1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Bei Fragen zum Datenschutz wenden Sie sich bitte an office@baseloq.com.

3. Übersicht der Verarbeitungstätigkeiten

Nachfolgend informieren wir Sie über die einzelnen Verarbeitungstätigkeiten, deren Zweck, die Rechtsgrundlage und die jeweils verarbeiteten Daten.

3.1 Website-Besuch und Protokolldaten

Beim Besuch unserer Website erhebt unser Hosting-Provider (Hostinger International Ltd., Litauen/EU) automatisch Informationen, die Ihr Browser übermittelt. Diese Daten werden zur Bereitstellung und Sicherheit der Website benötigt.

• IP-Adresse (anonymisiert nach 30 Tagen)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite und Referrer-URL
• Browser-Typ und Betriebssystem
• Übertragene Datenmenge

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website). Speicherdauer: Logdaten werden nach 30 Tagen automatisch gelöscht.

3.2 Registrierung und Nutzerkonto

Bei der Registrierung für Baseloq erheben wir folgende Daten:

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Passwort (ausschließlich als bcrypt-Hash gespeichert)
• Firmenname und Mandanteninformationen
• Telefonnummer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Bereitstellung dieser Daten ist für den Vertragsschluss erforderlich. Ohne diese Daten kann kein Nutzerkonto erstellt werden. Speicherdauer: Bis zur Löschung des Nutzerkontos, danach gemäß gesetzlicher Aufbewahrungsfristen (bis zu 7 Jahre nach BAO/UGB).

3.3 Google OAuth (Single Sign-On)

Sie können sich optional über Ihr Google-Konto registrieren und anmelden. Dabei werden folgende Daten von Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) an uns übermittelt:

• Name
• E-Mail-Adresse
• Profilbild-URL
• Google-Nutzer-ID

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Nutzung von Google OAuth ist freiwillig; Sie können sich alternativ mit E-Mail und Passwort registrieren. Drittlandübermittlung: Google LLC (USA) ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung von Google: https://policies.google.com/privacy

3.4 Zwei-Faktor-Authentifizierung (2FA)

Sie können optional die Zwei-Faktor-Authentifizierung (TOTP) aktivieren. Dabei werden folgende Daten verarbeitet:

• TOTP-Geheimschlüssel (AES-256 verschlüsselt gespeichert)
• Backup-Codes (gehasht gespeichert)
• Zeitpunkt der Aktivierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit Ihres Kontos). Die TOTP-Generierung erfolgt lokal auf Ihrem Endgerät.

3.5 Zeiterfassungsdaten

Im Rahmen der Nutzung der Zeiterfassungsfunktion verarbeiten wir folgende Daten Ihrer Mitarbeiter:

• Mitarbeiterdaten (Name, Telefonnummer, Spracheinstellung)
• Arbeitszeiteinträge (Datum, Uhrzeit, Dauer, Pausen)
• Projektinformationen und -zuordnungen
• Notizen und Kommentare zu Einträgen
• Urlaubsanträge, Krankmeldungen und sonstige Abwesenheiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Hinweis zur Doppelrolle: Baseloq verarbeitet die Beschäftigtendaten als Auftragsverarbeiter im Sinne des Art. 28 DSGVO im Auftrag Ihres Unternehmens (des Arbeitgebers). Der Arbeitgeber ist der datenschutzrechtlich Verantwortliche für die Beschäftigtendaten und verpflichtet, seine Mitarbeiter gemäß Art. 13/14 DSGVO zu informieren. Speicherdauer: Gemäß den arbeitsrechtlichen Aufbewahrungspflichten mindestens 2 Jahre (ArbZG), steuer- und handelsrechtlich bis zu 7 bzw. 10 Jahre (BAO/UGB, AO/HGB).

3.6 Krankmeldungen und Gesundheitsdaten

Bei Krankmeldungen über Baseloq wird ausschließlich die Information verarbeitet, dass eine Krankmeldung vorliegt, sowie der Zeitraum der Abwesenheit. Diagnosen oder medizinische Details werden nicht erhoben.

Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeitsrechtlicher Pflichten) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Diese Verarbeitung erfolgt im Auftrag des Arbeitgebers.

