Aller au contenu principal
PayeMesHeures

Impressum

Letzte Aktualisierung: 27. Februar 2026

Artikel 1 — Verantwortlicher

Verantwortlicher für die Verarbeitung der personenbezogenen Daten ist die Gesellschaft VOIGHT-KAMPFF, SARL mit einem Kapital von 100 Euro, HGR Créteil 823 547 526, mit Sitz in 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Datenschutzbeauftragter (DSB): Arthur Dagard — dpo@payemesheures.fr.

Diese Erklärung wird gemäß der Verordnung (EU) 2016/679 vom 27. April 2016 (DSGVO) und dem österreichischen Datenschutzgesetz (DSG) erstellt.

Datenschutzbeauftragter: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Artikel 2 — Erhobene Daten

Wir erheben je nach genutzten Funktionen folgende Datenkategorien:

Identifikationsdaten: E-Mail-Adresse, Passwort (gespeichert als Hash mit bcrypt, Faktor 12 — nie im Klartext), Wohnsitzland.

Berufliche Daten: Name des Arbeitgebers, Firmennummer, Kollektivvertrag / paritätischer Ausschuss, Vertragsart, beruflicher Status, monatliches Bruttogehalt, vertragliche Arbeitszeiten, Eintrittsdatum im Unternehmen, angegebene Urlaubs- und Abwesenheitszeiträume.

Dokumente: hochgeladene Lohnabrechnungen im PDF-Format (gespeichert in einem privaten, verschlüsselten Bucket bei Supabase, Server in Frankfurt, Deutschland, EU), durch künstliche Intelligenz extrahierte Analyseergebnisse.

Kalenderdaten (optional, mit Einwilligung): Wenn Sie einen externen Kalender verbinden (Google Calendar, Outlook, Slack), greifen wir im Lesezugriff auf die Metadaten zu (Datum, Uhrzeit, Titel). Der detaillierte Inhalt der Nachrichten wird nicht erhoben. Der Zugriff ist jederzeit widerrufbar.

Transaktionsdaten: Kaufhistorie, Beträge, Zahlungsdaten, Rechnungsnummern. Kartendaten werden von VOIGHT-KAMPFF niemals erhoben oder gespeichert (verarbeitet von Stancer, zertifiziert nach PCI DSS Level 1).

Technische Daten: IP-Adresse (Sicherheit und Betrugsbekämpfung), Zeitstempel der Anmeldungen, Browser-User-Agent.

🔒 Verschlüsselung

Passwörter bcrypt-gehasht, OAuth-Tokens AES-256-verschlüsselt, Kommunikation TLS 1.3.

🏢 Hosting in der EU

Daten in Frankfurt gehostet (Supabase) und in der EU verarbeitet (Vercel).

Artikel 3 — Rechtsgrundlagen und Zwecke

Ihre Daten werden auf folgenden Rechtsgrundlagen verarbeitet:

Vertragserfüllung (Art. 6.1.b DSGVO): Bereitstellung des Prüfdienstes, Analyse der Lohnabrechnungen, Erkennung von Abweichungen, Erstellung von Dokumenten, Verwaltung des Kontos und der Käufe.

Einwilligung (Art. 6.1.a DSGVO): Zugriff auf externe Kalender und Messenger (Google, Outlook, Slack), Versand kommerzieller Mitteilungen.

Gesetzliche Verpflichtung (Art. 6.1.c DSGVO): Aufbewahrung der Rechnungen (10 Jahre), Betrugsbekämpfung, Beantwortung gerichtlicher Anordnungen.

Berechtigtes Interesse (Art. 6.1.f DSGVO): Versand von Service-E-Mails (Kontobestätigung, Passwort-Zurücksetzung, Sicherheitsbenachrichtigungen), Verbesserung des Dienstes auf Basis anonymisierter Statistiken, Missbrauchsprävention und Sicherheit des Dienstes.

