Rechtsgrundlagen-Referenz (DSGVO Art. 6/9)
Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO
| Buchstabe |
Rechtsgrundlage |
Typische Anwendung bei VisiTrans |
| lit. a |
Einwilligung der betroffenen Person |
Newsletter, Marketing-E-Mails, Cookies (nicht essentiell), Fotos auf Website |
| lit. b |
Vertragserfllung oder vorvertragliche Massnahmen |
SaaS-Vertrag (VisiMatch, VisiFair, VisiArea), Arbeitsvertrag, Angebotserstellung |
| lit. c |
Rechtliche Verpflichtung |
Buchhaltung (HGB § 257), Steuerrecht (AO § 147), Sozialversicherung, Arbeitszeitdokumentation |
| lit. d |
Lebenswichtige Interessen |
Extrem selten — Notfall-Kontaktdaten |
| lit. e |
Oeffentliches Interesse |
Nicht anwendbar fuer VisiTrans (kein oeffentlicher Auftrag) |
| lit. f |
Berechtigtes Interesse |
IT-Sicherheit (Logdaten), Webanalyse, Betrugsverhinderung, Direktwerbung an Bestandskunden |
Beschaeftigtendatenschutz
| Rechtsgrundlage |
Anwendung |
| Art. 88 DSGVO i.V.m. § 26 BDSG |
Alle Verarbeitungen im Beschaeftigungskontext: Personalverwaltung, Gehaltsabrechnung, Abwesenheitsverwaltung, Bewerbermanagement |
Besondere Kategorien (Art. 9 DSGVO)
| Datenkategorie |
Rechtsgrundlage |
Anwendung bei VisiTrans |
| Gesundheitsdaten |
Art. 9(2)(b) — Arbeitsrecht |
Krankmeldungen (Absence.io), BEM-Verfahren |
| Religiöse Ueberzeugungen |
Art. 9(2)(b) — Arbeitsrecht |
Kirchensteuermerkmale in DATEV (Lohnabrechnung) |
Standard-Loeschfristen (Deutschland)
| Datenkategorie |
Frist |
Rechtsgrundlage |
| Buchhaltungsunterlagen |
10 Jahre |
§ 257 HGB, § 147 AO |
| Geschaeftsbriefe |
6 Jahre |
§ 257 HGB |
| Steuerunterlagen |
10 Jahre |
§ 147 AO |
| Lohn- und Gehaltsabrechnungen |
6 Jahre |
§ 257 HGB |
| Bewerbungsunterlagen (Absage) |
6 Monate |
AGG-Klagefrist |
| Arbeitsvertraege |
3 Jahre nach Beendigung |
§ 195 BGB (Verjaehrung) |
| Arbeitszeitnachweise |
2 Jahre |
§ 16 Abs. 2 ArbZG |
| Logdaten (IT-Sicherheit) |
90 Tage |
Berechtigtes Interesse (Art. 6(1)(f)) |
| Videoaufnahmen |
72 Stunden |
Berechtigtes Interesse |
| Kundendaten (CRM) |
3 Jahre nach letztem Kontakt |
Berechtigtes Interesse |
| Website-Zugriffslogs |
7-30 Tage |
Berechtigtes Interesse |
Auftragsverarbeitung (Art. 28 DSGVO)
Fuer jeden externen Dienstleister der personenbezogene Daten verarbeitet:
- AVV (Auftragsverarbeitungsvertrag) muss vorliegen
- Bei Drittlandsuebermittlung: Standardvertragsklauseln (SCC) oder Angemessenheitsbeschluss
- Regelmaessige Ueberpruefung der TOM des Auftragsverarbeiters