Datenschutzerklärung

für die App ATOSS Staff Center (Mobile)

Version: v. 02-2023
Mit den Lösungen von ATOSS optimieren Unternehmen ihre Prozesse, indem Mitarbeitern der Zugriff auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung per Smartphone und Tablet ermöglicht wird – unabhängig von Einsatzzeit und Einsatzort.
Datensicherheit und Datenschutz ist für ATOSS ein wichtiges Anliegen, das ATOSS bei allen Geschäftsprozessen berücksichtigt. Die nachfolgenden Datenschutzinformationen wenden sich an die Endnutzer der App.

In dieser Datenschutzerklärung gelten die folgenden Definitionen:

"App" bezeichnet das kodierte Symbol oder das Icon, einschließlich der darin enthaltenen Software, mit welcher ein Endnutzer auf wichtige Informationen und Funktionen aus der ATOSS Workforce Management Softwarelösung zugreifen kann. Die App erscheint nach Download auf dem Smartphone oder Tablet.

"ATOSS" meint die als Anbieter der App bezeichnete ATOSS Konzerngesellschaft.

"ATOSS Workforce Management Softwarelösung" bezeichnet eine Standardsoftwarelösung für effizientes Workforce Management und bedarfsorientierten Personaleinsatz, welche von ATOSS vertrieben und an Unternehmen lizenziert wird.
"Endnutzer" bezeichnet eine identifizierte oder identifizierbare natürliche Person, die z. B. als Mitarbeiter eines Unternehmens die App nutzt.

"Unternehmen" ist der Auftraggeber oder Arbeitgeber des Endnutzers und erwirbt durch Abschluss eines Lizenzvertrags mit ATOSS die erforderlichen Lizenzen, um die ATOSS Workforce Management Softwarelösung für den internen Geschäftsbetrieb und für den Zugriff über die App durch die Endnutzer zu nutzen bzw. nutzen zu lassen. 

Hinweis zur Geschlechterneutralität: Die gewählten Formulierungen gelten uneingeschränkt für die weiteren Geschlechter.

KON­TAKT ZU ATOSS

ATOSS Software SE
Rosenheimer Straße 141 h
81671 München
info@atoss.com

Datenschutzbeauftragter von ATOSS ist

Dr. Stefanie Hagemeier
c/o ATOSS Software SE
Rosenheimer Str. 141 h
81671 München
datenschutz@atoss.com

DA­TEN­VER­AR­BEI­TUN­GEN IN DER APP

KA­TE­GO­RI­EN DER PER­SO­NEN­BE­ZO­GE­NEN DATEN

Mit der App erhält der Endnutzer Informationen zu den in der ATOSS Workforce Management Softwarelösung abgelegten und verarbeiteten personenbezogenen Daten in seinem Unternehmen. Über die App kann der Endnutzer auf diese personenbezogenen Daten zugreifen, diese bearbeiten und ergänzen.

Über die App verarbeitete personenbezogene Daten sind damit nur solche Informationen, die in der vom Unternehmen lizenzierten ATOSS Workforce Management Softwarelösung entweder vom Unternehmen oder vom Endnutzer hinterlegt werden.

In Bezug auf diese personenbezogenen Daten handelt allein das Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO und ATOSS verarbeitet diese Daten nur im Auftrag gemäß der mit dem Unternehmen geschlossenen Leistungsvereinbarung und Auftragsverarbeitungsvereinbarung (AVV). 
Abhängig von der Leistungsvereinbarung mit dem Unternehmen lassen sich über die App u. a. nachfolgend genannte weitere personenbezogene Daten abrufen und bearbeiten:

  • Mitarbeiterstammdaten (z. B. Logindaten, Kennwort) und zeitwirtschaftliche Informationen 
  • Informationen aus der Personaleinsatzplanung
  • Informationen aus Antragswesen und Aufgabenmanagement
  • Systembezogene Informationen (z.B. Geräteversion, Betriebssystemversion, App-Version)

Details zu den Kategorien dieser personenbezogenen Daten finden sich exemplarisch in der 'Auftragsverarbeitungsvereinbarung' (AVV).

Die Rechtsgrundlage der Verarbeitung ist Art 6 Abs 1 lit b DSGVO. Mit Ausnahme der unten genannten Offline-Buchungen und unten genannten Daten, zu deren Zugriff der Endnutzer die Berechtigung erteilt, werden in der App keine weiteren personenbezogenen Daten im Auftrag des Unternehmens verarbeitet.

LOG­GING

Verwendungszweck:
In der App wird im Standard nichts protokolliert. Im Zuge einer Fehleranalyse kann es jedoch vonnöten sein, das Logging in der App bzw. auf dem Server zu aktivieren. Die Aktivierung des App-Logging kann nur mit Zustimmung des Endnutzers erfolgen, da dieser dann auch die protokollierten Dateien aktiv von der App zum Server hochladen muss. Bei den geloggten Daten handelt es sich um Nutzungsdaten. Das verschlüsselte Kennwort erscheint nicht in den Logdateien.

Die Aktivierung der Protokollierung kann für jede Kommunikationskomponente einzeln erfolgen. Um Fehler zu finden, kann der gesamte Kommunikationsweg von der App zur installierten Workforce Management Softwarelösung geloggt werden. Die Entscheidung über die Aktivierung der Protokollierung trifft das Unternehmen und ist in diesem Fall der Verantwortliche für die Datenverarbeitung gemäß geltenden Datenschutzrecht.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann in der App der Datenverarbeitung zustimmen oder ablehnen. Erst nach eine aktiven Zustimmung werden die Daten verarbeitet.

Rechtsgrundlage:
Die Rechtsgrundlage der Verarbeitung ist Art 6 Abs 1 lit a DSGVO. Wenn der Endnutzer nicht möchte, dass die App auf sein Logging zugreift und diese Daten verarbeitet oder nutzt, kann der Endnutzer seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen.

BE­RECH­TI­GUN­GEN DER APP UND ZWE­CKE

Nur Berechtigungen, die für die Funktion der App zwingend erforderlich sind, werden eingefordert. Wird eine der Berechtigungen vom Endnutzer abgelehnt, stehen ggf. nicht alle Funktionen der App in vollem Umfang zur Verfügung.

Die App unterstützt die Betriebssysteme iOS und Android und benötigt die folgenden Berechtigungen:

Kamera

Verwendungszweck:
Wird benötigt, um Bilder für die Workflow-Funktionen zu erzeugen. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließend gespeichert.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann beim ersten Start der Funktion „Kamera“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Kamera seines mobilen Endgerätes zugreifen darf. 

Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seine Kamera zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf die Kamerafunktion für die App ausschaltet.

Bildergalerie / Fotos

Verwendungszweck:
Wird zum Speichern von Bildern auf dem mobilen Endgerät für die Workflow-Funktionen benötigt. Hierbei können Workflow-Anträgen auch Anhänge beigefügt werden, die durch die Kamera bzw. die Bildergalerie bereitgestellt werden. Die einem Workflow beigefügten Anhänge werden verschlüsselt versandt und anschließen gespeichert.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer: 
Der Endnutzer kann beim ersten Start der Funktion „Bildergalerie“ nach Installation der App zustimmen oder ablehnen, ob die App auf die Bildergalerie des mobilen Endgerätes zugreifen darf. 

Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seine Bildergalerie / Fotos zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf die Fotos für die App ausschaltet.

Location Based Services (LBS, GPS, Standortdaten)

Verwendungszweck:
Zum Ermitteln des ungefähren oder genauen Standorts. Diese Funktion muss explizit vom Unternehmen aktiviert werden und bedarf der Einwilligung des Endnutzers, für deren Einholung das Unternehmen zuständig ist.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Endnutzer kann beim ersten Start der App (nach der Installation bzw. nach Aktivierung der Standortdaten) zustimmen oder ablehnen, ob die App auf den Standort des mobilen Endgerätes zugreifen darf. 

Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App auf seinen Standort zugreift und Daten darüber verarbeitet oder nutzt, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er den Zugriff auf den Standort für die App ausschaltet.

Push-Nachrichten

Verwendungszweck:
Über die ATOSS Workforce Management Softwarelösung können auch Push-Services, mit denen das Unternehmen z. B. eine automatisierte Push-Nachricht mit dem Inhalt 'Ein neuer Urlaubsantrag wartet auf Genehmigung' an den Endnutzer senden kann, genutzt werden. Der Push-Service muss vom Unternehmen explizit für die APP eingerichtet werden. Wenn der Push-Service nicht vom Unternehmen eingerichtet wird, können dagegen keine Push-Nachrichten auf mobile Endgeräte der Endnutzer gesendet werden.

Zugriff auf personenbezogene Daten möglich?
Ja

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Der Empfang kann abhängig vom Betriebssystem des mobilen Endgeräts gesteuert werden.

  • Bei iOS: Abfrage beim Endnutzer, ob er das Empfangen von Push-Benachrichtigungen erlaubt. 
  • Bei Android: Erlaubnis zum Empfangen von Push-Benachrichtigungen ist standardmäßig eingeschaltet, kann aber per Einstellung ausgeschaltet werden.

Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Wenn der Endnutzer nicht möchte, dass die App ihm Push-Nachrichten sendet, kann er seine Einwilligung verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen, indem er die Erlaubnis von Mitteilungen für die App ausschaltet.

Feedback-Button

Verwendungszweck:
ATOSS ist bemüht, seine Produkte stets nutzerfreundlich auszugestalten und die Nutzerzufriedenheit fortlaufend zu verbessern. Durch die Bereitstellung des Feedback-Button hat der Endnutzer jederzeit die Möglichkeit, seine Nutzerzufriedenheit auf der Seite "Profil" über die Schaltfläche "Feedback geben" in der App anzugeben. Tippt er bei seiner Angabe zur Nutzerzufriedenheit auf die Schaltfläche "Eher nicht", öffnet die App ein E-Mail, die automatisch an das ATOSS App-Expertenteam adressiert ist. Im Textfeld der E-Mail kann der Endnutzer seine Anregungen sowie konstruktive Kritik oder sonstige Vorschläge zu Entwicklungsverbesserungen eintragen. Durch Klicken auf den Sende-Button wird die E-Mail versendet. In der von der App automatisch generierten E-Mail sind bereits die Angaben über die Geräteversion, das Betriebssystemversion sowie die App-Version und ASE/S-Version enthalten. Hierbei handelt es sich um Daten, die im Nutzerprofil der App hinterlegt sind. Die vorgenannten Informationen werden somit direkt aus der App abgerufen. Diese Informationen kann der Endnutzer jederzeit aus dem Textfeld der E-Mail löschen. Die vorgenannten Daten versetzen ATOSS allerdings erst in die Lage, das Feedback des Endnutzer korrekt abzubilden und es anhand der Funktionsangaben und der jeweiligen Betriebsumgebung nachzuvollziehen. Sollte der Endnutzer die in der E-Mail automatisch generierten Informationen daher bearbeiten oder löschen, kann ATOSS das Feedback möglicherweise nicht mehr verwerten.

Steuerungsmöglichkeiten des Zugriffs durch Endnutzer:
Ja

Rechtsgrundlage:
Die Daten werden auf Grundlage einer Einwilligung iSd Art 6 Abs 1 lit a DSGVO erhoben. Bei Klicken der Schaltflächen des jeweiligen Feedback-Button bzw. Versand der generierter E-Mail zusendet, verwendet ATOSS das Nutzerfeedback ausschließlich zum Zwecke der Bearbeitung des Feedbacks sowie für mögliche Anschlussfragen. Die Abgabe des Nutzerfeedbacks ist freiwillig und kann vom Endnutzer jederzeit mit Wirkung für die Zukunft widerrufen werden.

DA­TEN­SPEI­CHE­RUNG AUF DEM MO­BI­LEN END­GE­RÄT

Auf dem mobilen Endgerät kann der Endnutzer folgende personenbezogene Daten verschlüsselt speichern:

  • Offline-Zeitbuchungen bzw. Offline-Kostenstellenwechselbuchung

Wenn das mobilen Endgerät keine Verbindung zur App hat, werden durchgeführte Zeitbuchungen mit einer Hinweismeldung offline auf dem mobilen Endgerät gespeichert. 

Diese werden, wenn das mobile Endgerät wieder online ist, automatisch an den Server, auf dem das ATOSS-Produkt betrieben wird, übertragen.

Bei Offline-Buchungen werden folgende personenbezogene Daten auf dem mobilen Endgerät gespeichert:

Personalnummer: Nur, wenn angegeben

Zeitpaarcode: Nur bei einer Buchung mit Zeitpaarcode

Online: Zeigt an, ob es sich bei der Buchung um eine online oder offline Buchung handelt

Location Based Services (LBS, GPS, Standortdaten): Nur, wenn die Übertragung des Standortes in der ATOSS Workforce Management Softwarelösung konfiguriert ist und wenn der Endnutzer der App dies auch erlaubt

Kostenstelle: Nur bei Kostenstellenbuchungen

Zeitangaben: Datum und Uhrzeit der Buchung

STAFF CENTER (MOBILE) NOTIFICATION SERVICE

Soweit eine Übertragung von Informationen per Push-Nachricht auf das mobile Endgerät vom Unternehmen aktiviert ist, wird die Push-Nachrichtenfunktion >Google Firebase Cloud Messaging< von dem Anbieter Google Ireland Limited verwendet. Die Nutzung des Staff Center (Mobile) Notification Service erfolgt dabei mittels eines individuellen Token/Schlüssels (Firebasetoken), welcher durch Einbindung des Google Firebase Cloud Messaging erzeugt wird. Dieser Firebasetoken versteht sich als Signal/Trigger an die App Staff Center (Mobile), um den neuesten Stand an Push-Nachrichten unmittelbar über die mit dem ATOSS Staff Center verbundene Datenbank abzufragen.

Die Übertragung des jeweiligen Push-Nachrichteninhalts erfolgt dabei ausschließlich durch eine gesicherte Verbindung (https) unter zusätzlicher Nutzung eines symmetrischen Verschlüsselungsverfahren zwischen der App auf dem Endgerät des Nutzers und dem Applikationsserver.

Durch eine ATOSS Implementierung ist es gelungen, dass keine personenbezogenen Daten bei der erforderlichen Authentisierung und Nutzung des Google Firebase Cloud Messaging verarbeitet werden.

Einzelheiten finden Sie in dem Prüfbericht eines unabhängigen Sicherheitsberatungs-Unternehmens, welcher Ihnen auf unsere Kundenlounge (unter der Rubrik Produktinformationen / ATOSS Staff Center (Mobile) zum jederzeitigen Abruf zur Verfügung steht.

LÖSCHUNG DER DATEN

Personenbezogene Daten bei Offline-Buchungen (siehe vorherigen Abschnitt) werden automatisch nach erneuter Verbindung mit dem Server und erfolgreicher Übertragung vom mobilen Endgerät gelöscht. DER Endnutzer KANN die App jederzeit eigenständig von SEINEM Endgerät löschen. Eventuell vorhandene Offline-Buchungen werden dadurch auch gelöscht.

ES IST ZU BEACHTEN, dass die App DEN ENDNUTZER als mitarbeitende Person bei SEINEM Unternehmen nur befähigt, auf einem bei SEINEM Unternehmen bereits eingerichteten Account zuzugreifen, um SEINE Daten ortsunabhängig bearbeiten und ergänzen zu können.

Die vollständige Löschung EINES bereits eingerichteten Accounts DES ENDNUTZERS ist daher nur in der ATOSS Workforce Management Softwarelösung in Abstimmung mit SEINEM Unternehmen als Arbeitgeber möglich, da DER Arbeitgeber die alleinige Verantwortung für das User Account Management hat.

WEITERGABE AN DRITTE

Die personenbezogenen Daten werden grundsätzlich nicht an Dritte weitergegeben. Hiervon ausgenommen sind lediglich die von ATOSS beauftragte Unternehmen, die für die technische Abwicklung des Feedbacks oder Appfunktionen verantwortlich sind, und die mit ATOSS gemäß § 15 AktG verbundenen Unternehmen.

Gemäß dem Nutzungszweck der App erfolgt eine Weitergabe der Daten während aktiver Internetverbindung automatisch in die ATOSS Workforce Management Softwarelösung.

RECH­TE DER BE­TROF­FE­NEN

Im Hinblick auf die Verarbeitung von personenbezogenen Daten haben betroffene Endnutzer gegen ihr Unternehmen als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO die folgenden Rechte:

Auf Anforderung hat das Unternehmen einem Betroffenen entsprechend den gesetzlichen Bestimmungen mitzuteilen, ob und welche personenbezogenen Daten über den betroffenen Endnutzer gespeichert sind und ggf. zu welchem Zweck diese verarbeitet und/oder genutzt werden (Art. 15 DSGVO). Sollten trotzdem die gespeicherten Informationen nicht korrekt sein oder sollte der betroffene Endnutzer aus sonstigen Gründen eine Berichtigung (Art. 16 DSGVO) oder Löschung seiner personenbezogenen Daten (Art. 17 DSGVO) oder eine Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eine Herausgabe der ihn betreffenden personenbezogenen Daten (Art. 20 DSGVO) wünschen, hat er dies gegenüber seinem Unternehmen geltend zu machen. Zugleich kann er unter den gesetzlichen Bestimmungen auch einen Widerspruch gegen die Verarbeitung der personenbezogenen Daten einlegen (Art. 21 DSGVO).

Unbeschadet der vorgenannten Rechte können betroffene Endnutzer schließlich bei einer zuständigen Aufsichtsbehörde eine Beschwerde einreichen, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden personenbezogenen Informationen gegen die Regelungen der DSGVO verstößt (Art. 77 DSGVO).

ÄN­DE­RUN­GEN DIE­SER DA­TEN­SCHUTZ­ER­KLÄ­RUNG

ATOSS behält sich vor, diese Datenschutzerklärung von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung von Daten nachzupflegen. Die aktuelle Fassung der Datenschutzerklärung ist innerhalb der App abrufbar.