Datenschutzerklärung

Stand: 29. April 2026 · Version 2.0

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Website crewly-software.de, der Web-App app.crewly-software.de sowie der iOS- und Android-Apps von Crewly.

1. Verantwortlicher

Crewly Software UG (in Gründung)
vertreten durch den Geschäftsführer Hesha Nasser
Campusallee 10
51379 Leverkusen
Deutschland

Telefon: +49 176 21592816
E-Mail: support@crewly-software.de

Hinweis: Die Crewly Software UG (haftungsbeschränkt) befindet sich derzeit in Gründung. HRB-Nummer und USt-Identifikationsnummer werden nach Eintragung ins Handelsregister hier ergänzt.

2. Allgemeine Hinweise

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (DSGVO, BDSG, TTDSG) sowie dieser Datenschutzerklärung.

3. Verarbeitete Datenkategorien

• Stammdaten: Name, E-Mail, Firmenname, Telefon
• Vertragsdaten: Abo-Plan, Rechnungen, Zahlungshistorie
• Nutzungsdaten: Login-Zeiten, IP-Adresse, Geräte-Info, App-Version
• Inhalte: Mitarbeiterdaten, Kunden, Projekte, Zeiterfassung, GPS-Standorte (während aktiver Schicht), Protokolle, Fotos, Belege, Lohnabrechnungen
• Biometrische Daten: Face-ID/Touch-ID-Hash (lokal in iOS Keychain — niemals an unsere Server übertragen)
• Kommunikationsdaten: Chat-Nachrichten, Push-Tokens, Support-Anfragen

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Account, Abo, Funktionen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — Rechnungen, Lohnabrechnung, Aufbewahrungsfristen
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — IT-Sicherheit, Fehleranalyse, Missbrauchsabwehr
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Optionale Analytics, Cookies, Biometric Login
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) — Biometric Login (besondere Datenkategorie)

5. Hosting und Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein. Mit allen wurden bzw. werden Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen.

5.1 Cloud-Hosting

• Supabase, Inc. (USA / Frankfurt) — Datenbank, Authentifizierung, Storage, Edge Functions. Server-Standort: Frankfurt (Deutschland).
  Datenschutz: supabase.com/privacy
  DPA: supabase.com/legal/dpa
• Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting für Marketing-Website und App-Frontend.
  Datenschutz: hetzner.com/de/rechtliches/datenschutz
• Vercel, Inc. (USA) — Marketing-Website-Hosting.
  Datenschutz: vercel.com/legal/privacy-policy

5.2 Zahlungsabwicklung

• Stripe Payments Europe, Ltd. (Irland, Mutterkonzern USA) — Abrechnung, Subscription-Management, Rechnungsversand. Daten: Name, E-Mail, Firmenname, Zahlungsdaten (Kreditkarte verarbeitet Stripe direkt — wir speichern keine Kartendaten).
  Datenschutz: stripe.com/de/privacy
  DPA: stripe.com/legal/dpa

5.3 E-Mail-Versand

• united-domains AG (Starnberg, Deutschland) — SMTP-Versand von Welcome-Mails, Passwort-Recovery, Benachrichtigungen über support@crewly-software.de.
  Datenschutz: united-domains.de/datenschutz
• Resend (Resend, Inc., USA) — ausschließlich für E-Mail-Inbound (User forwarden Belege per Email an belege.crewly-software.de).
  Datenschutz: resend.com/legal/privacy-policy

5.4 Push-Benachrichtigungen

• Apple Inc. (USA) — APNs (Apple Push Notification Service) für iOS-Geräte. Übermittelt werden: Device-Token, Push-Inhalt.
  Datenschutz: apple.com/legal/privacy
• Google LLC (USA) — FCM (Firebase Cloud Messaging) für Android-Geräte. Übermittelt werden: Device-Token, Push-Inhalt.
  Datenschutz: policies.google.com/privacy

5.5 KI-basierte Beleg-Erkennung

• Google LLC (Gemini API) (USA) — Optionale OCR-Funktion: Belegfotos werden an Google Gemini 2.0 Flash gesendet, um Beträge, Datum und Lieferant automatisch zu erkennen.
  Verarbeitete Daten: Belegfoto (kann Firmenlogo, Adresse, Beträge enthalten).
  Speicherung bei Google: keine Langzeit-Speicherung gemäß Gemini API-AGB.
  Datenschutz: ai.google.dev/gemini-api/terms

5.6 Buchhaltung-Export (optional)

• DATEV eG (Nürnberg, Deutschland) — DATEV-Format-Export von Lohnabrechnungs-Daten (nur auf manuellen Export hin).
  Datenschutz: datev.de/datenschutz

5.7 Fehler- und Performance-Monitoring

• Sentry GmbH (Wien, Österreich / Sentry Inc., USA) — Crash-Reporting, Performance-Monitoring. EU-Server (de.sentry.io).
  Daten: Stack-Traces, Browser/OS, anonymisierte User-ID. E-Mails, IPs und Tokens werden vor dem Versand an Sentry serverseitig entfernt.
  Sample-Rate: 10 % der Sessions, 10 % der Transaktionen.
  Opt-Out: in den App-Einstellungen unter „Datenschutz → Anonyme Diagnose-Daten“.
  Datenschutz: sentry.io/privacy

5.8 Domains und DNS

• united-domains AG (Starnberg, Deutschland) — Registrierung der Domain crewly-software.de.

