Datenschutzerklärung

Diese Datenschutzerklärung klärt über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb der Verwaltungsplattform unter verwaltung.lohnkonzepte.de (nachfolgend "Plattform") auf. Die Plattform dient der internen Verwaltung von Unternehmen, Mitarbeitern, Lohnoptimierungsbausteinen, Sachbezugskarten und zugehörigen Dokumenten.

Die Begriffe "Nutzer" und "Benutzer" umfassen alle berechtigten Personen, die Zugang zur Plattform haben – insbesondere Administratoren der Lohnkonzepte GmbH und Vertriebspartner. Die verwendeten Begrifflichkeiten sind geschlechtsneutral zu verstehen.

Wir verarbeiten personenbezogene Daten der Nutzer nur unter Einhaltung der einschlägigen Datenschutzbestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) in der jeweils geltenden Fassung, entsprechend den Grundsätzen der Datenminimierung und Datenvermeidung.

Personenbezogene Daten werden nur beim Vorliegen einer gesetzlichen Erlaubnis verarbeitet – insbesondere:

• Wenn die Daten zur Erbringung unserer vertraglichen Leistungen erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO)
• Wenn eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO)
• Wenn berechtigte Interessen dies erfordern (Art. 6 Abs. 1 lit. f DSGVO)
• Beim Vorliegen einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik (Art. 32 DSGVO), um sicherzustellen, dass die Vorschriften der Datenschutzgesetze eingehalten werden und die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen geschützt sind.

Sofern im Rahmen dieser Datenschutzerklärung Dienste von Anbietern eingesetzt werden, deren Sitz in einem Drittland liegt, erfolgt die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO), auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder sonstiger gesetzlich vorgesehener Garantien.

Im Rahmen der Plattform werden folgende Kategorien personenbezogener Daten verarbeitet:

Für die Benutzerauthentifizierung nutzen wir Supabase Auth, einen Dienst der Supabase Inc. (San Francisco, USA). Supabase verarbeitet dabei:

• E-Mail-Adresse und verschlüsseltes Passwort
• Sitzungsinformationen (Session-Token via HTTP-Cookies)
• Zeitstempel der Anmeldung und Token-Erneuerung
• IP-Adresse zum Zeitpunkt der Anmeldung (für Sicherheitszwecke)

Die Passwörter werden ausschließlich als kryptographische Hashes gespeichert und sind für uns zu keinem Zeitpunkt im Klartext einsehbar. Die Sitzungsverwaltung erfolgt über sichere HTTP-Only-Cookies mit beschränkter Gültigkeitsdauer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zugangsschutz zur Plattform) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).

Datentransfer: Supabase betreibt die Datenbank für dieses Projekt in der EU (Frankfurt, Deutschland). Für Details siehe: supabase.com/privacy.

Die Plattform wird bei folgenden Anbietern gehostet:

Die Plattform bietet über die Funktion "DateiCloud" eine Integration mit einer selbst gehosteten Nextcloud-Instanz an. Über diese Funktion können berechtigte Nutzer Dateien und Ordner verwalten, die den jeweiligen Kundenunternehmen zugeordnet sind.

Folgende Daten werden dabei verarbeitet:

• Dateinamen, Ordnerstruktur und Metadaten (Größe, Änderungsdatum, MIME-Typ)
• Dateiinhalte (hochgeladene Dokumente)
• Kommentare, Tags und Versionsinformationen zu Dateien
• Favoriten-Markierungen und Sperrstatus

Die Nextcloud-Instanz wird auf eigener Infrastruktur betrieben. Der Zugriff erfolgt über das WebDAV-Protokoll mit technischen Service-Zugangsdaten. Endbenutzer der Plattform haben keinen direkten Nextcloud-Zugang; der Zugriff wird ausschließlich über die Verwaltungsplattform vermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung von Kundendokumenten) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zentraler Dokumentenverwaltung).

Für die Verwaltung von Sachbezugskarten nutzt die Plattform die API von givve®, einer Marke der PL Gutscheinsysteme GmbH (Ainmillerstraße 11, 80801 München). Im Rahmen dieser Integration werden folgende Daten an givve übermittelt:

• Vor- und Nachname der Kartenhalter
• E-Mail-Adresse (optional)
• Versandadresse für Kartenlieferung
• Prägezeilen für die Karte (Name und Firmenname)
• Bestelldaten (Bestelltyp, Beschreibung, Rechnungsreferenz)

Von givve werden folgende Daten empfangen und in der Plattform angezeigt:

• Kartenstatus, Kartennummer (Token), Ablaufdatum
• Guthaben und Transaktionshistorie
• Bestellstatus und Rechnungsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). givve® ist eine Marke der PL Gutscheinsysteme GmbH (Ainmillerstraße 11, 80801 München), die die Daten als eigenständiger Verantwortlicher im Rahmen ihrer eigenen Datenschutzbestimmungen verarbeitet.

