Beta-Umgebung – Noch in Entwicklung Infos zum Beta-Test
EmuTime
Zurück zur Startseite

Datenschutzerklärung

Datenschutzerklärung

Wir freuen uns über Ihr Interesse an EmuTime. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Sie können unsere Webseite grundsätzlich nutzen, ohne personenbezogene Daten preiszugeben. Soweit auf unseren Seiten speziellere Dienste in Anspruch genommen werden, kann eine Verarbeitung personenbezogener Daten erforderlich sein. Ist dies der Fall und besteht keine gesetzliche Grundlage, holen wir Ihre Einwilligung ein (z. B. über einen Cookie-Banner).

Wir halten uns beim Umgang mit Ihren personenbezogenen Daten stets an die geltenden Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DS-GVO). Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir verarbeiten, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen als betroffene Person zustehen.

EmuTime ist ein SaaS-Zeiterfassungstool, das ausschließlich für gewerbliche Nutzer (B2B) bereitgestellt wird. Jedes Unternehmen (Tenant) erhält eine eigene Subdomain (z. B. acme.emutime.app). Die Verarbeitung personenbezogener Daten findet mandantenspezifisch isoliert statt.

1. Definitionen

In dieser Datenschutzerklärung verwenden wir Begriffe aus der DS-GVO. Zur besseren Lesbarkeit erläutern wir die wesentlichen Begriffe vorab:

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).
  • Betroffene Person: Jede natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Verwenden, Übermitteln, Löschen etc.).
  • Verantwortlicher: Die natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet.
  • Auftragsverarbeiter: Eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Einwilligung: Freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person.
  • Profiling: Automatisierte Verarbeitung zur Bewertung persönlicher Aspekte einer natürlichen Person.

2. Verantwortlicher

Verantwortlicher im Sinne der DS-GVO ist:

  • GreenEmu (Einzelunternehmen)
  • Inhaber: Björn Bühler
  • Stöckmattenstraße 43, D-79541 Lörrach-Haagen
  • Telefon: +49 (0) 176 830 766 22
  • Fax: +49 (0) 7621 510 71 95
  • E-Mail: buehler@greenemu.de
  • Website: https://emutime.app
  • Umsatzsteuer-ID: DE 234 649 888

Kein bestellter Datenschutzbeauftragter (Einzelunternehmen, nicht verpflichtet).

3. Server-Logfiles

Bei jedem Aufruf von emutime.app und aller zugehörigen Subdomains (z. B. *.emutime.app) erfasst unser Webserver (Nginx) automatisch Informationen, die Ihr Browser übermittelt. Dies umfasst:

  • IP-Adresse des zugreifenden Systems
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Browsertyp und -version (User-Agent)
  • Referrer-URL (falls vorhanden)

Diese Daten werden ausschließlich zur Gewährleistung des sicheren und stabilen Betriebs unserer Systeme sowie zur Abwehr von Angriffen genutzt. Eine Zusammenführung mit anderen Datenbeständen oder eine individuelle Auswertung findet nicht statt. Die Logfiles werden nach spätestens 7 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse an der IT-Sicherheit und dem stabilen Betrieb unserer Systeme).

4. Cookies und lokaler Speicher

EmuTime verwendet folgende Cookies und Speichermechanismen:

Technisch notwendige Cookies (keine Einwilligung erforderlich)

  • Session-Cookie (PHPSESSID): Dient der Authentifizierung während einer aktiven Sitzung. Wird beim Schließen des Browsers automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO.
  • Trusted-Device-Cookie: Speichert, ob ein Gerät für die Zwei-Faktor-Authentifizierung (MFA) als vertrauenswürdig markiert wurde. Laufzeit: 60 Tage. Nur gesetzt, wenn der Nutzer die „Gerät merken"-Option aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO.
  • emu_landing_locale: Speichert die vom Nutzer gewählte Sprache der Landingpage. Laufzeit: 1 Jahr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse an der Benutzerfreundlichkeit).

Lokaler Browserspeicher (localStorage)

  • JWT-Token: Wird im localStorage des Browsers gespeichert und dient der API-Authentifizierung im eingeloggten Bereich. Das Token läuft nach 15 Minuten ab und wird automatisch erneuert. Es verlässt den Browser nur als Bearer-Token in autorisierten API-Anfragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO.
  • Usercentrics Consent-Cookie: Speichert den Einwilligungsstatus des Nutzers für optionale Dienste.
  • Google Tag Manager / Analytics Cookies: Werden nur nach expliziter Einwilligung via Usercentrics gesetzt.

