Gemäß Art. 13 DSGVO | § 26 BDSG | Zuletzt aktualisiert: 22. April 2026

1. Verantwortlichkeit und Datenschutzrollen (Art. 4 Nr. 7 und 8 DSGVO)

Im Rahmen dieser Anwendung sind die datenschutzrechtlichen Verantwortlichkeiten wie folgt verteilt:

Rolle	Beschreibung
Verantwortlicher (Art. 4 Nr. 7 DSGVO)	Das jeweilige Arbeitgeberunternehmen, das BIS3020 für seine Mitarbeiter einsetzt. Es bestimmt Zweck und Mittel der Datenverarbeitung, schließt den Arbeitsvertrag mit den betroffenen Personen und ist primärer Ansprechpartner für Auskunfts-, Berichtigungs- und Löschanfragen.
Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)	B Mobile & Time-Systems GmbH fungiert als technischer Dienstleister und Auftragsverarbeiter. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird mit jedem Kundenunternehmen abgeschlossen. B Mobile & Time-Systems GmbH hat keinen Zugriff auf operative Mitarbeiterdaten.
Drittdienstleister	Google Ireland Limited (Firebase Crashlytics & Analytics) – eingesetzt ausschließlich für technische Performance-Diagnose. Ein AVV mit Google ist abgeschlossen; die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-U.S. Data Privacy Framework.

Kontaktdaten des technischen Dienstleisters: Unternehmen: B Mobile & Time-Systems GmbH Adresse: Schulstraße 3, 45549 Sprockhövel, Deutschland E-Mail: info@b-solution.de Website: www.b-solution.de Für datenschutzrechtliche Anfragen im Beschäftigungskontext wenden Sie sich bitte primär an die Personalabteilung oder den Datenschutzbeauftragten Ihres Arbeitgebers.

2. Rechtsgrundlagen der Datenverarbeitung

Alle Verarbeitungsvorgänge stützen sich auf eine oder mehrere der folgenden Rechtsgrundlagen:

Rechtsgrundlage	Norm	Anwendungsfall
Vertragserfüllung / vorvertragliche Maßnahmen	Art. 6 Abs. 1 lit. b DSGVO	Login, Arbeitszeiterfassung, Einsatzplanung
Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c DSGVO	Arbeitszeitdokumentation gem. ArbZG, § 17 MiLoG
Beschäftigtendatenschutz	§ 26 Abs. 1 BDSG	Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (Personalstamm, Arbeitszeit, GPS-Verifikation)
Berechtigtes Interesse	Art. 6 Abs. 1 lit. f DSGVO	Firebase-Diagnosedaten (technische Fehlerbehebung, App-Stabilität)
Einwilligung (optional)	Art. 6 Abs. 1 lit. a DSGVO	Push-Mitteilungen (sofern der Nutzer die Berechtigung erteilt)

3. Kategorien verarbeiteter Daten, Zwecke und Speicherfristen

A. Personal- und Identitätsdaten

Kategorie	Details
Umfang	Vorname, Nachname, Personalnummer, Abteilung, Urlaubsanspruch, Einsatzorte, Tätigkeitsart
Rechtsgrundlage	§ 26 Abs. 1 BDSG, Art. 6 Abs. 1 lit. b DSGVO
Zweck	Login-Autorisierung, Anzeige individueller Arbeitspläne, Urlaubs- und Arbeitszeitverwaltung
Lokale Speicherung	Geräteinterne SwiftData- und UserDefaults-Sandbox (nur zur Offline-Nutzung)
Speicherdauer (Gerät)	Bis zur Deinstallation der App oder Abmeldung; automatische Löschung bei Deinstallation
Speicherdauer (Server)	Gemäß den Aufbewahrungsfristen des verantwortlichen Arbeitgebers; mindestens 2 Jahre gem. § 17 MiLoG bzw. bis zu 10 Jahre nach § 147 AO, soweit steuerrelevant

B. Operative Daten und Multimedia-Inhalte

Kategorie	Details
Umfang	Arbeitsbeginn- und Arbeitsende-Zeitstempel, Einsatzfotos, Textberichte
Rechtsgrundlage	§ 26 Abs. 1 BDSG, Art. 6 Abs. 1 lit. b und lit. c DSGVO
Zweck	Präzise Arbeitszeitdokumentation, Lohnabrechnung, Effizienzanalyse, Statusdokumentation
Übertragung	Direkt und ausschließlich an den privaten Server des Arbeitgebers (manuell oder automatische Hintergrundsynchronisierung)
Fotos	Werden nicht in der Gerätegalerie gespeichert, sondern ausschließlich in der App-Sandbox verwaltet und direkt an den Server übertragen
Speicherdauer (Server)	Gemäß Aufbewahrungsrichtlinie des Arbeitgebers; mindestens 2 Jahre gem. § 17 MiLoG

