Datenschutzerklärung

1. Überblick und Geltungsbereich

Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Web-Anwendung „Mopla24" – einer Software zur Einsatz- und Montageplanung (im Folgenden „Anwendung", „Software" oder „Mopla24") – sowie über die Ihnen nach der Datenschutz-Grundverordnung (DSGVO) zustehenden Rechte.

Personenbezogene Daten sind alle Daten, die auf eine identifizierte oder identifizierbare natürliche Person bezogen werden können (Art. 4 Nr. 1 DSGVO). Diese Erklärung gilt für die öffentlich zugängliche Website (Startseite, Anmeldung) ebenso wie für den geschützten Anwendungsbereich nach der Anmeldung und die mobile Team-Ansicht.

2. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für den Betrieb der Anwendung und dieser Website ist:

Datenschutzbeauftragte/r

[Sofern bestellt:] Unseren betrieblichen Datenschutzbeauftragten erreichen Sie unter [Name, Kontaktdaten]. [Falls kein/e Datenschutzbeauftragte/r bestellt wurde, kann dieser Absatz entfallen.]

3. Rollen: Verantwortlicher und Auftragsverarbeiter

Mopla24 ist eine mandantenfähige Software: Mehrere Betriebe (Firmen) nutzen dieselbe Anwendung, ihre Daten sind dabei technisch streng voneinander getrennt. Daraus ergeben sich zwei Rollen:

• Für die Inhaltsdaten eines Betriebs (Mitarbeiter-, Kunden-, Einsatz- und Abwesenheitsdaten) ist der jeweilige nutzende Betrieb der Verantwortliche. Der Betreiber von Mopla24 verarbeitet diese Daten ausschließlich weisungsgebunden im Auftrag des Betriebs als Auftragsverarbeiter(Art. 28 DSGVO). Für diese Verarbeitung ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AVV) zwischen Betrieb und Betreiber erforderlich.
• Für den Betrieb der Website und der Plattform selbst (z. B. Server-Logs, Benutzerkonten der Plattform, technische Sicherheit) ist der unter Ziffer 2 genannte Betreiber der Verantwortliche.

Sind Sie Beschäftigte/r oder Kunde/Kundin eines Betriebs, der Mopla24 einsetzt, richten Sie Anliegen zu Ihren Daten bitte vorrangig an diesen Betrieb als Verantwortlichen.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Vorschriften, soweit im Einzelnen nichts anderes angegeben ist:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung;
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Bereitstellung und Nutzung der Software);
• Art. 6 Abs. 1 lit. c DSGVO– Erfüllung rechtlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungspflichten);
• Art. 6 Abs. 1 lit. f DSGVO– Wahrung berechtigter Interessen (z. B. Sicherheit, Betrieb und Weiterentwicklung der Anwendung, effiziente Disposition);
• Art. 9 Abs. 2 DSGVO sowie ggf. § 26 BDSG– Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungskontext (siehe Ziffer 13 zu Abwesenheiten/Krankheit).

5. Bereitstellung der Website und Server-Logfiles

Beim Aufruf der Website werden durch den Server bzw. den Hosting-Dienstleister automatisch Informationen erfasst, die Ihr Browser übermittelt und die technisch erforderlich sind, um die Seite anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (sog. Server-Logfiles). Hierzu können gehören:

• IP-Adresse des anfragenden Geräts,
• Datum und Uhrzeit des Zugriffs,
• Name und URL der abgerufenen Datei bzw. Seite,
• übertragene Datenmenge und Meldung über den Abruf,
• verwendeter Browsertyp und ‑version sowie das Betriebssystem,
• die zuvor besuchte Seite (Referrer), sofern übermittelt.

Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und in der Regel nach [z. B. 7–30] Tagen gelöscht, soweit sie nicht zur Aufklärung von Sicherheitsvorfällen benötigt werden.

Das Hosting erfolgt bei [Name des Hosting-Anbieters, Anschrift]. Mit dem Anbieter besteht – soweit erforderlich – ein Vertrag zur Auftragsverarbeitung.

6. Cookies, lokale Speicherung und Service Worker

Mopla24 setzt ausschließlich technisch notwendige Mittel ein. Es findet kein Tracking, keine Reichweitenmessung und keine werbliche Analyse statt. Rechtsgrundlage für technisch erforderliche Cookies ist § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b/f DSGVO; eine Einwilligung ist hierfür nicht erforderlich.

• Sitzungs-Cookie der Mitarbeiteranmeldung (Name: mopla_session): enthält ein signiertes Anmelde-Token (JWT) mit Benutzerkennung, Name, Rolle und Firmenzuordnung. Es ist httpOnlygesetzt (für Skripte nicht auslesbar), läuft nach ca. 7 Tagen ab und dient der Authentifizierung.
• Cookie der mobilen Team-Ansicht (Name: mopla_team): signiertes Token (JWT) mit Firmen- und Monteurzuordnung, httpOnly, Gültigkeit ca. 30 Tage. Es ermöglicht den persönlichen, lesenden Zugang eines Monteurs zu seinen Terminen.
• Lokale Speicherung (Service Worker / Cache): Wird die Anwendung als App installiert (siehe Ziffer 16), legt ein Service Worker ausschließlich statischeRessourcen (z. B. Programm- und Bilddateien) im Browser-Cache ab, um Ladezeiten zu verbessern. Es werden hierüber keine personenbezogenen Inhalts- oder Anmeldedaten gespeichert.

7. Benutzerkonten (Anmeldung Büro / Disposition)

Für den Zugang zum Verwaltungs- und Planungsbereich wird ein Benutzerkonto benötigt. Konten werden durch den Betreiber bzw. die Firmen-Administration angelegt. Verarbeitet werden:

• Name,
• E-Mail-Adresse (Anmeldename),
• Passwort – ausschließlich als kryptografischer Hash (bcrypt), niemals im Klartext,
• Rolle (z. B. Firmen-Administration, Disposition),
• Firmenzuordnung,
• Zeitpunkt der letzten Anmeldung sowie Erstell-/Änderungszeitpunkte.

Zweck ist die Bereitstellung, Absicherung und Abrechnung des Zugangs. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Software) sowie Art. 6 Abs. 1 lit. f DSGVO (Zugangssicherheit).

8. Mitarbeiter- und Monteurdaten

Zur Planung legen die Betriebe Mitarbeiter (Monteure) an. Verarbeitet werden je nach Eingabe:

• Vor- und Nachname,
• Funktion/Position (z. B. Elektriker, Geselle, Azubi),
• Telefonnummer und E-Mail-Adresse,
• eine Farbmarkierung zur Darstellung auf der Plantafel,
• Aktiv-/Inaktiv-Status,
• optional ein persönliches Passwort für die mobile Team-Ansicht – ausschließlich als bcrypt-Hash gespeichert.

Zweck ist die Personaleinsatzplanung. Verantwortlicher ist der jeweilige Betrieb; Rechtsgrundlage ist regelmäßig § 26 BDSG bzw. Art. 6 Abs. 1 lit. b und lit. f DSGVO (Durchführung des Beschäftigungsverhältnisses, Disposition).

9. Kolonnen (Teams)

Monteure können zu Kolonnen (Teams) zusammengefasst werden. Hierbei werden der Teamname, eine Farbmarkierung sowie die Zuordnung der jeweiligen Mitarbeiter verarbeitet. Zweck ist die gebündelte Zuweisung von Einsätzen. Rechtsgrundlage wie unter Ziffer 8.

10. Kunden- und Auftraggeberdaten

Zur Zuordnung von Einsätzen verwalten die Betriebe Kundendaten. Verarbeitet werden je nach Eingabe:

• Firmen-/Kundenname,
• Name der Ansprechpartnerin/des Ansprechpartners,
• Telefonnummer und E-Mail-Adresse,
• Anschrift (Straße, PLZ, Ort).

Zweck ist die Auftrags- und Einsatzabwicklung. Verantwortlicher ist der jeweilige Betrieb; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen) bzw. lit. f DSGVO.

11. Einsätze und Montagen

Kern der Anwendung ist die Planung von Einsätzen. Zu einem Einsatz werden verarbeitet:

• Titel und Beschreibung/Notiz,
• Start- und Endzeitpunkt, Status (geplant, bestätigt, in Arbeit, erledigt, storniert),
• Zuordnung zu einem Monteur oder einer Kolonne sowie ggf. zu einem Kunden,
• Einsatzort/Objekt (Straße, PLZ, Ort),
• optional Entfernung und Fahrzeit zur Anfahrt (siehe Ziffer 12),
• eine optionale Checkliste/Packliste samt Bearbeitungsstand.

Soweit diese Angaben Personenbezug aufweisen (z. B. zugeordneter Monteur, Kundenobjekt), erfolgt die Verarbeitung zur Durchführung der Aufträge auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO. Hinweis: In Freitextfeldern (Notiz, Checkliste) sollten keine besonderen Kategorien personenbezogener Daten erfasst werden.

12. Abwesenheiten und Gesundheitsdaten

Zur Kapazitätsplanung können Abwesenheiten erfasst werden, jeweils mit Art (Urlaub, Krank, Schulung, Sonstiges), Zeitraum und optionaler Notiz.

Die Abwesenheitsart „Krank" stellt ein Gesundheitsdatum und damit eine besondere Kategorie personenbezogener Datennach Art. 9 DSGVO dar. Die Verarbeitung erfolgt – durch den jeweiligen Betrieb als Verantwortlichen – ausschließlich zur Erfüllung arbeits-, sozialversicherungs- und dienstrechtlicher Pflichten im Beschäftigungskontext auf Grundlage von Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG. Es werden lediglich die Tatsache und der Zeitraum der Arbeitsunfähigkeit, nicht jedoch Diagnosen verarbeitet. Der Zugriff ist auf die Disposition/Verwaltung des jeweiligen Betriebs beschränkt.

13. Karten, Entfernung und Anfahrt (Google Maps Platform)

Für die Berechnung von Entfernung und Fahrzeit sowie die optionale Kartendarstellung nutzen wir Dienste der Google Maps Platform der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR), ggf. unter Beteiligung der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

• Routen-/Entfernungsberechnung: Erfolgt auf Wunsch serverseitig. Dabei werden die eingegebene Firmenadresse und der Einsatzort an Google übermittelt, um Distanz und Fahrzeit zu ermitteln. Ihre IP-Adresse wird hierbei nicht an Google übertragen, da die Anfrage vom Server ausgeht.
• Kartendarstellung (Karten-Einbettung) und „Route öffnen": Wird eine Karte eingebettet oder ein Karten-/Routenlink geöffnet, baut Ihr Browser eine direkte Verbindung zu Google auf. Dabei werden technisch bedingt u. a. Ihre IP-Adresse und ggf. Geräteinformationen an Google übermittelt; Google kann hierbei Cookies setzen. Auf diese Verarbeitung haben wir keinen Einfluss.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO (effiziente Anfahrtsplanung). Eine Übermittlung in die USA kann erfolgen; Google ist unter dem EU-US Data Privacy Frameworkzertifiziert, ergänzend werden Standardvertragsklauseln nach Art. 46 DSGVO herangezogen. Weitere Informationen: https://policies.google.com/privacy.

14. Firmenprofil und Logo

Betriebe können Stammdaten (Firmenname, Anschrift, Telefon, Kontakt-E-Mail) sowie ein Firmenlogo hinterlegen. Das Logo wird in der Datenbank gespeichert und in der mobilen Team-Ansicht angezeigt. Soweit hierbei personenbezogene Daten enthalten sind, ist Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. f DSGVO.

15. Mobile Team-Ansicht für Monteure

Über einen firmenspezifischen Link können sich Monteure mobil mit ihrem Namen und persönlichem Passwort anmelden. Nach der Anmeldung sehen sie ausschließlich ihre eigenen Termine(lesend). Verarbeitet werden die Anmeldedaten (Name; Passwort als bcrypt-Hash), das unter Ziffer 6 beschriebene Cookie sowie die zur Anzeige notwendigen Einsatz-, Kunden- und ggf. Abwesenheitsdaten des angemeldeten Monteurs. Die Auswahl der angezeigten Termine erfolgt bereits serverseitig, sodass fremde Termine nicht an das Gerät übertragen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO bzw. § 26 BDSG.

16. Druck-/PDF-Dokumente

Die Anwendung kann Einsatzaufträge und Tagespläne als druckbare Dokumente (A4) erzeugen. Diese enthalten je nach Auswahl Einsatz-, Kunden- und Monteurdaten. Die Erstellung erfolgt in Ihrem Browser; ein Versand an Dritte findet hierbei nicht statt. Für den weiteren Umgang mit ausgedruckten oder gespeicherten Dokumenten ist der jeweilige Betrieb verantwortlich.

