Datenschutzerklärung für die App „today“
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
RDKR GmbH
Überseeallee 10
2057 Hamburg
E-Mail: privacy@rdkr.com
(im Folgenden „wir“ oder „uns“).
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung unserer App „today“ (im Folgenden „App“) sowie der zugehörigen Web-Anwendung.
⸻
2. Geltungsbereich und Plattformen
Diese Datenschutzerklärung gilt für:
• die mobile App „today“ für iOS und Android,
• die Web-Anwendung von „today“ (z. B. im Browser am Desktop oder mobil).
Die App richtet sich an Teams und Unternehmen und dient insbesondere der Organisation von Anwesenheiten, Urlaubsplanung, Zeiterfassung sowie teaminterner Kommunikation.
⸻
3. Kategorien verarbeiteter Daten
3.1 Registrierungs- und Kontodaten
Im Rahmen der Registrierung und Nutzung eines Nutzerkontos verarbeiten wir insbesondere:
• Name (Anzeige-/Profilname)
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Zugehörigkeit zu Organisation/Team
• Zeitstempel der Registrierung und des letzten Logins
3.2 Profildaten und Organisationsdaten
Zur Bereitstellung der Teamfunktionen verarbeiten wir außerdem:
• Profilbilder (Avatar, optional)
• Organisations- und Teamdaten (z. B. Teamname, Organisationsname, Logos, Rollen/Rechte in der Organisation)
• Einstellungen zu Benachrichtigungen, Sprache und Zeitzone
3.3 Status-, Anwesenheits- und Zeiterfassungsdaten
Für die Organisation von Anwesenheiten, Urlaubsplanung und Zeiterfassung werden u. a. folgende Daten verarbeitet:
• Statusmeldungen (z. B. „im Büro“, „im Homeoffice“, „im Urlaub“, „abwesend“)
• Zeitstempel und Dauer von Arbeitszeiten (z. B. Start/Ende, Pausen)
• Informationen zu Schichten, Abwesenheiten, Urlauben und Krankmeldungen (soweit vom Arbeitgeber oder Nutzer eingetragen)
• Projektnamen oder Tätigkeitsbeschreibungen, soweit vom Nutzer/Team erfasst
3.4 Kommunikations- und Inhaltsdaten
Im Rahmen der teaminternen Kommunikation verarbeiten wir:
• Nachrichteninhalte (Chat, Kommentare, Reaktionen)
• Zugehörige Metadaten (z. B. Absender, Empfänger, Zeitpunkt)
• Anhänge, sofern bereitgestellt (z. B. Dateien, Bilder im Zusammenhang mit der Teamkommunikation oder Zeiterfassung)
3.5 Geräte- und Nutzungsdaten
Bei Zugriff auf die App oder die Web-Anwendung werden automatisch folgende Daten verarbeitet:
• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• verwendeter Browser, Betriebssystem, App-Version
• Gerätetyp und Gerätekennungen (z. B. Modell, Betriebssystemversion)
• Logfiles (z. B. Fehlermeldungen, technische Ereignisse)
• ggf. Spracheinstellungen und Region
Diese Daten werden in der Regel nicht zur Identifizierung der Nutzer verwendet, sondern dienen der technischen Bereitstellung, Sicherheit und Verbesserung der App.