Artikel 4 — Hosting und Auftragsverarbeiter

Ihre Daten werden von folgenden Auftragsverarbeitern gehostet und verarbeitet, die alle durch DSGVO-konforme Auftragsverarbeitungsverträge (AVV) gebunden sind:

• Supabase Inc. — PostgreSQL-Datenbank und Dateispeicherung, Server in Frankfurt, Deutschland (EU)

• Vercel Inc. — Hosting der Webanwendung, Compute in der Region cdg1 (Paris, EU), US-Übermittlungen abgesichert durch SVK und Data Privacy Framework

• Stancer SAS — Zahlungsabwicklung, Frankreich, zertifiziert nach PCI DSS Level 1

• Brevo SAS — Versand transaktionaler und werblicher E-Mails, Frankreich

• Google LLC (Gemini-API) — Analyse der Lohnabrechnungen durch KI, die Bilder werden von Google nach der Verarbeitung nicht aufbewahrt (SVK und Data Privacy Framework)

• Google LLC / Microsoft Corp. — API Calendar, Gmail, Outlook, Teams (Lesezugriff, mit Einwilligung, Datenverarbeitung in der EU über SVK)

• Slack Technologies LLC, Atlassian Pty Ltd, Asana Inc., Salesforce.com Inc. — Fach-APIs (nur Metadaten, mit ausdrücklicher Einwilligung, SVK und Data Privacy Framework)

• Sentry.io (Functional Software Inc., USA) — Überwachung technischer Fehler, pseudonymisierte Daten, Aufbewahrung höchstens 12 Monate, SVK und Data Privacy Framework

Artikel 5 — Datenübermittlungen außerhalb der EU

Einige unserer Auftragsverarbeiter (Vercel, Google, Microsoft, Sentry, Slack, Atlassian, Asana, Salesforce) sind US-amerikanische Gesellschaften. Die Datenübermittlungen in die USA werden abgesichert durch:

• Das EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) für die zertifizierten Auftragsverarbeiter

• Ergänzend die von der Europäischen Kommission erlassenen Standardvertragsklauseln (SVK, Beschluss 2021/914)

VOIGHT-KAMPFF verpflichtet sich, keine personenbezogenen Daten ohne geeignete Garantien in ein Drittland zu übermitteln. Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten niemals mit Dritten zu kommerziellen Zwecken.

Artikel 6 — Aufbewahrungsdauer

Die Daten werden für folgende Zeiträume aufbewahrt:

• Kontodaten (Profil, Einstellungen) — Lebensdauer des aktiven Kontos + 30 Tage nach Löschung

• Lohnabrechnungen und Analysen — Lebensdauer des Kontos, gelöscht innerhalb von 30 Tagen nach Löschung des Kontos

• Importierte Kalenderdaten — Lebensdauer des Kontos, gelöscht bei Trennung der Integration oder Löschung des Kontos

• Rechnungen und Buchhaltungsdaten — 10 Jahre ab Abschluss des Geschäftsjahres (gesetzliche Verpflichtung)

• Daten der gesetzlichen Einwilligung (angehakte Kästchen, akzeptierte AGB-Versionen, IP-Adresse) — 5 Jahre ab der Annahme

• Technische Protokolle (IP-Adresse, Zeitstempel) — 12 Monate

• Anonymisierte Daten zu statistischen Zwecken — zeitlich unbegrenzt

Artikel 7 — Ihre Rechte (DSGVO)

Gemäß den Artikeln 15 bis 22 der DSGVO haben Sie folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO): die Bestätigung erhalten, dass Ihre Daten verarbeitet werden, und eine Kopie davon erhalten. Üben Sie dieses Recht über Einstellungen → Meine Daten oder per E-Mail an dpo@payemesheures.fr aus.

Recht auf Berichtigung (Art. 16 DSGVO): Ihre unrichtigen oder unvollständigen Daten berichtigen lassen.

Recht auf Löschung — „Recht auf Vergessenwerden“ (Art. 17 DSGVO): die Löschung Ihrer Daten erwirken. Üben Sie dieses Recht über Einstellungen → Mein Konto löschen aus. Endgültige Löschung innerhalb von 30 Tagen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) erhalten. Üben Sie dieses Recht über Einstellungen → Meine Daten → Exportieren aus.

Widerspruchsrecht und Recht auf Einschränkung (Art. 18 und 21 DSGVO): der Verarbeitung aus berechtigten Gründen widersprechen. Kontakt: dpo@payemesheures.fr.

Recht auf Widerruf der Einwilligung: jederzeit widerrufbar, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren. Für Integrationen: trennen Sie über Integrationen. Für E-Mails: Abmeldelink in jeder E-Mail.

