Datenschutzerklärung

Informationen zum Datenschutz gemäß DSGVO und BDSG für Beschäftigte und Nutzer der EventCOS-Plattform.

1. Einleitung

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Mit dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses und der Nutzung unserer digitalen Plattform EventCOS.

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der geltenden datenschutzrechtlichen Vorschriften und nur in dem Umfang, der für die jeweiligen Zwecke erforderlich ist (Prinzip der Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO).

2. Verantwortlicher

EventCOS GmbH
In de Musen 14c, 25474 Bönningstedt
Telefon: +49 40 309 85 374
Fax: +49 40 309 85 375
E-Mail: info@eventcos.de
Web: www.eventcos.de
Vertreten durch: Carsten Tesch (Geschäftsführer)

3. Datenschutzbeauftragter

Reinher Karl
HABEWI GmbH & Co. KG
Palmaille 96, 22767 Hamburg
Telefon: 040 / 460 089 66
E-Mail: datenschutz@habewi.de

Datenschutzanfragen richten Sie bitte an den Datenschutzbeauftragten oder an datenschutz@eventcos.de.

4. Verarbeitungszwecke und Kategorien personenbezogener Daten

Im Rahmen des Beschäftigungsverhältnisses und der Nutzung der EventCOS-Plattform verarbeiten wir folgende Kategorien personenbezogener Daten zu den nachgenannten Zwecken:

Zwecke der Verarbeitung

Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen (Verträge, Personalakten)
Abrechnung von Vergütung und Spesen (Lohn- und Gehaltsabrechnung)
Arbeitszeiterfassung und Einsatzplanung
Erfüllung steuer- und sozialversicherungsrechtlicher Pflichten
IT-Sicherheit und Zugangssteuerung (Authentifizierung, Autorisierung)
Kommunikation und Koordination von Einsätzen über die Plattform
Qualitätssicherung und Dokumentation von Veranstaltungseinsätzen

Kategorien personenbezogener Daten

Stammdaten: Name, Adresse, Geburtsdatum, Kontaktdaten, Bankverbindung (IBAN), Steuer-ID, Sozialversicherungsnummer
Beschäftigungsdaten: Vertragsdaten, Qualifikationen, Einsatzhistorie, Arbeitszeitnachweise, Beurteilungen
Vergütungsdaten: Lohn, Zuschläge, Spesen, Steuerklasse, Lohnsteuerabzugsmerkmale (ELStAM)
Religionszugehörigkeit: Ausschließlich für die Berechnung der Kirchensteuer bei der Lohnabrechnung (besondere Kategorie, Art. 9 DSGVO)
Sozialversicherungsdaten: Krankenkassenzugehörigkeit, Beitragsgruppen, Meldungen an Sozialversicherungsträger

Rechtsgrundlagen

§ 26 Abs. 1 BDSG (in der jeweils geltenden Fassung) i.V.m. Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses (Anbahnung, Durchführung, Beendigung) sowie vorvertraglicher Maßnahmen (Bewerbung)
Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z.B. Steuerrecht, Sozialversicherungsrecht, Arbeitszeitgesetz)
§ 26 Abs. 3 BDSG (in der jeweils geltenden Fassung) i.V.m. Art. 9 Abs. 2 lit. b DSGVO – Verarbeitung besonderer Kategorien (Religionszugehörigkeit) im Rahmen des Beschäftigungsverhältnisses, soweit für die Ausübung von Rechten oder Pflichten aus dem Arbeitsrecht erforderlich
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen des Verantwortlichen: Gewährleistung der IT-Sicherheit und Systemintegrität, Schutz vor unbefugtem Zugriff, Fehleranalyse und Betriebsstabilität, Schutz vor Betrug und Missbrauch
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung – für optionale Funktionen wie Browser-Benachrichtigungen. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

4a. Authentifizierung und Anmeldung

Die Anmeldung an der EventCOS-Plattform erfolgt über einen spezialisierten, selbst gehosteten Authentifizierungsdienst. Die Passwortprüfung findet ausschließlich auf diesem Dienst statt – Passwörter werden zu keiner Zeit auf den Servern der EventCOS GmbH gespeichert.

