Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Datenschutzbeauftragter

Bei Fragen zum Datenschutz können Sie sich an unseren Datenschutzbeauftragten wenden:

E-Mail: kontakt@cafe7rock.com

Über diese Datenschutzerklärung

Willkommen bei Stempelkarte App by cafe7rock. Wir verpflichten uns, Ihre Privatsphäre zu schützen und die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Diese Datenschutzerklärung erläutert, wie wir Ihre Informationen sammeln, verwenden, offenlegen und schützen, wenn Sie unsere mobile Anwendung und Webplattform (zusammen der "Dienst") nutzen.

Durch die Nutzung unseres Dienstes stimmen Sie der Erhebung und Nutzung von Informationen gemäß dieser Richtlinie zu.

2. Welche Informationen wir sammeln

2.1 Persönliche Informationen

Wir sammeln folgende Arten von persönlichen Informationen:

• Kontoinformationen: E-Mail-Adresse, Name, Passwort (verschlüsselt), Telefonnummer
• Organisationsinformationen: Firmenname, Filialdetails, Abonnement-Stufe
• Mitarbeiterdaten: Namen, Positionen, Stundenlöhne, Arbeitspläne, Schichtaufzeichnungen, PIN-Codes für Ein-/Ausstempeln
• Manager-Daten: E-Mail, Filialzuweisungen, Berechtigungen
• Zeiterfassungsdaten: Ein-/Ausstempelzeiten, Pausendauer, Arbeitsstunden
• Finanzdaten: Einnahmen, Ausgaben, Gehaltsabrechnungen, Rechnungen
• Reservierungsdaten: Veranstaltungsbuchungen, Kundeninformationen, Zahlungsstatus
• Nutzungsdaten: App-Nutzungsmuster, Feature-Interaktionen, Fehlerprotokolle

2.2 Automatisch erfasste Informationen

Bei der Nutzung unseres Dienstes erfassen wir automatisch:

• Geräteinformationen: Gerätetyp, Betriebssystem, eindeutige Gerätekennungen
• Protokolldaten: IP-Adresse, Browsertyp, Zugriffszeiten, aufgerufene Seiten
• Fehler- und Leistungsdaten: Absturzberichte, Leistungsmetriken (über Sentry)

3. Wie wir Ihre Informationen verwenden

Wir verwenden Ihre Informationen für folgende Zwecke:

3.1 Dienstleistungserbringung

• Bereitstellung und Wartung der Stempelkarte App by cafe7rock-Plattform
• Ermöglichung von Zeiterfassung, Schichtverwaltung und Gehaltsabrechnung
• Verwaltung des Betriebs mehrerer Filialen
• Erstellung von Berichten und Analysen für das Personalmanagement

3.2 Kontoverwaltung

• Erstellung und Verwaltung von Benutzerkonten
• Authentifizierung von Managern und Mitarbeitern
• Versand von Passwort-Zurücksetzungs-E-Mails und Kontobenachrichtigungen
• Bearbeitung von Kontolöschungsanfragen

3.3 Sicherheit und Betrugsprävention

• Erkennung und Verhinderung unbefugten Zugriffs
• Überwachung verdächtiger Aktivitäten
• Gewährleistung der Datenintegrität und Systemsicherheit

4. Rechtsgrundlage für die Verarbeitung (DSGVO-Konformität)

Für Nutzer im Europäischen Wirtschaftsraum (EWR) verarbeiten wir Ihre personenbezogenen Daten gemäß Art. 6 Abs. 1 DSGVO auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Bereitstellung des von Ihnen angeforderten Dienstes und Durchführung vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Verbesserung unseres Dienstes, Betrugsprävention, Sicherheitsgewährleistung, Analyse und Optimierung unserer Plattform
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Einhaltung geltender Gesetze (z.B. Steuer-, Arbeitsvorschriften, Aufbewahrungspflichten nach § 147 AO, § 257 HGB)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wenn Sie ausdrücklich bestimmten Verarbeitungsaktivitäten zugestimmt haben (z.B. Newsletter, optionale Funktionen)

