Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, wie Monto Bleu BV, Eigentümer und Betreiber von TimeTic, personenbezogene Daten im Rahmen des TimeTic-Dienstes zur Zeiterfassung verarbeitet. Sie wurde in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO, Verordnung EU 2016/679) und dem belgischen Gesetz vom 30. Juli 2018 zum Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten erstellt.
1. Wer sind wir?
Monto Bleu BV
Heidebergstraat 14, 3120 Tremelo, België
Unternehmensregisternummer (KBO) / MwSt.: BE 0543.842.970
Datenschutzkontakt: privacy@timetic.app
Website: https://timetic.app – Anwendung: https://app.timetic.app
In dieser Erklärung bezeichnen wir uns selbst als „TimeTic", „wir" oder „uns".
2. Für wen und worauf gilt diese Erklärung?
Diese Erklärung gilt für:
- Besucher von timetic.app (einschließlich des Kontaktformulars);
- Kunden und Kontoverwalter von app.timetic.app (Arbeitgeber, Geschäftsführer, Administratoren);
- Arbeitnehmer, die über TimeTic ihre Arbeitszeiten erfassen;
- Partner, die an unserem Partnerprogramm teilnehmen;
- Interessenten und Personen, die uns kontaktieren.
3. Unsere Rolle unter der DSGVO – Auftragsverarbeiter oder Verantwortlicher?
Unsere Rolle hängt vom jeweiligen Datenstrom ab:
| Wer / was | Unsere Rolle | Verantwortlicher |
|---|---|---|
| Arbeitnehmerdaten (Zeiten, GPS, Kontodaten des Arbeitnehmers) | Auftragsverarbeiter | Der Arbeitgeber, der TimeTic nutzt |
| Unternehmenskonto, Administratoren, Abrechnung | Verantwortlicher | TimeTic |
| Partnerkonten und Provisionszahlungen | Verantwortlicher | TimeTic |
| Besucher timetic.app + Kontaktformular | Verantwortlicher | TimeTic |
Für Arbeitnehmerdaten ist der Arbeitgeber der Verantwortliche und TimeTic lediglich Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Arbeitgeber bestimmt den Zweck („Arbeitszeiten gemäß der gesetzlichen Verpflichtung erfassen") und die Mittel („über TimeTic"). Die Bedingungen, unter denen TimeTic diese Daten verarbeitet, sind in der Auftragsverarbeitungsvereinbarung in Anhang A dieses Dokuments festgelegt, die integraler Bestandteil unserer Nutzungsvereinbarung mit jedem Geschäftskunden ist.
4. Welche personenbezogenen Daten verarbeiten wir?
4.1 Arbeitnehmer (TimeTic = Auftragsverarbeiter)
| Kategorie | Daten | Erfassungszeitpunkt |
|---|---|---|
| Identifikation | Vorname, Name, Geschlecht, Geburtsdatum | Beim Hinzufügen des Arbeitnehmers durch den Arbeitgeber |
| Kontakt (optional) | E-Mail-Adresse | Nur wenn ein Web-Login gewünscht wird |
| Authentifizierung | Persönliche PIN (kryptografisch gehasht gespeichert) | Bei der Aktivierung |
| Zeiterfassung | Zeitpunkte von Start, Pause und Stopp | Bei jedem Einstempeln |
| Standort | GPS-Koordinaten (siehe §6) | Bei jedem Einstempeln über die mobile App |
| Audit | Datum/Uhrzeit der Anmeldung, verwendete Methode (QR + PIN, Tablet, Web) | Fortlaufend |
Geschlecht und Geburtsdatum werden abgefragt, um Arbeitnehmer mit identischen oder ähnlichen Namen in Berichten und Exporten eindeutig unterscheiden zu können.
