Stand: April 2026
Cronny ist ein webbasiertes Zeiterfassungssystem für Unternehmen im DACH-Raum. Diese Seite erklärt, welche personenbezogenen Daten wir als Betreiber (Cronny UG) verarbeiten – also bei der Bereitstellung, dem Betrieb und der technischen Administration der Plattform.
Wichtige Abgrenzung: Cronny ist eine B2B-Software. Die Arbeitszeitdaten Ihrer Mitarbeitenden werden durch Ihren Arbeitgeber als eigenverantwortlichen Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO verwaltet. Cronny agiert dabei ausschließlich als Auftragsverarbeiter nach Art. 28 DS-GVO. Die Auftragsverarbeitungsvereinbarung (AVV) ist Bestandteil unserer AGB.
Auskunft (Art. 15 DS-GVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
Berichtigung (Art. 16 DS-GVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Löschung (Art. 17 DS-GVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen des Art. 17 DS-GVO vorliegen.
Einschränkung (Art. 18 DS-GVO): Sie können die Einschränkung der Verarbeitung verlangen, wenn einer der in Art. 18 Abs. 1 DS-GVO genannten Gründe vorliegt.
Datenübertragbarkeit (Art. 20 DS-GVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitstellen, soweit die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.
Widerspruch (Art. 21 DS-GVO): Soweit wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO verarbeiten, haben Sie das Recht, aus Gründen Ihrer besonderen Situation jederzeit Widerspruch einzulegen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
Widerruf (Art. 7 Abs. 3 DS-GVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.
Automatisierte Entscheidungen (Art. 22 DS-GVO): Cronny trifft keine automatisierten Entscheidungen einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen.
Beschwerderecht (Art. 77 DS-GVO): Sie können sich bei der zuständigen Aufsichtsbehörde beschweren. Für NRW: Landesbeauftragter für Datenschutz und Informationsfreiheit NRW, www.ldi.nrw.de
Zur Ausübung Ihrer Rechte: datenschutz@cronny.de
Wir speichern personenbezogene Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist. Danach werden sie gelöscht – es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen (z. B. AO § 147, ArbZG).
Cronny hostet seine Infrastruktur bei Hostinger. Die Server stehen innerhalb der Europäischen Union. Beim Aufruf der Anwendung speichert der Webserver technische Zugriffsdaten (URL, IP, Browsertyp, Datum/Uhrzeit) in Logfiles zur Fehlerdiagnose und Systemsicherheit. Alle Verbindungen sind HTTPS/TLS-verschlüsselt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO. Anbieter: Hostinger International Ltd., Kaunas, Litauen (EU) – Datenschutzrichtlinie
Für Nutzerauthentifizierung, Datenbankbetrieb und Dateispeicherung nutzen wir Supabase. Verarbeitet werden: E-Mail-Adresse, Passwort-Hash, Session-Token sowie alle Anwendungsdaten. Die physische Speicherung erfolgt auf EU-Servern (Deutschland). Supabase ist als Auftragsverarbeiter gem. Art. 28 DS-GVO vertraglich gebunden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO. Anbieter: Supabase, Inc., 970 Toa Payoh North, Singapore 318992 – Datenschutz | DPA. Drittlandsabsicherung: EU-SCCs gem. Art. 46 Abs. 2 lit. c DS-GVO (Kommissionsbeschluss 2021/914, Modul 2, irisches Recht). Cronny hat die EU-Serverregion (Frankfurt/AWS) verbindlich konfiguriert – Daten werden gemäß DPA § 6.2 primär in der EU verarbeitet.
Cronny versendet transaktionale Systembenachrichtigungen (Einladungslinks, Passwort-Zurücksetzen). Verarbeitet werden Empfänger-E-Mail-Adresse und Versandzeitpunkt. Für den Versand setzen wir den E-Mail-Dienst von Hostinger ein (EU-Anbieter). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO.
Cronny unterstützt optionale Browser-Push-Benachrichtigungen (Web Push Standard, VAPID) – ohne Drittanbieter-Push-Dienst. Die Aktivierung ist freiwillig und erfordert Ihre ausdrückliche Zustimmung im Browser. Dabei werden Push-Endpunkt-URL, kryptografische Schlüssel und User-Agent in der Datenbank gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung). Widerruf jederzeit unter Profileinstellungen → Benachrichtigungen oder in den Browsereinstellungen möglich.
Cronny enthält einen optionalen KI-Assistenten, der standardmäßig deaktiviert ist. Er wird nur aktiv, wenn ein Administrator einen eigenen API-Schlüssel eines KI-Anbieters hinterlegt (Prinzip: Bring Your Own Key). Ihre Eingaben werden dann an den konfigurierten Anbieter übermittelt. Unterstützte Anbieter: OpenAI, Anthropic (Claude), Google (Gemini), Mistral AI, Azure OpenAI.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DS-GVO bzw. lit. b DS-GVO.
Cronny setzt ausschließlich technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TTDSG): Session-Cookies zur Anmeldeverwaltung (sb-*-auth-token) sowie ein Cookie zur Speicherung Ihrer Einwilligungsentscheidung (cookie-consent, 12 Monate).
Optional und nur mit Ihrer Einwilligung: Sentry (Fehlermonitoring, Functional Software Inc., USA, SCCs). Einwilligung verwalten unter Profileinstellungen → Datenschutz.
Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DS-GVO zum Schutz Ihrer Daten gegen unbefugten Zugriff, Verlust oder Missbrauch. Alle Daten werden ausschließlich verschlüsselt über HTTPS übertragen. Die konkreten TOMs sind in der Auftragsverarbeitungsvereinbarung (AVV) dokumentiert.
Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Dienste oder der Rechtslage. Das Datum oben gibt den Stand der aktuellen Fassung an.