-- Migration 040: Compliance Wiki (Strukturierte Wissensbasis) -- Interne Admin-Wissensbasis fuer DSGVO/Compliance-Fachwissen. -- System-Eintraege (read-only), kein tenant_id — globale Daten. -- ============================================================================= -- 1. Wiki-Kategorien -- ============================================================================= CREATE TABLE IF NOT EXISTS compliance_wiki_categories ( id VARCHAR(100) PRIMARY KEY, name VARCHAR(300) NOT NULL, description TEXT DEFAULT '', icon VARCHAR(50) DEFAULT '', sort_order INTEGER DEFAULT 0, created_at TIMESTAMPTZ DEFAULT NOW() ); -- ============================================================================= -- 2. Wiki-Artikel -- ============================================================================= CREATE TABLE IF NOT EXISTS compliance_wiki_articles ( id VARCHAR(100) PRIMARY KEY, category_id VARCHAR(100) NOT NULL REFERENCES compliance_wiki_categories(id), title VARCHAR(500) NOT NULL, summary TEXT NOT NULL, content TEXT NOT NULL, legal_refs TEXT[] DEFAULT '{}', tags TEXT[] DEFAULT '{}', relevance VARCHAR(20) DEFAULT 'info', source_urls TEXT[] DEFAULT '{}', version INTEGER DEFAULT 1, created_at TIMESTAMPTZ DEFAULT NOW(), updated_at TIMESTAMPTZ DEFAULT NOW() ); CREATE INDEX IF NOT EXISTS idx_wiki_articles_category ON compliance_wiki_articles(category_id); CREATE INDEX IF NOT EXISTS idx_wiki_articles_tags ON compliance_wiki_articles USING GIN(tags); CREATE INDEX IF NOT EXISTS idx_wiki_articles_search ON compliance_wiki_articles USING GIN(to_tsvector('german', title || ' ' || summary || ' ' || content)); -- ============================================================================= -- 3. Seed-Daten: Kategorien -- ============================================================================= INSERT INTO compliance_wiki_categories (id, name, description, icon, sort_order) VALUES ('datenkategorien', 'Datenkategorien & Abgrenzung', 'Welche personenbezogenen Daten gibt es und wie grenzt man sie voneinander ab?', 'Database', 10), ('dsgvo-grundlagen', 'DSGVO-Grundlagen', 'Grundlegende Konzepte der Datenschutz-Grundverordnung', 'Shield', 20), ('art9-besondere', 'Besondere Kategorien (Art. 9)', 'Besonders schuetzenswerte Daten nach Art. 9 DSGVO', 'AlertTriangle', 30), ('rechtsgrundlagen', 'Rechtsgrundlagen', 'Die sechs Rechtsgrundlagen fuer die Datenverarbeitung', 'Scale', 40), ('avv-dienstleister', 'Auftragsverarbeitung (AVV)', 'Regeln fuer externe Dienstleister, die Daten verarbeiten', 'Handshake', 50), ('arbeitsrecht', 'Arbeitsrecht & Compliance', 'Datenschutz im Arbeitsverhaeltnis', 'Briefcase', 60), ('hinschg', 'Hinweisgeberschutz (HinSchG)', 'Pflichten zum Schutz von Hinweisgebern', 'MessageCircle', 70), ('branchenspezifisch', 'Branchenspezifisches', 'Besonderheiten einzelner Branchen', 'Building2', 80) ON CONFLICT (id) DO NOTHING; -- ============================================================================= -- 4. Seed-Daten: Artikel -- ============================================================================= -- 