Datenschutzbestimmungen

Datenschutzerklärung

Zuletzt aktualisiert: 13. Dezember 2025
Bitte lesen Sie diese Datenschutzbestimmungen sorgfältig durch, bevor Sie unseren Service nutzen.

Wir bei BrainCore Solutions GmbH (im Folgenden „wir", „uns" oder „absentify" genannt) verpflichten uns, Ihre personenbezogenen Daten zu schützen und für Transparenz bei der Erhebung, Verarbeitung und Nutzung dieser Daten zu sorgen. Diese Datenschutzerklärung gilt für die Nutzung unserer Website https://absentify.com und unserer SaaS-Anwendung absentify.

1. Allgemeine Informationen

1.1 Wer ist für die Datenverarbeitung verantwortlich?

BrainCore Solutions GmbH Panoramaweg 1 8274 Tägerwilen, Schweiz

Telefon: +49 251 9811573777 E-Mail: support@absentify.com

1.2 Unser Vertreter in der EU (Art. 27 DSGVO)

Prighter Group GmbH Neustiftgasse 83/2A 1070 Wien, Österreich

Kontakt: https://app.prighter.com/portal/absentify

1.3 Unser Vertreter im Vereinigten Königreich (Art. 27 UK GDPR)

Prighter Ltd 20 Primrose Street London EC2A 2EW, Vereinigtes Königreich

Kontakt: https://app.prighter.com/portal/absentify

1.4 Datenschutzbeauftragter

BrainCore Solutions GmbH – Datenschutzbeauftragter E-Mail: privacy@absentify.com

1.5 Aufsichtsbehörden

EU-Aufsichtsbehörde: Sie können eine Beschwerde bei einer Aufsichtsbehörde in Ihrem EU-Mitgliedstaat einreichen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

UK-Aufsichtsbehörde: Information Commissioner's Office (ICO) Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, Vereinigtes Königreich Website: https://ico.org.uk

2. Rechtlicher Rahmen

2.1 EU-DSGVO-Konformität

absentify ist vollständig konform mit der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO). Wir verarbeiten personenbezogene Daten rechtmäßig, fair und transparent gemäß den Artikeln 5-11 DSGVO.

2.2 UK GDPR-Konformität

absentify ist auch konform mit der UK General Data Protection Regulation (UK GDPR), wie sie im britischen Recht gemäß dem European Union (Withdrawal) Act 2018 in Verbindung mit dem Data Protection Act 2018 beibehalten wird. Die UK GDPR gilt für die Verarbeitung personenbezogener Daten von Personen im Vereinigten Königreich.

2.3 Schweizer Datenschutz

Als Schweizer Unternehmen halten wir auch das Schweizer Bundesgesetz über den Datenschutz (DSG) ein.

3. Datenerhebung und -verarbeitung

Wir erheben und verarbeiten Ihre Daten auf folgende Weise:

3.1 Von Ihnen bereitgestellte Informationen

Registrierungs- und Kontoeinrichtungsinformationen
Formulare, E-Mails und Support-Nachrichten
Abwesenheitsanträge, Abwesenheitsgründe und hochgeladene Dokumente
Manuell eingegebene Profilinformationen

3.2 Von Microsoft synchronisierte Daten (bei aktivierter Microsoft-Anmeldung)

Wenn Sie die Microsoft-Anmeldung verwenden, erhalten und synchronisieren wir die folgenden grundlegenden Profildaten:

Datenelement

Zweck

Vorname

Benutzeridentifikation und Anzeige

Nachname

Benutzeridentifikation und Anzeige

E-Mail-Adresse

Kontoidentifikation und Kommunikation

Profilbild

Anzeige des Benutzerprofils

3.3 Direkt in absentify eingegebene Daten

Datenelement

Zweck

Geburtstag (optional)

