Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Überblick über die Datenverarbeitung

SKonex ist eine B2B-SaaS-Anwendung für Handwerksbetriebe aller Gewerke (z. B. Zimmereien, Holzbaubetriebe, Dachdecker, Maler, Elektriker, SHK-Betriebe, Trockenbau). Die App dient der digitalen Betriebsorganisation — von Zeiterfassung und Projektverwaltung über Materialwirtschaft, Angebots- und Rechnungserstellung bis hin zu Tagesrapporten und Teamorganisation. Sie ist als native App für iOS und Android verfügbar.

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung der SKonex App erheben, wie wir diese verarbeiten und welche Rechte Ihnen als betroffene Person zustehen.

3. Welche Daten werden erhoben

3.1 Registrierungs- und Kontodaten

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (wird ausschließlich als kryptografischer Hash gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
• Rolle im Betrieb (Admin / Mitarbeiter)
• Zuordnung zur Organisation (Betrieb)

3.2 Betriebsdaten (bei Betriebsanlage durch den Administrator)

• Firmenname
• Adresse, PLZ, Stadt
• Telefonnummer
• Firmen-E-Mail
• Name des Geschäftsführers
• Bundesland (für Feiertagsberechnung)
• Steuernummer, USt-ID
• Bankdaten (IBAN, BIC, Bankname) — für die Rechnungserstellung
• SOKA-Bau-Prozentsatz
• Verrechnungslohn

3.3 Arbeitszeitdaten

• Arbeitsbeginn und -ende
• Pausenzeiten
• Zugeordnetes Projekt (Freitext)
• Tätigkeitsfeld (Tätigkeit/Aktivität)
• Stunden-Kategorie (Produktiv, Regie, Fahrt)
• Maschineneinsatz pro Zeiteintrag
• Kommentare und Notizen zu Einträgen
• Änderungshistorie (wer hat wann welchen Eintrag bearbeitet)
• Erstellt-von-Zuordnung

3.4 Projektdaten

• Projektname, Beschreibung, Status
• Projektprotokolle (Fortschritte, Notizen, Probleme)
• Aufgabenlisten
• Materiallisten (inkl. Standort/Status)
• Projektfotos
• Projektnotizen

3.5 Materialdaten

• Artikel (Name, Einheit, Preis, Artikelnummer)
• Lagerorte und Bestände
• Materialbewegungen (Eingang, Ausgang, Umlagerung)
• Lieferanten-Zuordnungen

3.6 Finanzdaten

• Angebote und Rechnungen (Kopfdaten, Empfänger, Datum, Beträge)
• Rechnungspositionen und Steuersätze
• Paragraph-35a-Lohnanteil
• Zahlungsstatus

3.7 Rapportdaten

• Tagesberichte (Tätigkeiten, Vorkommnisse, Notizen)
• Wetter- und Temperaturdaten (über externe API abgerufen; keine personenbezogenen Daten)
• Digitale Unterschrift (SVG-Grafik) und Name des Unterzeichners

3.8 Kontaktdaten (Kunden, Lieferanten, Subunternehmer)

• Firma, Name, Telefon, E-Mail, Adresse

3.9 Gastarbeiter-Daten

• Name, Personnelnummer (für DATEV-Export)
• Gastarbeiter erhalten keine eigenen Benutzerkonten

3.10 Persönliche Daten (optional)

• Geburtstag (optional, für Kalenderanzeige im Team)
• Persönliche Notizen
• Private Projekte
• Persönliche Erinnerungen
• Private Kalendereinträge
• Abwesenheiten (Urlaub, Krankheit etc.)

3.11 Technische Daten

• Push-Notification-Token (Gerätekennung für Benachrichtigungen)
• Gerätetyp und Betriebssystem (durch die App-Plattform übermittelt)

3.12 Daten, die wir nicht erheben

• Wir verwenden keine Cookies (native App).
• Wir setzen keine Tracking- oder Analysetools ein (kein Google Analytics, kein Facebook Pixel o. Ä.).
• Wir erheben keine Standortdaten.
• Wir greifen nicht auf Kontakte, Mikrofon oder andere Sensoren zu (außer Kamera für Projektfotos, nur nach ausdrücklicher Genehmigung).

4. Zweck und Rechtsgrundlage der Verarbeitung

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 11).

