Datenschutzerklärung

Alexander Bryant

Lauerstraße 8

69117 Heidelberg

Telefon: +49 160 7270899

E-Mail: alexander.bryant2718@gmail.com

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Software und zur Erfüllung gesetzlicher Pflichten erforderlich ist. Im Einzelnen:

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies gesetzlich vorgeschrieben oder zur Vertragsdurchführung erforderlich ist:

• Steuerberater (im Rahmen der Lohnabrechnung und Buchführung)
• Gesetzliche Krankenkassen (Sozialversicherungsmeldungen)
• Deutsche Rentenversicherung (Sofortmeldungen, Beitragsnachweise)
• Finanzamt (Lohnsteueranmeldungen)
• Hoster / IT-Dienstleister (im Rahmen eines AV-Vertrags)
• Open-Meteo GmbH, Bremen, Deutschland (Wetterdaten via api.open-meteo.com für Schichtplanungs-Wetter- Widgets; kein Drittlandtransfer, kein AV-Vertrag erforderlich, da keine Personaldaten übermittelt werden — siehe §4a)

Zur Unterstützung der Schichtplanung blenden Dashboard, Terminal, Operativer Kalender und Coverage-View aktuelle Wetterdaten ein (Temperatur, Niederschlag, Wetter-Code für Standort des Restaurants).

Die Wetterdaten werden bezogen von:

Übermittelte Daten: Geo-Koordinaten des Restaurant- Standorts (statisch konfiguriert, kein Live-GPS), IP-Adresse des Endgeräts beim direkten Client-Fetch (Dashboard-Widget), User-Agent, HTTP-Referer (App-Subdomain). Beim Terminal-Wetter sowie beim 8-Tage-Forecast wird der Aufruf serverseitig ausgeführt (Server-Action weather.actions.ts) — in diesem Fall wird nur die IP des Anwendungsservers, nicht die individuelle Mitarbeiter-IP, übertragen.

Empfaengersitz: Bremen, Deutschland. Kein Drittlandtransfer (Art. 44 DSGVO greift nicht).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer gastronomie-typischen Schicht- und Bedarfs- planung anhand der Wetterlage). Die IP-Adresse ist nach BGH I ZR 90/20 und EuGH C-582/14 (Breyer) als personenbezogen anzusehen; die Übermittlung ist deshalb pflichtgemäß angegeben (Art. 13 Abs. 1 lit. e DSGVO).

Open-Meteo speichert nach eigener Datenschutz-Erklärung (open-meteo.com/en/terms) keine personenbezogenen Daten der Endnutzer dauerhaft. Es findet kein Tracking, kein Cookie- Setzen und keine Profilbildung statt. Die Lizenz der Wetterdaten ist CC-BY 4.0; die Pflicht- Attribution wird per WeatherAttributionFooteran den entsprechenden Stellen angezeigt.

Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich auf Servern innerhalb der Europäischen Union (Hosting in Deutschland). In folgenden, eng begrenzten Ausnahmefällen werden personenbezogene Daten an Auftragsverarbeiter mit Sitz in den USA übermittelt:

