Datenschutzerklärung
Stand: März 2026
Der Schutz personenbezogener Daten ist uns wichtig. Foxizer unterstützt Unternehmen bei der Personalplanung und erstellt Entwürfe von Personaleinsatzplänen mithilfe eines Algorithmus. Nachfolgend informieren wir gemäß DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit Foxizer.
Rollen & Zuständigkeiten
Foxizer wird von Unternehmen zur Personal- und Einsatzplanung eingesetzt. Dabei gelten folgende Rollen:
- Kunde (Unternehmen, das Foxizer nutzt) = Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
- Foxizer (Anbieter) = Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.
Das bedeutet: Der Kunde entscheidet über Zwecke und Mittel der Verarbeitung personenbezogener Daten (z. B. welche Mitarbeitendendaten verarbeitet werden, wie lange Daten gespeichert werden und wer Zugriff erhält). Foxizer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden und nach dessen Weisungen gemäß Art. 28 DSGVO.
Verantwortlicher (Kunde)
Der Kunde ist als Verantwortlicher im Sinne der DSGVO für die rechtmäßige Verarbeitung personenbezogener Daten in seinem Betrieb zuständig. Foxizer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV).
Zweck & Funktionsweise
Foxizer unterstützt die Personalplanung und erstellt Entwürfe von Personaleinsatzplänen mithilfe eines Algorithmus. Die finale Entscheidung über die tatsächliche Einsatzplanung trifft ausschließlich der Kunde.
Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigt, ist nicht vorgesehen.
Verarbeitete Daten
Für den Zweck der Personal- und Einsatzplanung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
Nutzerdaten (Zugänge)
- Vor- und Nachname
- Benutzername
- E-Mail-Adresse (sofern genutzt)
- Rollen und Berechtigungen
- Login-Zeitpunkte & sicherheitsrelevante Ereignisse
Planungsdaten (Mitarbeitende)
- Vor- und Nachname
- Projekt-/Einsatzzuordnung
- Beschäftigungs-/Planungsstatus
- Arbeitszeitparameter (z. B. Wochenstunden, Tagesgrenzen)
- Verfügbarkeiten und Abwesenheiten
- Qualifikationen und Fähigkeiten (Skills, z. B. Bereiche oder Tätigkeiten, für die ein Mitarbeitender eingeplant werden kann)
Besondere Kategorien nach Art. 9 DSGVO
Foxizer ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) zu verarbeiten. Der Kunde ist angehalten, solche Daten nicht in Foxizer zu speichern.
Pflicht zur Bereitstellung der Daten
Die Bereitstellung der in Foxizer verarbeiteten personenbezogenen Daten ist für die Durchführung der Personal- und Einsatzplanung erforderlich. Ohne diese Daten kann Foxizer die Planungsfunktionen nicht oder nicht zuverlässig bereitstellen und es können keine Einsatzplan-Entwürfe erstellt werden.
Ob und in welchem Umfang du Daten bereitstellen musst, richtet sich nach den Vorgaben des Verantwortlichen (Kundenunternehmens), z. B. arbeitsvertraglichen Pflichten und internen Regelungen.
Rechtsgrundlagen
Da der Kunde Verantwortlicher ist, legt er die Rechtsgrundlagen für die Verarbeitung fest (z. B. Art. 6 Abs. 1 lit. b, c oder f DSGVO sowie ggf. arbeitsrechtliche Regelungen). Foxizer verarbeitet personenbezogene Daten ausschließlich als Auftragsverarbeiter im Auftrag des Kunden (Art. 28 DSGVO).
Für eigene Verarbeitungen des Foxizer-Anbieters (z. B. Vertragsverwaltung, Abrechnung, Supportkommunikation) gelten die jeweiligen Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO.
Sofern im Einzelfall eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.
Auftragsverarbeitung
Mit dem Kunden wird ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser regelt insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Kategorien betroffener Personen sowie technische und organisatorische Maßnahmen.
Pflichten des Kunden (Rechtsgrundlage & ggf. Einwilligungen)
Der Kunde ist als Verantwortlicher dafür zuständig, dass die Verarbeitung personenbezogener Daten im Betrieb rechtmäßig erfolgt und dass die erforderliche Rechtsgrundlage vorliegt (insbesondere im Beschäftigungskontext). Foxizer verarbeitet personenbezogene Daten ausschließlich nach Weisung des Kunden im Rahmen der Auftragsverarbeitung.
Einwilligungen (falls relevant): Soweit der Kunde für bestimmte Funktionen oder Datenarten eine Einwilligung der betroffenen Personen benötigt (z. B. freiwillige Zusatzangaben), muss der Kunde diese Einwilligung vor der Verarbeitung wirksam einholen, dokumentieren und sicherstellen, dass ein Widerruf jederzeit möglich ist. Foxizer stellt hierfür – sofern vorgesehen – technische Funktionen bereit; die Verantwortung für die rechtliche Wirksamkeit der Einwilligung liegt beim Kunden.