5. Auftragsverarbeitung

5.1 Supabase (Datenbank und Authentifizierung)

Für den Betrieb der App nutzen wir Supabase als Infrastruktur- und Datenbankdienstleister:

• Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 (US-amerikanisches Unternehmen)
• Serverstandort: EU (Frankfurt am Main, Deutschland) — siehe Abschnitt 6
• Leistungen: Datenbankhaltung (PostgreSQL), Benutzerauthentifizierung
• Rechtsgrundlage: Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement) gemäß Art. 28 DSGVO.
• Datentransfer: Obwohl Supabase ein US-Unternehmen ist, werden alle Daten in der EU (Region Frankfurt) verarbeitet und gespeichert. Soweit ein Zugriff aus den USA technisch möglich wäre, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen: Datenschutzerklärung von Supabase

5.2 Expo (Push-Benachrichtigungen)

Für den Versand von Push-Benachrichtigungen nutzen wir den Dienst Expo:

• Anbieter: 650 Industries, Inc. (Expo), USA
• Leistungen: Zustellung von Push-Notifications an iOS- und Android-Geräte
• Übermittelte Daten: Push-Token (Gerätekennung), Nachrichteninhalt
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Push-Benachrichtigungen werden nur gesendet, wenn der Nutzer diese auf Geräteebene aktiviert hat)

5.3 Hetzner (Objekt-Speicher)

Für die Speicherung von Dateien (Fotos, Dokumente, Uploads) nutzen wir Hetzner:

• Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Serverstandort: Falkenstein, Deutschland
• Leistungen: S3-kompatibler Objekt-Speicher für Fotos, Dokumente und sonstige Datei-Uploads
• Rechtsgrundlage: Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
• Datentransfer: Sämtliche Dateien werden ausschließlich in Deutschland (Falkenstein) gespeichert und verarbeitet. Ein Datentransfer in Drittländer findet nicht statt.

5.4 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe:

• Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (europäische Tochter von Stripe Inc., USA)
• Leistungen: Zahlungsabwicklung (SEPA-Lastschrift, Kreditkarte)
• Übermittelte Daten: Name, E-Mail-Adresse, Zahlungsinformationen (IBAN oder Kreditkartendaten), Rechnungsadresse
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Zahlungsabwicklung ist für die Erbringung des vertraglichen Dienstes erforderlich)
• Datentransfer: Die Verarbeitung erfolgt primär innerhalb der EU (Irland). Soweit ein Zugriff aus den USA durch Stripe Inc. möglich wäre, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Es erfolgt keine Weitergabe personenbezogener Daten an sonstige Dritte zu Marketing-, Werbe- oder Analysezwecken.

6. Speicherung und Hosting

6.1 Serverstandort

Alle Daten werden auf Servern in der Europäischen Union gespeichert und verarbeitet:

• Supabase / AWS (eu-central-1, Frankfurt am Main, Deutschland): PostgreSQL-Datenbank (alle Nutzer-, Arbeitszeit-, Projekt- und Organisationsdaten), Authentifizierungsdaten
• Hetzner (Falkenstein, Deutschland): Objekt-Speicher für Fotos, Dokumente und sonstige Datei-Uploads

6.2 Lokale Speicherung auf dem Gerät

Die App speichert bestimmte Daten lokal auf Ihrem Gerät, um eine Offline-Nutzung zu ermöglichen:

• Zwischengespeicherte Fotos (lokaler Cache)
• Offline-Zeiteinträge und -Mutationen, die bei fehlender Internetverbindung erstellt wurden
• Eine Offline-Upload-Warteschlange für Fotos

Diese lokalen Daten werden ausschließlich auf Ihrem Gerät gespeichert und bei Deinstallation der App entfernt.

7. Speicherdauer

Bei Löschung eines Betriebs durch einen Super-Admin werden sämtliche zugehörigen Daten (Organisation, Profile, Projekte, Zeiteinträge, Material, Angebote, Rechnungen, Rapporte, Kontakte, Fotos, Unterschriften, Authentifizierungsdaten) vollständig und unwiderruflich gelöscht.

Gesetzliche Aufbewahrungsfristen (z. B. steuerrechtlich oder handelsrechtlich) bleiben hiervon unberührt.

8. Kundenportal

8.1 Beschreibung

Die SKonex App bietet ein Kundenportal, über das Auftraggeber per Token-Link Lesezugriff auf ausgewählte Projektdaten erhalten. Ein Login oder Benutzerkonto ist für den Zugang nicht erforderlich.

