Ihr Zeiterfassungstool weiß eine Menge über Ihr Unternehmen. Immerhin erfasst es Arbeitszeiten, Screenshots, Abrechnungsdaten und Projektdetails. Und Sie haben jedes Recht zu fragen, wie diese Daten geschützt werden.
Bei WebWork schützen wir Ihre Daten auf jeder Ebene – von dem Moment, in dem sie Ihr Gerät verlassen, bis zu dem Tag, an dem sie gelöscht werden. Gehen wir diese Ebenen eine nach der anderen durch.
Verschlüsselung während der Datenübertragung
Jedes Mal, wenn Sie den Tracker starten, einen Bericht öffnen oder sich einloggen, werden Daten zwischen Ihrem Gerät und unseren Servern übertragen. Sicherheitsteams nennen das Daten in Bewegung – und das ist die erste Ebene, die wir absichern.
Der gesamte Datenverkehr wird mit SSL/TLS-Zertifikaten verschlüsselt, die von DigiCert ausgestellt werden – einer weltweit anerkannten Zertifizierungsstelle. In der Praxis bedeutet das: Jede Verbindung zu WebWork läuft über HTTPS, egal ob Sie die Web-App, den Desktop-Tracker oder die mobile App nutzen. Ihre Anmeldedaten, erfassten Stunden und Berichte bleiben auf dem Weg privat.
Unsere Desktop- und Mobil-Apps kommunizieren über TLS 1.2 und TLS 1.3 – die aktuellen Standards für verschlüsselte Verbindungen. Das ist dasselbe Verschlüsselungsniveau, das Banken und andere Finanzinstitute zum Schutz ihrer Transaktionen verwenden.
Warum ist Verschlüsselung bei der Übertragung so wichtig?
Sie verhindert Abhören, Manipulation und Man-in-the-Middle-Angriffe. Anders gesagt: Niemand, der sich zwischen Ihrem Gerät und unseren Servern befindet, kann Ihre Daten lesen oder verändern.
Alle technischen Details, einschließlich unserer Zertifikatsinformationen, finden Sie auf unserer Seite zu Daten in Bewegung.
So speichern und verschlüsseln wir Ihre Daten
Sobald Ihre Daten unsere Server erreichen, werden sie zu dem, was Sicherheitsteams als ruhende Daten bezeichnen. Und auch ruhende Daten haben ihre eigenen Schutzmechanismen.
Wir speichern Ihre Daten auf sicheren Cloud-Servern, darunter Amazon S3 und Contabo. Alles, was dort gespeichert wird, ist mit AES-256 verschlüsselt – einem der stärksten verfügbaren Verschlüsselungsstandards, der auch im Finanz- und Regierungssektor eingesetzt wird.
Selbst wenn jemand irgendwie an die gespeicherten Dateien gelangen würde, würde er nur verschlüsselte Daten sehen – nicht Ihre tatsächlichen Informationen.
Passwortschutz
Passwörter werden bei uns besonders behandelt. Wir speichern niemals Ihr tatsächliches Passwort. Stattdessen wird es durch einen Einweg-Prozess in einen verschlüsselten Wert umgewandelt, der nicht rückgängig gemacht werden kann. Beim Einloggen vergleichen wir Hash-Werte – Ihr echtes Passwort liegt also nie in unserer Datenbank. Das schützt auch vor gängigen Angriffsmethoden wie Brute-Force-Attacken.
2024 haben wir hier eine weitere Schutzebene hinzugefügt: Wir haben unsere Datenbankserver von unseren Anwendungsservern getrennt. Beide laufen jetzt in isolierten Umgebungen, wodurch sensible Informationen schwerer erreichbar sind und der Zugriff deutlich strikter kontrolliert wird. Selbst wenn ein Teil des Systems jemals angegriffen werden sollte, bleiben die Daten selbst geschützt.
Eine vollständige Übersicht darüber, was wir speichern, verschlüsseln und aufbewahren, finden Sie auf unserer Seite zu ruhenden Daten und Aufbewahrungsfristen.
Zusätzlicher Schutz für Screenshots: Mehrstufige Verschlüsselung
Screenshots sind die sensibelsten Daten, die ein Zeiterfassungstool speichern kann. Eine einzige Aufnahme kann E-Mails, Kundeninformationen oder sogar interne Dokumente enthalten. Deshalb haben wir ein eigenes Sicherheitsprotokoll dafür entwickelt: die mehrstufige Verschlüsselung, konzipiert von unserem hauseigenen Sicherheitsteam.
So funktioniert es:
- Jeder Screenshot erhält einen einzigartigen Verschlüsselungstoken. Keine zwei Dateien werden auf dieselbe Weise geschützt – selbst theoretisch gibt es keinen einzelnen Schlüssel, der alles entschlüsseln könnte.
