Datenschutzerklärung
Stand: Juni 2026 • DSGVO-konforme Informationspflichten
Inhaltsverzeichnis
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Ankerpunkt IT
Denis Deja
Techowpromenade 67
13437 Berlin
Deutschland
2. Übersicht der Verarbeitungen
SecPlaner ist eine Software zur Personalplanung und Schichtverwaltung für Sicherheitsdienste. Im Rahmen der Nutzung werden personenbezogene Daten verarbeitet.
Bei Beschäftigtendaten, die ein Kunde in SecPlaner verarbeitet, ist regelmäßig der Arbeitgeber Verantwortlicher im Sinne der DSGVO. SecPlaner verarbeitet diese Daten als Auftragsverarbeiter nach den Weisungen des Kunden.
Arten der verarbeiteten Daten
- Stammdaten: Name, Vorname, Anschrift, Geburtsdatum
- Kontaktdaten: E-Mail-Adresse, Telefonnummer
- Beschäftigungsdaten: Qualifikationen, Stundensatz, Gehaltstyp, Mindeststunden, Verfügbarkeiten
- Zugangsdaten: E-Mail-Adresse, Passwort (gehasht), PIN (gehasht)
- Sicherheitsdaten: Passkey-Metadaten, Geräte-/Browser-ID, Gerätefreigabestatus, Step-up-Zeitpunkte und sicherheitsrelevante Audit-Events
- Planungsdaten: Schichtpläne, Einsatzzeiten, Abwesenheiten, Urlaubsanträge, Zeiterfassungen (Ein-/Ausstempeln)
- Standortdaten: GPS-Koordinaten beim Ein-/Ausstempeln (wenn aktiviert)
- Nutzungsdaten: Zugriffszeiten, genutzte Funktionen
- Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Gerätekennung, Sicherheitslogs
3. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung ist erforderlich für die Bereitstellung der Personalplanungssoftware und deren Funktionen.
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Die Verarbeitung ist erforderlich zur Erfüllung gesetzlicher Aufbewahrungspflichten (z.B. Arbeitszeitnachweise).
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Die Verarbeitung erfolgt zur Gewährleistung der IT-Sicherheit, Betrugsprävention und Verbesserung des Dienstes.
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Soweit Sie in die Verarbeitung eingewilligt haben (z.B. Push-Benachrichtigungen, Standorterfassung).
Besondere Kategorien personenbezogener Daten
Bei der Erfassung von Abwesenheiten (z.B. Krankheit) können Gesundheitsdaten verarbeitet werden. Die Rechtsgrundlage hierfür ist Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeitsrechtlicher Pflichten).
4. Zwecke der Verarbeitung
Ihre Daten werden zu folgenden Zwecken verarbeitet:
- Bereitstellung und Betrieb der Personalplanungssoftware
- Authentifizierung und Zugriffskontrolle
- Erstellung und Verwaltung von Schichtplänen
- Verwaltung von Mitarbeiterstammdaten und Qualifikationen
- Erfassung und Verwaltung von Arbeitszeiten und Abwesenheiten
- Erstellung von Auswertungen, Berichten und Leistungsnachweisen
- Konflikterkennung bei der Planung (z.B. Ruhezeitverletzungen)
- Missbrauchsprävention durch Passkeys und Gerätefreigabe
- Auto-Planung und Planungsassistenz auf Grundlage gepflegter Daten
- Versand von Benachrichtigungen (Schichten, Erinnerungen)
- Gewährleistung der IT-Sicherheit und Systemstabilität
- Erfüllung gesetzlicher Aufbewahrungspflichten
5. Empfänger der Daten
Ihre Daten können an folgende Empfänger weitergegeben werden:
Interne Empfänger
Administratoren und Planer innerhalb Ihrer Organisation sowie andere Mitarbeiter (nur im Rahmen der Schichtplanung sichtbare Daten).
Externe Empfänger / Auftragsverarbeiter
- Netlify, Inc.: Hosting, Edge-/Serverless-Funktionen, CDN und Blob-Storage512 2nd Street, Suite 200, San Francisco, CA 94107, USA
- PlanetScale, Inc.: PostgreSQL-Datenbankbetrieb mit EU-Datenbankregion535 Mission St., San Francisco, CA 94105, USA
- Google Ireland Ltd. / Google LLC (Firebase Cloud Messaging): Native Push-Benachrichtigungen und FCM-Geräte-TokenGoogle Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Google LLC, Mountain View, CA, USA
- Apple Inc. (Apple Push Notification service): Zustellung von iOS-Push-BenachrichtigungenOne Apple Park Way, Cupertino, CA 95014, USA
- Ably Realtime Ltd.: Echtzeit-Updates und Pub/Sub-Kommunikation25 Lavington Street, London SE1 0NZ, Vereinigtes Koenigreich
- Functional Software, Inc. d/b/a Sentry: Fehler- und Crash-Monitoring45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
- Upstash, Inc.: Redis-Infrastruktur fuer Rate-Limiting, Queues und CachingUpstash, Inc., USA
- Resend / Plus Five Five, Inc.: Transaktionale E-Mails2261 Market Street #5039, San Francisco, CA 94114, USA
Mit allen Auftragsverarbeitern wurden entsprechende Verträge gemäß Art. 28 DSGVO geschlossen. Bei Drittlandbezug werden geeignete Garantien wie EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse oder Zertifizierungen nach dem EU-US Data Privacy Framework genutzt, soweit diese für den jeweiligen Anbieter anwendbar sind.
6. Datenübermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Basis von:
- EU-US Data Privacy Framework - Für zertifizierte Unternehmen gemäß Angemessenheitsbeschluss der EU-Kommission
- Standardvertragsklauseln (SCC) - Gemäß Art. 46 Abs. 2 lit. c DSGVO zur Absicherung des Datenschutzniveaus
Details zu den Garantien können Sie bei uns unter den oben genannten Kontaktdaten erfragen.
7. Speicherdauer
Personenbezogene Daten werden nach folgenden Kriterien gespeichert:
Stamm- & Beschäftigungsdaten
Bis zum Ende des Beschäftigungsverhältnisses, danach gemäß Aufbewahrungsfristen (bis zu 10 Jahre)
Arbeitszeitnachweise
Mindestens 2 Jahre gemäß § 16 Abs. 2 ArbZG
Abrechnungsdaten
10 Jahre gemäß § 147 AO und § 257 HGB
Zugangsdaten
Bis zur Löschung des Benutzerkontos
Passkeys & Sessiondaten
Bis zur Löschung der Freigabe oder Session-Reset durch den Administrator
Log-Daten
90 Tage zur Gewährleistung der IT-Sicherheit
Standortdaten
30 Tage nach Durchführung der Zeiterfassung
Nach Ablauf der Speicherfristen werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
8. Ihre Rechte als betroffene Person
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15): Auskunft über die von uns verarbeiteten Daten verlangen.
- Berichtigungsrecht (Art. 16): Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17): Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten bestehen.
- Einschränkung (Art. 18): Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20): Bereitstellung Ihrer Daten in einem gängigen Format verlangen.
- Widerspruchsrecht (Art. 21): Der Verarbeitung Ihrer Daten widersprechen.
- Widerruf (Art. 7 Abs. 3): Eine erteilte Einwilligung jederzeit widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@ankerpunkt-it.de
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Website: www.datenschutz-berlin.de
10. Technische und organisatorische Maßnahmen
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, darunter verschlüsselte HTTPS-Übertragungen, sicheres Hashing (bcrypt), Need-to-know-Berechtigungskonzepte und lückenlose Audit-Protokollierungen.
Weitere detaillierte Informationen entnehmen Sie bitte unserer Seite für Technische und organisatorische Maßnahmen (TOMs).
12. Push-Benachrichtigungen
Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir die dafür notwendigen technischen Daten (Endpoint, kryptografische Schlüssel). Die Einwilligung kann jederzeit in den Browser-Einstellungen widerrufen werden.
Push-Benachrichtigungen werden verwendet für:
- Schichtänderungen und -zuweisungen
- Erinnerungen zum Einstempeln
- Genehmigungen von Urlaubsanträgen
- Schichttausch-Anfragen
13. Standorterfassung (GPS)
Bei der Zeiterfassung (Ein-/Ausstempeln) kann optional der Standort erfasst werden. Dies dient der Überprüfung, ob das Ein-/Ausstempeln am Einsatzort erfolgt (Geofencing).
- Die Standorterfassung erfolgt nur beim konkreten Stempelvorgang
- Es erfolgt kein kontinuierliches Tracking
- Es wird kein Bewegungsprofil erstellt
- Die Standortdaten werden nach 30 Tagen gelöscht
- Die Aktivierung erfordert Ihre ausdrückliche Einwilligung über den Browser/das Betriebssystem
14. Automatisierte Entscheidungsfindung
Die Software unterstützt bei der Planung durch Hinweise auf Konflikte (z.B. Ruhezeitverletzungen, fehlende Qualifikationen). Es findet jedoch keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt – alle Planungsentscheidungen werden von Menschen getroffen. Auto-Planung, bevorzugte Mitarbeiter und Scores sind Entscheidungshilfen für Administratoren.
15. Pflicht zur Bereitstellung von Daten
Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung von SecPlaner erforderlich:
- Für Administratoren: E-Mail-Adresse und Passwort zur Anmeldung
- Für Mitarbeiter: E-Mail-Adresse und PIN zur Anmeldung sowie grundlegende Stammdaten (Name) für die Schichtplanung
Ohne diese Daten ist die Nutzung der Software nicht möglich. Die Bereitstellung weiterer Daten (z.B. Telefonnummer, detaillierte Adresse) ist freiwillig.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.
Dokumenten-Navigation