C. Standortdaten (GPS-Momentverifikation)

Kategorie	Details
Umfang	Geografische Koordinaten (Breitengrad / Längengrad) zum Zeitpunkt der Zeiterfassung
Rechtsgrundlage	§ 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO
Zweck	Einmalige Verifikation, ob sich der Mitarbeiter beim Arbeitsbeginn oder -ende am zugewiesenen Einsatzort befindet
Verarbeitungsregel	GPS-Daten werden ausschließlich im Moment des Drückens der Schaltfläche „Start“ oder „Ende“ abgerufen. Es erfolgt kein Hintergrund-Tracking, kein kontinuierliches Tracking und keine verdeckte Überwachung.
Übermittlung	Nur die berechnete Distanzangabe (z. B. „3,2 km vom Einsatzort entfernt“) wird an den Firmenserver übermittelt. Rohe Koordinaten werden serverseitig nur so lange gespeichert, wie es der Arbeitgeber zur Arbeitszeitdokumentation festlegt.
Speicherdauer	Gemäß Richtlinie des Arbeitgebers; empfohlen: Löschung nach Abschluss der Lohnabrechnung des jeweiligen Zeitraums

D. Kameranutzung

Die Kameraberechtigung wird ausschließlich für die folgenden Zwecke genutzt:

• Barcode-/QR-Code-Scanning: Einmalige Unternehmensaktivierung (Einlesen der Server-URL), Benutzerauthentifizierung sowie Geräte-/Inventarverfolgung im Arbeitsprozess.
• Einsatzfotos: Aufnahme von Fotos zur Dokumentation von Arbeitsstatus und -fortschritt; ausschließliche Übertragung an den Firmenserver, keine Speicherung in der Gerätegalerie.

E. Performance- und Diagnosedaten (Firebase)

Kategorie	Details
Umfang	Anonymisierte Geräte-ID (Installation ID), Absturzberichte, App-Performance-Metriken
Dienstleister	Google Ireland Limited – Firebase Crashlytics & Analytics
Rechtsgrundlage	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an App-Stabilität)
Drittlandübermittlung	USA – auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und dem EU-U.S. Data Privacy Framework
Zweck	Technische Fehlerdiagnose, Sicherstellung der App-Stabilität, Verbesserung der Nutzererfahrung
Kein Profiling	Firebase-Daten werden nicht für Werbezwecke oder zur Erstellung von Nutzerprofilen verwendet
Speicherdauer	Absturzberichte: 90 Tage; Analytics-Ereignisse: 14 Monate (Google-Standard); anschließend automatische Löschung

4. Datenweitergabe und Drittlandübermittlung

Es erfolgt keine kommerzielle Weitergabe, kein Verkauf und keine Vermietung von Nutzerdaten an Dritte zu Werbe-, Marketing- oder Data-Mining-Zwecken. Datenübermittlungen finden ausschließlich statt an:

• Den privaten Server des jeweiligen Arbeitgeberunternehmens (operative Daten, Zeitstempel, Fotos, Distanzinformationen) – innerhalb der EU/EWR oder auf Basis eines AVV.
• Google Ireland Limited (Firebase) – für technische Diagnosedaten; AVV abgeschlossen; Standardvertragsklauseln und EU-U.S. Data Privacy Framework als Transfermechanismus.

Eine Übermittlung in Drittländer erfolgt ausschließlich im Rahmen der vorgenannten Firebase-Nutzung und auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO.

5. Datensicherheit und technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Maßnahme	Beschreibung
Übertragungssicherheit	Gesamter Datenverkehr zwischen App und Server über HTTPS (TLS 1.2 oder höher)
Lokale Datenisolation	App-Daten werden ausschließlich in der sicheren iOS-App-Sandbox (SwiftData / UserDefaults) gespeichert – kein Zugriff durch andere Apps
Mediensicherheit	Fotos werden nicht in der allgemeinen Gerätegalerie gespeichert, sondern ausschließlich innerhalb der App-Sandbox verwaltet
Zugriffskontrolle	Entwickler (B Mobile & Time-Systems GmbH) hat keinen Zugriff auf Kundendatenbanken oder Mitarbeiterdaten
Automatische Löschung	Alle lokal gespeicherten Daten werden bei Deinstallation der App automatisch gelöscht

