Datenschutzerklärung für ChronoDuo / ChronoPilotStand:
August 2025
1. Name und Kontaktdaten des Verantwortlichen
Verantwortlich für die Datenverarbeitung im Rahmen dieser Webanwendung ist:
ChronoDuo GbR, Ehrlicherstraße 50, 31135 Hildesheim, Deutschland
E-Mail: info@chronoduo.de
Vertreten durch die Gesellschafter Milando Sunay und Janino Sunay
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Zeiterfassungs- und Verwaltungssoftware „ChronoPilot“ sowie der zugehörigen Touchpoint-Hardware durch Geschäftskunden (B2B) im Sinne von § 14 BGB. Verbraucher (§ 13 BGB) sind von der Nutzung ausgeschlossen.
3. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich zum Zweck der Bereitstellung und Nutzung der SaaS-Plattform „ChronoPilot“, zur Durchführung und Abwicklung des Vertrages, zur Administration, Abrechnung, Wartung sowie zur Erfüllung gesetzlicher Pflichten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. IT-Sicherheit, Missbrauchsvermeidung)
4. Kategorien der verarbeiteten Daten
Wir verarbeiten insbesondere folgende Datenkategorien:
Stammdaten:
Unternehmensname, Anschrift, Ansprechpartner, Kontakt-E-Mail, ggf. Telefonnummer
Mitarbeiterdaten:
Name, Personalnummer, Rolle, Nutzungsdaten, Login-Informationen
Zeiterfassungsdaten:
Buchungszeiten, Arbeitszeiten, Projektzuordnungen, Urlaubs- und Krankmeldungen
Zahlungsdaten:
Abrechnungsdaten, Kundennummer, Rechnungsadressen (über Stripe – keine Speicherung von Kreditkartendaten durch uns)
Hardwaredaten:
Zuordnung von NFC-Touchpoints, Geräte-IDs
Nutzungs- und Protokolldaten:
Logins, Änderungen, Systemzugriffe (Auditing)
Technische Daten: IP-Adresse, Browser, Endgerät (zur Sicherstellung der Funktionalität und Sicherheit)
Hinweis:
Sofern Sie im Rahmen der Nutzung von ChronoPilot personenbezogene Daten Dritter (z. B. Mitarbeitende, Patienten, Mandanten) verarbeiten, sind Sie als Kunde dafür verantwortlich, dass eine rechtmäßige Grundlage für die Verarbeitung vorliegt (z. B. Einwilligung, gesetzliche Befugnis).
Sie verpflichten sich, Ihre Betroffenen ordnungsgemäß zu informieren und erforderliche Einwilligungen einzuholen.
5. Empfänger und Kategorien von Empfängern
Personenbezogene Daten werden im Rahmen der Plattform an folgende externe Dienstleister (Auftragsverarbeiter/Subunternehmer) weitergegeben:
Stripe Payments Europe Ltd. (Irland/USA): Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung
Supabase Inc. (EU/USA): Hosting und Speicherung der Datenbanken, Benutzerverwaltung, Authentifizierung, Mandantentrennung. Standardmäßig werden, sofern verfügbar, europäische Serverstandorte (z. B. Frankfurt am Main) genutzt.
Netlify Inc. (USA): Hosting der Webanwendung und Webressourcen
GitHub Inc. (USA): Source Code Hosting (kein direkter Zugang zu Produktivdaten)
Alle Dienstleister sind vertraglich auf die Einhaltung der europäischen Datenschutzstandards verpflichtet.
6. Übermittlung in Drittländer (insbesondere USA)
Bei einigen Dienstleistern (Stripe, Supabase, Netlify, GitHub) kann eine Übermittlung personenbezogener Daten in die USA oder andere Drittländer erfolgen. Wir wählen nach Möglichkeit europäische Serverstandorte, insbesondere für die Speicherung von Produktivdaten (z. B. Supabase EU-Cluster).Schutzmaßnahmen:Abschluss der EU-Standardvertragsklauseln (SCC) mit allen Dienstleistern. Verschlüsselte Übertragung und Speicherung aller Daten (SSL/TLS, Verschlüsselung „at rest“ sofern technisch möglich)
Rollenbasierte Zugriffskontrolle und Protokollierung aller Zugriffe, Begrenzung des Datenzugriffs auf das notwendige Maß („Least Privilege“).
