Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten auf OPS-0154 ist:

[Name der verantwortlichen Stelle]
[Straße, PLZ Ort]
E-Mail: [datenschutz@…]

Datenschutzbeauftragte/r: [Name, Kontakt] – noch final einzutragen.

2. Zweck der Verarbeitung

OPS-0154 ist eine interne Plattform zur Abwicklung von:

• Abwesenheits- und Einsatz-Anfragen (Urlaub, Tausch, Verschiebung, Überstunden, Mitteilungen),
• Planer-gerichteten Ja/Nein-Anfragen an Mitarbeitende (Einzel- und Sammelanfragen),
• Meldungen von Verantwortlichkeitsleitungen an Leitung/Planung,
• Azubi-Übungszeit (Prüfungs-/Lernzeit-Meldungen),
• Task-Management inkl. Wiederholungsvorlagen,
• Betrieblichen Sperr- und Feiertagen,
• Administrationsvorgängen (User-, Rollen-, Verantwortlichkeits- und Policy-Pflege).

3. Verarbeitete Datenkategorien

• Stammdaten: E-Mail, Anzeigename, Verantwortlichkeit, Rollen-Zuordnung, Aktivitätsstatus, Pflicht zum Passwortwechsel.
• Authentifizierungsdaten: Passwort-Hash (Argon2id), Session-Cookies (HTTP-only, Secure im Produktivbetrieb), Zähler fehlgeschlagener Login-Versuche, Sperrfristen.
• Fachdaten: Anfragen, Entscheidungen, Begründungen, Zeiträume, Ja/Nein-Antworten, Zusatznotizen, Azubi-Meldungen, Leitungsmeldungen, Tasks inkl. Status und Fälligkeiten.
• Protokolldaten: Audit-Log (Event-Typ, Akteur/Benutzer-ID, Ziel-Benutzer-ID, Metadaten, Zeitstempel, optional IP/User-Agent). Anwendungs- und Server-Logs beim Hoster.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Durchführung des Arbeitsverhältnisses bzw. vorvertraglicher Maßnahmen, soweit einschlägig.
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. Arbeitszeit-Dokumentation, BDSG).
• § 26 BDSG – Datenverarbeitung im Beschäftigungsverhältnis.
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einem funktionierenden, auditierbaren Betriebsablauf (z. B. Audit-Log, Zugriffsprotokolle).

5. Empfänger

• Intern: Vorgesetzte und freigegebene Rollen (siehe Rollen-Matrix im Admin-Bereich).
• Auftragsverarbeiter: [Hosting-Dienstleister, z. B. netcup GmbH] (Server-Betrieb). Vereinbarung nach Art. 28 DSGVO liegt vor.
• Externe Integrationen (My Plano, Workday, MS Teams, JIRA): sind in der aktuellen Version nicht aktiv. Eine Verarbeitung findet erst nach separater Bewertung statt.

6. Speicherdauer

• Stamm- und Fachdaten: für die Dauer des Arbeitsverhältnisses sowie entsprechende gesetzliche Aufbewahrungsfristen (z. B. AO, HGB, ArbZG).
• Audit-Log: [Aufbewahrungsdauer in Monaten – final einzutragen], danach automatische Aggregation oder Löschung.
• Sessions: Cookie-Laufzeit + serverseitige Sitzungsdauer. Invalidierung beim Logout, Passwort-Reset oder nach Inaktivität.

7. Rechte der betroffenen Personen

Sie haben Anspruch auf:

• Auskunft (Art. 15 DSGVO),
• Berichtigung (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO), soweit keine gesetzliche Pflicht entgegensteht,
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch (Art. 21 DSGVO),
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Für Anliegen wenden Sie sich intern an Ihre Führungskraft oder an [Kontakt Datenschutz].

8. Technische und organisatorische Maßnahmen

• Passworthashing mit Argon2id, Pflicht zum Wechsel bei Erstanmeldung.
• HTTP-only-Session-Cookies, im Produktivbetrieb Secure und SameSite=Lax.
• Rollen-/Verantwortlichkeits-basierte Zugriffskontrolle (RBAC).
• Audit-Log für alle sicherheitsrelevanten Operationen (erstellen / entscheiden / zurückziehen / löschen etc.).
• Optimistic Locking gegen Datenwettlauf.
• Regelmäßige Backups und getrennte Wiederherstellungs-Tests (Ziel-Zustand).

9. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Plattform oder der rechtlichen Lage angepasst. Der jeweils aktuelle Stand ist unter /datenschutz abrufbar.

Stand: [Datum]