Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Zweck und Rechtsgrundlagen der Verarbeitung

SUSET Zeiterfassung ist eine betriebsinterne Software zur digitalen Arbeitszeiterfassung gemäß § 16 Abs. 2 Arbeitszeitgesetz (ArbZG). Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu den nachfolgend beschriebenen Zwecken und auf Grundlage der jeweiligen Rechtsgrundlagen:

• Arbeitszeit­erfassung: Erfassung von Beginn, Ende, Pausen und Art der Tätigkeit zur Einhaltung gesetzlicher Pflichten (§ 16 ArbZG). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO, § 26 BDSG.
• Urlaubs- und Abwesenheits­verwaltung: Verwaltung von Urlaubsanträgen, Krankmeldungen, Sonderurlaub und Freizeitausgleich zur Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG.
• Überstunden­konto: Berechnung und Dokumentation des Arbeitszeitguthabens auf Basis der vertraglich vereinbarten Sollarbeitszeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Zugang und Authentifizierung: Speicherung von E-Mail-Adresse und Passwort-Hash zur Zugangskontrolle. Optionale Zwei-Faktor-Authentifizierung (TOTP). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).
• Sicherheits- und Audit-Log: Protokollierung sicherheitsrelevanter Aktionen (Anmeldungen, Datenänderungen, Verwaltungshandlungen) inkl. IP-Adresse zur Nachvollziehbarkeit und zum Schutz vor Missbrauch. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Monats­abschluss und Archiv: Digitale Unterschrift von Monatsnachweisen und langfristige Archivierung von PDF-Berichten zur Erfüllung arbeits- und steuerrechtlicher Aufbewahrungspflichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.

3. Verarbeitete Datenkategorien

Im Rahmen der Nutzung werden folgende personenbezogene Daten verarbeitet:

• Stammdaten: Name, E-Mail-Adresse, Rolle (Admin / Mitarbeiter), Einstellungsdatum, zugeordnetes Bundesland
• Arbeitszeitmodell: Tägliche Sollarbeitszeiten je Wochentag, Pausenregelung
• Zeiteinträge: Arbeitsbeginn und -ende, Pausen, Tätigkeitsart, Kunden- und Projektzuordnung
• Abwesenheitsdaten: Art, Dauer und Status von Abwesenheitsanträgen
• Überstunden­korrekturen: Manuelle Buchungen mit Betrag, Datum und Begründung
• Zugangs­daten: Passwort-Hash (bcrypt, kein Klartext), optionaler TOTP-Schlüssel (verschlüsselt)
• Verbindungsdaten: IP-Adresse bei Anmeldung und sicherheitsrelevanten Aktionen (Audit-Log)
• Einstellungen: Anzeigeformat für Arbeitszeiten, Designpräferenz (Hell/Dunkel)

4. Speicherdauer

Daten werden gelöscht, sobald sie für den Verarbeitungszweck nicht mehr erforderlich sind, spätestens jedoch nach Ablauf der gesetzlichen Aufbewahrungsfristen:

• Arbeitszeitdaten: Mindestens 2 Jahre nach Entstehung (§ 16 Abs. 2 ArbZG)
• Lohn- und Gehaltsunterlagen: 10 Jahre (§ 147 AO)
• Audit-Log: 3 Jahre (mögliche Verjährungsfristen bei Streitigkeiten)
• Zugangsdaten: Bis zur Löschung des Benutzerkontos durch den Administrator

5. Hosting und Datenübermittlung

Die Software und alle verarbeiteten Daten werden auf einem dedizierten Server bei Hostinger International Ltd. (UAB Interneto vizija) am Serverstandort Frankfurt am Main, Deutschland betrieben. Der Serverstandort liegt innerhalb der Europäischen Union; es findet keine Übermittlung personenbezogener Daten in Drittländer statt.

Eine Weitergabe an Dritte erfolgt nicht, sofern keine gesetzliche Verpflichtung besteht.

6. Technische und organisatorische Maßnahmen

Zum Schutz der verarbeiteten Daten werden folgende Maßnahmen eingesetzt:

• Verschlüsselte Übertragung aller Daten via HTTPS / TLS
• Passwort-Speicherung ausschließlich als bcrypt-Hash (kein Klartext)
• Optionale Zwei-Faktor-Authentifizierung (TOTP) für alle Benutzerkonten
• Rollenbasierte Zugriffskontrolle (Admin / Mitarbeiter)
• Schutz vor Brute-Force-Angriffen durch IP-basiertes Rate-Limiting
• Unveränderliches Audit-Log aller sicherheitsrelevanten Aktionen
• Regelmäßige automatisierte Datensicherung (Backup)

7. Betroffenenrechte

Als betroffene Person haben Sie gegenüber dem Verantwortlichen folgende Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Zur Geltendmachung Ihrer Rechte wenden Sie sich an:info@suset.de

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der für Sie zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für Baden-Württemberg ist dies:

9. Aktualität dieser Erklärung

Diese Datenschutzerklärung wurde zuletzt im Mai 2026 aktualisiert. Bei wesentlichen Änderungen an der Software oder der Datenverarbeitung wird diese Erklärung entsprechend angepasst.