Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(vvt): Aufklappbare Abteilungskacheln mit Datenkategorien + Wiki-Infoboxen
Some checks failed
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Failing after 35s
Details
CI / test-python-backend-compliance (push) Successful in 37s
Details
CI / test-python-document-crawler (push) Successful in 24s
Details
CI / test-python-dsms-gateway (push) Successful in 23s
Details

Browse Source 
Step 2 im VVT-Generator: Ja/Nein-Buttons durch expandierbare Kacheln ersetzt.
Pro Abteilung werden typische Datenkategorien als Checkboxen angezeigt (isTypical
vorausgefuellt), Art. 9 Kategorien orange hervorgehoben mit DSGVO-Warnung.
7 neue Wiki-Artikel fuer Datenkategorien pro Geschaeftsbereich (HR, Finanzen,
Vertrieb, Marketing, Support, IT, Produktion).

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-03-10 13:11:00 +01:00
parent 3512963006
commit e3fb81fc0d
3 changed files with 768 additions and 48 deletions
Download Patch File Download Diff File Expand all files Collapse all files

496
backend-compliance/migrations/043_wiki_datenkategorien_abteilungen.sql Normal file
View File

@@ -0,0 +1,496 @@
-- Migration 043: Wiki-Artikel fuer Datenkategorien pro Abteilung
-- Liefert Hintergrundwissen zu den typischen personenbezogenen Daten
-- je Geschaeftsbereich (Step 2 des VVT-Generators).
-- =============================================================================
-- 1. Artikel: Datenkategorien in der Personalabteilung
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-personal-hr',
'datenkategorien',
'Datenkategorien in der Personalabteilung',
'Ueberblick ueber personenbezogene Daten, die typischerweise in HR verarbeitet werden — von Stammdaten bis Art. 9 Kategorien.',
'## Ueberblick
Die Personalabteilung verarbeitet die **umfangreichsten** personenbezogenen Daten im Unternehmen. Die Rechtsgrundlage ist primaer **§ 26 BDSG** (Beschaeftigtendatenschutz) i.V.m. Art. 88 DSGVO.
## Typische Datenkategorien
### Stamm- und Kontaktdaten
- **Personalien:** Vor-/Nachname, Geburtsdatum, Geschlecht, Staatsangehoerigkeit
- **Kontaktdaten:** Wohnadresse, Telefon, E-Mail (privat + dienstlich)
- **Identifikation:** Personalnummer, Ausweis-/Passdaten (bei Auslandseinsatz)
### Vertragsdaten
- Arbeitsvertrag, Eintrittsdatum, Befristung, Kuendigungsfristen
- Abteilung, Position, Vorgesetzter, Kostenstelle
- Arbeitszeitmodell (Vollzeit/Teilzeit/Gleitzeit)
### Vergütungsdaten
- **Gehaltsdaten:** Bruttogehalt, Zulagen, Praemien, VWL
- **Bankverbindung:** IBAN, BIC fuer Lohn-/Gehaltszahlung
- **Steuer-ID:** IdNr., Steuerklasse, Freibetraege, Kirchensteuer
- **Sozialversicherung:** SV-Nummer, Krankenkasse, Beitragssaetze
### Besondere Kategorien (Art. 9 DSGVO)
- **Gesundheitsdaten:** AU-Bescheinigungen (auch ohne Diagnose!), BEM-Daten, Schwerbehindertenausweis, arbeitsmedizinische Vorsorge
- **Religionszugehoerigkeit:** Konfession fuer Kirchensteuer-Abfuehrung (Pflichtfeld Lohnsteuer)
- **Gewerkschaftszugehoerigkeit:** Nur wenn Gewerkschaftsbeitrag ueber Gehalt abgefuehrt wird
### Weitere Kategorien
- **Qualifikationen:** Abschluesse, Zertifikate, Weiterbildungsnachweise
- **Zeiterfassung:** Arbeitsstunden, Ueberstunden, Urlaubstage, Fehlzeiten
- **Fotos:** Mitarbeiterausweis, Intranet-Profilbild (Einwilligung!)