8.2 Sichtbare Daten

Über das Kundenportal sind ausschließlich folgende Daten sichtbar:

• Projektname, Status und Fortschritt
• Projektfotos und Meilensteine

Personenbezogene Mitarbeiterdaten (Namen, Arbeitszeiten, Kontaktdaten) sind im Kundenportal nicht sichtbar.

8.3 Zugang und Begrenzung

• Der Zugang erfolgt über einen zeitlich begrenzten Token-Link.
• Der Administrator kann die Freigabe jederzeit widerrufen oder zeitlich begrenzen.
• Es werden keine Cookies gesetzt und keine Tracking-Daten erhoben.

9. Datenexport

9.1 Exportformate

Die App bietet Datenexporte in folgenden Formaten an:

• CSV (Comma-Separated Values)
• Excel (XLSX)
• DATEV (Lohn und Gehalt / LODAS)
• PDF

9.2 Exportierte Daten

Je nach Exportformat und -zweck können folgende Daten exportiert werden:

• Arbeitszeiten und Abwesenheiten
• Personalstammdaten und Personnelnummern
• Projekt- und Rapportdaten
• Angebote und Rechnungen
• Materialdaten

Der Kunde ist für die sichere Handhabung exportierter Daten selbst verantwortlich.

10. Push-Benachrichtigungen

Die SKonex App kann Push-Benachrichtigungen senden, beispielsweise für persönliche Erinnerungen.

• Push-Benachrichtigungen werden nur gesendet, wenn Sie dies auf Ihrem Gerät ausdrücklich erlaubt haben.
• Der Versand erfolgt über den Dienst Expo (siehe Abschnitt 5.2).
• Sie können Push-Benachrichtigungen jederzeit in den Systemeinstellungen Ihres Gerätes deaktivieren.
• Bei Deaktivierung wird der gespeicherte Push-Token nicht mehr verwendet.

11. Rechte der Betroffenen

Ihnen stehen gemäß der DSGVO die folgenden Rechte zu. Zur Ausübung dieser Rechte wenden Sie sich bitte an die unter Abschnitt 1 genannte Kontaktadresse.

11.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns über Sie gespeicherten personenbezogenen Daten zu erhalten. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten und die Empfänger.

11.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Viele Daten können Sie direkt in der App ändern (z. B. Name, Geburtstag).

11.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Kontolöschung führt zur vollständigen Entfernung Ihrer persönlichen Daten.

11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten.

11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die App bietet Exportfunktionen für Arbeitszeit-, Projekt- und weitere Betriebsdaten (siehe Abschnitt 9).

11.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

11.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

11.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde ist in der Regel die Behörde Ihres Wohnsitzes oder die Behörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat.

12. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen:

• Transportverschlüsselung: Sämtliche Daten werden ausschließlich über verschlüsselte Verbindungen übertragen (TLS/HTTPS).
• Passwort-Hashing: Passwörter werden niemals im Klartext gespeichert, sondern ausschließlich als kryptografische Hashes (bcrypt) abgelegt.
• Row Level Security (RLS): Auf Datenbankebene stellen wir durch Row Level Security sicher, dass Nutzer nur auf die Daten ihrer eigenen Organisation zugreifen können. Mitarbeiter sehen nur ihre eigenen Arbeitszeiteinträge; Administratoren sehen die Einträge aller Mitarbeiter ihres Betriebs.
• Rollenbasierte Zugriffskontrolle: Die App unterscheidet zwischen den Rollen Admin (Administrator) und Member (Mitarbeiter) mit entsprechend unterschiedlichen Zugriffsrechten.
• Private Daten: Persönliche Projekte, Notizen und Erinnerungen sind ausschließlich für den jeweiligen Nutzer sichtbar und werden durch RLS-Richtlinien geschützt.
• Optionale Mehrfaktorauthentifizierung (MFA): Die zugrunde liegende Authentifizierungsinfrastruktur unterstützt MFA als zusätzliche Sicherheitsebene.

13. Minderjährige

Die SKonex App richtet sich an Gewerbetreibende und ist nicht für die Nutzung durch Minderjährige bestimmt. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder bei Änderungen unseres Dienstes oder der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist in der App sowie auf unserer Website abrufbar. Bei wesentlichen Änderungen werden wir Sie innerhalb der App darüber informieren.

15. Kontakt

Bei Fragen zum Datenschutz, zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an: