Datenschutzerklärung für FreeMe

1. Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie FreeMe personenbezogene Daten verarbeitet, wenn du die Website, die mobile App sowie die zugehörigen E-Mail- und Support-Prozesse nutzt.

Die Inhalte orientieren sich an der aktuell im Repo umgesetzten Produktlogik von FreeMe: Firmen- und Teamverwaltung, Urlaubs- und Abwesenheitsplanung, Genehmigungen, Mitgliederzugänge, Profilverwaltung, App-Store-Abonnements sowie technische Benachrichtigungen per E-Mail.

Soweit Organisationen dies in FreeMe nutzen, können Mitarbeiterprofile auch ohne hinterlegte E-Mail-Adresse und ohne eigenen App-Zugang geführt werden, etwa für rein administrative Urlaubsverwaltung durch die Organisation.

2. Welche Daten wir verarbeiten

• Kontodaten: E-Mail-Adresse, Login-Status, Mitgliedschaft zu einer Firma, Rollen und technische Authentifizierungskennungen, soweit für einen eigenen Zugang vorgesehen.
• Profildaten: Anzeigename, Profilbild, Geburtsdatum und Angaben zur Profilvervollständigung.
• Firmen- und Teamdaten: Firmenname, Firmenlogo, Bundesland bzw. Standortbezug, Teams, Team-Sichtbarkeiten und Zuständigkeiten.
• Arbeits- und Urlaubsdaten: Beschäftigungsbeginn, Arbeitstage, Arbeitswochenmuster, Urlaubsansprüche, Urlaubskonten, Überträge und manuelle Korrekturen.
• Abwesenheitsdaten: Art der Abwesenheit, Zeitraum, Status, Notizen, Freigaben, Ablehnungs-, Storno- und Korrekturgründe sowie teambezogene Betriebsschließungen.
• Kommunikationsdaten: Transaktionale E-Mails für Login-Codes, Einladungen bzw. Freischaltungen von Teammitgliedern sowie technische Benachrichtigungen zu Abwesenheitsanträgen und deren Statusänderungen, soweit für das jeweilige Mitarbeiterprofil ein E-Mail-basierter Zugang aktiviert ist.
• Abo- und Zahlungsdaten: gebuchtes Paket, Store-Produktkennung, Kauf-, Verlängerungs- und Ablaufzeitpunkte, Status von Abonnements sowie technische Transaktions- und Referenzdaten aus App-Store- und RevenueCat-Prozessen.
• Webhook- und Prüfungsdaten: RevenueCat-Ereignisse, Provider-Event-IDs, Umgebungsdaten, Ablauf- und Kaufzeitpunkte, abgeleitete Paketlimits sowie technische Fehler- und Verarbeitungszustände.
• Technische Daten: Server- und Fehlerprotokolle, User-Agent für den Store-Redirect auf der Website sowie lokal gespeicherte App-Einstellungen und Formularentwürfe auf dem Endgerät.

3. Zwecke der Verarbeitung

• Bereitstellung von FreeMe und Zuordnung von Nutzerkonten zu Firmen und Teams.
• Durchführung der Anmeldung per Einmalcode und Versand notwendiger transaktionaler E-Mails.
• Versand technischer Benachrichtigungs-E-Mails zu Abwesenheitsanträgen, Bearbeitungsständen, Genehmigungen, Ablehnungen und Stornierungen.
• Verwaltung von Urlaubsansprüchen, Abwesenheiten, Genehmigungen, Teamkalendern und Historien.
• Abwicklung, Validierung, Protokollierung und Synchronisierung von App-Store-Abonnements einschließlich Paketlimits und Laufzeiten.
• Abbildung von Rollen, Sichtbarkeiten und Verantwortlichkeiten innerhalb einer Organisation.
• Speicherung von Profilbildern und Firmenlogos, wenn diese aktiv hochgeladen werden.
• Betriebssicherheit, Fehleranalyse, Missbrauchsprävention und technische Stabilität.

4. Rechtsgrundlagen

Soweit wir Daten verarbeiten, um dir FreeMe bereitzustellen und die Nutzung technisch zu ermöglichen, erfolgt dies regelmäßig zur Erfüllung vorvertraglicher oder vertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO bzw. auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO an einem sicheren und zuverlässigen Betrieb.