1. Gesundheitsdaten — Abgrenzung INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('gesundheitsdaten-abgrenzung', 'datenkategorien', 'Gesundheitsdaten — Was zaehlt dazu und was nicht?', 'Nicht alles, was mit Gesundheit zu tun hat, ist automatisch ein Gesundheitsdatum im Sinne der DSGVO. Die Abgrenzung ist in der Praxis wichtig.', '## Ueberblick Der Name der Krankenkasse (z.B. "AOK Bayern", "TK") ist **kein Gesundheitsdatum** nach Art. 9 DSGVO. Er verraet nichts ueber den Gesundheitszustand einer Person — jeder Arbeitnehmer hat eine Krankenkasse, unabhaengig davon ob er gesund oder krank ist. ## Was SIND Gesundheitsdaten? - Diagnosen, Krankheitsbilder, Befunde - Krankmeldungen (AU-Bescheinigungen) mit Diagnose - Schwerbehindertenausweis / Grad der Behinderung - Medikamenteneinnahme - Ergebnisse von Eignungsuntersuchungen ## Was sind KEINE Gesundheitsdaten? - Name der Krankenkasse (reine Verwaltungsinformation) - Anzahl Krankheitstage (ohne Diagnose) - Versichertennummer - Beitragssatz ## Warum ist das wichtig? Gesundheitsdaten unterliegen dem besonderen Schutz nach Art. 9 DSGVO. Fuer ihre Verarbeitung braucht man eine **ausdrueckliche Rechtsgrundlage** (z.B. § 26 Abs. 3 BDSG im Beschaeftigungsverhaeltnis). Verwaltungsdaten wie der Krankenkassenname fallen unter die normalen Regeln. ## Praxis-Tipp Wenn Sie im VVT oder in der DSFA Datenkategorien zuordnen: Pruefen Sie genau, ob ein Datum tatsaechlich Rueckschluesse auf den Gesundheitszustand zulaesst. Nur dann ist es ein Art.-9-Datum.', ARRAY['Art. 9 DSGVO', '§ 26 Abs. 3 BDSG', 'ErwGr. 35 DSGVO'], ARRAY['gesundheit', 'art9', 'abgrenzung', 'krankenkasse'], 'critical', ARRAY['https://www.bfdi.bund.de', 'EuGH C-184/20']) ON CONFLICT (id) DO NOTHING; -- 2. Beschaeftigtendaten — Umfang INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('beschaeftigtendaten-umfang', 'datenkategorien', 'Beschaeftigtendaten — Was gehoert alles dazu?', 'Beschaeftigtendaten umfassen weit mehr als Name und Adresse. Hier eine Uebersicht der typischen Datenkategorien im Arbeitsverhaeltnis.', '## Ueberblick Im Arbeitsverhaeltnis fallen viele verschiedene personenbezogene Daten an. Sie alle unterliegen dem Beschaeftigtendatenschutz nach § 26 BDSG. ## Typische Beschaeftigtendaten ### Stammdaten - Name, Adresse, Geburtsdatum - Steuer-ID, Sozialversicherungsnummer - Bankverbindung (fuer Gehaltsauszahlung) ### Vertragsdaten - Arbeitsvertrag, Stellenbeschreibung - Gehalt, Zulagen, Bonusvereinbarungen - Arbeitszeit, Urlaubsanspruch ### Verwaltungsdaten - Krankenkassenname, Beitragssatz - Steuerklasse, Kinderfreibetraege - Kirchensteuermerkmal ### Leistungsdaten - Beurteilungen, Zielvereinbarungen - Fortbildungsnachweise, Zertifikate - Abmahnungen, Zwischenzeugnisse ## Abgrenzung zu Art.-9-Daten Das **Kirchensteuermerkmal** verraet die Religionszugehoerigkeit und ist damit ein Art.