Was ist MeinFlexpool?FAQDokumentationSupport

Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns wichtig. Hier erfahren Sie, wie wir mit Ihren Daten umgehen.

Stand: 23. August 2025

1. Verantwortlicher

Cebilhak Mamak

c/o Postflex #9589

Emsdettener Str. 10

48268 Greven

E-Mail: [email protected]

2. Zwecke, Rechtsgrundlagen und Empfänger der Datenverarbeitung

2.1 Bereitstellung der Website (Server-Logfiles)

Daten: IP-Adresse (gekürzt/anonymisiert), Datum/Uhrzeit, aufgerufene URL/Datei, Referrer, Browser/OS, Provider.

Zwecke: Betrieb, Sicherheit (z. B. Missbrauchs-/Angriffserkennung), Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: i. d. R. 7 Tage; bei sicherheitsrelevanten Vorfällen bis zur Klärung.

2.2 Cookie-Einwilligungsverwaltung / lokale Speicherung

Wir verwenden localStorage und sessionStorage, um u. a. Ihre Cookie-Einwilligung zu speichern (z. B. Schlüssel cookieConsent) sowie Sitzungsdaten für die reibungslose Nutzung. Diese Informationen verbleiben lokal in Ihrem Browser und werden nicht serverseitig zu Nutzungsprofilen zusammengeführt. Rechtsgrundlage: für technisch Notwendiges Art. 6 Abs. 1 lit. f DSGVO/§ 25 Abs. 2 TTDSG; für nicht notwendige Cookies Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO/§ 25 Abs. 1 TTDSG), die Sie jederzeit in den Cookie-Einstellungen widerrufen können (vgl. die Auflistung auf /cookies).

2.3 Webanalyse mit Google Analytics (nur bei Einwilligung)

Wir setzen Google Analytics ein, um die Nutzung unserer Website auszuwerten und zu verbessern. Dabei werden Cookies verwendet (u. a. _ga, _ga_9BJ292DQ61). Wir nutzen IP-Anonymisierung. Empfänger/Verarbeiter: Google Ireland Limited (Irland) und ggf. Google LLC (USA).

Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO/§ 25 Abs. 1 TTDSG). Die Einwilligung können Sie jederzeit über die Cookie-Einstellungen widerrufen.

Drittlandtransfer: Eine Übermittlung in die USA ist möglich. Google stützt Übermittlungen auf geeignete Garantien (z. B. EU-Standardvertragsklauseln; ggf. EU‑US Data Privacy Framework bei Zertifizierung).

Speicherdauer der Cookies: i. d. R. bis zu 24 Monaten; Details siehe /cookies.

Hinweis zu Werbung/Marketing (Google Ads, nur bei Einwilligung): Sofern aktiviert, können Marketing‑Skripte von Google geladen werden. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO/§ 25 Abs. 1 TTDSG). Empfänger: Google Ireland Limited und ggf. Google LLC (USA). Drittlandtransfer wie oben beschrieben.

2.4 Account-System und Benutzerkonten

Daten: E-Mail-Adresse, Name (optional), verschlüsseltes Passwort, Registrierungsdatum, Rolle (Benutzer/Admin), E-Mail-Verifizierungsstatus.

Zwecke: Bereitstellung der Account-Funktionen, Authentifizierung, Datensynchronisation zwischen Geräten, Zugriffskontrolle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für registrierte Nutzer.

Speicherdauer: Bis zur Account-Löschung durch den Nutzer oder bei längerer Inaktivität (24 Monate ohne Login).

Verschlüsselung: Passwörter werden mit bcrypt gehasht und sind für uns nicht einsehbar.

2.5 Zwei-Faktor-Authentifizierung (2FA)

Daten: Verschlüsseltes 2FA-Secret, verschlüsselte Backup-Codes, 2FA-Status (aktiviert/deaktiviert).

Zwecke: Erhöhte Kontosicherheit, Schutz vor unbefugtem Zugriff.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bei freiwilliger Aktivierung.

Verschlüsselung: Alle 2FA-Daten werden mit AES-256 verschlüsselt gespeichert.

Speicherdauer: Bis zur Deaktivierung der 2FA oder Account-Löschung.

2.6 Dienstpläne und Planungsdaten

Daten: Bundesland, Arbeitszeit-Prozentsatz, individuelle Dienstzeiten, Schichtpläne, Urlaubstage, manuelle Schichten.