Verarbeitete Daten beim Login:

Benutzername / E-Mail-Adresse und Passwort (Übermittlung ausschließlich verschlüsselt per HTTPS)
Eindeutige Benutzerkennung
Zugewiesene Berechtigungen und Rollen
Vor- und Nachname, E-Mail-Adresse

Sicherheitsmaßnahmen:

Anmeldedaten werden serverseitig verarbeitet und nicht vollständig im Browser gespeichert
Das Authentifizierungscookie ist gegen unbefugten Zugriff geschützt (nicht per JavaScript auslesbar, nur über verschlüsselte Verbindungen übertragen)
Sitzungslaufzeit: 8 Stunden gleitend, automatische Erneuerung vor Ablauf
Bei Sitzungsende oder Abmeldung werden alle serverseitigen Anmeldeinformationen sofort gelöscht

Sicherheitshinweis: Passwörter werden zu keiner Zeit auf den Servern der EventCOS GmbH gespeichert. Die Authentifizierung erfolgt vollständig über einen separaten, selbst gehosteten Dienst in Deutschland.

5. Empfänger und Auftragsverarbeiter

Im Rahmen der Verarbeitung übermitteln wir personenbezogene Daten an folgende Empfänger bzw. Kategorien von Empfängern:

Auftraggeber / Veranstalter (zukünftiger Arbeitgeber):

Im Rahmen der Personalüberlassung und -vermittlung übermitteln wir personenbezogene Daten (Name, Kontaktdaten, Qualifikationen, Einsatzzeiten) an den jeweiligen Auftraggeber bzw. Veranstalter, bei dem Sie eingesetzt werden. Dies ist zur Durchführung des Beschäftigungsverhältnisses erforderlich (§ 26 Abs. 1 BDSG). Sie werden über den konkreten Einsatz vorab informiert.

Hinweis zur Verantwortlichkeit: Der Auftraggeber bzw. Veranstalter wird nach Übermittlung der Daten zum eigenständigen Verantwortlichen im Sinne der DSGVO für die Verarbeitung Ihrer Daten im Rahmen des Einsatzes. Für Fragen zur Datenverarbeitung durch den Veranstalter wenden Sie sich bitte direkt an diesen.

Gesetzlich vorgeschriebene Empfänger (über Lohnbuchhaltung):

Die Übermittlung an Finanzbehörden (Lohnsteueranmeldungen, ELStAM), Sozialversicherungsträger (Krankenkassen, Rentenversicherung, Berufsgenossenschaft) und weitere gesetzlich vorgeschriebene Stellen erfolgt nicht direkt durch EventCOS, sondern über unsere Lohnbuchhaltungssoftware (Agenda Software GmbH) im Rahmen der gesetzlichen Meldepflichten.

Auftragsverarbeiter (Art. 28 DSGVO):

Mit allen Auftragsverarbeitern bestehen schriftliche Auftragsverarbeitungsverträge (AVV).

Agenda Software GmbH

Lohnbuchhaltungssoftware. Wir übermitteln Ihre Stamm-, Vertrags- und Vergütungsdaten an Agenda zur Lohnabrechnung sowie zur Erstellung gesetzlicher Meldungen an Finanzbehörden und Sozialversicherungsträger. Verarbeitung ausschließlich auf deutschen Servern.

Webtropia / WIIT AG

Webhosting (Düsseldorf, Deutschland). Betrieb der Webserver und Datenbank für die EventCOS-Hauptplattform.

Hetzner Online GmbH

Cloud-Infrastruktur (Falkenstein/Vogtland und Nürnberg, Deutschland). Betrieb des Authentifizierungsdienstes und des Dokumentenspeichers.

Microsoft Corporation

E-Mail-Versand über Microsoft Office 365 (Exchange Online). Versand von Einsatzbestätigungen, Vertragsinformationen und organisatorischen Mitteilungen. Verarbeitung in EU-Rechenzentren.

Agenda, Webtropia und Hetzner verarbeiten Daten ausschließlich auf Servern in Deutschland.

