für die App ATOSS TIME CONTROL (MOBILE)
Version: v. 02-2023
Mit den Lösungen von ATOSS optimieren Unternehmen ihre Prozesse, indem Mitarbeitern der Zugriff auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung per Smartphone und Tablet ermöglicht wird – unabhängig von Einsatzzeit und Einsatzort.
Datensicherheit und Datenschutz ist für ATOSS ein wichtiges Anliegen, das ATOSS bei allen Geschäftsprozessen berücksichtigt. Die nachfolgenden Datenschutzinformationen wenden sich an die Endnutzer der App.
In dieser Datenschutzerklärung gelten die folgenden Definitionen:
"App" bezeichnet das kodierte Symbol oder das Icon, einschließlich der darin enthaltenen Software, mit welcher ein Endnutzer auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung zugreifen kann. Die App erscheint nach Download auf dem Smartphone oder Tablet.
"ATOSS" meint die als Anbieter der App bezeichnete ATOSS Konzerngesellschaft.
"ATOSS Workforce Management Softwarelösung" bezeichnet eine Standardsoftwarelösung für effizientes Workforce Management und bedarfsorientierten Personaleinsatz, welche von ATOSS vertrieben und an Unternehmen lizenziert wird.
"Endnutzer" bezeichnet eine identifizierte oder identifizierbare natürliche Person, die z. B. als Mitarbeiter eines Unternehmens die App nutzt.
"Unternehmen" ist der Auftraggeber oder Arbeitgeber des Endnutzers und erwirbt durch Abschluss eines Lizenzvertrags mit ATOSS die erforderlichen Lizenzen, um die ATOSS Workforce Management Softwarelösung für den internen Geschäftsbetrieb und für den Zugriff über die App durch die Endnutzer zu nutzen bzw. nutzen zu lassen.
Hinweis zur Geschlechterneutralität: Die gewählten Formulierungen gelten uneingeschränkt für die weiteren Geschlechter.
ATOSS CSD Software GmbH
Rodinger Straße 19
93413 Cham
info@atoss-csd.de
Datenschutzbeauftragter von ATOSS ist
Klaus Roßmannn
Rodinger Straße 19
93413 Cham
datenschutz@atoss.com
Mit der App erhält der Endnutzer Informationen zu den in der ATOSS Workforce Management Softwarelösung abgelegten und verarbeiteten personenbezogenen Daten in seinem Unternehmen. Über die App kann der Endnutzer auf diese personenbezogenen Daten zugreifen, diese bearbeiten und ergänzen.
Über die App verarbeitete personenbezogene Daten sind damit nur solche Informationen, die in der vom Unternehmen lizenzierten ATOSS Workforce Management Softwarelösung entweder vom Unternehmen oder vom Endnutzer hinterlegt werden.
In Bezug auf diese personenbezogenen Daten handelt allein das Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO und ATOSS verarbeitet diese Daten nur im Auftrag gemäß der mit dem Unternehmen geschlossenen Leistungsvereinbarung und Auftragsverarbeitungsvereinbarung (AVV).
Abhängig von der Leistungsvereinbarung mit dem Unternehmen lassen sich über die App u. a. nachfolgend genannte weitere personenbezogene Daten abrufen und bearbeiten:
Details zu den Kategorien dieser personenbezogenen Daten finden Sie exemplarisch in der 'Auftragsverarbeitungsvereinbarung' (AVV). Die Rechtsgrundlage der Verarbeitung ist Art 6 Abs 1 lit b DSGVO.
Mit Ausnahme der unten genannten Offline-Buchungen und unten genannten Daten, zu deren Zugriff der Endnutzer die Berechtigung erteilt, werden in der App keine weiteren personenbezogenen Daten im Auftrag des Unternehmens verarbeitet.
Verwendungszweck:
In der App wird im Standard nichts protokolliert. Im Zuge einer Fehleranalyse kann es jedoch vonnöten sein, das Logging in der App bzw. auf dem Server zu aktivieren. Die Aktivierung des App-Logging kann nur mit Zustimmung des Endnutzers erfolgen, da dieser dann auch die protokollierten Dateien aktiv von der App zum Server hochladen muss. Bei den geloggten Daten handelt es sich um Nutzungsdaten. Das verschlüsselte Kennwort erscheint nicht in den Logdateien.
Die Aktivierung der Protokollierung kann für jede Kommunikationskomponente einzeln erfolgen. Um Fehler zu finden, kann der gesamte Kommunikationsweg von der App zur installierten Workforce Management Softwarelösung geloggt werden. Die Entscheidung über die Aktivierung der Protokollierung trifft das Unternehmen und ist in diesem Fall der Verantwortliche für die Datenverarbeitung gemäß geltenden Datenschutzrecht.
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann in der App der Datenverarbeitung zustimmen oder ablehnen. Erst nach eine aktiven Zustimmung werden die Daten verarbeitet.
Rechtsgrundlage:
Die Rechtsgrundlage der Verarbeitung ist Art 6 Abs 1 lit a DSGVO. Wenn der Endnutzer nicht möchte, dass die App auf sein Logging zugreift und diese Daten verarbeitet oder nutzt, kann der Endnutzer seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen.
Nur Berechtigungen, die für die Funktion der App zwingend erforderlich sind, werden eingefordert. Wird eine der Berechtigungen vom Endnutzer abgelehnt, stehen ggf. nicht alle Funktionen der App in vollem Umfang zur Verfügung.
Die App unterstützt die Betriebssysteme iOS und Android und benötigt die folgenden Berechtigungen:
Kamera
Verwendungszweck:
Wird benötigt, um Bilder für die Workflow-Funktionen zu erzeugen. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließend gespeichert
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann beim ersten Start der Funktion „Kamera“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Kamera seines mobilen Endgerätes zugreifen darf.
Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seine Kamera zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf die Kamerafunktion für die App ausschaltet.
Bildergalerie/Fotos
Verwendungszweck:
Wird zum Speichern von Bildern auf dem mobilen Endgerät für die Workflow-Funktionen benötigt. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließen gespeichert.
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann beim ersten Start der Funktion „Bildergalerie“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Bildergalerie des mobilen Endgerätes zugreifen darf.
Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seine Bildergalerie / Fotos zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf die Fotos für die App ausschaltet.
Location Based Services (LBS, GPS, Standortdaten)
Verwendungszweck:
Zum Ermitteln des ungefähren oder genauen Standorts. Diese Funktion muss explizit vom Unternehmen aktiviert werden und bedarf der Einwilligung des Endnutzers, für deren Einholung das Unternehmen zuständig ist.
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann beim ersten Start der App (nach der Installation bzw. nach Aktivierung der Standortdaten zustimmen oder ablehnen, ob die App auf den Standort des mobilen Endgerätes zugreifen darf.
Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seinen Standort zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf den Standort für die App ausschaltet.
Push-Nachrichten
Verwendungszweck:
Mit den Push-Templates kann das Unternehmen, z. B. eine generische Push-Nachricht mit dem Inhalt 'Ein neuer Urlaubsantrag wartet auf Genehmigung' an den Endnutzer senden. Diese Push-Funktion muss vom Unternehmen explizit eingerichtet werden. Das bedeutet, dass, wenn diese Funktion nicht vom Unternehmen eingerichtet wird, eine solche Push-Nachricht nicht gesendet.
Ungeachtet dieser vom Unternehmen selbst initiierten Push-Nachrichten, liefert ATOSS für einige Funktionen, wie den Schichtangeboten, Push-Funktion im Standard aus.
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Empfang kann abhängig vom Betriebssystem des mobilen Endgeräts gesteuert werden:
Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App ihm Push-Nachrichten sendet, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er die Erlaubnis von Mitteilungen für die App ausschaltet.
Verwendungszweck:
ATOSS ist bemüht, seine Produkte stets nutzerfreundlich auszugestalten und die Nutzerzufriedenheit fortlaufend zu verbessern. Durch die Bereitstellung des Feedback-Button hat der Endnutzer jederzeit die Möglichkeit, seine Nutzerzufriedenheit auf der Seite "Profil" über die Schaltfläche "Feedback geben" in der App anzugeben. Tippt er bei seiner Angabe zur Nutzerzufriedenheit auf die Schaltfläche "Eher nicht", öffnet die App einen Dialog. Außerdem erscheint der Feedback-Dialog in regelmäßigen Abständen automatisch, falls der Nutzer bisher kein Feedback abgegeben hat. Im Feedback-Dialog kann der Endnutzer über das Anklicken der Sterne eine Tendenz zur Produktzufriedenheit abgeben. Im Textfeld des Feedback-Dialogs kann der Endnutzer zusätzlich seine Anregungen sowie konstruktive Kritik oder sonstige Vorschläge zu Entwicklungsverbesserungen eintragen. Im Feedback-Dialog sind bereits die Angaben über die Geräteversion, das Betriebssystemversion, Kunden ID, Mitarbeitername, Mitarbeiter E-Mail Adresse sowie die App-Version und ATC-Version enthalten. Hierbei handelt es sich um Daten, die im Nutzerprofil der App hinterlegt sind. Die vorgenannten Informationen werden somit direkt aus der App abgerufen. Die vorgenannten Daten versetzen ATOSS erst in die Lage, das Feedback des Endnutzer korrekt abzubilden und es anhand der Funktionsangaben und der jeweiligen Betriebsumgebung nachzuvollziehen. Durch das Setzen des Hakens im Kontrollkästchen „Feedback anonym geben“ wird jegliches Feedback, welches versendet wird, anonymisiert. Im Standard ist dieser Haken gesetzt. Durch Klicken auf den Senden-Button wird das Feedback versendet.
Zugriff auf personenbezogene Daten möglich?
Ja
Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Ja, der Feedback-Button kann per Berechtigung ausgeblendet werden.
Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Bei Klicken der Schaltflächen des jeweiligen Feedback-Button, verwendet ATOSS das Nutzerfeedback ausschließlich zum Zwecke der Bearbeitung des Feedbacks sowie für mögliche Anschlussfragen. Die Abgabe des Nutzerfeedbacks ist freiwillig und kann vom Endnutzer jederzeit mit Wirkung für die Zukunft widerrufen werden.
Auf dem mobilen Endgerät kann der Endnutzer folgende personenbezogene Daten verschlüsselt speichern:
Wenn das mobile Endgerät keine Verbindung zur App hat, werden durchgeführte Stempelungen mit einer Hinweismeldung offline auf dem mobilen Endgerät gespeichert. Diese werden, wenn das mobile Endgerät wieder online ist, an den Server, auf dem das ATOSS-Produkt betrieben wird, übertragen.
Bei Offline-Stempelungen werden folgende personenbezogene Daten auf dem mobilen Endgerät gespeichert:
Personalnummer: Nur, wenn angegeben
Zeitkonto: Pflichtfeld
Online: Zeigt an, ob es sich bei der Buchung um eine online oder offline Buchung handelt
Location Based Services (LBS, GPS, Standortdaten): Nur wenn die Übertragung des Standortes in der Software konfiguriert ist und wenn der Endnutzer der App dies auch erlaubt
Kostenstelle: Nur bei Kostenstellenstempelung
Kommentar: Nur, wenn ein Kommentar mit eingegeben wird
Projekt: Nur, wenn ein Projekt mit eingegeben wird
Projektstatus: Nur, wenn ein Projektstatus mit eingegeben wird
Datum und Uhrzeit der Stempelung: Nur bei Offlinebuchungen initialisiert
Zuletzt genutzte und Favoriten: Informationen zu zuletzt genutzen Stempelsätzen sowie Favoriten
Soweit eine Übertragung von Informationen per Push-Nachricht auf das mobile Endgerät vom Unternehmen aktiviert ist, wird die Push-Nachrichtenfunktion >Google Firebase Cloud Messaging< von dem Anbieter Google Ireland Limited verwendet. Die Nutzung des Staff Center (Mobile) Notification Service erfolgt dabei mittels eines individuellen Token/Schlüssels (Firebasetoken), welcher durch Einbindung des Google Firebase Cloud Messaging erzeugt wird. Dieser Firebasetoken versteht sich als Signal/Trigger an die App ATOSS Time Control (Mobile), um den neuesten Stand an Push-Nachrichten unmittelbar über die mit dem ATOSS Time Control verbundene Datenbank abzufragen.