Zwecke: Bereitstellung der Planungsfunktionen, Stundenberechnung, Export-Generierung, Kalender-Integration.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur manuellen Löschung durch den Nutzer oder Account-Löschung.

Datenschutz: Planungsdaten sind nur für den jeweiligen Account-Inhaber einsehbar.

2.7 Kommunikation & Support

Kontaktaufnahme per E‑Mail (und ggf. Kontaktformular): Wir verarbeiten Ihre Angaben (z. B. Name, E‑Mail, Inhalt, Zeitstempel) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vor-/vertragliche Kommunikation) bzw. lit. f (Allgemeinanfragen).

Empfänger: Zoho Mail (Zoho Europe, EU‑Rechenzentrum) als Auftragsverarbeiter.

Speicherdauer: bis Abschluss der Bearbeitung; bei kaufmännischen/steuerlichen Pflichten entsprechend längere Aufbewahrung.

2.8 Missbrauchs-/Spam‑Prävention

Zum Schutz unserer Systeme setzen wir technische und organisatorische Maßnahmen ein (z. B. serverseitige Prüfungen, CSRF‑Schutz, Honeypots, Rate‑Limiting). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.9 Auftragsverarbeiter & Hosting

Wir bedienen uns für Betrieb, E‑Mail und Analyse sorgfältig ausgewählter Auftragsverarbeiter (Art. 28 DSGVO). Das Hosting erfolgt bei Hetzner Online GmbH (Deutschland/EU). Für den E‑Mail‑Versand/‑Empfang nutzen wir Zoho Mail (Zoho Europe, in der Regel EU‑Rechenzentren).

2.10 CDN/DNS/Proxy (Cloudflare)

Wir nutzen Cloudflare als DNS/Proxy/CDN‑Dienst zur Absicherung und Beschleunigung der Auslieferung. Dabei werden technisch notwendige Anfragen über die Cloudflare‑Infrastruktur geleitet (z. B. IP‑Adresse, Request‑Header, Sicherheits‑Signale).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, performantem Betrieb).

Drittlandtransfer: Eine Verarbeitung in den USA ist möglich. Cloudflare setzt geeignete Garantien (u. a. EU‑Standardvertragsklauseln, ggf. EU‑US DPF). Weitere Informationen: Datenschutzhinweise von Cloudflare.

3. Erweiterte Features

3.1 Kalender-Integration (ICS-Feed)

Daten: Schichtpläne, Dienstzeiten, Urlaubstage in iCalendar-Format (ICS).

Zwecke: Synchronisation mit externen Kalendern (Outlook, Google Calendar, Apple Kalender).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bei freiwilliger Aktivierung.

Sicherheit: Token-basierte Authentifizierung, individuelle Feed-URLs pro Nutzer.

Speicherdauer: Feed wird dynamisch generiert, keine zusätzliche Speicherung.

3.2 Datenexport (DSGVO Art. 20)

Daten: Vollständiger Export aller Nutzerdaten in CSV- oder JSON-Format.

Zwecke: Datenübertragbarkeit, DSGVO-Compliance, Backup-Erstellung.

Rechtsgrundlage: Art. 20 DSGVO (Recht auf Datenübertragbarkeit).

Sicherheit: Rate-Limiting (max. 3 Exporte alle 5 Minuten), Audit-Logging.

Inhalt: Profildaten, Einstellungen, Schichtpläne, Audit-Logs, Statistiken.

3.3 Audit-Logging und Sicherheitsprotokollierung

Daten: Benutzeraktionen, Zeitstempel, IP-Adresse, User-Agent, Aktionstyp.

Zwecke: Sicherheitsüberwachung, Missbrauchserkennung, Compliance-Nachweis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).

Speicherdauer: 90 Tage für normale Aktionen, länger bei sicherheitsrelevanten Vorfällen.

4. Cookies und lokale Speichertechnologien

4.1 Kategorien

  • Technisch notwendige Cookies/Speicher (z. B. CSRF‑Schutz, Sitzung/Navigation, Einwilligungsstatus).
  • Funktionale Speicher (Komfort‑Funktionen).
  • Performance/Analyse (z. B. Google Analytics – nur bei Einwilligung).
  • Werbe-/Marketing‑Cookies (z. B. Google Ads – nur bei Einwilligung).