Hinweis zu Microsoft Office 365 (Drittlandtransfer): Microsoft ist unter dem EU-US Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) zertifiziert. Die Datenverarbeitung findet in EU-Rechenzentren statt. Zusätzlich bestehen ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme. Microsoft hat sich vertraglich zur Verschlüsselung der Daten bei Übertragung und Speicherung sowie zur Beschränkung des Zugriffs auf autorisiertes Personal verpflichtet. Sollte das EU-US Data Privacy Framework aufgehoben werden, dienen die SCCs als Rechtsgrundlage für die Datenübermittlung.

6. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorgeben. Darüber hinaus bewahren wir Ihre Stammdaten (Name, Kontaktdaten, Bankverbindung, Qualifikationen) für die Dauer Ihres aktiven Nutzerkontos auf, damit Sie sich bei neuen Einsätzen und Veranstaltungen nicht erneut registrieren oder alle Daten neu eingeben müssen. Die Lohnabrechnung und gesetzliche Meldungen an Behörden erfolgen über unsere Lohnbuchhaltungssoftware (Agenda Software GmbH) – unabhängig davon gelten für uns als Arbeitgeber die folgenden Aufbewahrungsfristen:

Recht auf Vergessenwerden (Art. 17 DSGVO)

Sie können die Anonymisierung Ihrer Daten direkt über Ihr Profil beantragen (Menü → Datenschutz → Daten löschen lassen). Ihr Antrag wird vorgemerkt und die Administration per E-Mail benachrichtigt. Frühestens 6 Monate nach Ende Ihres letzten Einsatzes werden sensible Daten (Bankverbindung, Steuer-ID, Sozialversicherungsnummer, Ausweisnummer, E-Mail, Telefonnummern) vollständig und unwiderruflich gelöscht.

Begründung der 6-Monats-Frist: Innerhalb dieses Zeitraums können noch Nachberechnungen von Lohn, Zuschlägen oder Spesen erforderlich sein, und es laufen gesetzliche Meldefristen gegenüber Sozialversicherungsträgern und Finanzbehörden (§ 28a SGB IV, § 41a EStG). Für Daten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, erfolgt die Anonymisierung unverzüglich nach Prüfung durch die Administration.

Namen und Adressdaten werden durch Platzhalter ersetzt. Ihr Benutzerkonto und die Anmeldung werden dauerhaft deaktiviert. Sie können den Antrag jederzeit vor der Durchführung über Ihr Profil zurückziehen. Die anonymisierten Datensätze (Einsatzzeiten, Arbeitsnachweise) bleiben für betriebliche Auswertungen erhalten, lassen aber keinen Rückschluss auf Ihre Person zu. Gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre für Lohnunterlagen gemäß §§ 147 AO, 257 HGB) bleiben unberührt – diese Daten werden bei unserer Lohnbuchhaltung (Agenda Software GmbH) separat vorgehalten. Zusätzlich können Sie über Ihr Profil alle 14 Tage eine vollständige Datenauskunft als JSON-Datei herunterladen (Art. 15 / Art. 20 DSGVO).

Lohnunterlagen und Abrechnungsdaten: 10 Jahre gemäß §§ 147 AO, 257 HGB
Personalakten und Vertragsunterlagen: Mindestens 3 Jahre nach Ende des Beschäftigungsverhältnisses (Verjährungsfristen), ggf. länger bei laufenden Streitigkeiten
Sozialversicherungsmeldungen: 5 Jahre gemäß § 28f SGB IV
Arbeitszeitnachweise: 2 Jahre gemäß § 16 Abs. 2 ArbZG
Bewerberdaten bei Absage: Unverzügliche Löschung nach Abschluss des Bewerbungsverfahrens. Ihr Benutzerkonto (Name, Kontaktdaten) bleibt bestehen, sofern Sie es nicht selbst löschen.
Authentifizierungsdaten (aktive Sitzung): Maximal 8 Stunden (Sitzungslaufzeit), bei Logout sofortige Löschung
Serverprotokolle: 90 Tage (Sicherheits- und Fehleranalyse, danach automatische Löschung)

6a. Versionierung und Audit-Trail

Zur Nachvollziehbarkeit von Änderungen an Beschäftigtendaten und zur Erfüllung rechtlicher Dokumentationspflichten setzt die Plattform eine automatische Versionierung ein.