Auswahl europäischer Standorte, soweit verfügbar
Hinweis:
Trotz dieser Maßnahmen kann nicht ausgeschlossen werden, dass US-Behörden auf personenbezogene Daten zugreifen, ohne dass ein gleichwertiges Datenschutzniveau wie in der EU garantiert werden kann.
7. Dauer der Datenspeicherung und Löschfristen
Vertragsdaten, Buchungen und Nutzerkonten:
Speicherung bis zu zwei Jahre nach Vertragsende, danach vollständige und sichere Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Rechnungs- und Abrechnungsdaten:
Speicherung nach steuer- und handelsrechtlichen Vorgaben, insbesondere § 147 AO (10 Jahre) und § 257 HGB (6 Jahre), danach Löschung.
Support- und Protokolldaten:
Maximal 1 Jahr, dann Löschung.
Touchpoint-Zuordnungen:
Bis zur Rückgabe oder Vertragsende.
Hinweis für Kunden:
Vor Ablauf der Aufbewahrungsfristen wird empfohlen, wichtige Daten eigenverantwortlich zu exportieren und zu sichern, da nach Löschung keine Wiederherstellung mehr möglich ist.
8. Betroffenenrechte (Art. 15–22 DSGVO)
Betroffene Personen haben jederzeit das Recht auf:
Auskunft (Art. 15 DSGVO)Berichtigung (Art. 16 DSGVO)Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO). Einschränkung der Verarbeitung (Art. 18 DSGVO)Datenübertragbarkeit (Art. 20 DSGVO) Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) Beschwerderecht bei einer Datenschutzaufsichtsbehörde. Anfragen können über die o. g. Kontaktdaten gestellt werden.
Wir unterstützen unsere Kunden im Rahmen der Mandantenverwaltung, Betroffenenrechte für deren Mitarbeitende zu erfüllen.
9. Datensicherheit und technische/organisatorische Maßnahmen (TOM)
Datenverschlüsselung:
SSL/TLS-verschlüsselte Übertragung aller Daten, Speicherung verschlüsselt („at rest“) bei unseren Dienstleistern, sofern technisch möglich.
Zugriffsschutz:
Authentifizierung, rollenbasierte Autorisierung, strikte Mandantentrennung (RLS)Rollen- und Rechtekonzept: „Least Privilege“-Prinzip, Mandantentrennung, differenzierte Rechte (Admin/Mitarbeiter)
Backup & Restore:
Tägliche Backups der Produktivdaten, Aufbewahrung max. 7 Tage. Wiederherstellung ist nur innerhalb dieses Zeitraums möglich.
Credential- und API-Key-Schutz:
Keine Offenlegung oder Hardcodierung von Zugangsdaten, strenge Geheimhaltung.
Auditing & Logging:
Protokollierung kritischer Zugriffe und Änderungen
Verfügbarkeit:
Hosting nach Industriestandard, regelmäßige Wartung und Sicherheitsupdates.
Kundeninformation:
Im Falle einer Datenpanne erfolgt eine umgehende Benachrichtigung an die betroffenen Kunden und Unterstützung bei Meldepflichten gegenüber der Aufsichtsbehörde.
10. Cookies, Tracking und Analysedienste
Technisch notwendige Cookies:
Für Login, Authentifizierung und sichere Bereitstellung der Plattform zwingend erforderlich.
Keine Analyse- oder Werbe-Cookies:
Es werden keine Nutzungsprofile erstellt, kein Tracking durch Dritte, keine Weitergabe an Werbenetzwerke.
PWA/LocalStorage:
Lokale Speicherung nur zur Sicherstellung der Funktionalität, kein Tracking oder Marketing.
11. Automatisierte Entscheidungsfindung / Profiling
Eine automatisierte Entscheidungsfindung oder Profiling findet nicht statt.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Maßgeblich ist die jeweils auf der Webanwendung veröffentlichte Fassung. Über wesentliche Änderungen informieren wir Kunden per E-Mail.
13. Datenschutzaufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Für Niedersachsen ist dies z. B.: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, www.lfd.niedersachsen.deDiese Datenschutzerklärung gilt ausschließlich in deutscher Sprache. Übersetzungen dienen nur der Information.