Datenschutzerklärung

Wen diese Erklärung betrifft

• Website-Besucher: Besucher von www.unitlify.de
• Firmenkunden: Unternehmen, die Unitlify als SaaS abonnieren
• Endnutzer / Mitarbeitende: Mitarbeitende unserer Firmenkunden, die Unitlify im Rahmen ihres Arbeitsverhältnisses nutzen
• App-Nutzer: mobile Unitlify-App auf iOS / Android

Inhalt

1. AVerantwortlicher & Kontakt
2. BAllgemeine Hinweise & Betroffenenrechte
3. CWebsite-Besucher (www.unitlify.de)
4. DFirmenkunden (Unitlify SaaS-Abonnenten)
5. EEndnutzer / Mitarbeitende unserer Firmenkunden
6. FUnitlify Mobile App (iOS & Android)
7. GDienstleister & Empfänger
8. HSicherheit & technische Maßnahmen
9. IÄnderungen dieser Datenschutzerklärung

Details

1. A

   Verantwortlicher & Kontakt

   Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

   Kidder & Kriehuber GbR
   Santoker Str. 79
   15562 Rüdersdorf bei Berlin
   Deutschland

   Telefon: +49 172 9810922
   E-Mail: support@unitlify.de
   Vertretungsberechtigt: Dean Kidder, Dominik Kriehuber

   Wichtige Unterscheidung: Für Daten, die unsere Firmenkunden über Unitlify über ihre eigenen Mitarbeitenden oder Dritte verarbeiten, sind die Firmenkunden selbstdie datenschutzrechtlich Verantwortlichen. Kidder & Kriehuber GbR handelt in diesen Fällen als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Basis eines AVV.
2. B

   Allgemeine Hinweise & Betroffenenrechte

   Ihre Rechte nach der DSGVO

   • Auskunft (Art. 15 DSGVO)
   • Berichtigung (Art. 16 DSGVO)
   • Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
   • Einschränkung der Verarbeitung (Art. 18 DSGVO)
   • Datenübertragbarkeit (Art. 20 DSGVO)
   • Widerspruch gegen bestimmte Datenverarbeitungen (Art. 21 DSGVO)
   • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
   • Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns: Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, lda.brandenburg.de.

   Zur Ausübung Ihrer Rechte wenden Sie sich bitte an support@unitlify.de. Mitarbeitende unserer Firmenkunden wenden sich vorrangig an ihren Arbeitgeber (verantwortliche Stelle).

   Speicherdauer

   Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wie gesetzliche Aufbewahrungsfristen (z. B. HGB, AO) es verlangen. Konkrete Fristen werden bei den einzelnen Verarbeitungen genannt.

   Transportverschlüsselung (TLS)

   Die gesamte Kommunikation mit Unitlify (Website, Kundenportal, API, mobile App) erfolgt ausschließlich über HTTPS/TLS ≥ 1.2. Passwörter speichern wir nur in Form kryptographischer Hashwerte (bcrypt).

3. C

   Website-Besucher (www.unitlify.de)

   1. Server-Logs & Hosting

   Beim Aufruf unserer Website werden durch den Hoster automatisch technische Zugriffsdaten erfasst und in Logdateien gespeichert:

   • IP-Adresse (gekürzt / anonymisiert nach kurzer Frist)
   • Datum und Uhrzeit des Zugriffs
   • aufgerufene URL / Datei und übertragene Datenmenge
   • HTTP-Statuscode, Referrer, User-Agent (Browser / OS)

   Zweck: Bereitstellung der Website, Abwehr von Angriffen, Fehlerdiagnose. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Speicherdauer: max. 14 Tage, danach anonymisiert oder gelöscht.

   Hoster: Die Website wird auf Servern innerhalb der Europäischen Union betrieben (Hetzner Online GmbH, Gunzenhausen, Deutschland; Object Storage durch Amazon Web Services EMEA SARL, Luxemburg, Region eu-central-1 / Frankfurt). Mit den Hostern besteht jeweils ein AVV nach Art. 28 DSGVO.

   2. Cookies & technisch notwendige Speicherung

   Unitlify verwendet auf der Marketing-Website keine Tracking- oder Marketing-Cookies. Wir setzen ausschließlich technisch notwendige Cookies (z. B. Session-Cookie für das Login ins Kundenportal) gemäß § 25 Abs. 2 Nr. 2 TDDDG. Eine Einwilligung ist hierfür nicht erforderlich.

   3. Kontaktaufnahme (Kontaktformular, E-Mail, Telefon)

   Wenn Sie uns über das Kontaktformular, per E-Mail oder telefonisch kontaktieren, verarbeiten wir Name, Kontaktdaten und den Inhalt Ihrer Anfrage zur Beantwortung und Dokumentation.
   Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenkommunikation). Speicherdauer: bis zur Erledigung der Anfrage, danach 3 Jahre gemäß § 195 BGB, anschließend Löschung.

