Datenschutzerklärung

Stand: 05.04.2026

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die TimeShape-Website oder -App nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

KAIA by Kantarevic & Bastong GbR
Amel Kantarevic, Marie Julie Bastong
Effertzfeld 10, 41564 Kaarst
E-Mail: info@timeshape.de

3. Rollen: Verantwortlicher und Auftragsverarbeiter

Für die Verarbeitung personenbezogener Daten im Rahmen des Besuchs dieser Website sowie bei der Anbahnung und Verwaltung des Vertragsverhältnisses mit unseren Geschäftskunden (z. B. Registrierung, Abrechnung, Support) sind wir die Verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO.

Soweit Arbeitgeber TimeShape einsetzen, um Arbeitszeiten, Abwesenheiten und zugehörige Daten ihrer Beschäftigten zu verarbeiten, ist der jeweilige Arbeitgeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO; TimeShape ist insoweit ausschließlich Auftragsverarbeiter nach Art. 28 DSGVO. Beschäftigte wenden sich für Auskünfte und Betroffenenrechte zu diesen Daten zunächst an ihren Arbeitgeber. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO wird vor Aufnahme der Verarbeitung abgeschlossen.

4. Hosting & Server-Logfiles

Diese Website wird von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, in Infrastruktur mit Verarbeitungsorten innerhalb und außerhalb der EU bereitgestellt. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; zusätzlich bestehen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Beim Aufruf der Website werden automatisch Server-Logfiles erhoben und verarbeitet: IP-Adresse (ggf. gekürzt), Datum und Uhrzeit, abgerufene URL, Referrer-URL, verwendeter Browser sowie Betriebssystem. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht im stabilen und sicheren Betrieb der Website sowie in der Abwehr von Angriffen. Die Logs werden spätestens nach 30 Tagen gelöscht bzw. anonymisiert.

5. Cookies und vergleichbare Technologien

Diese Website setzt ausschließlich unbedingt erforderliche Cookies ein — konkret ein Sitzungs-/Authentifizierungs-Cookie, das nach erfolgreicher Anmeldung am Web-Portal von Firebase Authentication gesetzt wird. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG, da dieses Cookie für den vom Nutzer ausdrücklich gewünschten Telemedien-Dienst (Login-Bereich) unbedingt erforderlich ist. Die anschließende Verarbeitung der anfallenden personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Analyse-, Tracking- oder Marketing-Cookies setzen wir derzeit nicht ein. Es findet kein Website-Tracking, kein Profiling und keine Reichweitenmessung durch Dritte statt. Sollten wir künftig nicht zwingend erforderliche Cookies oder vergleichbare Technologien einsetzen, erfolgt dies ausschließlich nach vorheriger ausdrücklicher Einwilligung gemäß § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO; eine einmal erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

6. Kontaktaufnahme

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente Bearbeitung von Anfragen). Die Daten werden gelöscht, sobald der Zweck entfallen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. TimeShape-App & Web-Portal

Die folgenden Hinweise beschreiben Art und Umfang der in der Anwendung verarbeiteten Daten. Verantwortlicher für diese Verarbeitung ist — soweit nicht anders angegeben — der einsetzende Arbeitgeber; TimeShape handelt als Auftragsverarbeiter nach Art. 28 DSGVO (siehe Abschnitt 3).

Verarbeitete Datenkategorien

Stamm- und Kontaktdaten (Name, E-Mail, Mitarbeiter-ID), Arbeitszeit- und Pausendaten, Urlaubs-/Abwesenheitsanträge, Chat-Nachrichten im Team-Kontext, Gerätetyp/Betriebssystem sowie — ausschließlich bei aktiver Nutzung und nach vorheriger Freigabe durch den Nutzer — GPS-Standortdaten.

GPS-Erfassung

Die Standorterfassung dient ausschließlich der nachweissicheren Arbeitsortdokumentation und erfolgt nur während aktiver Nutzung (kein Hintergrund-Tracking). Die Freigabe kann jederzeit über die Betriebssystem-Einstellungen widerrufen werden. Rechtsgrundlage der Verarbeitung durch den Arbeitgeber ist regelmäßig Art. 6 Abs. 1 lit. b i. V. m. Art. 88 DSGVO und den entsprechenden nationalen Regelungen zum Beschäftigtendatenschutz, ggf. ergänzt durch eine Betriebs- oder Dienstvereinbarung.

Verarbeitungszwecke

  • Arbeitszeiten erfassen und dokumentieren (EuGH C-55/18, § 16 Abs. 2 ArbZG)
  • Lohnabrechnung und Mindestlohnnachweis (MiLoG)
  • Urlaubs- und Abwesenheitsverwaltung
  • Team-Kommunikation im dienstlichen Kontext

Es findet keine Werbung, kein Profiling, kein Tracking und keine Weitergabe an Dritte zu Werbezwecken statt.

