DSGVO-Konformität

WorkTime One entspricht vollständig der EU-Datenschutz-Grundverordnung (DSGVO). Erfahren Sie mehr über Ihre Rechte und wie wir Ihre personenbezogenen Daten schützen.

Zuletzt aktualisiert: 18. November 2025

DSGVO-konform seit 2018
EU-Rechenzentren verfügbar
Standardvertragsklauseln

Inhaltsverzeichnis

1. DSGVO-Übersicht

Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz, das am 25. Mai 2018 in der gesamten Europäischen Union und im Europäischen Wirtschaftsraum in Kraft getreten ist. Sie legt strenge Anforderungen fest, wie Organisationen personenbezogene Daten von EU-Bürgern erheben, verarbeiten, speichern und schützen.

Was sind personenbezogene Daten?

Gemäß DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören:

  • Grundlegende Identität: Name, Adresse, E-Mail-Adresse, Telefonnummer
  • Arbeitsinformationen: Mitarbeiter-ID, Berufsbezeichnung, Abteilung, Gehalt
  • Technische Daten: IP-Adressen, Geräte-IDs, Browser-Fingerabdrücke
  • Standortdaten: Geografischer Standort von Smart Locks
  • Biometrische Daten: Fingerabdrücke für Smart Lock-Authentifizierung
  • Verhaltensdaten: Arbeitszeiten, Anwesenheitsmuster, Zeiterfassungsaufzeichnungen

Wichtige DSGVO-Grundsätze

WorkTime One hält sich an alle sieben DSGVO-Grundsätze:

1. Rechtmäßigkeit, Fairness & Transparenz

Daten werden rechtmäßig, fair und transparent mit klaren Datenschutzhinweisen verarbeitet

2. Zweckbindung

Daten werden nur für festgelegte, legitime Zwecke erhoben

3. Datenminimierung

Es werden nur für den angegebenen Zweck erforderliche Daten erhoben

4. Richtigkeit

Personenbezogene Daten werden genau und aktuell gehalten

5. Speicherbegrenzung

Daten werden nur so lange aufbewahrt, wie es erforderlich ist

6. Integrität & Vertraulichkeit

Daten werden mit angemessenen Sicherheitsmaßnahmen geschützt

7. Rechenschaftspflicht

Nachweis der Einhaltung durch Dokumentation und Richtlinien

2. Unsere Rolle unter der DSGVO

Datenverantwortlicher vs. Datenverarbeiter

WorkTime One handelt je nach Kontext in unterschiedlichen Funktionen:

WorkTime One als Datenverantwortlicher

Für die Kontodaten Ihrer Organisation (Firmenname, Rechnungsinformationen, Admin-Benutzer) sind wir der Datenverantwortliche. Wir bestimmen, wie und warum diese Daten verarbeitet werden.

Beispiele: Kontoregistrierung, Abrechnung, Kundensupport, Servicekommunikation

WorkTime One als Datenverarbeiter

Für Mitarbeiter-Zeiterfassungsdaten, die Sie hochladen und verwalten, sind wir der Datenverarbeiter. Sie (der Kunde) sind der Datenverantwortliche und bestimmen die Zwecke und Mittel der Verarbeitung.

Beispiele: Mitarbeiternamen, Arbeitsstunden, Anwesenheitsaufzeichnungen, biometrische Daten, Standortdaten

Ihre Verantwortlichkeiten als Datenverantwortlicher

Bei der Verwendung von WorkTime One zur Verfolgung der Mitarbeiterzeit sind Sie der Datenverantwortliche und verantwortlich für:

