Datenschutzerklärung für die SKonex App

Stand: Mai 2026

Entwurf — Dieses Dokument wird derzeit von einer Rechtsanwältin geprüft und kann sich noch ändern.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

SKonex UG (haftungsbeschränkt)

Längenlochstraße 4, 72461 Albstadt

E-Mail: info@skonex.de

Datenschutzbeauftragter: Nicht bestellt (nach § 38 BDSG bei weniger als 20 Beschäftigten nicht erforderlich)

Kontakt für Datenschutzanfragen: datenschutz@skonex.de

2. Überblick

SKonex ist eine B2B-SaaS-Anwendung für Handwerks- und Forstbetriebe aller Gewerke (z. B. Zimmereien, Holzbaubetriebe, Dachdecker, Maler, Elektriker, SHK-Betriebe, Trockenbau, Forstbetriebe). Die App dient der digitalen Betriebsorganisation — von Zeiterfassung und Projektverwaltung über Materialwirtschaft, Angebots- und Rechnungserstellung bis hin zu Tagesrapporten und Teamorganisation. Sie ist als native App für iOS und Android verfügbar.

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung der SKonex App erheben, wie wir diese verarbeiten und welche Rechte Ihnen als betroffene Person zustehen.

3. Welche Daten werden erhoben

3.1 Registrierungs- und Kontodaten

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (wird ausschließlich als kryptografischer Hash gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
  • Rolle im Betrieb (Admin / Mitarbeiter)
  • Zuordnung zur Organisation (Betrieb)

3.2 Betriebsdaten (bei Betriebsanlage durch den Administrator)

  • Firmenname
  • Adresse, PLZ, Stadt
  • Telefonnummer
  • Firmen-E-Mail
  • Name des Geschäftsführers
  • Bundesland (für Feiertagsberechnung)
  • Steuernummer, USt-ID
  • Bankdaten (IBAN, BIC, Bankname) — für die Rechnungserstellung
  • SOKA-Bau-Prozentsatz
  • Verrechnungslohn

3.3 Arbeitszeitdaten

  • Arbeitsbeginn und -ende
  • Pausenzeiten
  • Zugeordnetes Projekt (Freitext)
  • Tätigkeitsfeld (Tätigkeit/Aktivität)
  • Stunden-Kategorie (Produktiv, Regie, Fahrt)
  • Maschineneinsatz pro Zeiteintrag
  • Kommentare und Notizen zu Einträgen
  • Änderungshistorie (wer hat wann welchen Eintrag bearbeitet)
  • Erstellt-von-Zuordnung (created_by)

3.4 Projektdaten

  • Projektname, Beschreibung, Status
  • Projektprotokolle (Fortschritte, Notizen, Probleme)
  • Aufgabenlisten
  • Materiallisten (inkl. Standort/Status)
  • Projektfotos
  • Projektnotizen

3.5 Materialdaten

  • Artikel (Name, Einheit, Preis, Artikelnummer)
  • Lagerorte und Bestände
  • Materialbewegungen (Eingang, Ausgang, Umlagerung)
  • Lieferanten-Zuordnungen

3.6 Finanzdaten

  • Angebote und Rechnungen (Kopfdaten, Empfänger, Datum, Beträge)
  • Rechnungspositionen und Steuersa¨tze
  • Paragraph-35a-Lohnanteil
  • Zahlungsstatus

3.7 Rapportdaten

  • Tagesberichte (Tätigkeiten, Vorkommnisse, Notizen)
  • Wetter- und Temperaturdaten (über externe API abgerufen; keine personenbezogenen Daten)
  • Digitale Unterschrift (SVG-Grafik) und Name des Unterzeichners

3.8 Kontaktdaten (Kunden, Lieferanten, Subunternehmer)

  • Firma, Name, Telefon, E-Mail, Adresse

3.9 Gastarbeiter-Daten

  • Name, Personnelnummer (für DATEV-Export)
  • Gastarbeiter erhalten keine eigenen Benutzerkonten

3.10 Persönliche Daten (optional)

  • Geburtstag (optional, für Kalenderanzeige im Team)
  • Persönliche Notizen
  • Private Projekte
  • Persönliche Erinnerungen
  • Private Kalendereinträge
  • Abwesenheiten (Urlaub, Krankheit etc.)