6. Geräteberechtigungen und Verwendungszwecke

Berechtigung	Zweck	Einschränkung
Kamera	Barcode-Scan (Einrichtung/Authentifizierung), Inventarverfolgung, Einsatzfotos	Nur bei aktivem Nutzeraufruf; keine Daueraufnahme
Standort (GPS)	Einmalige Verifikation des Arbeitsorts beim Arbeitsbeginn/-ende	Kein Hintergrund- oder Dauertracking; nur bei Betätigung von „Start“/„Ende“

7. Rechte der betroffenen Personen (Art. 15–22, 77 DSGVO)

Als betroffene Person stehen Ihnen folgende Rechte zu. Da das Arbeitgeberunternehmen Verantwortlicher ist, sind Anfragen primär an dessen Datenschutzbeauftragten oder zuständige Abteilung zu richten:

Recht	Beschreibung
Auskunft (Art. 15 DSGVO)	Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten über Sie verarbeitet werden.
Berichtigung (Art. 16 DSGVO)	Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
Löschung (Art. 17 DSGVO)	Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Lokale Gerätedaten werden bei Deinstallation automatisch gelöscht.
Einschränkung (Art. 18 DSGVO)	Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO)	Sie können verlangen, dass Ihre Daten in einem strukturierten, maschinenlesbaren Format bereitgestellt werden, soweit die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.
Widerspruch (Art. 21 DSGVO)	Sie können der Verarbeitung widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Bei Firebase-Diagnosedaten kann die App im Rahmen der Unternehmensrichtlinie angepasst werden.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)	Soweit eine Verarbeitung auf Ihrer Einwilligung beruht (Push-Mitteilungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (iOS-Systemeinstellungen > Mitteilungen).
Beschwerderecht (Art. 77 DSGVO)	Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Zuständige Behörde: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Kavalleriestraße 2-4, 40213 Düsseldorf, www.ldi.nrw.de

Kontakt für Betroffenenrechte: Wenden Sie sich für alle datenbezogenen Anfragen primär an die Personalabteilung oder den Datenschutzbeauftragten Ihres Arbeitgebers. Technische Anfragen zur App richten Sie an: info@b-solution.de

8. Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

B Mobile & Time-Systems GmbH handelt gegenüber dem Kundenunternehmen als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit jedem Kundenunternehmen wird ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abgeschlossen, der insbesondere folgende Punkte regelt:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Schutzmaßnahmen
• Regelungen zur Unterauftragsverarbeitung (insbesondere Google Firebase)
• Weisungsgebundenheit des Auftragsverarbeiters

Auch mit Google Ireland Limited (Firebase) besteht ein AVV. Die Übermittlung von Diagnosedaten in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) sowie des EU-U.S. Data Privacy Framework.

9. Zielgruppe und Altersbeschränkung

BIS3020 ist ausschließlich für den gewerblichen Einsatz durch Erwachsene im Beschäftigungsverhältnis konzipiert. Die App richtet sich nicht an Personen unter 16 Jahren (bzw. dem nach nationalem Recht geltenden Mindestalter für Beschäftigungsverhältnisse). Es werden wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren erhoben. Sollten dem Entwickler Hinweise auf eine solche Verarbeitung bekannt werden, werden die entsprechenden Daten unverzüglich gelöscht und das betroffene Unternehmen informiert.

10. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann aufgrund von Änderungen in unseren Diensten, technischen Entwicklungen oder gesetzlichen Neuerungen aktualisiert werden. Bei wesentlichen Änderungen werden Nutzer über In-App-Benachrichtigungen und/oder die Website www.b-solution.de informiert. Das Datum der letzten Aktualisierung am Kopf dieses Dokuments gibt stets die aktuell gültige Version an. Die Nutzung der App nach einer Aktualisierung gilt als Kenntnisnahme der aktualisierten Erklärung.

11. Kontakt und Datenlöschanfragen

Für technische Fragen zur App und zu unseren Datenverarbeitungsprozessen: Entwickler: B Mobile & Time-Systems GmbH Adresse: Schulstraße 3, 45549 Sprockhövel, Deutschland E-Mail: info@b-solution.de Website: www.b-solution.de Für Anträge auf Datenlöschung oder Kontoschließung wenden Sie sich an den Systemadministrator oder die zuständige Abteilung Ihres Arbeitgebers. Nach Deinstallation der App werden lokal gespeicherte Daten automatisch gelöscht. Serverseitige Daten unterliegen den Aufbewahrungsfristen und Löschrichtlinien des verantwortlichen Arbeitgebers.

12. Zuständige Datenschutzaufsichtsbehörde

---

BIS3020 Enterprise Mobile App | B Mobile & Time-Systems GmbH | Schulstraße 3, 45549 Sprockhövel | info@b-solution.de Erstellt in Übereinstimmung mit DSGVO (EU) 2016/679 | § 26 BDSG | Art. 13 DSGVO | Stand: 22. April 2026