1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
XpertPulse GmbH
Talstr. 42/2
71563 Affalterbach
Registergericht: Amtsgericht Stuttgart
Handelsregisternummer: HRB 798089
Umsatzsteuer-Identifikationsnummer: DE403841776
Kontakt
E-Mail: support@xpertpulse.de
Telefon: 0800 006 0959 (kostenlos, Mo–Fr 9–17 Uhr)
2. Arten der verarbeiteten Daten
Im Rahmen der Nutzung von LohnPulse verarbeiten wir als Auftragsverarbeiter (Art. 28 DSGVO) im Auftrag unserer Kunden (Unternehmen und Kanzleien) folgende Datenkategorien:
2.1 Personenstammdaten
- Name, Vorname, Geburtsdatum, Geburtsort
- Wohnanschrift (Straße, PLZ, Ort, Land)
- Staatsangehörigkeit, Familienstand
- Bankverbindung (IBAN, Kreditinstitut)
2.2 Identifikationsnummern (verschlüsselt)
- Steueridentifikationsnummer (Steuer-ID) — AES-256 verschlüsselt
- Sozialversicherungsnummer — AES-256 verschlüsselt
- Krankenkasse und Beitragsgruppe
2.3 Beschäftigungsdaten
- Beschäftigungsart, Eintrittsdatum, Austrittsdatum
- Gehalt, Stundenlohn, Sachbezüge
- Arbeitszeiten, Urlaubsanspruch und -konten
- Krankmeldungen und Abwesenheiten
- Abrechnungsperioden und Lohnbestandteile
2.4 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Soweit die Verarbeitung im konkreten Beschäftigungsverhältnis erforderlich ist, können folgende besondere Kategorien anfallen:
- Krankheitstage (zur Berechnung von Lohnfortzahlungen)
- Behinderungsstatus (Schwerbehindertenausweis, GdB) — sofern relevant für Sozialversicherung oder steuerliche Freibeträge
3. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:
3.1 Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
Die Verarbeitung ist zur Erfüllung des Vertrags mit unseren Kunden (Nutzungsvertrag LohnPulse) sowie zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies umfasst die Bereitstellung der Plattform, Datenspeicherung und DATEV-Export-Funktionen.
3.2 Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung
Soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. nach § 147 AO, GoBD), erfolgt die Verarbeitung zur Erfüllung dieser gesetzlichen Verpflichtungen.
3.3 Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse
Für die Sicherheit und den stabilen Betrieb der Plattform (Audit-Logging, Fehlerüberwachung, Missbrauchsprävention) stützen wir uns auf unser berechtigtes Interesse, soweit die Interessen der betroffenen Personen nicht überwiegen.
3.4 Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG — Gesundheitsdaten
Die Verarbeitung besonderer Kategorien personenbezogener Daten (insbesondere Krankheitstage, Behinderungsstatus) erfolgt, soweit dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.
4. Sicherheitsmaßnahmen
Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOMs) ein, um personenbezogene Daten vor unberechtigtem Zugriff, Verlust oder Manipulation zu schützen:
- Transportverschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.3.
- Verschlüsselung ruhender Daten: Sensible Identifikationsnummern (Steuer-ID, SV-Nummer, IBAN) werden mit AES-256 verschlüsselt gespeichert.
- Mandantentrennung: Jeder Kunde erhält ein dediziertes Datenbankschema (Schema-per-Tenant) — eine vollständige logische Isolation der Kundendaten.
- Hosting: Alle Daten werden ausschließlich auf Servern von Amazon Web Services in Frankfurt (eu-central-1) gespeichert. Es findet kein Transfer in Drittländer außerhalb der EU statt.
- Automatische Backups: Tägliche verschlüsselte Datensicherungen mit definierten Wiederherstellungszeiten.
- Zwei-Faktor-Authentifizierung (2FA): Für alle Nutzerkonten verfügbar und empfohlen.
- Audit-Logging: Alle Datenzugriffe und Änderungen werden GoBD-konform protokolliert und sind mit Zeitstempel und Nutzerkennung nachvollziehbar.
5. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Rechnungs- und Abrechnungsunterlagen | 10 Jahre nach Entstehung | § 147 AO |
| Kontaktdaten (Kunden, Kanzleien) | 10 Jahre nach Vertragsende | § 147 AO, § 257 HGB |
| Sonstige Nutzungsdaten | 30 Tage nach Vertragsende | Art. 5 Abs. 1 lit. e DSGVO |
| Mitarbeiterdaten | Löschung/Export binnen 30 Tagen nach Beendigung des Beschäftigungsverhältnisses oder auf Anforderung des Kunden | Art. 17 DSGVO, § 35 BDSG |
Während der Vertragslaufzeit werden alle Daten aktiv für den vereinbarten Zweck gespeichert. Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden die Daten unwiderruflich gelöscht oder anonymisiert.
6. Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein, mit denen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen ist:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Amazon Web Services EMEA SARL | Hosting, Datenbankbetrieb, Datenspeicherung | Frankfurt, Deutschland (eu-central-1) |
Eine Weitergabe personenbezogener Daten an weitere Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet oder der Kunde hat ausdrücklich eingewilligt.
7. Webanalyse und Werbung
Auf unserer Marketingwebseite (lohnpulse.de) setzen wir folgende Dienste ein. Diese werden erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner geladen (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO). Ohne Einwilligung ("Nur notwendige") werden keine Analyse- oder Werbe-Cookies gesetzt.
7.1 Google Analytics 4
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Mess-ID: G-P4FRFFDGTJ
Zweck: Analyse der Nutzung unserer Webseite (Seitenaufrufe, Verweildauer, Nutzerfluss, Gerätetyp). Die Daten helfen uns, die Webseite zu verbessern und Inhalte bedarfsgerecht zu gestalten.
Datenverarbeitung: Google Analytics verwendet Cookies und erfasst pseudonymisierte Nutzungsdaten (IP-Adresse wird anonymisiert). Eine Weitergabe an Google in die USA kann nicht ausgeschlossen werden; Grundlage hierfür ist der EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission). Weitere Informationen: Google Datenschutzerklärung.
Widerspruch: Sie können die Erfassung durch Google Analytics verhindern, indem Sie im Cookie-Banner "Nur notwendige" wählen. Bereits gesetzte Cookies können Sie in Ihren Browser-Einstellungen löschen. Alternativ können Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren.
7.2 Google Ads (Conversion-Tracking)
Anbieter: Google Ireland Limited
Conversion-ID: AW-17997486623
Zweck: Messung der Wirksamkeit unserer Google-Werbeanzeigen. Wenn Sie über eine Google-Anzeige auf unsere Webseite gelangen, wird ein Conversion-Cookie gesetzt, um zu erfassen, ob eine bestimmte Aktion (z. B. Besuch der Registrierungsseite) ausgeführt wurde.
Datenverarbeitung: Es werden keine personenbezogenen Daten an uns übermittelt. Google erstellt aggregierte Statistiken über die Anzahl der Nutzer, die auf unsere Anzeigen reagiert haben. Weitere Informationen: Google Ads Datenschutz.
Widerspruch: Sie können das Conversion-Tracking deaktivieren, indem Sie im Cookie-Banner "Nur notwendige" wählen oder in Ihren Google Ads-Einstellungen personalisierte Werbung deaktivieren.
7.3 Google Fonts
Anbieter: Google Ireland Limited
Zweck: Einheitliche Darstellung der Schriftart "Inter" auf unserer Webseite.
Datenverarbeitung: Beim Laden der Schriftart wird eine Verbindung zu Google-Servern hergestellt. Dabei wird Ihre IP-Adresse an Google übermittelt. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses an einer einheitlichen Darstellung (Art. 6 Abs. 1 lit. f DSGVO).
7.4 Cookies
Unsere Webseite verwendet folgende Cookies:
| Name | Typ | Zweck | Speicherdauer |
|---|---|---|---|
| lp_cookie_consent | Notwendig | Speichert Ihre Cookie-Einwilligung | Unbegrenzt (localStorage) |
| _ga, _ga_* | Analyse (nur nach Einwilligung) | Google Analytics — Unterscheidung von Nutzern | 2 Jahre |
| _gcl_au, _gcl_aw | Werbung (nur nach Einwilligung) | Google Ads — Conversion-Tracking | 90 Tage |
8. Rechte der betroffenen Personen
Betroffene Personen haben gegenüber dem jeweiligen Verantwortlichen (in der Regel der Arbeitgeber als unser Kunde) folgende Rechte gemäß DSGVO. Soweit XpertPulse GmbH selbst Verantwortlicher ist (z. B. für Accountdaten von Nutzern), können Sie diese Rechte direkt bei uns geltend machen:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer personenbezogenen Daten verlangen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, wenn bestimmte Voraussetzungen vorliegen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, wenn diese auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruht.
- Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde für die XpertPulse GmbH ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@xpertpulse.de
9. Datenpannenmeldung (Data Breach)
Im Falle einer Verletzung des Schutzes personenbezogener Daten handeln wir gemäß Art. 33 und 34 DSGVO:
8.1 Meldung an die Aufsichtsbehörde
Wir melden eine Datenschutzverletzung unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Datenschutz-Aufsichtsbehörde (Art. 33 DSGVO), sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
8.2 Benachrichtigung unserer Kunden
Betroffene Kunden (Unternehmen und Kanzleien als Auftraggeber) werden innerhalb von 24 Stunden nach Feststellung einer Datenpanne informiert, damit diese ihrerseits ihren Meldepflichten nachkommen können. Die Benachrichtigung enthält alle nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, insbesondere Art der Verletzung, betroffene Datenkategorien und -mengen sowie ergriffene und geplante Abhilfemaßnahmen.
Stand: März 2026 — XpertPulse GmbH, Affalterbach