CTI Leipzig GmbH

Datenschutzerklärung Cloudtime

1. Allgemeine Hinweise

Wenn Sie Cloudtime nutzen, werden je nach Art und Umfang der Nutzung verschiedene personenbezogene Daten verarbeitet. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (z. B. mittels Zuordnung zu einer Online-Kennung) identifiziert werden kann. Darunter fallen Informationen wie der Name, die Anschrift, die Telefonnummer, das Geburtsdatum oder IP-Adressen. Mit diesen Datenschutzhinweisen informieren wir Sie gemäß Art. 12 ff. DSGVO darüber, welche personenbezogenen Daten bei der Nutzung unserer Plattform verarbeitet werden. Nachfolgend finden Sie insbesondere Informationen dazu, welche Daten wir im Zusammenhang mit Ihrem Besuch und der Nutzung unserer Plattform erheben, wofür wir die erhobenen Daten nutzen und zu welchen Zwecken die Daten erhoben werden. Zudem finden Sie Hinweise dazu, welche Rechte Ihnen im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten zustehen. Wir behalten uns vor, diese Datenschutzhinweise mit Wirkung für die Zukunft anzupassen, insbesondere im Fall der Weiterentwicklung unserer Plattform, bei der Nutzung neuer Technologien oder der Änderung der gesetzlichen Grundlagen bzw. der entsprechenden Rechtsprechung. Diese Datenschutzinformation gilt für alle Seiten unserer Plattform (https://cti.cloudtime.de). Sie erstreckt sich nicht auf etwaig verlinkte Webseiten bzw. Internetpräsenzen von anderen Anbietern.

2. Verantwortlicher

Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist die
CTI Commerzielle und Technische Informationssysteme GmbH
Eythstrasse 11
04129 Leipzig
E-Mail: info@cti-lean.com
Tel.: +49 (0) 341 223877 60

3. Datenschutzbeauftragter

Sollten Sie Fragen zum Thema Datenschutz im Hinblick auf unser Unternehmen bzw. unsere Plattform haben, können Sie sich an unseren Datenschutzbeauftragten wenden. Unseren Datenschutzbeauftragten erreichen Sie unter der E-Mail-Adresse s.schuldt@gp-data.de oder unter nachfolgender Postadresse:
GP Data GmbH
Ansprechpartner: Stephan Schuldt
Mädler-Passage, Aufgang B
Grimmaische Str. 2-4
04109 Leipzig

4. Sicherheit

Aus Sicherheitsgründen sowie zum Schutz Ihrer personenbezogenen Daten bei der Übermittlung an uns setzen wir eine SSL- bzw. TLS-Verschlüsselung ein, um Ihre Daten gegen den Zugriff unberechtigter Personen zu schützen. Eine verschlüsselte Verbindung können Sie an der Zeichenfolge https:// sowie dem Schloss-Symbol in der Adresszeile Ihres Browsers erkennen.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Sollten Sie Fragen zum Thema Datenschutz im Hinblick auf unser Unternehmen bzw. diese Website haben können Sie sich an unseren Datenschutzbeauftragten wenden:

5.1. Aufruf und Besuch unserer Plattform – Server Log Dateien

Zum Zwecke der technischen Bereitstellung unserer Plattform ist es erforderlich, dass wir bestimmte, durch Ihren Browser automatisch übermittelte Informationen verarbeiten, damit unsere Plattform in Ihrem Browser angezeigt und genutzt werden kann. Diese Informationen werden bei jedem Aufruf unserer Plattform automatisch erfasst und in sogenannten „Server-Log-Dateien“ gespeichert. Bei den von Ihrem Browser übermittelten und in den Server-Log-Dateien gespeicherten Informationen handelt es sich um die nachfolgenden Informationen:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• Übertragene Datenmenge
• Webseite, von der aus der Zugriff erfolgt (Referrer URL);
• Browsertyp und Browserversion;
• Verwendetes Betriebssystem
  Die Speicherung der vorgenannten Zugriffsdaten ist zur Bereitstellung unserer Plattform und zur Sicherstellung der Systemsicherheit aus technischen Gründen erforderlich. Dies gilt auch für die Speicherung Ihrer IP-Adresse, die notwendigerweise erfolgt und unter weiteren Voraussetzungen zumindest theoretisch eine Zuordnung zu Ihrer Person ermöglichen kann. Über die vorstehend genannten Zwecke hinaus verwenden wir Server-Log-Dateien ausschließlich zur bedarfsgerechten Gestaltung und Optimierung unserer Plattform rein statistisch und ohne Rückschluss auf Ihre Person. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen, auch eine Auswertung der Daten zu Marketingzwecken findet nicht statt.
  Die im Rahmen der Nutzung unserer Plattform erhobenen Zugriffsdaten werden für den Zeitraum aufbewahrt, für den diese Daten zur Erreichung der vorstehenden Zwecke benötigt werden. Ihre IP-Adresse wird hierbei zu Zwecken der IT-Sicherheit auf unserem Webserver für maximal 7 Tage gespeichert.
  Soweit Sie unsere Plattform besuchen, um unser Leistungsangebot zu nutzen, ist Grundlage für die vorübergehende Speicherung und Verarbeitung der Zugriffsdaten Art. 6 Abs. 1 S. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen gestattet. Darüber hinaus dient Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage für die vorübergehende Speicherung der technischen Zugriffsdaten. Unser berechtigtes Interesse besteht hierbei darin, Ihnen eine technisch funktionierende und benutzerfreundlich gestaltetet Plattform zur Verfügung stellen zu können sowie die Sicherheit unserer Systeme zu gewährleisten.
  