- Jede Datei durchläuft dann eine benutzerdefinierte Transformation mit einem Algorithmus, den unser Sicherheitsteam speziell für diesen Zweck entwickelt hat. Das fügt eine Schutzebene hinzu, die in Standard-Verschlüsselungssystemen nicht existiert.
- Abschließend wird die Datei mit AES-256-CBC verschlüsselt – dem branchenüblichen Algorithmus, den wir auch für alle anderen gespeicherten Daten verwenden.
Und obendrauf kommt noch eine weitere Ebene. Die verschlüsselten Dateien werden auf Amazon Web Services mit aktivierter serverseitiger Verschlüsselung gespeichert – AWS fügt also seinen eigenen Schutz zu Dateien hinzu, die bereits mehrfach verschlüsselt sind.
Dasselbe Protokoll gilt auch für andere Mediendateien – einschließlich Dokumente, Belege und Anhänge, die Ihr Team hochlädt.
Vom Moment der Erstellung bis zum Zeitpunkt der Löschung bleibt jede Datei verschlüsselt.
Das vollständige Protokoll können Sie auf unserer Seite zu Sicherheitsinnovationen nachlesen.
Bedrohungen abwehren, bevor sie WebWork erreichen
Ein großer Teil der Sicherheitsarbeit passiert, bevor ein Angriff überhaupt in die Nähe Ihrer Daten kommt. Für diese Ebene arbeiten wir mit Cloudflare zusammen – einem globalen Web-Sicherheitsnetzwerk, das den gesamten eingehenden Datenverkehr zu unserer Plattform filtert.
Drei seiner Schutzmaßnahmen leisten die schwerste Arbeit.
- DDoS-Schutz hält WebWork auch bei Angriffen mit extremen Traffic-Spitzen online, damit Ihr Team ohne Unterbrechung weiter Zeit erfassen kann.
- Die Web Application Firewall blockiert gängige Angriffsmethoden wie SQL-Injection und Cross-Site-Scripting, bevor sie unsere Server erreichen.
- Und das Bot-Management trennt bösartige Bots von echtem Datenverkehr – echte Nutzer kommen durch, automatisierte Bedrohungen werden ausgesperrt.
Darüber hinaus arbeiten wir mit Intruder, einer Plattform für Schwachstellenscans, die unsere Websites, APIs und Infrastruktur kontinuierlich auf Schwachstellen überprüft. So können wir Probleme beheben, bevor sie jemand ausnutzen kann.
Und mit Drata überwachen wir Zugriffe über unsere gesamten Systeme hinweg, erkennen unautorisierte Aktivitäten und kontrollieren rund um die Uhr die Einhaltung von Sicherheitsstandards.
Alle unsere Partner und deren Aufgabenbereiche finden Sie auf der Sicherheitspartner-Seite.
Wenn Sie die Plattform lieber selbst ausprobieren möchten, statt über ihre Sicherheitsmaßnahmen zu lesen, können Sie WebWork 14 Tage kostenlos testen – jeder in diesem Artikel beschriebene Schutz ist ab dem ersten Tag aktiv.
Wer kann was in Ihrem Workspace sehen
Verschlüsselung schützt Ihre Daten vor Außenstehenden, während Zugriffskontrollen regeln, was Personen innerhalb Ihres eigenen Workspace sehen können – und diese Ebene ist genauso wichtig, besonders bei Monitoring-Daten.
In WebWork richtet sich der Zugriff nach Rollen. Mitarbeitende sehen nur ihre eigenen Daten: ihre Stunden, ihre Aktivität, ihre Screenshots. Team-Manager haben Zugriff auf die Daten der Teams, die sie betreuen, und Projektmanager sehen ihre eigenen Daten plus die Projekte, die sie leiten. Vollständiger Workspace-Zugriff steht nur dem Inhaber und Executive Managern zur Verfügung. Außerdem gibt es die Rolle des Projekt-Betrachters, die einen reinen Lesezugriff auf zugewiesene Projekte bietet – ideal für Kunden oder Stakeholder, die Einblick brauchen, aber keine Bearbeitungsrechte.
Wenn die vordefinierten Rollen nicht zu Ihrer Unternehmensstruktur passen, können Sie mit der Mitgliedertypen-Funktion eigene Berechtigungssets erstellen – so erhält jedes Mitglied genau den Zugriff, den seine Aufgaben erfordern, und keinen mehr.
Diese Struktur stärkt das Vertrauen der Mitarbeitenden ganz konkret. Wenn Ihr Team weiß, dass die Monitoring-Daten nur für die Personen sichtbar sind, die sie wirklich brauchen, wird die Einführung eines Zeiterfassungstools zu einem deutlich einfacheren Gespräch.
2025 haben wir diese Ebene mit detaillierten Audit-Logs weiter gestärkt. Aktionen im Workspace werden jetzt protokolliert, sodass immer ein klarer Nachweis darüber besteht, wer was getan hat – Verantwortlichkeit funktioniert in beide Richtungen.
Wann Ihre Daten gelöscht werden
Datenschutz bedeutet auch, dass Ihre Daten nicht für immer gespeichert bleiben. Jede Information in WebWork hat einen definierten Endpunkt.
Screenshots werden automatisch nach 3, 6 oder 12 Monaten gelöscht, abhängig von Ihrem Paket. Sie müssen darauf aber nicht warten – Screenshots und andere Mediendateien können Sie jederzeit manuell löschen. Und unsere automatisierten Prozesse entfernen Dateien, sobald ihre Aufbewahrungsfrist abgelaufen ist.
Dasselbe Prinzip gilt für Ihr gesamtes Konto. Wenn Sie WebWork 6 aufeinanderfolgende Monate lang nicht nutzen, löschen wir Ihre persönlichen Daten und Workspace-Daten dauerhaft.
Und gemäß der DSGVO haben Sie jederzeit das Recht, die Löschung Ihrer Daten zu beantragen.
Wenn Sie die genaue Aufbewahrungsfrist für jeden von uns gespeicherten Datentyp wissen möchten – von Rechnungen bis zu Chat-Dateien – finden Sie diese auf unserer Seite zu ruhenden Daten und Aufbewahrungsfristen.
Compliance: DSGVO, HIPAA und CCPA
Neben dem technischen Schutz bietet WebWork auch rechtlichen Schutz. WebWork ist konform mit der DSGVO, HIPAA und dem CCPA – und hier ist, was das jeweils für Sie bedeutet.
DSGVO
DSGVO-Konformität bedeutet, dass wir Ihre Daten gemäß den Datenschutzanforderungen der EU erheben, verarbeiten und speichern – einschließlich Ihres Rechts, Ihre Daten jederzeit auf Anfrage löschen zu lassen. Wenn Ihr Unternehmen mit europäischen Kunden oder Teammitgliedern arbeitet, erfüllt WebWork bereits den Standard, den diese erwarten.
HIPAA
HIPAA-Konformität macht WebWork auch für Teams im Gesundheitswesen nutzbar. Wir haben die administrativen, physischen und technischen Schutzmaßnahmen implementiert, die HIPAA für geschützte Gesundheitsinformationen vorschreibt, und arbeiten ausschließlich mit HIPAA-konformen Drittanbietern. Wenn Ihre Organisation mit Patientendaten umgeht, können Sie Zeit erfassen, ohne eine Compliance-Lücke zu schaffen.
CCPA
Der CCPA gibt Einwohnern Kaliforniens das Recht zu erfahren, welche Kategorien personenbezogener Daten wir erheben, auf diese Daten zuzugreifen und deren Löschung zu beantragen. Wir erheben nur das, was für die Bereitstellung unserer Dienste tatsächlich notwendig ist.
Zwei Grundsätze gelten über alle diese Regelungen hinweg: Wir verkaufen, vermieten oder handeln Ihre personenbezogenen Daten unter keinen Umständen an Dritte. Und wir erheben oder verarbeiten keine sensiblen Datenkategorien wie biometrische Daten, religiöse Überzeugungen, politische Meinungen oder Gesundheitsinformationen.
Wir überwachen unsere Sicherheitsprotokolle, Systemleistung und Service-Verfügbarkeit 24/7/365. Zusätzlich zu dieser kontinuierlichen Überwachung führen wir regelmäßig Systemaudits auf Schwachstellen durch und lassen Penetrationstests durchführen, bei denen Sicherheitsspezialisten aktiv versuchen einzubrechen – damit wir Schwachstellen finden, bevor es jemand anderes tut. Automatisierte Sicherheitstests laufen parallel, um ein gleichbleibend hohes Schutzniveau sicherzustellen.
Wir dokumentieren diese Arbeit auch öffentlich. Unsere Seite für Sicherheitsupdates verzeichnet die Verbesserungen, die wir Jahr für Jahr umsetzen. Zum Beispiel: verbesserte Code-Signing-Zertifikate und API-Sicherheit in 2023, Trennung der Datenbankserver in 2024 und stärkerer Schutz für Mediendateien in 2025. Sie können genau nachvollziehen, was sich wann geändert hat – statt sich auf unser Wort zu verlassen.
Und falls Ihnen jemals etwas auffällt, das Sie beunruhigt, lassen Sie es uns wissen. Nutzen Sie den Bedenken melden-Button auf unserer Sicherheitsseite oder am unteren Rand Ihres Dashboards. Sicherheits-Feedback von unseren Nutzern hat echten Wert – und so behandeln wir es auch.
WebWork 14 Tage kostenlos testen
