Wichtiger Nutzungshinweis

Dieses Dokument enthält ein unentgeltlich bereitgestelltes Beispiel (Muster) für Datenschutzhinweise gegenüber Nutzern/Mitarbeitern, betreffend die Mitarbeiter-App von ATINO.
Verantwortlich für den Inhalt der Datenschutzhinweise ist der Kunde. ATINO handelt bei der „Cloud“-Option als Auftragsverarbeiter und bei der „On-Premise“ Funktion ebenfalls als nicht datenschutzrechtlich Verantwortlicher. Allein der Kunde ist damit für die Einhaltung der Informationspflichten nach der DSGVO verantwortlich.
ATINO erbringt keine Rechtsberatung und übernimmt keine Gewähr für die Rechtskonformität des Musters. Der Kunde muss selbst oder durch einen fachkundigen Dritten den Inhalt des Musters prüfen und ggf. anpassen.

Die rot markierten Passagen bedürfen zwingend einer Prüfung bzw. Anpassung!

Datenschutzhinweise für die Mitarbeiter-App von Kundenname

1. Gegenstand

Mit diesen Datenschutzhinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch uns, wenn Sie
• unsere Mitarbeiter-App Name der Mitarbeiter-App („App“) nutzen, oder
• die Web-Oberfläche unter Domain der Web-Oberfläche besuchen, z.B. um Funktonen der App im Browser zu verwenden oder sich als Administrator oder Redakteur im Backend einzuloggen.

Zudem erläutern wir Ihnen die Ihnen nach der EU-Datenschutzgrundverordnung (DSGVO)
zustehenden Rechte.

Die Mitarbeiter-App und die Web-Oberfläche werden nachfolgend gemeinsam als „MAPP“ bezeichnet.

Ergänzend gelten unsere allgemeinen Datenschutzinformationen für Mitarbeiter.

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher sind wir, Firma, Adresse, E-Mail, Telefon des Kunden
Kontaktdaten des Datenschutzbeauftragten: Anschrift, E-Mail, ggf. Telefon des Datenschutzbeauftragten des Kunden

3. Nutzungskonto und Stammdaten

Um MAPP nutzen zu können, benötigen Sie ein Nutzungskonto. Dieses legen Sie entweder selbst an, oder wir legen dieses für Sie an.

Dem Nutzungskonto sind folgende Stammdaten zugeordnet:

• Zugangsdaten (z.B. E-Mail und Passwort)
• Kontaktdaten (z.B. Name, geschäftliche E-Mail-Adresse, Telefonnummer)
• Organisationsdaten (z.B. Unternehmen, Abteilung, Gruppen, Rolle, Vorgesetzter)
• Rollen und Rechte (z.B. Lese und Bearbeitungsrechte von Beiträgen)

Ihre Handynummer wird für die Nutzung von MAPP nicht benötigt.

Ihre E-Mail-Adresse können wir im Rahmen von MAPP auch für System-bezogene E-Mails benutzen, z.B. Hinweis auf geänderte Datenschutzhinweise oder Workflow-Benachrichtigungen (z.B. erteilte Genehmigungen). Im Rahmen der Registrierung erhalten Sie ggf. eine E-Mail an Ihre geschäftliche E-Mail-Adresse, mit der Bitte, einen Link zu klicken. Dies dient der Sicherstellung, dass die E-Mail-Adresse Ihnen zugeteilt ist.

Die Stammdaten speichern wir in MAPP grundsätzlich für die Dauer Ihres Nutzungskontos; dies entspricht der Zeit Ihrer Beschäftigung bei oder für uns. Ihre Daten werden zudem dann gelöscht, wenn Sie oder wir Ihr Nutzungskonto löschen, z.B. wenn wir die Mitarbeiter-App als Ganzes einstellen oder Sie sich entscheiden, MAPP nicht mehr nutzen zu wollen. Um Ihr Nutzungskonto zu löschen, wenden Sie sich bitte an uns (Kontaktdaten ergänzen, an die sich ein Mitarbeiter wenden soll, wenn er sein Nutzerkonto löschen will).