3.11 Technische Daten

  • Push-Notification-Token (Gerätekennung für Benachrichtigungen)
  • Gerätetyp und Betriebssystem (durch die App-Plattform übermittelt)

3.12 Daten, die wir nicht erheben

  • Wir verwenden keine Cookies (native App).
  • Wir setzen keine Tracking- oder Analysetools ein (kein Google Analytics, kein Facebook Pixel o. Ä.).
  • Wir erheben keine Standortdaten.
  • Wir greifen nicht auf Kontakte, Mikrofon oder andere Sensoren zu (außer Kamera für Projektfotos, nur nach ausdrücklicher Genehmigung).

4. Zweck und Rechtsgrundlage der Verarbeitung

ZweckRechtsgrundlage
Bereitstellung und Betrieb der App (Benutzerkonto, Anmeldung)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zeiterfassung und ProjektverwaltungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Verwaltung von Organisationen und MitgliedernArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Materialwirtschaft (Artikelverwaltung, Lager, Bestellungen)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Angebots- und RechnungserstellungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Tagesrapport / BauberichteArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kundenportal (Projektfreigabe an Auftraggeber)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Digitale Unterschrift (Abnahmeprotokolle, Rapporte)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
DATEV-Export (Arbeitszeiten, Personalstammdaten)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kontaktverwaltung (Kunden, Lieferanten, Subunternehmer)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Versand von Push-Benachrichtigungen (Erinnerungen)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherung optionaler Daten (Geburtstag, persönliche Notizen)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherung von ProjektfotosArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Sicherstellung der Systemsicherheit und FehlerbehebungArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 9).

5. Auftragsverarbeitung

5.1 Supabase (Datenbank und Authentifizierung)

  • Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 (US-amerikanisches Unternehmen)
  • Serverstandort: EU (Frankfurt am Main, Deutschland) — siehe Abschnitt 6
  • Leistungen: Datenbankhaltung (PostgreSQL), Benutzerauthentifizierung
  • Rechtsgrundlage: Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement) gemäß Art. 28 DSGVO.
  • Datentransfer: Obwohl Supabase ein US-Unternehmen ist, werden alle Daten in der EU (Region Frankfurt) verarbeitet und gespeichert. Soweit ein Zugriff aus den USA technisch möglich wäre, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

5.2 Expo (Push-Benachrichtigungen)

  • Anbieter: 650 Industries, Inc. (Expo), USA
  • Leistungen: Zustellung von Push-Notifications an iOS- und Android-Geräte
  • Übermittelte Daten: Push-Token (Gerätekennung), Nachrichteninhalt
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Push-Benachrichtigungen werden nur gesendet, wenn der Nutzer diese auf Geräteebene aktiviert hat)

5.3 Hetzner (Objekt-Speicher)

  • Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
  • Serverstandort: Falkenstein, Deutschland
  • Leistungen: S3-kompatibler Objekt-Speicher für Fotos, Dokumente und sonstige Datei-Uploads
  • Rechtsgrundlage: Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
  • Datentransfer: Sämtliche Dateien werden ausschließlich in Deutschland (Falkenstein) gespeichert und verarbeitet. Ein Datentransfer in Drittländer findet nicht statt.

5.4 Stripe (Zahlungsabwicklung)

  • Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (europäische Tochter von Stripe Inc., USA)
  • Leistungen: Zahlungsabwicklung (SEPA-Lastschrift, Kreditkarte)
  • Übermittelte Daten: Name, E-Mail-Adresse, Zahlungsinformationen (IBAN oder Kreditkartendaten), Rechnungsadresse
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Zahlungsabwicklung ist für die Erbringung des vertraglichen Dienstes erforderlich)
  • Datentransfer: Die Verarbeitung erfolgt primär innerhalb der EU (Irland). Soweit ein Zugriff aus den USA durch Stripe Inc. möglich wäre, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Es erfolgt keine Weitergabe personenbezogener Daten an sonstige Dritte zu Marketing-, Werbe- oder Analysezwecken.

6. Speicherung und Hosting

6.1 Serverstandort

  • Supabase / AWS (eu-central-1, Frankfurt am Main, Deutschland): PostgreSQL-Datenbank, Authentifizierungsdaten
  • Hetzner (Falkenstein, Deutschland): Objekt-Speicher für Fotos, Dokumente und sonstige Datei-Uploads

6.2 Lokale Speicherung auf dem Gerät

Die App speichert bestimmte Daten lokal auf Ihrem Gerät, um eine Offline-Nutzung zu ermöglichen:

  • Zwischengespeicherte Fotos (lokaler Cache)
  • Offline-Zeiteinträge und -Mutationen
  • Eine Offline-Upload-Warteschlange für Fotos

Diese lokalen Daten werden ausschließlich auf Ihrem Gerät gespeichert und bei Deinstallation der App entfernt.

