Diese Datenschutzerklärung klärt über die Art, den Umfang und den Zweck der Verarbeitung von personenbezogenen Daten auf. Die rechtlichen Grundlagen des Datenschutzes finden sich in der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Verantwortlicher im Sinne der DSGVO ist:
Tanja Hassini
Am Godorfer Kirchweg 16
50997 Köln
Telefon: 015258965027
E-Mail: info@300a.de
Die Bereitstellung dieser Webseite und der Software-as-a-Service-Applikation „TimePlus“ erfolgt auf Servern, die geografisch in Deutschland verortet sind. Dies stellt sicher, dass die Daten europäischem Datenschutzrecht unterliegen. Soweit wir externe Hosting-Dienstleister beauftragen, erfolgt dies auf Grundlage eines Vertrages zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO, um eine datenschutzkonforme Verarbeitung zu garantieren.
Bei der Nutzung der Webseite werden automatisch Informationen durch den Webspace-Provider erfasst (Server-Logfiles). Diese beinhalten:
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der fehlerfreien Darstellung, der Abwehr von Cyberangriffen und der Stabilität der Systeme.
Für die reibungslose Funktion der Applikation, insbesondere zur Aufrechterhaltung des Login-Status, der Mandantentrennung und der Sitzungssteuerung, werden technisch notwendige Cookies oder vergleichbare lokale Speichertechnologien eingesetzt. Diese Technologien speichern keine Daten, mit denen der Nutzer außerhalb der Applikation verfolgt werden kann.
Die Rechtsgrundlage für den Einsatz ist § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. b bzw. f DSGVO, da sie für die vertraglich geschuldete Funktionalität zwingend erforderlich sind.
Zur Einrichtung eines Workspaces werden Basisdaten (Firmenname, Name des Admins, E-Mail-Adresse, verschlüsseltes Passwort) erhoben. Werden weitere Mitarbeiter über die Applikation eingeladen, generiert das System einen zeitlich befristeten Einladungslink, der per E-Mail versendet wird. Hierfür verarbeiten wir die E-Mail-Adressen der einzuladenden Personen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Im Rahmen des „HR-Portals“ bietet die Software Funktionen zur Stempeluhr (Zeiterfassung), Urlaubs- und Abwesenheitsverwaltung (inkl. Krankmeldungen) sowie zur Teamstrukturierung.
Tragen Arbeitgeber (unsere Mandanten) oder deren Mitarbeiter personenbezogene Daten in das System ein, werden wir als Auftragsverarbeiter nach Art. 28 DSGVO tätig. Die datenschutzrechtliche Verantwortlichkeit für die Rechtmäßigkeit dieser Erhebung (insb. nach § 26 BDSG) verbleibt beim jeweiligen Arbeitgeber. Dies schließt Korrektur-Workflows und die Speicherung von Arbeitszeitmodellen ein.
Das „Care-Portal“ dient der Verwaltung von Klienten (Stammdaten, Notfallkontakte, Budgets) sowie der Disposition und Leistungsabrechnung für ambulante Pflegedienste und Alltagsbegleiter.
Da hierbei regelmäßig besondere Kategorien personenbezogener Daten (Gesundheitsdaten gem. Art. 9 DSGVO) verarbeitet werden, unterliegt dieses Modul strengen Schutzmaßnahmen. Zur Einhaltung der Nachweispflichten führt das System ein vollständiges, DSGVO-konformes Zugriffs-Log (Audit-Trail). Auch hier fungieren wir ausschließlich als Auftragsverarbeiter (Art. 28 DSGVO); die Einholung etwaiger Einwilligungen der Klienten obliegt dem Mandanten.
Das „Fleet-Portal“ beinhaltet ein GoBD-konformes, digitales Fahrtenbuch. Zur Dokumentation der Fahrten erfasst die Applikation bei Auslösung durch den Nutzer (Start, Zwischenstopp, Ende) GPS-Standortdaten.
Um die gesetzlichen Anforderungen des Finanzamtes (GoBD-Konformität) zu erfüllen, werden alle Einträge und nachträglichen Änderungen fälschungssicher mit Datum, Uhrzeit und der jeweiligen User-ID in einem Audit-Trail (Insert-only-Verfahren, kein Löschen möglich) protokolliert. Die Verarbeitung dieser Daten erfolgt im Auftrag des Arbeitgebers zur Erfüllung rechtlicher und steuerlicher Dokumentationspflichten.
Für die Wegezeit-Kollisionsprüfung und Routing-Warnungen in der Disposition nutzen wir den Kartendienst OSRM (Open Source Routing Machine). Hierbei können technische Daten (wie die IP-Adresse) sowie Start- und Zielkoordinaten an den genutzten Routing-Server übermittelt werden, um die Entfernungen und Fahrzeiten zu berechnen.
Bei einer Kontaktaufnahme werden die Angaben der anfragenden Person gem. Art. 6 Abs. 1 lit. b DSGVO (vertragliche/vorvertragliche Beziehungen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung) verarbeitet.
Bestandsdaten werden für die Dauer des Vertrages gespeichert. Nach Kündigung und Löschung des Workspaces werden die Daten routinemäßig gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Für die als Auftragsverarbeiter verarbeiteten Beschäftigten-, Klienten- und Fahrtenbuchdaten (GoBD) gelten die Löschkonzepte und Weisungen des jeweiligen Verantwortlichen (Arbeitgebers/Mandanten).
Werden personenbezogene Daten verarbeitet, stehen betroffenen Personen folgende Rechte zu:
Hinweis: Mitarbeiter und Klienten, deren Daten durch den Arbeitgeber/Pflegedienst in unserer SaaS-Lösung erfasst werden, müssen ihre Betroffenenrechte (insbesondere Auskunft und Löschung) in der Regel unmittelbar gegenüber dem datenschutzrechtlich Verantwortlichen (dem jeweiligen Unternehmen) geltend machen.
Zum Schutz der Daten werden technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergriffen. Dazu gehört eine SSL-/TLS-Verschlüsselung sämtlicher Datenübertragungen sowie der Einsatz verschlüsselter Passworthash-Verfahren und dedizierter Zugriffs-Logs bei sensiblen Daten.