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

5. Weitergabe von Daten

Wir verkaufen Ihre persönlichen Informationen nicht. Wir können Ihre Daten in folgenden Fällen weitergeben:

5.1 Dienstleister

Wir teilen Daten mit vertrauenswürdigen Drittanbietern:

• Supabase: Datenbank-Hosting und Authentifizierung (PostgreSQL mit Row Level Security)
• Resend: E-Mail-Versanddienst für Transaktions-E-Mails
• Sentry: Fehlerverfolgung und Leistungsüberwachung
• Vercel: Web-Hosting und Bereitstellung

Alle Dienstleister sind vertraglich verpflichtet, Ihre Daten zu schützen und nur für die von uns angegebenen Zwecke zu verwenden.

6. Datensicherheit

Wir implementieren branchenübliche Sicherheitsmaßnahmen zum Schutz Ihrer Informationen:

6.1 Technische Schutzmaßnahmen

• Verschlüsselung: Passwörter werden mit bcrypt gehasht; Daten während der Übertragung sind via HTTPS/TLS verschlüsselt
• Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC) beschränkt den Datenzugriff auf autorisierte Benutzer
• Multi-Tenant-Isolation: Organisationsdaten sind streng isoliert (jede Organisation kann nur auf ihre eigenen Daten zugreifen)
• Datenbanksicherheit: Supabase Row Level Security (RLS)-Richtlinien erzwingen Datenzugriffsregeln

Trotz unserer Bemühungen ist kein System zu 100% sicher. Wir können absolute Sicherheit nicht garantieren, arbeiten aber kontinuierlich am Schutz Ihrer Daten.

7. Datenspeicherung

Wir speichern Ihre personenbezogenen Daten so lange, wie es zur Erfüllung der in dieser Datenschutzerklärung genannten Zwecke erforderlich ist:

7.1 Aufbewahrungsfristen

• Aktive Konten: Daten werden gespeichert, solange Ihr Konto aktiv ist
• Testkonten & Gekündigte Verträge: Alle Mitarbeiter- und Organisationsdaten werden 80 Kalendertage nach Testende oder Vertragsbeendigung vollständig gelöscht
• Server-Protokolle: Werden maximal 7 Tage aufbewahrt
• Buchhaltungsunterlagen: 6-10 Jahre gemäß deutscher Steuergesetzgebung (§ 147 AO, § 257 HGB)
• Gehaltsabrechnungen: 7 Jahre oder gemäß lokalen Arbeitsgesetzen
• Gelöschte Konten: Persönliche Daten werden innerhalb von 30 Tagen nach Kontolöschungsanfrage gelöscht (außer Daten, die für rechtliche Compliance erforderlich sind)

7.2 Speicherorte

Ihre Daten werden auf folgenden Servern gespeichert:

• Hauptdatenbank: Supabase (AWS, EU-Central-1 Region, Frankfurt, Deutschland)
• Webanwendung: Vercel (Globales CDN)
• E-Mail-Service: Resend (EU-Server)
• Fehlerverfolgung: Sentry (US-Server)

8. Ihre Datenschutzrechte

Je nach Ihrem Standort haben Sie möglicherweise folgende Rechte:

8.1 DSGVO-Rechte (EWR/UK-Nutzer)

• Auskunftsrecht: Anfordern einer Kopie Ihrer personenbezogenen Daten
• Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten
• Recht auf Löschung: Löschung Ihrer Daten beantragen ("Recht auf Vergessenwerden")
• Recht auf Einschränkung der Verarbeitung: Einschränkung der Nutzung Ihrer Daten
• Recht auf Datenübertragbarkeit: Erhalten Ihrer Daten in einem maschinenlesbaren Format
• Widerspruchsrecht: Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen
• Recht auf Widerruf der Einwilligung: Einwilligung jederzeit widerrufen (wenn Verarbeitung auf Einwilligung basiert)

8.2 So üben Sie Ihre Rechte aus

Um Ihre Datenschutzrechte auszuüben, kontaktieren Sie uns bitte unter:

• E-Mail: kontakt@cafe7rock.com
• In-App: Nutzen Sie die Funktion "Konto löschen" in den Einstellungen (Manager-App)

Wir werden auf Ihre Anfrage innerhalb von 30 Tagen antworten.