Sie können eine Beschwerde bei der österreichischen Datenschutzbehörde (www.dsb.gv.at) einreichen.

Datenschutzbeauftragter: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Artikel 8 — Datensicherheit

VOIGHT-KAMPFF setzt folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um:

• Verschlüsselung aller Kommunikation über HTTPS (TLS 1.3)

• Passwörter als Hash mit bcrypt (Kostenfaktor 12)

• OAuth-Integrations-Tokens in der Datenbank verschlüsselt (AES-256)

• Lohnabrechnungen in einem privaten, nicht öffentlich zugänglichen Bucket gespeichert

• Authentifizierung per JSON Web Token (JWT) mit Ablauf

• Schutz vor CSRF-, XSS- und SQL-Injection-Angriffen

• HTTP-Sicherheitsheader (HSTS, X-Frame-Options, CSP, X-Content-Type-Options)

• Rate Limiting auf allen API-Routen

• Row Level Security (RLS) auf allen Datenbanktabellen aktiviert

• Administratorzugang durch separate Authentifizierung geschützt

🛡️ Ende-zu-Ende-Verschlüsselung

TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, bcrypt für Passwörter.

🔐 Sicherer Zugang

JWT mit Ablauf, CSRF-/XSS-Schutz, Rate Limiting, RLS auf allen Tabellen.

Artikel 9 — Cookies

Die Website verwendet ausschließlich Cookies, die für den Betrieb des Dienstes unbedingt erforderlich sind und keiner vorherigen Einwilligung bedürfen:

• „token“ — JWT-Authentifizierungs-Cookie (Dauer: 30 Tage)

• „cookie_consent“ — Speicherung der Nutzerwahl (Dauer: 12 Monate)

Es werden keine Werbe-, Profiling-, Tracking- oder Drittanbieter-Analyse-Cookies gesetzt. Es wird kein Drittanbieter-Tool zur Reichweitenmessung verwendet.

Artikel 10 — Künstliche Intelligenz

Die Analyse der Lohnabrechnungen erfolgt durch ein Modell künstlicher Intelligenz (Google Gemini) über die Google-AI-API. Die Bilder Ihrer Lohnabrechnungen werden sicher (HTTPS) an die API gesendet, um die Daten zu extrahieren (geleistete Stunden, Beträge, Bezeichnungen).

Gemäß den Nutzungsbedingungen der Google-AI-API: die gesendeten Daten werden von Google nicht zum Training seiner Modelle verwendet; die Daten werden von Google nicht über die Verarbeitungsdauer hinaus aufbewahrt; die extrahierten Ergebnisse werden auf unseren in der EU gehosteten Servern gespeichert (Supabase, Frankfurt).

Der Nutzer wird darüber informiert, dass die Ergebnisse der KI-Analyse Schätzungen sind und überprüft werden müssen.

Artikel 11 — Minderjährige

Der Dienst ist ausschließlich für volljährige Personen (vollendetes 18. Lebensjahr) bestimmt. VOIGHT-KAMPFF erhebt nicht wissentlich personenbezogene Daten von Minderjährigen. Sollten wir feststellen, dass ein Minderjähriger ein Konto erstellt hat, wird dieses gelöscht und die Daten entfernt.

Artikel 12 — Änderung der Erklärung

Diese Erklärung kann aktualisiert werden, um gesetzliche, technische oder praxisbezogene Entwicklungen widerzuspiegeln. Bei einer wesentlichen Änderung werden die Nutzer mindestens fünfzehn (15) Tage vor deren Inkrafttreten per E-Mail informiert. Das Datum der letzten Aktualisierung ist am oberen Rand dieser Seite angegeben.

Artikel 13 — Kontakt

Um Ihre Rechte auszuüben, eine Frage zu stellen oder einen Sicherheitsvorfall zu melden:

Datenschutzbeauftragter — dpo@payemesheures.fr

Post: VOIGHT-KAMPFF, DPO, 49 rue Charles Infroit, 94500 Champigny-sur-Marne, Frankreich

Antwortfrist: höchstens dreißig (30) Tage ab Erhalt der Anfrage (Art. 12.3 DSGVO).

Datenschutzbeauftragter: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.