Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

E-Mail: datenschutz@apohrtool.de
Telefon: +49 (0) 30 12345678

Unser Datenschutzbeauftragter steht Ihnen bei Fragen rund um die Verarbeitung Ihrer personenbezogenen Daten sowie Ihre Rechte gerne zur Verfügung:

E-Mail: dsb@apohrtool.de

Personenbezogene Daten

Im Rahmen der Nutzung der Apo HR Tool Software erheben und verarbeiten wir folgende Kategorien personenbezogener Daten:

• Stammdaten (Name, Vorname, E-Mail-Adresse, Telefonnummer)
• Beschäftigungsbezogene Daten (Personalnummer, Abteilungszugehörigkeit, Vorgesetzter, Eintritts- und Austrittsdatum)
• Arbeitszeitdaten (Kommen-/Gehen-Zeiten, Arbeitsstunden)
• Abwesenheitsdaten (Urlaubstage, Krankmeldungen, Sonderurlaub)
• Schichtpläne und Dienstplaninformationen
• Vertragsdaten (Gehaltsinformationen, Vertragsart)

Biometrische Daten

Zur Zeiterfassung mittels Gesichtserkennung verarbeiten wir biometrische Daten. Ausdrücklich weisen wir darauf hin, dass keine Rohbilder der Gesichtserfassung gespeichert werden. Die Erfassung erfolgt ausschließlich zur Extraktion eines biometrischen Embeddings (mathematischer Merkmalsvektor), welcher als gehashter Fingerprint abgelegt wird. Eine Rückführung auf das ursprüngliche Kamerabild ist technisch ausgeschlossen.

Nutzungsdaten

Bei Zugriff auf die Apo HR Tool Plattform werden automatisch technische Zugriffsdaten erhoben, darunter:

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Browsertyp und -version
• Verwendetes Betriebssystem
• Aufgerufene Seiten und Funktionen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt zu folgenden Zwecken:

• Bereitstellung und Betrieb der HR-Plattform (Zeiterfassung, Abwesenheitsmanagement, Schichtplanung)
• Personalbewirtschaftung und Stammdatenverwaltung
• Erstellung von Berichten und Auswertungen für die Personalabteilung
• Authentifizierung und Zugriffskontrolle
• Biometrische Zeiterfassung mittels Gesichtserkennung zur eindeutigen Identifikation
• Sicherheits- und Audit-Zwecke (Nachvollziehbarkeit von Zugriffen und Änderungen)
• Erfüllung vertraglicher und gesetzlicher Verpflichtungen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis der folgenden Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Datenverarbeitung ist für die Durchführung des Nutzungsvertrages mit Ihrem Arbeitgeber erforderlich.
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Verarbeitung zur Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten (insb. Steuer- und Handelsrecht).
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheitsmaßnahmen, Zugriffskontrollen und Audit-Logs zum Schutz unserer Systeme und Daten.
• Art. 9 Abs. 2 lit. a DSGVO – Einwilligung: Für die Verarbeitung biometrischer Daten zur Gesichtserkennung holen wir Ihre ausdrückliche Einwilligung ein.

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nur, soweit dies für die Bereitstellung der Plattform erforderlich ist oder Sie eingewilligt haben.

Supabase Inc. (Datenverarbeiter)

Die Apo HR Tool Plattform wird auf der Infrastruktur von Supabase Inc. (Supabase, 1550 Bryant St, Suite 350, San Francisco, CA 94103, USA) betrieben. Supabase stellt die PostgreSQL-Datenbank, Authentifizierungsdienste sowie die Speicherinfrastruktur bereit.

Mit Supabase wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Supabase verarbeitet die Daten ausschließlich auf unseren Weisungen und hat umfassende technische und organisatorische Maßnahmen implementiert. Da Supabase Server in der EU (Frankfurt) betreibt, erfolgt die Datenverarbeitung überwiegend innerhalb des Europäischen Wirtschaftsraums.

Hosting und Infrastruktur

Die Auslieferung der Webanwendung erfolgt über Vercel Inc. (Vercel, 340 S Lemon Ave #4133, Walnut, CA 91789, USA). Auch mit Vercel besteht ein AVV. Die Auslieferung der statischen Inhalte erfolgt über ein globales CDN mit Edge-Caching.

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die Erfüllung der beschriebenen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

• Stammdaten und Arbeitszeitdaten: Für die Dauer des Beschäftigungsverhältnisses zuzüglich der gesetzlichen Aufbewahrungsfristen (gemäß § 147 AO, § 257 HGB in der Regel 6 bis 10 Jahre).
• Biometrische Embeddings: Für die Dauer des Beschäftigungsverhältnisses. Nach Beendigung des Arbeitsverhältnisses werden die biometrischen Daten unverzüglich gelöscht.
• Audit-Logs: Für einen Zeitraum von maximal 12 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Nutzungsdaten (Logfiles): Für maximal 7 Tage, danach erfolgt Anonymisierung.

Nach Ablauf der Aufbewahrungsfristen werden die Daten automatisch und unwiderruflich gelöscht.

Ihnen stehen als betroffene Person folgende Rechte gegenüber dem Verantwortlichen zu:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.

Wir haben umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert, um Ihre personenbezogenen Daten gegen unbefugten Zugriff, Verlust oder Missbrauch zu schützen:

Row-Level Security (RLS)

Sämtliche Datenbankabfragen werden durch Row-Level Security auf PostgreSQL-Ebene geschützt. Jeder Datenbankzugriff wird anhand der authentifizierten Benutzeridentität gefiltert, sodass ein Benutzer ausschließlich auf die Daten seines Mandanten (Tenant) zugreifen kann. RLS-Policies sind für jede Tabelle explizit definiert und werden serverseitig erzwungen.

Tenant-Isolation

Die Apo HR Tool Software ist als Multi-Tenant-System konzipiert. Die Daten jedes Mandanten (Unternehmens) werden strikt isoliert. Die Tenant-Zugehörigkeit wird zentral über die Authentifizierung gesteuert und durch RLS auf Datenbankebene sowie durch Anwendungslogik abgesichert. Ein Datenübergriff zwischen verschiedenen Mandanten ist technisch ausgeschlossen.

Audit Logs

Sämtliche Zugriffe auf personenbezogene Daten sowie administrative Änderungen werden in unveränderlichen Audit-Logs protokolliert. Jeder Audit-Eintrag enthält den Zeitpunkt, die ausführende Person, die Art der Aktion sowie die betroffenen Daten. Die Audit-Logs werden manipulationssicher gespeichert und ermöglichen eine lückenlose Nachvollziehbarkeit aller Datenzugriffe.

Verschlüsselung

• Daten im Transit: Alle Verbindungen zur Plattform werden ausschließlich über TLS 1.3 verschlüsselt.
• Daten im Ruhezustand: Die PostgreSQL-Datenbank wird mittels AES-256-Verschlüsselung gespeichert.
• Biometrische Daten: Wie unter Ziffer 3 beschrieben werden biometrische Daten ausschließlich als gehashte Embeddings gespeichert. Eine Rückrechnung auf das Ursprungsbild oder eine Rekonstruktion der biometrischen Merkmale ist nicht möglich.
• Passwörter: Werden mittels bcrypt mit einem Salt-Faktor von 12 gehasht gespeichert.

Die Apo HR Tool Plattform verwendet ausschließlich essenzielle Cookies, die für den Betrieb der Plattform technisch erforderlich sind. Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies zu Marketingzwecken eingesetzt.

• Session-Cookie: Ein verschlüsseltes Session-Token zur Authentifizierung. Dieses Cookie ist als HTTP-Only gekennzeichnet, sodass ein Zugriff durch clientseitiges JavaScript nicht möglich ist. Es wird mit dem Schließen des Browsers automatisch gelöscht.
• CSRF-Schutz-Cookie (Double-Submit-Cookie): Dient dem Schutz vor Cross-Site-Request-Forgery-Angriffen. Auch dieses Cookie ist HTTP-Only und SameSite=Strict konfiguriert.

Da ausschließlich technisch notwendige Cookies verwendet werden, bedarf es gemäß § 25 Abs. 2 TTDSG keiner Einwilligung.

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unserer Datenverarbeitungspraxis anzupassen. Die jeweils aktuelle Fassung ist auf der Apo HR Tool Plattform unter„Datenschutzerklärung“ abrufbar.

Stand dieser Datenschutzerklärung: Juni 2026