5.2. Verwendung von Cookies und zugehöriger Plugins/Tools

5.2.1. Cookies

Wir setzen auf unserer Webseite sog. „Cookies“ ein. Cookies sind kleine Textdateien, die auf der Festplatte des von Ihnen zum Aufruf unserer Webseite eingesetzten Endgerätes gespeichert werden. Durch in den Cookies enthaltene charakteristische Zeichenfolgen kann der von Ihnen verwendete Browser beim Aufrufen unserer Webseite identifiziert werden. Cookies können keine Programme ausführen oder Viren auf das von Ihnen verwendete Endgerät übertragen. Sie dienen dazu, unsere Webseite nutzerfreundlicher, effektiver und sicherer zu machen und die Bereitstellung bestimmter Funktionalitäten unserer Webseite zu ermöglichen.
Cookies können Daten enthalten, die eine Wiedererkennung des von Ihnen genutzten Endgerätes ermöglichen. Teilweise enthalten Cookies lediglich Informationen zu bestimmten Einstellungen (bspw. Spracheinstellungen), die nicht personenbeziehbar sind. Sie können die Verwendung von Cookies ablehnen und Cookies auch jederzeit löschen, indem Sie entsprechende Einstellungen auf Ihrem Gerät vornehmen: Die meisten Browser sind so voreingestellt, dass Cookies automatisch akzeptiert werden. Diese Voreinstellung können Sie ändern, indem Sie in Ihrem Browser die Einstellung „keine Cookies akzeptieren“ aktivieren. Nähre Informationen erhalten Sie hierzu von Ihrem Browseranbieter.
Bereits gespeicherte Cookies können jederzeit gelöscht werden. Nähere Informationen zum Löschen von Cookies erhalten Sie von Ihrem Browseranbieter. Wie der Einsatz von Cookies ist auch deren Ablehnung bzw. Löschung an das verwendete Gerät und den jeweils eingesetzten Browser gebunden. Sie müssen Cookies daher für jedes Ihrer Geräte und bei der Verwendung mehrerer Browser auch für jeden Browser separat ablehnen bzw. löschen. Sofern Sie in Ihrem Browser die Funktion „keine Cookies akzeptieren“ aktivieren, kann es sein, dass Ihnen nicht alle Funktionen unserer Webseite oder einzelne Funktionen nur eingeschränkt zur Verfügung stehen.
Man unterscheidet zwischen sog. „Session-Cookies“, die wieder gelöscht werden, sobald Sie ihren Browser schließen und sog. „Permanenten-Cookies“, die über die einzelne Sitzung hinaus gespeichert und erst nach Ablauf eines definierten Zeitraums gelöscht werden.
Wir verwenden auf unserer Plattform ausschließlich notwendige Cookies. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Wir verwenden auf unserer Plattform die folgenden notwendigen Cookies:

Wir verwenden auf unserer Plattform die folgenden notwendigen Cookies:

ProviderKey
- Anbieter: Plattformbetreiber
- Verwendungszweck: Dieses Cookie wird während des Anmeldeprozesses verwendet.
- Speicherdauer: Beim Beenden der Browsersitzung

ReturnURL
- Anbieter: Plattformbetreiber
- Verwendungszweck: Dieses Cookie wird während des Anmeldeprozesses verwendet.
- Speicherdauer: Beim Beenden der Browsersitzung

authCookie
- Anbieter: Plattformbetreiber
- Verwendungszweck: Dieses Cookie wird zur Authentifizierung des Benutzers verwendet. Es enthält eine eindeutige Kennung für den Benutzer.
- Speicherdauer: Beim Beenden der Browsersitzung

cookieAccepted
- Anbieter: Plattformbetreiber
- Verwendungszweck: Speichert die Cookie-Einwilligung
- Speicherdauer: 1 Jahr