17. Installation als App (PWA)

Mopla24 kann als „Progressive Web App" über den Browser auf Desktop- oder Mobilgeräten installiert werden. Dabei werden lediglich Programm- und Bilddateien lokal abgelegt (siehe Ziffer 6). Es werden keine zusätzlichen personenbezogenen Daten erhoben; die Verarbeitung entspricht der Nutzung im Browser.

18. Automatisierte Vorgänge / keine Profilbildung

Die Anwendung aktualisiert den Status von Einsätzen tagesbezogen automatisch (z. B. von „geplant" zu „in Arbeit" bzw. „erledigt"). Hierbei handelt es sich um eine reine Ablaufunterstützung. Eine automatisierte Entscheidung im Einzelfall einschließlich Profiling mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung nach Art. 22 DSGVO findet nicht statt.

19. Schriftarten

Die verwendete Schriftart wird lokal vom eigenen Server ausgeliefert (selbst gehostet). Beim Laden der Seite wird hierfür keine Verbindung zu Servern Dritter (etwa Google Fonts) aufgebaut; es werden keine Daten an Schriftartenanbieter übermittelt.

20. Empfänger und Auftragsverarbeitung

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies zur Erbringung der Leistung erforderlich ist oder eine gesetzliche Grundlage besteht. Empfänger können sein:

• der Hosting-/Infrastrukturdienstleister (Auftragsverarbeiter),
• die Google Maps Platform im Rahmen der Karten-/Routenfunktion (Ziffer 13),
• im Verhältnis Betrieb ↔ Betreiber: der Betreiber als Auftragsverarbeiter für die Inhaltsdaten des Betriebs,
• staatliche Stellen, soweit eine gesetzliche Verpflichtung zur Übermittlung besteht.

Mit Auftragsverarbeitern werden Verträge nach Art. 28 DSGVO geschlossen. Ein Verkauf von Daten findet nicht statt.

21. Speicherdauer und Löschung

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind insbesondere:

• die Dauer der Nutzung der Software bzw. des Bestehens des jeweiligen Kontos oder Datensatzes,
• gesetzliche Aufbewahrungsfristen (z. B. handels- und steuerrechtlich bis zu 6 bzw. 10 Jahre),
• berechtigte Interessen, etwa zur Geltendmachung oder Abwehr von Rechtsansprüchen.

Nach Wegfall des Zwecks und Ablauf etwaiger Fristen werden die Daten gelöscht oder anonymisiert. Beim Löschen eines Betriebs/Kontos werden die zugehörigen Daten kaskadierend entfernt.

22. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten zu schützen, insbesondere:

• verschlüsselte Übertragung per TLS/HTTPS (sofern die Anwendung über HTTPS betrieben wird),
• Speicherung von Passwörtern ausschließlich als bcrypt-Hash,
• signierte, manipulationssichere Anmelde-Token (JWT) in httpOnly-Cookies,
• strikte Mandantentrennung – jeder Datensatz ist einem Betrieb zugeordnet, Zugriffe sind serverseitig auf den eigenen Betrieb beschränkt,
• rollenbasierte Zugriffsrechte.

23. Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO insbesondere folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO),
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung genügt eine formlose Mitteilung an die unter Ziffer 2 genannten Kontaktdaten. Sind Sie Beschäftigte/r oder Kunde/Kundin eines Mopla24 nutzenden Betriebs, wenden Sie sich bitte zunächst an diesen Betrieb.

24. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere im Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Für uns zuständige Aufsichtsbehörde ist:

25. Erforderlichkeit der Bereitstellung

Die Bereitstellung bestimmter Daten ist für die Nutzung der Anwendung erforderlich (z. B. Anmeldedaten, zur Planung notwendige Stamm- und Einsatzdaten). Ohne diese Daten können die jeweiligen Funktionen nicht oder nur eingeschränkt bereitgestellt werden. Eine gesetzliche oder vertragliche Pflicht zur Bereitstellung besteht nur, soweit ausdrücklich angegeben.

26. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Anwendung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die hier veröffentlichte aktuelle Fassung.

Stand dieser Erklärung: Juni 2026.