• SMS-Versand (Twilio Inc., USA): Soweit der Betrieb SMS-Benachrichtigungen an Mitarbeitende aktiviert hat, werden Mobilfunknummer und Nachrichteninhalt an Twilio übermittelt. Hinweis: Ein Wechsel zu einem EU-ansässigen SMS-Provider ist in Planung; bis dahin erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914) in der jeweils aktuellen Fassung. Twilio ist zudem nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
• Fehler-Monitoring (Sentry, Functional Software Inc., USA): Sofern der Betreiber Error-Tracking aktiviert hat, werden Fehlermeldungen (Stack-Traces, Request-Metadaten, User-ID in gehashter Form) an Sentry übermittelt. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der Anwendung); die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC). Sentry ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Es werden keine Klartext-E-Mails, IBAN oder Gesundheitsdaten an Sentry übermittelt (Filter via beforeSend-Hook).
• Kartenzahlung (SumUp Ltd., Vereinigtes Königreich): Sofern der Betrieb einen SumUp-Kartenleser einsetzt, werden Transaktionsmetadaten (Betrag, Zeitstempel, Terminal-ID) an SumUp übermittelt. Karteninhaberdaten werden nicht von der App verarbeitet, sondern direkt vom Terminal an SumUp (PCI DSS Level 1). Die Übermittlung an die britische Hauptniederlassung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission K(2021)4800 vom 28.06.2021. Die EU-Abrechnungsentität (SumUp Payments S.A., Luxemburg) operiert innerhalb der EU.
• KI-Beleg-/Rechnungserkennung (OpenAI, USA / Anthropic, USA): Nur sofern der Betrieb die optionale KI-gestützte Texterkennung (OCR) für Belege und Lieferantenrechnungen aktiviert hat, wird das jeweils hochgeladene Beleg-/Rechnungsbild zur Extraktion der Artikel-Positionen an den konfigurierten KI-Anbieter übermittelt. Eingesetzt wird — je nach KI-Konfiguration des Betriebs — entweder die OpenAI-API (OpenAI, L.L.C., San Francisco, CA, USA) oder die Anthropic-API (Anthropic PBC, San Francisco, CA, USA). Übermittelt wird ausschließlich das vom Betrieb hochgeladene Bild des Belegs bzw. der Rechnung samt den darauf enthaltenen Angaben (z. B. Lieferant, Artikelbezeichnungen, Mengen, Preise); personenbezogene Daten von Beschäftigten oder Kund:innen werden hierfür nicht gezielt übermittelt. Zweck ist allein die automatisierte Beleg-/Rechnungserfassung in der Warenwirtschaft. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO (Durchführung des Nutzungsverhältnisses bzw. berechtigtes Interesse an einer effizienten Belegerfassung); die Verarbeitung erfolgt im Auftrag des verantwortlichen Betriebs. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) in der jeweils aktuellen Fassung. Setzt der Betrieb einen eigenen KI-Zugang ein, ist er für die Auswahl des Anbieters und die Absicherung des Drittlandtransfers mitverantwortlich.

Zusätzlich wird als zertifizierte technische Sicherheitseinrichtung (TSE) nach §146a AO die Cloud-TSE der fiskaly GmbH (Praterstraße 62-64, 1020 Wien, Österreich) eingesetzt. Da fiskaly seinen Sitz in Österreich (EU) hat, liegt kein Drittlandtransfer vor. Übermittelt werden ausschließlich Transaktionsmetadaten zur TSE-Signierung — keine personenbezogenen Daten von Kund:innen oder Beschäftigten.

Die Standardvertragsklauseln sowie die zugehörigen Auftragsverarbeitungsverträge können auf Anfrage beim Verantwortlichen eingesehen werden. Ein Drittlandtransfer an andere Empfänger (insbesondere zum Steuerberater, Finanzamt oder Sozialversicherungsträgern) findet nicht statt.

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Im Einzelnen gelten folgende Fristen:

• Lohnabrechnungen, Lohnkonten: 6 Jahre (§41 Abs. 1 EStG)
• Buchungsbelege: 8 Jahre (§147 Abs. 1 Nr. 4 AO, ab 2025 verkürzt von 10 auf 8 Jahre)
• Arbeitszeitaufzeichnungen: 2 Jahre (§16 Abs. 2 ArbZG)
• IfSG-Belehrungsnachweise: Dauer der Tätigkeit + 12 Monate
• Sofortmeldungen: 5 Jahre (§28f Abs. 1 SGB IV)
• Verträge: 3 Jahre nach Vertragsende (regelmäßige Verjährung, §195 BGB)
• GPS-Standortdaten: 7 Tage nach Erfassung (Geofence-Ergebnis wird aufbewahrt)
• Chat-Nachrichten: Dauer des Beschäftigungsverhältnisses + 30 Tage

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden die Daten automatisch gelöscht oder anonymisiert.