3.7 GPS-Standortdaten

Bei der Zeiterfassung können optional GPS-Standortdaten erhoben werden, um den Arbeitsort zu verifizieren (z.B. Baustellencheck-in). Dabei werden folgende Daten verarbeitet:

• GPS-Koordinaten (Breiten- und Längengrad)
• Genauigkeit der Standortbestimmung
• Zeitstempel der Erfassung

3.8 Foto-Upload und Dokumentation

Mitarbeiter können Fotos über WhatsApp oder das Dashboard hochladen (z.B. Baustellendokumentation, Arbeitsnachweise). Dabei werden folgende Daten verarbeitet:

• Bilddateien
• EXIF-Metadaten (werden beim Upload entfernt)
• Zeitstempel und Dateigröße
• Zuordnung zum aktiven Projekt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Fotos werden auf Cloudflare R2 (EU-Speicherregion) gespeichert. Speicherdauer: Bis zur Löschung durch den Kunden oder bei Vertragsende (90 Tage Übergangsfrist für Datenexport).

3.9 WhatsApp Business API

Baseloq bietet Zeiterfassung über die WhatsApp Business API an. Der technische Dienstleister ist ein WhatsApp Business Solution Provider mit Sitz in der EU. Bei der Nutzung werden folgende Daten verarbeitet:

• Mobiltelefonnummer des Mitarbeiters
• Nachrichteninhalte (Befehle wie 'start', 'stop', 'pause')
• Profilname des WhatsApp-Accounts
• Zeitstempel und Zustellstatus der Nachrichten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Nutzung von WhatsApp zur Zeiterfassung ist freiwillig. Alternativ steht die Zeiterfassung über QR-Code, NFC-Tag oder das Web-Dashboard zur Verfügung.

Mit unserem WhatsApp Business Solution Provider wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

3.10 Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA) bzw. Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland). Bei Zahlungen werden folgende Daten an Stripe übermittelt:

• Name und E-Mail-Adresse
• Rechnungsadresse
• Zahlungsmethode (Kreditkartendaten werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert)
• Transaktionsdaten (Betrag, Zeitpunkt, Abonnement-Status)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe handelt teils als eigenständiger Verantwortlicher (für regulatorische Pflichten) und teils als Auftragsverarbeiter. Drittlandübermittlung: Stripe Inc. (USA) ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich wurden EU-Standardvertragsklauseln (SCCs) vereinbart. Datenschutzerklärung von Stripe: https://stripe.com/privacy

3.11 E-Mail-Versand

Wir versenden transaktionale E-Mails (Verifizierung, Passwort-Reset, Rechnungen, Benachrichtigungen) über unseren Hosting-Provider mit Sitz in der EU. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse des Empfängers
• Name des Empfängers
• Inhalt der E-Mail

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails. Keine Drittlandübermittlung (Server in der EU). Ein AVV mit unserem Hosting-Provider wurde geschlossen.

3.12 Push-Benachrichtigungen

Sie können optional Web-Push-Benachrichtigungen aktivieren (z.B. für Genehmigungsanfragen, Zeiterfassungserinnerungen). Dabei werden folgende Daten verarbeitet:

• Push-Subscription-Endpunkt (URL)
• Kryptographische Schlüssel der Subscription
• Zeitpunkt der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung erfolgt über die Browser-Abfrage und kann jederzeit über die Browser-Einstellungen oder in den Baseloq-Einstellungen widerrufen werden. Die Push-Zustellung erfolgt über den jeweiligen Browser-Push-Dienst (z.B. Google FCM bei Chrome, Mozilla Push bei Firefox). Dabei kann eine Drittlandübermittlung (USA) stattfinden, die über das EU-US Data Privacy Framework abgesichert ist.

3.13 Partnerprogramm (Affiliate)

Im Rahmen unseres Partnerprogramms verarbeiten wir folgende Daten von Partnern:

• Name und E-Mail-Adresse des Partners
• Referral-Code und Tracking-Daten (Klicks, Conversions)
• Auszahlungsinformationen (IBAN, PayPal-Adresse)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Partnervertrags). Für das Affiliate-Tracking wird ein Cookie gesetzt (siehe Abschnitt 10). Speicherdauer: Bis zur Beendigung der Partnerschaft, danach gemäß steuerlicher Aufbewahrungsfristen (bis zu 7 Jahre).

3.14 Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon oder Kontaktformular kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Speicherdauer: Anfragen werden nach abschließender Bearbeitung und Ablauf etwaiger Gewährleistungsfristen gelöscht, spätestens nach 3 Jahren.