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Personalverwaltung | § 26 Abs. 1 BDSG |
| Gehaltsabrechnung | Art. 6 Abs. 1 lit. b + c DSGVO |
| Gesundheitsdaten | § 26 Abs. 3 BDSG + Art. 9 Abs. 2 lit. b DSGVO |
| Kirchensteuer | Art. 6 Abs. 1 lit. c DSGVO (gesetzl. Pflicht) |
| Mitarbeiterfotos | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
## Typische Systeme
SAP HCM/SuccessFactors, DATEV LODAS/Lohn&Gehalt, Personio, HRworks, ATOSS, Sage HR
## Aufbewahrungsfristen
- **Lohnunterlagen:** 6 Jahre (§ 257 HGB)
- **Steuerunterlagen:** 10 Jahre (§ 147 AO)
- **Bewerbungsunterlagen:** 6 Monate nach Ablehnung (AGG-Frist)
- **AU-Bescheinigungen:** Bis 3 Jahre nach Ende des Kalenderjahrests
- **BEM-Akten:** 3 Jahre nach Abschluss des BEM',
ARRAY['§ 26 BDSG', 'Art. 88 DSGVO', 'Art. 9 Abs. 2 lit. b DSGVO', 'Art. 6 Abs. 1 DSGVO', '§ 257 HGB', '§ 147 AO'],
ARRAY['personal', 'hr', 'stammdaten', 'gehalt', 'gesundheit', 'art9', 'beschaeftigtendaten'],
'critical',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 2. Artikel: Datenkategorien in Finanzen & Buchhaltung
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-finanzen',
'datenkategorien',
'Datenkategorien in Finanzen & Buchhaltung',
'Personenbezogene Daten in der Buchhaltung: Kunden-/Lieferantenstammdaten, Bankverbindungen, Rechnungsdaten und steuerliche Pflichten.',
'## Ueberblick
Die Finanz- und Buchhaltungsabteilung verarbeitet personenbezogene Daten von **Kunden, Lieferanten und Mitarbeitern** im Rahmen gesetzlicher Buchfuehrungs- und Aufbewahrungspflichten.
## Typische Datenkategorien
### Stammdaten (Debitoren/Kreditoren)
- Firmenname, Rechtsform, Ansprechpartner
- Rechnungs- und Lieferadressen
- USt-IdNr., Steuernummer
- Kundennummer, Lieferantennummer
### Zahlungsverkehr
- **Bankverbindungen:** IBAN, BIC, Kontoinhaber
- **SEPA-Mandate:** Mandatsreferenz, Unterschriftsdatum
- **Zahlungsbedingungen:** Skonto, Zahlungsziel, Kreditlimit
### Rechnungsdaten
- Eingangs-/Ausgangsrechnungen mit Personenbezug
- Gutschriften, Mahnungen, Zahlungshistorie
- Reisekostenabrechnungen (Mitarbeiter)
### Steuerrelevante Daten
- Steuer-IDs (Arbeitnehmer, Freelancer)
- Lohnsteuerabzugsmerkmale (ELStAM)
- Umsatzsteuer-Voranmeldungen
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Buchfuehrungspflicht | Art. 6 Abs. 1 lit. c DSGVO + §§ 238, 257 HGB |
| Rechnungsstellung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) |
| Steuerliche Pflichten | Art. 6 Abs. 1 lit. c DSGVO + §§ 140-148 AO |
| Zahlungsverkehr | Art. 6 Abs. 1 lit. b DSGVO |
## Typische Systeme
DATEV, SAP FI, Lexware, Sage, ERPNext, Microsoft Dynamics
## Aufbewahrungsfristen
- **Buchungsbelege:** 10 Jahre (§ 147 Abs. 1 Nr. 1 AO)
- **Handelsbriefe:** 6 Jahre (§ 257 Abs. 1 Nr. 2 HGB)
- **Rechnungen:** 10 Jahre (§ 14b UStG)
- **SEPA-Mandate:** 14 Monate nach letzter Lastschrift + Aufbewahrungsfrist',
ARRAY['Art. 6 Abs. 1 lit. c DSGVO', '§ 257 HGB', '§ 147 AO', '§ 14b UStG', 'Art. 6 Abs. 1 lit. b DSGVO'],
ARRAY['finanzen', 'buchhaltung', 'bankdaten', 'steuer', 'rechnungen', 'aufbewahrung'],
'important',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 3. Artikel: Datenkategorien im Vertrieb & CRM
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-vertrieb-crm',
'datenkategorien',
'Datenkategorien im Vertrieb & CRM',
'CRM-Kontaktdaten, Kommunikationshistorie, Vertragsdaten und Praeferenzprofile im Vertrieb.',
'## Ueberblick
Der Vertrieb verarbeitet personenbezogene Daten von **Interessenten, Leads und Bestandskunden** primaer im CRM-System. Die Rechtsgrundlage ist meist **Art. 6 Abs. 1 lit. b DSGVO** (Vertragsanbahnung/-erfuellung) oder **lit. f** (berechtigtes Interesse).