Im Rahmen der Personalverwaltung kann es zur Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO kommen. Dies betrifft insbesondere:

• Gesundheitsdaten: Krankmeldungen und Arbeitsunfähigkeitsbescheinigungen im Rahmen der Abwesenheitsverwaltung (EFZG).
• Gesundheitszeugnisse (IfSG): Nachweise nach §43 IfSG, die für die Tätigkeit im Gastronomie-Bereich gesetzlich vorgeschrieben sind.
• Schwangerschaftsstatus (MuSchG): Angaben zum Mutterschutz zur Einhaltung der Beschäftigungsverbote und Schutzfristen nach dem Mutterschutzgesetz.

Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO (Verarbeitung zur Ausübung von Rechten und Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes — EFZG, MuSchG, IfSG, SGB IV).

Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich vorgeschrieben (z.B. Arbeitszeiterfassung nach §16 ArbZG, Gesundheitszeugnis nach §43 IfSG) und teilweise für die Vertragsdurchführung erforderlich (z.B. Schichtplanung, Lohnabrechnung). Ohne die Bereitstellung der erforderlichen Daten können wir unsere vertraglichen Leistungen nicht erbringen.

Die GPS-Standorterfassung ist freiwillig (Einwilligung); eine Nichtbereitstellung hat keine negativen Folgen — die Zeiterfassung funktioniert auch ohne GPS.

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenportabilität (Art. 20 DSGVO) — Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: alexander.bryant2718@gmail.com. Im Rahmen der Datenportabilität stellen wir Ihre Daten in einem gängigen, maschinenlesbaren Format (CSV oder JSON) zur Verfügung. Die Bearbeitung erfolgt innerhalb von 30 Tagen nach Eingang der Anfrage (Art. 12 Abs. 3 DSGVO).

Diese Anwendung enthält im Compliance-Autopilot automatisierte Einzelentscheidungen im Sinne von Art. 22 Abs. 1 DSGVO. Aktuell sind 29 Entscheidungs- kategorien als „ausschließlich automatisiert mit rechtlicher Wirkung" eingestuft (d. h. das System sperrt eine Schichtzuweisung, blockiert die Stempel-Aufnahme oder kennzeichnet einen Vertrag als unwirksam, ohne dass ein manueller Genehmigungs- Schritt zwingend erforderlich ist). Nach EuGH C-634/21 (Schufa, 07.12.2023) genügt für die Anwendbarkeit von Art. 22 bereits, dass der nachfolgende Schritt das Ergebnis faktisch übernimmt — wie etwa beim Sperren einer Zuweisung im Schichtplaner.

Eingesetzte Entscheidungs-Kategorien (Auswahl):

