Compliance & Datenschutz

Compliance und Datenschutz

Hinweis: Die Inhalte sind technische und organisatorische Empfehlungen für den Betrieb und ersetzen keine individuelle Rechtsberatung.

1) Arbeitszeitgrenzen und Ruhezeiten (ArbZG §3, §5)

Technisch umgesetzt:

  • Erfassung aller Arbeitszeiten inkl. Pausen und Status.
  • Hinweislogik im Dashboard bei langen Arbeitstagen.
  • Pflicht-Begründung bei relevanten Ausnahmefällen (z. B. >10h, Sonn-/Feiertag).
  • Ruhezeitwarnung bei weniger als 11 Stunden zwischen Buchungen.
  • Gesetzliche Mindestpausen werden beim Abschluss berücksichtigt (6-9h: 30 Min, >9h: 45 Min).
  • Tage mit Überschreitung sind im Kalender sichtbar markiert.

Empfehlung: Interne Eskalationsregel definieren, ab wann Warnungen eine Freigabe durch Admin/HR auslösen.

2) Sonn- und Feiertage

  • Feiertage Hessen sind im Kalender gesondert markiert.
  • Sonn-/Feiertagsarbeit wird sichtbar und begründungspflichtig behandelt.

3) Nachweis- und Aufbewahrungspflichten (ArbZG §16)

Technisch umgesetzt:

  • Änderungsprotokolle für Korrekturen mit Zeitstempel, Vorher/Nachher und Begründung.
  • Selbstkorrekturen nur in begrenztem Fenster und nur für zulässige Fälle.
  • Monatsabschluss schützt abgeschlossene Zeiträume.
  • Nachträgliche Änderungen in sensiblen Fällen nur mit zusätzlicher Compliance-Freigabe.

Empfehlung: Aufbewahrungsfristen, Backup- und Restore-Prozess schriftlich festlegen.

4) Datenschutz für Beschäftigtendaten (BDSG §26, DSGVO Art. 5/32)

Technisch umgesetzt:

  • Rollen- und Rechtekonzept (Mitarbeiter/Admin plus Seitenberechtigungen).
  • CSRF-Schutz, Session-Schutz, Login-Schutzmechanismen und Security-Header.
  • Zweckgebundene Verarbeitung von Zeit-, Abwesenheits- und Planungsdaten.
  • Keine GPS-Stempelung mehr im Produktivfluss.

Empfehlung: TOMs, Löschkonzept, Verzeichnis der Verarbeitungstätigkeiten und Berechtigungskonzept regelmäßig prüfen.

5) Rechte und Zugriffe

  • Berechtigungsmatrix steuert pro Mitarbeiter, welche Seiten sichtbar/aufrufbar sind.
  • Adminzugriffe sind getrennt und nachvollziehbar.
  • Microsoft-SSO ist mit OAuth2/OIDC (Authorization Code Flow + PKCE) angebunden.
  • Joiner/Mover/Leaver-Prozess (Eintritt, Rollenwechsel, Austritt) sollte verbindlich dokumentiert sein.

6) Abwesenheiten, Urlaub und Planung

  • Urlaubsanträge mit Genehmigungsprozess, Protokoll und Statuskommunikation.
  • Teamkalender und Timeline für Überschneidungen und Kapazitätsplanung.
  • Überstunden-Abbau-Anträge (offen/genehmigt) sichtbar in Admin-Planungsansichten.

7) Export und Weiterverarbeitung

  • CSV-Exporte für Zeiten und Abwesenheiten.
  • Lexware-kompatibler Zeitexport als eigene CSV-Vorlage.
  • Monatliche Berichte und Gesamtberichte für interne Kontrollen.

8) Betriebssicherheit

  • Regelmäßige Updates für Server, PHP, Datenbank und Abhängigkeiten einplanen.
  • Monitoring für Mailversand, Jobläufe und Fehler einrichten.
  • Verfahren für Sicherheitsvorfälle und Supportwege definieren.