Datenschutzerklärung

1 Überblick

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir informieren sie, welche personenbezogenen Daten bei der Nutzung von Noventi Flex erhoben und verarbeitet werden.

1.1 Was ist Noventi Flex?

Noventi Flex („Noventi Flex“) ist eine browserbasierte Online-Lösung („Software-as-a-Service“) der aSuite Software GmbH, 65428 Rüsselsheim am Main („Wir“). Die aSuite Software GmbH ist ein Tochterunternehmen der Noventi Health SE, München. Noventi Flex wird bereitgestellt unter der Adresse https://app.noventiflex.com („Portal“).

1.2 An wen richtet sich Noventi Flex?

Noventi Flex richtet sich ausschließlich an Unternehmen im Sinne des § 14 BGB. Noventi Flex kann nur von Unternehmen genutzt werden, die eine Vereinbarung über die Nutzung des Produktes abgeschlossen haben.

1.3 Was macht Noventi Flex?

Über das Portal können die Services Zeiterfassung, Personaleinsatzplanung und Abwesenheitsmanagement genutzt werden. Die dem Benutzer zur Verfügung stehenden Funktionalitäten hängen von seinen Rollen und den gebuchten Modulen ab.

1.4 Was sind „personenbezogene Daten“?

Der Begriff "personenbezogene Daten" meint alle Einzelangaben über eine bestimmte oder bestimmbare natürliche Person, z.B. eine E-Mail-Adresse.

1.5 Kontakt

Unseren Datenschutzbeauftragten erreichen Sie wie folgt:

intersoft consulting services AG

zuständiger Datenschutzbeauftragter der NOVENTI Health SE – Hauptsitz: Beim Strohhause 17, 20097 Hamburg, Telefon: +49 40 790 235 - 0

Der Ansprechpartner für NOVENTI Health SE ist direkt erreichbar per Mail:

datenschutz@awinta.de oder auch datenschutz@noventi.de

2 Pflichtangaben und Allgemeine Datenschutzhinweise

2.1 Rechtsrahmen und Speicherort

Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren gesetzlichen Vorschriften, insbesondere die Datenschutzgrundverordnung (EU-DSGVO) sowie nationale Datenschutzgesetze und datenschutzrechtlichen Bestimmungen.

Zur Bereitstellung unserer Dienste können wir auf die Hosting- und Software-Leistungen Dritter (sog. Cloud-Provider) zurückgreifen. Der Speicherort der Daten beim Cloud-Provider liegt in der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR).

2.2 Verantwortliche Stelle

Das Unternehmen, das Noventi Flex nutzt.

2.3 Verarbeitete Daten

2.4 Rechtsgrundlage

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b. DSGVO, ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO sowie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a. DSGVO.

2.5 Betroffene Personen

Mitarbeiter des Unternehmens, das Noventi Flex nutzt sowie Nutzer von Noventi Flex.

2.6 Verwendungszweck und Speicherdauer

Wir verarbeiten die Daten ausschließlich zur Bereitstellung des Dienstes.

Gespeicherte Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, erfolgt die Löschung, sobald die Daten für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind (z. B. aus handels- oder steuerrechtlichen Gründen), wird die Verarbeitung eingeschränkt. Die Daten werden dann gesperrt und nicht für andere Zwecke verarbeitet. Daten, deren längere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

2.7 TLS-Verschlüsselung

Noventi Flex nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte bei der Übermittlung personenbezogener Daten eine TLS-Verschlüsselung (https://).

2.8 Cookies

Noventi Flex verwendet sogenannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.

Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität von Noventi Flex eingeschränkt sein.

Cookies werden auf Grundlage unseres berechtigten Interesses zur technisch fehlerfreien und optimierten Bereitstellung unserer Dienste gespeichert.

2.9 Passwörter

Passwörter werden vom Benutzer selbst festgelegt. Sie sind nur ihm bekannt. Sie werden nicht im Original, sondern als verschlüsselter Hash-Wert gespeichert und sind unter normalen Umständen nicht rekonstruierbar.

Passwörter müssen bestimmten Sicherheitsanforderungen entsprechen, indem sie eine bestimmte Mindestlänge haben und verschiedene Arten von Zeichen enthalten. Die Prüfung der Einhaltung dieser Anforderungen erfolgt systemseitig bei der Festlegung des Passworts.

