Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie sonstiger datenschutzrechtlicher Bestimmungen ist die natürliche Person, die ENOLABS als privates Einzelprojekt betreibt:

Hinweis: ENOLABS ist kein eingetragenes Unternehmen und keine juristische Person, sondern wird von Ender Aladag als privates Einzelprojekt einer natürlichen Person betrieben. In B2B-Konstellationen tritt der Betreiber als Vertragspartner bzw. Auftragsverarbeiter im Verhältnis zu Mandanten/Arbeitgebern auf (siehe Abschnitt 14).

2. Welche Daten wir erheben

Im Rahmen der Nutzung unserer Plattform und Mobile App verarbeiten wir ausschließlich die für den jeweiligen Zweck erforderlichen personenbezogenen Daten:

2.1 Konto- und Zugangsdaten

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (ausschließlich als gesalzener Hash gespeichert, niemals im Klartext)
• Telefonnummer (optional)

2.2 Beschäftigungs- und HR-Daten

• Arbeitszeiten und Zeitbuchungen
• Schicht- und Einsatzpläne
• Urlaubs- und Abwesenheitsdaten
• Vertragsdaten (Arbeitsvertrag, Positionen, Mandantenzuordnung)
• Spesen und Belege einschließlich hochgeladener Fotos
• Qualifikationen und Zertifikate

2.3 Geräte- und Nutzungsdaten

• Push Token (Gerätekennung für Push Notifications via APNs/FCM)
• App-Version und Betriebssystem (zur Fehlerbehebung)
• Login-Zeitpunkte (zur Sicherheitsüberprüfung)

2.4 Standortdaten

• GPS-Koordinaten — ausschließlich im Moment des Stempelns (Zeiterfassung) und nur zur Verifikation des Arbeitsortes

2.5 Server-Zugriffsdaten

• IP-Adresse, User-Agent, Zeitstempel und aufgerufene URL — siehe Abschnitt 8 (Server-Logs)

3. Zweck der Datenverarbeitung

4. Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage folgender Rechtsnormen:

• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Arbeits- oder Dienstvertrags (HR-Daten, Arbeitszeiten, Schichten, Lohnabrechnung).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. Arbeitszeitgesetz, Aufbewahrungspflichten nach HGB/AO).
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, insbesondere für Push Notifications und optionale Angaben.
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse an IT-Sicherheit, Missbrauchsprävention und Verifikation des Arbeitsortes beim Stempeln.
• § 26 BDSG — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses.
• Art. 46 Abs. 2 lit. c DSGVO — Standardvertragsklauseln als geeignete Garantie für Drittlandtransfers (siehe Abschnitt 11).

5. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen:

• Zugangsdaten: für die Dauer des Beschäftigungsverhältnisses, anschließend Löschung innerhalb von 90 Tagen.
• Lohn-, Steuer- und Vertragsdaten: 10 Jahre nach Ablauf des Kalenderjahres (§ 147 AO, § 257 HGB).
• Arbeitszeiten und Zeitbuchungen: mindestens 2 Jahre gemäß § 16 Abs. 2 ArbZG, in Abrechnungsunterlagen bis zu 10 Jahre.
• Spesenbelege: 10 Jahre (steuerrelevant).
• GPS-Koordinaten: Ausschließlich zum Zeitpunkt der Stempelung gespeichert und mit dem Zeiterfassungseintrag verknüpft; keine Bewegungsprofile.
• Push Token: bis zum Widerruf der Einwilligung oder Deinstallation der App.
• Login-Protokolle: 12 Monate zur Missbrauchsprävention.
• Server-Logs: 14 Tage, anschließend automatische Löschung (länger nur bei dokumentierten Sicherheitsvorfällen).

6. Account-Löschung

Sie haben jederzeit das Recht, Ihren Login-Zugang eigenständig löschen zu lassen. Hierfür stehen Ihnen gemäß den Anforderungen der Apple App Store Review Guidelines (5.1.1(v)) folgende Wege zur Verfügung:

• In der Mobile App und im Web-Portal: Meine Stammdaten → Konto-Zugang → Konto-Zugang löschen
• Per E-Mail: formlose Anfrage an admin@enolabs.de

Was passiert technisch?

• Ihr Login-Zugang wird sofort deaktiviert (Konto inaktiv, Passwort-Hash entfernt, E-Mail-Adresse anonymisiert).
• Sie werden umgehend abgemeldet und können sich danach nicht mehr anmelden.
• Bestehende Single-Sign-On-Tokens und offene Einladungs-Tokens werden gelöscht.
• Push Token wird aus den Systemen entfernt; eine Auslieferung von Push Notifications an Ihr Gerät findet nicht mehr statt.

Was bleibt erhalten — und warum?

Ihre Stamm-, Lohn-, Vertrags-, Spesen- und Zeiterfassungsdaten bleiben gespeichert, weil wir bzw. Ihr Arbeitgeber gesetzlich zur Aufbewahrung verpflichtet sind:

• Lohn- und Steuerunterlagen: 10 Jahre (§ 147 AO, § 257 HGB)
• Arbeitszeitaufzeichnungen: mindestens 2 Jahre (§ 16 Abs. 2 ArbZG), in Abrechnungsunterlagen bis zu 10 Jahre
• Spesenbelege: 10 Jahre (steuerrelevant)
• Vertragsdaten: für die Dauer der Aufbewahrungspflicht des Arbeitgebers

Diese Daten sind während der Aufbewahrungsfrist gegen anderweitige Verarbeitung gesperrt (Art. 18 DSGVO i. V. m. § 35 BDSG) und werden nach Ablauf der jeweiligen gesetzlichen Frist vollständig entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

Eine Reaktivierung des Zugangs ist nach der Löschung nur über eine neue Einladung durch Ihren Arbeitgeber bzw. Mandanten möglich. In B2B-Konstellationen koordinieren wir die Löschung mit dem zuständigen Mandanten (siehe Abschnitt 14).

7. Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nicht statt. Ausgenommen sind folgende Empfänger, die ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO bzw. als notwendige Plattform-Anbieter in unserem Auftrag tätig werden:

7.1 Hosting (EU)

7.2 Push-Notification-Anbieter (Drittland USA)

Details zur konkreten Verarbeitung im Rahmen der Push-Auslieferung — insbesondere welche Inhalte übertragen werden — finden Sie in Abschnitt 11.

Über die genannten Empfänger hinaus findet keine Datenübermittlung in Drittländer statt.

8. Server-Logs

Beim Aufruf unserer Server werden technisch notwendige Zugriffsdaten in Logfiles erfasst. Diese sind zur Bereitstellung der Plattform und zur IT-Sicherheit erforderlich.

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• User-Agent (Browser- bzw. App-Kennung)
• Aufgerufene URL und HTTP-Methode
• HTTP-Statuscode und übertragene Datenmenge
• Referrer (sofern übertragen)

Die Logs werden ausschließlich zur Fehleranalyse, Missbrauchserkennung und Angriffsabwehr verwendet. Eine Zusammenführung mit anderen Datenquellen oder eine Profilbildung erfolgt nicht.

Speicherdauer: 14 Tage, anschließend automatische Löschung. Eine längere Aufbewahrung erfolgt nur, wenn ein konkret dokumentierter Sicherheitsvorfall die weitere Beweissicherung erfordert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und stabilem Betrieb).

9. Cookies & Sitzungsdaten

Wir setzen ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichermechanismen ein, die für den Betrieb der Plattform erforderlich sind. Tracking-, Analyse- oder Marketing-Cookies werden nicht verwendet. Es findet kein Profiling und keine Reichweitenmessung Dritter statt.

Da diese Cookies technisch zwingend erforderlich sind, ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine separate Einwilligung erforderlich.

In der Mobile App werden anstelle von Browser-Cookies vergleichbare technische Speichermechanismen (Capacitor Preferences bzw. iOS Keychain / Android SharedPreferences) verwendet, um die angemeldete Sitzung zu halten. Diese Daten verlassen das Endgerät nicht.

10. GPS & Standortdaten

Die ENOLABS Mobile App erfasst GPS-Standortdaten ausschließlich im Moment des Stempelns (Beginn und Ende einer Arbeitsschicht). Der Zweck ist die Verifikation des Arbeitsortes im Rahmen der Zeiterfassung.

• Es wird kein Bewegungsprofil erstellt.
• GPS-Tracking im Hintergrund findet nicht statt.
• Die Standortfreigabe erfolgt ausschließlich aktiv durch den Nutzer und kann jederzeit in den Geräteeinstellungen widerrufen werden.
• Die gespeicherte GPS-Koordinate ist fest mit dem jeweiligen Zeiterfassungseintrag verknüpft und wird mit diesem zusammen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Arbeitsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Arbeitszeitdokumentation).

11. Push Notifications

Um Sie über Schichtänderungen, Urlaubsfreigaben oder neue Nachrichten informieren zu können, bietet die ENOLABS Mobile App Push Notifications an. Die Auslieferung erfolgt zwingend über die plattformseitigen Dienste der jeweiligen Betriebssystem-Hersteller:

• iOS: Apple Push Notification Service (APNs) — Apple Inc., USA
• Android: Firebase Cloud Messaging (FCM) — Google LLC, USA

Folgende Eckpunkte gelten:

• Push Notifications werden nur nach ausdrücklicher Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO).
• Verarbeitet wird ausschließlich der Push Token — eine technische Gerätekennung — sowie der konkrete Inhalt der jeweiligen Benachrichtigung. Es werden keine personenbezogenen Stammdaten an APNs/FCM übermittelt.
• Die Einwilligung kann jederzeit über die App-Einstellungen oder die Systemeinstellungen Ihres Geräts widerrufen werden. Nach Widerruf wird der Push Token umgehend aus unseren Systemen gelöscht.

Drittlandtransfer (USA): Mit der Aktivierung von Push Notifications werden Daten zwangsläufig an Server in den USA übertragen. Der Transfer erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer und organisatorischer Schutzmaßnahmen. Apple Inc. und Google LLC sind zudem unter dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Hinweis: Trotz dieser Schutzmechanismen kann ein vollständiger Schutz vor behördlichem Zugriff in den USA (z. B. CLOUD Act) nicht garantiert werden. Mit Erteilung der Push-Einwilligung erklären Sie sich mit dem damit verbundenen Restrisiko ausdrücklich einverstanden.

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen:

• Verschlüsselte Übertragung aller Daten via HTTPS/TLS.
• Passwörter werden ausschließlich als gesalzener Hash gespeichert.
• Server stehen in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland (Hetzner).
• Strikte Zugriffskontrolle mit rollenbasierten Berechtigungen.
• Strikte Mandantentrennung (Multi-Tenant-Architektur mit getrennten Datenbanken pro Mandant).
• Regelmäßige Backups und Sicherheitsupdates.
• Protokollierung sicherheitsrelevanter Ereignisse zur Missbrauchserkennung.

13. Minderjährige

Die ENOLABS Plattform und Mobile App richten sich ausschließlich an Personen ab 16 Jahren im Rahmen eines Beschäftigungs- oder Dienstverhältnisses. Die App ist ausdrücklich nicht für Kinder konzipiert; eine eigenständige Einwilligung im Sinne von Art. 8 DSGVO holen wir daher nicht ein.

Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren ohne nachweisbare Einwilligung der Erziehungsberechtigten. Sollten wir Kenntnis davon erhalten, dass Daten einer minderjährigen Person ohne entsprechende Einwilligung verarbeitet werden, werden diese unverzüglich gelöscht. Hinweise hierzu nehmen wir unter admin@enolabs.de entgegen.

14. B2B-Konstellation & Rolle des Arbeitgebers

ENOLABS wird typischerweise im Auftrag von Arbeitgebern bzw. Personaldienstleistern (im Folgenden: Mandanten) eingesetzt, die ihre eigenen Beschäftigten über die Plattform verwalten.

• In dieser Konstellation ist Ihr Arbeitgeber bzw. Mandant der primär datenschutzrechtlich Verantwortliche für die Verarbeitung Ihrer Beschäftigtendaten (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO).
• ENOLABS handelt als Auftragsverarbeiter nach Art. 28 DSGVO. Mit jedem Mandanten besteht ein Auftragsverarbeitungsvertrag, der Rollen, Pflichten, Sicherheitsanforderungen und Sub-Auftragsverarbeiter regelt.
• Auskunfts-, Berichtigungs- und Löschanträge zu Beschäftigtendaten richten Sie bitte vorrangig an Ihren Arbeitgeber. Direkt bei uns eingehende Anfragen leiten wir unverzüglich an den zuständigen Mandanten weiter und unterstützen bei der Bearbeitung.
• Die Verantwortlichkeit für Inhalte, Stamm- und Personalakten verbleibt vollständig beim Mandanten; ENOLABS verarbeitet diese ausschließlich nach dessen weisungsgebundenen Vorgaben.

Für die unmittelbar von ENOLABS selbst betriebenen Funktionen (z. B. App-Bereitstellung, Server-Logs, Push-Auslieferung an APNs/FCM) bleibt der Betreiber von ENOLABS eigenständig Verantwortlicher im Sinne der DSGVO.

15. Ihre Rechte

Ihnen stehen bezüglich Ihrer personenbezogenen Daten folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO) — Sie können eine Bestätigung verlangen, ob und welche Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Korrektur unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 6).
• Recht auf Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung, die auf berechtigtem Interesse beruht, widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen (z. B. Push Notifications) können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Beschwerderecht (Art. 77 DSGVO) — Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für den Sitz des Verantwortlichen ist:

16. Kontakt für Datenschutzanfragen

Für Fragen, Auskunftsersuchen, Löschanträge oder sonstige Anliegen rund um den Datenschutz wenden Sie sich bitte an:

Wir bearbeiten Ihre Anfrage schnellstmöglich, spätestens innerhalb der gesetzlichen Fristen nach Art. 12 Abs. 3 DSGVO (in der Regel einen Monat).