4.2 Konkrete Cookies/Speicher (Beispiele)

Session-Cookies (notwendig): next-auth.session-token (Anmeldung), next-auth.csrf-token (CSRF-Schutz)

localStorage: cookieConsent (Einwilligungsstatus), Account-Einstellungen

Google‑Analytics‑Cookies: _ga, _ga_9BJ292DQ61 (Analyse, nur bei Einwilligung). Details & Laufzeiten siehe /cookies.

Widerruf / Änderung der Einwilligung: Sie können Ihre Auswahl jederzeit über die Cookie‑Einstellungen anpassen (Footer‑Link „Verwendung von Cookies").

5. Drittlandsübermittlung

Wenn Daten an Empfänger in Drittländern (z. B. USA) übermittelt werden, erfolgt dies nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO (z. B. EU‑Standardvertragsklauseln, Angemessenheitsbeschluss wie EU‑US Data Privacy Framework, zusätzliche Maßnahmen). Bei Google Analytics stützen wir uns auf Ihre Einwilligung und die von Google bereitgestellten Garantien.

Weiterführende Informationen (Links)

6. Speicherdauer

  • Server‑Logs: i. d. R. 7 Tage.
  • Account-Daten: bis zur Account-Löschung oder 24 Monate Inaktivität.
  • 2FA-Daten: bis zur Deaktivierung oder Account-Löschung.
  • Planungsdaten: bis zur manuellen Löschung oder Account-Löschung.
  • Audit-Logs: 90 Tage (normale Aktionen), länger bei Sicherheitsvorfällen.
  • Support‑Kommunikation: bis Abschluss, danach Löschung; bei gesetzlichen Aufbewahrungspflichten entsprechend länger.
  • Analyse‑Daten: entsprechend den von Google vorgesehenen Standard‑Aufbewahrungen bzw. Ihren Einstellungen/Einwilligungen.

7. Pflicht zur Bereitstellung

Es besteht keine gesetzliche Pflicht zur Bereitstellung Ihrer Daten für die Nutzung der Website. Kein automatisiertes Einzelentscheidungsverfahren/Profiling im Sinne von Art. 22 DSGVO.

8. Ihre Rechte (Betroffenenrechte)

  • Auskunft (Art. 15): Informationen über verarbeitete Daten
  • Berichtigung (Art. 16): Korrektur falscher Daten
  • Löschung (Art. 17): Account-Löschung in den Einstellungen oder per E-Mail
  • Einschränkung (Art. 18): Beschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Vollständiger Datenexport in den Einstellungen verfügbar (CSV/JSON)
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung

Selbstbedienung in Ihrem Account:

  • Datenexport: Einstellungen → "Daten exportieren"
  • Account-Löschung: Einstellungen → "Account löschen"
  • 2FA-Verwaltung: Einstellungen → "Zwei-Faktor-Authentifizierung"
  • Cookie-Einstellungen: Footer → "Verwendung von Cookies"

Weitere Rechte:

  • Widerruf von Einwilligungen: jederzeit mit Wirkung für die Zukunft (z. B. in den Cookie‑Einstellungen)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. LfDI Bremen

Sie können der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Direktwerbung jederzeit widersprechen; dies gilt auch für Profiling, soweit es mit solcher Direktwerbung in Verbindung steht (Art. 21 Abs. 2 DSGVO).

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter [email protected]. Ein Datenschutzbeauftragter ist nicht benannt, da keine gesetzliche Pflicht besteht.

9. Sicherheit

Wir setzen umfassende Sicherheitsmaßnahmen ein:

  • Verschlüsselung: TLS/SSL für Datenübertragung, bcrypt für Passwörter, AES-256 für 2FA-Daten
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Session-Management
  • Monitoring: Audit-Logging, Missbrauchserkennung, Rate-Limiting
  • Infrastruktur: EU-Hosting bei Hetzner, Cloudflare-Schutz
  • 2FA-Option: Zusätzliche Kontosicherheit mit Authenticator-Apps

10. Aktualität

Diese Datenschutzerklärung ist aktuell und wird bei Änderungen von Funktionen, Dienstleistern oder Rechtslage angepasst. Die jeweils neue Fassung veröffentlichen wir auf /datenschutz.

Datenschutzerklärung | MeinFlexpool.de