Logo PulseTimePulseTime

Impressum und Datenschutz

Datenschutzerklärung

PulseTime ist eine Zeiterfassungs-Anwendung für belgische KMU und deren Mitarbeiter. Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, warum, wie lange und wie Sie Ihre Rechte ausüben können, im Einklang mit der Verordnung (EU) 2016/679 (DSGVO) und dem belgischen Gesetz vom 30. Juli 2018.

1. Verantwortlicher

H&H Informatique SA, Rue Léon Morel 4, 5032 Isnes (Belgien), ZUD-Unternehmensnummer 0431.238.937, ist Verantwortlicher für die Website pulsetime.be und die Anwendung PulseTime in Bezug auf:

  • die Besucher der öffentlichen Website;
  • die Hauptadministratoren, die ein Abonnement abschließen;
  • die Administratoren und Mitarbeiter, die von ihrem Arbeitgeber eingeladen werden (B2B2C-Beziehung).

Für die Zeiterfassungen und HR-Daten Ihrer Mitarbeiter ist Ihr Unternehmen (der Hauptadministrator) der Verantwortliche und PulseTime handelt als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Die Bedingungen dieser Auftragsverarbeitung werden in einer Auftragsverarbeitungsvereinbarung (DPA) beschrieben, die Geschäftskunden auf Anfrage zur Verfügung gestellt wird unter dpo@pulsetime.be.

Datenschutzbeauftragter (DSB): dpo@pulsetime.be.

2. Erhobene Daten und Zwecke

2.1 Konto Hauptadministrator

Bei der Erstellung eines Kontos:

  • Identität: Vorname, Nachname, E-Mail-Adresse, Sprachpräferenz.
  • Authentifizierung: Passwort (mit bcrypt gehasht, nie im Klartext gespeichert); persönlicher Zugangslink (« Magic Link »).
  • Unternehmen: Firmenname, USt-IdNr., Adresse, Rechnungs-E-Mail, IBAN.

Zweck: Erfüllung des Vertrags (Kontoerstellung, Zugang zum Dienst, Abrechnung). Rechtsgrundlage: Erfüllung eines Vertrags (Art. 6.1.b DSGVO).

2.2 Eingeladene Mitarbeiter

  • Identität: Vorname, Nachname, E-Mail-Adresse und/oder Telefonnummer (mindestens eines davon), Sprache.
  • Erfassungen: Beginn-/Endzeit der Arbeitsleistung, verwendete Methode (Smartphone/Web, QR-Code, Tablet-Terminal), zugeordneter Standort.
  • GPS-Position (nur wenn der Administrator die Option aktiviert und der Mitarbeiter dies im Browser erlaubt): Breiten- und Längengrad zum Zeitpunkt der Erfassung sowie eine durch umgekehrte Geocodierung erhaltene Näherungsadresse.
  • IP-Adresse und User-Agent bei jeder Anmeldung (Sicherheitsprotokoll).

Zweck: Arbeitszeitregister (belgische gesetzliche Verpflichtung, Gesetz vom 26. Juni 2002 über die Arbeit und kommende Pflicht 2027), Verwaltung der Arbeitsleistungen, Erstellung der Berichte für das Lohnbüro. Rechtsgrundlage: gesetzliche Verpflichtung (Art. 6.1.c DSGVO) und berechtigtes Interesse (Art. 6.1.f) für Sicherheit und Betrugsbekämpfung.

2.3 Audit-Protokoll

Alle sensiblen Aktionen (Erstellung / Änderung / Löschung einer Erfassung, Validierung einer Korrektur, Versand einer Einladung, Wechsel des Plans …) werden in einem Append-only-Protokoll mit Autor, Datum, Zeitstempel und IP erfasst. Dieses Protokoll dient der Nachverfolgbarkeit und der DSGVO-Konformität (Artikel 5.1.f, Integrität und Vertraulichkeit).

3. Nicht erhobene Datenkategorien

Wir verarbeiten keine sensiblen Daten im Sinne von Artikel 9 DSGVO (rassische Herkunft, politische Meinungen, Gesundheitsdaten, sexuelle Orientierung …). Wir profilieren keine Nutzer zu Werbezwecken.