5. Registrierung

Bei der Registrierung für EmuTime erheben wir folgende Daten, die zur Einrichtung und Bereitstellung Ihres Accounts erforderlich sind:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Passwort (wird ausschließlich als bcrypt-Hash gespeichert; das Klartextpasswort wird zu keinem Zeitpunkt gespeichert)
  • Organisationsname
  • Wunsch-Subdomain (z. B. meinefirma.emutime.app)

Die Registrierungsdaten werden ausschließlich zur Einrichtung und zum Betrieb Ihres Tenants verwendet. Eine Weitergabe an Dritte erfolgt nur im Rahmen der Auftragsverarbeitung (siehe Abschnitt 14).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung).

6. Nutzung der Zeiterfassung

Im eingeloggten Bereich verarbeitet EmuTime die Daten, die Sie im Rahmen der Zeiterfassung eingeben:

  • Zeiteinträge (Datum, Dauer, Beschreibung)
  • Projekte und Kunden
  • Leistungen und Dienstleistungen
  • Stundensätze der Teammitglieder

Alle Daten sind strikt mandantenspezifisch isoliert: Jeder Tenant verfügt über ein eigenes PostgreSQL-Datenbankschema. Ein Datenzugriff durch andere Tenants ist technisch ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung).

7. E-Mail-Versand via Microsoft Graph API

Transaktionale E-Mails (Registrierungsbestätigung, E-Mail-Verifizierung, Einladungen zu Tenants, Passwort-Reset-Links) werden über die Microsoft Graph API versendet. Dabei wird Ihre E-Mail-Adresse an Microsoft als Dienstleister übermittelt.

Dienstleister: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland.
Es besteht ein Auftragsverarbeitungsvertrag (AVV). Datenübertragungen in die USA erfolgen auf Basis von Standarddatenschutzklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DS-GVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung).
Weitere Informationen: https://privacy.microsoft.com/

8. Microsoft SSO (optional)

Nutzer haben die Möglichkeit, sich optional mit einem bestehenden Microsoft-Konto bei EmuTime anzumelden (OAuth2 / Microsoft Entra Identity Platform). Bei Nutzung dieses optionalen Anmeldewegs:

  • Werden Authentifizierungsdaten im OAuth2-Flow mit Microsoft ausgetauscht.
  • Speichert EmuTime ausschließlich die E-Mail-Adresse sowie einen anonymisierten Microsoft-Identifikator (Object ID / OID).
  • Weitere Microsoft-Profildaten (Name, Bild etc.) werden nicht übernommen.

Die Nutzung des Microsoft-Logins ist vollständig optional; eine Anmeldung mit E-Mail und Passwort ist jederzeit möglich.

Dienstleister: Microsoft Ireland Operations Limited (s. o.).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung durch aktive Nutzung des SSO-Buttons).
Weitere Informationen: https://privacy.microsoft.com/

9. Google Tag Manager

Google Tag Manager (GTM) ist ein Tag-Management-System, das die Einbindung weiterer Dienste (z. B. Google Analytics) steuert. GTM selbst speichert keine personenbezogenen Daten; erst die über GTM geladenen Tags können Daten verarbeiten – und zwar nur nach Einwilligung des Nutzers via Usercentrics (Consent Mode v2).

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse an effizienter Tag-Verwaltung).
Datenübertragungen in die USA erfolgen auf Basis von SCC gemäß Art. 46 Abs. 2 lit. c DS-GVO.
Weitere Informationen: https://policies.google.com/privacy

10. Google Analytics

Google Analytics wird ausschließlich auf der Landingpage (nicht im eingeloggten App-Bereich) eingesetzt und nur nach ausdrücklicher Einwilligung via Usercentrics aktiviert (Consent Mode v2). Die IP-Anonymisierung ist aktiviert. Zweck ist die Analyse der Webseitennutzung zur Verbesserung des Angebots. Ein Opt-out ist jederzeit möglich über: https://tools.google.com/dlpage/gaoptout

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung).
Datenübertragungen in die USA erfolgen auf Basis von SCC gemäß Art. 46 Abs. 2 lit. c DS-GVO.
Weitere Informationen: https://policies.google.com/privacy

11. Usercentrics Consent-Management

Usercentrics ist eine Consent-Management-Plattform (CMP), die den gesetzlich vorgeschriebenen Cookie-Banner bereitstellt und Ihre Einwilligungsentscheidungen dokumentiert. Dabei werden Ihre IP-Adresse sowie Ihr Einwilligungsstatus (erteilt/verweigert) verarbeitet und gespeichert.

Dienstleister: Usercentrics GmbH, Sendlinger Str. 7, 80331 München, Deutschland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DS-GVO (rechtliche Verpflichtung zur Einwilligungsverwaltung) sowie Art. 6 Abs. 1 lit. f DS-GVO.
Weitere Informationen: https://usercentrics.com

12. Stripe – Zahlungsabwicklung

Für kostenpflichtige Abonnements wird Stripe als Zahlungsdienstleister eingesetzt. Stripe verarbeitet Zahlungsdaten (Kreditkarte, SEPA-Lastschrift) direkt und PCI-DSS-konform. EmuTime speichert keinerlei Zahlungskarteninformationen.

Dienstleister: Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2, Irland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung).
Datenübertragungen in die USA erfolgen auf Basis von SCC gemäß Art. 46 Abs. 2 lit. c DS-GVO.
Weitere Informationen: https://stripe.com/de/privacy

13. Hosting

EmuTime wird ausschließlich auf Servern der Hetzner Online GmbH in Deutschland betrieben. Es findet keine Datenverarbeitung außerhalb Deutschlands im Rahmen des Hostings statt.

Dienstleister: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Es besteht ein Auftragsverarbeitungsvertrag (AVV).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DS-GVO.
Weitere Informationen: https://www.hetzner.com/de/legal/privacy/

14. Auftragsverarbeitung (AVV)

Folgende Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag auf Basis abgeschlossener Auftragsverarbeitungsverträge gemäß Art. 28 DS-GVO:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen – Hosting; Server ausschließlich in Deutschland
  • Microsoft Ireland Operations Limited, Dublin, Irland – E-Mail-Versand (Microsoft Graph API) und optionaler SSO-Dienst
  • Google Ireland Limited, Dublin, Irland – Google Tag Manager und Google Analytics
  • Usercentrics GmbH, München, Deutschland – Consent-Management
  • Stripe Payments Europe Limited, Dublin, Irland – Zahlungsabwicklung

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten bestmöglich zu schützen:

  • TLS-Verschlüsselung (HTTPS) für alle Verbindungen
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert – nie im Klartext
  • JWT-Tokens: RS256-signiert, 15 Minuten TTL
  • Mandantenspezifische Datenbankisolierung (eigenes PostgreSQL-Schema je Tenant)
  • Zwei-Faktor-Authentifizierung (TOTP) für alle Accounts verfügbar
  • Server ausschließlich in Deutschland (Hetzner, zertifiziertes Rechenzentrum)

16. Speicherdauer

  • Server-Logfiles: Automatische Löschung nach maximal 7 Tagen
  • Account- und Registrierungsdaten: Bis zur Kündigung des Accounts, danach Löschung auf Anfrage; gesetzliche Aufbewahrungsfristen (z. B. steuerrechtlich bis zu 10 Jahre) bleiben vorbehalten
  • Zeiterfassungsdaten: Bis zur Kündigung des Tenant-Accounts
  • Nach Kündigung: Vollständige Löschung aller Daten auf schriftliche Anfrage

17. Ihre Rechte als betroffene Person

Ihnen stehen gemäß DS-GVO folgende Rechte zu:

  • Auskunft (Art. 15 DS-GVO): Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DS-GVO): Sie haben das Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
  • Löschung (Art. 17 DS-GVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DS-GVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DS-GVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DS-GVO): Sie können der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO) widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DS-GVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht (Art. 77 DS-GVO): Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: buehler@greenemu.de

18. Zuständige Datenschutz-Aufsichtsbehörde

Die für uns zuständige Aufsichtsbehörde ist:

Sie haben das Recht, sich jederzeit mit einer Beschwerde an diese Behörde zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.

19. Automatisierte Entscheidungsfindung und Profiling

EmuTime trifft keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DS-GVO. Es findet kein Profiling statt.

20. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. a DS-GVO: Einwilligung (z. B. für optionale Dienste wie Google Analytics oder Microsoft SSO)
  • Art. 6 Abs. 1 lit. b DS-GVO: Vertragserfüllung (z. B. Registrierung, Zeiterfassung, E-Mail-Versand, Zahlungsabwicklung)
  • Art. 6 Abs. 1 lit. c DS-GVO: Rechtliche Verpflichtung (z. B. steuerrechtliche Aufbewahrungspflichten, Consent-Management)
  • Art. 6 Abs. 1 lit. f DS-GVO: Berechtigtes Interesse (z. B. Server-Logfiles zur IT-Sicherheit, Sprachspeicherung)

21. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Bedarf aktualisiert. Wir empfehlen, diese Seite regelmäßig zu besuchen.