Empfänger
Zugriff auf personenbezogene Daten erhalten nur Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).
Foxizer setzt folgende Unterauftragnehmer ein, mit denen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen wurde:
| Anbieter | Zweck | Sitz |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenspeicherung (Cloud-Infrastruktur) | Deutschland (EU) |
| Stripe Inc. | Zahlungsabwicklung (Credits / Abonnements) | USA (Standardvertragsklauseln gem. Art. 46 DSGVO) |
| Resend Inc. | Transaktionaler E-Mail-Versand (Verifizierung, Benachrichtigungen) | USA (Standardvertragsklauseln gem. Art. 46 DSGVO) |
| Sentry (Functional Software, Inc.) | Fehlerüberwachung und Performance-Monitoring (technischer Betrieb) | USA (Standardvertragsklauseln gem. Art. 46 DSGVO) |
Mit allen Unterauftragnehmern wurde ein AVV abgeschlossen. Die Daten werden nur im zur Leistungserbringung notwendigen Umfang weitergegeben.
Drittlandübermittlung
Die Verarbeitung und Speicherung der Planungsdaten erfolgt auf Servern innerhalb der EU (Hetzner Online GmbH, Deutschland).
Für die Zahlungsabwicklung wird Stripe Inc. (USA) eingesetzt. Die Übermittlung von Zahlungsdaten in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Stripe ist zudem nach dem EU-US Data Privacy Framework zertifiziert.
Für den transaktionalen E-Mail-Versand (z.B. E-Mail-Verifizierung, Systembenachrichtigungen) wird Resend Inc. (USA) eingesetzt. Die Übermittlung der E-Mail-Adresse in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Für die Fehlerüberwachung und das Performance-Monitoring des technischen Betriebs wird Sentry (Functional Software, Inc., USA) eingesetzt.
Dabei werden im Fehlerfall technische Daten übermittelt: Fehlermeldungen, Stack-Traces, HTTP-Methode und URL des fehlerhaften Requests,
Browser- und Betriebssystemversion (aus dem User-Agent) sowie Zeitstempel. Foxizer hat send_default_pii=False konfiguriert,
sodass Benutzernamen, E-Mail-Adressen, IP-Adressen und Planungsinhalte (Mitarbeiternamen, Schichtdaten) nicht an
Sentry übermittelt werden. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Speicherdauer
Die Speicherdauer der in Foxizer verarbeiteten personenbezogenen Daten (Planungsdaten, Mitarbeitendendaten) wird durch den Kunden als Verantwortlichen festgelegt. Nach Weisung des Kunden werden Daten gelöscht, anonymisiert oder zurückgegeben, sofern keine gesetzlichen Pflichten entgegenstehen.
Für eigene Verarbeitungen des Foxizer-Anbieters gelten folgende Aufbewahrungsfristen:
| Datenkategorie | Frist | Grundlage |
|---|---|---|
| Konto-Stammdaten | Bis zur Konto-Löschung; automatisch nach 24 Monaten Inaktivität | Art. 5 Abs. 1 lit. e DSGVO |
| Rechnungen & Zahlungsdaten | 10 Jahre (danach Löschung) | § 257 HGB, § 147 AO |
| Optimierungsläufe | 24 Monate | Art. 5 Abs. 1 lit. e DSGVO |
| Sicherheitsprotokolle (AuditLog, IP-Adressen) | 24 Monate | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit) |
| Server-Logs (Nginx, Gunicorn) | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Betrieb) |
| Feedback & NPS-Bewertungen | 24 Monate | Art. 5 Abs. 1 lit. e DSGVO |
Sicherheitsmaßnahmen
- Verschlüsselte Übertragung (TLS/HTTPS)
- Rollen- und Berechtigungskonzept
- Passwörter kryptografisch gehasht (kein Klartext)
- Backups und Wiederherstellungsprozesse (sofern eingerichtet)
- Schutzmaßnahmen gegen unbefugte Zugriffe
Protokolle & Zugriffsdaten
Zur Sicherstellung des Betriebs und zur Abwehr von Angriffen werden technische Protokolldaten verarbeitet, insbesondere:
- IP-Adresse (z. B. bei Login-Vorgängen)
- Zeitstempel von An- und Abmeldungen
- Protokolle über fehlgeschlagene Login-Versuche
- Technische Metadaten (z. B. Request-IDs, Fehlercodes)
Protokolldaten werden zeitlich befristet gespeichert und anschließend gelöscht oder anonymisiert, sofern keine Sicherheitsvorfälle eine längere Aufbewahrung erforderlich machen.
Cookies
Foxizer verwendet technisch notwendige Cookies für den sicheren Betrieb sowie – nach ausdrücklicher Einwilligung – Marketing-Cookies von Google für die Erfolgsmessung von Werbeanzeigen. Du wirst beim ersten Besuch um Zustimmung gebeten und kannst diese jederzeit durch Löschen des Browser-Speichers (localStorage) widerrufen.
