Flowdas / Timera / Datenschutz

Datenschutz­erklärung Timera.

Datenschutzerklärung für die Timera Zeiterfassungsanwendung — App, Weboberfläche und NFC-Terminal. Stand: Mai 2026.

Stand: Mai 2026 · Timera App & Weboberfläche

1. Verantwortlicher und Auftragsverarbeiter

Die Timera-Anwendung wird betrieben von:

Mawaldi, Abdulrahman und Mhjazi, Moaz und Saranek, Eyad GbR
Geschäftsbezeichnung: Flowdas
Nora-Platiel-Straße 10, 110
34127 Kassel, Deutschland
E-Mail: support@flowdas.de
Telefon: +49 152 16217369

Timera ist Auftragsverarbeiter gemäß Art. 28 DSGVO. Der datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist dein Arbeitgeber — das Unternehmen, das Timera einsetzt. Anfragen zu deinen personenbezogenen Daten richtest du daher bitte zunächst an deinen Arbeitgeber.

2. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten in Timera erfolgt ausschließlich auf folgenden Rechtsgrundlagen:

RechtsgrundlageAnwendungsfall
Art. 6 Abs. 1 lit. b DSGVOVerarbeitung zur Durchführung des Beschäftigungsverhältnisses
Art. 6 Abs. 1 lit. c DSGVOErfüllung gesetzlicher Pflichten (Arbeitszeiterfassung gemäß § 3 ArbZG; BAG-Beschluss vom 13.09.2022, Az. 1 ABR 22/21)
Art. 6 Abs. 1 lit. f DSGVOBerechtigte Interessen (technische Sicherheit, Systemstabilität, Missbrauchsprävention)
§ 26 Abs. 1 BDSGBeschäftigtendatenschutz

Keine Einwilligung erforderlich: Da die Arbeitszeiterfassung eine gesetzliche Pflicht des Arbeitgebers darstellt, basiert die Verarbeitung nicht auf deiner Einwilligung.

3. Welche Daten werden verarbeitet?

3.1 Stamm- und Zugangsdaten

  • Vor- und Nachname
  • E-Mail-Adresse (für Login und Benachrichtigungen)
  • Passwort (gespeichert als bcrypt-Hash — das Klartext-Passwort ist für niemanden einsehbar)
  • Mitarbeiter-ID / interne Kennung
  • Zugewiesene Rolle (Mitarbeiter, Administrator)

3.2 Arbeitszeitdaten

  • Zeitstempel von Ein- und Ausstempelungen (Kommen/Gehen)
  • Pausenzeiten und -buchungen
  • Manuelle Korrekturen und deren Zeitstempel
  • Terminal-ID des verwendeten Stempelgeräts
  • Buchungsnotizen (sofern vom Nutzer eingegeben)
  • Projektzuordnungen (sofern vom Nutzer beim Stempeln ausgewählt)

3.3 Technische Zugriffsdaten

  • IP-Adresse (beim Login — wird unmittelbar als SHA-256-Hash mit systemseitigem Salt gespeichert; eine Rückrechnung zur Original-IP ist technisch ausgeschlossen)
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Datum und Uhrzeit der Anfragen
  • Session-Token (JWT — zeitlich auf 8 Stunden begrenzt, wird nicht dauerhaft gespeichert)

3.4 Gerätedaten (Terminal)

  • Gerätekennungen des NFC-Stempelterminals
  • Verbindungsstatus und technische Logs des Terminals

3.5 Abwesenheitsdaten und Nachweise

  • Urlaubsanträge, Krankmeldungen und sonstige Abwesenheitsanträge
  • Hochgeladene Attest-Dateien (PDF, JPG, PNG; max. 5 MB) — gespeichert auf dem Server-Dateisystem im geschützten Verzeichnis uploads/attests; kein öffentlicher Zugriff

3.6 Digitale Zeiterfassung (Homeoffice-Funktion)

Sofern vom Arbeitgeber für das jeweilige Unternehmen aktiviert (opt-in je Mandant), erfasst Timera aktive Sitzungszeiten am Bildschirm als zusätzliche Form der Zeiterfassung für Homeoffice-Mitarbeiter.