3.15 Protokolldaten und Audit-Trail

Zu Sicherheits- und Compliance-Zwecken protokollieren wir folgende Aktionen:

• Login-Vorgänge (Zeitpunkt, IP-Adresse, Erfolg/Fehlschlag)
• Änderungen an Stammdaten
• Datenexporte
• Löschvorgänge
• Administratoraktionen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Nachvollziehbarkeit) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Dokumentation). Speicherdauer: Audit-Logs werden 12 Monate aufbewahrt.

4. Empfänger und Auftragsverarbeiter

Wir übermitteln personenbezogene Daten nur an Dritte, wenn dies zur Vertragserfüllung erforderlich ist, eine Rechtsgrundlage besteht oder Sie eingewilligt haben. Im Einzelnen setzen wir folgende Dienstleister ein:

• Stripe Inc. / Stripe Payments Europe Ltd. — Zahlungsabwicklung und Abonnementverwaltung
• WhatsApp Business Solution Provider (EU) — WhatsApp Business API für Zeiterfassung
• Cloudflare Inc. — Content Delivery Network (CDN) und Dateispeicherung (R2, EU-Region)
• Hosting-Provider (EU) — Webhosting, Datenbank und E-Mail-Versand
• Google Ireland Ltd. — OAuth-Authentifizierung (optionale Anmeldung)

Eine vollständige, stets aktuelle Liste aller Unterauftragsverarbeiter mit Details zu Standort, verarbeiteten Datenkategorien und Transfermechanismen finden Sie unter: baseloq.com/subunternehmer

Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

5. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/des EWR. Die Datenübermittlung ist wie folgt abgesichert:

• Stripe Inc. (USA): Zertifiziert unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Zusätzlich EU-Standardvertragsklauseln (SCCs).
• Cloudflare Inc. (USA): Zertifiziert unter dem EU-US Data Privacy Framework. Dateispeicherung (R2) in EU-Region konfiguriert. Zusätzlich SCCs.
• Google LLC (USA): Zertifiziert unter dem EU-US Data Privacy Framework. Zusätzlich SCCs.
• Meta Platforms Inc. (USA): Zertifiziert unter dem EU-US Data Privacy Framework (Verarbeitung über WhatsApp). Zusätzlich SCCs.

Kopien der Standardvertragsklauseln können bei uns unter office@baseloq.com angefordert werden.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:

• Nutzerkontodaten: Bis zur Löschung des Kontos, danach bis zu 7 Jahre (BAO/UGB) bzw. 10 Jahre (AO/HGB) für steuer- und handelsrechtliche Aufbewahrungspflichten
• Zeiterfassungsdaten: Mindestens 2 Jahre (Arbeitszeitgesetz), bis zu 7 bzw. 10 Jahre für steuer-/handelsrechtliche Aufbewahrung
• Zahlungsdaten: 7 Jahre (BAO/UGB) bzw. 10 Jahre (AO/HGB)
• GPS-Standortdaten: 90 Tage, danach automatische Anonymisierung
• Fotos und Dokumente: Bis zur Löschung durch den Kunden oder 90 Tage nach Vertragsende
• Protokolldaten (Server-Logs): 30 Tage
• Audit-Trail-Daten: 12 Monate
• WhatsApp-Nachrichten: 12 Monate, danach automatische Löschung
• Push-Subscriptions: Bis zum Widerruf durch den Nutzer
• Affiliate-Daten: Bis zur Beendigung der Partnerschaft, danach bis zu 7 Jahre (steuerlich)
• Kontaktanfragen: Spätestens 3 Jahre nach Abschluss der Bearbeitung

Nach Vertragsende werden alle Kundendaten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Vor der Löschung kann ein vollständiger Datenexport über das Dashboard durchgeführt werden.

7. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte gemäß der DSGVO:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und auf Auskunft über diese Daten sowie eine Kopie.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Baseloq bietet hierfür Exportfunktionen in Excel, CSV und PDF an.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: office@baseloq.com

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Als Betroffener in einem anderen EU-Mitgliedstaat können Sie sich auch an Ihre lokale Datenschutzaufsichtsbehörde wenden.

10. Cookies und ähnliche Technologien

Unsere Website verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden. Sie werden ohne Ihre Einwilligung gesetzt.