4.2 Unternehmenskontoinhaber und Administratoren (TimeTic = Verantwortlicher)
- Name, E-Mail-Adresse, ggf. Berufsbezeichnung
- Unternehmensdaten (Firmenname, Unternehmensregisternummer (KBO)/MwSt.-Nummer, Adresse)
- Anmeldedaten (E-Mail + kryptografisch gehasht gespeicherte Authentifizierung)
- Rechnungs- und Zahlungsdaten (verarbeitet über Stripe)
- Kommunikation mit unserem Support
4.3 Partner
- Unternehmensdaten (Firmenname, Unternehmensregisternummer (KBO)/MwSt.-Nummer, Adresse)
- Ansprechpartner (Name, E-Mail)
- Auszahlungsdaten für Provisionen (verarbeitet über Stripe Connect)
- Zugewiesene Referenzen und dazugehörige Provisionen
4.4 Besucher timetic.app (Kontaktformular)
- Name, E-Mail-Adresse, Inhalt der Nachricht
- Etwaige zusätzliche Felder, die Sie freiwillig ausfüllen (Telefon, Firmenname, …)
5. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage | Verantwortlicher |
|---|---|---|
| Zeiterfassung und Berichterstattung | Rechtliche Verpflichtung (Sozialstrafgesetzbuch; Arbeitszeiterfassung) | Arbeitgeber |
| GPS-Kontrolle beim Einstempeln | Berechtigtes Interesse des Arbeitgebers (korrekte Zeiterfassung, mobile Arbeitnehmer), Rahmen KAO Nr. 81 | Arbeitgeber |
| Bereitstellung des TimeTic-Dienstes für den Arbeitgeber | Vertragserfüllung | TimeTic |
| Verwaltung des Unternehmenskontos und Abrechnung | Vertragserfüllung + rechtliche Verpflichtung (Buchführungsgesetz) | TimeTic |
| Partnerprogramm und Provision | Vertragserfüllung | TimeTic |
| Marketing-E-Mail (Newsletter, Produktupdates) | Einwilligung (Opt-in bei der Registrierung) | TimeTic |
| Bearbeitung des Kontaktformulars | Berechtigtes Interesse / vorvertragliche Maßnahmen | TimeTic |
| Sicherheit, Betrugserkennung und Missbrauchsbekämpfung | Berechtigtes Interesse | TimeTic |
Die Einwilligung für Marketing können Sie jederzeit über den Abmeldelink in jeder E-Mail oder über privacy@timetic.app widerrufen.
6. GPS-Standortdaten – besondere Bestimmungen
Wenn ein Arbeitnehmer über die mobile Anwendung einstempelt (Start, Pause, Stopp), wird zu diesem Zeitpunkt der GPS-Standort des Geräts ausgelesen. Diese Standortdaten:
- werden ausschließlich zum Zeitpunkt des Einstempelns ausgelesen, nicht fortlaufend;
- werden in den Zeiterfassungsberichten des Arbeitgebers gespeichert;
- haben eine Genauigkeit von wenigen Metern;
- sind nur für den Arbeitgeber und seine eingesetzten Administratoren sichtbar.
Einwilligung auf Geräteebene: Die Betriebssysteme (iOS / Android) fragen den Arbeitnehmer ausdrücklich um Einwilligung zur Standortfreigabe für die TimeTic-App. Ohne diese Einwilligung ist ein Einstempeln über die mobile App nicht möglich. Alternativ kann über ein gemeinsam genutztes Gerät (Tablet) am Arbeitsplatz mit persönlicher PIN eingestempelt werden, sofern dies zur Organisation des Arbeitgebers passt.
Pflichten des Arbeitgebers: Der Arbeitgeber ist für die Einhaltung der belgischen Vorschriften zur Arbeitnehmerüberwachung verantwortlich, insbesondere KAO Nr. 81 und des Grundsatzes der vorherigen, transparenten Information seiner Arbeitnehmer. TimeTic stellt lediglich den technischen Rahmen zur Verfügung; der Arbeitgeber muss seine internen Verfahren, Kommunikation und etwaige Konsultationspflichten selbst regeln.