2.10 Betroffenenrechte

Betroffene haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck ihrer gespeicherten personenbezogenen Daten zu erhalten. Betroffene haben außerdem ein Recht, die Berichtigung, Löschung bzw. Sperrung bzw. Einschränkung der Verarbeitung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können sich Betroffene jederzeit an uns wenden. Des Weiteren steht Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2.11 Widerruf

Viele Datenverarbeitungsvorgänge sind nur mit ausdrücklicher Einwilligung der Betroffenen möglich. Diese können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

3 Ergänzungen für die Nutzung durch Mitarbeiter

3.1 Überblick

Noventi Flex bietet Mitarbeitern verschiedene Zugangswege zum System. Welche davon konkret zur Verfügung stehen, wird vom Unternehmen des Mitarbeiters festgelegt.

3.2 Benutzerkonto

Um Noventi Flex nutzen zu können, muss der Mitarbeiter in der von Noventi Flex versendeten Einladungs-Mail einen individuellen Link anklicken und so seine E-Mail-Adresse bestätigen (sog. „Double-Opt-In“), und anschließend sein persönliches Passwort festlegen. Es ist nicht möglich, selbst ein Benutzerkonto anzulegen.

3.3 Browser-Zugang

Mitarbeiter können per Internet-Browser über eine verschlüsselte Verbindung auf Noventi Flex zugreifen, sofern sie dafür freigeschaltet worden sind. Dazu ist die Anmeldung mit E-Mail-Adresse und persönlichem Passwort erforderlich.

3.4 “Mitarbeiter-App”

3.4.1 Überblick

Mitarbeiter können auf Endgeräten mit den Betriebssystemen „iOS“ und „Android“ eine kostenlose mobile Anwendung („App“) aus dem Apple App Store bzw. Google Play Store laden. Die Nutzung der App als solche unterliegt den Bedingungen, die beim Download separat mit dem Dritten vereinbart werden.

Über die Mitarbeiter-App haben Mitarbeiter Zugriff auf Noventi Flex. Die Kommunikation zwischen App und Server läuft über eine verschlüsselte Verbindung.

3.4.2 Benutzeranmeldung

Die Anmeldung in der App erfolgt mit E-Mail-Adresse und persönlichem Passwort. Diese Daten werden nicht gespeichert, sondern ein sogenannter „Anmelde-Token“ erstellt. Der Anmelde-Token wird in einem geschützten Bereich des Smartphones abgelegt. Aus Sicherheitsgründen läuft der Anmelde-Token ab, wenn die App länger als 30 Tage nicht genutzt bzw. nicht mit dem Server verbunden wird. Bei der Deinstallation der App und beim Abmelden wird der Anmelde-Token gelöscht.
Der Programmstart kann auf Wunsch per „FaceID“ oder „TouchID“ (unter iOS) bzw. „Smartlock“ (unter Android) geschützt werden.

3.4.3 Zugriffsberechtigungen

Die Mitarbeiter-App verwendet die nachfolgenden Zugriffsberechtigungen auf das Endgerät, um die Funktionsfähigkeit zu gewährleisten:

3.4.4 Lokale Datenkopie

Eine Kopie der Daten vom Server wird zwecks Offline-Fähigkeit auf dem Endgerät in verschlüsselter Form gespeichert. Diese Datenkopie wird bei der Deinstallation der App mitgelöscht.

3.4.5 Firebase Crashlytics

Wir nutzen „Firebase Crashlytics“, um die die Zuverlässigkeit und Stabilität der App zu verbessern. Im Falle eines Programmabsturzes können Absturzberichte übermittelt werden. Diese werden dann an die Server von Google in den USA übertragen (Zustand der App zum Zeitpunkt des Absturzes, Installation UUID, Crash-Trace, Hersteller und Betriebssystem des Handys, letzte Log-Meldungen). Die Informationen enthalten keine personenbezogenen Daten. Es handelt sich um einen Dienst der Google Ireland Ltd., Google Building Gordon House, Barrow Street, Dublin 4, Irland. Weitere Informationen finden Sie in den Datenschutzhinweisen von Firebase Crashlytics unter https://firebase.google.com/support/privacy.

3.5 App “PIN-Zugang”

3.5.1 Überblick

Über die App „PIN-Zugang“ können Mitarbeiter Arbeitszeiten auf einem gemeinsamen Gerät erfassen, z.B. einem Tablet im Pausenraum. Zuvor muss die App durch einen administrativen Nutzer installiert und mit dem Noventi Flex - System des Unternehmens verbunden worden sein.

Die Kommunikation zwischen App und Server läuft über eine verschlüsselte Verbindung in Echtzeit. Es werden keine Benutzerdaten auf dem Gerät gespeichert.