• Session-Cookie (Authentifizierung): Enthält ein verschlüsseltes JWT-Token zur Identifizierung Ihrer Sitzung. Speicherdauer: Bis zum Ende der Browser-Sitzung bzw. entsprechend der gewählten Anmeldedauer.
• Sprach-Cookie (Locale): Speichert Ihre bevorzugte Sprache. Speicherdauer: 1 Jahr.
• CSRF-Token: Schutz vor Cross-Site-Request-Forgery-Angriffen. Speicherdauer: Sitzungsende.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich). Diese Cookies sind für die Nutzung der Website unbedingt notwendig.

Funktionale Cookies

• Affiliate-Tracking-Cookie: Speichert den Referral-Code eines Partners. Speicherdauer: 30 Tage. Wird nur mit Ihrer Einwilligung gesetzt.

Rechtsgrundlage: § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen.

Local Storage: Für die Speicherung von Push-Notification-Subscriptions und UI-Präferenzen wird der Local Storage Ihres Browsers genutzt. Dies ist technisch notwendig und erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG.

11. Hosting und Infrastruktur

Unsere Website und Anwendung werden bei unserem Hosting-Provider mit Sitz in der EU gehostet. Sämtliche Anwendungsdaten einschließlich der PostgreSQL-Datenbank werden auf Servern in der EU gespeichert. Es findet keine Drittlandübermittlung durch den Hosting-Provider statt. Ein Auftragsverarbeitungsvertrag (AVV) wurde geschlossen.

12. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung (HTTPS). Dadurch werden alle Daten, die Sie an uns übermitteln, verschlüsselt und können nicht von Dritten mitgelesen werden. Sie erkennen eine verschlüsselte Verbindung am Schloss-Symbol in der Adressleiste Ihres Browsers.

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten zu schützen:

• Verschlüsselung aller Datenübertragungen (TLS 1.3)
• Passwörter werden ausschließlich als bcrypt-Hashes gespeichert
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• Rollenbasierte Zugriffskontrolle (RBAC: Admin, Manager, Teamleiter, Mitarbeiter)
• Tägliche verschlüsselte Backups (30 Tage Aufbewahrung)
• Audit-Trail für alle sicherheitsrelevanten Aktionen
• CSRF-Schutz und Rate-Limiting
• Regelmäßige Sicherheitsupdates

14. Auftragsverarbeitung und Doppelrolle

Baseloq nimmt eine Doppelrolle ein:

• Als Verantwortlicher für die Daten der Kontoadministratoren (Registrierungsdaten, Zahlungsdaten, Nutzungsdaten der Website).
• Als Auftragsverarbeiter gemäß Art. 28 DSGVO für die Beschäftigtendaten, die der Kunde (Arbeitgeber) über Baseloq verarbeiten lässt (Zeiterfassungsdaten, Mitarbeiterdaten, GPS-Daten, Fotos etc.).

Der Arbeitgeber (Kunde) bleibt datenschutzrechtlich Verantwortlicher für die Beschäftigtendaten und ist verpflichtet, seine Mitarbeiter gemäß Art. 13/14 DSGVO über die Datenverarbeitung zu informieren.

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird mit jedem Kunden geschlossen. Der AVV ist auf Anfrage unter office@baseloq.com erhältlich.

15. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Automatisierte Prozesse (z.B. wöchentliche Zeiterfassungsreports, Erinnerungen bei fehlenden Einträgen, Geburtstagserinnerungen) dienen ausschließlich der Unterstützung und treffen keine rechtlich bindenden Entscheidungen.

16. Minderjährigenschutz

Baseloq richtet sich ausschließlich an Unternehmen und deren Beschäftigte. Der Dienst ist nicht für die Nutzung durch Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren.

17. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der unter 3.2 genannten Registrierungsdaten (Name, E-Mail, Passwort) ist für den Abschluss und die Erfüllung des Nutzungsvertrages erforderlich. Ohne diese Daten können wir kein Nutzerkonto erstellen und den Dienst nicht bereitstellen. Die Bereitstellung von GPS-Daten, Fotos und die Nutzung von WhatsApp, Google OAuth oder Push-Benachrichtigungen ist freiwillig.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Über wesentliche Änderungen informieren wir Sie per E-Mail oder über eine Benachrichtigung im Dashboard. Die aktuelle Version ist stets unter baseloq.com/datenschutz abrufbar.