Datenschutzerklaerung

1. Verantwortliche Stelle

Verantwortlich fuer die Verarbeitung personenbezogener Daten auf OPS-0154 ist:

[Name der verantwortlichen Stelle]
[Strasse, PLZ Ort]
E-Mail: [datenschutz@…]

Datenschutzbeauftragte/r: [Name, Kontakt] – noch final einzutragen.

2. Zweck der Verarbeitung

OPS-0154 ist eine interne Plattform zur Abwicklung von:

• Abwesenheits- und Einsatz-Anfragen (Urlaub, Tausch, Verschiebung, Ueberstunden, Mitteilungen),
• Planer-gerichteten Ja/Nein-Anfragen an Mitarbeitende (Einzel- und Sammelanfragen),
• Meldungen von Abteilungsleitungen an Leitung/Planung,
• Azubi-Uebungszeit (Pruefungs-/Lernzeit-Meldungen),
• Task-Management inkl. Wiederholungsvorlagen,
• Betrieblichen Sperr- und Feiertagen,
• Administrationsvorgaengen (User-, Rollen-, Abteilungs- und Policy-Pflege).

3. Verarbeitete Datenkategorien

• Stammdaten: E-Mail, Anzeigename, Abteilung, Rollen-Zuordnung, Aktivitaetsstatus, Pflicht zum Passwortwechsel.
• Authentifizierungsdaten: Passwort-Hash (Argon2id), Session-Cookies (HTTP-only, Secure im Produktivbetrieb), Zaehler fehlgeschlagener Login-Versuche, Sperrfristen.
• Fachdaten: Anfragen, Entscheidungen, Begruendungen, Zeitraeume, Ja/Nein-Antworten, Zusatznotizen, Azubi-Meldungen, LTG-Meldungen, Tasks inkl. Status und Faelligkeiten.
• Protokolldaten: Audit-Log (Event-Typ, Akteur/Benutzer-ID, Ziel-Benutzer-ID, Metadaten, Zeitstempel, optional IP/User-Agent). Anwendungs- und Server-Logs beim Hoster.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Durchfuehrung des Arbeitsverhaeltnisses bzw. vorvertraglicher Massnahmen, soweit einschlaegig.
• Art. 6 Abs. 1 lit. c DSGVO – Erfuellung rechtlicher Verpflichtungen (z. B. Arbeitszeit-Dokumentation, BDSG).
• § 26 BDSG – Datenverarbeitung im Beschaeftigungsverhaeltnis.
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einem funktionierenden, auditierbaren Betriebsablauf (z. B. Audit-Log, Zugriffsprotokolle).

5. Empfaenger

• Intern: Vorgesetzte und freigegebene Rollen (siehe Rollen-Matrix im Admin-Bereich).
• Auftragsverarbeiter: [Hosting-Dienstleister, z. B. netcup GmbH] (Server-Betrieb). Vereinbarung nach Art. 28 DSGVO liegt vor.
• Externe Integrationen (My Plano, Workday, MS Teams, JIRA): sind in der aktuellen Version nicht aktiv. Eine Verarbeitung findet erst nach separater Bewertung statt.

6. Speicherdauer

• Stamm- und Fachdaten: fuer die Dauer des Arbeitsverhaeltnisses sowie entsprechende gesetzliche Aufbewahrungsfristen (z. B. AO, HGB, ArbZG).
• Audit-Log: [Aufbewahrungsdauer in Monaten – final einzutragen], danach automatische Aggregation oder Loeschung.
• Sessions: Cookie-Laufzeit + serverseitige Sitzungsdauer. Invalidierung beim Logout, Passwort-Reset oder nach Inaktivitaet.

7. Rechte der betroffenen Personen

Sie haben Anspruch auf:

• Auskunft (Art. 15 DSGVO),
• Berichtigung (Art. 16 DSGVO),
• Loeschung (Art. 17 DSGVO), soweit keine gesetzliche Pflicht entgegensteht,
• Einschraenkung der Verarbeitung (Art. 18 DSGVO),
• Datenuebertragbarkeit (Art. 20 DSGVO),
• Widerspruch (Art. 21 DSGVO),
• Beschwerde bei einer Aufsichtsbehoerde (Art. 77 DSGVO).

Fuer Anliegen wenden Sie sich intern an Ihre Fuehrungskraft oder an [Kontakt Datenschutz].

8. Technische und organisatorische Massnahmen

• Passworthashing mit Argon2id, Pflicht zum Wechsel bei Erstanmeldung.
• HTTP-only-Session-Cookies, im Produktivbetrieb Secure und SameSite=Lax.
• Rollen-/Abteilungs-basierte Zugriffskontrolle (RBAC).
• Audit-Log fuer alle sicherheitsrelevanten Operationen (erstellen / entscheiden / zurueckziehen / loeschen etc.).
• Optimistic Locking gegen Datenwettlauf.
• Regelmaessige Backups und getrennte Wiederherstellungs-Tests (Ziel-Zustand).

9. Aenderungen dieser Erklaerung

Diese Datenschutzerklaerung wird bei wesentlichen Aenderungen der Plattform oder der rechtlichen Lage angepasst. Der jeweils aktuelle Stand ist unter /datenschutz abrufbar.

Stand: [Datum]