  • Erlangung einer rechtlichen Grundlage für die Verarbeitung von Mitarbeiterdaten (z.B. Einwilligung, Vertrag, berechtigtes Interesse)
  • Bereitstellung von Datenschutzhinweisen für Mitarbeiter, die die Datenerhebung und -nutzung erklären
  • Einholung ausdrücklicher Einwilligung für die Erhebung biometrischer Daten (Fingerabdrücke)
  • Beantwortung von Anfragen der Mitarbeiter zu Betroffenenrechten
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen
  • Einhaltung lokaler Arbeitsgesetze und Vorschriften zur Mitarbeiterüberwachung
  • Durchführung von Datenschutz-Folgenabschätzungen (DSFA), wo erforderlich

3. Rechtsgrundlage für die Verarbeitung

Die DSGVO erfordert eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. WorkTime One stützt sich auf folgende Rechtsgrundlagen:

Vertrag (Artikel 6(1)(b))

Verarbeitung, die zur Erbringung unserer Dienstleistungen gemäß unseren Nutzungsbedingungen erforderlich ist. Dies gilt für Kontoverwaltung, Abrechnung und Kernfunktionen des Dienstes.

Berechtigtes Interesse (Artikel 6(1)(f))

Verarbeitung für Sicherheit, Betrugsprävention und Serviceverbesserung. Wir wägen unsere Interessen gegen Ihre Rechte und Freiheiten ab.

Einwilligung (Artikel 6(1)(a))

Marketingkommunikation und optionale Funktionen erfordern Ihre ausdrückliche Einwilligung. Sie können die Einwilligung jederzeit widerrufen.

Rechtliche Verpflichtung (Artikel 6(1)(c))

Gesetzlich vorgeschriebene Verarbeitung, wie Steuerunterlagen, finanzielle Compliance und Beantwortung rechtlicher Anfragen.

Besondere Kategorien von Daten (Biometrie)

Biometrische Daten (Fingerabdrücke) gelten gemäß DSGVO Artikel 9 als "besondere Kategorie" von Daten und erfordern zusätzlichen Schutz. Die Verarbeitung ist rechtmäßig unter:

  • Ausdrückliche Einwilligung (Artikel 9(2)(a)): Sie müssen eine ausdrückliche, informierte Einwilligung der Mitarbeiter für die Fingerabdruckerfassung einholen
  • Beschäftigungskontext (Artikel 9(2)(b)): Die Verarbeitung kann für Beschäftigungsverpflichtungen nach nationalem Recht erforderlich sein
  • Sicherheitsmaßnahmen: Biometrische Daten werden gehasht, verschlüsselt und getrennt von anderen personenbezogenen Daten gespeichert
  • Widerrufsrecht: Mitarbeiter können die Einwilligung widerrufen und jederzeit die Löschung biometrischer Daten beantragen

4. Ihre Betroffenenrechte

Gemäß DSGVO haben Sie umfassende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Artikel 15)

Sie haben das Recht zu erfahren, ob wir Ihre personenbezogenen Daten verarbeiten, und auf diese Daten zuzugreifen.

So machen Sie Ihr Recht geltend:

  • Melden Sie sich in Ihrem Konto an und navigieren Sie zu Einstellungen → Datenexport
  • Exportieren Sie Ihre Daten im CSV-, JSON- oder Excel-Format
  • Senden Sie eine E-Mail an [email protected] für umfassende Datenanfragen
  • Wir antworten innerhalb von 30 Tagen (kostenlos)

Recht auf Berichtigung (Artikel 16)

Sie haben das Recht, unrichtige personenbezogene Daten berichtigen oder vervollständigen zu lassen.

So machen Sie Ihr Recht geltend:

  • Aktualisieren Sie Ihre Kontoinformationen direkt in den Einstellungen
  • Administratoren können Mitarbeiterinformationen im Bereich Mitarbeiterverwaltung aktualisieren
  • Für Korrekturen, die unsere Unterstützung erfordern, kontaktieren Sie [email protected]
  • Wir korrigieren Ungenauigkeiten innerhalb von 30 Tagen

Recht auf Löschung / Recht auf Vergessenwerden (Artikel 17)

Sie haben das Recht, unter bestimmten Umständen die Löschung Ihrer personenbezogenen Daten zu verlangen.

