Sicherheit & Datenstandort

Sicherheit, Datenschutz und Hosting in Deutschland

Produktive Kundendaten werden in deutschen Hetzner-Rechenzentren gespeichert und verarbeitet, sofern kein Kunde bewusst externe Integrationen aktiviert.

Hetzner Online GmbH Deutschland AVV & TOMs Rollen & Audit-Logs

Datenschutz & Vertrauen

Vertrauen für sensible Mitarbeiterdaten

Kompakte Sicherheits- und Datenschutzsignale für Unternehmen, die Arbeitszeiten, Abwesenheiten und Mitarbeiterdaten nicht irgendwo speichern möchten.

Server in Deutschland

Produktive Kundendaten werden im Kernsystem in deutschen Rechenzentren verarbeitet.

Hosting bei Hetzner

Zeitdock nutzt Hetzner-Infrastruktur in deutschen Standorten (Nürnberg, Falkenstein).

DSGVO & AVV

AVV, Unterauftragsverarbeiter und Datenschutzinformationen sind transparent dokumentiert.

Rollen & Audit-Logs

Zugriffe lassen sich über Rollenrechte, 2FA und Protokollierung nachvollziehbar steuern.

Optionale Integrationen wie Zahlungsanbieter, E-Mail-Versand, Webhooks, SSO oder Analytics werden separat ausgewiesen und nur nach Konfiguration bzw. Einwilligung genutzt.

Sicherheit & Datenschutz ansehen →

Hosting in Deutschland bei Hetzner

Die produktive Kerninfrastruktur von Zeitdock läuft bei Hetzner Online GmbH. Für deutsche Unternehmen ist dadurch transparent, wo Mitarbeiter-, Arbeitszeit- und Unternehmensdaten im Kernsystem verarbeitet werden.

Server in Deutschland

Produktive Kernsysteme laufen bei Hetzner Online GmbH in deutschen Rechenzentren (Nürnberg, Falkenstein).

Hosting bei Hetzner

Die Hosting-Aussage bezieht sich auf das Kernsystem. Provider-Zertifizierungen werden als Provider-Nachweis genannt, nicht als eigene Zeitdock-Zertifizierung.

DSGVO & AVV

Auftragsverarbeitung, technische und organisatorische Maßnahmen sowie Unterauftragsverarbeiter werden für B2B-Kunden nachvollziehbar dokumentiert.

Rollen, 2FA & Audit-Logs

Zeitdock ist für Arbeitszeiten, Abwesenheiten, Freigaben und Mitarbeiterdaten gebaut – mit Rollenrechten, zusätzlicher Absicherung und Nachvollziehbarkeit.

Wichtig: Optionale Integrationen wie Zahlungsanbieter, E-Mail-Versand, Webhooks, SSO oder Analytics werden separat ausgewiesen und nur nach Konfiguration bzw. Einwilligung genutzt.

Welche Kerndaten in Deutschland gespeichert werden

Diese Aussage bezieht sich auf das produktive Zeitdock-Kernsystem und die dort gespeicherten Kundendaten.

  • Mitarbeiterprofile und Firmenstammdaten
  • Arbeitszeiten, Pausen, Korrekturen und Monatsberichte
  • Urlaub, Krankheit, Abwesenheiten und Freigaben
  • Rollen, Rechte, Audit-Logs und Sicherheitseinstellungen
  • Konfigurationen, Uploads und mandantenbezogene Exporte

Externe Dienste klar getrennt

Einige Funktionen können externe Dienstleister oder vom Kunden konfigurierte Zielsysteme einbeziehen. Diese Datenflüsse werden nicht mit der Kernhosting-Aussage vermischt.

  • PayPal und Stripe für optionale Zahlungs- oder Auszahlungsfunktionen
  • SMTP-/E-Mail-Dienstleister für Einladungen, Verifizierung und Benachrichtigungen
  • vom Kunden aktivierte Webhooks, SSO/OIDC, Microsoft Teams oder APIs
  • optionale Analytics-/Marketing-Tags nur nach Consent-Konfiguration

Weitere Details stehen in der Unterauftragsverarbeiterliste und in der Datenschutzerklärung.

Technisch-organisatorische Maßnahmen

  • Mandantentrennung nach Unternehmen.
  • Rollen- und Rechtekonzept mit Need-to-know-Prinzip.
  • Audit-Logs für sicherheits- und adminrelevante Aktionen.
  • 2FA, Passkeys, sichere Sessions, Passwort-Hashing und CSRF-Schutz.
  • Rate-Limiting, Upload-Beschränkungen und Missbrauchsschutz.
  • Mandantengetrennte Dateiablage für dauerhafte Uploads und temporäre Verarbeitung für Exporte.
  • Backup-/Restore-Prozesse, Export- und Löschprozesse für Vertragsende und Betroffenenrechte.
  • HMAC-signierte RFID-/M2M-Anfragen, API-Scopes, Webhook-Signaturen und Audit-Protokolle für Integrationen.

Standards und Nachweise

Hetzner ist nach DIN ISO/IEC 27001:2022 zertifiziert. Zeitdock nennt diese Zertifizierung als Provider-Nachweis, nicht als eigene Produktzertifizierung.

Die Sicherheitsorganisation orientiert sich an etablierten Prinzipien der Informationssicherheit wie Zugriffskontrolle, Protokollierung, Risikominimierung und regelmäßiger Überprüfung. Eine formale Zertifizierung wird nur genannt, wenn sie tatsächlich besteht.

Cloud- und Betriebsrisiken werden nach nachvollziehbaren Sicherheitskriterien bewertet; formale Testate oder Zertifizierungen werden nur genannt, wenn sie tatsächlich bestehen.

Zeitdock behauptet keine eigene formale Zertifizierung, solange sie nicht tatsächlich besteht. Sicherheitsunterlagen, TOM-Zusammenfassung und AVV können über den Datenschutzkontakt angefragt werden.

Hosting und Verfügbarkeit

Hosting-Region: Deutschland / EU/EWR. Produktive Rechenzentren: Nürnberg, Falkenstein. Backups: Deutschland. Betriebs-, Backup- und Supportprozesse werden so dokumentiert, dass Kunden die eingesetzten Schutzmaßnahmen nachvollziehen können.

Sicherheitskontakt

Sicherheitsmeldungen bitte an administration@zeitdock.de senden.

Häufige Fragen

Wo werden Zeitdock-Daten gespeichert?

Die produktive Kerninfrastruktur von Zeitdock wird bei Hetzner Online GmbH in Deutschland betrieben. Kundendaten wie Mitarbeiterprofile, Arbeitszeiten, Abwesenheiten und Einstellungen werden für das Kernsystem in deutschen Rechenzentren gespeichert, sofern keine externen Integrationen aktiviert werden.

Bedeutet das, dass nie Daten an externe Dienste gehen?

Nein. Optionale Dienste wie Zahlungsanbieter, SMTP, Webhooks, SSO oder Analytics können je nach Konfiguration eigene Datenflüsse erzeugen. Diese werden in Datenschutz, Unterauftragsverarbeiterliste und Integrationshinweisen separat beschrieben.

Gibt es einen AVV?

Zeitdock ist für B2B-Kunden als Auftragsverarbeiter gedacht. AVV, TOMs und Unterauftragsverarbeiter-Informationen können über den Datenschutzkontakt bereitgestellt bzw. im Compliance-Bereich verwaltet werden.

Ist Zeitdock selbst ISO-zertifiziert?

Zeitdock nennt die ISO/IEC-27001-Zertifizierung des Hostingproviders als Provider-Nachweis. Eine eigene Produkt- oder Unternehmenszertifizierung wird nur behauptet, wenn sie tatsächlich besteht.

Interne Go-live-Prüfpunkte

Diese Punkte sollten vor produktiver Verwendung und vor Veröffentlichung harter Datenschutzversprechen geprüft und dokumentiert sein.

  • Produktive Serverstandorte auf nbg1 oder fsn1 prüfen
  • Datenbank-, Backup-, Snapshot- und Storage-Regionen dokumentieren
  • AVV mit Hostingprovider und weiteren Dienstleistern archivieren
  • E-Mail-, Zahlungs-, Webhook-, SSO- und Analytics-Datenflüsse separat bewerten
  • Datenschutzerklärung, Unterauftragsverarbeiterliste und TOMs vor Go-live juristisch prüfen lassen