3.5.2 Benutzeranmeldung

Die Anmeldung erfolgt über einen persönlichen PIN-Code. Der PIN-Code wird automatisch vom System erzeugt und dem Mitarbeiter per E-Mail mitgeteilt. Der PIN-Code dient der Authentifizierung des Mitarbeiters in der App und ist daher vertraulich zu behandeln.

3.6 Internet Kalender (iCal)

Es besteht die Möglichkeit, den eigenen Dienstplan als Internet-Kalender (iCal) zu abonnieren. Diese Funktion muss durch den Mitarbeiter in seinem Benutzerkonto eingeschaltet und ein individueller, eindeutiger Link erzeugt werden. Der Link ist vertraulich zu behandeln, da er technisch bedingt ohne weitere Authentifizierung den Abruf der Daten des Internet-Kalenders ermöglicht. Die Funktion kann jederzeit ausgeschaltet werden, z.B. bei Verdacht auf Missbrauch des Links. Es kann dann ein neuer Link erzeugt werden.

4 Ergänzungen für die Nutzung durch Weitere Benutzer

4.1 Überblick

Noventi Flex bietet die Möglichkeit, Nutzer mit administrativen Rechten in das System einzuladen („Weitere Benutzer“). Die Zugriffsrechte werden beim Anlegen des Weiteren Benutzers festgelegt.

4.2 Benutzerkonto

Um Noventi Flex nutzen zu können, muss der Weitere Benutzer in der von Noventi Flex versendeten Einladungs-Mail einen individuellen Link anklicken und so seine E-Mail-Adresse bestätigen (sog. „Double-Opt-In“) und anschließend sein persönliches Passwort festlegen. Es ist nicht möglich, selbst ein Benutzerkonto anzulegen.

4.3 Browser-Zugang

Weitere Benutzer können per Internet-Browser über eine verschlüsselte Verbindung auf Noventi Flex zugreifen. Dazu ist die Anmeldung mit E-Mail-Adresse und individuellem Passwort erforderlich.

4.4 App “PIN-Zugang”

4.4.1 Überblick

Weitere Benutzer können auf Endgeräten mit den Betriebssystemen „iOS“, „Android“ und „Windows“ die kostenlose mobile Anwendung („App“) aus dem Apple App Store bzw. Google Play Store laden. Die Nutzung der App als solche unterliegt den Bedingungen, die beim Download separat mit dem Dritten vereinbart werden.

Über die App können Mitarbeiter Arbeitszeiten auf einem gemeinsamen Gerät erfassen, z.B. einem Tablet im Pausenraum. Zuvor muss die App durch einen administrativen Nutzer installiert und mit dem Noventi Flex - System der Organisation verbunden worden sein. Dabei wird ein sogenannter „Geräte Token“ erstellt. Aus Sicherheitsgründen läuft der Anmelde-Token ab, wenn die App länger als 30 Tage nicht genutzt bzw. nicht mit dem Server verbunden wird. Beim Löschen der App vom Endgerät wird auch der Geräte-Token gelöscht.

4.4.2 Benutzeranmeldung

Die Anmeldung durch Mitarbeiter erfolgt per über einen persönlichen PIN-Code. Der PIN-Code wird automatisch vom System erzeugt und dem Mitarbeiter per E-Mail mitgeteilt. Der PIN-Code dient der Authentifizierung des Mitarbeiters und ist daher vertraulich zu behandeln.

4.4.3 Zugriffsberechtigungen

Die App verwendet die nachfolgenden Zugriffsberechtigungen auf das Endgerät, um die Funktionsfähigkeit zu gewährleisten:

4.5 Internet Kalender (iCal)

Es besteht die Möglichkeit, Team-Abwesenheiten als Internet-Kalender (iCal) zu abonnieren. Diese Funktion muss durch den Weiteren Benutzer eingeschaltet und ein individueller, eindeutiger Link erzeugt werden. Der Link ist vertraulich zu behandeln, da er technisch bedingt ohne weitere Authentifizierung den Abruf der Daten des Internet-Kalenders ermöglicht. Die Funktion kann jederzeit ausgeschaltet werden, z.B. bei Verdacht auf Missbrauch des Links. Es kann dann ein neuer Link erzeugt werden.

5 Schlussbestimmungen

5.1 Änderungen

Wir behalten uns vor, diese Datenschutzhinweise von Zeit zu Zeit im Rahmen des rechtlich Zulässigen mit Wirkung für die Zukunft zu ändern. Einmal erhobene personenbezogene Daten werden wir aber ohne Ihre Zustimmung nicht nachträglich für andere, mit dem ursprünglichen Zweck inkompatible Zwecke, verwenden.

Stand: 02.08.2024