Sicherheit & Datenschutz
Sicherheit & Datenschutz im Überblick
Wie HAMAG Time die Daten Ihres Betriebs und Ihrer Mitarbeiter schützt.
Stand: 23. Juni 2026 · Version 1.0 · interne Sicherheits- und Datenschutz-Selbstauskunft
Eigene Datenbankje Kunde streng getrennt
Server in DeutschlandHosting bei IONOS (DE)
DSGVO-konformDatensparsamkeit, Auskunft
VerschlüsseltHTTPS/TLS für alle Daten
ZugriffsschutzRollen & Eigentümer-Prüfung
Intern geprüft37 Endpunkte, 0 Befunde
Trennung der Kundendaten (Mandantentrennung)
- Eigene Datenbank für jeden Kunden. Jeder Betrieb läuft in einer komplett separaten Datenbank mit eigenen Zugangsdaten. Ein Kunde kann technisch nicht auf die Daten eines anderen zugreifen, diese Grenze besteht baulich, nicht nur per Einstellung.
- Eigene Adresse je Kunde. Jede Firma erhält eine eigene, nicht erratbare Adresse. Das ist eine zusätzliche Maßnahme, kein Ersatz für die echte Zugriffskontrolle.
Zugriffsschutz & Berechtigungen
- Anmeldung Pflicht. Jede Seite und jede Datei ist nur nach Anmeldung erreichbar.
- Rollen. Getrennte Rechte für Chef/Verwaltung und Mitarbeiter; Verwaltungs-Funktionen sind ausschließlich für berechtigte Konten zugänglich.
- Eigentümer-Prüfung. Bei jedem Abruf sensibler Daten (Dokumente/Personalakte, Fotos, Auftragsdateien) prüft der Server, ob der angemeldete Nutzer diese sehen darf. Das Verändern einer ID in der Adresse führt nicht zu fremden Daten.
- Datensicht je Mitarbeiter. Mitarbeiter sehen nur die ihnen zugeordneten Kunden und Projekte.
- Zugriffe auf die Personalakte werden protokolliert (wer hat wann was eingesehen).
Schutz vor typischen Angriffen
- Geschützte Datenbank-Abfragen gegen Einschleusen von Schadbefehlen (SQL-Injection).
- Schutz gegen Code-Einbettung (XSS) durch konsequentes Maskieren aller Ausgaben.
- Schutz gegen gefälschte Formular-Anfragen (CSRF) über geprüfte Sicherheits-Token.
- Datei-Uploads werden auf Typ und Größe geprüft und sicher abgelegt.
- Codes/PINs werden nur verschlüsselt gespeichert (gehasht), niemals im Klartext.
Anmeldung & Übertragung
- Verschlüsselte Übertragung (HTTPS/TLS) für alle Daten, inkl. HSTS.
- Gehärtete Sitzungen (Cookies nur per HTTPS, nicht für Fremdseiten, kein Skript-Zugriff).
- Automatische Sperre bei Inaktivität; erneutes Entsperren per Code.
- Optional: Anmeldung per Face-ID/Fingerabdruck (Passkey/WebAuthn) auf dem eigenen Gerät.
Datenschutz (DSGVO)
- Hosting in Deutschland (IONOS). Keine Übermittlung in Drittländer für den Betrieb der App.
- Geprüfter Hoster. IONOS ist nach ISO/IEC 27001 zertifiziert; Auftragsverarbeitungsvertrag (AVV) und ein Verzeichnis der technischen und organisatorischen Maßnahmen (TOM) liegen vor und werden Geschäftskunden auf Anfrage vorgelegt.
- Datensparsamkeit: es werden nur die für die Zeiterfassung nötigen Daten verarbeitet.
- Standort (GPS) ist freiwillig und jederzeit widerrufbar; keine laufende Ortung, der Standort wird nur beim Ein-/Ausstempeln erfasst.
- Keine Werbe- oder Tracking-Dienste in der App.
- Konfigurierbare Aufbewahrungsfristen für hochgeladene Dateien.
Art und Umfang dieses Dokuments: Diese Übersicht ist eine Sicherheits- und Datenschutz-Selbstauskunft von HAMAG Service. Sie ist kein unabhängiges Zertifikat (wie ISO 27001) und kein externer Prüfbericht. Grundlage ist eine interne Überprüfung der Zugriffskontrolle über 37 Programm-Bausteine der Anwendung (Stand Juni 2026), bei der keine Schwachstellen festgestellt wurden. Kein System ist jemals zu 100 % sicher; wir pflegen die Sicherheit laufend. Für höhere Anforderungen kann auf Wunsch zusätzlich ein unabhängiger Penetrationstest durch einen externen Dienstleister durchgeführt werden.