Ergänzende Datenschutzhinweise zur taptime-Anwendung
Stand: 15. Juli 2026 · arrowhacks GmbH & Co. KG, Julius-Hatry-Straße 1, 68163 Mannheim
1) Verantwortlicher und Kontakt
arrowhacks GmbH & Co. KG, Julius-Hatry-Str. 1, 68163 Mannheim, Deutschland, Tel.: +49 621 5869 8960, E-Mail:contact@arrowhacks.com. Weitere Angaben im Impressum. Beachten Sie jedoch die Rollenverteilung unter Ziff. 2.2 — für die Daten von Beschäftigten ist in aller Regelnicht arrowhacks der richtige Ansprechpartner.
2) Betrieb der taptime-Anwendung (Kundeninstanzen)
2.1 Unsere Kunden nutzen taptime unter einer eigenen Adresse (z. B.ihrbetrieb.taptime.cloud). Jeder Kunde erhält eine eigene, isolierte Instanz mit eigener Datenbank; Daten verschiedener Kunden werden nicht vermischt.
2.2 Rollenverteilung. Für die in einer Instanz verarbeiteten Daten der Beschäftigten — Arbeitszeiten, Abwesenheiten, Stammdaten — ist der jeweilige Arbeitgeber Verantwortlicher im Sinne der DSGVO. Wir verarbeiten diese Daten ausschließlich in seinem Auftrag und nach seiner Weisung als Auftragsverarbeitergemäß Art. 28 DSGVO; Grundlage ist der mit jedem Kunden geschlosseneAuftragsverarbeitungsvertrag.
Beschäftigte richten Anfragen zu ihren Daten (Auskunft, Berichtigung, Löschung) deshalb bitte an ihren Arbeitgeber. Erreicht uns eine solche Anfrage direkt, dürfen wir sie nicht selbst beantworten und leiten sie an den Verantwortlichen weiter.
2.3 Hosting. Anwendung und Datenbanken betreiben wir auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, in einem Rechenzentrum inNürnberg. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag. Eine Übermittlung in ein Drittland findet nicht statt.
2.4 Anmeldung und Single Sign-on. Zur Verwaltung der Anmeldung setzen wir die Open-Source-Software Keycloak ein, die wir selbst auf der vorgenannten Infrastruktur betreiben. Verarbeitet werden Anmeldedaten und Sitzungsinformationen. Nutzt ein Kunde die optionale Single-Sign-on-Anbindung an sein eigenes Microsoft-Konto, erfolgt die Anmeldung über den Identitätsanbieter des Kunden; dieser ist dafür selbst verantwortlich.
2.5 Datensicherung. Wir sichern die Datenbanken täglich. Die Sicherungen werden verschlüsselt in einem anderen Rechenzentrum (Falkenstein, Deutschland) abgelegt und nach 35 Tagengelöscht. Entschlüsseln lassen sie sich nur mit einem Schlüssel, der außerhalb der Systeme verwahrt wird.
2.6 Betriebs- und Sicherheitsprotokolle. Beim Betrieb fallen technische Protokolldaten an (u. a. IP-Adresse, Zeitpunkt, aufgerufene Adresse, Fehlerfälle). Sie dienen der Erkennung und Behebung von Störungen sowie der Abwehr von Angriffen. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
3) E-Mail-Versand
3.1 Für den Versand von E-Mails — etwa der Willkommensnachricht mit Einrichtungslink, der Benachrichtigungen über Urlaubs- und Korrekturanträge oder der Erinnerung an eine nicht beendete Zeiterfassung — nutzen wir Brevo der Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland. Die Verarbeitung findet in derEuropäischen Union statt. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag.
3.2 Verarbeitet werden die E-Mail-Adresse des Empfängers sowie Inhalt und Zustellstatus der Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrages) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Zustellung).
3.3 Sperrliste. Meldet uns der Dienst, dass eine Adresse dauerhaft nicht erreichbar ist oder sich ein Empfänger über eine Nachricht beschwert hat, speichern wir diese Adresse in einer Sperrliste und senden ihr keine weiteren E-Mails. Rechtsgrundlage ist unser berechtigtes Interesse daran, keine unerwünschten oder unzustellbaren Nachrichten zu versenden (Art. 6 Abs. 1 lit. f DSGVO).
