Datenschutz
als Fundament

Öffentliche Einrichtungen mit besonderen Datenschutzanforderungen
können sich nicht irren!

9 Datenschutz-Gründe für die urlaubsverwaltung.cloud

1. Data Privacy by Design und Data Privacy by Default

"Haben die Mitarbeitenden das berechtigte Interesse diese Daten zu sehen?"

Das ist die allgegenwärtige Frage, die uns beim Entwickeln von Funktionen und Prozessen leitet. Es hat Auswirkungen auf Anwender, je nach dem in welcher Rolle sie die Software verwenden und wie das Unternehmen organisiert und damit auch in der Software abgebildet ist.

Die Standardkonfiguration der Urlaubsverwaltung ist so ausgelegt, dass sie den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht. Ein firmenweiter Kalender ist zunächst nicht sichtbar, da die einzelnen Abteilungen den ersten Schutzraum für die personenbezogenen Daten der Mitarbeitenden bilden. Die Aktivierung eines firmenweiten Kalenders ist in der Regel nur für kleinere Unternehmen sinnvoll. Auch die Anzeige des Abwesenheitsgrundes ist abhängig von der jeweiligen Rolle unterschiedlich transparent gestaltet und muss stets mit besonderer Sorgfalt behandelt werden.

Es werden nur die Daten erhoben, die für den Zweck der Software notwendig sind - damit Prozesse abgebildet und Entscheidungen getroffen werden können.

2. Serverstandort: Deutschland

Surft man durch das Internet, ist einem oft nicht bewusst, in welchen Ländern die abgerufenen und abgesendeten Daten verarbeitet werden. Dabei fängt Datenschutz schon bei der Wahl des Serverstandortes an. Denn überall dort, wo Daten verarbeitet werden, gelten die Datenschutzgesetze des jeweiligen Landes.
Die Urlaubsverwaltung wird im ISO 27001 zertifizierten Datenzentrum von Hetzner in Deutschland gehostet und betrieben. Die Daten werden dort verarbeitet und gespeichert.
Somit steht der Urlaubsverwaltung nichts im Weg, um auch in deinem Unternehmen eingesetzt zu werden.

3. Unser Datenschutzkonzept

Ein verantwortungsvoller Umgang mit personenbezogenen Daten ist für uns nicht nur eine gesetzliche Verpflichtung, sondern ein zentraler Bestandteil unserer Unternehmensphilosophie. Unser Datenschutzkonzept verbindet Transparenz, Sicherheit und Verlässlichkeit, damit du dich jederzeit auf den Schutz deiner Daten verlassen kannst.

Die Grundpfeiler unseres Datenschutzkonzepts:

Rechtmäßigkeit & Transparenz: Wir verarbeiten Daten ausschließlich auf klar definierter Rechtsgrundlage und machen unsere Prozesse nachvollziehbar.
Datenminimierung & Zweckbindung: Wir erheben und nutzen nur die Daten, die wirklich notwendig sind – ausschließlich für den vorgesehenen Zweck.
Verantwortlichkeiten & Prozesse: Interne Rollen und Zuständigkeiten sind klar geregelt, um höchste Standards bei Datenschutz und Datensicherheit sicherzustellen.
Kontinuierliche Weiterentwicklung: Unser Datenschutzkonzept wird regelmäßig überprüft und an neue rechtliche Anforderungen sowie technische Entwicklungen angepasst.

So stellen wir sicher, dass der Schutz deiner Daten durch ein nachhaltiges, strukturiertes und gelebtes Datenschutzmanagement sichergestellt ist.

4. Technische und organisatorische Maßnahmen

Der Schutz deiner Daten hat für uns höchste Priorität. Deshalb setzen wir umfangreiche technische und organisatorische Maßnahmen (TOMs) um, die den Anforderungen der DSGVO entsprechen. Diese Maßnahmen stellen sicher, dass personenbezogene Daten jederzeit vertraulich, integer und verfügbar bleiben. Unsere TOMs umfassen unter anderem:

Zugangskontrolle: Strikte Authentifizierungs- und Berechtigungskonzepte verhindern unbefugten Zugriff.
Datenverschlüsselung: Sämtliche Daten werden sowohl bei der Übertragung als auch persistiert verschlüsselt.
Backup & Recovery: Regelmäßige Backups und ein erprobtes Notfallmanagement sichern die Wiederherstellbarkeit.
Monitoring & Protokollierung: Systeme werden kontinuierlich überwacht, sicherheitsrelevante Ereignisse protokolliert und ausgewertet.
Regelmäßige Prüfungen: Unsere Prozesse und Systeme werden laufend überprüft und an neue Sicherheitsstandards angepasst.

Alle Maßnahmen sind Teil unseres Auftragsverarbeitungsvertrags und bilden die Grundlage für eine sichere und DSGVO-konforme Verarbeitung deiner Daten.

5. Ein aktueller Auftragsverarbeitungsvertrag

Unser Vertrag zur Auftragsverarbeitung (AVV) ist öffentlich einsehbar und muss nicht erst angefordert werden. Die Transparenz darüber welche Arten von Daten und wie diese verarbeitet werden, ist uns wichtig. Dabei achten wir auf Datensparsamkeit und Zweckbindung.