6. Übermittlung in Drittländer (USA)

Einige der oben genannten Auftragsverarbeiter (Supabase, Stripe, Vercel, Resend, Apple, Google, Sentry US) haben ihren Hauptsitz in den USA oder verarbeiten Daten dort. Die Übermittlung erfolgt auf Basis:

• EU-US Data Privacy Framework — soweit der jeweilige Anbieter zertifiziert ist (Stripe, Google, Apple sind zertifiziert)
• Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO bei nicht zertifizierten Anbietern
• Ergänzend: technische Maßnahmen (Verschlüsselung in Transit + at Rest)

Eine Übertragung in die USA birgt das Restrisiko, dass US-Behörden auf Daten zugreifen können (z.B. nach FISA 702). Dieses Risiko haben wir im Rahmen einer Transfer Impact Assessment dokumentiert. Sie können die Übermittlung verhindern, indem Sie unsere Dienste nicht nutzen.

7. Speicherdauer

• Account-Daten: bis zur Löschung des Accounts
• Zeitlogs: 2 Jahre (Nachweispflicht Mindestlohngesetz § 17 MiLoG)
• Rechnungen / Lohnabrechnungen: 10 Jahre (§ 147 AO, § 257 HGB)
• GPS-Standortdaten: 3 Monate, dann automatische Löschung
• Audit-Logs: 12 Monate
• Sentry-Errors: 30 Tage
• Analytics-Events: 12 Monate
• Inaktive Accounts: nach 24 Monaten Inaktivität automatische Löschungs-Anfrage per E-Mail

8. GPS-Standorterfassung (Zeiterfassung)

Wenn Mitarbeiter:innen die Zeiterfassung mit GPS-Verifikation nutzen, wird der Standort ausschließlich beim Start und Stopp einer Schicht an unsere Server übertragen. Es findet keine kontinuierliche Standort-Verfolgung statt. GPS-Daten werden nach 3 Monaten automatisch gelöscht.

Mitarbeiter-Einwilligung und Betriebsrat: Das Crewly-Kunden-Unternehmen (Arbeitgeber) ist verantwortlich, vor Aktivierung der GPS-Funktion die Einwilligung der betroffenen Mitarbeiter:innen einzuholen und ggf. eine Betriebsvereinbarung mit dem Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG zu schließen.

9. Biometrische Daten (Face ID / Touch ID)

Optional können Sie sich mit Face ID oder Touch ID einloggen. Die biometrischen Merkmale werden ausschließlich lokal auf Ihrem Gerät in der iOS Keychain verarbeitet — niemals an unsere Server übertragen oder gespeichert. Bei Aktivierung holen wir Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein. Sie können die Einwilligung jederzeit in den App-Einstellungen widerrufen.

10. Cookies und Tracking

Auf der Marketing-Website crewly-software.de setzen wir nur technisch notwendige Cookies ein (Session, CSRF-Schutz, Sprachauswahl). Es findet kein Marketing-Tracking statt — keine Google Analytics, kein Facebook Pixel.

In der App app.crewly-software.de werden funktionale Cookies/localStorage gesetzt (Auth-Token, Theme-Präferenz, Onboarding-Status). Anonyme Diagnose-Daten (Sentry) und Nutzungs-Analytics können in den App-Einstellungen deaktiviert werden.

11. Push-Benachrichtigungen

Push-Benachrichtigungen werden nur versendet, wenn Sie diese im Betriebssystem aktiv erlaubt haben (Opt-In). Die Einwilligung kann jederzeit in den iOS-/Android-Systemeinstellungen widerrufen werden.

12. Ihre Rechte (Art. 15-22 DSGVO)

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung Ihrer Daten (Art. 17 — „Recht auf Vergessenwerden“)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit in maschinenlesbarem Format (Art. 20) — über App-Einstellungen → DSGVO-Export
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
• Beschwerderecht bei einer Aufsichtsbehörde — z.B. Landesbeauftragte für Datenschutz Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf

Anfragen senden Sie bitte an: support@crewly-software.de. Bearbeitung spätestens innerhalb von 30 Tagen.

13. Datensicherheit

• TLS 1.3 für alle Verbindungen (HTTPS)
• Verschlüsselung at Rest in Supabase (PostgreSQL)
• Argon2-Hashing für Passwörter
• Optional: 2FA via TOTP
• Row-Level-Security (RLS) auf allen Datenbank-Tabellen — strikte Mandantentrennung
• Regelmäßige Backups
• Session-Timeout standardmäßig 30 Minuten Inaktivität (DSGVO-konform)

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an geänderte Rechtslage oder bei Änderungen unserer Dienste an. Die jeweils aktuelle Version ist immer unter dieser URL abrufbar.

Stand: 29. April 2026 · Version 2.0