Rechtsgrundlage: § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO.

Erfasste Daten: Start- und Endzeit der aktiven Bildschirmsitzung, Gesamtdauer. Eine einzelne Sitzung wird systemseitig auf maximal 14 Stunden begrenzt. Es werden keine Bildschirminhalte, Screenshots oder Anwendungsdaten erfasst.

Hinweis für Arbeitgeber: Die Aktivierung dieser Funktion kann eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfordern.

4. Zwecke der Verarbeitung

  • Erfassung, Speicherung und Auswertung von Arbeitszeiten im Auftrag des Arbeitgebers
  • Authentifizierung und Zugangskontrolle zur Anwendung
  • Bereitstellung der Managementoberfläche für Administratoren
  • Technischer Betrieb, Fehlerdiagnose und Sicherstellung der Systemverfügbarkeit
  • Erstellung von Auswertungen und Berichten für den Arbeitgeber
  • Revisionssicheres Audit-Logging (GoBD-Konformität, Rz. 64)
  • Automatische monatliche PDF-Archivierung zur Einhaltung der GoBD

5. Speicherdauer und Löschfristen

DatenkategorieSpeicherdauer
Arbeitszeitdaten (Buchungen)Dauer des Beschäftigungsverhältnisses + gesetzliche Aufbewahrungsfristen (§ 16 Abs. 2 ArbZG: mind. 2 Jahre; § 257 HGB / § 147 AO: bis 10 Jahre)
Zugangsdaten (E-Mail, Passwort-Hash)Bis zur Deaktivierung des Nutzerkontos durch den Arbeitgeber
Login-Protokolle (IP-Hash, Zeitstempel)90 Tage, danach automatische Löschung
Audit-Logs (Datenänderungen)3 Jahre, danach automatische Löschung
Session-Token (JWT)Technisch auf 8 Stunden begrenzt, keine dauerhafte Speicherung
Attest-DateienBis zur Löschung durch Arbeitgeber oder Mitarbeiter; spätestens bei Vertragsende
GoBD-Monatsarchive (PDF + SHA-256-Hash)10 Jahre (§ 257 HGB)
Daten nach Vertragsende mit ArbeitgeberLöschung aller Daten innerhalb von 30 Tagen

6. Hosting und technische Infrastruktur

Die gesamte Infrastruktur der Timera-Anwendung wird ausschließlich bei folgendem Anbieter betrieben:

Hetzner Online GmbH
Industriestraße 25, 91710 Gunzenhausen, Deutschland

Die Verarbeitung erfolgt ausschließlich auf Servern in Deutschland (EU). Mit Hetzner wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen (AVV v1.2, Stand 16.02.2026).

Hinweis: Timera verwendet das AWS-kompatible SDK ausschließlich zur Kommunikation mit dem Hetzner Object Storage. Es besteht keine Verbindung zu Amazon Web Services.

7. Technisch-organisatorische Sicherheitsmaßnahmen (TOMs)

  • Verschlüsselung aller Datenübertragungen via TLS 1.2/1.3 mit HSTS
  • Passwort-Hashing via bcrypt (Kostenfaktor 10)
  • IP-Pseudonymisierung: Login-IPs als irreversibler SHA-256-Hash mit systemseitigem Salt
  • Zugriffssteuerung durch zeitlich begrenzte JSON Web Tokens (JWT, 8h)
  • PostgreSQL-Datenbank isoliert vom öffentlichen Internet
  • Schema-Isolierung: Jeder Mandant erhält ein eigenes, voneinander getrenntes Datenbankschema
  • Rollenbasiertes Zugriffskonzept (Mitarbeiter sehen nur eigene Daten)
  • Revisionssicheres Audit-Log über alle Datenänderungen (GoBD Rz. 64)
  • Automatisierte tägliche Backups mit getesteten Wiederherstellungsverfahren
  • Rate-Limiting gegen Brute-Force-Angriffe
  • HttpOnly/Secure/SameSite-Cookies
  • Automatische Anonymisierung bei Kontolöschung (Art. 17 DSGVO)

8. Unterauftragsverarbeiter

Personenbezogene Daten werden ausschließlich an folgenden Unterauftragsverarbeiter weitergegeben:

AnbieterZweckStandortAbsicherung
Hetzner Online GmbH, Industriestr. 25, 91710 GunzenhausenHosting (VPS) + Object Storage (GoBD-Archivierung)Deutschland (EU)AVV nach Art. 28 DSGVO (v1.2, 16.02.2026); Kundennr. K0390570026, unterzeichnet 24.05.2026

Keine weiteren Drittanbieter. Timera setzt keine externen Analytics-, Tracking-, Monitoring- oder E-Mail-Dienste ein.