RequestVerificationToken
- Anbieter: Microsoft
- Verwendungszweck: Dieses Cookie wird verwendet, um seitenübergreifende Request-Forgery-Angriffe zu verhindern.
- Speicherdauer: Beim Beenden der Browsersitzung

.AspNetCore.Cookies
- Anbieter: Microsoft
- Verwendungszweck: Dieses Cookie wird zur Authentifizierung des Benutzers verwendet. Es enthält eine eindeutige Kennung für den Benutzer.
- Speicherdauer: Beim Beenden der Browsersitzung

.AspNetCore.Antiforgery.*
- Anbieter: Microsoft
- Verwendungszweck: Dieses Cookie wird verwendet, um seitenübergreifende Request-Forgery-Angriffe zu verhindern.
- Speicherdauer: Beim Beenden der Browsersitzung

Rechtsgrundlage für die Speicherung von notwendigen Cookies ist § 25 Abs. 2 Nr. 2 TDDDG.

5.3. Registrierung

Mitarbeiter unserer Vertragspartner können auf unserer Plattform einen Benutzeraccount anlegen. Ein Benutzeraccount kann nur nach erfolgter Einladung durch einen unserer Vertragspartner erfolgen. Versucht der Nutzer einen Benutzeraccount ohne vorherige Einladung anzulegen, wird dem Nutzer die nachfolgende Meldung angezeigt:
„Unbekannter Nutzer: Bitte lassen Sie sich von Ihrem Administrator einen Einladungslink per E-Mail senden.“
Nach erfolgreicher Einladung stehen dem Nutzer die nachfolgenden Möglichkeiten zur Registrierung eines Benutzeraccounts zur Verfügung:

5.3.1 Registrierung per E-Mail

Bei einer Registrierung „mit E-Mail und Passwort“ ist lediglich die Angabe Ihrer E-Mail-Adresse sowie die Vergabe eines Passwortes erforderlich.
Die Verarbeitung Ihrer E-Mail-Adresse und Ihres Passwortes erfolgt zum Zwecke der Durchführung des durch die Registrierung begründeten Nutzungsverhältnisses auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
Die bei der Registrierung Ihres Benutzeraccounts erfassten Daten werden von uns gespeichert, solange Sie als Nutzer unserer Plattform registriert sind und werden anschließend gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

5.3.2 Facebook Login

Wir verwenden auf unserer Plattform den Dienst „Facebook Login“ der Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland (nachfolgend „Meta“). Mittels Facebook Login stellen wir Ihnen eine ergänzende Möglichkeit für die Registrierung bereits. Statt einer Registrierung per E-Mail können Sie Ihre Login-Daten von Facebook verwenden, um unsere Plattform zu nutzen. Wenn Sie sich für eine Nutzung von Facebook Login entscheiden und auf den „Facebook-Button“ klicken, werden Sie automatisch auf die Plattform von Facebook weitergeleitet. Dort werden Sie darum gebeten, Ihre Login-Daten anzugeben und sich bei Facebook anzumelden oder zu registrieren. Sind Sie zu diesem Zeitpunkt bereits bei Facebook eingeloggt, wird die Aufforderung zur Anmeldung übersprungen.
Durch die Nutzung von Facebook Login erhalten wir keinen Zugriff auf deine Login-Daten für die Nutzung von Facebook. Bei der Nutzung von Facebook Login werden Facebook-Profildaten und von Meta als „öffentliche Inhalte“ bezeichnete Daten (https://www.facebook.com/privacy/policy) aus deinem Facebook-Profil an uns übermittelt. Öffentliche Inhalte sind nach den Angaben von Meta solche, die von Ihnen öffentlich zugänglich gemacht werden oder für die jeweilige Anwendung freigegeben werden. Hierzu zählen Ihr Name, Ihr Profil- und Titelbild, Ihr Geschlecht, Netzwerke, Nutzername (Facebook URL) und Nutzerkennnummer (Facebook ID). Umgekehrt können auch Daten von uns über den Graph API Explorer an Facebook übertragen werden. Wenn Sie Facebook Login nutzen um sich für die Nutzung unserer Plattform zu registrieren, speichern und verarbeiten wir deine an uns übertragenen Daten zum Zwecke der Registrierung.
Die Registrierung mit Facebook Login und die damit verbundenen Datenverarbeitungsvorgänge erfolgen auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Eine Verarbeitung vorstehender Informationen durch die Meta Platforms Ireland Limited können Sie dadurch verhindern, dass Sie unsere Registrierungsmaske verwenden und Facebook Login nicht nutzen.
Wir sind gemeinsam mit Meta für die infolge der Einbindung von Facebook Login stattfindende Verarbeitung Ihrer personenbezogenen Daten verantwortlich. Wir haben mit Meta eine Vereinbarung über die gemeinsame Verarbeitung personenbezogener Daten geschlossen, im Rahmen derer die jeweiligen Verantwortlichkeiten festgelegt werden. Die zwischen uns und Meta geschlossene Vereinbarung kann unter dem nachfolgenden Link eingesehen werden:
https://www.facebook.com/legal/controller_addendum
Nach der Vereinbarung sind wir insbesondere für die Erfüllung der Informationspflichten gemäß der Art. 13, 14 DSGVO, für die Einhaltung der Sicherheitsvorgaben des Art. 32 DSGVO im Hinblick auf die korrekte technische Implementierung und Konfiguration von Facebook Login. Meta obliegt nach der geschlossenen Vereinbarung insbesondere die Gewährleistung der Betroffenenrechte gemäß den Art. 15 – 20 DSGVO sowie der Sicherheit von Facebook Login gemäß Art. 32 DSGVO.
Nach der Vereinbarung sind wird darüber hinaus dazu verpflichtet Sie auf die Datenrichtlinie von Meta hinzuweisen, die Du hier finden kannst. Facebook verarbeitet deine Daten aufgrund deiner Facebook erteilten Einwilligung. Deine Rechte als betroffene Person kannst Du über die Einstellungen im Profilbereich vornehmen. Du kannst hier dein Widerspruchrecht ausüben und hier dein Recht auf Löschung durchsetzen.
Nach der mit Meta geschlossenen Vereinbarung sind wir darüber hinaus dazu verpflichtet, darauf hinzuweisen, dass die gemäß Art. 13 Abs. 1 lit. a) und b) DSGVO erforderlichen Informationen in der Datenschutzrichtlinie von Meta (https://www.facebook.com/privacy/policy/) zu finden sind. Meta verarbeitet deine Daten aufgrund Ihrer gegenüber Meta erteilten Einwilligung. Ihre Rechte als betroffene Person, die in der Datenschutzrechtlinie von Meta unter https://www.facebook.com/about/privacy zu finden sind, können Sie gegenüber Meta ausüben.
Es ist denkbar, dass einige der von Facebook erfassten Informationen auch außerhalb der Europäischen Union durch die Meta Plattforms Inc., Deborah Crawford 1601 Willow Road Menlo Park, California 94025, USA verarbeitet werden.
Die Europäische Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die USA angenommen, das sog. EU-U.S. Data Privacy Framework. Danach bieten Unternehmen, die nach dem EU-U.S. Data Privacy Framework zertifiziert sind, ein angemessenes Datenschutzniveau. Die Meta Plattforms Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert:
https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000GnywAAC&status=Active

5.3.3 Google Sign-In

Wir bieten Ihnen darüber hinaus die Möglichkeit an, sich für unsere Plattform mittels Google Sign-In zu registrieren. Google Sign-In ist ein Dienst der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Ireland.

Zur Anmeldung bzw. Registrierung werden Sie auf eine Seite von Google weitergeleitet, auf welcher Sie sich mit den Zugangsdaten zu Ihrem Google-Account anmelden können. Hierdurch wird Ihr Google-Account mit unserer Plattform verknüpft. Durch die Verknüpfung erhalten wir automatisch Zugriff auf folgende Daten Ihres Google-Accounts:

• Vor- und Nachname
  
• E-Mail-Adresse
  
• Geschlecht
  
• Ihre Google-Nutzerkennung
  

Die Registrierung mit Google Sign-In und die damit verbundenen Datenverarbeitungsvorgänge erfolgen auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Eine Verarbeitung vorstehender Informationen durch Google können Sie dadurch verhindern, dass Sie unsere Registrierungsmaske verwenden Google Sign-In nicht nutzen. Weitere Informationen zu Google Sign-In und den Privatsphäre-Einstellungen entnehmen Sie bitte den Datenschutzhinweisen (https://policies.google.com/privacy) und den Nutzungsbedingungen (https://policies.google.com/terms) von Google.

5.3.4 Microsoft Single-Sing-On

Letztlich besteht die Möglichkeit, sich für unsere Plattform mittels Microsoft Single-Sign-On zu registrieren. Microsoft Single-Sign-On ist ein Dienst der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA.

Zur Anmeldung bzw. Registrierung werden Sie auf eine Seite von Microsoft weitergeleitet, auf welcher Sie sich mit den Zugangsdaten zu Ihrem Microsoft-Account anmelden können. Hierdurch wird Ihr Microsoft-Konto mit unserer Plattform verknüpft und wir erhalten Zugriff auf die nachfolgenden Daten Ihres Microsoft-Kontos:

• Name
  
• Geschlecht
  
• Anzeigebild
  
• Kontakte
  
• Freunde
  
• E-Mail-Adresse
  
• Microsoft Identificator
  

Die Registrierung mit Microsoft Single-Sign-On und die damit verbundenen Datenverarbeitungsvorgänge erfolgen auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Weitere Informationen zu Microsoft Single-Sign-On und den Privatsphäre-Einstellungen entnehmen Sie bitte den Datenschutzhinweisen (https://privacy.microsoft.com/de-de/privacystatement) von Microsoft.