Innerhalb von MAPP sind Ihre Kontakt- und Organisationsdaten grundsätzlich für alle anderen MAPP-Nutzer unseres Unternehmens sichtbar.

Die Bereitstellung Ihrer Daten für das Nutzungskonto ist optional. Ohne Ihre Daten können Sie MAPP jedoch nicht nutzen. Eine Pflicht zur Nutzung von MAPP besteht nicht.

4. Einzelne App-Funktionen

Nachfolgend erläutern wir den Umgang mit Ihren Daten, wenn Sie einzelne Funktionen von MAPP nutzen. Hierbei können auch Funktionen beschrieben sein, die Ihnen (noch) nicht zur Verfügung stehen.

5. Benachrichtigungen auf mobilen Endgeräten (Push- Benachrichtigungen)

Wir können Ihnen Push-Benachrichtigungen auf Ihr Endgerät senden, wenn dieses mit dem Betriebssystem iOS oder Android arbeitet. Push-Benachrichtigungen sind Mitteilungen, die Ihnen auch dann auf Ihrem Endgerät angezeigt werden, wenn Sie die Mitarbeiter-App gerade nicht benutzen. Es handelt sich daher um eine Funktion des Betriebssystem-Anbieters und nicht der Mitarbeiter-App selbst.

Den Erhalt von Push-Benachrichtigungen können Sie im Einstellungs-Menu der Mitarbeiter-App individuell einstellen. Sie können die Zustellung unserer Push-Benachrichtigungen zudem in den Betriebssystem-Einstellungen Ihres mobilen Endgeräts deaktivieren.

Wir nutzen Push-Benachrichtigungen, z.B. um Sie über eingehende Nachrichten zu informieren. MAPP kann auch ohne Push-Funktion genutzt werden.

Für die Zustellung der Push-Benachrichtigungen müssen wir den Inhalt der Benachrichtigungen einem technischen Dienst Ihres Betriebssystemanbieters übergeben. Im Falle von Endgeräten mit Android Betriebssystem ist das Google Ireland Limited Gordon House, Barrow Street Dublin 4. Irland und erfolgt als Teil des „Firebase Cloud Messaging“ Dienstes, bei iOS die Apple Inc., One Apple Park Way, Cupertino, California, USA, 95014. Die Adressierung Ihres Geräts erfolgt technisch über eine pseudonyme Kennziffer, die uns Ihr Betriebssystemanbieter bereitstellt und die nur für unsere App und Ihr konkretes Endgerät gilt. Wir übermitteln an den Betriebssystemanbieter keine unmittelbar Sie identifizierenden Angaben wie Name oder E-Mail-Adresse.

Grundlage für eine Datenübermittlung in die USA, als unsicherem Drittstaat im Sinne der DSGVO, ist die Bereitstellung der von Ihnen ausdrücklich gewünschten Push-Funktionalität, Art. 49 Abs. (1) b) DSGVO (Vertragsdurchführung).

6. Datenverarbeitung zu Analyse-Zwecken

6.1. Server Log-Files (Web-Oberfläche)

Grundsätzlich führen wir keine Server-Log Files. Wir aktivieren diese nur Anlassbedingt im Falle einer Fehlersuche. In diesem Falle gilt:

Wenn Sie eine einzelne Seite der Web-Oberfläche aufrufen, erfassen unsere Web-Server in einer Log-Datei die Adresse (URL) der abgerufenen Seite, Datum und Uhrzeit des Abrufs, etwaige Fehlermeldungen und ggf. das Betriebssystem und die Browser-Software Ihres Endgerätes sowie die Webseite, von der aus Sie uns besuchen. Wir speichern in unseren Logfiles auch die IP-Adresse Ihres Rechners.

Die Log-File-Daten werden von uns ausschließlich zur Sicherstellung der Funktionsfähigkeit unserer Dienste verwendet (z.B. Fehleranalyse, Gewährleistung der Systemsicherheit und Schutz vor Missbrauch) und nach Problembehebung, spätestens nach 7 Tagen gelöscht oder so verkürzt, dass kein Personenbezug mehr herstellbar ist.

Soweit im Einzelfall Log-File-Daten als personenbezogene Daten zu qualifizieren sind, ist Rechtsgrundlage für die Verarbeitung der Log-File-Daten unser berechtigtes Interesse (Fehleranalyse, Gewährleistung der Systemsicherheit und Schutz vor Missbrauch).

6.2. Nutzungsstatistiken

Wir erfassen anonyme Nutzungsstatistiken darüber, welche Funktionen und Seiten wie häufig genutzt wurden. Hierbei handelt es sich um einfache Zähler. Es erfolgt keine Zuordnung zu Ihrem Gerät oder Ihrem Nutzungskonto oder Ihrem Namen und es werden keine pseudonymen Profile erstellt. Für die Erstellung von Nutzungsstatistiken werden keine Drittdienstleister eingesetzt.

6.3. Monitoring

In unserer Plattform haben wir die Funktionen des Dienstes „Datadog“ der Datadog, Inc., 620 8th Ave, 45th Floor, New York, NY 10018 USA, integriert. Dieses System informiert unser Entwicklungsteam über mögliche technische Herausforderungen oder Funktionsbeeinträchtigungen in unserer Anwendung. Dazu könnten verschiedene Daten, darunter auch die IP-Adresse, der verwendete Browser, Zeitstempel und die besuchte URL, an Datadog gesendet werden. Wenn diese übermittelten Informationen personenbezogene Daten enthalten, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO, basierend auf unserem berechtigten Interesse an einer schnellen und genauen Fehleranalyse zur Verbesserung unserer App. Weitere Details über Datadog’s Datenerhebung und -nutzung finden Sie unter: www.datadoghq.com/legal/privacy/

7. System-Berechtigungen (Apps)

Die Mitarbeiter-App benötigt folgende System-Berechtigungen auf Ihrem Endgerät und nutzt diese wie folgt:

• Kamera: zur Aufnahme von Fotos, die Sie in der Mitarbeiter-App aufnehmen und an uns schicken (z.B. Urlaubsantrag)

• Speicher: zum Versand von Fotos, die Sie auf Ihrem Endgerät gespeichert haben (z.B. Foto des Urlaubsantrags aus Ihrer Galerie)

• Internetzugang: zur Kommunikation mit unseren Servern, z.B. Abruf von Inhalten, Versand von Chat-Nachrichten.

8. Cookies (Web-Oberfläche)

Cookies sind kleine Textdateien, die im Browser Ihres Endgeräts gespeichert und bei jedem Aufruf unserer Webseite an uns übertragen werden.

Wenn Sie sich auf der Web-Oberfläche mit Ihrem Nutzungskonto einloggen setzt unserer Server einen Cookie auf Ihrem Rechner: Dieser enthält eine zufällige Kennzahl und ist technisch erforderlich, weil er dazu dient, Sie als eingeloggten Nutzer wiederzuerkennen. Dieses Cookie wird gelöscht, wenn Sie den Browser schließen (sog. „Session-Cookie“).

9. Ergänzende Hinweise zur Bereitstellungspflicht, Rechtsgrundlage, zu Datenempfängern und Speicherdauer

Soweit in diesen Datenschutzhinweisen nicht anders ausgeführt gilt:

9.1. Bereitstellungspflicht

Sie sind nicht zur Bereitstellung von Daten verpflichtet. Pflichtangaben in Eingabeformularen sind als solche gekennzeichnet, z.B. durch ein Sternchen (*).