## Typische Datenkategorien
### Kontaktdaten
- Name, E-Mail, Telefon, Position des Ansprechpartners
- Firmenname, Branche, Unternehmensgroesse
- Firmenadresse, Standorte
### CRM-Daten
- Lead-Status, Sales-Pipeline-Stufe
- Opportunities, Umsatzpotenzial
- Kundenhistorie, Umsatzentwicklung
- Kundensegmentierung, Key-Account-Zuordnung
### Kommunikationsdaten
- E-Mail-Verlauf (Angebote, Anfragen)
- Gespraechsnotizen, Meeting-Protokolle
- Angebots- und Bestellhistorie
### Vertragsdaten
- Rahmenvertraege, Einzelbestellungen
- Konditionen, Rabattstaffeln
- Laufzeiten, Kuendigungsfristen
### Praeferenzdaten
- Produktinteressen, Kaufhistorie
- Cross-/Upselling-Potenziale
- Bevorzugte Kommunikationskanaele
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Vertragsanbahnung | Art. 6 Abs. 1 lit. b DSGVO |
| Bestandskundenpflege | Art. 6 Abs. 1 lit. f DSGVO |
| Kaltakquise (B2B) | Art. 6 Abs. 1 lit. f DSGVO + § 7 UWG |
| Kaltakquise (B2C) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung!) |
## Typische Systeme
Salesforce, HubSpot, Pipedrive, Zoho CRM, Microsoft Dynamics 365, SAP CRM
## Aufbewahrungsfristen
- **Vertraege:** 3 Jahre nach Vertragsende (Verjaehrung) + steuerlich 10 Jahre
- **Angebote (abgelehnt):** 6 Monate
- **CRM-Kontaktdaten:** Bis Widerspruch/Loeschung oder 3 Jahre nach letztem Kontakt',
ARRAY['Art. 6 Abs. 1 lit. b DSGVO', 'Art. 6 Abs. 1 lit. f DSGVO', '§ 7 UWG', 'Art. 21 DSGVO'],
ARRAY['vertrieb', 'crm', 'kontaktdaten', 'vertraege', 'kaltakquise', 'leads'],
'important',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 4. Artikel: Datenkategorien im Marketing
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-marketing',
'datenkategorien',
'Datenkategorien im Marketing',
'Tracking-Daten, Newsletter-Adressen, Cookie-Consent und Social-Media-Daten im Marketing-Kontext.',
'## Ueberblick
Marketing verarbeitet haeufig Daten auf Basis von **Einwilligung** (Art. 6 Abs. 1 lit. a DSGVO) — insbesondere bei Tracking, Newsletter und Profiling. Die **ePrivacy-Richtlinie** (umgesetzt durch § 25 TDDDG) ist zusaetzlich zu beachten.
## Typische Datenkategorien
### E-Mail-Marketing
- E-Mail-Adressen, Vor-/Nachname
- Opt-in-Zeitpunkt, Double-Opt-in-Nachweis
- Oeffnungsraten, Klickraten (Tracking-Pixel)
- Abmeldehistorie, Bounce-Status
### Website-Tracking & Analytics
- **IP-Adressen** (personenbezogen! — BGH VI ZR 135/13)
- Cookies, Session-IDs, Fingerprinting-Daten
- Seitenaufrufe, Verweildauer, Klickpfade
- Referrer-URLs, Geraete-/Browsertyp
- Conversion-Tracking, Zielvorhaben
### Consent-Daten
- Cookie-Consent-Status je Kategorie
- Zeitpunkt der Einwilligung/des Widerrufs
- Consent-Version, Banner-Konfiguration
### Social-Media-Daten
- Follower-Interaktionen, Kommentare, Shares
- Reichweitenanalyse (aggregiert — i.d.R. kein Personenbezug)
- Custom Audiences (Achtung: Datenexport an Meta/Google!)
### Bild-/Videomaterial
- Kundenfotos fuer Testimonials (Einwilligung!)
- Event-Aufnahmen
- User Generated Content (UGC)
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Newsletter-Versand | Art. 6 Abs. 1 lit. a DSGVO + § 7 Abs. 2 Nr. 3 UWG |
| Website-Analytics | § 25 TDDDG (Einwilligung fuer nicht-essentielle Cookies) |
| Bestandskunden-Werbung | Art. 6 Abs. 1 lit. f DSGVO + § 7 Abs. 3 UWG |
| Custom Audiences | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Testimonials mit Foto | Art. 6 Abs. 1 lit. a DSGVO + KUG |
## Typische Systeme
Google Analytics/Tag Manager, Matomo, Mailchimp, CleverReach, HubSpot Marketing, Meta Business Suite, Cookiebot/Usercentrics
## Aufbewahrungsfristen
- **Newsletter-Abmeldungen:** Sperrliste dauerhaft (Nachweis)
- **Double-Opt-in-Nachweis:** Dauer der Einwilligung + 3 Jahre
- **Cookie-Consent-Logs:** Mindestens 3 Jahre (Nachweispflicht)
- **Analytics-Rohdaten:** Max. 14-26 Monate (GA4-Standard)',
ARRAY['Art. 6 Abs. 1 lit. a DSGVO', '§ 25 TDDDG', '§ 7 UWG', 'Art. 21 DSGVO', 'Art. 7 Abs. 1 DSGVO'],
ARRAY['marketing', 'newsletter', 'tracking', 'cookies', 'analytics', 'consent', 'social-media'],
'important',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 5. Artikel: Datenkategorien im Kundenservice
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-kundenservice',
'datenkategorien',
'Datenkategorien im Kundenservice',
'Ticket-Daten, Kommunikationsverlaeufe, Kundenstammdaten und technische Informationen im Support.',
'## Ueberblick
Der Kundenservice verarbeitet personenbezogene Daten im Rahmen der **Vertragserfuellung** (Art. 6 Abs. 1 lit. b DSGVO) und zur Bearbeitung von Anfragen. Besondere Sorgfalt bei **Aufzeichnungen von Telefonaten** (Einwilligung erforderlich!).
## Typische Datenkategorien
### Kundenstammdaten
- Name, E-Mail, Telefon, Kundennummer
- Vertrag, Produkt, Lizenz-/Abonnement-Status
- Kontakthistorie, bisherige Anfragen
### Ticket-/Anfragedaten
- Ticketnummer, Betreff, Kategorie
- Fehlerbeschreibung, Reproduktionsschritte
- Status, Prioritaet, Bearbeitungshistorie
- Zufriedenheitsbewertung (NPS/CSAT)
### Kommunikationsverlauf
- E-Mail-Korrespondenz
- Live-Chat-Protokolle
- Telefon-Gespraechsnotizen
- Anrufaufzeichnungen (nur mit Einwilligung!)
### Technische Daten
- Systemumgebung (OS, Browser, App-Version)
- Logdateien, Fehlermeldungen
- Screenshots, Screencasts
- Remote-Sitzungsprotokolle
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Support-Bearbeitung | Art. 6 Abs. 1 lit. b DSGVO |
| Anrufaufzeichnung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung!) |
| Zufriedenheitsumfrage | Art. 6 Abs. 1 lit. f DSGVO |
| Qualitaetssicherung | Art. 6 Abs. 1 lit. f DSGVO |
## Typische Systeme
Zendesk, Freshdesk, Jira Service Management, Intercom, OTRS, Zammad
## Aufbewahrungsfristen
- **Support-Tickets:** 3 Jahre nach Schliessung (Gewaehrleistung/Verjaehrung)
- **Chat-Protokolle:** 6-12 Monate
- **Anrufaufzeichnungen:** Max. 6 Monate (Qualitaetssicherung)
- **Technische Logs:** 90 Tage',
ARRAY['Art. 6 Abs. 1 lit. b DSGVO', 'Art. 6 Abs. 1 lit. a DSGVO', 'Art. 6 Abs. 1 lit. f DSGVO'],
ARRAY['kundenservice', 'support', 'tickets', 'kommunikation', 'anrufaufzeichnung'],
'info',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 6. Artikel: Datenkategorien im IT-Betrieb
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-it-betrieb',
'datenkategorien',
'Datenkategorien im IT-Betrieb',
'Logdaten, Zugangsdaten, Netzwerk-Monitoring und Backup-Daten — IT-spezifische Datenkategorien.',
'## Ueberblick
Die IT-Abteilung verarbeitet personenbezogene Daten im Rahmen der **Systemadministration, Sicherheit und Verfuegbarkeit**. Rechtsgrundlage ist primaer **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse an IT-Sicherheit) sowie **lit. c** (gesetzl. Aufbewahrungspflichten fuer Logs).
## Typische Datenkategorien
### Zugangsdaten (IAM)
- Benutzernamen, E-Mail-Adressen
- Rollen, Berechtigungen, Gruppenzugehoerigkeiten
- Letzte Anmeldung, Passwortwechsel-Datum
- MFA-Registrierungen
### Logdaten
- **Authentifizierungs-Logs:** Login/Logout, fehlgeschlagene Versuche
- **Zugriffs-Logs:** Webserver, Applikation, API
- **System-Logs:** Betriebssystem-Events, Cron-Jobs
- **Sicherheits-Logs:** Firewall, IDS/IPS, Antivirus
### Netzwerk- und Geraetedaten
- IP-Adressen (intern/extern)
- MAC-Adressen, Hostnamen
- Geraeteliste (Asset-Management)
- VPN-Verbindungsprotokolle
### Backup-Daten
- Enthalten personenbezogene Daten aller gesicherten Systeme
- Backup-Retention muss mit Loeschfristen harmonisieren
### Monitoring-Daten
- Uptime-/Performance-Metriken (i.d.R. kein Personenbezug)
- Endpunkt-Monitoring (Geraetezuordnung → personenbezogen)
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Logging / SIEM | Art. 6 Abs. 1 lit. f DSGVO |
| Zugangsverwaltung | Art. 6 Abs. 1 lit. b + f DSGVO |
| Backup | Art. 6 Abs. 1 lit. f DSGVO |
| Videoueberwachung IT-Raeume | Art. 6 Abs. 1 lit. f DSGVO + § 4 BDSG |
## Typische Systeme
Active Directory / Entra ID, Keycloak, LDAP, Graylog, ELK Stack, Zabbix, Prometheus/Grafana, Veeam, Proxmox Backup
## Aufbewahrungsfristen
- **Authentifizierungs-Logs:** 6-12 Monate
- **Zugriffs-Logs:** 90 Tage (BSI-Empfehlung: 6 Monate)
- **Sicherheits-Logs:** 12 Monate (SOC-Empfehlung)
- **Backups:** Entsprechend Aufbewahrungskonzept (i.d.R. 30-90 Tage)',
ARRAY['Art. 6 Abs. 1 lit. f DSGVO', 'Art. 32 DSGVO', '§ 4 BDSG', 'Art. 5 Abs. 1 lit. f DSGVO'],
ARRAY['it', 'logging', 'backup', 'iam', 'netzwerk', 'monitoring', 'siem'],
'important',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();
-- =============================================================================
-- 7. Artikel: Datenkategorien in der Produktion
-- =============================================================================
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, version)
VALUES (
'dk-produktion',
'datenkategorien',
'Datenkategorien in der Produktion',
'Personenbezogene Daten in Fertigung und Produktion: Zeiterfassung, Zutrittskontrolle, Arbeitsschutz.',
'## Ueberblick
In der Produktion werden personenbezogene Daten vor allem im Rahmen von **Zeiterfassung, Zutrittskontrolle und Arbeitsschutz** verarbeitet. Seit dem BAG-Urteil vom 13.09.2022 (1 ABR 22/21) besteht eine **Pflicht zur Arbeitszeiterfassung**.