Soweit Unternehmen FreeMe zur Verwaltung ihrer Mitarbeitenden einsetzen, verarbeiten wir organisationsbezogene Inhaltsdaten typischerweise im Auftrag der jeweiligen Organisation. Diese Organisation entscheidet grundsätzlich darüber, welche Mitarbeiterdaten, Freigaben und Abwesenheitsinformationen in FreeMe hinterlegt werden und auf welcher Rechtsgrundlage dies geschieht.

Wenn in FreeMe Krankmeldungen oder sonstige Angaben mit Gesundheitsbezug verarbeitet werden, können besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sein. Für die inhaltliche Zulässigkeit solcher Eingaben, die passende Rechtsgrundlage innerhalb der Organisation sowie angemessene interne Zugriffsrechte ist die jeweilige Organisation verantwortlich.

Die Produktlogik ist darauf ausgelegt, teamweite Kalender für normale Teammitglieder auf allgemeine Abwesenheitsinformationen zu beschränken. Detaillierte Gründe, Notizen und vergleichbare Angaben sollen nur für die betroffene Person selbst sowie für ausdrücklich berechtigte Rollen wie zuständige Freigabeverantwortliche oder Organisationsverantwortliche sichtbar sein.

5. Verantwortlichkeit und Auftragsverarbeitung

Für die Website, den App-Store-Redirect, die technische Anmeldung per Einmalcode, die Prüfung aktiver Mitgliedschaften, Support-Kommunikation sowie die technische Abwicklung von Billing- und Webhook-Prozessen ist FreeMe regelmäßig selbst datenschutzrechtlich verantwortlich.

Für Mitarbeiter-, Firmen-, Team-, Urlaubs- und Abwesenheitsdaten, die Organisationen in FreeMe einstellen und verwalten, ist die jeweilige Organisation grundsätzlich die verantwortliche Stelle. FreeMe verarbeitet diese Daten insoweit typischerweise als Auftragsverarbeiter zur Bereitstellung des Dienstes.

Wenn FreeMe im Unternehmenskontext genutzt wird, sollte geprüft werden, ob und in welcher Form eine Auftragsverarbeitungsvereinbarung erforderlich ist. Maßgeblich sind die konkrete Rollenverteilung, der produktive Einsatz und die vertraglichen Vereinbarungen mit der jeweiligen Organisation.

6. Anmeldung, Benachrichtigungs-E-Mails, Billing und Website-Redirect

Für die Anmeldung versendet FreeMe Einmalcodes per E-Mail. Dabei prüfen wir, ob eine E-Mail-Adresse einer aktiven Mitgliedschaft in einer Firma zugeordnet ist oder im Rahmen der Firmenerstellung verwendet wird.

Soweit für Mitarbeiterprofile ein E-Mail-basierter Zugang hinterlegt ist, kann FreeMe außerdem transaktionale Benachrichtigungs-E-Mails zu Abwesenheitsanträgen und deren Bearbeitungsstatus versenden, etwa bei neuer Anfrage, Aktualisierung, Genehmigung, Ablehnung oder Stornierung.

Nicht jedes in FreeMe geführte Mitarbeiterprofil benötigt jedoch einen eigenen App-Zugang. Organisationen können Mitarbeiterprofile unter Umständen auch ohne E-Mail-Adresse rein intern verwalten. In diesen Fällen findet keine Anmeldung per E-Mail-Code für dieses Profil statt.

Wenn die Website auf einem Smartphone aufgerufen wird, wertet FreeMe den User-Agent aus, um auf den passenden App-Store weiterzuleiten. Nach aktuellem Stand setzt die Website dabei keine eigenen Marketing- oder Analyse-Tracker ein.

Wenn Organisationen kostenpflichtige Pakete über den Apple App Store erwerben, verarbeitet FreeMe die hierfür erforderlichen Abo-, Status- und Webhook-Informationen, um Berechtigungen, Nutzerlimits und Laufzeiten technisch korrekt abzubilden und Billing-Ereignisse nachvollziehen zu können.

7. Empfänger und eingesetzte Dienste

Je nach konkreter Produktivkonfiguration und eingesetzten Unterauftragsverarbeitern kann eine Verarbeitung personenbezogener Daten auch außerhalb der EU oder des EWR stattfinden. In solchen Fällen sind die jeweils produktiv eingesetzten Verträge, Regionen und Transfergrundlagen maßgeblich; diese sollten vor dem produktiven Einsatz gesondert geprüft und dokumentiert werden.

• Supabase für Authentifizierung, Datenbank, Dateispeicher und Realtime-Synchronisation.
• Resend für den Versand transaktionaler E-Mails wie Login-Codes, Zugangsbenachrichtigungen und technischer Abwesenheitsbenachrichtigungen.
• RevenueCat zur technischen Verwaltung und Synchronisierung von In-App-Abonnements, Entitlements und Abo-Statusdaten.
• Apple App Store und Google Play, wenn du FreeMe über die Website in den jeweiligen Store öffnest.
• Interne Support- und Administrationszugriffe nur, soweit dies zur Fehlerbehebung, Absicherung oder Bearbeitung von Anfragen erforderlich ist.

8. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie sie für die Bereitstellung von FreeMe, die Betreuung des jeweiligen Organisationskontos oder zur Erfüllung gesetzlicher Pflichten erforderlich sind.

Konten, Profil-, Firmen-, Team- und Abwesenheitsdaten bleiben grundsätzlich so lange gespeichert, wie die Organisation FreeMe aktiv nutzt oder bis eine Löschung bzw. Anonymisierung technisch und rechtlich möglich ist. Webhook-, Billing- und transaktionale Protokolle können darüber hinaus für Sicherheits-, Abgleichs- und Nachweiszwecke in angemessenen Fristen aufbewahrt werden.

Wenn Nutzerinnen oder Nutzer innerhalb der App eine Selbstlöschung anstoßen, bedeutet dies im Unternehmenskontext zunächst die geplante Entfernung des persönlichen Zugangs nach Ablauf einer Frist. Nach dem Entzug des Zugangs werden personenbezogene organisationsbezogene Inhaltsdaten standardmäßig automatisiert anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten oder sonstigen zulässigen Gründe für eine abweichende weitere Speicherung entgegenstehen.

Organisationen können Zugänge im Rahmen der Produktfunktionen außerdem dadurch entziehen, dass eine hinterlegte Zugangs-E-Mail entfernt oder geändert wird. Dadurch kann die bisherige Verknüpfung eines Mitarbeiterprofils mit einem App-Zugang aufgehoben werden, ohne dass sämtliche organisationsbezogenen Fachdaten sofort entfallen.

9. Lokale Speicherung in der App

FreeMe speichert bestimmte Einstellungen und Entwürfe lokal auf dem jeweiligen Gerät, zum Beispiel Theme-Einstellungen, Ansichtsmodi sowie Zwischenspeicher für Login- und Onboarding-Schritte.

Diese lokale Speicherung dient ausschließlich der Nutzbarkeit der App und kann sich durch Abmeldung, App-Löschung oder das Leeren der App-Daten verändern oder entfallen.

10. Deine Rechte

Soweit die App Self-Service-Funktionen für Export, Zugangsentfernung oder Löschanfragen anbietet, ersetzt dies nicht die datenschutzrechtliche Verantwortlichkeit der jeweiligen Organisation für Mitarbeiter-, Team-, Urlaubs- und Abwesenheitsdaten, die sie in FreeMe verwaltet. Die automatisierte Anonymisierung nach Ablauf einer Frist erfolgt als Produktstandard; gesetzliche Aufbewahrungspflichten und sonstige zulässige Gründe für eine weitergehende Speicherung bleiben davon unberührt.

• Du hast nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
• Du kannst einer Verarbeitung widersprechen, soweit diese auf berechtigten Interessen beruht.
• Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
• Wenn deine Daten im Rahmen eines Firmenkontos durch deine Organisation in FreeMe verarbeitet werden, kann es sinnvoll sein, dich zusätzlich direkt an deine Organisation oder deinen Arbeitgeber zu wenden.

11. Kontakt

Fragen zum Datenschutz, zu Auskunftsersuchen oder zu Löschanfragen kannst du an freeme@marcos-gcd.de senden.