Datenschutzerklärung

für die App ATOSS TIME CONTROL WFM / ATOSS TIME CONTROL MOBILE (WFM)

Version: v. 02-2022
Wir freuen uns über Ihr Interesse an unseren Produkten. Mit den Lösungen von ATOSS optimieren Unternehmen ihre Prozesse, indem Mitarbeitern der Zugriff auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung per Smartphone und Tablet ermöglicht wird – unabhängig von Einsatzzeit und Einsatzort.

Datensicherheit und Datenschutz ist für uns ein wichtiges Anliegen, das wir bei allen unseren Geschäftsprozessen berücksichtigen. Die nachfolgenden Datenschutzinformationen wenden sich an die Endnutzer der App.

In dieser Datenschutzerklärung gelten die folgenden Definitionen:

"App" bezeichnet das kodierte Symbol oder das Icon, einschließlich der darin enthaltenen Software, mit welcher ein Endnutzer auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung zugreifen kann. Die App erscheint nach Download auf dem Smartphone oder Tablet.

"ATOSS" meint die als Anbieter der App bezeichnete ATOSS Konzerngesellschaft.

"ATOSS Workforce Management Softwarelösung" bezeichnet eine Standardsoftwarelösung für effizientes Workforce Management und bedarfsorientierten Personaleinsatz, welche von ATOSS vertrieben und an Unternehmen lizenziert wird.

"Endnutzer" bezeichnet eine identifizierte oder identifizierbare natürliche Person, die z. B. als Mitarbeiter eines Unternehmens die App nutzt.

"Unternehmen" ist der Auftraggeber oder Arbeitgeber des Endnutzers und erwirbt durch Abschluss eines Lizenzvertrags mit ATOSS die erforderlichen Lizenzen, um die ATOSS Workforce Management Softwarelösung für den internen Geschäftsbetrieb und für den Zugriff über die App durch die Endnutzer zu nutzen bzw. nutzen zu lassen.

Hinweis zur Geschlechterneutralität: Die gewählten Formulierungen gelten uneingeschränkt für die weiteren Geschlechter.

KON­TAKT ZU ATOSS

ATOSS CSD Software GmbH
Rodinger Straße 19
93413 Cham
info@atoss-csd.de

Datenschutzbeauftragter von ATOSS ist

Klaus Roßmannn
Rodinger Straße 19
93413 Cham
datenschutz@atoss.com

DA­TEN­VER­AR­BEI­TUN­GEN IN DER APP

KA­TE­GO­RI­EN DER PER­SO­NEN­BE­ZO­GE­NEN DATEN

Mit der App erhalten Sie als Endnutzer Informationen zu den in der ATOSS Workforce Management Softwarelösung abgelegten und verarbeiteten personenbezogenen Daten in Ihrem Unternehmen. Über die App können Sie auf diese personenbezogenen Daten zugreifen, diese bearbeiten und ergänzen. 

Über die App verarbeitete personenbezogene Daten sind damit nur solche Informationen, die in der vom Unternehmen lizenzierten ATOSS Workforce Management Softwarelösung entweder vom Unternehmen oder vom Endnutzer hinterlegt werden. 

In Bezug auf diese personenbezogenen Daten handelt allein das Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO und ATOSS verarbeitet diese Daten nur im Auftrag gemäß der mit dem Unternehmen geschlossenen Leistungsvereinbarung und Auftragsverarbeitungsvereinbarung (AVV). 

Abhängig von der Leistungsvereinbarung mit dem Unternehmen lassen sich über die App u. a. nachfolgend genannte weitere personenbezogene Daten abrufen und bearbeiten:

  • Mitarbeiterstammdaten (z. B. Logindaten, Kennwort) und zeitwirtschaftliche Informationen
  • Informationen aus der Personaleinsatzplanung
  • Informationen aus Antragswesen und Aufgabenmanagement
  • Systembezogene Informationen etc.

Details zu den Kategorien dieser personenbezogenen Daten finden Sie exemplarisch in der 'Auftragsverarbeitungsvereinbarung' (AVV).

Mit Ausnahme der unten genannten Offline-Buchungen und unten genannten Daten, zu deren Zugriff der Endnutzer die Berechtigung erteilt, werden keine weiteren personenbezogenen Daten im Auftrag des Unternehmens verarbeitet.