4. Auftragsverarbeiter

Wir nehmen die folgenden Auftragsverarbeiter für den Betrieb des Dienstes in Anspruch. Alle bieten Garantien für die DSGVO-Konformität:

  • Contabo GmbH (Deutschland, EU): Hosting der Anwendungsserver und der Datenbank.
  • Stripe Payments Europe Ltd. (Irland, EU): Verarbeitung von Kartenzahlungen und Abonnements. Stripe ist eigenständig Verantwortlicher für Zahlungsdaten (PCI-DSS).
  • Resend Inc. (Delaware, USA): Versand transaktionaler E-Mails (Einladungen, Bestätigungen, Zugangscodes). Übermittlung abgesichert durch die Standardvertragsklauseln der Europäischen Kommission.
  • Proximus / RingRing (Belgien, EU): Versand der Einladungs-SMS und PIN-Codes.
  • OpenStreetMap (Nominatim): umgekehrter Geocodierungsdienst zur Übersetzung von Breiten-/Längengrad in eine Postanschrift, ohne Cookie oder Profilerstellung.
  • Microsoft Ireland Operations Limited (Clarity): Verhaltensanalyse und Ergonomie (Heatmaps, anonymisierte Sitzungsaufzeichnungen). Strikte Maskierung auf Seiten mit personenbezogenen Daten aktiviert: kein Text wird erfasst. Server innerhalb der Europäischen Union. Nur nach ausdrücklicher Einwilligung über das Cookie-Banner aktiv.

5. Hosting und Datenlokalisierung

Alle Anwendungsdaten und Backups werden auf Contabo-Servern in Deutschland (Europäische Union) gehostet. Die transaktionalen E-Mails laufen über Resend, was eine Übermittlung in die Vereinigten Staaten mit sich bringen kann; diese Übermittlung wird durch die Standardvertragsklauseln (SVK) der Europäischen Kommission abgesichert.

6. Aufbewahrungsfristen

  • Zeiterfassungen: 5 Jahre nach dem Jahr der Arbeitsleistung, im Einklang mit der von der belgischen Gesetzgebung vorgeschriebenen Aufbewahrungsfrist für Leistungsregister.
  • Audit-Protokoll: 5 Jahre (Korollar zum vorhergehenden Punkt).
  • Kontodaten (Administrator, Mitarbeiter): bis zu 30 Tage nach Deaktivierung / Kündigung, danach Löschung oder Anonymisierung.
  • Verschlüsselte Backups: Rotation alle 30 Tage, vorbehaltlich längerer gesetzlicher Pflichten.
  • Sicherheitsprotokolle (IP, User-Agent): 12 Monate.

7. Ihre Rechte

Gemäß der DSGVO haben Sie folgende Rechte:

  • Auskunft über Ihre Daten und Kopie davon;
  • Berichtigung bei Unrichtigkeit;
  • Löschung in den vom Gesetz vorgesehenen Fällen (das « Recht auf Vergessenwerden »);
  • Einschränkung der Verarbeitung;
  • Übertragbarkeit Ihrer Daten in einem maschinenlesbaren Format;
  • Widerspruch gegen eine auf berechtigtem Interesse beruhende Verarbeitung;
  • Widerruf der Einwilligung jederzeit, sofern diese Rechtsgrundlage ist.

Über das Tab Konto → DSGVO der Anwendung kann der Hauptadministrator die vollständige Löschung des Unternehmens beantragen. Mitarbeiter können ein Unternehmen über ihr Profil verlassen; für jede andere Anfrage wenden sie sich an den Hauptadministrator ihres Arbeitgebers (Verantwortlicher).

Um ein Recht auszuüben oder eine Frage zu stellen, wenden Sie sich an dpo@pulsetime.be. Wir antworten innerhalb eines Monats.

8. Beschwerde

Wenn Sie der Ansicht sind, dass Ihre Rechte nicht respektiert werden, können Sie eine Beschwerde bei der belgischen Datenschutzbehörde (DSB) einreichen: www.autoriteprotectiondonnees.be.

9. Sicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein: Ende-zu-Ende-TLS-Verschlüsselung, Passwort-Hashing mit bcrypt, Zugriffsprotokolle, verschlüsselte Backups, Rotation der Geheimnisse, Prinzip der geringstmöglichen Rechte für unsere Teams. Kein System ist unfehlbar. Im Falle einer Verletzung mit Risiko benachrichtigen wir die Datenschutzbehörde und die betroffenen Personen innerhalb der von der DSGVO vorgesehenen Fristen (72 Stunden).