Sicherheitsdienstleister übermittelt werden. Eine aktuelle Übersicht steht unter Unterauftragsverarbeiter. Änderungen werden Kunden mit angemessener Frist angekündigt, soweit dies vertraglich vorgesehen ist.
7. Drittlandübermittlungen
Eine Verarbeitung außerhalb der EU/des EWR kann bei einzelnen Dienstleistern oder vom Kunden aktivierten Integrationen nicht ausgeschlossen werden. In solchen Fällen sind geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln und zusätzliche Schutzmaßnahmen zu prüfen und zu dokumentieren.
8. Speicherfristen und Löschung
Daten werden zweckbezogen gespeichert und nach Vertragsende, Kundenweisung oder gesetzlichen Fristen geloescht, anonymisiert oder exportierbar bereitgestellt.
- Account- und Vertragsdaten: für die Vertragsdauer und anschließend nach gesetzlichen Fristen.
- Rechnungs- und steuerrelevante Daten: regelmäßig bis zu zehn Jahre.
- Supporttickets: regelmäßig bis zu drei Jahre nach Abschluss, sofern keine längere Aufbewahrung erforderlich ist.
- Audit- und Sicherheitslogs: regelmäßig 6 bis 24 Monate, bei Sicherheitsvorfällen länger nach Erforderlichkeit.
- Arbeitszeit-, Abwesenheits- und Payroll-Daten: nach Kundenweisung, gesetzlicher Pflicht oder Lösch-/Aufbewahrungskonzept des Kunden.
9. Betroffenenrechte
Betroffene Personen haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf erteilter Einwilligungen und Beschwerde bei einer Datenschutzaufsichtsbehörde. Anfragen an den Plattformbetreiber können an administration@zeitdock.de gerichtet werden. Bei Beschäftigtendaten, die im Auftrag eines Arbeitgebers verarbeitet werden, ist in der Regel der Arbeitgeber erster Ansprechpartner. Der Betreiber unterstützt den Kunden bei der Bearbeitung solcher Anfragen.
10. Pflicht zur Bereitstellung
Für Registrierung, Login, Vertrag, Abrechnung und App-Nutzung sind bestimmte Daten erforderlich. Ohne diese Daten können die jeweiligen Funktionen nicht bereitgestellt werden. Optionale Integrationen, Auszahlungen, Webhooks oder SSO-Funktionen werden nur genutzt, wenn sie aktiviert und konfiguriert werden.
11. Automatisierte Entscheidungen
Zeitdock trifft in der Standardkonfiguration keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Rollen, Freigaben, Sicherheitsprüfungen und Feature-Gates dienen der Zugriffskontrolle und Produktsteuerung.
12. Sicherheit
Zeitdock unterstützt Mandantentrennung, rollenbasierte Zugriffskontrolle, CSRF-Schutz, sichere Sessions, Passwort-Hashing, E-Mail-Verifizierung, 2FA, Passkeys, Audit-Logs, Rate-Limiting, Upload-Beschränkungen, Backups und Wiederherstellungsprozesse. Weitere Informationen stehen unter Sicherheit & Datenschutz.
13. Änderungen
Diese Datenschutzerklärung wird angepasst, wenn sich Funktionen, Dienstleister, Rechtsgrundlagen, Preise, Integrationen oder Betriebsprozesse ändern.