-9-Datum. Die Steuerklasse hingegen ist ein normales Verwaltungsdatum. ## Praxis-Tipp Erfassen Sie im VVT die Beschaeftigtendaten moeglichst nach Kategorien getrennt (Stammdaten, Vertragsdaten etc.). Das erleichtert spaeter die Zuordnung von Loeschfristen und Zugriffsrechten.', ARRAY['§ 26 BDSG', 'Art. 6 Abs. 1b DSGVO', 'Art. 88 DSGVO'], ARRAY['beschaeftigte', 'personal', 'stammdaten', 'lohnabrechnung'], 'important', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING; -- 3. Arbeitszeiterfassung — Pflicht INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('arbeitszeiterfassung-pflicht', 'arbeitsrecht', 'Arbeitszeiterfassung — Wer muss was erfassen?', 'Seit dem BAG-Beschluss 2022 besteht in Deutschland eine Pflicht zur systematischen Arbeitszeiterfassung. Das betrifft fast alle Unternehmen.', '## Ueberblick Das Bundesarbeitsgericht hat im September 2022 entschieden, dass Arbeitgeber die Arbeitszeiten ihrer Mitarbeiter systematisch erfassen muessen. Diese Pflicht ergibt sich aus dem Arbeitsschutzgesetz. ## Was muss erfasst werden? - **Beginn** und **Ende** der taeglichen Arbeitszeit - **Dauer** der Arbeitszeit - **Ueberstunden** und Mehrarbeit - Einhaltung der **Ruhezeiten** (mind. 11 Stunden) - Einhaltung der **Pausenregelungen** ## Wer ist betroffen? Grundsaetzlich alle Arbeitgeber — unabhaengig von der Unternehmensgroesse. Ausnahmen gibt es nur in sehr engen Grenzen (z.B. leitende Angestellte nach § 18 ArbZG). ## Datenschutz-Aspekte Die Arbeitszeitdaten sind **personenbezogene Daten**. Die Rechtsgrundlage fuer die Erfassung ist die **rechtliche Verpflichtung** (Art. 6 Abs. 1c DSGVO i.V.m. § 3 ArbZG). Wichtig: Die Daten duerfen **nicht** fuer andere Zwecke verwendet werden (z.B. Leistungskontrolle), es sei denn, es gibt dafuer eine eigene Rechtsgrundlage. ## Aufbewahrungsfrist Arbeitszeitaufzeichnungen muessen mindestens **2 Jahre** aufbewahrt werden (§ 16 Abs. 2 ArbZG). ## Praxis-Tipp Setzen Sie im VVT eine eigene Verarbeitungstaetigkeit "Arbeitszeiterfassung" auf und ordnen Sie die passende Rechtsgrundlage (Art. 6 Abs. 1c) zu.', ARRAY['§ 3 ArbZG', '§ 16 Abs. 2 ArbZG', 'Art. 6 Abs. 1c DSGVO', 'BAG 1 ABR 22/21'], ARRAY['arbeitszeit', 'zeiterfassung', 'bag', 'pflicht'], 'critical', ARRAY['BAG 1 ABR 22/21 (13.09.2022)', 'EuGH C-55/18 (CCOO)']) ON CONFLICT (id) DO NOTHING; -- 4. HinSchG — Grundlagen INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('hinschg-grundlagen', 'hinschg', 'Hinweisgeberschutzgesetz — Ab wann gilt was?', 'Seit Dezember 2023 muessen alle Unternehmen ab 50 Mitarbeitern eine interne Meldestelle einrichten. Das hat auch datenschutzrechtliche Auswirkungen.', '## Ueberblick Das Hinweisgeberschutzgesetz (HinSchG) schuetzt Personen, die auf Missstaende in Unternehmen hinweisen ("Whistleblower"). Seit dem 17. Dezember 2023 gilt die volle Pflicht fuer Unternehmen ab 50 Beschaeftigten. ## Kernpflichten ### Interne Meldestelle einrichten - Kann eine **interne Person** oder ein **externer Dienstleister** sein - Meldungen muessen **muendlich, schriftlich und persoenlich** moeglich sein - Eingangsbestaetigung innerhalb von **7 Tagen** - Rueckmeldung an den Hinweisgeber innerhalb von **3 Monaten** ### Vertraulichkeitsgebot (§ 8 HinSchG) - Die **Identitaet des Hinweisgebers** darf nur den