Was wird versioniert:

Vertragsänderungen (Vertragstyp, Lohn, Beschäftigungsumfang)
Stammdatenänderungen (Adresse, Bankverbindung, Steuermerkmale)
Rollenzuweisungen und Berechtigungsänderungen
Einsatz- und Schichtplanänderungen

Pro Version gespeichert:

Zeitstempel der Änderung (UTC)
Benutzerkennung der ändernden Person
Art der Änderung (Erstanlage, Änderung, Löschung)
Geänderter Datensatz (Snapshot)

Audit-Trail-Daten unterliegen denselben Aufbewahrungsfristen wie die Primärdaten. Eine Löschung auf Antrag ist nur möglich, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

7. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen. Über Ihr Profil können Sie Ihre Daten alle 14 Tage als maschinenlesbare JSON-Datei herunterladen (Datenportabilität, Art. 20 DSGVO).
Berichtigungsrecht (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung / Anonymisierung (Art. 17 DSGVO) – Sie können die Anonymisierung Ihrer Daten direkt über Ihr Profil beantragen (Menüpunkt „Datenschutz" → „Daten löschen lassen"). Ihr Antrag wird vorgemerkt und von der Administration geprüft. Die Anonymisierung erfolgt frühestens 6 Monate nach Ende des letzten Einsatzes. Sensible Daten (Bankverbindung, Steuer-ID, Sozialversicherungsnummer, Ausweisnummer) werden dabei vollständig gelöscht. Namen und Adressdaten werden durch Platzhalter ersetzt. Ihr Benutzerkonto wird dauerhaft deaktiviert. Sie können den Antrag jederzeit vor der Durchführung zurückziehen.
Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung verlangen.
Recht auf Datenportabilität (Art. 20 DSGVO) – Erhalt Ihrer Daten in maschinenlesbarem Format (soweit technisch möglich).
Widerrufsrecht (Art. 7 Abs. 3 DSGVO) – Eine erteilte Einwilligung (z.B. für Browser-Benachrichtigungen) können Sie jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Besonderer Hinweis: Widerspruchsrecht nach Art. 21 DSGVO

Soweit wir Ihre personenbezogenen Daten auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten – insbesondere für IT-Sicherheit, Fehleranalyse und Betriebsstabilität – haben Sie das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen. Wir werden die Verarbeitung dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Ihren Widerspruch richten Sie bitte an datenschutz@eventcos.de.

Kontakt für Datenschutzanfragen: Bitte wenden Sie sich für die Wahrnehmung Ihrer Rechte an datenschutz@eventcos.de oder an unseren Datenschutzbeauftragten (siehe Abschnitt 3).

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für EventCOS GmbH zuständige Aufsichtsbehörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
www.datenschutzzentrum.de

Sie können sich alternativ auch an die für Ihren Wohnort zuständige Datenschutz-Aufsichtsbehörde wenden.

9. Serverbetrieb und Hosting

Die EventCOS-Plattform wird auf Servern in Deutschland betrieben. Eine Datenübertragung in Drittländer außerhalb des EWR findet nicht statt.

Hauptplattform (Webserver + Datenbank): Webtropia / WIIT AG, Düsseldorf, Deutschland. Betrieb des Webservers und der Datenbank.
Authentifizierung und Dateispeicher: Hetzner Online GmbH, Falkenstein/Vogtland und Nürnberg, Deutschland. Betrieb des Authentifizierungsdienstes und des Dokumentenspeichers.

9a. Cloud-Speicher für Dokumente

EventCOS betreibt einen selbst gehosteten Cloud-Speicher bei Hetzner Online GmbH (Deutschland) für die interne Dokumentenverwaltung.

