Datenschutzerklärung

Stand: März 2026

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

2. Hosting und Content Delivery

Die Kairox-Anwendungsbackends (APIs) werden auf Servern in Deutschland gehostet. Die personenbezogenen Daten, die über diese Dienste erfasst werden, werden auf den Servern des Hosters in Deutschland gespeichert.

Cloudflare

Wir nutzen Dienste der Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) für die Bereitstellung und den Schutz unserer Webangebote:

  • Cloudflare Pages: Alle statischen Inhalte (Marketing-Website, Web-Apps, Dashboards) werden über Cloudflare Pages als Content-Delivery-Netzwerk (CDN) ausgeliefert.
  • Cloudflare Tunnel: Unsere APIs (*.kairox.de) werden über verschlüsselte Cloudflare-Tunnel bereitgestellt (Reverse Proxy). Die Datenverarbeitung erfolgt auf unseren eigenen Servern in Deutschland — Cloudflare leitet den Datenverkehr lediglich weiter.

Dabei werden folgende Daten von Cloudflare verarbeitet: IP-Adresse, User-Agent, Geo-Lokation (Land/Region), Request-Header und Zeitstempel. Diese Daten werden von Cloudflare zur Auslieferung der Inhalte und zum DDoS-Schutz verarbeitet.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — der Einsatz von Cloudflare dient dem Schutz unserer Webangebote vor Angriffen (DDoS-Schutz), der sicheren Bereitstellung und der Performanceoptimierung.

Drittlandtransfer: Cloudflare Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, wodurch ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten in die USA gewährleistet wird. Weitere Informationen: Cloudflare Datenschutzrichtlinie.

Auftragsverarbeitung: Wir haben mit Cloudflare einen Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Kairox UG (haftungsbeschränkt)
Kühsee 4, 93164 Brunn
E-Mail: info@kairox.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG (regelmäßig mindestens 20 Personen mit automatisierter Datenverarbeitung) nicht erfüllt sind.

4. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — die Erfassung von Server-Log-Dateien ist zur Sicherstellung eines fehlerfreien Betriebs der Website und zur Erkennung von Angriffen erforderlich.

Speicherdauer: Server-Log-Dateien werden automatisch nach 90 Tagen gelöscht.

5. Web-App-Authentifizierung (OAuth)

Wenn Sie sich bei der Kairox Web App (app.kairox.de) registrieren oder anmelden, authentifizieren Sie sich über einen externen Identitätsanbieter. Wir unterstützen:

  • Microsoft (Azure AD) — über MSAL-Popup (Scopes: openid, profile, email)
  • Google — über Google Identity Services (Scopes: openid, profile, email)

Wir erhalten folgende Daten von Ihrem Identitätsanbieter:

  • E-Mail-Adresse
  • Anzeigename
  • Anbieterspezifische Benutzer-ID (z.B. Azure AD Object-ID oder Google Subject-ID)

Wir erhalten und speichern nicht Ihr Passwort, Profilbild, Kontakte, Kalenderdaten oder sonstige Daten über die oben genannten hinaus.

Benutzerkonto-Daten

Bei Ihrer ersten Anmeldung über die Web App erstellen wir ein Benutzerkonto in unserer Datenbank mit:

  • Ihrer E-Mail-Adresse und Ihrem Anzeigenamen (von Ihrem Identitätsanbieter)
  • Ihrem Authentifizierungsanbieter und der Anbieter-Benutzer-ID
  • Ihrer Teamzugehörigkeit und Rolle
  • Zeiteinträgen, die Sie in der Anwendung erstellen
  • Benutzereinstellungen und Präferenzen

Diese Daten werden auf unseren Servern in Deutschland gespeichert und sind zur Erbringung des Kairox Timesheet-Dienstes erforderlich.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die Datenverarbeitung ist zur Bereitstellung Ihres Benutzerkontos und der Timesheet-Funktionalität erforderlich.

Authentifizierungstoken

Nach der Anmeldung stellen wir ein Kairox-JWT (JSON Web Token) für den API-Zugriff aus. Refresh-Token-Hashes werden serverseitig gespeichert, um die Session-Erneuerung zu ermöglichen. Token laufen automatisch ab und können durch Abmeldung widerrufen werden.

Cookies und lokaler Speicher

Das Kairox SPFx Web Part arbeitet innerhalb von SharePoint und setzt keine eigenen Cookies.

Die Kairox Web App (app.kairox.de) nutzt den lokalen Speicher des Browsers (Local Storage), um Ihre Authentifizierungs-Session (Kairox-JWT) und Ihre Cookie-Einwilligung zu speichern.

Google Analytics

Wir verwenden Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse des Nutzerverhaltens auf unseren Websites.