⸻
4. Zwecke der Datenverarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
1. Bereitstellung der App und ihrer Funktionen
• Verwaltung von Nutzerkonten
• Darstellung von Teamstrukturen, Profilen, Anwesenheiten und Status
• Zeiterfassung, Schichtplanung und Urlaubsplanung
• interne Teamkommunikation
2. Vertragliche Abwicklung und Onboarding
• Einrichtung von Organisationen/Teams
• Hinzufügen/Einladen von Teammitgliedern
• Verwaltung von Rollen, Berechtigungen und Teamkonfigurationen
3. Benachrichtigungen und Kommunikation
• Versand von Push-Benachrichtigungen, E-Mails oder In-App-Benachrichtigungen, z. B. zu Statusänderungen, neuen Nachrichten, Erinnerungen oder organisatorischen Hinweisen
• optional: Newsletter oder produktbezogene Informationen, soweit eine Einwilligung vorliegt (siehe Rechtsgrundlagen)
4. Wartung, Sicherheit und Weiterentwicklung
• Sicherstellung der technischen Funktionsfähigkeit
• Fehleranalyse und -behebung
• Schutz vor Missbrauch, Betrug und unbefugtem Zugriff
• Verbesserung und Weiterentwicklung der App und ihrer Funktionen (z. B. Auswertung anonymisierter oder pseudonymisierter Nutzungsdaten)
5. Erfüllung rechtlicher Pflichten
• Aufbewahrungspflichten nach Handels-, Steuer- oder Arbeitsrecht (soweit relevant)
• Beantwortung rechtlicher Anfragen und Einhaltung gesetzlicher Anforderungen
⸻
5. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Basis der DSGVO, insbesondere:
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Soweit die Datenverarbeitung für die Bereitstellung der App, die Verwaltung des Nutzerkontos und die Erfüllung vertraglicher Pflichten gegenüber unseren Kunden (Teams/Unternehmen) und den angemeldeten Nutzern erforderlich ist (z. B. Zeiterfassung, Anwesenheitsverwaltung, Kommunikation).
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
Soweit wir gesetzlich zur Speicherung oder Offenlegung bestimmter Daten verpflichtet sind (z. B. steuer- oder handelsrechtliche Aufbewahrungspflichten).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen von Dritten erforderlich ist und nicht die Interessen oder Grundrechte der betroffenen Personen überwiegen. Unsere berechtigten Interessen liegen insbesondere in:
• der sicheren, stabilen und effizienten Bereitstellung der App,
• der Verbesserung und Weiterentwicklung des Angebots,
• der Verhinderung von Missbrauch und der Gewährleistung der IT-Sicherheit.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Soweit Sie uns für bestimmte Verarbeitungen eine Einwilligung erteilen (z. B. optionaler Newsletterversand, zusätzliche Push-Benachrichtigungen oder bestimmte Auswertungen), erfolgt die Verarbeitung auf Basis dieser Einwilligung.
Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
⸻
6. Speicherdauer und Löschung
Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die genannten Zwecke erforderlich ist oder wir gesetzlich zur Aufbewahrung verpflichtet sind.
• Nutzerdaten (Registrierungs-, Profil-, Zeiterfassungs- und Kommunikationsdaten) werden solange gespeichert, wie das Nutzerkonto und/oder die zugehörige Organisation/Team aktiv ist.
• Nach Beendigung der Vertragsbeziehung bzw. Löschung des Nutzerkontos werden Daten in der Regel innerhalb eines angemessenen Zeitraums gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
• Soweit gesetzliche Aufbewahrungsfristen (z. B. handels- oder steuerrechtlich) bestehen, werden die betreffenden Daten bis zum Ablauf dieser Fristen gespeichert und anschließend gelöscht oder anonymisiert.
Wenn Sie die Löschung Ihres Kontos oder einzelner Daten wünschen, können Sie sich an uns wenden (siehe Abschnitt „Kontakt“). Bitte beachten Sie, dass wir bestimmte Daten aus rechtlichen Gründen nicht sofort löschen dürfen.
⸻
7. Empfänger und Auftragsverarbeiter / Drittdienste
Zur Bereitstellung der App und der technischen Infrastruktur setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein. Diese verarbeiten personenbezogene Daten nur nach unserer Weisung und auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
7.1 Google Firebase
Wir nutzen Dienste der Google LLC bzw. ihrer Konzerngesellschaften („Google Firebase“) für:
• Firebase Authentication (Benutzeranmeldung und Kontoverwaltung)
• Cloud Firestore (Speicherung von App-Daten wie Statusmeldungen, Zeiterfassungsdaten, Organisations- und Kommunikationsdaten)
• Cloud Storage (Speicherung von Dateien, z. B. Profilbildern, ggf. weiteren Anhängen)
Die Daten können je nach Konfiguration in Rechenzentren innerhalb der EU bzw. des EWR verarbeitet werden. Es kann jedoch nicht ausgeschlossen werden, dass es im Rahmen der Wartung und Administration zu Zugriffen aus den USA kommt (siehe Abschnitt „Internationale Datenübermittlungen“).