Datenschutzerklärung: givve.com/de/datenschutz

Bei jedem Zugriff auf die Plattform werden automatisch folgende Daten erhoben und in Server-Logfiles gespeichert:

• Name der abgerufenen Seite bzw. Datei
• Datum und Uhrzeit des Abrufs
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf (HTTP-Statuscode)
• Browsertyp und -version
• Betriebssystem des Nutzers
• Referrer URL (zuvor besuchte Seite)
• IP-Adresse des anfragenden Geräts
• Anfragender Provider

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Wir verwenden die Protokolldaten ohne Zuordnung zur Person des Nutzers oder sonstiger Profilerstellung nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung der Plattform. Wir behalten uns vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.

Die Plattform verwendet ausschließlich technisch notwendige Cookies und lokale Speicherung:

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG (technisch notwendig). Es werden keine Cookies zu Marketing-, Tracking- oder Analysezwecken gesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

Personenbezogene Daten werden nur an Dritte übermittelt, wenn dies gesetzlich erlaubt oder erforderlich ist:

• givve GmbH: Übermittlung von Kartenhalter- und Bestelldaten zur Sachbezugskartenausstellung (Vertragserfüllung)
• Vertriebspartner: Zugriff auf zugeordnete Kundendaten im Rahmen der Vertriebspartnerschaft (Vertragserfüllung)
• Steuerberater/Wirtschaftsprüfer: Weitergabe von Abrechnungsdaten im Rahmen gesetzlicher Pflichten (gesetzliche Verpflichtung)

Eine darüber hinausgehende Übermittlung an Dritte findet nicht statt, insbesondere kein Verkauf oder sonstige kommerzielle Nutzung personenbezogener Daten.

Mit folgenden Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO:

• Supabase Inc. – Datenbank, Authentifizierung, Edge Functions (EU-Region Frankfurt)
• Vercel Inc. – Webhosting und Content Delivery (Standardvertragsklauseln für US-Transfer)

Diese Dienstleister verarbeiten personenbezogene Daten ausschließlich nach unserer Weisung und sind vertraglich zur Einhaltung der DSGVO verpflichtet.

Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein:

• Verschlüsselung: Alle Datenübertragungen erfolgen über TLS/HTTPS. Passwörter werden ausschließlich als kryptographische Hashes gespeichert (bcrypt).
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Vertriebspartner) mit Row Level Security (RLS) auf Datenbankebene.
• Authentifizierung: Sichere Session-Verwaltung über HTTP-Only-Cookies mit automatischer Token-Erneuerung.
• Middleware-Schutz: Serverseitige Zugangsprüfung auf jeder Route vor Auslieferung von Inhalten.
• Datenbank-Sicherheit: PostgreSQL mit Row Level Security, verschlüsselte Verbindungen, regelmäßige automatische Backups.
• Dateiablage: Nextcloud mit Versionierung, Dateisperrung und kontrolliertem Zugriff über Service-Accounts.

Personenbezogene Daten werden gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen:

• Benutzerdaten: Werden bei Deaktivierung des Benutzerkontos gelöscht, spätestens nach Ende der Geschäftsbeziehung.
• Unternehmen- und Mitarbeiterdaten: Verbleiben für die Dauer der Geschäftsbeziehung in der Plattform. Nach Beendigung werden sie gemäß den gesetzlichen Aufbewahrungsfristen (6 bzw. 10 Jahre gem. HGB/AO) archiviert und anschließend gelöscht.
• Abrechnungs- und Finanzdaten: Unterliegen den steuer- und handelsrechtlichen Aufbewahrungspflichten (10 Jahre gem. § 147 AO, § 257 HGB).
• Server-Logfiles: Werden nach spätestens 90 Tagen automatisch gelöscht.
• Session-Cookies: Verfallen automatisch nach Ablauf der Sitzung oder nach maximal 7 Tagen.
• DateiCloud-Dokumente: Verbleiben bis zur manuellen Löschung durch berechtigte Benutzer. Versionierungen werden gemäß Nextcloud-Konfiguration automatisch bereinigt.

Sie haben gemäß DSGVO insbesondere folgende Rechte:

Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
www.lfd.niedersachsen.de

Wir behalten uns vor, diese Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Dies gilt jedoch nur im Hinblick auf Erklärungen zur Datenverarbeitung. Sofern Einwilligungen der Nutzer erforderlich sind oder Bestandteile der Datenschutzerklärung Regelungen des Vertragsverhältnisses mit den Nutzern enthalten, erfolgen die Änderungen nur mit Zustimmung der Nutzer.

Die Nutzer werden gebeten, sich regelmäßig über den Inhalt der Datenschutzerklärung zu informieren.