Geburtstagsbenachrichtigungen und HR-Einblicke

Beschäftigungsbeginn/-ende

Jubiläumsbenachrichtigungen, Betriebszugehörigkeit, HR-Berichte

Benutzerdefinierte Mitarbeiter-ID

Integration mit HR-Systemen

Feiertagskalender

Genaue Urlaubsberechnungen

Regionale Einstellungen

Lokalisierte Benutzererfahrung

3.4 Geschäftsdaten

Datenelement

Zweck

Abwesenheitsanträge

Kernfunktionalität der Abwesenheitsverwaltung

Urlaubskontingente

Kontingentverwaltung und Saldenüberwachung

Abteilungszuweisungen

Organisationsstruktur und Zugriffskontrolle

Genehmiger-/Vertreter-Zuweisungen

Genehmigungsworkflows

Arbeitszeitpläne

Genaue Urlaubsberechnungen

Hochgeladene Dokumente

Begleitdokumentation für Abwesenheitsanträge

3.5 Automatisch erhobene technische Daten

Datenelement

Zweck

IP-Adresse

Sicherheit, Betrugsprävention und rechtliche Compliance

Browsertyp und -version

Technischer Support und Optimierung

Betriebssystem

Technischer Support und Optimierung

Zugriffszeit

Sicherheitsüberwachung und Analysen

Verweisende URLs

Marketing-Analysen

3.6 Authentifizierungsdaten

Datenelement

Zweck

Aufbewahrung

Microsoft OAuth-Tokens

API-Zugriff für optionale Integrationen

Verschlüsselt, automatische Erneuerung

Magic-Link-Tokens

Passwortlose Authentifizierung

15 Minuten, einmalige Verwendung

Sitzungs-Cookies

Sitzungsverwaltung

30 Tage, AES-256 verschlüsselt

4. Zweck und Rechtsgrundlage der Verarbeitung

Zweck

Rechtsgrundlage (EU-DSGVO)

Rechtsgrundlage (UK GDPR)

Bereitstellung des Zugangs zur Anwendung

Art. 6(1)(b) – Vertragserfüllung

Gewährleistung von Funktionalität und Sicherheit

Art. 6(1)(f) – Berechtigtes Interesse

Support und Kundenservice

Art. 6(1)(f) – Berechtigtes Interesse

Newsletter und Marketing (mit Einwilligung)

Art. 6(1)(a) – Einwilligung

Produktanalysen und Verbesserungen

Art. 6(1)(f) – Berechtigtes Interesse

Rechtliche Compliance und Aufzeichnungen

Art. 6(1)(c) – Rechtliche Verpflichtung

Interessenabwägung: Wenn wir uns auf berechtigte Interessen stützen, haben wir Abwägungstests durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und -freiheiten nicht überwiegen. Sie können Details zu diesen Bewertungen unter privacy@absentify.com anfordern.

Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung basiert, können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie sich an privacy@absentify.com wenden oder den Abmeldelink in Marketing-Mitteilungen verwenden.

5. Unterauftragsverarbeiter und Hosting

Wir wählen sorgfältig Unterauftragsverarbeiter aus, die unsere Sicherheits- und Datenschutzstandards erfüllen. Alle Unterauftragsverarbeiter arbeiten unter Auftragsverarbeitungsverträgen (AVV) in Übereinstimmung mit der DSGVO.

5.1 Aktuelle Unterauftragsverarbeiter

Wir arbeiten ausschließlich mit Unterauftragsverarbeitern innerhalb der Europäischen Union (EU) und des Vereinigten Königreichs (durch einen EU-Angemessenheitsbeschluss abgedeckt). Die aktuelle Liste der genehmigten Unterauftragsverarbeiter, einschließlich ihrer Standorte und Zwecke, ist verfügbar unter:

https://absentify.com/subprocessors

5.2 Änderungen bei Unterauftragsverarbeitern

Wir informieren Kunden mindestens 30 Tage vor Beauftragung neuer Unterauftragsverarbeiter per E-Mail oder über die Unterauftragsverarbeiter-Seite. Kunden können innerhalb von 14 Tagen Widerspruch einlegen, wenn sie begründete, dokumentierte Bedenken hinsichtlich der Datenschutz-Compliance haben.

6. Internationale Datenübermittlungen

6.1 Primäre Datenverarbeitungsstandorte

Alle personenbezogenen Daten werden primär innerhalb der Europäischen Union und der Schweiz verarbeitet:

Datentyp

Primärer Standort

Backup-Standort

Kundendaten

Nordeuropa (Irland)

EU-Partnerregion (geo-redundant)

Anwendungsprotokolle

Nordeuropa (Irland)

–

Audit-Protokolle

Nordeuropa (Irland)

–

6.2 EU-UK-Datenübermittlungen

Die Europäische Kommission hat einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, der anerkennt, dass das UK ein angemessenes Datenschutzniveau bietet. Dieser Angemessenheitsbeschluss ist derzeit bis zum 27. Dezember 2025 (verlängert) gültig. Wir überwachen diesen Status und werden bei Bedarf geeignete Schutzmaßnahmen umsetzen.

6.3 Schutzmaßnahmen für internationale Übermittlungen

Für alle Übermittlungen in Länder außerhalb der EU/des EWR/UK/der Schweiz ohne Angemessenheitsbeschluss stellen wir sicher, dass geeignete Schutzmaßnahmen vorhanden sind:

Standardvertragsklauseln (SCCs) gemäß Genehmigung der Europäischen Kommission
UK International Data Transfer Agreement (IDTA) oder UK-Zusatz zu EU-SCCs, wo erforderlich
Technische und organisatorische Sicherheitsmaßnahmen
Transfer Impact Assessments, wo erforderlich

Sie können eine Kopie dieser Schutzmaßnahmen unter privacy@absentify.com anfordern.

7. Ihre Rechte

7.1 Rechte nach EU-DSGVO und UK GDPR

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht

Beschreibung

Referenz

Auskunftsrecht

Bestätigung der Verarbeitung und Kopie Ihrer Daten erhalten

Art. 15 DSGVO

Recht auf Berichtigung

Unrichtige oder unvollständige Daten korrigieren

Art. 16 DSGVO

Recht auf Löschung

Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden")

Art. 17 DSGVO

Recht auf Einschränkung

Verarbeitung unter bestimmten Umständen einschränken

Art. 18 DSGVO

Recht auf Datenübertragbarkeit

Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten

Art. 20 DSGVO

Widerspruchsrecht

Verarbeitung aufgrund berechtigter Interessen widersprechen

Art. 21 DSGVO

Recht auf Widerruf der Einwilligung

Einwilligung jederzeit widerrufen

Art. 7(3) DSGVO

Recht, keiner automatisierten Entscheidung unterworfen zu werden

Nicht ausschließlich automatisierten Entscheidungen unterworfen werden

Art. 22 DSGVO

Beschwerderecht

Beschwerde bei einer Aufsichtsbehörde einreichen

Art. 77 DSGVO

7.2 Wie Sie Ihre Rechte ausüben können

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte unter:

E-Mail: privacy@absentify.com
Telefon: +49 251 9811573777

Wir werden auf Ihre Anfrage innerhalb eines Monats nach Eingang antworten. Diese Frist kann bei Bedarf unter Berücksichtigung der Komplexität und Anzahl der Anfragen um zwei weitere Monate verlängert werden.

7.3 Identitätsüberprüfung

Zum Schutz Ihrer Privatsphäre müssen wir möglicherweise Ihre Identität überprüfen, bevor wir Ihre Anfrage bearbeiten. Wir erheben keine Gebühr, es sei denn, Ihre Anfrage ist offensichtlich unbegründet oder übermäßig.