Eingesetzte Dienste

Firebase / Google Cloud (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) für Authentifizierung, Datenspeicherung und Push-Notifications. Die Datenhaltung erfolgt in EU-Rechenzentren (Multi-Region „eur3", Belgien/Niederlande); Cloud Functions laufen in der Region europe-west1 (Belgien). Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist abgeschlossen.

Datensicherheit

Transportverschlüsselung via TLS 1.3, ruhende Daten AES-256, rollenbasierte Zugriffskontrollen, Firebase Security Rules sowie regelmäßige Backups.

Speicherdauer

  • Arbeitszeitaufzeichnungen: mindestens 2 Jahre (§ 16 Abs. 2 ArbZG)
  • Mindestlohn-Dokumentation: 2 Jahre (§ 17 Abs. 2 MiLoG)
  • Lohnkonto-Daten: 6 Jahre nach letzter Eintragung (§ 41 Abs. 1 S. 9 EStG)
  • GPS-Daten: maximal 2 Jahre, nur im Umfang der Arbeitszeitnachweise
  • Löschung oder Anonymisierung automatisch nach Fristablauf; bei Beendigung des Nutzungsverhältnisses nach Weisung des Verantwortlichen

8. Ihre Rechte als betroffene Person

Nach der DSGVO haben Sie jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Widerspruchsrecht nach Art. 21 DSGVO: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@timeshape.de. Soweit Sie Beschäftigte:r eines Kunden sind, richten Sie Betroffenenrechte bitte primär an Ihren Arbeitgeber als Verantwortlichen.

9. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie nach Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Postfach 20 04 44, 40102 Düsseldorf
Tel.: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de

10. Optionale Übermittlung an Buchhaltungs- und Lohnsysteme

Arbeitgeber können in TimeShape freiwillig eine Schnittstelle zu einem externen Buchhaltungs- oder Lohnsystem aktivieren, um die monatlichen Arbeitszeit-, Urlaubs- und Krankheitsdaten ihrer Beschäftigten dorthin zu übertragen. Derzeit unterstützte Systeme:

  • DATEV (LODAS / Lohn und Gehalt) — per DATEV-kompatibler Lohnimport-CSV, die der Arbeitgeber manuell an seinen Steuerberater übergibt.
  • Lexware Office (Haufe-Lexware GmbH, Freiburg) — direkte Übertragung per REST-API an den Lexware-Account des Arbeitgebers.
  • sevDesk (Sevdesk GmbH, Offenburg) — direkte Übertragung per REST-API an den sevDesk-Account des Arbeitgebers.

Rolle von TimeShape: Wir handeln bei diesen Übermittlungen ausschließlich auf ausdrückliche Weisung des Arbeitgebers als technischer Übermittler. Der Arbeitgeber ist und bleibt eigenständig Verantwortlicher für die Datenverarbeitung; das empfangende Buchhaltungs-/Lohnsystem ist ein weiterer eigenständiger Verantwortlicher, mit dem der Arbeitgeber selbst eine Rechtsbeziehung (Nutzungs- und Datenverarbeitungsverträge) unterhält. TimeShape ist für diese Übermittlung nicht Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO i. V. m. Art. 88 DSGVO (Durchführung des Arbeitsvertrags und gesetzliche Aufzeichnungs-/Lohnabrechnungspflichten nach ArbZG, MiLoG, EStG und SGB IV).

Umfang der übermittelten Daten: Personalnummer, Vor- und Nachname, geleistete Arbeitsminuten, Mehrarbeit, Pausenzeiten, bewilligte Urlaubstage und Krankheitstage — aggregiert pro Abrechnungszeitraum. Keine Übermittlung von GPS-Standortdaten, Chat-Nachrichten oder sensiblen Gesundheitsdaten.

Sicherheit der Übermittlung: TLS 1.2+, Access-Tokens werden im Google Secret Manager gespeichert und sind ausschließlich für die ausführende Cloud Function lesbar. Eine Übertragung erfolgt nur, wenn ein Admin des Arbeitgebers aktiv den Export auslöst; jede Übertragung wird im Audit-Log dokumentiert (Datum, auslösender Admin, Zeitraum, Datensatzanzahl, Status).

11. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet nur statt, soweit sie für die Erbringung des Dienstes erforderlich ist. Eingesetzte US-Anbieter (insbesondere Google LLC und Vercel Inc.) sind unter dem EU-US Data Privacy Framework aktiv zertifiziert; ein Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 besteht. Zusätzlich haben wir EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

12. SSL/TLS-Verschlüsselung

Diese Website nutzt durchgängig SSL/TLS-Verschlüsselung (HTTPS). Datenübertragungen sind damit gegen unbefugtes Mitlesen geschützt.

13. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt.

14. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den oben genannten Stand. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, sie anzupassen. Die jeweils aktuelle Fassung kann jederzeit auf dieser Seite abgerufen werden.