Vergleich mit vorher festgelegten Arbeitsorten: Der Arbeitgeber kann in seinem Konto einen oder mehrere Arbeitsorte festlegen, an denen Arbeitnehmer einstempeln sollen. Bei jedem Einstempeln vergleicht TimeTic die übermittelten GPS-Koordinaten mit diesen Arbeitsorten und zeigt das Ergebnis dem Arbeitgeber über einen Farbcode in den Berichten an (z. B. grün, wenn der Einstempelvorgang innerhalb der erwarteten Zone liegt, orange oder rot bei Abweichung). TimeTic sperrt Einstempelvorgänge nicht automatisch auf Basis dieser Kontrolle; der Arbeitgeber entscheidet selbst, wie er mit Abweichungen umgeht.
7. Aufbewahrungsfristen
| Datum | Aufbewahrungsfrist |
|---|---|
| Zeiterfassungen (inkl. GPS) | 5 Jahre: gesetzliche Aufbewahrungspflicht |
| Arbeitnehmerkonto (Grunddaten) | Solange das Konto beim Arbeitgeber aktiv ist; danach pseudonymisiert innerhalb der 5-Jahres-Aufbewahrungsfrist für Zeiterfassungen |
| E-Mail-Adresse Web-Login Arbeitnehmer | Solange das Konto aktiv ist, der Arbeitgeber entscheidet, wann er es schließt |
| Unternehmenskonto (Kunde) | Für die Dauer des Vertrags + 7 Jahre für Abrechnungsdaten (Buchführungsgesetz) |
| Partnerkonto | Für die Dauer der Partnerschaft + 7 Jahre für Auszahlungsdaten |
| Kontaktformular-Nachrichten | Maximal 24 Monate, es sei denn, eine Kundenbeziehung ist entstanden |
| Zugangs- und Sicherheitsprotokolle | 12 Monate |
| Backups | Maximal 90 Tage, danach automatisch überschrieben |
| Marketing-Einwilligungen | Bis zum Widerruf der Einwilligung, danach sofort aus der Mailingliste entfernt |
Kündigung durch den Arbeitgeber: Wenn ein Arbeitgeber sein TimeTic-Konto kündigt, stellen wir die vollständige Zeiterfassungshistorie (bis zu 5 Jahre) aller Arbeitnehmer dem Hauptkontoverwalter über einen sicheren Kanal zur Verfügung. So erfüllt der Arbeitgeber seine gesetzliche Aufbewahrungspflicht. Danach löschen wir die aktiven Daten aus unserem Produktionssystem (unter Berücksichtigung unseres Backup-Zyklus). Es liegt in der Verantwortung des Arbeitgebers, nach der Übertragung sicher mit diesen Daten umzugehen.
„Löschen" durch den Administrator: Wenn ein Administrator einen Arbeitnehmer innerhalb des Kontos löscht, wird das Konto geschlossen, die Zeiterfassungen (und die damit verbundenen minimalen Identifikationsdaten) werden jedoch für die Dauer der gesetzlichen Aufbewahrungspflicht aufbewahrt. Die vollständige Löschung erfolgt nach Ablauf dieser Frist.
8. Mit wem teilen wir personenbezogene Daten? (Unterauftragsverarbeiter)
Wir teilen personenbezogene Daten ausschließlich mit Unterauftragsverarbeitern, die vergleichbare oder strengere Sicherheitsstandards anwenden als wir selbst, und ausschließlich für die unten genannten Zwecke.
