Zurück

DSGVO · BDSG

Datenschutzerklärung

Mitarbeiter-App Käse Poppinga · Stand 10. Juni 2026

Mit dieser Erklärung informieren wir dich transparent darüber, welche personenbezogenen Daten in der internen Mitarbeiter-App von Käse Poppingaverarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage, wo die Daten gespeichert liegen und welche Rechte du hast.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Poppinga Käseservice GmbH & Co. KG
Osterhusen 5, 26409 Wittmund
Telefon: +49 4467 94 77 - 22
E-Mail: info@poppinga-kaeseservice.de
Web: https://www.poppinga-kaeseservice.de

2. Datenschutzbeauftragte:r

Für Fragen zum Datenschutz erreichst du den/die Datenschutzbeauftragte:n unter datenschutz@poppinga-kaeseservice.de.

3. Zweck & Geltungsbereich

Die App ist eine rein interne Plattform für Beschäftigte von Poppinga Käseservice. Sie dient der Durchführung des Beschäftigungsverhältnisses sowie der internen Information und Kommunikation. Eine Nutzung durch betriebsfremde Personen ist nicht vorgesehen.

4. Welche Daten werden verarbeitet?

Die folgende Tabelle zeigt vollständig, welche Daten in welcher Funktion der App entstehen, wofür sie verarbeitet werden und wie lange sie gespeichert bleiben.

Funktion / TabelleVerarbeitete DatenZweckAufbewahrung
Konto & Anmeldung (auth)E-Mail, verschlüsseltes Passwort, Login-Zeitpunkte, IP-Adresse, Browser-/GerätekennungAnmeldung, Sicherheit, Missbrauchs­erkennungWährend Beschäftigung; Logs ≤ 90 Tage
Profil (profiles)Vor-/Nachname, Profilbild, Telefon, Geburtstag, Abteilung, Position, Sprache, EintrittsdatumDarstellung im Team, Geburtstags­gratulationen, JubiläenWährend Beschäftigung + bis zur Löschung auf Anfrage
Rollen (user_roles)Zugewiesene Rolle (Mitarbeiter:in, Admin)BerechtigungssteuerungWährend Beschäftigung
Zeiterfassung (time_entries)Ein-/Ausstempelzeiten, PausenArbeitszeit­erfassung nach ArbZG2 Jahre nach Ende des Kalenderjahres (§ 16 ArbZG)
Urlaub (leave_requests)Art, Zeitraum, Status, Begründung, GenehmigerUrlaubs- & Abwesenheits­verwaltung3 Jahre, danach Anonymisierung
Schichtplan (shifts, shift_swap_requests)Schichtzeiten, Position, TauschanfragenPersonal­einsatzplanung2 Jahre
Lohnabrechnungen (payslips)Verschlüsselt gespeicherte PDF-Lohn­abrechnungen, Abrechnungs­monatBereitstellung digitaler Entgelt­abrechnungen6 Jahre (handelsrechtliche Aufbewahrungs­pflicht)
Team-Chat (chat_channels, chat_messages)Nachrichteninhalt, Sender, Zeitstempel, AnhängeInterne KommunikationBis zur Löschung durch Nutzer:in oder Admin
News & Veranstaltungen (news_posts, events, event_responses, polls)Beitragsinhalt, Autor, Teilnahme­bestätigungen, AbstimmungenMitarbeiter­informationBis zur Archivierung durch Admin
Stories (stories, story_views)Bild/Video, optionale Bildunterschrift, Liste der Betrachter:innenKurzlebige Team-BeiträgeAutomatisch nach 24 Stunden
Ideenwerkstatt & Kummerkasten (employee_ideas, employee_complaints)Titel, Beschreibung, Status; optional anonymMitarbeiter­beteiligung, Beschwerdestelle (§ 13 AGG, HinSchG)3 Jahre nach Abschluss
Schaden- & Sicherheits­meldungen (damage_reports, safety_reports)Meldende Person, Fahrzeug/Gegenstand, Foto, BeschreibungArbeitsschutz, Versicherungsfälle10 Jahre
Fuhrpark (fleet_vehicles, fleet_bookings)Fahrzeug, Buchungs­zeitraum, Buchende:rFahrzeug­disposition2 Jahre
Mitarbeiter werben Mitarbeiter (referral_candidates, referral_codes, referral_rewards, Bucket referral-cvs)Name, Kontaktdaten, Lebenslauf-PDF des/der Bewerber:in; Empfehler:in, PrämiePersonal­gewinnung mit ausdrücklicher Einwilligung des/der Bewerber:inBis 6 Monate nach Absage; bei Einstellung Übernahme in Personalakte
Kontakte (contacts)Geschäftliche Kontaktdaten interner/externer PartnerAdressbuchBis zur Löschung
Schulungen (training_progress, knowledge_articles)Absolvierte Module, Datum, ErgebnisPflicht- und Weiterbildungs­nachweise3 Jahre
Gamification (user_points, user_badges, leaderboard)Punkte, Abzeichen, anonymisierbares RankingEngagementWährend Beschäftigung
Benachrichtigungen (notifications, push_subscriptions)Inhalt, Lesestatus, Push-Endpoint des Geräts (kein Tracking)Information und mobile Push-NachrichtenPush-Token bis Geräte­abmeldung; Nachrichten 90 Tage
Übersetzungen (ui_translations, content_translations)Texte aus News/Events/UI in mehreren SprachenMehrsprachige AnzeigeCache, dauerhaft
E-Mail-Versand (email_send_log, email_send_state, suppressed_emails)Empfänger­adresse, Zustellstatus, BouncesZuverlässige Zustellung, Bounce-Handling12 Monate

5. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO – Durchführung des Arbeitsvertrags (Zeit, Lohn, Schicht, Urlaub).
  • § 26 Abs. 1 BDSG – Datenverarbeitung im Beschäftigungs­verhältnis.
  • Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten (ArbZG, HGB, AO, ArbSchG, HinSchG).
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (IT-Sicherheit, Missbrauchs­erkennung).
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Profilfoto, Geburtstags­anzeige, Push-Benachrichtigungen, Empfehlungs­programm). Einwilligungen können jederzeit widerrufen werden.

6. Speicherort & Auftrags­verarbeiter

Die App wird vollständig in der Europäischen Union betrieben. Es findet keine Übermittlung personenbezogener Daten in Drittländer ohne geeignete Garantien (Standardvertrags­klauseln) statt.

DienstleisterZweckStandortVertrag
Supabase (Datenbank, Auth, Storage)Speicherung aller Tabellen, Datei-Buckets (avatars, payslips, banners, referral-cvs, post-media), AuthentifizierungEU-Region (Frankfurt, Deutschland)AVV nach Art. 28 DSGVO
Cloudflare Workers (Hosting / Edge)Bereitstellung der App, SSR, statische AuslieferungEU-Edge-StandorteAVV inkl. SCC
Lovable AI GatewayÜbersetzungen, optionale KI-Bilder für News/EventsEU-RegionAVV nach Art. 28 DSGVO
Resend / SMTP-VersandTransaktionale E-Mails (Einladungen, Benachrichtigungen)EU-RegionAVV nach Art. 28 DSGVO
Web-Push (VAPID)Mobile Push-Benachrichtigungen über Browser-/Geräte­herstellerje nach Endgerät weltweit (Apple, Google, Microsoft); nur verschlüsselte Push-PayloadsStandardvertrags­klauseln des jeweiligen Herstellers

7. Technische & organisatorische Maßnahmen

  • Verschlüsselung der Daten in der Übertragung (TLS 1.2+).
  • Verschlüsselung der Daten im Ruhezustand (AES-256, von Supabase / Cloudflare bereitgestellt).
  • Zugriffs­kontrolle über Row-Level-Security (RLS): Jede Tabelle erlaubt nur den Zugriff, den die Person tatsächlich braucht.
  • Rollenkonzept (Mitarbeiter:in / Admin), Zwei-Faktor-fähig.
  • Tägliche Backups, regelmäßige Sicherheits-Scans und Updates.
  • Lohnabrechnungen liegen in einem privaten, nicht öffentlich erreichbaren Speicher und werden über kurzlebige Signed-URLs ausgeliefert.
  • Lebensläufe (Empfehlungs­programm) liegen ebenfalls privat.

8. Empfänger der Daten

Innerhalb von Poppinga erhalten ausschließlich diejenigen Personen Zugriff, die ihn zur Erfüllung ihrer Aufgaben benötigen (Geschäftsleitung, Personal, Schichtleitung, IT-Administration). Externe Empfänger sind ausschließlich die unter Ziffer 6 genannten Auftragsverarbeiter. Eine Weitergabe zu Werbezwecken findet nicht statt.

9. Drittlandtransfer

Eine Verarbeitung in Drittländern findet nur insoweit statt, als Push- Benachrichtigungen über die Push-Server der Endgeräte­hersteller (Apple, Google, Microsoft) ausgeliefert werden. Die Inhalte sind dabei Ende-zu-Ende verschlüsselt (VAPID). Für die Übermittlung bestehen EU-Standardvertrags­klauseln.

10. Deine Rechte

  • Auskunft über deine Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungs­pflicht besteht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei der zuständigen Aufsichtsbehörde – für Poppinga: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

11. Keine automatisierte Entscheidung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Die KI-Funktionen (Übersetzungen, Bildgenerierung) dienen ausschließlich der Aufbereitung von Inhalten und treffen keine Personalentscheidungen.

12. Cookies & lokaler Speicher

Die App verwendet ausschließlich technisch erforderliche Cookies und lokalen Speicher (Sitzung, Sprach- und Theme-Präferenz). Es findet kein Tracking und keine Reichweiten­messung statt.

13. Änderungen

Diese Datenschutzerklärung wird bei Änderungen der App oder der rechtlichen Lage angepasst. Über wesentliche Änderungen wirst du in der App informiert.

Siehe ergänzend den Auftragsverarbeitungs­vertrag (AVV).