5.3.5. Mit Apple anmelden

Wir bietet Ihnen die Möglichkeit, sich für unsere Plattform mit Ihrer Apple-ID anzumelden („Mit Apple anmelden“). Diese Anmeldefunktion ist ein Dienst der Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland (nachfolgend „Apple“). Eine zusätzliche Registrierung auf unserer Plattform ist dann nicht erforderlich.
Sofern Sie sich auf unserer Plattform mit Ihrer Apple-ID anmelden möchten, werden Sie auf die Webseite von Apple weitergeleitet, auf der Sie sich mit Ihrer Apple-ID anmelden können. Hierbei werden Ihre Apple-ID und unsere Plattform miteinander verknüpft. Dabei haben sie die Möglichkeit, entweder die bei Apple hinterlegte E-Mail-Adresse („E-Mail-Adresse teilen“) oder eine pseudonymisierte E-Mail-Adresse zu nutzen („Meine E-Mail-Adresse verbergen“). Wenn Sie die Option „E-Mail-Adresse teilen“ auswählen, erhalten wir die E-Mail-Adresse und den Namen, die mit Ihrer Apple-ID verknüpft sind. Mit der Funktion „Meine E-Mail-Adresse verbergen“ ermöglicht Apple die Registrierung für Dienste außerhalb von Apple wie etwa unsere Plattform, ohne dabei die bei Apple hinterlege E-Mail-Adresse im Klartext preiszugeben. Wenn Sie diese Funktion bei der Erstellung eines neuen Cloudtime-Nutzerkontos verwenden, generiert Apple eine zufällige E-Mail-Adresse mit der Domain @privaterelay.appleid.com. Alles, was an diese Adresse gesendet wird, wird automatisch an die mit der Apple-ID verknüpfte E-Mail-Adresse weitergeleitet. Wenn Sie die Anmeldefunktion nutzen, wird die jeweilige IP-Adresse an Apple übertragen.
Die Nutzung von „mit Apple anmelden“ und die damit verbundenen Datenverarbeitungsvorgänge erfolgen auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen zur Datenverarbeitung durch Apple können Sie den Datenschutzhinweisen von Apple entnehmen: https://www.apple.com/legal/privacy/de-ww/

5.4 NUTZUNG DER PLATTFORM

5.4.1 Stammdaten

Für Vertragspartner bzw. für Nutzer mit einer entsprechenden Berechtigung besteht die Möglichkeit, durch die Eingabe der nachfolgenden Stammdaten Personen anzulegen, deren (Arbeits-)Zeiten über unsere Plattform erfasst werden sollen:
- Nachname
- Vorname
- Personengruppe (bspw. Produktion, Support, Vertrieb)
- Personalnummer
- Anrede
- Titel
Den angelegten Personen können sog. „Identmedien“ (PIN, Transponder oder Nutzernamen) zugeordnet werden, mittels derer die angelegten Personen zum Zwecke der Zeiterfassung identifiziert werden können. Nähere Informationen zur Datenverarbeitung im Zusammenhang mit der Zeiterfassung sind in dieser Datenschutzerklärung unter Ziff. 5.4.2 enthalten.

Wir sind für die Verarbeitung der Stammdaten Auftragsverarbeiter unserer Vertragspartner. Der Vertragspartner als Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO hat sicherzustellen, dass dieser zur Verarbeitung dieser Daten – d. h. insbesondere zur Eingabe dieser Daten auf unserer Plattform sowie zur Weitergabe an uns – berechtigt ist.

5.4.2 Zeiterfassung

Für die Erfassung von Zeiten bestehen für den Nutzer – nach Wahl unseres Vertragspartners – mehrere Möglichkeiten: Soweit der Nutzer durch unseren Vertragspartner zur Nutzung unserer Plattform eingeladen wurde, kann dieser einen eigenen Benutzeraccount auf unserer Plattform anlegen (vgl. Ziff. 5.3). Registrierte Nutzer können Ihre Arbeitszeiten nach erfolgreichem Login selbstständig direkt über unsere Plattform oder alternativ über die von uns angebotene App „cti mobile ze“ erfassen. Nähere Informationen zur Verarbeitung Ihrer personenbezogenen Daten bei Nutzung der „cti mobile ze“ App können Sie der Datenschutzerklärung für die von uns angebotene App entnehmen https://www.cti-lean.com/datenschutzerklaerung-cti-mobile-app Eine Zeiterfassung ist auch ohne Registrierung über ein von unserem Vertragspartner bereitgestelltes Tablet oder vergleichbares Endgerät möglich. Die Identifizierung des Nutzers erfolgt in diesem Fall über eine vom Vertragspartner festgelegte PIN (vgl. Ziff. 5.4.1). Die Erfassung von Zeiten ist darüber hinaus über ein von unserem Vertragspartner bereitgestelltes Terminal unter Verwendung eines dem Nutzer vom Vertragspartner zugeordneten Transponders möglich (vgl. Ziff. 5.4.1).