7.2 Plattformbetreiber (Apple, Google) – Push & Systemfunktionen
• Apple Inc. – Nutzung von Diensten wie ActivityKit und Apple Push Notification Service (APNs) zur Darstellung von Live Activities (z. B. laufende Stoppuhr) und Versand von Push-Benachrichtigungen an iOS-Geräte.
• Google LLC – Nutzung von Firebase Cloud Messaging (FCM) bzw. Google Push-Diensten zur Zustellung von Push-Benachrichtigungen an Android-Geräte.
Hierbei erhalten Apple/Google die für die Zustellung erforderlichen technischen Daten (z. B. Push-Token, Geräteinformationen). Inhalte von Nachrichten werden nach dem Stand der Technik nur in dem Umfang übermittelt, der für die Zustellung erforderlich ist.
7.3 Infrastruktur und Entwicklungstools
• Codemagic (Nevercode Ltd.): Wird als Build- und CI/CD-Service zur Erstellung der App-Builds genutzt. Dabei können in Einzelfällen technische Metadaten der App und Konfigurationsinformationen verarbeitet werden. Eine Verarbeitung personenbezogener Nutzerdaten findet nur statt, soweit dies technisch unvermeidbar oder zur Fehleranalyse erforderlich ist.
• JitPack, CocoaPods u. ä. Paketquellen: Diese Dienste dienen lediglich dem technischen Download von Bibliotheken während der Entwicklung oder beim Build-Prozess. Es werden keine personenbezogenen Daten der App-Nutzer zu eigenen Zwecken dieser Dienste verarbeitet.
7.4 Weitere Empfänger
Im Einzelfall können Daten an folgende Empfänger weitergegeben werden, sofern rechtlich zulässig:
• Steuerberater, Wirtschaftsprüfer, Rechtsanwälte
• Behörden und Gerichte, sofern dies gesetzlich vorgeschrieben oder zur Wahrung rechtlicher Ansprüche erforderlich ist
Eine Übermittlung zu Werbezwecken an Dritte erfolgt nicht, sofern hierfür keine ausdrückliche Einwilligung vorliegt.
⸻
8. Sicherheitsmaßnahmen
Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen. Dazu gehören insbesondere:
• Verschlüsselte Übertragung der Daten mittels SSL/TLS
• Zugriffsbeschränkungen auf System- und Datenebene (z. B. Rollen- und Rechtekonzepte für Organisationen/Teams)
• Beschränkung des Zugriffs auf Daten auf berechtigte Personen
• Regelmäßige Sicherungen (Backups) der wesentlichen Systeme
• Einsatz aktueller Sicherheitsmaßnahmen auf Servern und Clients (z. B. Firewalls, regelmäßige Updates)
• Interne Prozesse zur Prüfung und Verbesserung der IT-Sicherheit
Bitte beachten Sie, dass trotz aller Maßnahmen kein System absolute Sicherheit gewährleisten kann. Wir empfehlen Ihnen, Ihre Zugangsdaten vertraulich zu behandeln und ein sicheres Passwort zu verwenden.
⸻
9. Mobile-spezifische Berechtigungen (iOS/Android)
Die App kann – je nach genutzten Funktionen – folgende Berechtigungen anfordern:
• Kamera:
Zur Aufnahme von Profilbildern oder ggf. weiteren Bildern innerhalb der App.
• Fotos/Medien/Dateien (Galeriezugriff):
Zum Hochladen von Profilbildern oder Anhängen aus der lokalen Galerie.
• Benachrichtigungen (Push Notifications):
Zur Anzeige von Informationen zu Statusänderungen, neuen Nachrichten, Erinnerungen (z. B. Zeiterfassungs-Start/-Stopp) oder organisatorischen Hinweisen.
• Hintergrunddienste / Foreground Services (Android):
Zur Ausführung bestimmter Funktionen im Vordergrund, z. B. zur zuverlässigen Anzeige einer laufenden Stoppuhr oder Zeiterfassung.
