Zum Hauptinhalt springen
SVDY Logo

Datenschutzerklärung

Wie svdy personenbezogene Daten erhebt, verwendet, weitergibt und schützt — verfasst nach dem Offenlegungsstandard von Art. 13/14 DSGVO und in Einklang mit CCPA/CPRA. Klare Sprache, konkrete Verpflichtungen und Verweise auf die zugrundeliegenden Mechanismen.

Zuletzt aktualisiert:24. Mai 2026

1. Was wir erheben

Wir erheben drei Kategorien personenbezogener Daten:

• Von Ihnen bereitgestellte Kontodaten: Name, geschäftliche E-Mail-Adresse, Organisationsname, Rolle, Telefon (optional), Rechnungsempfänger. Werden von Ihnen oder dem Administrator Ihrer Organisation bei der Registrierung bereitgestellt.

• Im Betrieb erzeugte operative Daten: Zeitbuchungen (Kommen/Gehen-Zeitstempel + GPS-Koordinaten bei aktivem Geofencing), Schichten, Urlaubsanträge, Prozessformular-Einreichungen, In-App-Nachrichten, Audit-Logs administrativer Aktionen.

• Technische Telemetrie: IP-Adresse, Browser-/Geräte-Typ, Sitzungs-Zeitstempel, Fehler-Stacktraces (Sampling). Ausschließlich für Sicherheitsüberwachung und Produktstabilität — niemals für Werbezwecke.

Wir kaufen keine personenbezogenen Daten von Datenbrokern, betreiben keine Analytics-SDKs, die Daten an Drittanbieter-Werbenetzwerke weitergeben, und verkaufen keine personenbezogenen Daten im Sinne von CCPA §1798.140(t).

2. Wie wir Ihre Daten verwenden

Wir verarbeiten personenbezogene Daten ausschließlich zu folgenden Zwecken:

• Leistungserbringung — Betrieb der von Ihrer Organisation gebuchten Anwesenheits-, Schicht- und Workflow-Funktionen. Vertragliche Grundlage gemäß Art. 6 Abs. 1 lit. b DSGVO.

• Produktverbesserung — aggregierte, anonymisierte Nutzungsstatistiken zur Identifikation von Performance-Engpässen und Funktionswünschen. Eine Re-Identifikation auf einzelne Mitarbeitende ist nicht möglich. Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

• Sicherheit & Betrugsprävention — Erkennung unbefugter Zugriffe, Missbrauchsmuster und Plattformangriffe. Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, gegenüber Ihrer Privatsphäre durch Datenminimierung und kurze Aufbewahrung abgewogen.

• Rechtliche Compliance — Beantwortung von Vorladungen, Gerichtsbeschlüssen und rechtmäßigen behördlichen Anfragen. Art. 6 Abs. 1 lit. c DSGVO.

• Kommunikation — Service-Mitteilungen (immer), Trial-Onboarding (nur während des Trials), Produktupdates (per Benachrichtigungseinstellungen abbestellbar).

Wir verwenden Ihre Daten NICHT zum Training großer Sprachmodelle, geben sie nicht an Werbenetzwerke weiter und reichern Ihre Mitarbeitendendaten nicht mit externen Quellen an.

3. Wie wir Ihre Daten schützen

Heute aktive konkrete Sicherheitsmaßnahmen:

• Verschlüsselung im Ruhezustand: AES-256 für alle gespeicherten Kundendaten (RDS / S3 / EBS).

• Verschlüsselung bei der Übertragung: TLS 1.2+ an jedem kundenseitigen Endpoint und bei jedem internen Service-zu-Service-Hop.

• Zugriffskontrolle: rollenbasierte Zugriffskontrolle auf Anwendungsebene; AWS IAM mit dem Prinzip der geringsten Rechte auf Infrastrukturebene; Multi-Faktor-Authentifizierung obligatorisch für alle administrativen Mitarbeiterzugriffe.

• Audit-Logs: jede administrative Aktion mit Akteur, Zeitstempel und Ziel protokolliert. Aufbewahrung 7 Tage (Free) / 1 Jahr (Starter+) / 3 Jahre (Pro+).

• Netzwerk: AWS Multi-AZ-Deployment in us-east-1; keine öffentlichen Datenbank-Endpoints; Security-Group-Ingress auf Load Balancer beschränkt.

• Secrets: Produktionsanmeldedaten im AWS Secrets Manager; niemals in Umgebungsvariablen oder Quellcode.

Die aktuelle Sicherheitsarchitektur und SOC-2-Zeitleiste finden Sie unter /trust und /trust/soc2.

4. Ihre Rechte

Unabhängig von Ihrem Wohnsitz haben Sie folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht — eine Kopie der über Sie gespeicherten Daten erhalten. Export in den Kontoeinstellungen verfügbar; auf direkte Anfragen antworten wir innerhalb von 30 Tagen.

• Recht auf Berichtigung — unrichtige personenbezogene Daten korrigieren. Self-Service in den Kontoeinstellungen oder per E-Mail an uns.

• Recht auf Löschung („Recht auf Vergessenwerden") — Löschung Ihrer Daten, sofern keine berechtigten geschäftlichen Gründe für die Aufbewahrung bestehen. Hinweis: Ihr Arbeitgeber (der Verantwortliche) muss möglicherweise Anwesenheitsdaten zur arbeitsrechtlichen Compliance aufbewahren; wir folgen als Auftragsverarbeiter dessen Weisungen.

• Recht auf Einschränkung der Verarbeitung — die Nutzung Ihrer Daten während eines Streits aussetzen.

• Recht auf Datenübertragbarkeit — Ihre Daten in maschinenlesbarem Format erhalten (CSV / JSON).

• Widerspruchsrecht — Widerspruch gegen die Verarbeitung auf Grundlage berechtigten Interesses, etwa Verbesserungsanalysen.

• Recht auf Widerruf der Einwilligung — für die biometrische Gesichtserkennung beim Stempeln (Art. 9 Abs. 2 lit. a DSGVO) und alle anderen einwilligungsbasierten Verarbeitungen.

• Beschwerderecht — bei der zuständigen Datenschutzaufsicht. EU-Bürger: nationale DPA. UK-Bürger: ICO. Kalifornien: California Privacy Protection Agency.

Zur Ausübung dieser Rechte schreiben Sie an legal@svdy.com. Wir antworten innerhalb von 5 Werktagen; vollständige Bearbeitung gemäß Art. 12 Abs. 3 DSGVO innerhalb von 30 Tagen.

5. Cookies und ähnliche Technologien

Wir verwenden ein minimales Set an Cookies. Wir verwenden KEINE Drittanbieter-Werbecookies, Pixel-Tracker oder Fingerprinting.

• Unbedingt erforderliche Cookies (kein Opt-out, keine Tracking-Zwecke): Sitzungs-ID zur Authentifizierung, CSRF-Token zur Sicherheit.

• Funktionale Cookies (im Browser deaktivierbar): Sprachpräferenz, Dashboard-Layout-Einstellungen.

• Analytische Cookies: KEINE auf den kundenseitigen Tenant-Subdomains (qutime.com / pureoa.com). svdy.com (diese Marketing-Site) betreibt derzeit kein Analytics-SDK. Künftige Analysen werden cookie-frei (nur serverseitige Aggregation) gemäß unserer Verpflichtung gegen Drittanbieter-Adtech.

Cookies sind ausschließlich erstparteilich (svdy.com / qutime.com / pureoa.com / id.svdy.com). Wir betten keine Drittanbieter-iframes ein, die Tracking-Cookies laden.

6. Kontakt, Verletzungsmeldung und Aktualisierungen

Datenschutzkontakt: legal@svdy.com — während US-Geschäftszeiten besetzt, allgemeine Anfragen innerhalb von 5 Werktagen, dringende Fälle (Betreff enthält „urgent" oder „breach") innerhalb von 24 Stunden.

Verletzungsmeldung: Bei einem Sicherheitsvorfall, der Ihre personenbezogenen Daten betrifft, informieren wir den von Ihrer Organisation benannten DPO-Kontakt innerhalb von 72 Stunden nach Kenntniserlangung (Art. 33 Abs. 1 DSGVO) mit Umfang, vermuteter Ursache, Abhilfemaßnahmen und ggf. erforderlichen Aktionen Ihrerseits.

Unterauftragsverarbeiter: Wir teilen Daten nur mit den unter /trust/sub-processors aufgeführten Drittanbieterdiensten (AWS, Stripe, Amazon SES, Expo, Cloudflare DNS). Jeder arbeitet unter einem dort referenzierten DPA. Hinzufügen oder Entfernen eines Unterauftragsverarbeiters kündigen wir Kunden 30 Tage im Voraus an.

Internationale Übermittlungen: Kundendaten werden in AWS us-east-1 (USA) gespeichert. EU → US-Übermittlungen sind durch die EU-Standardvertragsklauseln (SCCs, Version 2021) abgedeckt, die in unserem DPA unter /trust/dpa enthalten sind. UK-Übermittlungen ergänzen das UK-Addendum zu den SCCs.

Änderungen dieser Richtlinie: Wesentliche Änderungen veröffentlichen wir 30 Tage vor Inkrafttreten mit einem Changelog am Anfang. Das Datum der letzten Aktualisierung steht oben. Die aktuelle Fassung lebt unter svdy.com/privacy.

Fragen zur Datenverarbeitung oder Geltendmachung von DSGVO/CCPA-Rechten (Auskunft, Löschung, Datenübertragbarkeit)? Schreiben Sie an legal@svdy.com — wir antworten innerhalb von 5 Werktagen.