Datenschutzerklärung für das b-net Applicationsportal

Stand: 18.03.2026

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie das b-net Applicationsportal (nachfolgend „Portal") nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie dieser Datenschutzerklärung.

Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Portal ist:

b.net GmbH
Vertretungsberechtigter Geschäftsführer: Thomas Mittmann
Wiener Straße 146
D-01219 Dresden
Telefon: +49 351 89 663 666
Telefax: +49 351 89 663 629
E-Mail: service@b-net.systems

Datenschutzbeauftragter

Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt.

Herr Schulte
E-Mail: schulte@schulte-datenschutz.de

Aufsichtsbehörde

Zuständige Aufsichtsbehörde ist:

Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17
01067 Dresden
Telefon: +49 351 85471-101
Telefax: +49 351 85471-109
E-Mail: post@sdtb.sachsen.de
Website: https://www.datenschutz.sachsen.de

2. Umfang der Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer und der Mitarbeiter unserer Kunden (Unternehmenskunden) nur, soweit dies zur Bereitstellung des Portals, zur Erfüllung vertraglicher Verpflichtungen, zur Wahrung unserer berechtigten Interessen (z. B. Systemsicherheit) oder auf Grundlage gesetzlicher Vorschriften (z. B. Arbeitszeitgesetz, Steuerrecht) erforderlich ist.

Betroffene Personen

Mitarbeiter*innen der Kundenunternehmen (Nutzer des Portals)

Administrator*innen der Kundenunternehmen

Interessenten und Kontaktanfragende

3. Hosting und Auftragsverarbeitung

Wir setzen zur Bereitstellung des Portals Hosting-Leistungen externer Anbieter ein. Hierbei handelt es sich um einen Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Hetzner Online GmbH

Wir hosten unsere Serverinfrastruktur bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen. Details entnehmen Sie der Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz

Die Serverstandorte befinden sich innerhalb der EU (Deutschland, Finnland). Eine Übermittlung von Daten in Drittländer (außerhalb der EU/des EWR) findet nicht statt.

Auftragsverarbeitung: Wir haben mit Hetzner einen Vertrag über Auftragsverarbeitung (AVV) geschlossen, der sicherstellt, dass dieser die Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet. Hetzner hat keinen administrativen Zugriff auf die Anwendungsdaten, da die Root-Zugänge ausschließlich durch die b.net GmbH verwaltet werden.

4. Beschreibung der Verarbeitungstätigkeiten

Im Folgenden beschreiben wir die konkreten Verarbeitungsprozesse innerhalb des Portals.

4.1 Authentifizierung und Zugangskontrolle

Zweck: Sicherer Zugriff auf das System.

Verarbeitete Daten: E-Mail-Adresse, gehashtes Passwort, Nutzer-ID, letzte Anmeldung, Rolle, Telefonnummer.

Empfänger: Nutzer selbst, Kunden-Administrator (Rolle „masterdata"), b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten zur IT-Sicherheit).

Speicherdauer: Login-Daten werden 30 Tage nach Vertragsende gelöscht.

4.2 Stammdatenverwaltung (Basisdaten)

Zweck: Zentrale Speicherung von Basis-Stammdaten für Personal- und Lohnverwaltung.

Verarbeitete Daten: Vor- und Nachname, Mandanten-ID, Telefonnummer, E-Mail-Adresse.

Empfänger: Nutzer selbst, Kunden-Administrator, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: 10 Jahre (gesetzliche Aufbewahrungspflichten) oder 30 Tage nach Vertragsende.

4.3 Stammdatenverwaltung (Besondere Kategorien personenbezogener Daten / Sensible Daten)

In diesem Abschnitt verarbeiten wir besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung ist nur zulässig, sofern spezifische Ausnahmen greifen.

Zweck:

Erfassung von Daten, die für Lohn- und Sozialversicherung zwingend nötig sind.

