Diese Datenschutzerklärung gilt für die clocktap Mobile App (Android, iOS geplant) sowie die clocktap Web App (Arbeitgeber-Dashboard).
Alexander Sitek, SitekX, Richard-Strauss-Str. 4, 86663 Asbach-Bäumenheim, Deutschland
E-Mail: as@sitekx.de
Nutzen Sie clocktap im Rahmen eines Beschäftigungsverhältnisses, ist Ihr Arbeitgeber datenschutzrechtlich Verantwortlicher für Ihre Arbeitszeitdaten. Wir handeln in diesem Fall als Auftragsverarbeiter gemäß Art. 28 DS-GVO. Die für Sie geltenden Datenschutzinformationen erhalten Sie von Ihrem Arbeitgeber.
4.1 Account-Daten: E-Mail, Name → Supabase (EU-Irland / AWS eu-west-1) → Art. 6 Abs. 1 lit. b DS-GVO
4.2 Zeiterfassungsdaten: Lokal (Solo-Modus) oder Cloud via Supabase (Workspace-Modus). GPS optional, nur bei Aktivierung. Art. 6 Abs. 1 lit. b DS-GVO bzw. § 26 BDSG.
4.3 KI-Texterkennung (Foto-Import): Bilddaten → Anthropic Claude API. Nicht für KI-Training verwendet. Art. 6 Abs. 1 lit. a DS-GVO.
4.4 Push-Benachrichtigungen: Push-Token → Expo/Firebase. Einwilligung. Jederzeit in Geräteeinstellungen widerrufbar.
4.5 Nutzungsanalyse & Crash-Reports: Anonymisiert → Firebase Analytics/Crashlytics (Google Ireland). Art. 6 Abs. 1 lit. f DS-GVO.
4.6 Zahlungsabwicklung (geplant): Google Play Billing, Apple IAP, RevenueCat. Wird vor Einführung aktualisiert.
Keine Weitergabe zu Werbezwecken. Nur an Auftragsverarbeiter (AVV), bei gesetzlicher Pflicht, oder mit Einwilligung.
Einige Dienste verarbeiten Daten in den USA. Schutz durch EU-Standardvertragsklauseln (Art. 46 DS-GVO). Details im Abschnitt Dienste.
Account-Daten bis zur Löschung des Accounts, danach innerhalb 30 Tagen. Lokale App-Daten bei Deinstallation.
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf (Art. 7 Abs. 3).
Kontakt: as@sitekx.de
Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), www.lda.bayern.de
Alle Übertragungen TLS/HTTPS-verschlüsselt. Datenbank durch Row-Level Security (RLS) abgesichert.
Beschreibung
Cloudbasierte Datenbank und Authentifizierungsdienst. clocktap speichert hierüber Nutzeraccounts sowie im Workspace-Modus Zeiterfassungsdaten.
Verarbeitendes Unternehmen
Supabase Inc., 970 Toa Payoh North, Singapur – Datenhaltung in der EU (West EU, Irland / AWS eu-west-1)
Zweck der Daten
Nutzerauthentifizierung (E-Mail, Passwort), Speicherung von Profil- und Workspace-Daten
Gesammelte Daten
E-Mail-Adresse, Name, Zeitstempel, Arbeitszeit- und Urlaubsdaten (nur Workspace-Modus), IP-Adresse (bei Auth-Anfragen)
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ort der Verarbeitung
Europäische Union (West EU, Irland / AWS eu-west-1)
Aufbewahrungsdauer
Für die Dauer des aktiven Accounts; nach Löschung innerhalb von 30 Tagen
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln (Art. 46 DSGVO)
Beschreibung
Analysedienst und Crash-Reporting von Google. Erfasst anonymisierte Nutzungsstatistiken zur Verbesserung der App-Stabilität.
Verarbeitendes Unternehmen
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Tochtergesellschaft der Google LLC, USA)
Zweck der Daten
Anonymisierte Nutzungsanalyse, Absturzberichte, App-Verbesserung
Gesammelte Daten
Anonyme Gerätekennzeichnung (UUID), Ereignistyp, App-Version, Betriebssystem, Absturz-Stacktraces – keine personenbezogenen Inhalte
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Stabilität und Weiterentwicklung der App)
Ort der Verarbeitung
Europäische Union und USA
Aufbewahrungsdauer
Anonymisierte Ereignisdaten bis zu 14 Monate (Google-Standard)
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln; Teilnahme am EU-US Data Privacy Framework
Beschreibung
KI-Dienst zur Texterkennung (OCR) bei Foto-Importen in der App. Bilddaten werden zur Verarbeitung übermittelt und nicht dauerhaft gespeichert.
Verarbeitendes Unternehmen
Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA
Zweck der Daten
Automatische Erkennung von Text aus Fotos (OCR); KI-gestützte Inhaltsverarbeitung
Gesammelte Daten
Bilddaten des aufgenommenen Belegs (nur bei aktiver Nutzung der Funktion)
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung)
Ort der Verarbeitung
USA
Aufbewahrungsdauer
Keine dauerhafte Speicherung durch Anthropic; Verarbeitung nur zur Laufzeit der Anfrage
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln (Art. 46 DSGVO). Daten werden nicht für das Training von KI-Modellen verwendet (API-Nutzungsbedingungen).
Beschreibung
Hosting-Dienst für die clocktap Web App (Arbeitgeber-Dashboard) sowie die clocktap-Informationswebsite.
Verarbeitendes Unternehmen
Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA
Zweck der Daten
Bereitstellung und Auslieferung der Web App und Website
Gesammelte Daten
IP-Adresse, aufgerufene URL, Datum und Uhrzeit, Browsertyp, Betriebssystem, HTTP-Statuscode (Server-Logfiles)
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer und stabiler Betrieb)
Ort der Verarbeitung
USA und EU (Edge-Network)
Aufbewahrungsdauer
Server-Logs in der Regel 30 Tage
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln; Teilnahme am EU-US Data Privacy Framework
Beschreibung
Push-Benachrichtigungsdienst für die clocktap Mobile App. Ermöglicht die Zustellung von Benachrichtigungen (z. B. Urlaubsgenehmigungen, Erinnerungen) auf das Gerät.
Verarbeitendes Unternehmen
650 Industries, Inc. (Expo), USA; Firebase Cloud Messaging: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck der Daten
Zustellung von Push-Benachrichtigungen an das Gerät des Nutzers
Gesammelte Daten
Gerätespezifisches Push-Token, Zeitstempel der Zustellung
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; Widerruf jederzeit in Geräteeinstellungen)
Ort der Verarbeitung
USA / EU
Aufbewahrungsdauer
Push-Token bis zum Widerruf der Einwilligung oder App-Deinstallation
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln
Beschreibung
Plattform zur Verteilung und Aktualisierung der clocktap Android-App. Der Google Play Store verarbeitet beim Download eigenständig Nutzerdaten auf Basis seiner eigenen Datenschutzbestimmungen.
Verarbeitendes Unternehmen
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Tochtergesellschaft der Google LLC, USA)
Zweck der Daten
Vertrieb, Download und Aktualisierung der App; In-App-Käufe (geplant)
Gesammelte Daten
Durch Google Play: Account-Daten, Gerätekennziffer, Download-Zeitpunkt, Kaufhistorie – wir erhalten hierüber keine personenbezogenen Daten
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ort der Verarbeitung
EU und USA
Aufbewahrungsdauer
Gemäß Google-Datenschutzrichtlinie
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln; Teilnahme am EU-US Data Privacy Framework
Beschreibung
Plattform zur Verteilung der clocktap iOS-App (in Planung). Der App Store verarbeitet beim Download eigenständig Nutzerdaten.
Verarbeitendes Unternehmen
Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland (Tochtergesellschaft der Apple Inc., USA)
Zweck der Daten
Vertrieb, Download und Aktualisierung der iOS-App
Gesammelte Daten
Durch Apple: Apple-ID, Gerätekennziffer, Download-Zeitpunkt – wir erhalten keine personenbezogenen Daten
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ort der Verarbeitung
EU und USA
Aufbewahrungsdauer
Gemäß Apple-Datenschutzrichtlinie
Garantie / Drittlandübermittlung
Angemessenheitsbeschluss (Irland = EU)
Beschreibung
Dienst zur Verwaltung von In-App-Abonnements und Kaufstatus. Ermöglicht die plattformübergreifende Verwaltung von Pro-Abonnements (geplant).
Verarbeitendes Unternehmen
RevenueCat, Inc., 633 Tasman Drive, Sunnyvale, CA 94089, USA
Zweck der Daten
Verwaltung und Überprüfung des Abonnementstatus; Synchronisation zwischen Google Play und App
Gesammelte Daten
Anonyme Nutzer-ID, Abonnementstatus, Kaufhistorie, App-Version, Betriebssystem
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ort der Verarbeitung
USA
Aufbewahrungsdauer
Für die Dauer des aktiven Abonnements; nach Kündigung gemäß RevenueCat-Richtlinie
Garantie / Drittlandübermittlung
EU-Standardvertragsklauseln (Art. 46 DSGVO)
Stand: Mai 2026