Google Analytics wird erst aktiviert, wenn Sie über das Cookie-Banner ausdrücklich einwilligen (Opt-in). Ohne Ihre Einwilligung werden keine Analysedaten erhoben. Wir nutzen die GA4 Consent Mode v2 Technologie, um sicherzustellen, dass vor Ihrer Einwilligung keine personenbezogenen Daten an Google übermittelt werden.

Bei erteilter Einwilligung werden folgende Daten erhoben:

  • Seitenaufrufe und Nutzungsverhalten
  • Technische Daten (Browsertyp, Bildschirmauflösung, Betriebssystem)
  • Ungefähre Standortdaten (Land/Region, keine exakte Position)
  • Verweildauer und Interaktionsmuster

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen oder den lokalen Speicher leeren — beim nächsten Besuch wird das Cookie-Banner erneut angezeigt.

IP-Anonymisierung: Google Analytics 4 anonymisiert IP-Adressen standardmäßig — es werden keine vollständigen IP-Adressen gespeichert.

Speicherdauer: Die Aufbewahrungsdauer in Google Analytics ist auf 14 Monate eingestellt. Nach Ablauf werden die Daten automatisch gelöscht.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung zur Datenerhebung durch Google Analytics jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Browser-Cookies löschen oder den lokalen Speicher leeren.

Drittlandtransfer: Google Ireland Limited kann Daten an Google LLC (USA) übermitteln. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Weitere Informationen: Google Datenschutzrichtlinie.

Auftragsverarbeitung: Wir haben mit Google einen Auftragsverarbeitungsvertrag abgeschlossen.

Löschung

Sie können die Löschung Ihres Benutzerkontos und aller zugehörigen Daten jederzeit per E-Mail an privacy@kairox.de beantragen. Wir löschen Ihre Daten innerhalb von 30 Tagen.

6. Kairox Timesheet-Anwendung (SharePoint)

Bei Nutzung der Kairox Timesheet-Anwendung werden Ihre Daten in Ihrem Microsoft 365 / SharePoint Tenant gespeichert. Wir haben keinen Zugriff auf diese Daten. Die Datenverarbeitung erfolgt gemäß den Nutzungsbedingungen von Microsoft 365.

7. Telemetrie (anonyme Nutzungsstatistiken)

Die Kairox Timesheet-Anwendung erfasst anonyme Nutzungsstatistiken auf Grundlage unseres berechtigten Interesses an der Verbesserung unserer Software (Art. 6 Abs. 1 lit. f DSGVO).

Welche Daten werden erfasst?

Es werden ausschließlich anonyme, nicht-personenbezogene Daten erfasst:

  • Genutzte Funktionen (z.B. Ansichtswechsel, Speichervorgänge)
  • Ladezeiten und Performance-Metriken
  • Fehlermeldungen ohne personenbezogene Daten
  • Browsertyp und Bildschirmauflösung

Welche Daten werden NICHT erfasst?

  • Keine personenbezogenen Daten (Name, E-Mail, User-ID)
  • Keine Zeiterfassungsdaten oder Projektinformationen
  • Keine IP-Adressen
  • Keine Tracking-Cookies oder persistente Identifikatoren
  • Keine Tenant- oder Organisations-IDs

Rechtsgrundlage

Da keine personenbezogenen Daten erfasst werden, ist keine Einwilligung erforderlich. Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses an der Produktverbesserung und Fehlerbehebung (Art. 6 Abs. 1 lit. f DSGVO).

Widerspruchsrecht (Opt-Out)

Sie können der Datenerfassung jederzeit widersprechen, indem Sie die Telemetrie in den Einstellungen der Anwendung deaktivieren (Einstellungen-Symbol → "Telemetrie").

Datenverarbeitung

Die anonymen Daten werden auf unseren eigenen Servern in Deutschland verarbeitet und nach 90 Tagen automatisch gelöscht. Es erfolgt keine Weitergabe an Dritte.

8. Datenweitergabe

Wir verkaufen, handeln oder übertragen Ihre personenbezogenen Daten nicht an Dritte. Ihre SharePoint-Daten verbleiben ausschließlich in Ihrem Microsoft 365 Tenant.

Cloudflare und Google (bei erteilter Einwilligung) agieren als Auftragsverarbeiter in unserem Auftrag (siehe Abschnitte 2 und 5). Darüber hinaus erfolgt keine Weitergabe an Dritte.

9. Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder Vervollständigung Ihrer Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, wenn diese auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt.

Da Ihre Timesheet-Daten in Ihrer eigenen SharePoint-Umgebung gespeichert werden, haben Sie über das Microsoft 365 Admin Center die volle Kontrolle über diese Daten.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Änderungen werden auf dieser Seite veröffentlicht und das „Stand“-Datum wird entsprechend aktualisiert.

Stand: März 2026