9.2. Rechtsgrundlage

MAPP stellt ein Arbeitsmittel dar. Die Bereitstellung durch uns erfolgt freiwillig, ebenso die Nutzung durch Sie. Das Arbeitsmittel stellen wir Ihnen insofern zur Erleichterung der Erfüllung ihrer arbeitsvertraglichen Rechten und Pflichten bereit. Rechtsgrundlage ist insofern die Durchführung des Arbeitsverhältnisses (Vertragsdurchführung, Art. 6 Abs. 1 lit. a DSGVO, § 26 BDSG).

Soweit MAPP nicht im unmittelbar arbeitsvertraglichen Kontext genutzt wird, erfolgt die Datenbereitstellung im Rahmen der Interessenabwägung und dient der Wahrung unseres und Ihres berechtigten Interesses an einer modernen, auf Mobilgeräten grundsätzlich „überall und jederzeit“ verfügbaren Kommunikationsplattform zur Verbesserung und Erleichterung des Informationsaustauschs zwischen unseren Mitarbeitern.

9.3. Datenempfänger und Datenexporte

Ihre Daten erhalten innerhalb des datenschutzrechtlich verantwortlichen Unternehmens die jeweils fachlich zuständigen Stellen, z.B. die Personalabteilung.

Für den technischen Betrieb der Server zur Verwaltung von Push-Nachrichten und zur Bereitstellung der Weboberfläche können wir im Rahmen einer sogenannten Auftragsverarbeitung weisungsgebundene technische Dienstleister innerhalb der EU einsetzen, insbesondere für den Betrieb und die Wartung des Servers, auf dem Ihre Daten gespeichert und die Web-Oberfläche bereitgestellt werden.

Aktuell nutzen wir hierfür die ATINO GmbH und diese ihrerseits die Hosting Anbieter HostEurope und OVH.

Soweit in diesen Datenschutzhinweisen nicht anders angegeben, übermitteln wir Ihre Daten nicht in Länder außerhalb der EU und dem EWR, für die die EU-Kommission nicht festgestellt hat, dass diese ein der EU angemessenes Datenschutzniveau garantieren (keine Übermittlung in sog. „unsichere Drittländer“).

9.4. Speicherdauer

Wir bemessen die Speicherdauer für Ihre Daten anhand der konkreten Zwecke, zu denen wir die Daten verwenden. Darüber hinaus unterliegen wir teils gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich insbesondere aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z.B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuchs (BGB) in der Regel drei Jahre betragen.

Auf dem Gerät, auf dem Sie die Mitarbeiter-App installiert haben, werden die von der Mitarbeiter-App gespeicherten Daten gelöscht, wenn
• Sie die App deinstallieren
• Ihr Nutzungskonto endet oder gelöscht wird.

Soweit Ihre Daten auf unserem Server im Backend gespeichert sind, gelten die Erläuterungen in diesen Datenschutzhinweisen.

10. Ihre DSGVO-Rechte

Kraft Gesetzes sind wir verpflichtet, Sie über Ihre nach der DSGVO zustehenden Rechte zu informieren. Nachfolgend erläutern wir diese Rechte. Die Rechte stehen Ihnen unter den Voraussetzungen der jeweiligen datenschutzrechtlichen Bestimmungen zu. Durch die nachfolgende Darstellung werden Ihnen keine weitergehenden Rechte eingeräumt.

10.1. Auskunft

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen.

10.2. Berichtigung

Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 DSGVO.

10.3. Löschen

Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im Einzelnen aufgeführten Gründe zutrifft, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden.

10.4. Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, für die Dauer der Prüfung durch uns.

10.5. Datenübertragbarkeit

Sie haben das Recht, unter bestimmten Voraussetzungen Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, zu übermitteln und – soweit technisch machbar – übermitteln zu lassen, Art. 20 DSGVO.