Gespeicherte Daten:

Vertragsunterlagen und Personalformulare
Veranstaltungsdokumentationen und Einsatzpläne
Interne Kommunikationsdateien und Anleitungen

Sicherheitsmaßnahmen:

Zugriff ausschließlich über verschlüsselte HTTPS-Verbindung
Authentifizierung über den zentralen Anmeldedienst (Single-Sign-On)
Rollenbasierte Zugriffssteuerung (Berechtigungen je nach Nutzerrolle)
Regelmäßige Datensicherungen (Backups) auf getrennten Systemen

9b. Protokollierung und Fehleranalyse

Zur Gewährleistung des sicheren und stabilen Betriebs der Plattform werden verschiedene Protokolldaten erhoben und gespeichert:

Serverprotokolle: IP-Adresse, aufgerufene URL, Zeitstempel, übertragene Datenmenge, Browserinformationen. Speicherdauer: 90 Tage.
Anwendungsprotokolle: Anwendungsereignisse, Fehlermeldungen, Benutzerkennung bei relevanten Aktionen (ohne Passwörter). Speicherdauer: 90 Tage.
Anmeldeprotokolle: Anmelde- und Abmeldeereignisse, fehlgeschlagene Anmeldeversuche. Speicherdauer: 90 Tage.
Änderungsprotokolle: Änderungshistorie für relevante Datensätze (siehe Abschnitt 6a). Speicherdauer: entsprechend den Aufbewahrungsfristen der jeweiligen Primärdaten.

Protokolldaten werden ausschließlich zur Fehleranalyse, Sicherheitsüberwachung und Betriebsoptimierung genutzt. Sie werden nicht für Marketing- oder Profilerstellungszwecke verwendet.

9c. Internes Nachrichtensystem (Messaging)

Die EventCOS-Plattform verfügt über ein internes Nachrichtensystem zur jobbezogenen Kommunikation zwischen Beschäftigten, Bereichsleitern und der Verwaltung. Dieses System dient ausschließlich der Koordination von Einsätzen und der Klärung organisatorischer Fragen.

Verarbeitete Daten:

Nachrichteninhalte (Textnachrichten zwischen Teilnehmern eines Jobs)
Absender und Empfänger (Benutzerkennung, Name)
Zeitstempel des Nachrichtenversands
Lesestatus (gelesen/ungelesen) und Gelesen-Zeitpunkt
Zugehörigkeit zu einem bestimmten Job/Einsatz (Thread-Kontext)

Echtzeitübertragung: Für die Echtzeitübermittlung neuer Nachrichten wird eine verschlüsselte Verbindung zwischen Ihrem Browser und dem EventCOS-Server aufgebaut. Diese läuft ausschließlich über unsere eigenen Server in Deutschland – es werden keine externen Dienste eingesetzt.

Browser-Benachrichtigungen (Desktop Notifications): Optional können Sie Browser-Benachrichtigungen aktivieren, um über neue Nachrichten informiert zu werden, auch wenn der Browser-Tab nicht im Vordergrund ist. Diese Funktion nutzt die Browser-eigene Notification API und erfordert Ihre ausdrückliche Einwilligung. Es wird kein externer Push-Dienst verwendet. Die Einwilligung können Sie jederzeit in Ihren Browsereinstellungen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Beschäftigungsvertrages – Koordination von Einsätzen) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für optionale Browser-Benachrichtigungen).

Speicherdauer: Nachrichten werden für die Dauer des zugehörigen Beschäftigungsverhältnisses bzw. des Einsatzzeitraums gespeichert und anschließend gemäß den allgemeinen Aufbewahrungsfristen (Abschnitt 6) gelöscht.

9d. E-Mail-Kommunikation

Für die Kommunikation mit Beschäftigten und Bewerbern nutzt EventCOS einen E-Mail-Dienst. Der Versand erfolgt über Microsoft Office 365.

Verarbeitete Daten beim E-Mail-Versand:

E-Mail-Adresse des Empfängers
Vor- und Nachname (soweit in der Anrede verwendet)
Nachrichteninhalt (z.B. Einsatzbestätigungen, Vertragsinformationen, organisatorische Mitteilungen)
Zeitstempel des Versands

Externer Dienstleister: Der E-Mail-Versand erfolgt über Microsoft Office 365 (Microsoft Corporation). Microsoft verarbeitet die übermittelten Daten im Rahmen eines Auftragsverarbeitungsvertrages (AVV/DPA) gemäß Art. 28 DSGVO. Die Datenverarbeitung findet in Rechenzentren innerhalb der Europäischen Union statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Beschäftigungsvertrages) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten, z.B. Mitteilungspflichten).