LOG­GING

In der App wird im Standard nichts protokolliert. Im Zuge einer Fehleranalyse kann es jedoch vonnöten sein, das Logging in der App bzw. auf dem Server zu aktivieren. Die Aktivierung des App-Logging kann nur mit Zustimmung des Endnutzers erfolgen, da dieser dann auch die protokollierten Dateien aktiv von der App zum Server hochladen muss. Bei den geloggten Daten handelt es sich um Nutzungsdaten. Das verschlüsselte Kennwort erscheint nicht in den Logdateien.

Die Aktivierung der Protokollierung kann für jede Kommunikationskomponente einzeln erfolgen. Um Fehler zu finden, kann der gesamte Kommunikationsweg von der App zur installierten Workforce Management Softwarelösung geloggt werden. Die Entscheidung über die Aktivierung der Protokollierung trifft das Unternehmen und ist in diesem Fall der Verantwortliche für die Datenverarbeitung gemäß geltenden Datenschutzrecht.

BE­RECH­TI­GUN­GEN DER APP UND ZWE­CKE

Nur Berechtigungen, die für die Funktion der App zwingend erforderlich sind, werden eingefordert. Wird eine der Berechtigungen vom Endnutzer abgelehnt, stehen ggf. nicht alle Funktionen der App in vollem Umfang zur Verfügung.

Die App unterstützt die Betriebssysteme iOS und Android und benötigt die folgenden Berechtigungen:

Kamera

Zugriffszweck
Wird benötigt, um Bilder für die Workflow-Funktionen zu erzeugen. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließend gespeichert.

Wird zum Speichern von Bildern auf dem mobilen Endgerät für die Workflow-Funktionen benötigt. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließen gespeichert.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer
Der Endnutzer kann beim ersten Start der Funktion „Kamera“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Kamera seines mobilen Endgerätes zugreifen darf.

Bildergalerie

Zugriffszweck
Wird zum Speichern von Bildern auf dem mobilen Endgerät für die Workflow-Funktionen benötigt. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließen gespeichert.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer
Der Endnutzer kann beim ersten Start der Funktion „Bildergalerie“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Bildergalerie des mobilen Endgerätes zugreifen darf.

Location Based Services (LBS, GPS, Standortdaten)

Zugriffszweck
Zum Ermitteln des ungefähren oder genauen Standorts. Diese Funktion muss explizit vom Unternehmen aktiviert werden und bedarf der Einwilligung des Endnutzers, für deren Einholung das Unternehmen zuständig ist.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer
Der Endnutzer kann beim ersten Start der App (nach der Installation bzw. nach Aktivierung der Standortdaten zustimmen oder ablehnen, ob die App auf den Standort des mobilen Endgerätes zugreifen darf.

Push-Nachrichten

Zugriffszweck
Mit den Push-Templates kann das Unternehmen, z. B. eine generische Push-Nachricht mit dem Inhalt 'Ein neuer Urlaubsantrag wartet auf Genehmigung' an den Endnutzer senden. Die Push-Funktion muss vom Unternehmen explizit eingerichtet werden. Das bedeutet, dass, wenn diese Funktion nicht vom Unternehmen eingerichtet wird, keine Push-Nachricht gesendet wird.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer
Empfang kann abhängig vom Betriebssystem des mobilen Endgeräts gesteuert werden:

Bei iOS: Abfrage beim Endnutzer, ob er das Senden von Push-Benachrichtigungen erlaubt.
Bei Android: Erlaubnis zum Senden von Push-Benachrichtigungen ist standardmäßig eingeschaltet, kann aber per Einstellung ausgeschaltet werden.

DA­TEN­SPEI­CHE­RUNG AUF DEM MO­BI­LEN END­GE­RÄT

Auf dem mobilen Endgerät kann der Endnutzer folgende personenbezogene Daten verschlüsselt speichern:

  • Offline-Zeitbuchungen bzw. Offline-Kostenstellenwechselbuchung

Wenn das mobile Endgerät keine Verbindung zur App hat, werden durchgeführte Zeitbuchungen mit einer Hinweismeldung offline auf dem mobilen Endgerät gespeichert. Diese werden, wenn das mobile Endgerät wieder online ist, an den Server, auf dem das ATOSS-Produkt betrieben wird, übertragen.