10.6. Beschwerde

Sie haben unabhängig von anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten durch uns gegen die DSGVO verstößt, Art. 77 DSGVO. Sie können dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. Die Kontaktdaten der Aufsichtsbehörden in Deutschland finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

10.7. Widerruf (von Einwilligungen)

Wenn Sie uns eine Datenschutz-Einwilligung erteilt haben, haben Sie das Recht diese jederzeit mit Wirkung für die Zukunft zu widerrufen. Dies gilt auch für Datenschutz-Einwilligungen, die Sie uns vor Geltung der DSGVO erteilt haben.

10.8. Widerrufsrecht

Ergänzend haben Sie das Recht auf Widerspruch, dieses ist am Ende dieses Dokuments erläutert.

11. Anhang: Begriffserläuterungen

11.1. Begriffe

Im Folgenden erläutern wir einige in diesen Datenschutzhinweisen verwendete rechtliche und technische Begriffe.
a) Auftragsverarbeiter:
Auftragsverarbeiter sind Dienstleister, die Ihre Daten zweck- und weisungsgebunden nach unseren Vorgaben verarbeiten.
b) Personenbezogene Daten:
Personenbezogene Daten (Daten) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
c) Verarbeitung:
Eine Verarbeitung personenbezogener Daten ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten, z.B. das Erheben über ein Online-Formular, die Speicherung auf unseren Servern oder die Verwendung zur Kontaktaufnahme.
d) IP-Adresse:
Die IP-Adresse ist eine Nummer, die Ihr Internetanbieter Ihrem Endgerät vorübergehend oder auch dauerhaft zuweist. Mit einer vollständigen IP-Adresse ist es z.B. anhand von Zusatzinformationen Ihres Internetzugangsbetreibers im Einzelfall möglich, den Anschlussinhaber zu identifizieren.

11.2. Rechtsgrundlagen

Die DSGVO erlaubt eine Verarbeitung personenbezogener Daten nur, wenn eine Rechtsgrundlage besteht. Wir sind gesetzlich verpflichtet, Ihnen die Rechtsgrundlage für die Verarbeitung Ihrer Daten mitzuteilen.

Im Folgenden erläutern wir Ihnen die dabei verwendeten Begrifflichkeiten.
Rechtsgrundlage / Bezeichnung / Erläuterung
Art. 6 Abs. 1 lit. a) DSGVO / Einwilligung / Diese Rechtsgrundlage erlaubt die Verarbeitung, wenn und soweit Sie uns eine Einwilligung erteilt haben.

Art. 6 Abs. 1 lit. b) DSGVO / Vertragserfüllung / Diese Rechtsgrundlage gestattet die Verarbeitung, soweit diese zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, einschließlich vorvertraglicher Maßnahmen (z.B. Durchführung des Arbeitsvertrags).

Art. 6 Abs. 1 lit. f) DSGVO / berechtigte Interessen / Gemäß dieser Rechtsgrundlage ist uns eine Verarbeitung erlaubt, soweit dies zur Wahrung unserer berechtigten Interessen (oder derjenigen Dritter) erforderlich ist und Ihre entgegenstehenden Interessen nicht überwiegen. Soweit nicht anders angegeben, bestehen unsere Interessen in der Verfolgung der angegebenen Verarbeitungszwecken.

Ihr Widerspruchsrecht

Sie haben zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern wir die Verarbeitung auf Art. 6 Abs. 1 lit e. oder f DSGVO stützen. Wir verarbeiten diese Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DSGVO).

Werden Ihre personenbezogenen Daten von uns für Direktwerbung (z.B. mittels E-Mail) verwendet, so haben Sie das Recht, jederzeit Widerspruch gegen die Verwendung ihrer Daten für diese Zwecke einzulegen. Dies gilt auch für ein Profiling, soweit dieses mit Direktwerbung in Verbindung steht. Profiling meint die Verwendung von personenbezogenen Daten um bestimmte persönliche Aspekte (z.B. Interessen) zu analysieren oder vorherzusagen.

Stand: Datum