9e. Bild-Upload für Veranstaltungen

Berechtigte Nutzer (Administratoren, Mandantenverwalter) können Bilder zu Veranstaltungen hochladen, die auf der öffentlichen Jobübersicht angezeigt werden.

Gespeicherte Daten pro Bild:

Bilddatei (JPEG, PNG, WebP; max. 10 MB)
Dateiname, Dateigröße und Bildabmessungen
Zeitpunkt des Hochladens
Benutzerkennung der hochladenden Person

Verarbeitung: Bilder werden serverseitig in verschiedene Größen konvertiert (Vorschau, mittel, groß, Original) und auf dem eigenen Server gespeichert. Es findet keine Übertragung an externe Dienste statt.

9f. Schriftarten und Icons

Alle auf der Plattform verwendeten Schriftarten (Poppins, Inter) und Icons (Font Awesome) werden lokal auf unseren eigenen Servern gehostet.

Keine Verbindung zu Google Fonts oder anderen externen Schriftarten-Diensten. Ihre IP-Adresse wird nicht an Dritte übermittelt.

9g. Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Wir haben geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Dazu gehören insbesondere:

Verschlüsselung aller Datenübertragungen per HTTPS/TLS
Rollenbasierte Zugriffssteuerung (Prinzip der minimalen Berechtigung)
Serverseitige Sitzungsverwaltung mit verschlüsselten Authentifizierungscookies
Regelmäßige Datensicherungen auf getrennten Systemen
Schutz vor Cross-Site-Request-Forgery (CSRF) und Cross-Site-Scripting (XSS)
Protokollierung sicherheitsrelevanter Ereignisse (siehe Abschnitt 9b)
Hosting ausschließlich bei zertifizierten Rechenzentren in Deutschland

10. Cookies und lokale Speicherung

Die EventCOS-Plattform verwendet ausschließlich technisch notwendige Cookies sowie Einträge im lokalen Browserspeicher (LocalStorage/SessionStorage) für Komfortfunktionen. Optionale Analyse- oder Marketing-Cookies werden derzeit nicht eingesetzt. Die Rechtsgrundlage für technisch notwendige Cookies ist § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich für den vom Nutzer ausdrücklich gewünschten Dienst). Für Komfort-Einstellungen im lokalen Browserspeicher stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer benutzerfreundlichen Darstellung).

Name	Typ	Zweck	Dauer	Notwendig
`Eventcos.Auth`	Cookie	Authentifizierungscookie (verschlüsselt) – hält die Anmeldesitzung aufrecht	8 Stunden gleitend	Ja
`ASP.NET_SessionId`	Cookie	Serverseitige Sitzungskennung – technisch notwendig für die Webanwendung	Sitzung	Ja
`__RequestVerificationToken`	Cookie	CSRF-Schutztoken – verhindert Cross-Site-Request-Forgery-Angriffe auf Formulare	Sitzung	Ja
`eventcos_cookie_consent`	Cookie	Speichert Ihre Cookie-Einwilligung, damit der Banner nicht bei jedem Besuch erneut erscheint	12 Monate	Ja
`Eventcos.OidcNonce.*`	Cookie	Anmeldeschutz – verhindert Replay-Angriffe beim Login	15 Min.	Ja
`Eventcos.OidcCorrelation.*`	Cookie	Anmeldefluss – stellt sicher, dass Login-Antworten zum richtigen Anmeldevorgang gehören	15 Min.	Ja
`eventcos-theme`	LocalStorage	Speichert Ihre Farbschema-Präferenz (Hell-/Dunkelmodus) für die Benutzeroberfläche	Dauerhaft	Komfort
`eventcos-tab-state`	SessionStorage	Merkt sich den Zustand der geöffneten Tabs innerhalb der aktuellen Browsersitzung	Sitzung	Komfort
`eventcos-sidebar-collapsed`	LocalStorage	Speichert, ob die Seitennavigation ein- oder ausgeklappt ist	Dauerhaft	Komfort
`messaging-notification-settings`	LocalStorage	Speichert Ihre Benachrichtigungseinstellungen für das interne Nachrichtensystem (Ton an/aus, Desktop-Benachrichtigungen, Lautstärke)	Dauerhaft	Komfort

Keine optionalen oder Analyse-Cookies: Aktuell werden keine optionalen Cookies, Tracking-Pixel oder Analyse-Dienste (z.B. Google Analytics, Matomo) eingesetzt. Sollte sich dies ändern, wird die Datenschutzerklärung entsprechend aktualisiert und Sie werden vorher um Einwilligung gebeten.

10a. Bewerberdaten

Wenn Sie sich über die EventCOS-Plattform auf eine Stelle bewerben, verarbeiten wir Ihre Daten zur Durchführung des Bewerbungsverfahrens.

Verarbeitete Daten:

Name, E-Mail-Adresse, Telefonnummer
Wohnort (PLZ, Stadt)
Verfügbarkeitsangaben für den jeweiligen Einsatzzeitraum
Zeitpunkt der Bewerbung
Ggf. Qualifikationen und bisherige Einsatzerfahrung

Rechtsgrundlage: § 26 Abs. 1 BDSG i.V.m. Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Anbahnung eines Beschäftigungsverhältnisses (vorvertragliche Maßnahmen).

Speicherdauer bei Absage: Werden Sie nicht für einen Einsatz berücksichtigt, werden Ihre Bewerbungsdaten (Verfügbarkeit, Zeitpunkt der Bewerbung, Einsatzzuordnung) unverzüglich nach Abschluss des Bewerbungsverfahrens gelöscht. Ihr Benutzerkonto mit Ihren Stammdaten (Name, Kontaktdaten) bleibt davon unberührt und steht Ihnen für künftige Bewerbungen weiterhin zur Verfügung. Sie können Ihr Konto jederzeit über Ihr Profil vollständig löschen lassen.

10b. Pflicht zur Bereitstellung von Daten

Im Rahmen des Beschäftigungsverhältnisses sind Sie gesetzlich bzw. vertraglich verpflichtet, bestimmte personenbezogene Daten bereitzustellen:

Gesetzliche Pflicht: Steueridentifikationsnummer, Sozialversicherungsnummer, Krankenkassenzugehörigkeit, Religionszugehörigkeit (für Kirchensteuer) – ohne diese Angaben kann keine ordnungsgemäße Lohnabrechnung erstellt und keine Beschäftigung aufgenommen werden.
Vertragliche Pflicht: Name, Adresse, Bankverbindung (IBAN) – erforderlich zur Durchführung des Arbeitsvertrages und Auszahlung der Vergütung. Ohne diese Daten kann das Beschäftigungsverhältnis nicht begründet bzw. durchgeführt werden.
Freiwillige Angaben: Design-Einstellungen (Hell-/Dunkelmodus), Benachrichtigungspräferenzen und ähnliche Komfortfunktionen sind freiwillig und haben keinen Einfluss auf das Beschäftigungsverhältnis.

10c. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

Alle Entscheidungen über die Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen, die Zuweisung von Einsätzen sowie die Bewertung von Bewerbungen werden ausschließlich von natürlichen Personen getroffen.

Hinweis zur Einsatzplanung: Die Plattform kann Beschäftigte nach sachlichen Kriterien (z.B. Verfügbarkeit, Qualifikation, Wohnort-Nähe zum Einsatzort) sortieren und filtern, um die Einsatzplanung zu unterstützen. Diese unterstützende Vorsortierung stellt kein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar, da keine automatisierte Bewertung persönlicher Aspekte erfolgt und die finale Einsatzentscheidung stets durch einen Menschen getroffen wird.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Anforderungen ändern oder wenn wir neue Dienste oder Verarbeitungsvorgänge einführen. Die jeweils aktuelle Version ist jederzeit auf dieser Seite abrufbar.

Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person berühren, werden wir Sie gesondert informieren (z.B. per E-Mail oder durch einen deutlichen Hinweis auf der Startseite der Anwendung).

Stand: 26.02.2026