Technisch notwendige Cookies (keine Einwilligung erforderlich)
| Name | Zweck | Speicherdauer |
|---|---|---|
| sessionid | Authentifizierungssitzung (Login-Status) | 8 Stunden / bis Browser-Schließung |
| csrftoken | Schutz vor Cross-Site-Request-Forgery-Angriffen | Sitzungsdauer |
| __stripe_mid | Stripe-Betrugsschutz und Zahlungsverifizierung (technisch notwendig für Checkout) | 1 Jahr |
| __stripe_sid | Stripe-Sitzungskennung für sichere Zahlungsabwicklung | 30 Minuten |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (eigene Cookies) bzw. lit. b DSGVO (Stripe) – technisch notwendig, § 25 Abs. 2 Nr. 2 TDDDG.
Marketing-Cookies (nur nach Einwilligung)
| Name | Anbieter | Zweck | Speicherdauer |
|---|---|---|---|
| _gcl_au | Google LLC | Google Ads – Conversion-Messung und Remarketing | 90 Tage |
| _gads, _gac_* | Google LLC | Google Ads – Kampagnenzuordnung | 90 Tage |
| foxizer_cookie_consent | Foxizer (localStorage) | Speichert deine Cookie-Entscheidung lokal im Browser | Dauerhaft (bis Löschung) |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Widerruf: Jederzeit möglich durch Löschen von foxizer_cookie_consent im Browser-LocalStorage
(Entwicklertools → Application → Local Storage → foxizer.de).
Rechte & Anlaufstelle
Betroffene Personen haben die Rechte nach Art. 15 bis 21 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Ansprechpartner für die Ausübung dieser Rechte ist grundsätzlich der Kunde als Verantwortlicher.
Wenn du dich an Foxizer wendest, leiten wir Anfragen, die Inhalte der Auftragsverarbeitung betreffen, an den jeweiligen Kunden weiter, soweit dies datenschutzrechtlich zulässig ist.
Beschwerderecht bei der Aufsichtsbehörde
Du hast zudem das Recht, dich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde zu wenden, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt.
Zuständig ist insbesondere die Aufsichtsbehörde an deinem gewöhnlichen Aufenthaltsort, deinem Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes.
Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, technische Dienste oder Verarbeitungsvorgänge ändern. Die jeweils aktuelle Version ist in Foxizer abrufbar.
Newsletter
Bei der Registrierung kann der Nutzer freiwillig in den Empfang von Produkt-Neuigkeiten, Updates und Tipps per E-Mail einwilligen. Die Einwilligung erfolgt im Double-Opt-In-Verfahren: Die Einwilligung wird erst nach Bestätigung der E-Mail-Adresse aktiviert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden –
über die Profileinstellungen in Foxizer oder per E-Mail an
datenschutz@foxizer.com.
Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Es werden ausschließlich Transaktions-E-Mails (z. B. Verifizierung, Rechnung, Systemnachrichten) und – sofern eingewilligt – Newsletter versendet. Ein aktiver Newsletter-Versand erfolgt nur an Nutzer, die ausdrücklich eingewilligt haben.
Auftragsverarbeitungsvertrag (AV-Vertrag)
Zwischen dem Kunden (Verantwortlicher) und Foxizer (Auftragsverarbeiter) wird ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.
Der Abschluss des AV-Vertrags erfolgt wahlweise durch Bereitstellung als PDF oder durch ausdrückliche Zustimmung mittels Checkbox beim Anlegen eines Accounts.
Eine von Foxizer bereitgestellte Standard-AV-Vorlage erfüllt die Anforderungen des Art. 28 DSGVO und ist für die Nutzung von Foxizer ausreichend. Der Kunde bestätigt mit Abschluss, dass er die Inhalte zur Kenntnis genommen hat und den AV-Vertrag rechtswirksam abschließt.
Google Ads & Conversion-Tracking
Wir nutzen Google Ads (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) zur Schaltung von Werbeanzeigen und zur Messung ihrer Wirksamkeit. Das Conversion-Tracking ermöglicht es uns nachzuvollziehen, ob nach dem Klick auf eine Anzeige eine Registrierung stattgefunden hat.
Dabei wird ein Google-Tag (gtag.js) eingesetzt, der – nach deiner Einwilligung – Cookies setzt und Daten an Google überträgt. Die erhobenen Daten können in die USA übermittelt werden; die Übermittlung erfolgt auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Wir nutzen Google Consent Mode v2: Ohne deine Zustimmung werden keine Cookies gesetzt und keine personenbezogenen Daten übertragen. Google erhält lediglich anonymisierte Signale zur statistischen Modellierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Widerruf: Jederzeit durch Ablehnung im Cookie-Banner oder Löschen von foxizer_cookie_consent
im Browser-LocalStorage. Weitere Informationen: Google Datenschutzerklärung.