• IfSG-Beschäftigungsverbote — §42 IfSG- Tätigkeitsverbot, fehlende Erst-/Folgebelehrung nach §43 IfSG führen zur automatischen Sperre in Lebensmittelbereichen.
• ArbZG-Hard-Blocks — Überschreitung der 10-Stunden-Tagesgrenze (§3), Unterschreitung der 11-Stunden- Ruhezeit (§5), Verletzung der wöchentlichen Ruhetag-Regel (§11) verhindern weitere Schichtzuweisungen.
• JArbSchG-Sperre für Minderjährige — Verstöße gegen §§4-16 JArbSchG (max. 8 h/Tag, Nacht- und Akkord-Verbot) führen zum Hard-Block.
• MuSchG-Schutzfristen — Schichten in der 6/8/12-Wochen-Schutzfrist, Nachtarbeit ohne ärztliches Attest, fehlende Gefährdungsbeurteilung oder Behörden-Meldung (§§3, 5, 10, 27 MuSchG).
• EFZG-/MiLoG-Berechnungen — Erreichen der 6-Wochen-Lohnfortzahlungsgrenze (§3 EFZG), Unterschreiten des Mindestlohns (§§1, 3 MiLoG), Überschreitung der Fälligkeit (§2 MiLoG) sperren Schreibvorgänge und neue Planungen.
• Massenentlassungs-Schwelle — §17 KSchG i. V. m. EuGH C-188/03 (Junk).
• NachwG-Vertrag fehlt — §§2, 3 NachwG.
• Befristungs-Limits — §14 Abs. 2 TzBfG (Sachgrundlose Befristung, Vorbeschäftigungs-Sperre nach BVerfG 1 BvL 7/14).
• Geringfügigkeits-/Werkstudenten-Grenzen — §8 SGB IV (Minijob-Verdienstgrenze), Werkstudenten-Privileg (20 h-Grenze, Rolling-52-Wochen-Profiling).
• SchwarzArbG-Belehrung — §2a SchwarzArbG (Ausweis-Belehrung Pflicht-Aushang + Ack).
• Sofortmeldung / DEUEV-Abmeldung — §28a Abs. 4 SGB IV; §6 DEUEV.
• DSGVO-Fristen — Art. 12 Abs. 3 DSGVO (DSAR-Frist 1 Monat).
• NIS2-Scope-Erkennung — Art. 21 NIS2 i. V. m. §2 BSIG (BSI-Registrierungspflicht ab 50 MA).

Eine vollständige, jederzeit aktuelle Liste aller automatisierten Entscheidungen — inklusive der dahinterstehenden Logik, der verarbeiteten Datenkategorien und der konkreten Rechtsgrundlage (Pflicht nach Art. 13 Abs. 2 lit. f / Art. 14 Abs. 2 lit. g DSGVO) — finden Sie unter Algorithmisches Management.

Ihre Rechte aus Art. 22 Abs. 3 DSGVO

Bei jeder dieser automatisierten Entscheidungen haben Sie das Recht,

• menschliche Überprüfung Ihrer Sache durch den Verantwortlichen zu verlangen (Recht auf Eingreifen einer Person),
• Ihren eigenen Standpunkt darzulegen und entscheidungserhebliche Umstände vorzubringen,
• die Entscheidung anzufechten und ihre Aufhebung oder Abänderung zu beantragen.

Diese Rechte können Sie über das Anfechtungs-Formular unter Mein Konto → Datenschutz → Entscheidung anfechten ausüben. Alternativ wenden Sie sich an alexander.bryant2718@gmail.com. Die Anfechtung wird innerhalb von 30 Tagen geprüft (Art. 12 Abs. 3 DSGVO). Während der Prüfung kann die automatisierte Entscheidung in begründeten Fällen ausgesetzt werden.

Nicht-automatisierte Empfehlungen

Folgende Verarbeitungen sind keine ausschließlich automatisierten Entscheidungen i. S. d. Art. 22 Abs. 1 DSGVO, da die finale Auswahl stets durch den Manager / Owner getroffen wird:

• QuickFill-Vorschläge — algorithmische Ranking-Liste für offene Schichten; Zuweisung bleibt Manager-Entscheidung.
• Trinkgeld-Verteilung (Tronc) — Verteilung nach Regeln, die die Beschäftigten selbst festgelegt haben.
• Hinweis-Warnungen — z. B. Nachtarbeit- Untersuchung fällig, Probezeit endet bald, Urlaubs-Aufklärung nach EuGH C-684/16.

Personenbezogene Daten von Beschäftigten können auch durch den Arbeitgeber (Geschäftsführung/Management) in das System eingegeben werden, z.B. bei der Anlage eines Mitarbeiterprofils. In diesem Fall werden die Daten nicht direkt bei der betroffenen Person erhoben (Art. 14 DSGVO). Die betroffene Person wird bei der ersten Anmeldung über die Verarbeitung informiert und um Einwilligung gebeten.

Kategorien der erhobenen Daten: Name, E-Mail, Geburtsdatum, Beschäftigungsart, Stundenlohn, Steuer-ID, Sozialversicherungsnummer, IBAN, Steuerklasse, Krankenkasse. Quelle: Angaben des Arbeitgebers aus dem Arbeitsvertrag.

