Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für diese Website und für das Kundenverhältnis ist:

MW Timeflow
Inhaber: Fabian Martens (Einzelunternehmen)
Daumstraße 182, 13599 Berlin
E-Mail: kontakt@mw-timeflow.de

MW Timeflow tritt gegenüber unterschiedlichen Personengruppen in zwei unterschiedlichen Rollen auf. Diese Unterscheidung ist für Ihre Rechte und unseren Pflichtenkreis entscheidend:

• Verantwortlicher (Art. 4 Nr. 7 DSGVO) sind wir für alle Daten, die wir im Rahmen des Besuchs dieser Website, der Vertragsabwicklung mit unseren Kunden (z. B. Registrierung, Abrechnung) sowie der direkten Kommunikation mit Ihnen verarbeiten.
• Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) sind wir für die personenbezogenen Daten, die unsere Kunden im Rahmen der Nutzung der Zeiterfassungs-Software in der Anwendung erfassen — insbesondere Daten ihrer Mitarbeiterinnen und Mitarbeiter. Verantwortlich für diese Daten ist der jeweilige Arbeitgeber.

Die Verarbeitung als Auftragsverarbeiter erfolgt ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

Beim Aufruf unserer Website werden vom Browser automatisch technische Informationen an unseren Server übermittelt und kurzzeitig in Logfiles gespeichert:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite (Pfad)
• Browsertyp und -version
• Betriebssystem
• Referrer-URL

Diese Daten sind technisch zur Auslieferung der Website erforderlich und dienen darüber hinaus der Aufrechterhaltung eines sicheren, störungsfreien Betriebs sowie der Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionierenden Webangebot).

Speicherdauer: maximal 30 Tage. Eine personenbezogene Auswertung erfolgt nicht; eine längere Speicherung erfolgt nur, wenn dies zur Aufklärung eines konkreten Sicherheitsvorfalls erforderlich ist.

Beim Abschluss eines Vertrags mit MW Timeflow legen wir für Ihre Organisation ein Kundenkonto an. In diesem Rahmen verarbeiten wir folgende Daten als Verantwortlicher:

• Name und Anschrift Ihrer Organisation
• Name, E-Mail-Adresse und Login-Daten der für das Konto verantwortlichen Person
• Vertragsdaten (Tarif, Anzahl aktiver Nutzer, Vertragslaufzeit)
• Rechnungsdaten (Abrechnungszeiträume, Belege)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen). Steuer- und handelsrechtlich relevante Belege werden zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 147 AO, 257 HGB aufbewahrt (siehe Abschnitt 12).

Im Rahmen der Nutzung unserer webbasierten Anwendung zur Zeiterfassung verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden (Art. 28 DSGVO). Verantwortlich für diese Daten ist der jeweilige Arbeitgeber, nicht MW Timeflow.

Verarbeitete Datenkategorien sind insbesondere:

• Personenstammdaten (z. B. Vor- und Nachname, Geburtsdatum)
• Kontaktdaten (z. B. E-Mail-Adresse)
• Beschäftigungsdaten (z. B. Vertragsart, Wochenstunden, Urlaubsanspruch, Abteilung)
• Authentifizierungsdaten (Passwörter werden ausschließlich als kryptografischer Hash mit bcrypt gespeichert, niemals im Klartext; das Gleiche gilt für PIN-Codes für die Terminal-Nutzung)
• Arbeitszeitdaten (Beginn, Ende, Pausen, Schichten)
• Abwesenheitsdaten (Urlaub, Krankmeldung, sonstige Abwesenheiten)

Inhaltliche Weisungsrechte und Betroffenenrechte für diese Daten richten Sie als betroffene Person bitte an Ihren Arbeitgeber. MW Timeflow ist insofern nur Auftragsverarbeiter und darf Ihre Daten ausschließlich nach dessen dokumentierten Weisungen verarbeiten.

Für die Abwicklung kostenpflichtiger Abonnements unserer Kunden setzen wir den Zahlungsdienstleister Stripe ein. Vertragspartner für die Zahlungsabwicklung im Europäischen Wirtschaftsraum ist:

Stripe Payments Europe, Limited
1 Grand Canal Street Lower, Grand Canal Dock
Dublin, Irland

Übermittelt werden insbesondere: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel-Daten (Kreditkarte, SEPA-Mandat) sowie Informationen zum Abonnement und der Anzahl aktiver Nutzer. Wir selbst speichern keine vollständigen Zahlungsmitteldaten; diese werden direkt von Ihrem Browser an Stripe übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insbesondere Buchhaltung).

Eine Übermittlung an Stripe, Inc. mit Sitz in den USA ist im Einzelfall nicht ausgeschlossen. Sie erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere des EU-US Data Privacy Framework (Angemessenheitsbeschluss 2023/1795 der EU-Kommission, in dessen Rahmen Stripe, Inc. zertifiziert ist) sowie ergänzender Standardvertragsklauseln.

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe: stripe.com/de/privacy

Für den Versand transaktionaler E-Mails — etwa Onboarding-Nachrichten, automatisch generierte Passwörter und Benachrichtigungen rund um das Abonnement — nutzen wir den Dienst Resend (Resend, Inc., USA).

Übertragen werden ausschließlich die zur Zustellung notwendigen Daten (E-Mail-Adresse, Name, Inhalt der Nachricht).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandübermittlungen erfolgen auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (Standardvertragsklauseln sowie EU-US Data Privacy Framework, sofern zertifiziert).

Die Anwendung und diese Website werden über das europäische Edge-Netzwerk von Vercel ausgeliefert. Anfragen aus Deutschland werden bevorzugt über das Rechenzentrum Frankfurt am Main bedient. Die persistente Datenspeicherung erfolgt in einer PostgreSQL-Datenbank, deren Inhalte ebenfalls in einem Rechenzentrum in Frankfurt am Main (Deutschland) gehalten werden.

Anbieter dieser Infrastruktur-Dienste sind Vercel, Inc. (USA) für das Hosting und Neon, Inc. (USA) für die Datenbank. Beide Anbieter sind als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden.

Soweit im Einzelfall Daten an die jeweiligen US-Muttergesellschaften übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (insbesondere EU-US Data Privacy Framework, Angemessenheitsbeschluss 2023/1795, sowie Standardvertragsklauseln).

Die nachfolgenden Dienstleister setzen wir als Unterauftragsverarbeiter ein. Eine geänderte oder neue Beauftragung wird unseren Kunden vorab mitgeteilt.

• Vercel, Inc. — Hosting und Auslieferung (EU-Edge, primär Frankfurt am Main)
• Neon, Inc. — verwaltete PostgreSQL-Datenbank (Rechenzentrum Frankfurt am Main)
• Stripe Payments Europe, Limited (Irland) / Stripe, Inc. (USA) — Zahlungsabwicklung kostenpflichtiger Abonnements
• Resend, Inc. — Versand transaktionaler E-Mails

Diese Website und die Anwendung verwenden ausschließlich technisch notwendige Cookies. Dazu zählen insbesondere ein Sitzungs-Cookie zur Authentifizierung, eine Einstellung zur Inaktivitäts-Abmeldung sowie — sofern Sie einen Bezahlvorgang starten — von Stripe gesetzte Cookies zur Betrugsprävention und zur Abwicklung des Checkout-Prozesses.

Ein Einwilligungs-Banner kommt nicht zum Einsatz, da keine nicht-notwendigen Cookies gesetzt werden.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Speicherung) sowie Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Wir verwenden bewusst keine Tracking-Pixel, Analyse- oder Werbe-Dienste Dritter (z. B. Google Analytics, Meta Pixel). Schriftarten werden zur Auslieferungszeit lokal eingebunden, sodass beim Aufruf keine Verbindung zu externen Schrift-Diensten (z. B. Google Fonts) entsteht.

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet weder auf dieser Website noch in der Anwendung statt.

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Dazu zählen insbesondere:

• Verschlüsselte Übertragung sämtlicher Verbindungen mittels TLS
• Passwörter und PIN-Codes ausschließlich als kryptografischer Hash (bcrypt), niemals im Klartext
• Rollen- und kontextbasierte Zugriffskontrolle innerhalb der Anwendung
• Vertraglich gebundene Auftragsverarbeiter mit eigenen, dokumentierten Schutzmaßnahmen

Personenbezogene Daten werden nur so lange aufbewahrt, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben.

• Server-Logfiles: max. 30 Tage (siehe Abschnitt 3)
• Kundenkonto- und Vertragsdaten: für die Dauer der Vertragsbeziehung
• Rechnungs- und buchhalterisch relevante Belege: 10 Jahre (§ 147 AO, § 257 HGB)
• Daten in der Anwendung (verarbeitet im Auftrag): nach Weisung des jeweiligen Arbeitgebers; nach Vertragsende gemäß den Vorgaben des Auftragsverarbeitungsvertrags
• E-Mail-Korrespondenz: bis zur Erledigung des jeweiligen Anliegens, ggf. länger zur Dokumentation

Ihnen stehen die folgenden Rechte zu:

• Auskunft über die Sie betreffenden gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine gesetzlichen Pflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen eine auf berechtigtem Interesse gestützte Verarbeitung (Art. 21 DSGVO)

Wenden Sie sich zur Ausübung Ihrer Rechte an die in Abschnitt 1 genannte Adresse oder formlos per E-Mail an kontakt@mw-timeflow.de.

Wichtiger Hinweis: Soweit Sie Beschäftigte eines Kunden von MW Timeflow sind und sich Ihr Anliegen auf Daten bezieht, die im Rahmen der Zeiterfassung verarbeitet werden, ist nicht MW Timeflow, sondern Ihr Arbeitgeber Verantwortlicher. Bitte wenden Sie sich in diesem Fall direkt an Ihren Arbeitgeber. Wir leiten Anfragen, die bei uns eingehen, unverzüglich weiter.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für MW Timeflow zuständig ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
mailbox@datenschutz-berlin.de

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Funktionen der Anwendung, eingesetzte Dienstleister oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: 30. Mai 2026.