Flowdas informiert den Auftraggeber spätestens 14 Tage vor Inkrafttreten über geplante Änderungen bei Unterauftragsverarbeitern.

9. Deine Rechte als betroffene Person

Du hast gegenüber dem datenschutzrechtlich Verantwortlichen (deinem Arbeitgeber) folgende Rechte:

RechtGrundlage
AuskunftsrechtArt. 15 DSGVO — Einsicht in gespeicherte Daten
BerichtigungsrechtArt. 16 DSGVO — Korrektur unrichtiger Daten
LöschungsrechtArt. 17 DSGVO — Löschung unter bestimmten Voraussetzungen
EinschränkungsrechtArt. 18 DSGVO — Einschränkung der Verarbeitung
DatenübertragbarkeitArt. 20 DSGVO — Export in maschinenlesbarem Format
WiderspruchsrechtArt. 21 DSGVO — gegen Verarbeitung auf Basis berechtigter Interessen

Anfragen richtest du zunächst an deinen Arbeitgeber als datenschutzrechtlich Verantwortlichen. Du kannst dich auch direkt an uns wenden: support@flowdas.de

Direkter Datenabruf in der App: Über „Mein Konto" → „Datenschutz" kannst du jederzeit einen Export deiner persönlichen Daten (Art. 15/20 DSGVO) anfordern oder einen Löschantrag stellen.

10. Beschwerderecht

Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO):

Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
E-Mail: poststelle@datenschutz.hessen.de
Website: datenschutz.hessen.de

11. Cookies und lokale Speicherung

Die Timera-Webanwendung setzt ausschließlich technisch notwendige Cookies und lokalen Browserspeicher ein:

  • Aufrechterhaltung der Anmeldesitzung (JWT-Token als HttpOnly-Cookie)
  • Speicherung von Benutzereinstellungen (z. B. Spracheinstellung, Theme)

Es werden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern gesetzt.

12. Automatisierte Entscheidungsfindung und Profiling

Timera nimmt keine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO vor. Die erhobenen Arbeitszeitdaten werden ausschließlich zur Zeiterfassung und Berichterstellung genutzt.

13. Dokumentation der Kenntnisnahme (Art. 7 DSGVO)

Deine Kenntnisnahme dieser Datenschutzerklärung beim ersten Login wird gespeichert:

  • Zeitstempel der Kenntnisnahme
  • Version der Datenschutzerklärung (aktuell: v1.0)
  • Pseudonymisierte IP-Adresse (SHA-256-Hash)

Diese Dokumentation dient dem Nachweis der ordnungsgemäßen Information gemäß Art. 13 DSGVO und ist im DSGVO-Datenexport (Art. 15 DSGVO) enthalten.

14. Besondere Hinweise zur Terminal-Nutzung

Beim Stempeln am physischen Timera-NFC-Terminal:

  • Das Terminal ist CE- und WEEE-zertifiziert
  • Die Authentifizierung erfolgt über zugeteilte NFC-Chipkarten oder PINs
  • Jede Buchung wird mit Zeitstempel, Terminal-ID und Benutzerkennung erfasst und verschlüsselt an den Server übertragen
  • Es werden keine biometrischen Daten verarbeitet
  • Keine lokale Datenspeicherung am Terminal

15. Änderungen dieser Datenschutzerklärung

Flowdas behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen — insbesondere bei Änderungen der gesetzlichen Anforderungen oder der technischen Infrastruktur. Bei wesentlichen Änderungen werden registrierte Nutzer per Hinweis beim nächsten Login informiert.