• Live Activities (iOS):
Zur Anzeige von Live-Aktivitäten (z. B. aktuell laufende Stoppuhr) auf dem Sperrbildschirm oder in der Dynamic Island.
• Netzwerkzugriff und -status:
Zur Kommunikation mit unseren Servern und zur Prüfung der Erreichbarkeit (z. B. Online-/Offline-Erkennung).
Die Berechtigungen können in den Einstellungen Ihres Geräts jederzeit angepasst oder widerrufen werden. Bitte beachten Sie, dass bestimmte Funktionen der App ohne die entsprechenden Berechtigungen nur eingeschränkt oder gar nicht verfügbar sein können.
⸻
10. Nutzung im Web: Cookies und Local Storage
Bei Nutzung der Web-Anwendung können Cookies und vergleichbare Technologien (z. B. Local Storage oder Session Storage) zum Einsatz kommen.
Wir verwenden diese Technologien insbesondere für:
• Session-Verwaltung und Authentifizierung
• Speicherung von Einstellungen (z. B. Sprache, Layout)
• ggf. Zwischenspeicherung technischer Informationen zur Verbesserung der Performance
Es kommen dabei in der Regel funktionale bzw. technisch notwendige Cookies/Storage-Einträge zum Einsatz, die für die Bereitstellung der Web-Anwendung erforderlich sind und auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen und ergonomischen Website) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gestützt werden.
Soweit darüber hinaus optionale Cookies (z. B. für Analysezwecke) eingesetzt werden sollten, informieren wir hierüber gesondert und holen – sofern erforderlich – Ihre Einwilligung ein.
⸻
11. Internationale Datenübermittlungen (insbesondere USA)
Im Rahmen der Nutzung von Google Firebase sowie der Push-Dienste von Apple und Google kann es zu einer Übermittlung von Daten in Drittländer außerhalb der EU/des EWR kommen, insbesondere in die USA.
Soweit für diese Länder kein Angemessenheitsbeschluss der Europäischen Kommission existiert, stellen wir nach Möglichkeit durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dazu gehören insbesondere:
• der Abschluss von Standardvertragsklauseln (SCC) der Europäischen Kommission mit den betreffenden Dienstleistern,
• ergänzende technische und organisatorische Maßnahmen, soweit erforderlich.
Gleichwohl kann nicht ausgeschlossen werden, dass in Drittstaaten mangels gleichwertigen Datenschutzniveaus erhöhte Risiken für die Betroffenenrechte bestehen (z. B. weitreichende staatliche Zugriffsbefugnisse). Wir achten daher bei der Auswahl unserer Dienstleister auf ein möglichst hohes Datenschutzniveau und eine datensparsame Ausgestaltung.
⸻
12. Rechte der betroffenen Personen
Als betroffene Person haben Sie – unter den jeweiligen gesetzlichen Voraussetzungen – folgende Rechte:
• Recht auf Auskunft (Art. 15 DSGVO):
Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO):
Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO):
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder andere vorrangige Gründe entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, z. B. wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, sofern dies technisch machbar ist.
• Recht auf Widerspruch (Art. 21 DSGVO):
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht, Widerspruch einzulegen.
Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO):
Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO):
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Zur Wahrnehmung Ihrer Rechte können Sie sich jederzeit an uns wenden (siehe Abschnitt „Kontakt“).
⸻
13. Kontakt für Datenschutzanfragen
Für Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zur Ausübung Ihrer Betroffenenrechte oder zum Thema Datenschutz allgemein können Sie sich an uns wenden:
RDKR GmbH
Betreff: Datenschutz
Überseeallee 10
2057 Hamburg
E-Mail: privacy@rdkr.com
⸻
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere bei Änderungen der App-Funktionen, der zugrunde liegenden Datenverarbeitungen oder der geltenden Rechtslage.
Die jeweils aktuelle Version der Datenschutzerklärung wird in der App und/oder auf der zugehörigen Website bereitgestellt. Bitte informieren Sie sich regelmäßig über den aktuellen Stand.