zustaendigen Personen bekannt sein - Verstoss ist bussgeld­bewehrt (bis 50.000 EUR) ## Welche Daten fallen an? - Identitaet des Hinweisgebers (besonders schuetzenswert!) - Beschuldigte Personen - Zeugen und weitere Beteiligte - Inhalt der Meldung (kann sensible Daten enthalten) - Kommunikationsverlauf ## Datenschutz-Anforderungen - **Eigene Verarbeitungstaetigkeit** im VVT anlegen - Rechtsgrundlage: Art. 6 Abs. 1c DSGVO (rechtliche Verpflichtung) - **Zugriffsbeschraenkung:** Nur die benannte Meldestelle darf auf die Daten zugreifen - **Loeschfrist:** 3 Jahre nach Abschluss des Verfahrens (§ 11 Abs. 5 HinSchG) - Bei Art.-9-Daten in Meldungen: besondere Schutzmassnahmen erforderlich ## Praxis-Tipp Pruefen Sie bei externen Meldestellen-Anbietern, ob ein **AVV** erforderlich ist. In den meisten Faellen ja — der Anbieter verarbeitet personenbezogene Daten in Ihrem Auftrag.', ARRAY['§ 8 HinSchG', '§ 11 Abs. 5 HinSchG', '§ 12 HinSchG', 'Art. 6 Abs. 1c DSGVO'], ARRAY['hinweisgeberschutz', 'whistleblower', 'meldestelle', 'vertraulichkeit'], 'critical', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING; -- 5. AVV — Website-Betrieb INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('avv-website-betrieb', 'avv-dienstleister', 'AVV beim Website-Betrieb — Wer braucht einen Vertrag?', 'Beim Betrieb einer Website sind fast immer externe Dienstleister beteiligt. Fuer die meisten davon brauchen Sie einen Auftragsverarbeitungsvertrag.', '## Ueberblick Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen **Auftragsverarbeitungsvertrag (AVV)** nach Art. 28 DSGVO. ## Typische AVV-Pflichten beim Website-Betrieb | Dienstleister | AVV noetig? | Grund | |--------------|-------------|-------| | Hosting-Anbieter | Ja | Zugriff auf Server-Logs mit IP-Adressen | | Newsletter-Tool | Ja | Verarbeitet E-Mail-Adressen | | Analytics (Matomo gehostet) | Ja | Verarbeitet Nutzungsdaten | | Cookie-Consent-Tool | Kommt drauf an | Nur wenn Daten beim Anbieter liegen | | CDN (Cloudflare etc.) | Ja | IP-Adressen werden verarbeitet | | Externer IT-Support | Ja | Potentieller Zugriff auf alle Daten | ## Was muss im AVV stehen? - **Gegenstand und Dauer** der Verarbeitung - **Art und Zweck** der Verarbeitung - **Art der personenbezogenen Daten** (IP-Adressen, E-Mails etc.) - **Kategorien betroffener Personen** (Website-Besucher, Newsletter-Abonnenten) - **Technisch-organisatorische Massnahmen (TOMs)** des Dienstleisters - **Unterauftragsverarbeiter** — muessen genehmigt werden ## Cookies & Analytics Auch wenn Sie einen AVV mit dem Analytics-Anbieter haben: Die **datenschutzrechtliche Verantwortung** bleibt bei Ihnen! Sie muessen sicherstellen, dass eine gueltige Einwilligung vorliegt (§ 25 TDDDG). ## Praxis-Tipp Fuehren Sie eine **Liste aller Dienstleister** mit Website-Bezug und pruefen Sie fuer jeden, ob ein AVV vorliegt. Viele Anbieter bieten Standard-AVVs zum Download an.', ARRAY['Art. 28 DSGVO', '§ 25 TDDDG', 'Art. 32 DSGVO'], ARRAY['avv', 'website', 'hosting', 'analytics', 'dienstleister'], 'important', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING; -- 6. AVV — Lohnbuchhaltung INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('avv-lohnbuchhaltung', 'avv-dienstleister', 'AVV bei externer Lohnbuchhaltung', 'Wer die Lohnabrechnung an einen externen Dienstleister auslagert, braucht zwingend einen Auftragsverarbeitungsvertrag — denn es werden sensible Beschaeftigtendaten uebermittelt.', '## Ueberblick Die externe Lohnbuchhaltung ist einer der haeufigsten Faelle von Auftragsverarbeitung. Der Dienstleister erhaelt umfangreiche personenbezogene Daten Ihrer Beschaeftigten. ## Welche Daten werden uebermittelt? - Name, Adresse, Geburtsdatum - Sozialversicherungsnummer - Steuer-ID, Steuerklasse - Krankenkasse, Beitragssaetze - Gehalt, Zulagen, Praemien - Arbeitszeiten, Fehlzeiten - Ggf. Kirchensteuermerkmal (Art.-9-Datum!) - Ggf. Pfaendungsdaten ## AVV-Pflicht Ein AVV nach Art. 28 DSGVO ist **zwingend erforderlich**. Der Dienstleister handelt weisungsgebunden in Ihrem Auftrag. ## Besondere Schutzmassnahmen Da potenziell Art.-9-Daten betroffen sind (Kirchensteuermerkmal → Religion), sollten folgende TOMs beim Dienstleister nachgewiesen werden: - **Verschluesselung** der Datenuebertragung - **Zugriffsbeschraenkung** auf die Lohndaten - **Protokollierung** aller Zugriffe - **Regelmaessige Audits** des Dienstleisters ## Praxis-Tipp Pruefen Sie, ob der Lohnbuchhaltungs-Dienstleister seinerseits **Unterauftragsverarbeiter** einsetzt (z.B. Cloud-Hosting, DATEV). Diese muessen im AVV aufgefuehrt sein.', ARRAY['Art. 28 DSGVO', '§ 26 BDSG', 'Art. 9 DSGVO', 'Art. 32 DSGVO'], ARRAY['avv', 'lohnbuchhaltung', 'personal', 'beschaeftigte'], 'important', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING; -- 7. Religion bei Bewerbungen INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('religion-bewerbung', 'art9-besondere', 'Religion im Bewerbungsverfahren — Was darf gefragt werden?', 'Die Religionszugehoerigkeit ist ein besonders geschuetztes Datum nach Art. 9 DSGVO. Im Bewerbungsverfahren gelten strenge Regeln.', '## Ueberblick Die Religionszugehoerigkeit faellt unter die **besonderen Kategorien** personenbezogener Daten (Art. 9 DSGVO). Im Bewerbungsverfahren darf grundsaetzlich **nicht** danach gefragt werden. ## Frageverbote Das **Allgemeine Gleichbehandlungsgesetz (AGG)** verbietet die Benachteiligung wegen der Religion. Daraus folgt: - **Keine Frage** nach der Religionszugehoerigkeit im Bewerbungsgespraech - **Kein Feld** "Religion" im Bewerbungsformular - **Keine Rueckschluesse** aus dem Lebenslauf ziehen (z.B. Mitgliedschaft in religioesen Organisationen) ## Ausnahmen Eine Ausnahme gilt fuer **Tendenzbetriebe** (z.B. kirchliche Einrichtungen). Hier kann die Religionszugehoerigkeit eine wesentliche und gerechtfertigte berufliche Anforderung sein — allerdings mit Einschraenkungen nach der EuGH-Rechtsprechung. ## Wann Religion doch relevant wird Spaetestens bei der **Lohnabrechnung** wird die Religionszugehoerigkeit relevant, weil das Kirchensteuermerkmal uebermittelt werden muss. Dies ist dann durch **§ 26 Abs. 3 BDSG** gedeckt. ## Praxis-Tipp Gestalten Sie Bewerbungsformulare so, dass keine besonderen Kategorien abgefragt werden. Fuehren Sie im VVT die Verarbeitung "Bewerbermanagement" mit den richtigen Datenkategorien — und listen Sie Religion dort **nicht** auf.', ARRAY['Art. 9 DSGVO', '§ 1 AGG', '§ 26 Abs. 3 BDSG', 'Art. 4 Nr. 13 DSGVO'], ARRAY['religion', 'bewerbung', 'art9', 'agg', 'diskriminierung'], 'important', ARRAY['EuGH C-414/16 (Egenberger)']) ON CONFLICT (id) DO NOTHING; -- 8. Kontaktdaten von Ansprechpartnern INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('kontaktdaten-ansprechpartner', 'datenkategorien', 'Kontaktdaten von Kunden- und Lieferanten-Ansprechpartnern', 'Auch die Kontaktdaten von Ansprechpartnern bei Geschaeftspartnern sind personenbezogene Daten und muessen datenschutzkonform verarbeitet werden.', '## Ueberblick In jedem CRM-System, jeder SAP-Kontaktpflege und jedem E-Mail-Verteiler werden personenbezogene Daten von **Ansprechpartnern** bei Kunden und Lieferanten gespeichert. Diese Daten unterliegen der DSGVO. ## Typische Daten - Name, Vorname, Titel - Geschaeftliche E-Mail-Adresse - Geschaeftliche Telefonnummer - Position / Abteilung - Ggf. Foto (z.B. in Kontaktdatenbanken) ## Rechtsgrundlage Die uebliche Rechtsgrundlage ist das **berechtigte Interesse** (Art. 6 Abs. 1f DSGVO). Die Geschaeftsbeziehung macht es erforderlich, Ansprechpartner zu kennen und zu kontaktieren. ## Informationspflicht Auch Ansprechpartner bei Geschaeftspartnern muessen ueber die Datenverarbeitung informiert werden (Art. 13/14 DSGVO). In der Praxis geschieht das oft ueber: - Einen Datenschutzhinweis in der E-Mail-Signatur - Einen Link zur Datenschutzerklaerung in der Auftragsbestaetigung - Einen separaten Datenschutzhinweis bei Vertragsabschluss ## Praxis-Tipp Fuehren Sie im VVT eine Verarbeitungstaetigkeit "Kunden-/Lieferantenmanagement" mit der Datenkategorie "Geschaeftliche Kontaktdaten" auf. Die Rechtsgrundlage ist in der Regel Art. 6 Abs. 1f DSGVO.', ARRAY['Art. 6 Abs. 1f DSGVO', 'Art. 13 DSGVO', 'Art. 14 DSGVO'], ARRAY['kontaktdaten', 'crm', 'kunden', 'lieferanten', 'b2b'], 'info', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING; -- 9. Gemeinsame Verantwortlichkeit INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('gemeinsame-verantwortlichkeit', 'dsgvo-grundlagen', 'Gemeinsame Verantwortlichkeit vs. Auftragsverarbeitung', 'Die Abgrenzung zwischen Art. 26 (gemeinsame Verantwortlichkeit) und Art. 28 (Auftragsverarbeitung) ist in der Praxis oft schwierig, aber entscheidend fuer die richtige vertragliche Gestaltung.', '## Ueberblick Wenn zwei oder mehr Stellen gemeinsam ueber **Zwecke und Mittel** der Datenverarbeitung entscheiden, liegt eine **gemeinsame Verantwortlichkeit** nach Art. 26 DSGVO vor. Das ist etwas anderes als eine Auftragsverarbeitung (Art. 28), bei der ein Dienstleister weisungsgebunden handelt. ## Auftragsverarbeitung (Art. 28) Der Auftragsverarbeiter: - Handelt **weisungsgebunden** - Entscheidet **nicht** ueber Zweck und Mittel - Verarbeitet Daten **nur im Auftrag** des Verantwortlichen **Beispiele:** Hosting-Anbieter, externe Lohnbuchhaltung, Cloud-Speicher ## Gemeinsame Verantwortlichkeit (Art. 26) Beide Parteien: - Entscheiden **gemeinsam** ueber Zwecke und/oder Mittel - Haben **eigene Interessen** an der Verarbeitung - Muessen eine **Vereinbarung** ueber ihre jeweiligen Pflichten treffen **Beispiele:** - Facebook-Fanpage (EuGH Wirtschaftsakademie) - Gemeinsame Kundendatenbank zweier Unternehmen - Konzernweites HR-System mit gemeinsamer Steuerung ## Wann wird aus AVV eine gemeinsame Verantwortlichkeit? Sobald der "Auftragsverarbeiter" beginnt, Daten fuer **eigene Zwecke** zu nutzen (z.B. eigene Analysen, Produktverbesserung mit Kundendaten), verschiebt sich die Rolle Richtung gemeinsame Verantwortlichkeit. ## Praxis-Tipp Pruefen Sie bei jedem Dienstleister: Hat er ein **eigenes Interesse** an den Daten? Nutzt er sie fuer **eigene Zwecke**? Wenn ja, brauchen Sie eine Art.-26-Vereinbarung statt eines AVV.', ARRAY['Art. 26 DSGVO', 'Art. 28 DSGVO', 'Art. 4 Nr. 7 DSGVO'], ARRAY['art26', 'art28', 'avv', 'verantwortlichkeit', 'joint-controller'], 'important', ARRAY['EuGH C-210/16 (Wirtschaftsakademie)', 'EuGH C-40/17 (Fashion ID)']) ON CONFLICT (id) DO NOTHING; -- 10. Qualifikationsdaten INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES ('qualifikationsdaten', 'datenkategorien', 'Qualifikationsdaten — Fortbildungen, Zertifikate, Schulungsnachweise', 'Qualifikationsdaten gehoeren zu den Beschaeftigtendaten und unterliegen besonderen Aufbewahrungsregeln.', '## Ueberblick Qualifikationsdaten dokumentieren die beruflichen Faehigkeiten und Weiterbildungen von Beschaeftigten. Sie sind personenbezogene Daten und gehoeren zu den Beschaeftigtendaten. ## Was sind Qualifikationsdaten? - Abschlusszeugnisse und Studiennachweise - Berufliche Zertifizierungen (z.B. ISO-Auditor, Datenschutzbeauftragter) - Teilnahmenachweise fuer Fortbildungen - Schulungsnachweise (z.B. Arbeitssicherheit, Datenschutz) - Fuehrerscheine / Fahrerlaubnisse (bei Relevanz fuer den Job) - Sprachkenntnisse, IT-Kenntnisse ## Rechtsgrundlage - **Waehrend des Arbeitsverhaeltnisses:** § 26 BDSG (Durchfuehrung des Beschaeftigungsverhaeltnisses) - **Bei Pflichtschulungen:** Art. 6 Abs. 1c DSGVO (z.B. Arbeitssicherheitsunterweisungen) ## Aufbewahrungsfristen | Datum | Frist | Grund | |-------|-------|-------| | Unterweisungsnachweise (Arbeitssicherheit) | Dauer des Arbeitsverhaeltnisses | ArbSchG | | Fortbildungsnachweise | 3 Jahre nach Ende des AV | Nachweis der Personalentwicklung | | Pflichtschulungen (z.B. Datenschutz) | 3 Jahre nach Durchfuehrung | Nachweispflicht | | Fuehrerscheinkopien | Regelmaessige Ueberpruefung | UVV | ## Praxis-Tipp Fuehren Sie Qualifikationsdaten als eigene Datenkategorie im VVT. Achten Sie auf die **Zweckbindung**: Schulungsnachweise zum Datenschutz duerfen nicht fuer die Leistungsbewertung herangezogen werden.', ARRAY['§ 26 BDSG', 'Art. 6 Abs. 1c DSGVO', 'Art. 17 DSGVO'], ARRAY['qualifikation', 'fortbildung', 'schulung', 'zertifikate', 'personal'], 'info', ARRAY[]::text[]) ON CONFLICT (id) DO NOTHING;