Erfüllung steuerrechtlicher Pflichten des Arbeitgebers (z. B. Lohnsteuerabzug, Kirchensteuerberechnung).

Inanspruchnahme von Steuererleichterungen und Vergünstigungen (z. B. Behindertenpauschbetrag).

Verarbeitete Daten: Geburtsdatum, Geburtsort, Personalausweisnummer, Führerscheinnummer, Steuer-ID, Sozialversicherungsnummer, Krankenkasse, Nationalität, Familienstand,Schwerbehinderung, IBAN, Kontoinhaber, Religionszugehörigkeit.

Empfänger: Nutzer selbst, Kunden-Administrator (Rolle „masterdata"), Lohnbuchhaltung des Kunden, b.net Support-Team.

Rechtsgrundlagen: Die Verarbeitung dieser sensiblen Daten erfolgt auf Basis folgender Rechtsgrundlagen:

Allgemeine Rechtsgrundlage (Art. 6 DSGVO):

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten, z. B. Abgabenordnung, Sozialgesetzbuch).

Spezifische Rechtsgrundlagen für sensible Daten (Art. 9 DSGVO):

Art. 9 Abs. 2 lit. b DSGVO: Die Verarbeitung ist für die Erfüllung von Pflichten und zur Wahrnehmung von Rechten im Arbeitsrecht, im Sozialversicherungsrecht und im Sozialschutzrecht erforderlich.

Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Verwaltung von Sozialsystemen erforderlich.

§ 26 Abs. 1 BDSG: Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses, soweit sie zur Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Konkretisierung der Zwecke für sensible Daten:

Religionszugehörigkeit: Erforderlich zur Berechnung und Abführung der Kirchensteuer gemäß § 3 Abs. 1 Kirchensteuergesetz (KiStG) i.V.m. den lohnsteuerlichen Vorschriften.

Schwerbehinderung: Erforderlich zur Inanspruchnahme von Steuererleichterungen (z. B. Pauschbetrag nach § 33b EStG) sowie zur Erfüllung der Pflichten nach dem Sozialgesetzbuch IX (z. B. Inklusion am Arbeitsplatz, zusätzliche Urlaubstage).

Speicherdauer: Bis zu 10 Jahre gemäß AO (Abgabenordnung) und HGB.

4.4 Zeiterfassung

Zweck: Erfüllung der gesetzlichen Pflicht zur Arbeitszeiterfassung (ArbZG) und Grundlage für die Lohnabrechnung.

Verarbeitete Daten: User-ID, Projekt-ID, Standort, Start-/End-Zeit, Pausen-Minuten, Arbeits-Minuten, Status, Kommentare.

Empfänger: Nutzer selbst, Vorgesetzte (Projekt-Manager), Kunden-Administrator, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Arbeitszeitgesetz) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Mindestens 2 Jahre (gemäß ArbZG), bei Nutzung für Lohnabrechnung 6 Jahre gemäß § 257 HGB und bis zu 10 Jahre gemäß § 147 AO.

4.5 Inventarverwaltung (Schlüssel, Mobilgeräte, Fahrzeuge)

Zweck: Verwaltung von dienstlichen Ressourcen (Schlüssel, Handys, Firmenwagen).

Verarbeitete Daten:

Schlüssel: Schlüssel-ID, Besitzer-ID.

Mobilgeräte: Telefonnummer, Anbieter, Vertrags-ID, Besitzer-ID.

Fahrzeuge: VIN/FIN, Kennzeichen, Fahrzeug-ID, Besitzer-ID, Firmenwagen-Status.

Empfänger: Nutzer selbst, Kunden-Administrator (entsprechende Rollen), Facility-Management/IT-Abteilung des Kunden, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Löschung innerhalb von 24 Stunden nach Rückgabe der Ressource und Beendigung des Beschäftigungsverhältnisses. Für Fahrzeuge ggf. längere Aufbewahrung nach steuerlichen Vorgaben (z. B. 1%-Regelung).