Zur Zeiterfassung werden die nachfolgenden personenbezogenen Daten verarbeitet:

• Datum und Uhrzeit
  
• BuchungsArt (Kommen, Gehen,..)
  
• PersonIdentifikator
  
• GPS-Koortdinaten (wenn aktiv)
  
• Alle Eingaben, die der Nutzer bei seiner Zeiterfassungsbuchungsbuchung bewusst vornimmt
  

Für die zeitwirtschaftliche Auswertung werden die nachfolgenden personenbezogenen Daten verarbeitet:

• Vom Vertragspartner eingegebene zeitwirtschaftliche Stammdaten (vertragliche Arbeitszeit, zugeordnetes Zeitmodell)

• Vom Vertragspartner eingegebene Plandaten (Fehlzeiten wie Krank- und Urlaubstage) (bei Nutzung der Funktion „Fehlzeitkalender oder Arbeitskalender“)

• Fehlzeit- und Korrekturanträge der Benutzer (bei Nutzung der Funktion Workflow)

Die vom Nutzer erfassten Zeiten werden an unseren Vertragspartner übermittelt. Auf die Verarbeitung der vom Nutzer erfassten Zeiten durch unseren Vertragspartner haben wir keinen Einfluss, sie erfolgt ausschließlich durch unseren Vertragspartner. Dementsprechend sind wir für die weitergehende Verarbeitung der von Ihnen erfassten Zeiten nicht verantwortlich; die Verantwortung hierfür liegt allein bei unserem Vertragspartner.

5.5. Datenerhebung zur Fehlerbehebung und zu Analysezwecken

Wir verwenden den Webanalysedienst Application Insights. Application Insights ist ein Dienst der Cloud-Plattform Azure der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA („Microsoft“). Dieser Dienst sammelt Telemetriedaten der genutzten Anwendung. Bei diesen Daten handelt es sich um anonyme statistische Daten. Die Herstellung eines Personenbezugs ist aufgrund dieser Daten nicht möglich. Die durch den Nutzer verwendete IP-Adresse wird verkürzt und damit anonymisiert.

Application Insights ermöglicht es uns, die Ausführung unserer Plattform zu überwachen und zu verbessern. Über Application Insights können wir auf Diagramme und Tabellen zugreifen, die beispielsweise Aufschluss darüber geben, zu welchen Tageszeiten das Benutzerinteresse besonders groß ist, wie gut die Plattform reagiert und wie gut sie von externen Diensten versorgt wird, von denen sie unter Umständen abhängig ist. Im Falle von Störungen, Fehlern oder Leistungsproblemen können wir die Telemetriedaten im Detail durchsuchen, um die Fehlerursache zu ermitteln. Dies ermöglicht es uns, unsere Dienste unseren Nutzern mit hoher Verfügbarkeit und Qualität anzubieten. Application Insights erhebt insbesondere die nachfolgenden personenbezogenen Daten:

• Zeitstempel;
• Betriebssystem;
• Ladezeit;
• Bildschirmauflösung;
• Region und Sprache;
• Ungefähre Position des Benutzers anhand der IP-Adresse.

Microsoft beschreibt auf der nachfolgenden Seite im Detail, was Application Insights leistet, welche Daten verarbeitet werden und wie lange diese gespeichert werden: https://docs.microsoft.com/de-de/azure/application-insights/app-insights-data-retention-privacy Die erhobenen Informationen über Ihre Benutzung unserer Webseite, unserer Geräte und unserer App werden in der Regel an einen Server von Microsoft innerhalb der EU übertragen und dort gespeichert. In Ausnahmesituationen kann Microsoft auch die Daten zur Aufrechterhaltung des Dienstes auf Server außerhalb der EU übertragen. Die Rohdaten der Telemetrie werden nach 90 Tagen gelöscht.

Wir erfassen zusätzlich:

• App Identifikator
• Telemetrie Session Identifikator
• Browser Identifikator (User Agent String)
• Firma Identifikator
• Auftretende Fehlermeldungen
• Bedienabläufe

Weitergehende Informationen von Microsoft zum Thema Datenschutz und Azure finden Sie unter:

http://azure.microsoft.com/de-de/support/trust-center/privacy/

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Optimierung und dem wirtschaftlichen Betrieb unserer Plattform.

5.6. Hosting

Unsere Plattform wird bei einem externen Dienstleister, der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, auf einem Server in Frankfurt am Main gehostet. Die bei der Nutzung unserer Plattform erhobenen Daten, werden auf den Servern unseres Hosters gespeichert. Bei diesen Daten handelt es sich insbesondere um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Kontaktdaten, Plattformzugriffe und sonstige Daten, die im Rahmen der Nutzung unserer Plattform anfallen.

Der Einsatz unseres Hosters erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebotes durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner vertraglich übernommenen Leistungspflichten erforderlich ist. Weitere Informationen erhalten Sie in der Datenschutzerklärung der Microsoft Corporation unter:

https://privacy.microsoft.com/de-de/privacystatement

Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Auftragsverarbeitungsvertrag mit dem von uns eingesetzten Hoster geschlossen.

5.7. Weitere Verarbeitungszwecke

5.7.1. Einhaltung gesetzlicher Vorschriften

Wir verarbeiten Ihre personenbezogenen Daten zudem um sonstige gesetzliche Pflichten, die uns ggf. im Zusammenhang mit unserer Geschäftstätigkeit treffen, zu erfüllen. Hierzu zählen insbesondere handels-, gewerbe- oder steuerrechtliche Aufbewahrungsfristen. Wir verarbeiten Ihre personenbezogenen Daten dabei gemäß Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen.

5.7.2. Rechtsdurchsetzung

Wir verarbeiten Ihre personenbezogenen Daten zudem, um unsere Rechte geltend und unsere rechtlichen Ansprüche durchsetzen zu können. Ebenfalls verarbeiten wir Ihre personenbezogenen Daten, um uns gegen rechtliche Ansprüche verteidigen zu können. Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten erforderlich ist. Wir verarbeiten Ihre personenbezogenen Daten hierbei zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, soweit wir rechtliche Ansprüche geltend machen oder uns bei rechtlichen Streitigkeiten verteidigen oder wir Straftaten verhindern oder aufklären (berechtigtes Interesse).

6. Empfänger von Daten

Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen (z. B. technischen Dienstleister, Versandunternehmen, Entsorgungsunternehmen) können zu diesen Zwecken Daten erhalten. Wir beschränken die Weitergabe Ihrer personenbezogenen Daten dabei auf das Notwendige unter Berücksichtigung der datenschutzrechtlichen Vorgaben. Teilweise erhalten die Empfänger Ihre personenbezogenen Daten als Auftragsverarbeiter und sind dann bei dem Umgang mit Ihren personenbezogenen Daten streng an unsere Weisungen gebunden. Teilweise agieren die Empfänger selbstständig in eigener datenschutzrechtlicher Verantwortlichkeit und sind hierbei ebenfalls verpflichtet, die Anforderungen der DSGVO und sonstiger datenschutzrechtlicher Bestimmungen zu wahren.

Schließlich übermitteln wir im Einzelfall personenbezogene Daten an unsere Berater in rechtlichen oder steuerlichen Angelegenheiten, wobei diese Empfänger aufgrund ihrer berufsrechtlichen Stellung zur besonderen Vertraulichkeit und Geheimhaltung verpflichtet sind.

7. Dauer der Datenspeicherung

Wir verarbeiten und speichern Ihre personenbezogenen Daten zunächst für die Dauer des jeweiligen Nutzungszwecks (vgl. oben zu den einzelnen Verarbeitungszwecken). Das schließt ggf. auch die Zeiträume der Anbahnung eines Vertrages (vorvertragliches Rechtsverhältnis) und der Abwicklung eines Vertrages mit ein. Auf dieser Grundlage werden personenbezogene Daten im Rahmen der Erfüllung unserer vertraglichen und/oder gesetzlichen Pflichten regelmäßig gelöscht, es sei denn, ihre befristete Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

• Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z. B. aus dem Handelsgesetzbuch (§§ 238, 257 Abs. 4 HGB) und der Abgabenordnung (§ 147 Abs. 3, 4 AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre.

• Erhaltung von Beweismitteln unter Berücksichtigung der Verjährungsvorschriften. Nach den §§ 194 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

8. Ihre Rechte

Als von der Verarbeitung betroffene Person stehen Ihnen unter den gesetzlichen Voraussetzungen die nachfolgenden Rechte zu:

8.1. Auskunftsrecht

Sie sind jederzeit berechtigt, im Rahmen von Art. 15 DSGVO von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten; ist dies der Fall, sind Sie im Rahmen von Art. 15 DSGVO ferner berechtigt, Auskunft über diese personenbezogenen Daten sowie bestimmte weitere Informationen (insb. Verarbeitungszwecke, Kategorien personenbezogener Daten, Kategorien von Empfängern, geplante Speicherdauer, die Herkunft der Daten, den Einsatz einer automatisierten Entscheidungsfindung und im Fall des Drittlandtransfers die geeigneten Garantien) und eine Kopie Ihrer Daten zu erhalten. Es gelten die Einschränkungen des § 34 BDSG.

8.2. Recht auf Berichtigung

Sie sind gemäß Art. 16 DSGVO berechtigt, von uns zu verlangen, dass wir über Sie gespeicherte personenbezogene Daten berichtigen, wenn diese unzutreffend oder fehlerhaft sind.

8.3. Recht auf Löschung

Sie sind berechtigt, unter den Voraussetzungen von Art. 17 DSGVO von uns zu verlangen, dass wir Sie betreffende personenbezogene Daten unverzüglich löschen. Das Recht auf Löschung besteht u. a. nicht, wenn die Verarbeitung Ihrer personenbezogenen Daten erforderlich ist z. B. zur Erfüllung einer rechtlichen Verpflichtung (bspw. gesetzliche Aufbewahrungspflichten) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Darüber hinaus gelten die Einschränkungen des § 35 BDSG.

8.4. Recht auf Einschränkung der Verarbeitung

Sie sind berechtigt, unter den Voraussetzungen von Art. 18 DSGVO von uns zu verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten einschränken.

8.5. Recht auf Datenübertragbarkeit

Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO von uns zu verlangen, dass wir Ihnen die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format übergeben.

8.6. Widerrufsrecht

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt wurden. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind von dem Widerruf der Einwilligung nicht betroffen. Zur Erklärung des Widerrufs reicht eine formlose Mitteilung z. B. per E-Mail an uns.

8.7. Widerspruchsrecht

Sie sind berechtigt, unter den Voraussetzungen von Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, sodass wir die Verarbeitung Ihrer personenbezogenen Daten beenden müssen. Das Widerspruchsrecht besteht nur in den in Art. 21 DSGVO vorgesehenen Grenzen. Zudem können unsere Interessen einer Beendigung der Verarbeitung entgegenstehen, sodass wir trotz Ihres Widerspruchs berechtigt sind, Ihre personenbezogenen Daten zu verarbeiten. Einen Widerspruch gegen etwaige Direktmarketingmaßnahmen werden wir unmittelbar und ohne nochmalige Abwägung der bestehenden Interessen berücksichtigen.

Information über Ihr Widerspruchsrecht nach Art. 21 DSGVO

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) oder Art. 7 Abs. 1 S. 1 lit. e DSGVO (Datenverarbeitung im öffentlichen Interesse) erfolgt, Widerspruch einzulegen, wenn dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

CTI Commerzielle und Technische Informationssysteme GmbH
Eythstrasse 11
04129 Leipzig
E-Mail: info@cti-lean.com
Tel.: +49 (0) 341 223877 60

8.8. Beschwerderecht bei einer Aufsichtsbehörde

Unter den Voraussetzungen von Art. 77 DSGVO steht Ihnen ein Beschwerderecht bei einer zuständigen Aufsichtsbehörde zu. Insbesondere können Sie sich mit einer Beschwerde an die für uns zuständige Aufsichtsbehörde (Sächsische Datenschutz- und Transparenzbeauftragte; https://www.datenschutz.sachsen.de/kontakt.html) oder eine sonstige zuständige Aufsichtsbehörde wenden. Eine Liste der Datenschutzaufsichtsbehörden sowie deren Kontaktdaten können folgendem Link entnommen werden:

https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

8.9. Sonstige Anliegen

Für weitergehende Datenschutzfragen und -anliegen steht Ihnen unser Datenschutzbeauftragter unter den oben angegebenen Kontaktdaten zur Verfügung.

9. Pflicht zur Bereitstellung von Daten

Grundsätzlich sind Sie nicht verpflichtet, uns Ihre personenbezogenen Daten mitzuteilen. Wenn Sie dies jedoch nicht tun, werden wir Ihnen unsere Webseite nicht uneingeschränkt zur Verfügung stellen können oder Ihre Anfragen an uns nicht beantworten können. Personenbezogene Daten, die wir nicht zwingend für die oben genannten Verarbeitungszwecke benötigen, sind entsprechend als freiwillige Angaben gekennzeichnet.

10. Automatisierte Entscheidungsfindung/Profiling

Wir setzen keine automatisierte Entscheidungsfindung oder ein Profiling (eine automatische Analyse Ihrer persönlichen Umstände) ein.