3.4 Abmeldung. Die Erinnerung an eine nicht beendete Zeiterfassung ist nicht zwingend erforderlich. Sie können ihr jederzeit über den Abmeldelink in der E-Mail oder über die Einstellungen in Ihrem Profil widersprechen. Nachrichten, die zur Durchführung des Vertrages erforderlich sind — etwa der Einrichtungslink —, lassen sich nicht abbestellen.
4) Namensauflösung (DNS)
Für die Auflösung unserer Domainnamen nutzen wir den Dienst der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Dabei werden technische Anfragedaten der Namensauflösung verarbeitet. Inhalte der Anwendung werden nicht über Cloudflare ausgeliefertund laufen nicht über deren Systeme. Rechtsgrundlage ist unser berechtigtes Interesse an der Erreichbarkeit unserer Dienste (Art. 6 Abs. 1 lit. f DSGVO).
5) taptime-App (iOS und Android)
5.1 Die taptime-App ist ein optionaler Zugang zur Zeiterfassung für Beschäftigte eines Betriebs. Sie verarbeitet dieselben Daten wie die Instanz des Betriebs; auch hier bleibt der Arbeitgeber Verantwortlicher (siehe Ziff. 2.2).
- Kopplung ohne Anmeldedaten: Die App wird per QR-Code an genau ein Gerät gebunden. Der dabei erzeugte gerätespezifische Zugriffsschlüssel wird ausschließlich lokal im gesicherten Speicher des Geräts abgelegt (iOS Keychain bzw. Android Keystore). Passwörter werden nicht erfasst.
- Kamera: Der Zugriff auf die Kamera dient ausschließlich dem Scannen des Kopplungs-QR-Codes. Es werden keine Bilder gespeichert oder übertragen.
- Übertragene Daten: Zeitbuchungen sowie Urlaubs- und Korrekturanträge werden TLS-verschlüsselt an die Instanz des Betriebs übermittelt.
- Keine Standortdaten: Die App erhebt keine Standortdaten.
- Kein Tracking: Die App enthält keine Werbe-Kennungen, keine Analyse-Werkzeuge und keine Drittanbieter-Bausteine zur Auswertung des Nutzungsverhaltens. Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt.
- Demo-Modus: Der optionale Demo-Modus zeigt ausschließlich lokale Beispieldaten. Personenbezogene Daten werden dabei weder verarbeitet noch übertragen.
- Abmelden: Über „Gerät abmelden“ wird der lokale Zugriffsschlüssel gelöscht und die Kopplung aufgehoben. Das Benutzerkonto selbst verwaltet der Arbeitgeber.
6) Speicherdauer in der Anwendung
6.1 Die in einer Kundeninstanz verarbeiteten Daten speichern wir für die Dauer des Vertrages im Auftrag des Kunden. Nach Vertragsende stehen sie noch 60 Tage zum Export zur Verfügung (30 Kalendertage Übergangsfrist und anschließend 30 Kalendertage Abruffrist, Ziff. B.6.1 und B.9.1 des Annexes unserer AGB); danach werden Instanz und Datenbank vollständig gelöscht. Welche Daten in welchen Formaten exportierbar sind, steht unterDatenexport & Anbieterwechsel.
6.2 Sicherungskopien werden nach 35 Tagen gelöscht (Ziff. 2.5). Ein in der Anwendung gelöschter Datensatz kann daher für längstens diesen Zeitraum noch in einer Sicherung enthalten sein.
6.3 Gesetzliche Aufbewahrungspflichten bleiben unberührt. Für Arbeitszeitnachweise besteht etwa nach § 16 Abs. 2 ArbZG eine Aufbewahrungspflicht von zwei Jahren; hierfür ist der Arbeitgeber verantwortlich.
7) Ihre Rechte
Ihnen stehen die Rechte aus Art. 15–21 DSGVO zu (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sowie das Recht, eine Einwilligung zu widerrufen, und das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Die ausführliche Darstellung finden Sie in Ziff. 9 unsererDatenschutzerklärung.
Wichtig für Beschäftigte: Gegenüber uns bestehen diese Rechte nur, soweit wir selbst Verantwortlicher sind. Für die Daten in der Instanz Ihres Betriebs ist IhrArbeitgeber Ihr Ansprechpartner (siehe Ziff. 2.2).