7. Speicherdauer

DatenartSpeicherdauer
Kontodaten (Name, E-Mail)Bis zur Kontolöschung
ArbeitszeiteinträgeBis zur Löschung durch den Nutzer oder Administrator; spätestens bei Kontolöschung
Projektdaten und -fotosBis zur Löschung durch den Administrator; spätestens bei Löschung des Betriebs
Materialdaten (Artikel, Bestände, Bewegungen)Bis zur Löschung durch den Administrator; spätestens bei Löschung des Betriebs
Angebote und RechnungenBis zur Löschung durch den Administrator; gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre steuerrechtlich) bleiben unberührt
Rapportdaten (Tagesberichte, Unterschriften)Bis zur Löschung durch den Administrator; spätestens bei Löschung des Betriebs
Kontaktdaten (Kunden, Lieferanten, Subunternehmer)Bis zur Löschung durch den Administrator; spätestens bei Löschung des Betriebs
Digitale UnterschriftenBis zur Löschung des zugehörigen Dokuments
Persönliche Notizen und ErinnerungenBis zur Löschung durch den Nutzer; spätestens bei Kontolöschung
AbwesenheitenBis zur Löschung durch den Nutzer oder Administrator; spätestens bei Kontolöschung
Push-TokenBis zum Widerruf der Push-Berechtigung oder Kontolöschung
Änderungshistorie (Stundeneinträge)Wie der zugehörige Stundeneintrag

Bei Löschung eines Betriebs werden sämtliche zugehörigen Daten vollständig und unwiderruflich gelöscht.

8. Kundenportal

8.1 Beschreibung

Die SKonex App bietet ein Kundenportal, über das Auftraggeber per Token-Link Lesezugriff auf ausgewählte Projektdaten erhalten.

8.2 Sichtbare Daten

  • Projektname, Status und Fortschritt
  • Projektfotos und Meilensteine

Personenbezogene Mitarbeiterdaten sind im Kundenportal nicht sichtbar.

8.3 Zugang und Begrenzung

  • Der Zugang erfolgt über einen zeitlich begrenzten Token-Link.
  • Der Administrator kann die Freigabe jederzeit widerrufen.
  • Es werden keine Cookies gesetzt und keine Tracking-Daten erhoben.

9. Datenexport

9.1 Exportformate

  • CSV (Comma-Separated Values)
  • Excel (XLSX)
  • DATEV (Lohn und Gehalt / LODAS)
  • PDF

9.2 Exportierte Daten

  • Arbeitszeiten und Abwesenheiten
  • Personalstammdaten und Personnelnummern
  • Projekt- und Rapportdaten
  • Angebote und Rechnungen
  • Materialdaten

Der Kunde ist für die sichere Handhabung exportierter Daten selbst verantwortlich.

10. Push-Benachrichtigungen

Push-Benachrichtigungen werden nur gesendet, wenn Sie dies auf Ihrem Gerät ausdrücklich erlaubt haben. Der Versand erfolgt über den Dienst Expo (siehe Abschnitt 5.2). Sie können Push-Benachrichtigungen jederzeit in den Systemeinstellungen Ihres Gerätes deaktivieren.

11. Rechte der Betroffenen

11.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns über Sie gespeicherten personenbezogenen Daten zu erhalten.

11.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

11.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

11.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.

11.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

11.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

12. Datensicherheit

  • Transportverschlüsselung: TLS/HTTPS
  • Passwort-Hashing: bcrypt
  • Row Level Security (RLS): Auf Datenbankebene
  • Rollenbasierte Zugriffskontrolle: Admin und Member
  • Private Daten: Nur für den jeweiligen Nutzer sichtbar
  • Optionale Mehrfaktorauthentifizierung (MFA)

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Bei wesentlichen Änderungen werden wir Sie innerhalb der App darüber informieren.

14. Kontakt

SKonex UG (haftungsbeschränkt)

Längenlochstraße 4, 72461 Albstadt

E-Mail: info@skonex.de

Datenschutzanfragen: datenschutz@skonex.de

Diese Datenschutzerklärung wurde zuletzt aktualisiert am: Mai 2026.