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Supabase (Supabase Inc., über EU-Region) | Datenbank und Authentifizierung | EU |
| Resend (Resend Inc.) | Versand von Transaktions-E-Mails (Willkommens-E-Mails, Magic Links) | EU |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung und Partnerauszahlungen | Irland (EU), kann begrenzte internationale Übermittlung für die Betrugsprävention beinhalten |
| Vercel Inc. | Hosting von app.timetic.app (Frontend und API) | EU-Region mit Standardvertragsklauseln für Support aus den USA |
| Cloudflare Inc. | DNS, Sicherheit und Bot-Schutz (Turnstile) | Weltweites Edge-Netzwerk mit Standardvertragsklauseln |
Wir verkaufen personenbezogene Daten niemals an Dritte und verwenden sie nicht für Werbung oder Profilerstellung.
9. Übermittlung außerhalb des Europäischen Wirtschaftsraums
Unsere primäre Infrastruktur (Datenbank, Hosting, Mailing) befindet sich in der EU. Für einige Unterauftragsverarbeiter (Stripe, Vercel, Cloudflare) kann in begrenztem Umfang unterstützende Verarbeitung außerhalb des EWR stattfinden. In diesem Fall stützt sich die Übermittlung auf die Standardvertragsklauseln (SCC) der Europäischen Kommission, ergänzt durch geeignete technische Maßnahmen (Verschlüsselung während der Übertragung und im Ruhezustand).
10. Sicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen. Dazu gehören unter anderem:
- Verschlüsselung während der Übertragung: die gesamte Kommunikation erfolgt über TLS;
- Verschlüsselte Authentifizierung: PINs und Passwörter werden ausschließlich als kryptografischer Hash gespeichert, niemals im Klartext;
- Zugriffskontrolle nach dem Prinzip der minimalen Rechtevergabe, mit getrennten Umgebungen für Produktion und Test;
- Audit-Protokollierung von administrativen Handlungen;
- Überwachung verdächtiger Aktivitäten und automatischer Bot-Schutz auf Anmelde- und Registrierungsformularen;
- Regelmäßige Überprüfung und Aktualisierung unserer Sicherheitsmaßnahmen.
Spezifische technische Details werden nicht öffentlich geteilt, um keine Angriffsfläche zu schaffen. Vermuten Sie einen Datenschutzverstoß oder Missbrauch? Schreiben Sie uns sofort an privacy@timetic.app.
11. Cookies
app.timetic.app setzt derzeit ausschließlich unbedingt erforderliche und funktionale Cookies. Wir setzen derzeit keine Analyse-, Marketing- oder Tracking-Cookies in der Anwendung ein. Sollte sich dies in Zukunft ändern (z. B. zur Messung von Conversions oder zur Optimierung unserer Website), passen wir diese Erklärung an und sehen (soweit gesetzlich erforderlich) vorab einen Einwilligungsmechanismus vor, wie in Artikel 11.4 beschrieben.
11.1 Unbedingt erforderliche Cookies
| Name | Zweck | Lebensdauer |
|---|---|---|
sb-…-auth-token |
Speichert Ihre Supabase-Sitzung, damit Sie angemeldet bleiben | 30 Tage |
sb-…-auth-token-code-verifier |
Kryptografischer Verifier für die Magic-Link-Anmeldung | Sitzung (max. 1 Std.) |
cf_* |
Cloudflare Turnstile Bot-Schutz bei Login / Registrierung | Kurzlebig |
11.2 Funktionale Cookies
| Name | Zweck | Lebensdauer |
|---|---|---|
referral_code |
Speichert, über welchen Partner Sie TimeTic entdeckt haben, für die Provisionszuweisung | 90 Tage |
referral_sig |
Kryptografische Signatur gegen Manipulation von referral_code |
90 Tage |
Erstanbieter-Cookies sind wo möglich Secure, HttpOnly und SameSite=Lax.
11.3 Warum kein Cookie-Zustimmungsbanner?
Gemäß Art. 5(3) der ePrivacy-Richtlinie (in BE: Art. 129 §2 Gesetz über elektronische Kommunikation) ist eine Einwilligung nicht erforderlich für Cookies, die für den vom Nutzer ausdrücklich angeforderten Dienst unbedingt notwendig sind. Alle oben genannten Cookies fallen unter diese Ausnahme.
11.4 Zukünftige Cookies
Sollten wir in Zukunft Cookies setzen, die eine Einwilligung erfordern (z. B. Analyse oder Conversion-Messungen), führen wir vorab einen Cookie-Zustimmungsbanner ein und passen diese Erklärung an.
11.5 Verwaltung
Sie können Cookies jederzeit über die Einstellungen Ihres Browsers löschen. Ohne das Supabase-Sitzungs-Cookie können Sie nicht angemeldet bleiben und müssen sich erneut anmelden.
12. Ihre Rechte
Unter der DSGVO haben Sie folgende Rechte:
- Auskunftsrecht über Ihre personenbezogenen Daten
- Recht auf Berichtigung unrichtiger Daten
- Recht auf Löschung („Recht auf Vergessenwerden"), vorbehaltlich gesetzlicher Aufbewahrungspflichten (siehe §7)
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht gegen die Verarbeitung auf Basis berechtigter Interessen
- Recht auf Widerruf der Einwilligung (für Verarbeitungen auf Basis einer Einwilligung)
- Recht, keiner ausschließlich automatisierten Entscheidung mit Rechtswirkung unterworfen zu werden: wir treffen keine solchen Entscheidungen
Wie üben Sie diese Rechte aus?
- Sind Sie Arbeitnehmer und möchten Rechte in Bezug auf Zeiterfassungs- oder GPS-Daten ausüben? Wenden Sie sich in erster Instanz an Ihren Arbeitgeber, der als Verantwortlicher der primäre Ansprechpartner ist. Wir unterstützen Arbeitgeber bei jedem begründeten Antrag.
- Sind Sie Kunde, Partner oder Besucher? Schreiben Sie uns an privacy@timetic.app. Wir antworten innerhalb von 30 Tagen gemäß Art. 12 DSGVO.
Beschwerden
Nicht zufrieden mit dem Umgang mit Ihren Daten? Sie können jederzeit eine Beschwerde bei der Belgischen Datenschutzbehörde (DSB) einreichen:
Drukpersstraat 35, 1000 Brussel – contact@apd-gba.be – www.gegevensbeschermingsautoriteit.be
13. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, z. B. bei Gesetzesänderungen, neuen Funktionen oder neuen Unterauftragsverarbeitern. Die aktuelle Version ist jederzeit auf timetic.app (in jeder verfügbaren Sprachversion der Website) mit Versionsnummer und Datum abrufbar. Wichtige Änderungen teilen wir unseren Kunden proaktiv mit.
14. Kontakt
Für alle datenschutzbezogenen Fragen, Betroffenenrechte, Beschwerden oder Meldungen von Datenschutzverletzungen: privacy@timetic.app. E-Mail ist hierfür unser einziger Kanal, so bleibt alles nachvollziehbar.
15. Anwendbares Recht und zuständiges Gericht
Auf diese Datenschutzerklärung ist belgisches Recht anwendbar. Im Streitfall sind ausschließlich die Gerichte des Bezirks Leuven zuständig, unbeschadet der Möglichkeit für Verbraucher, eine Beschwerde bei der zuständigen Aufsichtsbehörde oder dem Gericht ihres Wohnsitzes einzureichen, wenn das Gesetz dies zwingend vorschreibt.
Anhang A – Auftragsverarbeitungsvereinbarung (DPA)
Diese Auftragsverarbeitungsvereinbarung (nachfolgend „DPA") ist integraler Bestandteil der Vereinbarung zwischen Monto Bleu BV („Auftragsverarbeiter") und dem Geschäftskunden von TimeTic („Verantwortlicher"), nachfolgend gemeinsam die „Parteien".
A.1 Gegenstand
Der Verantwortliche beauftragt den Auftragsverarbeiter, personenbezogene Daten im Rahmen der Bereitstellung des TimeTic-Dienstes zur Zeiterfassung von Arbeitnehmern zu verarbeiten.
A.2 Art, Dauer und Zweck der Verarbeitung
- Art: Speicherung, Abfrage, Strukturierung, Export und Löschung von Zeiterfassungs- und zugehörigen Arbeitnehmerdaten.
- Zweck: Erfüllung der gesetzlichen Pflichten des Verantwortlichen zur Arbeitszeiterfassung und Verwaltung seiner Personalzeiten.
- Dauer: Für die Dauer der Vereinbarung zwischen den Parteien, zuzüglich der danach geltenden gesetzlichen Aufbewahrungspflichten.
A.3 Kategorien betroffener Personen und Daten
- Betroffene Personen: Arbeitnehmer, Freiberufler und andere beschäftigte Personen des Verantwortlichen.
- Daten: wie in §4.1 der Datenschutzerklärung beschrieben (Identifikation, Authentifizierung, Zeiterfassung, GPS, Audit-Protokolle).
A.4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:
- verarbeitet personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen des Verantwortlichen, sofern keine anderslautende gesetzliche Verpflichtung besteht;
- stellt sicher, dass Personen mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet sind;
- trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe §10 der Datenschutzerklärung);
- setzt Unterauftragsverarbeiter nur mit vorheriger allgemeiner Genehmigung ein (siehe §8 der Datenschutzerklärung); der Verantwortliche kann der Hinzufügung eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen nach Benachrichtigung widersprechen;
- unterstützt den Verantwortlichen bei Anträgen betroffener Personen, Datenschutzverletzungen (Art. 33 DSGVO) und Datenschutz-Folgenabschätzungen (Art. 35 DSGVO);
- meldet dem Verantwortlichen eine Datenschutzverletzung innerhalb von 48 Stunden nach Kenntnisnahme, mit den Informationen, die zur Erfüllung der Meldepflicht gegenüber der DSB erforderlich sind;
- löscht oder gibt nach Beendigung der Vereinbarung alle personenbezogenen Daten zurück, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
- stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und ermöglicht Prüfungen nach angemessener Vorankündigung und auf Kosten des Verantwortlichen.
A.5 Pflichten des Verantwortlichen
Der Verantwortliche:
- sorgt selbst für eine gültige Rechtsgrundlage für die Verarbeitung;
- informiert seine Arbeitnehmer über die Verarbeitung gemäß Art. 13 DSGVO und KAO Nr. 81, soweit anwendbar;
- beachtet Konsultationsverfahren mit dem Betriebsrat oder der Gewerkschaftsvertretung, wo gesetzlich vorgeschrieben;
- nutzt TimeTic gemäß den Nutzungsbedingungen;
- ist nach Beendigung für die sichere Aufbewahrung exportierter Daten verantwortlich.
A.6 Unterauftragsverarbeiter
Eine allgemeine Genehmigung wird für die in §8 der Datenschutzerklärung genannten Unterauftragsverarbeiter erteilt. Der Auftragsverarbeiter kann diese Liste mit einer Vorankündigung von mindestens 14 Tagen per E-Mail oder In-App-Benachrichtigung ändern.
A.7 Übermittlung außerhalb des EWR
Übermittlungen außerhalb des EWR finden ausschließlich unter den in §9 der Datenschutzerklärung genannten Bedingungen statt (Standardvertragsklauseln und ergänzende technische Maßnahmen).
A.8 Haftung
Die Haftung der Parteien unter dieser DPA unterliegt den Haftungsbeschränkungen aus dem Hauptvertrag, vorbehaltlich gesetzlicher Ausnahmen unter Art. 82 DSGVO.
A.9 Anwendbares Recht
Diese DPA unterliegt belgischem Recht. Streitigkeiten fallen in die ausschließliche Zuständigkeit der Gerichte zu Leuven.
Version 1.0 – 6. Mai 2026 – Monto Bleu BV