8. Datenspeicherung

Wir speichern Ihre Daten nur so lange, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, oder zur Erfüllung rechtlicher Anforderungen erforderlich ist.

8.1 Aufbewahrungsfristen

Datentyp

Aufbewahrungsfrist

Hinweise

Kundenanwendungsdaten

Bis zur Kontolöschung

Sofortige Löschung bei Kontolöschung

Backup-Daten

Maximal 14 Tage

Geo-redundante Backups, dann dauerhaft gelöscht

Finanzdaten

Verwaltet von Paddle

Unterliegt den DSGVO-konformen Richtlinien von Paddle

Anwendungsprotokolle

30 Tage

Azure Log Analytics

Sicherheits-Audit-Protokolle

365 Tage

Unveränderlicher Speicher für Compliance

Datenbank-Audit-Protokolle

30 Tage

Azure Log Analytics

Key Vault-Zugriffsprotokolle

365 Tage

Unveränderlicher Speicher

E-Mail-Kommunikation

12 Monate

Sofern nicht Teil einer rechtlichen/Audit-Angelegenheit

8.2 Datenlöschung

Wenn Daten nicht mehr benötigt werden, werden sie mit branchenüblichen Datenlöschmethoden sicher gelöscht, die sicherstellen, dass die Daten nicht wiederherstellbar sind.

9. Cookies und Analysen

9.1 Cookie-Kategorien

Unsere Website und Anwendung verwenden Cookies für folgende Zwecke:

Kategorie

Zweck

Rechtsgrundlage

Essenzielle Cookies

Kernfunktionalität, Sicherheit, Sitzungsverwaltung

Art. 6(1)(f) – Berechtigtes Interesse

Analyse-Cookies

Produktverbesserung und Nutzungsanalysen

Art. 6(1)(a) – Einwilligung

Marketing-Cookies

Personalisierte Werbung (falls zutreffend)

Art. 6(1)(a) – Einwilligung

9.2 Analysen

Wir verwenden Amplitude Analytics GmbH für anonymisierte Verhaltensanalysen. Alle Analysedaten werden ausschließlich innerhalb der Europäischen Union (Frankfurt am Main, Deutschland) verarbeitet.

9.3 Cookie-Verwaltung

Sie können Ihre Cookie-Einstellungen verwalten über:

Unser Cookie-Einwilligungsbanner
Ihre Browsereinstellungen
Unsere Cookie-Einstellungsseite

10. Sicherheit und Zertifizierungen

10.1 Zertifizierungen

Zertifizierung

Status

ISO 27001

Zertifiziert (Informationssicherheits-Managementsystem)

Microsoft 365 App-Zertifizierung

Zertifiziert

Microsoft Azure Compliance

ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3

10.2 Technische und organisatorische Maßnahmen

Wir haben umfassende Sicherheitsmaßnahmen zum Schutz Ihrer Daten implementiert:

Verschlüsselung:

Im Ruhezustand: AES-256-Verschlüsselung für alle Datenbanken, Speicher und Backups
Bei der Übertragung: TLS 1.2+ erzwungen auf allen Verbindungen, nur HTTPS mit HSTS

Netzwerksicherheit:

Private Endpoints für alle sensiblen Dienste (keine öffentlichen IP-Adressen)
Web Application Firewall (WAF) mit OWASP-Schutz
DDoS-Schutz mit Ratenbegrenzung
Dediziertes virtuelles Netzwerk mit Subnetz-Segmentierung

Zugriffskontrolle:

Rollenbasierte Zugriffskontrolle (RBAC)
Multi-Faktor-Authentifizierung (MFA) für Produktionszugriff
Prinzip der minimalen Rechtevergabe
Regelmäßige Zugriffsüberprüfungen
Direkter Datenbankzugriff auf das Top-Management beschränkt

Überwachung:

Microsoft Defender for Cloud für Echtzeit-Bedrohungserkennung
Kontinuierliche Sicherheitsüberwachung und Alarmierung
Unveränderliche Audit-Protokolle mit 365 Tagen Aufbewahrung

Incident Response:

Dokumentiertes Verfahren zur Reaktion auf Sicherheitsvorfälle
72-Stunden-Meldung an Aufsichtsbehörden bei Datenschutzverletzungen (wo erforderlich)
Regelmäßige Penetrationstests und Schwachstellenbewertungen

11. Auftragsverarbeitungsvertrag

Für Kunden, die absentify im geschäftlichen Kontext nutzen, stellen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO / UK GDPR bereit.

