Datenschutzerklärung

Skeldy SAS (Skeldy SAS, 12 rue de la Paix, 75002 Paris, Frankreich) ist Verantwortlicher im Sinne der DSGVO für die über Skeldy verarbeiteten personenbezogenen Daten. Eingetragen in Frankreich, RCS Paris (Registernummer wird bei Eintragung bestätigt).

Datenschutz-Anfragen: [email protected]. Datenschutzbeauftragter (DPO): [email protected].

Wir erheben nur die für den Betrieb von Skeldy erforderlichen Daten. Kategorien:

• Kontodaten — Name, E-Mail, Rolle, Organisationszugehörigkeit.
• Plandaten — Schichten, Bereiche, Qualifikationen, Verfügbarkeiten, Präferenzen.
• Kommunikation — Nachrichten, Kommentare, Broadcast-Übersetzungen im Produkt.
• Abrechnungsdaten — durch Stripe verarbeitet; wir erhalten nur unkritische Metadaten (letzte 4 Kartenstellen, Land).
• Produkt-Analytics — Seitenaufrufe, Klicks, Nutzung. Nur mit Ihrer ausdrücklichen Einwilligung.
• Technische Daten — IP-Adresse, User-Agent, Request-Logs (30 Tage Aufbewahrung aus Sicherheitsgründen).

Jede Verarbeitung hat einen klaren Zweck und eine Rechtsgrundlage nach Art. 6 DSGVO:

Bereitstellung des Dienstes

Vertragserfüllung (Art. 6 Abs. 1 lit. b). Konto, Schichtplanung, KI-gestützte Umplanung, Broadcast-Übersetzung, Compliance-Checks.

Abrechnung und Steuern

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) und Vertragserfüllung.

Sicherheit und Missbrauchsabwehr

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Audit-Logs, Rate-Limits, Betrugserkennung.

Produktanalyse und -verbesserung

Einwilligung (Art. 6 Abs. 1 lit. a). Jederzeit widerrufbar im Cookie-Banner oder unter /cookies.

Kundensupport

Vertragserfüllung und berechtigtes Interesse.

Das Produkt läuft auf europäischer Infrastruktur. Produktionsdaten liegen in eu-central-1 (Frankfurt). Unsere Auftragsverarbeiter:

• Supabase (Datenbank, Authentifizierung, Storage) — eu-central-1.
• Vercel (Web-Hosting) — EU-Regionen, Vercel Pro EU.
• Resend (Transaktionsmails) — EU-Region.
• Stripe (Zahlungen) — EU und USA, Standardvertragsklauseln vorhanden.
• Google LLC (Google AI API — LLM-Inferenz, Text und Vision) — globale Infrastruktur; EU-Datenspeicherung vertraglich nicht garantiert. Bedingungen: business.safety.google/sar/
• Sentry (Fehler-Monitoring) — EU-Instanz.
• PostHog (Produkt-Analytics, opt-in) — eu.posthog.com.
• Nango (POS-/PMS-Konnektoren) — EU-Region, soweit verfügbar.

Bei unvermeidbaren Übermittlungen außerhalb der EU/des EWR stützen wir uns auf die EU-Standardvertragsklauseln (Beschluss 2021/914) sowie ergänzende Maßnahmen (Verschlüsselung in Transit und at-rest, rollenbasierter Zugriff, Audit-Logs).

⚠ Hinweis: Die Google AI API (aistudio.google.com) garantiert keine EU-Datenspeicherung vertraglich. Durch den KI-Planungsassistenten verarbeitete Daten können auf der globalen Infrastruktur von Google verarbeitet werden. Dies unterscheidet sich von unserer früheren Vertex AI europe-west4-Vereinbarung. Wir evaluieren eine Rückkehr zu EU-regionaler KI-Infrastruktur. Wenn dies Ihre Compliance-Anforderungen betrifft, kontaktieren Sie uns unter [email protected].

• Kontodaten — Laufzeit des Abonnements plus 30 Tage nach Beendigung.
• Plandaten — Laufzeit des Abonnements plus 30 Tage; Export jederzeit über die DSGVO-Endpoints.
• Audit-Logs — 13 Monate (Sicherheit und Streitbeilegung).
• Buchungsbelege — 10 Jahre (französisches Handelsgesetzbuch).
• Fotos der kostenlosen Compliance-Auditfunktion — verschlüsselt und nach 1 Stunde automatisch gelöscht.
• Analytics-Events — 12 Monate, nur mit Einwilligung.

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sowie auf Widerruf der Einwilligung jederzeit, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu beeinträchtigen.

Geltendmachung über Ihre Kontoeinstellungen, die Self-Service-DSGVO-Endpoints (/api/gdpr/export liefert ein JSON-Archiv Ihrer Daten; /api/gdpr/delete plant die Löschung vorbehaltlich gesetzlicher Aufbewahrungsausnahmen), oder per E-Mail an [email protected]. Antwort innerhalb eines Monats, mit Mitteilung um zwei weitere Monate verlängerbar bei komplexen Anfragen.

Sie können Beschwerde einlegen bei der BfDI (Deutschland, www.bfdi.bund.de) oder bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts, Arbeitsplatzes oder Ortes des mutmaßlichen Verstoßes — z. B. CNIL (Frankreich), AEPD (Spanien), Garante (Italien) oder Information Commissioner's Office (Vereinigtes Königreich).

Wenn Ihre General Managerin oder Ihr Section Manager Sie zu Skeldy einlädt, erhalten wir Ihren Namen, Ihre E-Mail, Ihre Rolle und Sektionszuweisung von ihnen statt direkt von Ihnen (Art. 14 DSGVO). Rechtsgrundlage ist das berechtigte Interesse der Organisation am Betrieb des Dienstplans, abgewogen gegen Ihre Interessen durch diese Information und die nachstehenden Rechte. Sie können jederzeit widersprechen, indem Sie Ihre General Managerin kontaktieren oder uns schreiben.

Die KI-Funktionen von Skeldy (Compliance-Prüfung, Dienstplan-Rekonfiguration, mehrsprachige Mitteilungen, Foto-OCR für den kostenlosen Compliance-Audit) schlagen Ergebnisse vor; sie wenden niemals automatisch Änderungen an, die Ihre Schichten betreffen. Eine General Managerin oder ein Section Manager prüft und bestätigt stets vor der Veröffentlichung. Sie unterliegen keiner Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung im Sinne von Art. 22(1) DSGVO beruht.

Wenn Sie der Ansicht sind, dass ein KI-Vorschlag, den Ihre Managerin umgesetzt hat, Sie unfair benachteiligt hat, haben Sie das Recht auf Erläuterung, Einspruch und erneute menschliche Prüfung. Kontaktieren Sie zuerst Ihre General Managerin; wenn ungelöst, schreiben Sie uns.

Skeldy ist eine B2B-Workforce-Management-Plattform und richtet sich nicht an Kinder. Wenn Mitarbeitende unter 18 Jahren eingeplant werden (am häufigsten Auszubildende mit 16-17 Jahren), ist die General Managerin dafür verantwortlich, die elterliche Zustimmung zu bestätigen, sofern nach nationalem Recht erforderlich. Die Compliance-Engine von Skeldy wendet automatisch länderspezifische Beschränkungen für Minderjährige an (keine Spätschichten, Pflichtruhezeiten, Wochenstundengrenzen). Wir erfassen wissentlich keine personenbezogenen Daten von Kindern unter dem nationalen Alter der digitalen Einwilligung ohne elterliche Zustimmung.

Verschlüsselung in Transit (TLS 1.2+) und at-rest (AES-256). Row-Level Security in jeder Tabelle. Rollenbasierter Zugriff entsprechend der Hierarchie (General Manager, Section Manager, Staff). Audit-Logs für jede privilegierte Aktion. Jährliche Pen-Tests. SOC-2-Type-1-Vorbereitung in Arbeit.

Vermutete Schwachstellen können vertraulich an [email protected] gemeldet werden.

Wir benachrichtigen Kunden mindestens 14 Tage vor wesentlichen Änderungen per E-Mail. Das Datum oben gibt die aktuell gültige Fassung an.