Die Übertragung des jeweiligen Push-Nachrichteninhalts erfolgt dabei ausschließlich durch eine gesicherte Verbindung (https) unter zusätzlicher Nutzung eines symmetrischen Verschlüsselungsverfahren zwischen der App auf dem Endgerät des Nutzers und dem Applikationsserver.
Durch eine ATOSS Implementierung ist es gelungen, dass keine personenbezogenen Daten bei der erforderlichen Authentisierung und Nutzung des Google Firebase Cloud Messaging verarbeitet werden.
Personenbezogene Daten bei Offline-Buchungen (siehe vorherigen Abschnitt) werden automatisch nach erneuter Verbindung mit dem Server und erfolgreicher Übertragung vom mobilen Endgerät gelöscht. DER Endnutzer KANN die App jederzeit eigenständig von SEINEM Endgerät löschen. Eventuell vorhandene Offline-Buchungen werden dadurch auch gelöscht.
ES IST ZU BEACHTEN, dass die App DEN ENDNUTZER als mitarbeitende Person bei SEINEM Unternehmen nur befähigt, auf einem bei SEINEM Unternehmen bereits eingerichteten Account zuzugreifen, um SEINE Daten ortsunabhängig bearbeiten und ergänzen zu können.
Die vollständige Löschung EINES bereits eingerichteten Accounts DES ENDNUTZERS ist daher nur in der ATOSS Workforce Management Softwarelösung in Abstimmung mit SEINEM Unternehmen als Arbeitgeber möglich, da DER Arbeitgeber die alleinige Verantwortung für das User Account Management hat.
Die personenbezogenen Daten werden grundsätzlich nicht an Dritte weitergegeben. Hiervon ausgenommen sind lediglich die von ATOSS beauftragte Unternehmen, die für die technische Abwicklung des Feedbacks oder Appfunktionen verantwortlich sind, und die mit ATOSS gemäß § 15 AktG verbundenen Unternehmen.
Gemäß dem Nutzungszweck der App erfolgt eine Weitergabe der Daten während aktiver Internetverbindung automatisch in die ATOSS Workforce Management Softwarelösung.
Im Hinblick auf die Verarbeitung von personenbezogenen Daten haben betroffene Endnutzer gegen Ihr Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO die folgenden Rechte:
Auf Anforderung hat das Unternehmen einem Betroffenen entsprechend den gesetzlichen Bestimmungen mitzuteilen, ob und welche personenbezogenen Daten über den betroffenen Endnutzer gespeichert sind und ggf. zu welchem Zweck diese verarbeitet und/oder genutzt werden (Art. 15 DSGVO). Sollten trotz die gespeicherten Informationen nicht korrekt sein oder sollte der betroffene Endnutzer aus sonstigen Gründen eine Berichtigung (Art. 16 DSGVO) oder Löschung seiner personenbezogenen Daten (Art. 17 DSGVO) oder eine Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eine Herausgabe der ihn betreffenden personenbezogenen Daten (Art. 20 DSGVO) wünschen, hat er dies gegenüber Seinem Unternehmen geltend zu machen. Zugleich kann er unter den gesetzlichen Bestimmungen auch einen Widerspruch gegen die Verarbeitung der personenbezogenen Daten einlegen (Art. 21 DSGVO).
Unbeschadet der vorgenannten Rechte können betroffene Endnutzer schließlich bei einer zuständigen Aufsichtsbehörde eine Beschwerde einreichen, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden personenbezogenen Informationen gegen die Regelungen der DSGVO verstößt (Art. 77 DSGVO).
ATOSS behält sich vor, diese Datenschutzerklärung von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung von Daten nachzupflegen. Die aktuelle Fassung der Datenschutzerklärung ist innerhalb der App abrufbar.