Bei Offline-Buchungen werden folgende personenbezogene Daten auf dem mobilen Endgerät gespeichert:

Personalnummer: Nur, wenn angegeben

Zeitpaarcode: Nur bei einer Buchung mit Zeitpaarcode

Online: Zeigt an, ob es sich bei der Buchung um eine online oder offline Buchung handelt

Location Based Services (LBS, GPS, Standortdaten): Nur wenn die Übertragung des Standortes in der Software konfiguriert ist und wenn der Endnutzer der App dies auch erlaubt

Kostenstelle: Nur bei Kostenstellenbuchungen

Kommentar: Nur, wenn ein Kommentar mit eingegeben wird

Projekt: Nur, wenn ein Projekt mit eingegeben wird

Datum und Uhrzeit der Buchung: Nur bei Offlinebuchungen initialisiert

Suchverlauf und Favoriten: Informationen zu Suchvorgängen für z. B. sichtbare Kostenstellen, Aktionen, Abteilungen, Mitarbeiter (je nach Berechtigung)

DA­TEN­ÜBER­TRA­GUNG AN DRIT­TE

Soweit eine Übertragung von Informationen per Push-Nachricht auf das mobile Endgerät vom Unternehmen aktiviert ist, wird der Push-Nachrichtendienst >Google Firebase Cloud Messaging< von dem Anbieter Google Ireland Limited verwendet. Dabei hat das Unternehmen es in der Hand, zu entscheiden, welche Informationen hierbei an den Push-Nachrichtendienst übertragen werden. Eine DSGVO-konforme Datenverarbeitung in Drittstaaten einen Auftragsverarbeitungsvertrag abschließen, der auf den EU-Standardvertragsklauseln (Beschluss 2021/914 - Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) oder anderen Standarddatenschutzklauseln für Auftragsverarbeiter beruht, soweit diese nach Art. 46 Abs. 2 lit. c) DSGVO zugelassen sind. Als eine unabdingbare Voraussetzung für alle Bereitstellungsprogramme auf iOS Endgeräten werden die Push-Nachrichten über einen direkten, sicheren Kanal durch einen APN (Apple Push Notification) Server übertragen.

LÖSCHUNG DER DATEN

Personenbezogene Daten bei Offline-Buchungen (siehe vorherigen Abschnitt) werden automatisch nach erneuter Verbindung mit dem Server und erfolgreicher Übertragung vom mobilen Endgerät gelöscht. Als Endnutzer können Sie die App jederzeit eigenständig von Ihrem Endgerät löschen. Eventuell vorhandene Offline-Buchungen werden dadurch auch gelöscht. 
Bitte beachten Sie, dass die App Sie als mitarbeitende Person bei Ihrem Unternehmen nur befähigt, auf einem bei Ihrem Unternehmen bereits eingerichteten Account zuzugreifen, um Ihre Daten ortsunabhängig bearbeiten und ergänzen zu können. 
Die vollständige Löschung Ihres bereits eingerichteten Accounts ist daher nur in der ATOSS Workforce Management Softwarelösung in Abstimmung mit Ihrem Unternehmen als Arbeitgeber möglich, da ihr Arbeitgeber die alleinige Verantwortung für das User Account Management hat.
 

RECH­TE DER BE­TROF­FE­NEN

Im Hinblick auf die Verarbeitung von personenbezogenen Daten haben betroffene Endnutzer gegen Ihr Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO die folgenden Rechte:

Auf Anforderung hat das Unternehmen einem Betroffenen entsprechend den gesetzlichen Bestimmungen mitzuteilen, ob und welche personenbezogenen Daten über den betroffenen Endnutzer gespeichert sind und ggf. zu welchem Zweck diese verarbeitet und/oder genutzt werden (Art. 15 DSGVO). Sollten trotz die gespeicherten Informationen nicht korrekt sein oder sollte der betroffene Endnutzer aus sonstigen Gründen eine Berichtigung (Art. 16 DSGVO) oder Löschung seiner personenbezogenen Daten (Art. 17 DSGVO) oder eine Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eine Herausgabe der ihn betreffenden personenbezogenen Daten (Art. 20 DSGVO) wünschen, hat er dies gegenüber Seinem Unternehmen geltend zu machen. Zugleich kann er unter den gesetzlichen Bestimmungen auch einen Widerspruch gegen die Verarbeitung der personenbezogenen Daten einlegen (Art. 21 DSGVO).

Unbeschadet der vorgenannten Rechte können betroffene Endnutzer schließlich bei einer zuständigen Aufsichtsbehörde eine Beschwerde einreichen, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden personenbezogenen Informationen gegen die Regelungen der DSGVO verstößt (Art. 77 DSGVO).

ÄN­DE­RUN­GEN DIE­SER DA­TEN­SCHUTZ­ER­KLÄ­RUNG

Wir behalten uns vor, diese Datenschutzerklärung von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung von Daten nachzupflegen. Die aktuelle Fassung der Datenschutzerklärung ist innerhalb der App abrufbar.