So machen Sie Ihr Recht geltend:

  • Schließen Sie Ihr Konto über Einstellungen → Konto → Konto löschen
  • Mitarbeiter können die Löschung beantragen, indem sie sich an ihren Arbeitgeber (Datenverantwortlichen) wenden
  • Senden Sie eine E-Mail an [email protected] für Löschanträge
  • Daten werden innerhalb von 30 Tagen gelöscht (ausgenommen gesetzliche Aufbewahrungspflichten)
  • Backups werden innerhalb von 90 Tagen bereinigt

Hinweis: Wir können bestimmte Daten aufbewahren, wenn dies gesetzlich vorgeschrieben ist (z.B. Steuerunterlagen für 7 Jahre)

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Sie können verlangen, dass wir die Verarbeitung Ihrer Daten in bestimmten Situationen einschränken.

Wann verfügbar:

  • Sie bestreiten die Richtigkeit der Daten (während der Überprüfung)
  • Die Verarbeitung ist unrechtmäßig, aber Sie wünschen keine Löschung
  • Wir benötigen die Daten nicht mehr, aber Sie benötigen sie für Rechtsansprüche
  • Sie haben der Verarbeitung widersprochen (bis zur Überprüfung berechtigter Gründe)

Recht auf Datenübertragbarkeit (Artikel 20)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Unterstützte Formate:

  • CSV (Comma-Separated Values)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Direkte API-Übertragung an einen anderen Dienst (kontaktieren Sie uns für Unterstützung)

Widerspruchsrecht (Artikel 21)

Sie haben das Recht, der Verarbeitung auf Grundlage berechtigter Interessen oder für Direktmarketing zu widersprechen.

So machen Sie Ihr Recht geltend:

  • Widerspruch gegen Marketing: Abmeldelink in E-Mails oder Einstellungen → Benachrichtigungen
  • Widerspruch gegen Profiling: Kontaktieren Sie [email protected]
  • Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen: Wir werden aufhören, es sei denn, wir weisen zwingende berechtigte Gründe nach

Rechte in Bezug auf automatisierte Entscheidungsfindung (Artikel 22)

Sie haben das Recht, keinen ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen unterworfen zu werden, die Sie erheblich beeinträchtigen.

WorkTime One-Position: Wir treffen keine automatisierten Entscheidungen, die Rechtswirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Gehaltsberechnungen und Strafbewertungen basieren auf transparenten, von Ihnen (dem Arbeitgeber) definierten Regeln und können manuell überprüft und angepasst werden.

5. Datenschutzmaßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen um, um angemessene Sicherheit zu gewährleisten:

Technische Maßnahmen

  • Verschlüsselung: AES-256-Verschlüsselung für ruhende Daten, TLS 1.3 für Daten in der Übertragung
  • Pseudonymisierung: Wo möglich, pseudonymisieren wir Daten zur Verringerung von Datenschutzrisiken
  • Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC) mit dem Prinzip der geringsten Berechtigung
  • Zwei-Faktor-Authentifizierung: Obligatorische 2FA für alle Benutzer verfügbar
  • Automatische Backups: Regelmäßige verschlüsselte Backups mit geografischer Redundanz
  • Eindringlingserkennung: 24/7-Überwachung auf Sicherheitsbedrohungen
  • Schwachstellenmanagement: Regelmäßige Sicherheitstests und Patch-Management

Organisatorische Maßnahmen

  • Datenschutzrichtlinien: Umfassende interne Richtlinien und Verfahren
  • Mitarbeiterschulung: Regelmäßige Datenschutz- und Sicherheitsschulungen für alle Mitarbeiter
  • Vertraulichkeitsvereinbarungen: Alle Mitarbeiter unterzeichnen Geheimhaltungs- und Vertraulichkeitsvereinbarungen
  • Zugangsüberprüfungen: Vierteljährliche Überprüfungen der Mitarbeiterzugriffsberechtigungen
  • Vorfallreaktionsplan: Dokumentierte Verfahren für die Reaktion auf Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen: DSFA werden für Hochrisikoverarbeitungen durchgeführt
  • Lieferantenmanagement: Due Diligence bei allen Auftragsverarbeitern

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

  • Datenschutzüberlegungen von Anfang an in die Produktentwicklung integriert
  • Standardeinstellungen priorisieren Datenschutz
  • Datenminimierung in das Systemdesign integriert
  • Regelmäßige Datenschutzüberprüfungen während des gesamten Produktlebenszyklus

6. Internationale Datenübermittlungen

WorkTime One kann Ihre personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln. Wir stellen sicher, dass angemessene Schutzmaßnahmen vorhanden sind:

Datenspeicherorte

  • Primärspeicher: EU-basierte Rechenzentren (Deutschland, Belgien, Niederlande) über Google Cloud Platform
  • Backups: Repliziert über mehrere EU-Regionen
  • Option für ausschließliche EU-Speicherung: Unternehmenskunden können ausschließliche EU-Datenresidenz anfordern

Übermittlungsmechanismen

Standardvertragsklauseln (SCC)

Wir verwenden von der EU genehmigte Standardvertragsklauseln (SCC) für Datenübermittlungen in Länder ohne Angemessenheitsbeschluss. Unsere SCC beinhalten die Anforderungen aus dem Schrems-II-Urteil.

Angemessenheitsbeschlüsse

Wo möglich, übermitteln wir Daten in Länder mit EU-Angemessenheitsbeschlüssen (z.B. Großbritannien, Schweiz, Kanada unter bestimmten Bedingungen).

Ergänzende Maßnahmen

Wir setzen ergänzende technische Maßnahmen (Verschlüsselung, Pseudonymisierung) zum Schutz außerhalb der EU übermittelter Daten um.

Auftragsverarbeiter

Wir nutzen folgende Auftragsverarbeiter, die personenbezogene EU-Daten verarbeiten können:

Auftragsverarbeiter Zweck Standort Schutzmaßnahmen
Google Cloud Platform Hosting, Datenbank EU (primär) SCC, ISO 27001
Firebase (Google) Authentifizierung, Datenbank EU (primär) SCC, ISO 27001
SendGrid E-Mail-Zustellung USA SCC, PCI DSS
TTLock API Smart-Lock-Integration China SCC, Verschlüsselung

7. Auftragsverarbeitungsvertrag (AVV)

Wie gemäß DSGVO Artikel 28 erforderlich, stellen wir allen Kunden, die WorkTime One zur Verarbeitung von Mitarbeiterdaten nutzen, einen Auftragsverarbeitungsvertrag zur Verfügung.

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich bindender Vertrag zwischen einem Verantwortlichen (Ihnen) und einem Auftragsverarbeiter (uns), der regelt, wie personenbezogene Daten verarbeitet werden. Er stellt sicher, dass wir die DSGVO bei der Verarbeitung Ihrer Daten einhalten.

Unser AVV umfasst

  • Gegenstand und Dauer: Zeiterfassung und Anwesenheitsverwaltung für die Dauer Ihres Abonnements
  • Art und Zweck: Verarbeitung von Mitarbeiter-Zeiterfassungsdaten zur Erbringung unserer Dienstleistungen
  • Arten personenbezogener Daten: Namen, Mitarbeiter-IDs, Arbeitsstunden, biometrische Daten, Standortdaten
  • Kategorien betroffener Personen: Ihre Mitarbeiter und Auftragnehmer
  • Ihre Pflichten: Ihre Verantwortlichkeiten als Verantwortlicher
  • Unsere Pflichten: Unsere Verantwortlichkeiten als Auftragsverarbeiter
  • Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen, die wir umsetzen
  • Unterauftragsverarbeitung: Liste autorisierter Unterauftragsverarbeiter
  • Betroffenenrechte: Unsere Unterstützung bei Betroffenenanfragen
  • Audits und Inspektionen: Ihr Recht, unsere Compliance zu prüfen
  • Datenschutzverletzungsmeldung: Unsere Verpflichtung, Sie über Verletzungen zu informieren
  • Internationale Übermittlungen: SCC und Übermittlungsmechanismen
  • Löschung und Rückgabe: Datenhandhabung bei Vertragsbeendigung

