Datenschutzerklärung

1. Geltungsbereich dieser Erklärung

Diese Datenschutzerklärung gilt für die Instanz von SUSET Zeiterfassung, die von Strobl & Schmidtke Elektrotechnik GmbH ausschließlich für den eigenen betrieblichen Einsatz betrieben wird. Sie richtet sich an Beschäftigte, denen das Unternehmen einen persönlichen Zugang zu dieser Anwendung einrichtet. Es werden keine Konten für externe Kunden oder sonstige Dritte vergeben.

2. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

3. Zweck und Rechtsgrundlagen der Verarbeitung

SUSET Zeiterfassung dient der digitalen Arbeitszeiterfassung gemäß § 16 Abs. 2 Arbeitszeitgesetz (ArbZG) sowie der betrieblichen Verwaltung von Abwesenheiten, Überstunden und Monatsnachweisen. Die Verarbeitung erfolgt zu den nachfolgend beschriebenen Zwecken:

• Arbeitszeiterfassung: Erfassung von Beginn, Ende, Pausen und Tätigkeit zur Erfüllung gesetzlicher und betrieblicher Pflichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO, § 26 Abs. 1 BDSG.
• Urlaubs- und Abwesenheitsverwaltung: Verwaltung von Urlaubsanträgen, Krankmeldungen, Sonderurlaub und Freizeitausgleich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 26 Abs. 1 BDSG.
• Überstundenkonto: Berechnung und Dokumentation des Arbeitszeitguthabens. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 26 Abs. 1 BDSG.
• Zugang und Authentifizierung: Speicherung von E-Mail/Benutzername und Passwort-Hash; optionale Zwei-Faktor-Authentifizierung (TOTP). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).
• Sicherheits- und Audit-Protokolle: Protokollierung sicherheitsrelevanter Vorgänge (z. B. Anmeldungen, fehlgeschlagene Logins, Verwaltungshandlungen) teils mit IP-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Monatsabschluss und Archiv: Digitale Bestätigung von Monatsnachweisen und Archivierung von PDF-Berichten zur Dokumentation und Aufbewahrung. Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. b DSGVO.
• Benachrichtigungen: Hinweise zu Anträgen, Änderungen und erforderlichen Handlungen innerhalb der Anwendung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

4. Verarbeitete Datenkategorien

Im Rahmen der Nutzung werden insbesondere folgende Daten verarbeitet:

• Stammdaten: Name, E-Mail, Benutzername, Rolle, Einstellungsdatum, Bundesland, Arbeitszeit- und Zuschlagsmodelle
• Zeiteinträge: Arbeitsbeginn und -ende, Pausen, Tätigkeiten, Kunden-/Projektzuordnung, Revisionen und Kommentare
• Abwesenheitsdaten: Art, Dauer, Status und Halbtagsangaben von Anträgen
• Überstunden- und Urlaubskonten: Berechnungen, Korrekturbuchungen, Jahresansprüche
• Zugangsdaten: Passwort-Hash (bcrypt), optional TOTP-Secret (verschlüsselt), Recovery-Codes
• Verbindungs- und Protokolldaten: IP-Adresse bei Anmeldungen und sicherheitsrelevanten Ereignissen (SecurityEvent, AuditLog)
• Einstellungen: Anzeigeformat, Designpräferenz, Systemkonfiguration durch Administratoren

5. Cookies und lokale Speicherung im Browser

• Session-Cookie: für die Anmeldung und Authentifizierung (technisch erforderlich)
• 2FA-Geräteerinnerung (optional): signiertes Cookie 2fa_r für bis zu 30 Tage, wenn der Benutzer „Gerät merken“ wählt
• Offline-Timer-Puffer: temporäre Speicherung von Start/Stopp-Ereignissen im lokalen Speicher des Browsers (localStorage), bis eine Synchronisation nach erfolgreicher Anmeldung möglich ist

Es werden keine Tracking- oder Marketing-Cookies eingesetzt.

6. Speicherdauer

Daten werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen:

• Arbeitszeitdaten: mindestens 2 Jahre (§ 16 Abs. 2 ArbZG)
• Lohn- und Gehaltsunterlagen: bis zu 10 Jahre (§ 147 AO), soweit einschlägig
• Audit- und Sicherheitsprotokolle: typischerweise bis zu 3 Jahre
• Benutzerkonten: bis zur Löschung durch den Administrator

7. Hosting und Datenübermittlung

Die produktive Instanz wird vom Verantwortlichen auf eigener oder gemieteter Infrastruktur betrieben. Die Verarbeitung erfolgt in der Regel auf Servern in Deutschland bzw. innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in Drittländer findet mit dem derzeitigen Betriebsmodell nicht statt.

Eine Weitergabe an Dritte erfolgt nicht, es sei denn, es besteht eine gesetzliche Verpflichtung, eine ausdrückliche Einwilligung oder ein wirksamer Vertrag (z. B. mit Steuerberater oder Lohnabrechnung) erlaubt dies.

Externe Schnittstellen (API/Webhook) werden nur mit gültigem API-Key und im vom Administrator freigegebenen Umfang genutzt.

8. Technische und organisatorische Maßnahmen

• Verschlüsselte Übertragung via HTTPS/TLS
• Passwörter nur als bcrypt-Hash, kein Klartext
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• Rollenbasierte Zugriffskontrolle (Admin / Mitarbeiter)
• IP-basiertes Rate-Limiting bei Anmeldungen
• Unveränderliches Audit-Log und SecurityEvent-Protokoll
• Regelmäßige Datensicherungen (Backup)
• Kein Caching personenbezogener Seiteninhalte im Service Worker

9. Betroffenenrechte

Sie haben insbesondere folgende Rechte gegenüber dem Verantwortlichen:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Anfragen richten Sie bitte an: info@suset.de

10. Beschwerderecht bei der Aufsichtsbehörde

Sie können sich bei der zuständigen Aufsichtsbehörde beschweren. Für Baden-Württemberg:

11. Aktualität

Stand: Mai 2026. Bei wesentlichen Änderungen an Funktionen oder Datenverarbeitung wird diese Erklärung angepasst. Ergänzende betriebliche Regelungen (z. B. Zeiterfassung, IT-Nutzung) können in Arbeitsvertrag, Dienstvereinbarung oder Betriebsvereinbarung geregelt sein.