FLEXit← Zum Login

Datenschutzinformation für Beschäftigte

gemäß DSGVO Art. 13 · Stand: Juni 2026

1. Verantwortlicher

FLEX Büromöbel GmbH
An der Tagweide 2
76139 Karlsruhe
Deutschland

Geschäftsführer: Alexander Groh, Maximilian Aldinger

Telefon: 0721 27661054
Email: info@flex-bueromoebel.de

USt-IdNr.: DE338637199

Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV: Alexander Groh, An der Tagweide 2, 76139 Karlsruhe

Datenschutzbeauftragter: Nach Art. 37 DSGVO nicht erforderlich (Unterschreitung der Schwellenwerte für verpflichtende Bestellung).

2. Was wird verarbeitet?

Im Rahmen deiner Tätigkeit für FLEX Büromöbel GmbH werden im FLEXit-System folgende personenbezogene Daten gespeichert:

  • Stammdaten: Name, dienstliche E-Mail-Adresse, gewählte Sprache, optionales Profilbild
  • Authentifizierung: Passwort (bcrypt-Hash), optional Two-Factor-Secret + Backup-Codes (SHA-256-Hashed)
  • Rollen + App-Zugänge: welche FLEXit-Apps und -Funktionen du nutzen darfst
  • Login-Protokoll: Zeitpunkt, IP-Adresse und Browser-Kennung jedes Anmeldeversuchs (Erfolg + Fehlschlag)
  • Aktive Sitzungen: Refresh-Token-Hashes, IP, UA, Erstellungs- und Ablaufzeit
  • Arbeitsbezogene Aktionen: wer hat im System welche Wareneingänge, Aufträge, Refurbs etc. bearbeitet (für die ordnungsgemäße Abwicklung erforderlich)

3. Wofür wird verarbeitet? Rechtsgrundlage

  • Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): FLEXit ist dein Arbeitswerkzeug — ohne Account kannst du deine Tätigkeit nicht ausüben.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Login-Protokoll + Admin-Audit-Log dienen der IT-Sicherheit (Brute-Force-Erkennung, Forensik bei Vorfällen) und der Nachvollziehbarkeit von Berechtigungsänderungen (BSI ORP.4).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Belege zu Lager-, Verkaufs- und Versandvorgängen werden für handels- und steuerrechtliche Aufbewahrungsfristen vorgehalten.

4. Wie lange werden Daten gespeichert?

  • Login-Protokoll: 90 Tage. Anschließend automatische Löschung über einen täglichen Cleanup-Job.
  • Admin-Audit-Log: 1 Jahr, dann automatische Löschung.
  • Aktive Sitzungen: automatisch nach 10 Stunden Inaktivität.
  • Passwort-Reset-Tokens: 60 Minuten.
  • Account-Stammdaten: für die Dauer deiner Tätigkeit. Nach Ausscheiden wird dein Account anonymisiert (Name und E-Mail durch anonymisiert-<id> ersetzt) — Audit-Logs zu deinem ehemaligen Account bleiben anonymisiert erhalten, soweit gesetzlich erforderlich.
  • Geschäftsbelege (Wareneingänge, Verkäufe, Versand): handels- und steuerrechtliche Fristen, regelmäßig 10 Jahre.

5. Wer hat Zugriff? Auftragsverarbeiter

Zugriff auf deine Account-Daten haben:

  • Du selbst über den Account-Bereich
  • Hub-Administratoren mit der Berechtigung hub:users:read bzw. :update
  • Auftragsverarbeiter (Art. 28 DSGVO):
    • Railway Corporation (Hosting) — Sitz: USA / EU (Frankfurt) — Zweck: App-Hosting + Datenbank-Hosting
    • Shopify International Ltd. (Storefront) — Sitz: Irland (EU) / Kanada / USA — Zweck: Online-Shop + Bestellabwicklung(Drittland)
    • DHL Paket Deutschland — Sitz: Bonn, Deutschland — Zweck: Paketversand
    • Raben Logistics — Sitz: Polen / Deutschland — Zweck: Speditionsversand
    • Resend / SMTP-Provider — Sitz: abhängig von Konfiguration — Zweck: Transaktionale Emails

5a. Datenübermittlungen in Drittländer

  • USA — Zweck: Shopify-Plattform (Hostingverbund) — Rechtsgrundlage: Standardvertragsklauseln + EU-US Data Privacy Framework

6. Deine Rechte

Als betroffene Person hast du folgende Rechte gegenüber dem Verantwortlichen:

  • Auskunft (Art. 15 DSGVO) — welche Daten zu dir gespeichert sind. Im Account-Bereich kannst du deine persönlichen Daten als JSON-Datei herunterladen.
  • Berichtigung (Art. 16 DSGVO) — falsche Daten korrigieren lassen.
  • Löschung (Art. 17 DSGVO) — Anonymisierung deines Accounts beantragen (gesetzliche Aufbewahrungsfristen für Geschäftsbelege bleiben unberührt).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — maschinenlesbarer Export deiner Daten.
  • Widerspruch (Art. 21 DSGVO) — gegen Verarbeitung auf Basis berechtigten Interesses.
  • Beschwerde bei einer Aufsichtsbehörde (in Deutschland: zuständige Landesdatenschutzbeauftragte am Sitz des Verantwortlichen).

Anfragen zu deinen Rechten richte an info@flex-bueromoebel.de.

7. Cookies und ähnliche Technologien

FLEXit verwendet ausschließlich technisch notwendige Cookies, um dich eingeloggt zu halten:

  • flexit_access — Access-Token, HttpOnly, Secure, SameSite=Lax, max. 15 Minuten Lebensdauer
  • flexit_refresh — Refresh-Token, HttpOnly, Secure, SameSite=Lax, max. 10 Stunden Lebensdauer
  • flexit_totp_pending — temporärer Cookie während Zwei-Faktor-Eingabe, max. 5 Minuten

Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich, da diese Cookies für den Betrieb des Dienstes zwingend erforderlich sind. Tracking-Cookies werden nicht eingesetzt.

8. Technische Schutzmaßnahmen (Auszug)

  • Verschlüsselung in Transit: Ausschließlich HTTPS (TLS) — HSTS erzwingt sichere Verbindungen für 2 Jahre.
  • Passwort-Schutz: bcrypt-Hash mit 12 Rounds, Mindestlänge 12 Zeichen.
  • Login-Schutz: IP-Rate-Limit + Account-Lockout nach 10 Fehlversuchen.
  • Zwei-Faktor-Authentifizierung: für privilegierte Rollen verpflichtend (TOTP nach RFC 6238).
  • Nachvollziehbarkeit: Admin-Audit-Log protokolliert sicherheitsrelevante Änderungen 1 Jahr lang revisionssicher.

9. Aufsichtsbehörde

Auskunfts- und Beschwerderecht beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstr. 10a, 70173 Stuttgart.