   4. Keine Webanalyse, kein Tracking, keine Werbung

   Wir verwenden kein Google Analytics, kein Facebook Pixel, keine Tracking-Tools und keine Retargeting-Dienste. Fonts werden selbst gehostet, Bilder und Skripte ebenfalls. Wir binden keine externen Social-Media-Plugins ein.

4. D

   Firmenkunden (Unitlify SaaS-Abonnenten)

   Wenn Sie Unitlify als Unternehmen abonnieren, verarbeiten wir personenbezogene Daten der bei Ihnen handelnden natürlichen Personen (Geschäftsführung, Ansprechpartner, Rechnungskontakt) zum Zwecke der Vertragserfüllung.

   1. Vertragsdaten & Rechnungsstellung

   • Firmenname, Anschrift, USt-IdNr., Handelsregisternummer
   • Name, E-Mail, Telefon und Position der vertretungsberechtigten bzw. benannten Ansprechpartner
   • Zahlungsdaten (IBAN, ggf. Kreditkarten-Token)
   • Rechnungen, Zahlungsverlauf, gebuchtes Paket / Lizenzverwendung

   Zweck: Abschluss und Durchführung des SaaS-Vertrages, Rechnungsstellung, Support. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten). Speicherdauer: Vertragsdauer + 10 Jahre (§ 147 AO, § 257 HGB).

   2. Zahlungsabwicklung

   Zahlungen werden über Stripe Payments Europe Ltd. (Dublin, Irland) sowie PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) abgewickelt. Beide Anbieter sind eigenverantwortlich für die Zahlungsverarbeitung (gemeinsame Verantwortlichkeit ggf. Art. 26 DSGVO). Stripe-Datenschutzerklärung / PayPal-Datenschutzerklärung.

   3. Auftragsverarbeitungsvertrag (AVV)

   Soweit Firmenkunden im Rahmen der Nutzung von Unitlify personenbezogene Daten ihrer Mitarbeitenden, Kunden, Gäste oder sonstiger Dritter verarbeiten, handeln wir als Auftragsverarbeiter. Der Abschluss eines AVV nach Art. 28 DSGVO ist vor Produktivnutzung verpflichtend. Ein Mustervertrag wird beim Onboarding zur Verfügung gestellt.

   4. Consent-Protokollierung bei öffentlichen Buchungen

   Wenn Endkunden auf den öffentlichen Buchungsseiten eines Firmenkunden (z. B. /buchen/<firma>/checkout) eine Bestellung abschließen, protokolliert die Plattform zum Nachweis der wirksamen Einwilligung gemäß Art. 7 Abs. 1 DSGVO folgende Daten pro Buchung:

   • Zeitpunkt der Bestätigung
   • IP-Adresse des Endgeräts (max. 64 Zeichen)
   • Browser-Kennung / User-Agent (max. 500 Zeichen)
   • URLs der zum Zeitpunkt der Buchung verlinkten AGB, Widerrufsbelehrung, Datenschutzerklärung sowie des Unitlify-Impressums
   • Klartext der Dokumente sowie eine SHA-256-Signatur davon, damit eine spätere Änderung der Dokumente durch den Firmenkunden rückwirkend nachweisbar bleibt

   Verantwortlichkeit:Der Firmenkunde (Shop-Betreiber) ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO; die Kidder & Kriehuber GbR verarbeitet diese Daten in dessen Auftrag gem. Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit) i. V. m. Art. 7 Abs. 1 DSGVO. Speicherdauer: Buchungsdauer + 3 Jahre (Regelverjährung § 195 BGB), bei Rechnungsrelevanz bis zu 10 Jahre (§ 147 AO).

5. E

   Endnutzer / Mitarbeitende unserer Firmenkunden

   Als Mitarbeiter:in eines Unternehmens, das Unitlify einsetzt, werden Daten zu Ihrer Person in der Unitlify-Plattform verarbeitet. Verantwortliche Stelle im Sinne der DSGVO ist in diesem Fall Ihr Arbeitgeber, nicht die Kidder & Kriehuber GbR. Wir handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO.

   1. Welche Daten verarbeitet werden können

   Die konkret verarbeiteten Kategorien hängen von den durch Ihren Arbeitgeber aktivierten Modulen ab. Möglich sind insbesondere:

   • Stammdaten: Name, E-Mail, Telefonnummer, Rolle, Abteilung / Standort, Profilbild, Sprachpräferenz
   • Zugangsdaten: Anmeldename, gehashtes Passwort, Session- und Refresh-Tokens, Zwei-Faktor-Geheimnis (sofern aktiviert), letzter Login
   • Arbeitszeit & Schichten: Schichtpläne, Stempelzeiten (Clock in/out, Pausen), Urlaubs- und Krankmeldungen, Stundenkonten
   • Kommunikation: Chat-Nachrichten, Newsfeed-Beiträge, Kommentare, Reaktionen, Feedback- und Ticketeinträge, hochgeladene Dateien
   • Lernmanagement (LMS): zugewiesene Module, Fortschritt, Prüfungsergebnisse, Zertifikate
   • Dokumente: Vertragsdokumente, Zeugnisse, Bescheinigungen, die Ihr Arbeitgeber in Unitlify ablegt
   • Technische Metadaten: IP-Adresse bei Login, Gerätetyp, App-Version, Zeitstempel von Aktionen

   2. Zwecke & Rechtsgrundlagen

   • Durchführung des Beschäftigungsverhältnisses (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO)
   • Erfüllung rechtlicher Pflichten (z. B. Arbeitszeitaufzeichnung nach § 16 ArbZG, Nachweisgesetz), Art. 6 Abs. 1 lit. c DSGVO
   • Berechtigte Interessen des Arbeitgebers an effizienter Ressourcenplanung und Kommunikation (Art. 6 Abs. 1 lit. f DSGVO)
   • Einwilligung für optionale Funktionen (z. B. Profilbild, biometrische App-Anmeldung auf Ihrem Gerät), Art. 6 Abs. 1 lit. a DSGVO

   3. Sichtbarkeiten & Rollen

   Unitlify arbeitet mit einem feingranularen Berechtigungssystem. Ihre Daten sind grundsätzlich nur für Sie selbst und für berechtigte Personen innerhalb Ihres Unternehmens (z. B. Vorgesetzte, Personalverwaltung, Administration) sichtbar. Welche Rollen auf welche Daten zugreifen, legt Ihr Arbeitgeber fest.

   4. Löschung & Ende des Beschäftigungsverhältnisses

   Nach Ende des Beschäftigungsverhältnisses werden Ihre personenbezogenen Daten durch den Arbeitgeber deaktiviert und nach Ablauf gesetzlicher Aufbewahrungsfristen (typischerweise 3–10 Jahre, je nach Datenart) gelöscht. Für konkrete Fristen und Löschansuchen ist Ihr Arbeitgeber als verantwortliche Stelle zuständig.

   5. Keine automatisierte Entscheidung im Einzelfall

   Unitlify trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung für Sie im Sinne von Art. 22 DSGVO. Alle personalrelevanten Entscheidungen (z. B. Schichtfreigabe, Urlaubsgenehmigung) treffen autorisierte Personen bei Ihrem Arbeitgeber.

6. F

   Unitlify Mobile App (iOS & Android)

   Die Unitlify-App ist ein Begleitclient für die Unitlify-Plattform und wird ausschließlich von Mitarbeitenden unserer Firmenkunden verwendet. Die App bietet keine eigenständige Registrierung; Zugangsdaten werden vom Arbeitgeber bereitgestellt.

   1. Lokal auf dem Gerät gespeicherte Daten

   • Access- und Refresh-Token (verschlüsselt im Secure Storage / Keychain)
   • Zwischenspeicher für Offline-Anzeige (z. B. Schichten, Newsfeed) – verschlüsselt / sandboxed
   • Push-Token (Expo / APNs / FCM) zur Zustellung von Benachrichtigungen
   • Spracheinstellung, Theme-Präferenz, lokale Einstellungen für Erinnerungen

   2. Berechtigungen

   Die App fragt nur auf ausdrückliche Nutzeraktion Berechtigungen ab. Zweckbindung:

   • Push-Benachrichtigungen: Information über neue Schichten, Nachrichten, Freigaben (Apple / Google liefern Nachrichten anonym aus, kein Tracking)
   • Kamera: Profilbild aufnehmen, QR-Codes scannen (optional)
   • Foto-Mediathek: Profilbild / Dateianhänge im Newsfeed hochladen (optional)
   • Biometrische Authentifizierung (Face ID / Touch ID / Fingerabdruck): lokaler Schutz der App-Sitzung. Die biometrischen Daten verlassen das Gerät nicht – die App erhält nur ein Ja/Nein-Ergebnis vom Betriebssystem.
   • Mikrofon: nur bei aktiver Aufzeichnung von Sprachnachrichten / Medien (optional)
   • Standort: Unitlify erhebt grundsätzlich keine Standortdaten. Sofern Ihr Arbeitgeber optional Geo-basiertes Clock-In aktiviert, werden Sie dazu separat informiert und können die Freigabe jederzeit in den Systemeinstellungen widerrufen.

   3. Push-Benachrichtigungen

   Push-Benachrichtigungen werden über die Expo Push API und nachgelagert über Apple Push Notification Service (APNs, Apple Inc.) bzw. Firebase Cloud Messaging (FCM, Google Ireland Ltd.) zugestellt. Übertragen wird lediglich ein gerätegebundener Token sowie die Nachricht (Titel / Inhalt / zugehörige Route).

   Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit dem Beschäftigungsverhältnis und § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Kommunikation). Sie können Push-Benachrichtigungen jederzeit im Betriebssystem oder in den App-Einstellungen deaktivieren. Der Push-Token wird beim Logout sowie beim Account-Wechsel serverseitig entfernt.

   4. Absturzberichte & Diagnose

   Zur Stabilitätssicherung erfassen wir Absturz- und Fehlerberichte über Sentry (Functional Software, Inc.; Daten verbleiben in der EU-Region de.sentry.io). Übermittelt werden: Stacktrace, App-Version, Geräte-Modell und Betriebssystem, Zeitpunkt sowie eine pseudonyme Nutzer-ID und Mandanten-ID zur Fehlerzuordnung. Keine Inhalte aus Eingabefeldern, Bildern, Videos oder Anhängen — die Sentry-Session-Replay-Funktion ist so konfiguriert, dass Text und Medien serverseitig maskiert werden, bevor sie übertragen werden.

   Zusätzlich nutzen Apple und Google die plattformseitigen Standard-Crash-Reports (TestFlight / App Store Connect, Google Play Console). Diese enthalten nach den Richtlinien von Apple und Google keine personenidentifizierenden Inhalte.

   Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufrechterhaltung eines funktionsfähigen, sicheren Dienstes).

   5. Kein Werbe-Tracking, keine Analytics-SDKs

   Die Unitlify-App enthält kein Google Analytics for Firebase, kein Facebook SDK, keine Werbe- oder Tracking-SDKs. Es findet keine geräte- oder nutzerübergreifende Profilbildung statt. Die App nutzt keinen IDFA / GAID.

   6. Account-Löschung

   Sie können die Löschung Ihres Unitlify-Accounts jederzeit ohne Login über unser Support-Portal beantragen: unitlify.de/support. Die Löschung wird per E-Mail verifiziert. Soweit gesetzliche Aufbewahrungspflichten entgegenstehen, werden die betroffenen Daten nur gesperrt und nach Ablauf der Frist endgültig gelöscht.

7. G

   Dienstleister & Empfänger

   Wir setzen sorgfältig ausgewählte Auftragsverarbeiter mit AVV ein. Eine Übermittlung an Dritte außerhalb der EU/des EWR erfolgt nur auf Basis geeigneter Garantien (EU-Standardvertragsklauseln).

   Dienstleister	Zweck	Sitz / Region
   Hetzner Online GmbH	Hosting Anwendung & DB	Deutschland (EU)
   Amazon Web Services EMEA SARL	Object Storage (S3); KI-Inference Claude über AWS Bedrock	Frankfurt / Deutschland (eu-central-1)
   Google Cloud EMEA Limited	KI-Inference Gemini über Vertex AI (OCR für Belege & Generierung von Lernmodulen)	Deutschland (europe-west3, Frankfurt)
   Functional Software, Inc. (Sentry)	Error- & Performance-Monitoring (Backend, Frontend, Mobile)	EU-Region (de.sentry.io) / USA-Anbieter mit EU-SCC
   Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EU)
   PayPal (Europe) S.à r.l. et Cie, S.C.A.	Zahlungsabwicklung	Luxemburg (EU)
   Strato AG	E-Mail-Versand (SMTP)	Deutschland (EU)
   Apple Inc.	iOS-Distribution, APNs-Push, TestFlight	Irland (EU) / USA (EU-SCC)
   Google Ireland Ltd.	Play-Distribution, FCM-Push, Android-Dienste	Irland (EU) / USA (EU-SCC)
   Expo Inc.	Push-Token-Relay, OTA-Updates (signiert)	USA (EU-SCC)

8. H

   Sicherheit & technische Maßnahmen

   • Ausschließlich verschlüsselter Transport (TLS ≥ 1.2)
   • Passwörter nur als bcrypt-Hash, Zwei-Faktor-Authentifizierung optional
   • Mandantentrennung (Multi-Tenant): Daten verschiedener Firmenkunden sind auf Anwendungsebene und in der Datenbank strikt isoliert
   • Rollen- und Rechtesystem; serverseitige Rate-Limits und Input-Validierung
   • Tägliche verschlüsselte Backups innerhalb der EU
   • Protokollierung sicherheitsrelevanter Ereignisse
9. I

   Änderungen dieser Datenschutzerklärung

   Wir passen diese Erklärung an, wenn sich Gesetzeslage, Dienstleister oder Funktionen ändern. Die jeweils aktuelle Fassung ist unter unitlify.de/datenschutz abrufbar.