Flexory

1. Verantwortlicher für die Datenverarbeitung

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO und des Schweizerischen Datenschutzgesetzes (DSG) ist:

BanioBits Software Development and IT Solutions

Inhaber: Stefan Studhalter

Kürsiacherweg 10

3203 Mühleberg

Rechtsform: Einzelfirma

UID: CHE-430.822.150

Datenschutzbeauftragter:

E-Mail: datenschutz@baniobits.dev

Telefon: +41 79 152 81 09

2. Arten der verarbeiteten Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

2.1 Stammdaten

Vor- und Nachname
E-Mail-Adresse
Telefonnummer
Postanschrift
Geburtsdatum
Personalnummer

2.2 Beschäftigungsdaten

Abteilungszugehörigkeit
Rolle und Berechtigungen
Qualifikationen und Fähigkeiten
Verfügbarkeiten und Schichtpräferenzen
Abwesenheiten (Urlaub, Krankheit, etc.)
Arbeitszeiten und Schichteinsätze

2.3 Technische Daten

IP-Adresse
Browser-Typ und -Version
Betriebssystem
Zugriffszeitpunkte
Session-Cookies (Sitzungsverwaltung, 12 Stunden Gültigkeit)

2.4 Springer-spezifische Daten

Mobilität (Reisebereitschaft, Fahrzeugbesitz)
Standort- und Abteilungspräferenzen
Reisekostenabrechnungen
Leistungsbewertungen und Matching-Scores

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

Personalverwaltung: Verwaltung von Mitarbeiterdaten, Qualifikationen und Verfügbarkeiten
Schichtplanung: Erstellung und Verwaltung von Schichtanfragen und -einsätzen
Springer-Matching: Automatische Zuordnung von Springern zu offenen Schichten basierend auf Qualifikationen und Verfügbarkeit
Abwesenheitsverwaltung: Erfassung und Genehmigung von Urlauben, Krankheiten und anderen Abwesenheiten
Reporting und Analysen: Erstellung von Berichten zur Personalauslastung und Leistungsanalyse
Reisekostenverwaltung: Erfassung und Abrechnung von Reisekosten für Springer
Benachrichtigungen: Versand von Benachrichtigungen zu Schichtanfragen, Genehmigungen und Systemereignissen
Systemsicherheit: Führung von Audit-Logs zur Nachvollziehbarkeit von Systemzugriffen und -änderungen

4. Rechtsgrundlage der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung des Arbeitsvertrages (Personalverwaltung, Schichtplanung)
Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z.B. Aufbewahrungspflichten)
Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung zur Wahrung berechtigter Interessen (Systemsicherheit, Audit-Logs)
Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (sofern für spezifische Verarbeitungen eingeholt)

5. Empfänger der Daten

5.1 Interne Empfänger

Innerhalb der Organisation haben folgende Personengruppen Zugriff auf Ihre Daten:

Administratoren (voller Zugriff)
Regionalleiter und Betriebsleiter (Zugriff auf zugeordnete Regionen/Standorte)
Teamleiter (Zugriff auf eigene Teams)
Mitarbeiter (Zugriff auf eigene Daten)

5.2 Externe Empfänger

Ihre Daten werden an folgende externe Dienstleister weitergegeben:

Hosting-Anbieter: Hetzner Cloud (Deutschland) - für Server-Infrastruktur
E-Mail-Versand: Postmark (EU-Server) - für Transaktions-E-Mails
Fehlerüberwachung: Sentry (EU-Server) - für Systemfehler-Tracking

Alle externen Dienstleister sind vertraglich zur Einhaltung der DSGVO verpflichtet und verarbeiten Daten ausschließlich in unserem Auftrag.

6. Speicherdauer und Aufbewahrungsfristen

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung der Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Datentyp	Aufbewahrungsfrist	Löschverfahren
Aktive Mitarbeiterdaten	Dauer des Arbeitsverhältnisses + 10 Jahre	Soft-Delete → Hard-Delete nach 10 Jahren
Schichtanfragen	3 Jahre	Archivierung nach 1 Jahr, Löschung nach 3 Jahren
Audit-Logs	7 Jahre (gesetzliche Anforderung)	Automatische Löschung nach 7 Jahren
Inaktive Konten	2 Jahre ohne Aktivität	Automatische Deaktivierung → Manuelle Löschung
Datenbank-Backups	30 Tage	Automatische Rotation
Session-Cookies	12 Stunden	Automatische Ablauf nach Session-Ende

Detaillierte Informationen zu Aufbewahrungsfristen finden Sie in unserer Data Retention Policy (interne Dokumentation).

7. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO und DSG folgende Rechte:

7.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie können jederzeit Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ihr Konto wird dann anonymisiert und nach Ablauf der Fristen vollständig gelöscht.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten.

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. Nutzen Sie dafür die Export-Funktion in Ihrem Profil (CSV/Excel-Format).

7.6 Recht auf Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.

7.7 Recht auf Beschwerde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Ausübung Ihrer Rechte: Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten unter datenschutz@baniobits.dev oder telefonisch unter +41 79 152 81 09.

8. Datensicherheit und Schutzmaßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

8.1 Technische Maßnahmen

Verschlüsselung: HTTPS/TLS-Verschlüsselung für alle Datenübertragungen
Mandantenfähigkeit: Strikte Datentrennung zwischen verschiedenen Organisationen (Multi-Tenant-Isolation)
Authentifizierung: Sichere Passwort-Hashes (bcrypt) und optionale Zwei-Faktor-Authentifizierung
Session-Management: Sichere Session-Cookies mit 12-Stunden-Ablauf
Rate Limiting: Schutz vor Brute-Force-Angriffen
Regelmäßige Backups: Tägliche Backups mit 30-Tage-Aufbewahrung

8.2 Organisatorische Maßnahmen

Rollenbasierte Zugriffskontrolle: Pundit-basierte Autorisierung mit 6-stufiger Rollenhierarchie
Audit-Logs: Vollständige Nachvollziehbarkeit aller Systemzugriffe und Datenänderungen
Monitoring: Automatische Fehlerüberwachung und Performance-Monitoring (Sentry)
Security Scanning: Regelmäßige Sicherheitsüberprüfungen (Brakeman, Bundler Audit)
Schulungen: Regelmäßige Datenschutz-Schulungen für Mitarbeiter

9. Cookies und Tracking

9.1 Verwendete Cookies

Wir verwenden ausschließlich essenzielle Session-Cookies, die für den Betrieb der Anwendung notwendig sind:

Cookie-Name	Zweck	Gültigkeit
_flexory_session	Authentifizierung und Sitzungsverwaltung	12 Stunden

Keine Tracking-Cookies: Wir verwenden keine Analytics-, Marketing- oder Tracking-Cookies von Drittanbietern. Eine Cookie-Einwilligung ist daher nicht erforderlich.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen.

Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über das System informieren.

Stand: 27.10.2025

11. Datenschutzbeauftragter

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Datenschutzbeauftragter

Name: Stefan Studhalter

E-Mail: datenschutz@baniobits.dev

Telefon: +41 79 152 81 09

12. Zuständige Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Feldeggweg 1

CH-3003 Bern

Telefon: +41 58 462 43 95

E-Mail: info@edoeb.admin.ch

Website: www.edoeb.admin.ch