Zugriff: Unser Standard-AVV ist in unsere Nutzungsbedingungen integriert. Unternehmenskunden können einen angepassten AVV unter [email protected] anfordern

8. Meldung von Datenschutzverletzungen

Gemäß DSGVO Artikel 33 und 34 haben wir strenge Verpflichtungen bezüglich der Meldung von Datenschutzverletzungen:

Unsere Verpflichtungen

  • Meldung an Aufsichtsbehörde: Wir melden der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung, die EU-Bürger betrifft
  • Kundenmeldung: Wir informieren betroffene Kunden (Verantwortliche) unverzüglich, typischerweise innerhalb von 24-48 Stunden
  • Meldung an betroffene Personen: Wenn die Verletzung ein hohes Risiko für Einzelpersonen darstellt, unterstützen wir Sie bei der Benachrichtigung betroffener Personen
  • Verletzungsdokumentation: Wir führen Aufzeichnungen über alle Verletzungen, einschließlich Fakten, Auswirkungen und Abhilfemaßnahmen

Was wir Ihnen mitteilen

  • Art der Verletzung (was passiert ist)
  • Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Mögliche Folgen der Verletzung
  • Maßnahmen, die wir ergriffen haben oder vorzunehmen beabsichtigen, um die Verletzung zu beheben
  • Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen
  • Kontaktinformationen für weitere Anfragen

Ihre Pflichten als Verantwortlicher

Wenn wir Sie über eine Verletzung informieren, die die Daten Ihrer Mitarbeiter betrifft, müssen Sie möglicherweise:

  • Beurteilen, ob die Verletzung ein hohes Risiko für Ihre Mitarbeiter darstellt
  • Ihre nationale Aufsichtsbehörde benachrichtigen (falls erforderlich)
  • Betroffene Mitarbeiter benachrichtigen (wenn die Verletzung ein hohes Risiko für deren Rechte und Freiheiten darstellt)
  • Ihre Reaktion auf die Verletzung und Entscheidungen dokumentieren

9. Datenschutzbeauftragter (DSB)

Gemäß DSGVO Artikel 37 haben wir einen Datenschutzbeauftragten ernannt, um unsere Datenschutzstrategie zu überwachen und die Einhaltung sicherzustellen.

DSB-Verantwortlichkeiten

  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze
  • Beratung zu Datenschutz-Folgenabschätzungen (DSFA)
  • Zusammenarbeit mit Aufsichtsbehörden
  • Fungieren als Anlaufstelle für betroffene Personen und Aufsichtsbehörden
  • Schulung der Mitarbeiter zu Datenschutzverpflichtungen
  • Durchführung interner Audits und Bewertungen

Kontaktieren Sie unseren DSB

Sie können unseren Datenschutzbeauftragten direkt für alle DSGVO-bezogenen Fragen oder Bedenken kontaktieren:

E-Mail: [email protected]

Post: Data Protection Officer, WorkTime One, Inc.

Antwortzeit: Wir antworten auf DSB-Anfragen innerhalb von 5 Werktagen

10. Datenschutzrechte von Mitarbeitern

Bei der Verarbeitung von Mitarbeiterdaten über WorkTime One gelten besondere Überlegungen:

Arbeitgeberpflichten

Wichtig: Als Arbeitgeber (Verantwortlicher) haben Sie rechtliche Verpflichtungen gegenüber Ihren Mitarbeitern bezüglich deren Datenschutz.

  • Transparenz: Informieren Sie Mitarbeiter über Zeiterfassung, erhobene Daten und deren Verwendung
  • Rechtsgrundlage: Stellen Sie sicher, dass Sie eine Rechtsgrundlage (normalerweise Vertrag oder berechtigtes Interesse) für die Zeiterfassung haben
  • Einwilligung für Biometrie: Holen Sie ausdrückliche Einwilligung ein, bevor Sie Fingerabdrücke oder andere biometrische Daten erfassen
  • Datenminimierung: Erfassen Sie nur Daten, die für legitime Geschäftszwecke erforderlich sind
  • Mitarbeiterrechte: Ermöglichen Sie die Geltendmachung der Betroffenenrechte der Mitarbeiter (Zugang, Löschung usw.)
  • Betriebsratskonsultation: In einigen EU-Ländern konsultieren Sie Betriebsräte vor der Implementierung von Mitarbeiterüberwachung
  • Nationale Gesetze: Halten Sie nationale Arbeitsgesetze und Vorschriften zur Mitarbeiterüberwachung ein

Vorlage für Mitarbeiter-Datenschutzhinweis

Wir stellen eine Vorlage für Mitarbeiter-Datenschutzhinweise bereit, die Sie für Ihre Organisation anpassen können. Dies hilft Ihnen, die DSGVO-Transparenzanforderungen zu erfüllen.

Download: Fordern Sie unsere Vorlage für Mitarbeiter-Datenschutzhinweise unter [email protected] an

11. Beschwerden bei Aufsichtsbehörden

Gemäß DSGVO Artikel 77 haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, wenn Sie glauben, dass wir Ihre Datenschutzrechte verletzt haben.

So reichen Sie eine Beschwerde ein

Sie können eine Beschwerde bei der Aufsichtsbehörde einreichen in:

  • Dem EU-Mitgliedstaat Ihres gewöhnlichen Aufenthalts
  • Dem EU-Mitgliedstaat Ihres Arbeitsplatzes
  • Dem EU-Mitgliedstaat, in dem der mutmaßliche Verstoß aufgetreten ist

EU-Aufsichtsbehörden

Finden Sie Ihre lokale Datenschutzbehörde:

EU-weite Liste: Europäischer Datenschutzausschuss

Irland (unsere EU-Niederlassung): Data Protection Commission (DPC)

E-Mail: [email protected]

Website: www.dataprotection.ie

Kontaktieren Sie uns zuerst

Wir ermutigen Sie, uns zuerst zu kontaktieren, wenn Sie Bedenken bezüglich unserer Datenverarbeitung haben. Wir sind bestrebt, Probleme direkt zu lösen und werden mit Ihnen zusammenarbeiten, um Ihre Bedenken auszuräumen.

12. Kontaktinformationen

Für DSGVO-bezogene Fragen, Anfragen zu Betroffenenrechten oder andere Datenschutzanliegen:

DSGVO-Anfragen: [email protected]

Datenschutzbeauftragter: [email protected]

Datenschutzteam: [email protected]

Allgemeiner Support: [email protected]

EU-Vertreter: [email protected]

Antwortzeit: Wir antworten auf DSGVO-Anfragen innerhalb von 30 Tagen (gesetzlich vorgeschrieben)

Unsere EU-Niederlassung

Für EU-spezifische Angelegenheiten können Sie unseren EU-Vertreter kontaktieren:

EU-Vertreter: WorkTime One Europe Ltd.

E-Mail: [email protected]

Zuständigkeit: Irland (Federführende Aufsichtsbehörde: Irische DPC)

DSGVO-Ressourcen

Erfahren Sie mehr über Ihre Datenschutzrechte und unsere Einhaltung

Datenschutzrichtlinie

Vollständige Datenschutzpraktiken

Sicherheitsmaßnahmen

Technische Schutzmaßnahmen, die wir umsetzen

Nutzungsbedingungen

Servicevereinbarung und AVV