Die Information erfolgt gemäß Art. 14 Abs. 3 DSGVO spätestens innerhalb eines Monats nach Erhebung der Daten bzw. bei der ersten Kommunikation mit der betroffenen Person.

Die Verarbeitung von Mitarbeiterdaten unterliegt neben den allgemeinen Bestimmungen dieser Datenschutzerklärung zusätzlichen Regelungen:

• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Arbeitsvertrags), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten des Arbeitgebers) sowie Art. 88 DSGVO i.V.m. §26 BDSG für Beschäftigtendaten.
• Verantwortlichkeit: Verantwortlicher für die Verarbeitung von Mitarbeiterdaten ist der jeweilige Arbeitgeber (Auftraggeber). Wir verarbeiten diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.
• Betriebsrat: Sofern ein Betriebsrat besteht, obliegt es dem Auftraggeber, die Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG bei der Einführung und Nutzung der Software zu wahren.
• Einwilligung: Einwilligungen von Mitarbeitern (z.B. GPS-Standorterfassung) unterliegen den besonderen Anforderungen an die Freiwilligkeit im Beschäftigungsverhältnis (§26 Abs. 2 BDSG).

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Zum Schutz Ihrer personenbezogenen Daten haben wir folgende technische und organisatorische Maßnahmen implementiert:

• Verschlüsselung sensibler Daten: AES-256-GCM Verschlüsselung besonders schützenswerter Daten (IBAN, Steuer-ID, Sozialversicherungsnummer) in der Datenbank.
• Verschlüsselte Datenübertragung: Sämtliche Kommunikation erfolgt über TLS-verschlüsselte Verbindungen.
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Owner, Admin, Manager, Mitarbeiter) mit strikter Rechtetrennung.
• Passwort-Sicherheit: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert.
• 2-Faktor-Authentifizierung: Optionale Absicherung des Kontos durch TOTP-basierte Zwei-Faktor-Authentifizierung.
• Regelmäßige Sicherheitsprüfungen: Kontinuierliche Überprüfung der Sicherheitsmaßnahmen und zeitnahe Behebung identifizierter Schwachstellen.

Die Software verwendet ausschließlich technisch notwendige Session-Cookies, die für den Betrieb der Anwendung und die Aufrechterhaltung der Nutzer-Sitzung erforderlich sind. Diese Cookies werden nach Ende der Browser-Sitzung automatisch gelöscht.

Da keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt werden, ist ein Cookie-Banner nicht erforderlich (§25 Abs. 2 Nr. 2 TDDDG).

LocalStorage / SessionStorage (technisch notwendig nach §25 Abs. 2 Nr. 2 TDDDG):

• theme — Hell-/Dunkel-Modus-Einstellung des Nutzers (ThemeProvider).
• uiSizePreset — Schrift-/Touchziel-Groessen-Voreinstellung (Accessibility, UiSizeToggle).
• sidebar-collapsed — Zustand der Navigations-Sidebar.
• haptics-enabled — Aktivierung haptisches Feedback auf mobilen Geraeten.
• offline-queue-dropped — Marker fuer abgebrochene Offline-Eintraege (PWA-Recovery).
• cookie-notice-acknowledged-v1 — Bestaetigung des Cookie-/Storage-Hinweises (CookieBanner). Enthaelt nur den ISO-Timestamp des Klicks auf „Verstanden".
• tax-stberg-disclaimer-accepted — Quittierung des Steuerberater-Vorbehalts in der Finanzen-Uebersicht (StBerG §3).
• demo-banner-dismissed — Markiert das Wegklicken des Demo-/Test-System-Banners.
• pwa-install-dismissed — Markiert das Wegklicken des PWA-Installations-Hinweises.
• ma:smart-layout:dismissed-suggestions — Liste der im Dashboard ausgeblendeten Widget-Vorschlaege (Smart-Layout V2).
• stockcount-queue-<inventur-id> — Dynamischer Schluessel je laufender Inventur; haelt offline begonnene Zaehlpositionen vor (StockCountWizard, gemaess GoBD).