Der AVV ist verfügbar unter: https://absentify.com/dpa

Der AVV umfasst:

Standardvertragsklauseln (SCCs) für internationale Übermittlungen
Technische und organisatorische Maßnahmen (TOMs)
ISO 27001-Zertifikat als Anlage
Liste der Unterauftragsverarbeiter

12. Microsoft 365-Integration

absentify integriert sich mit Microsoft 365 für Authentifizierung und optionale Funktionen. Wir folgen dem Prinzip des minimalen Datenzugriffs.

12.1 Basis-Berechtigungen (nur Anmeldung)

Berechtigung

Zweck

email

E-Mail-Adressen der Benutzer anzeigen

openid

Benutzer anmelden

profile

Grundlegendes Benutzerprofil anzeigen

User.Read

Anmelden und Benutzerprofil lesen

12.2 Optionale Funktionen (Admin-Einwilligung erforderlich)

Jede optionale Funktion verwendet eine separate Azure AD-App-Registrierung, um den minimalen Berechtigungsumfang sicherzustellen:

Funktion

Berechtigungen

Was wir tun

Was wir NICHT tun

Kalender-Sync

Calendars.ReadWrite

Nur Abwesenheitsereignisse erstellen/aktualisieren/löschen

Bestehende Termine lesen

Abwesenheitsnotiz

MailboxSettings.ReadWrite

Nur automatische Antworten setzen

Auf E-Mails oder Postfachinhalte zugreifen

Manager-Sync

User.Read.All

Nur Manager-Beziehungen lesen

Auf sensible Mitarbeiterdaten zugreifen

Gruppen-Sync

Group.ReadWrite.All, Directory.Read.All

Nur Gruppenmitgliedschaften lesen

Auf Dateien, Chats oder Gruppeninhalte zugreifen

Unser Versprechen:

Wir fordern nur die für jede Funktion notwendigen Berechtigungen an
Wir lesen nur die spezifisch erforderlichen Datenfelder
Wir speichern nur das absolut Notwendige
Wir ändern Ihren Microsoft-Tenant niemals über den angegebenen Zweck hinaus

13. Zahlungsabwicklung

Die gesamte Zahlungsabwicklung erfolgt über Paddle.com Market Limited, die als unser Merchant of Record agiert.

absentify speichert keine Zahlungskartendaten, Bankinformationen oder Rechnungsadressen
Wir speichern nur Referenz-IDs zu Paddle-Datensätzen
Paddle ist PCI DSS-konform und DSGVO-konform

Für Rechnungsanfragen: https://paddle.net Paddle Datenschutzrichtlinie: https://www.paddle.com/legal/privacy

14. Datenschutz für Kinder

absentify ist ein Business-to-Business (B2B)-Dienst für die organisatorische Nutzung. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn Sie glauben, dass wir versehentlich solche Daten erhoben haben, kontaktieren Sie uns bitte umgehend unter privacy@absentify.com.

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologien, rechtlichen Anforderungen oder anderer Faktoren widerzuspiegeln.

Wesentliche Änderungen werden per E-Mail an registrierte Benutzer und/oder per Hinweis in der Anwendung kommuniziert
Das Datum „Zuletzt aktualisiert" oben in dieser Richtlinie zeigt an, wann sie zuletzt überarbeitet wurde
Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen