Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website sowie die unter HRSaas.de bereitgestellten Dienste nutzen.

2. Verantwortlicher

Sanitätshaus Ulmer GmbH
Jahnstraße 2-1
71088 Holzgerlingen
Deutschland
E-Mail: info@sanhaus.de

3. Hosting

Unsere Anwendung wird auf einem dedizierten Server innerhalb der Europäischen Union betrieben. Hosting-Anbieter ist IONOS SE.

Zusätzlich werden Backups der Daten auf Systemen des Hosting-Anbieters gespeichert, um die Wiederherstellbarkeit im Fehlerfall sicherzustellen.

Die Verarbeitung erfolgt auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4. Server-Log-Dateien

Der Server erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien. Dies umfasst insbesondere:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

5. Cookies

Unsere Plattform verwendet ausschließlich technisch notwendige Session-Cookies. Diese Cookies sind erforderlich, um die Funktionalität der Anwendung bereitzustellen, insbesondere die Anmeldung und Sitzungsverwaltung.

Eine Auswertung zu Analyse- oder Marketingzwecken findet derzeit nicht statt. Sollte künftig der Einsatz von Analyse- oder Marketingdiensten erfolgen, wird diese Datenschutzerklärung entsprechend angepasst und, soweit erforderlich, eine Einwilligung eingeholt.

6. Nutzung des SaaS-Angebots (HR-Software)

Im Rahmen unseres HR-Management-Systems verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden. Verantwortlicher im Sinne der DSGVO ist insoweit das jeweilige Kundenunternehmen.

Die Verarbeitung erfolgt ausschließlich im Rahmen eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Je nach genutztem Modul können insbesondere folgende Daten verarbeitet werden:

  • Stammdaten von Mitarbeitenden
  • Kontakt- und Adressdaten
  • Beschäftigungs- und Vertragsdaten
  • Onboarding-Daten
  • Zeiterfassungsdaten
  • Abwesenheits- und Urlaubsdaten
  • Payroll-, Steuer- und Sozialversicherungsdaten
  • Benutzer- und Zugriffsrechte
  • Protokoll- und Nutzungsdaten innerhalb des jeweiligen Mandanten
7. Übermittlung an Behörden und externe Verfahren

Im Rahmen der Payroll- und Personalverwaltungsfunktionen können personenbezogene Daten an öffentliche Stellen übermittelt werden, soweit dies gesetzlich erforderlich ist.

Dies betrifft insbesondere die Übermittlung von Steuer- und Sozialversicherungsdaten über standardisierte Verfahren wie ELSTER (ERIC) sowie das Meldeverfahren der Sozialversicherung dakota.

Die Übermittlung erfolgt ausschließlich auf Grundlage gesetzlicher Verpflichtungen gemäß Art. 6 Abs. 1 lit. c DSGVO sowie unter Beachtung der einschlägigen steuer-, handels- und sozialversicherungsrechtlichen Vorschriften.

8. Authentifizierung und Zugriff

Der Zugriff auf die Plattform erfolgt über ein Login-System sowie optional über externe Single-Sign-On-Verfahren (SSO). Unterstützt werden insbesondere Lösungen wie Keycloak, Shibboleth und Microsoft Entra ID.

Bei Nutzung von SSO werden zur Authentifizierung erforderliche Daten zwischen dem jeweiligen Identitätsanbieter und unserer Plattform ausgetauscht. Verantwortlich für die Datenverarbeitung im Rahmen des SSO ist der jeweilige Anbieter bzw. das einsetzende Kundenunternehmen.

Der Zugriff auf Daten innerhalb der Anwendung erfolgt auf Basis eines rollenbasierten Berechtigungskonzepts und ist auf den jeweiligen Mandanten beschränkt.

9. Protokollierung und Systemüberwachung

Zur Gewährleistung des sicheren und stabilen Betriebs werden innerhalb der Anwendung Protokolldaten erfasst. Diese können auch personenbezogene Daten enthalten, zum Beispiel Benutzerkennungen, Zeitpunkte von Zugriffen oder durchgeführte Aktionen.

Die Auswertung erfolgt ausschließlich mandantenbezogen und dient der Fehleranalyse, Systemsicherheit sowie der Nachvollziehbarkeit von Vorgängen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

10. Technische und organisatorische Maßnahmen

Zum Schutz personenbezogener Daten setzen wir angemessene technische und organisatorische Maßnahmen ein:

  • verschlüsselte Datenübertragung (TLS/HTTPS)
  • Verschlüsselung gespeicherter Daten, soweit technisch umgesetzt
  • rollenbasierte Zugriffskontrolle
  • Mandantentrennung innerhalb der Anwendung
  • Protokollierung sicherheitsrelevanter Ereignisse
  • regelmäßige Datensicherungen (Backups)
  • Überwachung der Systemverfügbarkeit
11. Support und Kommunikation

Wenn Sie uns per E-Mail oder über Supportkanäle kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet.

Supportanfragen sowie sämtliche Anfragen im Zusammenhang mit dem unter HRSaas.de bereitgestellten Softwareangebot werden ausschließlich durch die interne Abteilung Anwendungsentwicklung der Sanitätshaus Ulmer GmbH bearbeitet.

12. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist.

Im Rahmen der Nutzung des HR-Management-Systems gelten insbesondere folgende gesetzliche Aufbewahrungsfristen:

  • Steuer- und abrechnungsrelevante Daten: bis zu 10 Jahre gemäß § 147 AO und § 257 HGB
  • Sozialversicherungsrelevante Daten: in der Regel bis zu 5 Jahre gemäß § 28f SGB IV
  • Geschäfts- und Kommunikationsdaten: bis zu 6 Jahre gemäß handels- und steuerrechtlichen Vorschriften

Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert, sofern keine weiteren gesetzlichen Aufbewahrungspflichten bestehen. Die konkrete Löschung erfolgt mandantenbezogen und unter Berücksichtigung vertraglicher Vereinbarungen mit dem jeweiligen Kunden.

13. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.