Datenschutzerklärung für die “FIS App”

(Stand: 2. Juni 2025)

1. Verantwortlicher

MERENTIS DataSec GmbH
Fachbereich Datenschutz
Tobias K. Eicke – Rechtsanwalt
Kurfürstenallee 130
28211 Bremen

E-Mail für Datenschutzanfragen: it@cm-log.eu
Website des Anbieters: https://www.cm-log.eu

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte Anschrift bzw. E-Mail-Adresse.

2. Allgemeine Hinweise

2.1. Geltungsbereich
Diese Datenschutzerklärung gilt ausschließlich für die Nutzung der App „FIS App” auf
Android-Geräten. Sie gilt nicht für andere Dienste, Webseiten oder Anwendungen, die von
uns angeboten werden, sofern nicht ausdrücklich darauf verwiesen wird.

2.2. Änderungen der Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung jederzeit zu ändern. Die jeweils aktuelle
Version wird in der App hinterlegt und ist unter https://www.cm-log.eu/datenschutz
abrufbar. Bitte prüfen Sie regelmäßig, ob eine Aktualisierung vorliegt.

2.3. Datenschutzbeauftragter
Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@cm-log.eu.

3. Erhobene personenbezogene Daten & Verarbeitungszwecke

3.1. Anmeldedaten
– Welche Daten: Benutzername (Login), Passwort (verschlüsselt gespeichert)
– Zweck der Verarbeitung: Authentifizierung (Zugangskontrolle zur App), Sicherstellung der App-Funktionalität für berechtigte Personen (CML-Angestellte)
– Rechtsgrundlage: Erforderlichkeit zur Erfüllung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b
DSGVO) bzw. berechtigtes Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO)

3.2. Server-Logdaten
– Welche Daten: IP-Adresse des Geräts (automatisch in Server-Logs erfasst, jedoch nur für Fehlersuche und Sicherheitszwecke; keine Auswertung zu Tracking-Zwecken), Datum und Uhrzeit der Anfrage, Art der Anfrage (z. B. Seitenaufruf, API-Call), Gerätekennzeichnung (Zweck: technische Diagnose)
– Zweck der Verarbeitung: Gewährleistung der Sicherheit und Stabilität des Systems,
Fehleranalyse (z. B. um Angriffe oder Ausfälle frühzeitig zu erkennen)
– Rechtsgrundlage: Berechtigtes Interesse (System- und Betriebstabilität, Art. 6 Abs. 1 lit. f DSGVO)

3.3. Push-Benachrichtigungen (“Firebase Cloud Messaging”)
– Welche Daten: Gerätespezifische Token (Device Token), Zeitpunkt der Registrierung für Push
– Zweck der Verarbeitung: Zustellung von Push-Nachrichten (z. B. Benachrichtigungen zu Aktualisierungen, Chat-Nachrichten)
– Externer Dienst: Google Firebase Cloud Messaging (FCM)
– Rechtsgrundlage: Ausführung vorvertraglicher Maßnahmen zum Zwecke der App-
Funktionalität und Kommunikation (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse
(Optimierung der Nutzerkommunikation, Art. 6 Abs. 1 lit. f DSGVO)

3.4. Chat-Funktionalität (“Firebase Realtime Database” bzw. “Firestore”)
– Welche Daten: Chatnachrichten (Praktisch: alle von Ihnen eingegebenen Texte), Zeitpunkt
der Versendung, Gerätekennung (Token, damit Nachrichten nur an Sie zugestellt werden)
– Zweck der Verarbeitung: Bereitstellung und Betrieb des Chatdienstes innerhalb der App
– Externer Dienst: Google Firebase Realtime Database / Firestore
– Rechtsgrundlage: Ausführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse (Kommunikation intern, Art. 6 Abs. 1 lit. f DSGVO)

3.5. GPS-Standortdaten
– Welche Daten: GPS-Koordinaten (aktuell: Längen- und Breitengrad), Zeitstempel der
Koordinate
– Zweck der Verarbeitung: Ortung zum Zweck logistischer Abläufe und Anzeige des
aktuellen Standorts
– Sensibilität: Standortdaten gelten als besonders schützenswert; wir erfassen
ausschließlich den notwendigen Minimaldatensatz, um die App-Funktionen zu
gewährleisten.
– Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Vor der ersten Standortabfrage wird der Nutzer aktiv um Erlaubnis gefragt. Für Beschäftigte kann alternativ Erforderlichkeit zur Erfüllung eines Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO) gelten,
soweit die Standortübermittlung zur Erfüllung Ihrer Tätigkeit zwingend notwendig ist.

3.6. Sonstige personenbezogene Daten
– Sensible Daten: Es werden keine Gesundheitsdaten, religiösen Überzeugungen, politische Meinungen, ethischen Überzeugungen, Gewerkschaftszugehörigkeiten, genetische oder biometrische Daten, Daten zum Sexualleben oder zur sexuellen Orientierung erhoben.
– Weitere Daten: E-Mail-Adresse, Name oder weitere Kontaktdaten werden innerhalb der App nicht direkt erhoben, da die Anmeldung über bestehende Zugangsdaten im FIS-Portal erfolgt.

4. Einsatz externer Dienste und SDKs

In der App werden folgende Drittanbieter-Dienste und Software-Development-Kits (SDKs) genutzt:

1. Firebase (Google LLC)
– Firebase Cloud Messaging (FCM) für Push-Benachrichtigungen.
– Firebase Realtime Database / Firestore für Chat-Funktionalität.
– Es findet keine Analyse personenbezogener Daten (z. B. Nutzerverhalten) durch Firebase Analytics oder Crashlytics statt, sofern nicht ausdrücklich vom Nutzer eingewilligt.

2. React Native und zugehörige Bibliotheken
– Die App basiert auf React Native. Darüber hinaus werden Module wie `react-native-sqlite-storage` und `react-redux` eingesetzt, welche ausschließlich lokal auf dem Gerät ausgeführt werden und keine Daten an Dritte übertragen.

Alle genannten externen Dienste gelten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
Zwischen uns und den jeweiligen Dienstleistern bestehen Datenschutzvereinbarungen
(„Data Processing Agreements“), die den Einsatz der Dienste DSGVO-konform regeln.

5. Datenweitergabe an Dritte

1. Personenbezogene Daten

– Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nicht statt, außer:

a) zur Erfüllung gesetzlicher Verpflichtungen (z. B. auf Grundlage einer gerichtlichen
Anordnung)

b) wenn Sie zuvor ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO).

2. Übermittlung von Inhalten aus der App (FIS-Portal)

– Die App dient lediglich als Schnittstelle zum FIS-Portal, welches eigenständig von CML
betrieben wird. Dort können beispielsweise fotografierte Belege und GPS-Daten
weitergegeben werden. Diese Daten gelten jedoch nicht als personenbezogen im Sinne der DSGVO, da sie keine direkten Rückschlüsse auf eine natürliche Person zulassen
(insbesondere keine Namen oder Kontaktinformationen). Die Weitergabe erfolgt
ausschließlich innerhalb des zugriffsberechtigten CML-Systems und ist nicht Teil dieser App-Datenschutzerklärung.

6. Speicherdauer

1. Anmeldedaten (Benutzername/Passwort)

– Solange das Arbeitsverhältnis bzw. die Zugangsberechtigung zum FIS-Portal besteht. Nach Beendigung des Arbeitsverhältnisses wird der Zugang zeitnah deaktiviert, Passwörter gelöscht.

2. Server-Logdaten (inkl. IP-Adressen)

– Die IP-Adresse und weitere Logdaten werden für maximal 30 Tage gespeichert und
danach automatisch gelöscht.

3. Push-Token und Chat-Daten (via Firebase)

– Solange die App auf Ihrem Gerät installiert und angemeldet ist. Nach Deinstallation der App oder Widerruf der Erlaubnis werden die entsprechenden Token gelöscht. Chat-Verläufe werden für die Dauer des Arbeitsverhältnisses (bzw. der Nutzung des FIS-Portals) gespeichert und anschließend nach organisatorischer Prüfung gelöscht.

4. GPS-Standortdaten

– Werden nur temporär verwendet, um die Funktionalität während der Fahrt oder Tätigkeit sicherzustellen. Klassisch werden Standortdaten nach spätestens 7 Tagen automatisch anonymisiert oder gelöscht, sofern sie nicht für Abrechnungs- oder Dokumentationszwecke benötigt werden. Sollte eine längere Speicherung notwendig sein (z. B. für Fahrerabrechnungen), werden diese Daten für maximal 6 Monate aufbewahrt.

7. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich, soweit eine der folgenden Rechtsgrundlagen vorliegt:

– Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. vorvertraglicher Maßnahmen):

‒ Zur Anmeldung und Authentifizierung (Zugang zur App)

‒ Zur Erfüllung des Arbeitsvertrags mit den jeweiligen CML-Angestellten

– Art. 6 Abs. 1 lit. a DSGVO (Einwilligung):

‒ Für die Erhebung von GPS-Standortdaten, soweit eine separate Einwilligung erforderlich ist.

– Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse):

‒ Server-Logdaten (Sicherheit, Stabilität und Missbrauchserkennung)

‒ Push-Benachrichtigungen (Effiziente interne Kommunikation)

‒ Chat-Funktionalität (Interne Kommunikation zwischen Beschäftigten)

8. Betroffenenrechte

Sie haben als betroffene Person nach der DSGVO folgende Rechte:

1. Recht auf Auskunft (Art. 15 DSGVO)

Sie können jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie gespeichert haben, zu welchem Zweck wir diese verwenden, an wen wir sie
weitergegeben haben und wie lange sie gespeichert werden.

2. Recht auf Berichtigung (Art. 16 DSGVO)

Sollten Ihre personenbezogenen Daten unrichtig oder unvollständig sein, können Sie
deren Berichtigung verlangen.

3. Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)

Sie können von uns verlangen, dass wir Ihre personenbezogenen Daten unverzüglich
löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gespeicherte Logdaten (IP-Adresse) können wir z. B. im Regelfall nur im Rahmen der 30-Tage-Frist löschen.

4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen können Sie verlangen, die Verarbeitung Ihrer Daten einzuschränken, z. B. wenn die Richtigkeit der Daten bestritten wird oder Sie statt Löschung die Einschränkung wünschen.

5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem strukturierten,
gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen
Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht.

6. Recht auf Widerspruch (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben,
jederzeit gegen diese Verarbeitung Widerspruch einlegen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.

7. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Erteilte Einwilligungen (z. B. für GPS-Standort) können Sie jederzeit ohne Angabe von
Gründen widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung
bleibt davon unberührt.

8. Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt, haben Sie das Recht, Beschwerde bei einer
Datenschutzaufsichtsbehörde einzureichen (z. B. Landesbeauftragter für Datenschutz
Bremen).

Ausübung der Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich oder per E-Mail an:

MERENTIS DataSec GmbH
Fachbereich Datenschutz (Tobias K. Eicke)
Kurfürstenallee 130, 28211 Bremen
E-Mail: datenschutz@cm-log.eu

Bitte geben Sie möglichst detailgenau an, welches Recht Sie wahrnehmen möchten, damit wir Ihr Anliegen zeitnah bearbeiten können.

9. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung
oder unbefugten Zugriff zu schützen. Dazu gehören unter anderem:

– Nutzung von verschlüsselten Verbindungen (TLS/HTTPS) bei der Datenübertragung
zwischen App und Server.

– Zugriffskontrollen – nur berechtigte Personen haben Zugriff auf personenbezogene Daten.

– Regelmäßige Backups und Updates der Serversysteme (Hetzner, Standort Deutschland).

– Monitoring und Protokollierung von sicherheitsrelevanten Ereignissen.

Trotz aller Maßnahmen kann die Internetübertragung von Daten nie vollständig gegen
Fremdzugriffe gesichert werden. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

10. Cookies und ähnliche Technologien

Die App selbst nutzt keine klassischen HTTP-Cookies, da es sich um eine native Android-
Anwendung handelt. Jedoch speichert die App lokal auf dem Gerät sogenannte „Shared Preferences“ bzw. lokale Datenbanken (SQLite), um Einstellungen und
Sitzungsinformationen temporär zu halten.

Zur Übermittlung von Standortdaten ist die Erlaubnis für „GPS verwendet im Hintergrund“ bzw. „Standort für die App“ erforderlich. Diese Funktion kann der Nutzer in den Android-Einstellungen jederzeit deaktivieren. Durch die Deaktivierung werden Standortdaten nicht mehr in die App übermittelt, was jedoch die Funktionalität in Bezug auf ortsbasierte Dienste einschränken kann.

11. Automatisierte Entscheidungen / Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (z.B.Profiling, Scoring, automatisierte Arbeitszeiterfassung) statt.

12. Minderjährigenschutz

Die App richtet sich ausschließlich an volljährige Nutzer bzw. an CML-Angestellte. Eine
Nutzung durch Personen unter 16 Jahren ist nicht vorgesehen. Sollten Minderjährige
trotzdem Zugangsdaten haben, bitten wir Arbeitgeber:innen bzw. Vorgesetzte, dies zu
unterbinden.

13. Kontakt und weitere Informationen

Sollten Sie Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen
Daten haben, allgemeine Auskünfte zum Thema Datenschutz wünschen oder Ihre Rechte geltend machen wollen, kontaktieren Sie uns bitte unter:

MERENTIS DataSec GmbH
Fachbereich Datenschutz
Tobias K. Eicke – Rechtsanwalt
Kurfürstenallee 130, 28211 Bremen
E-Mail: datenschutz@cm-log.eu
Website: https://www.cm-log.eu

Hinweis: Diese Datenschutzerklärung wurde zuletzt am 2. Juni 2025 aktualisiert. Jegliche künftige Änderungen werden zeitnah in der App und auf unserer Website veröffentlicht.