4.6 Lizenzverwaltung

Zweck: Verwaltung von Nutzer-Lizenzen und Zugriffsrechten.

Verarbeitete Daten: Lizenz-Typ, Gültigkeits-Datum, Nutzer-ID.

Empfänger: Nutzer selbst, Kunden-Administrator, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: 10 Jahre oder 30 Tage nach Vertragsende.

4.7 E-Mail-Versand (System-Mails)

Zweck: Versand von System-Mails (Passwort-Reset, Benachrichtigungen, Rechnungen).

Verarbeitete Daten: E-Mail-Adresse, ggf. Name des Empfängers.

Empfänger: Nutzer, Administratoren, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c, f DSGVO.

Speicherdauer: E-Mails werden nach 30 Tagen gelöscht (falls nicht archiviert).

4.8 Monitoring und Error-Tracking

Zweck: Überwachung von System- und Anwendungs-Performance sowie Fehlermeldungen zur Störungsbeseitigung.

Verarbeitete Daten: IP-Adresse, Host-Name, Fehlermeldungs-Details (keine personenbezogenen Daten im Inhaltsbereich).

Empfänger: System-Admins, Entwickler, b.net Support-Team.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Systemsicherheit).

Speicherdauer: Log-Daten maximal 6 Monate.

4.9 Backups und Datensicherung

Zweck: Sicherstellung von Datenverfügbarkeit und Wiederherstellbarkeit.

Tägliche, wöchentliche und monatliche Backups werden per SSH-verschlüsselter Verbindung auf einen separaten Server in Helsinki (EU) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 32 DSGVO (Datensicherheit).

Speicherdauer: Tägliche Backups werden nach 30 Tagen gelöscht, wöchentliche Backups nach 3 Monaten, monatliche Backups nach 6 Monaten.

5. Cookies und Tracking

Das Portal verwendet für die Kernfunktionalität keine Cookies oder Tracking-Technologien, die eine Einwilligung nach dem TTDSG erfordern. Es werden ausschließlich technische Log-Dateien (siehe Punkt 4.8) zu Sicherheitszwecken erhoben. Eine Analyse des Nutzerverhaltens zu Marketingzwecken oder durch Drittanbieter findet nicht statt.

6. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu diesen Maßnahmen gehören insbesondere:

Verschlüsselung: Alle Verbindungen sind SSL/TLS-verschlüsselt (HTTPS). Backups werden per SSH übertragen.

Zugriffskontrolle: Zugriff auf Server-Daten nur per SSH-Key. Rollenbasiertes Zugriffskontrollsystem (RBAC) innerhalb der Anwendung.

Passwort-Sicherheit: Passwörter werden gehasht gespeichert (bcrypt).

Physische Sicherheit: Serverstandorte in Rechenzentren der Hetzner Online GmbH innerhalb der EU.

7. Rechte der betroffenen Personen

Sie haben das Recht, folgende Rechte geltend zu machen:

7.1 Recht auf Bestätigung

Sie können von uns eine Bestätigung darüber verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden.

7.2 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, jederzeit unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten.

7.3 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen.

7.4 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der Gründe nach Art. 17 Abs. 1 DSGVO zutrifft (z. B. Daten für den Zweck nicht mehr erforderlich, Widerruf der Einwilligung).

7.5 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

7.6 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.

7.7 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.

7.8 Widerruf einer Einwilligung

Sie haben das Recht, eine bereits erteilte Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

7.9 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Das Beschwerderecht kann bei der Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

8. Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Bei gesetzlichen Aufbewahrungsfristen (z. B. Steuerrecht, Arbeitsrecht) werden die Daten entsprechend archiviert und nach Fristablauf gelöscht.

9. Kontakt bezüglich Datenschutz

Bei Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten:

Herr Schulte
E-Mail: schulte@schulte-datenschutz.de

Alternativ können Sie sich direkt an den Verantwortlichen wenden: b.net GmbH E-Mail: service@b-net.systems