Alle Einträge werden ausschließlich lokal im Browser gehalten und nicht an den Server übertragen. Sie können sie jederzeit im Browser-Entwickler-Werkzeug (F12 → Application → Local Storage) einsehen und löschen. Daneben werden zwei HTTP-Cookies gesetzt (__Host-next-auth.session-token, next-auth.csrf-token) — beide technisch notwendig nach §25 Abs. 2 Nr. 2 TDDDG.

Diese Software wird gehostet bei:

Mit dem Hoster wurde ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen. Der Hoster verarbeitet die Daten ausschließlich in Deutschland.

Zur Erbringung unserer Dienstleistungen setzen wir folgende Auftragsverarbeiter ein:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting, Datenbank, Backup-Storage. AV-Vertrag gemäß Art. 28 DSGVO geschlossen. Verarbeitung ausschließlich in Deutschland.
• Twilio Inc., San Francisco, CA, USA — SMS-Versand (Schicht-Erinnerungen, Passwort-Reset). Nur aktiv wenn eine Telefonnummer hinterlegt ist. EU-Standardvertragsklauseln nach Beschluss (EU) 2021/914 + EU-US Data Privacy Framework (DPF).
• Functional Software Inc. (Sentry), San Francisco, CA, USA — Fehler- und Performance-Monitoring. PII werden vor Übermittlung via beforeSend-Filter entfernt. EU-Standardvertragsklauseln + EU-US DPF.
• SumUp Payments Ltd., Dublin, Irland (EWR) — Kartenzahlungs-Abwicklung. AV-Vertrag gemäß Art. 28 DSGVO; kein Drittlandtransfer.
• fiskaly GmbH, Wien, Österreich (EWR) — TSE-Signierdienst (§146a AO). AV-Vertrag gemäß Art. 28 DSGVO; kein Drittlandtransfer.
• OpenAI, L.L.C., San Francisco, CA, USA — KI-gestützte Beleg-/Rechnungserkennung (OCR), nur sofern die optionale KI-Texterkennung mit Anbieter OpenAI konfiguriert ist. Übermittelt wird das hochgeladene Beleg-/Rechnungsbild. AV-Vertrag gemäß Art. 28 DSGVO; EU-Standardvertragsklauseln nach Beschluss (EU) 2021/914.
• Anthropic PBC, San Francisco, CA, USA — KI-gestützte Beleg-/Rechnungserkennung (OCR), nur sofern die optionale KI-Texterkennung mit Anbieter Anthropic (Claude) konfiguriert ist. Übermittelt wird das hochgeladene Beleg-/Rechnungsbild. AV-Vertrag gemäß Art. 28 DSGVO; EU-Standardvertragsklauseln nach Beschluss (EU) 2021/914.
• Open-Meteo GmbH, Hastedter Osterdeich 222, 28207 Bremen, Deutschland — Wetterdaten-API (api.open-meteo.com) für Schicht-/Bedarfsplanungs-Widgets. Übermittelt werden Geo-Koordinaten und (beim Client-Fetch) die IP-Adresse des Endgeräts. Keine Personaldaten. Eigenverantwortliche Verarbeitung durch Open-Meteo; kein AV-Vertrag erforderlich. Kein Drittlandtransfer (DE-Server). Lizenz CC-BY 4.0.

Der aktuelle Stand dieses Registers wird auf dieser Seite veröffentlicht und im Versionsverlauf unter Punkt 12 dokumentiert. Im Rahmen des AV-Vertrags hat der Auftraggeber das Recht, gegen die Hinzuziehung neuer Sub-Prozessoren Einspruch zu erheben.

Frühere Versionen sind auf Anfrage bei alexander.bryant2718@gmail.com erhältlich.