8.3 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die zuständige Aufsichtsbehörde in Deutschland ist:

Je nach Bundesland kann auch die jeweilige Landesdatenschutzbehörde zuständig sein.

9. Kontolöschung anfordern

Sie können die Löschung Ihres Kontos jederzeit über den Einstellungsbildschirm in der Stempelkarte App by cafe7rock-App anfordern:

1. Navigieren Sie zu Einstellungen → Konto & Daten
2. Klicken Sie auf "Löschung anfordern"
3. Bestätigen Sie Ihre Anfrage im Dialog

Was passiert nach der Löschungsanfrage:

• Sofort: Sie erhalten eine Bestätigungs-E-Mail an Ihre registrierte Adresse
• 30-Tage-Frist: Ihr Konto bleibt während dieser Zeit aktiv und Sie können die Löschung stornieren
• Nach 30 Tagen: Alle Ihre persönlichen Daten (Name, E-Mail, Passwort) werden dauerhaft gelöscht
• Zugehörige Daten: Schichtaufzeichnungen, Zeitpläne und Gehaltsabrechnungsdaten werden ebenfalls entfernt
• Stornierung: Sie können die Löschung jederzeit vor Ablauf der 30 Tage unter kontakt@cafe7rock.com stornieren

Alternative Kontaktmöglichkeiten:

Sie können die Kontolöschung auch per E-Mail an kontakt@cafe7rock.com anfordern.

Hinweis: Nach Ablauf der 30-Tage-Frist ist die Kontolöschung unwiderruflich. Wir können gelöschte Daten nicht wiederherstellen.

10. Datenschutz von Kindern

Unser Dienst ist nicht für Nutzer unter 16 Jahren bestimmt. Wir sammeln wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte unter kontakt@cafe7rock.com, und wir werden die Daten umgehend löschen.

11. Internationale Datenübertragungen

Ihre Daten werden auf folgenden Servern verarbeitet:

• Europäische Union: Supabase (Datenbank-Hosting in AWS EU-Central-1, Frankfurt, Deutschland), Resend (E-Mail-Service)
• Vereinigte Staaten: Vercel (Web-Hosting), Sentry (Fehlerverfolgung)

Primärdatenspeicherung: Ihre Hauptdaten (Mitarbeiterinformationen, Arbeitszeiten, Gehaltsabrechnungen) werden ausschließlich in der Europäischen Union gespeichert (AWS Frankfurt, Deutschland).

Für Dienste außerhalb der EU (Vercel, Sentry) stellen wir sicher, dass solche Übertragungen den geltenden Datenschutzgesetzen entsprechen, indem wir Standardvertragsklauseln (SCCs) verwenden, die von der Europäischen Kommission genehmigt wurden.

12. Cookies und Tracking-Technologien

Wir verwenden folgende Cookies:

• Sitzungscookies: Speichern des Authentifizierungsstatus (Benutzeranmeldesitzungen)
• Präferenzcookies: Merken von Benutzereinstellungen (Sprache, Filialauswahl)

Wir verwenden keine Cookies für Werbung oder Tracking durch Dritte.

SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

13. Änderungen an dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Änderungen werden auf dieser Seite mit einem aktualisierten "Zuletzt aktualisiert"-Datum veröffentlicht.

Bei wesentlichen Änderungen benachrichtigen wir Sie per:

• E-Mail-Benachrichtigung
• In-App-Benachrichtigung
• Deutlicher Hinweis auf unserer Website

Ihre fortgesetzte Nutzung des Dienstes nach Änderungen gilt als Zustimmung zur aktualisierten Richtlinie.

14. Kontakt

Wenn Sie Fragen, Bedenken oder Anfragen zu dieser Datenschutzerklärung haben, kontaktieren Sie uns bitte: