Datenschutz & Datensicherheit bei Delta
Der Schutz Ihrer personenbezogenen Daten ist der Kern unserer Philosophie. Delta wurde nach dem Prinzip „Privacy by Design" entwickelt, um höchste Sicherheit mit minimaler Datenspeicherung zu vereinen.
1. Hosting & Infrastruktur (Sovereignty)
Sämtliche Daten werden in einer hochsicheren Datenbank-Infrastruktur bei Supabase gespeichert.
- Serverstandort: Europäische Union (EU).
- Sicherheit: Alle Datenverbindungen sind SSL/TLS verschlüsselt. Die Datenbank selbst ist durch modernste Firewalls und Zugriffskontrollen geschützt.
2. Art der verarbeiteten Daten
Wir erfassen ausschließlich Daten, die zur Erfüllung der gesetzlichen Zeiterfassungspflicht und der betrieblichen Prozesse (Urlaub/Krankheit) zwingend erforderlich sind:
- Identitätsdaten: Name, interne HR-ID, Wochenarbeitszeit sowie gerätebezogene Public Keys zur Verifizierung der digitalen Signatur.
- Zeiterfassungsdaten: Start- und Endzeitpunkte, Pausenzeiten, berechnete Arbeitsstunden sowie der Typ der Erfassung (Manuell, Urlaub, Krankheit).
- Digitale Nachweise: Jeder Datensatz enthält eine kryptografische Signatur (RS256) in Form eines JWT (JSON Web Token) sowie den entsprechenden Hash-Wert (Bytea-Signatur), um die Unveränderbarkeit zu garantieren.
- Abwesenheitsmanagement: Start- und Enddaten von Urlaubsanträgen und Krankmeldungen inklusive Status (z. B. „Arbeitsunfähigkeitsbescheinigung vorliegend") und Genehmigungshistorie.
3. Besonderer Schutz biometrischer Daten
Delta geht bei der Biometrie einen datenschutzrechtlich vorbildlichen Weg:
- Keine zentrale Speicherung: Ihre biometrischen Merkmale (FaceID/Fingerabdruck) werden niemals auf unsere Server übertragen oder in der Supabase-Datenbank gespeichert.
- Lokale Authentifizierung: Die Verifizierung findet ausschließlich lokal auf dem gesicherten Element Ihres Endgeräts statt. Delta erhält lediglich die Information, dass die Identität durch das System bestätigt wurde, um den Signaturvorgang mit Ihrem lokalen Private Key freizugeben.
4. Datenintegrität & Revisionssicherheit
Durch die Verknüpfung von Zeitstempeln mit kryptografischen Signaturen direkt in der Zeiterfassungstabelle stellen wir sicher, dass:
- Daten nachträglich nicht unbemerkt manipuliert werden können (
invalidated_at-Feld zur Dokumentation von Korrekturen). - Alle Vorgänge für Prüfungen durch den Zoll oder Betriebsprüfer transparent und verifizierbar vorliegen.
5. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft, Berichtigung oder Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. gemäß Arbeitszeitgesetz oder GoBD) entgegenstehen.
Technischer Hinweis für HR-Abteilungen (AVV)
Wir stellen für unsere Kunden einen fertigen Auftragsverarbeitungsvertrag (AVV) bereit, der die Nutzung von Supabase innerhalb der EU und die technischen organisatorischen Maßnahmen (TOMs) detailliert beschreibt.
Checkliste für den Betriebsrat
Einführung der Zeiterfassung „Delta" — Ziel: Transparente, rechtssichere Zeiterfassung bei maximalem Schutz der Persönlichkeitsrechte.
1. Datenschutz & Biometrie
Keine zentrale Biometrie: Werden Fingerabdrücke oder Gesichts-Scans auf dem Server gespeichert?
Antwort Delta: Nein. Die Biometrie verbleibt im „Secure Element" des privaten oder dienstlichen Smartphones. Delta greift nur auf das Ergebnis der lokalen Prüfung zu.
Datensparsamkeit: Werden nur erforderliche Daten erhoben?
Antwort Delta: Es werden nur gesetzlich vorgeschriebene Arbeitszeiten sowie für die Lohnabrechnung relevante Abwesenheiten (Urlaub/Krankheit) erfasst.
2. Schutz vor Manipulation & Überwachung
Revisionssicherheit: Kann der Arbeitgeber Zeiten nachträglich unbemerkt kürzen?
Antwort Delta: Nein. Durch die kryptografische Versiegelung (RS256) würde jede nachträgliche Änderung die digitale Signatur zerstören. Das schützt den Arbeitnehmer vor unberechtigten Korrekturen.
Transparenz: Hat der Mitarbeiter Einsicht?
Antwort Delta: Jeder Mitarbeiter kann seine eigenen signierten Datensätze jederzeit in der App einsehen.
3. Arbeitsrechtliche Compliance
Schutz vor Selbstausbeutung: Hilft das System, Ruhezeiten einzuhalten?
Antwort Delta: Das System dokumentiert Pausen und Ruhezeiten präzise gemäß ArbZG und warnt bei Überschreitung der Höchstarbeitszeit.
Beweiskraft: Sind die Daten bei Streitfällen belastbar?
Antwort Delta: Ja, durch die Signaturkette bietet Delta eine objektive Beweisgrundlage, die den Mitarbeiter vor willkürlichen Behauptungen schützt.
4. Freiwilligkeit & Alternativen
Nutzung privater Geräte: Wird die Nutzung privater Smartphones (BYOD) erzwungen?
Empfehlung: Wir empfehlen die Bereitstellung von Dienstgeräten oder die Vereinbarung einer freiwilligen Nutzung mit Aufwandsentschädigung.
Verantwortlicher: CYTE Technologies AG, Spinnereistr. 7 Halle 14, 04179 Leipzig, Deutschland.
Bei Fragen zum Datenschutz: contact@delta-app.de