## Typische Datenkategorien
### Zeiterfassung
- Kommen/Gehen-Zeiten, Pausenzeiten
- Schichtzuordnung, Ueberstunden
- Abwesenheiten (Urlaub, Krank, Schulung)
### Zutrittskontrolle
- Ausweiskarten-ID, RFID-Transponder
- Zutrittsprotokolle (Wer, Wann, Welcher Bereich)
- Besuchermanagement (Name, Firma, Besuchsgrund)
### Arbeitsschutz & Arbeitsmedizin
- Unterweisungsnachweise (Name, Datum, Thema)
- Arbeitsmedizinische Vorsorge (nur: durchgefuehrt ja/nein)
- Gefahrstoff-Expositionsdaten
- Unfallmeldungen (mit Personenbezug)
### Qualitaetssicherung
- Pruefprotokolle mit Pruefer-ID
- Chargenverfolgung (Zuordnung zu Mitarbeitern)
### Videoueberwachung
- Kameraaufnahmen in Produktionshallen
- Zugangs-/Ladebereiche
## Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|--------------|-----------------|
| Zeiterfassung | § 26 Abs. 1 BDSG + Art. 6 Abs. 1 lit. c DSGVO |
| Zutrittskontrolle | Art. 6 Abs. 1 lit. f DSGVO |
| Arbeitsmedizin | § 26 Abs. 3 BDSG + ArbSchG/ArbMedVV |
| Videoueberwachung | Art. 6 Abs. 1 lit. f DSGVO + § 4 BDSG |
| Unfallmeldungen | Art. 6 Abs. 1 lit. c DSGVO (§ 193 SGB VII) |
## Typische Systeme
ATOSS, Interflex, Kaba/dormakaba, SAP PM/QM, MES-Systeme
## Aufbewahrungsfristen
- **Zeiterfassung:** 2 Jahre (§ 16 Abs. 2 ArbZG)
- **Zutrittsprotokolle:** 90 Tage (Sicherheitsinteresse)
- **Unterweisungsnachweise:** Dauer der Beschaeftigung + 3 Jahre
- **Unfallmeldungen:** 5 Jahre (DGUV)
- **Videoueberwachung:** Max. 72 Stunden (DSK-Empfehlung), max. 10 Tage',
ARRAY['§ 26 BDSG', 'Art. 6 Abs. 1 lit. f DSGVO', '§ 4 BDSG', '§ 16 ArbZG', '§ 193 SGB VII', 'ArbMedVV'],
ARRAY['produktion', 'zeiterfassung', 'zutrittskontrolle', 'arbeitsschutz', 'videoueberwachung'],
'info',
1
) ON CONFLICT (id) DO UPDATE SET
content = EXCLUDED.content,
summary = EXCLUDED.summary,
legal_refs = EXCLUDED.legal_refs,
tags = EXCLUDED.tags,
version = compliance_wiki_articles.version + 1,
updated_at = NOW();