Kategorien betroffener Personen

Kunden
Mitarbeitende des Kunden

Kundendaten dienen der Kommunikation, der Abrechnung sowie der Vertragsdurchführung. Daten der Mitarbeitenden des Kunden dienen zur Erfüllung der Leistungsvereinbarung.

Gegenstand der Verarbeitung personenbezogener Daten der Kunden sind folgende Datenarten

Name
Adresse
E-Mail

Gegenstand der Verarbeitung personenbezogener Daten der Mitarbeitenden sind folgende Datenarten

Personenstammdaten
Firmenstruktur (z.B. Abteilungen) und Rollen (z.B. Abteilungsleiter)
Kommunikationsdaten (E-Mail)
Abwesenheitsdaten
Krankmeldungen (ohne Grund der Krankmeldung)
Arbeitszeiten

Unterauftragnehmer

Unternehmen/Unterauftragnehmer	Anschrift/Land	Leistung	AVV	Version
MailJet	Alt Moabit 2, 10557 Berlin, Germany	E-Mailversand	AVV	Version 6.0
Haufe-Lexware Services GmbH & Co. KG	Munzingerstr. 9. 79111 Freiburg	Buchhaltung und Abrechnung	AVV	03/24
Microsoft	One Microsoft Place South County Business Park Leopardstown, Dublin 18, D18 P521 Irland	Kommunikation	AVV	April 1, 2025
Hetzner Online GmbH	Industriestr. 25 91710 Gunzenhausen Deutschland	Hosting	AVV	04.12.2020
GoCardless Ltd.	Sutton Yard, Goswell Rd, London EC1V 7EN, United Kingdom	SEPA Zahlungsabwicklung	AVV	26 June 2025
Gravatar*	Automattic, Inc., 132 Hawthorne Street, San Francisco, CA 94107, USA	Anzeige von Profilbildern	AVV	August 5, 2025

* Gravatar ist ein optionaler Dienst um Avatarbilder anzuzeigen. Möchte der Kunde diesen optionalen Dienst nutzen, muss dafür zuerst ein Gravatar-Konto erstellt werden. Es werden keine zusätzlichen Daten an Gravatar übermittelt, lediglich die E-Mail-Adresse auf einem verschlüsseltem Weg.

Details zur Verarbeitung kann der Datenschutzerklärung entnommen werden.

6. Risikoeinschätzung und Datenschutz-Folgeabschätzung

Datenschutz bedeutet für uns nicht nur die Einhaltung gesetzlicher Vorgaben, sondern vor allem die aktive Vermeidung von Risiken. Deshalb führen wir bei allen relevanten Prozessen eine strukturierte Risikoeinschätzung durch. So stellen wir sicher, dass mögliche Gefahren für personenbezogene Daten frühzeitig erkannt und durch geeignete Maßnahmen minimiert werden.

Wenn eine Verarbeitung ein besonders hohes Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringen könnte, führen wir eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durch. Dabei prüfen wir systematisch:

Art, Umfang und Zweck der Datenverarbeitung
potenzielle Risiken für betroffene Personen
geeignete technische und organisatorische Schutzmaßnahmen, um diese Risiken zu reduzieren.

Durch diesen klar definierten Prozess gewährleisten wir, dass eure Daten jederzeit mit der größtmöglichen Sorgfalt behandelt werden – präventiv, transparent und DSGVO-konform.

7. Ein durchdachtes Löschkonzept

Personenbezogene Daten sollen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist. Unser Löschkonzept sorgt dafür, dass dieser Grundsatz der DSGVO konsequent umgesetzt wird.

Die Eckpfeiler unseres Löschkonzepts:

Klare Aufbewahrungsfristen: Daten werden nur so lange gespeichert, wie es gesetzlich vorgeschrieben oder für den vereinbarten Zweck erforderlich ist.
Automatisierte Prozesse: Wo möglich, greifen technische Mechanismen, die die fristgerechte Löschung zuverlässig durchführen.
Recht auf Vergessenwerden: Auf Anfrage löschen wir personenbezogene Daten gemäß den gesetzlichen Vorgaben unverzüglich.
Dokumentation & Nachvollziehbarkeit: Jeder Löschvorgang wird revisionssicher dokumentiert, um höchste Transparenz zu gewährleisten.
Regelmäßige Überprüfung: Unser Löschkonzept wird laufend evaluiert und bei neuen gesetzlichen Anforderungen oder technischen Entwicklungen angepasst.

Damit stellen wir sicher, dass Daten nicht länger als nötig gespeichert werden – effizient und sicher.

8. Ein bewusster Datenverarbeitungsfluss

Wir legen größten Wert darauf, dass personenbezogene Daten bei uns klar nachvollziehbar, transparent und sicher verarbeitet werden. Jeder Schritt im Datenverarbeitungsfluss ist bewusst gestaltet, dokumentiert und regelmäßig überprüft.

Unsere Leitlinien:

Transparente Prozesse: Wir halten fest, welche Daten an welchen Stellen erhoben, gespeichert und genutzt werden.
Zweckgebundene Verarbeitung: Daten werden ausschließlich für die vorgesehenen und kommunizierten Zwecke verarbeitet – nicht mehr und nicht weniger.
Datenminimierung: Wir beschränken die Verarbeitung konsequent auf das notwendige Maß.
Kontrollierte Schnittstellen: Datenübertragungen zwischen Systemen und Partnern erfolgen ausschließlich verschlüsselt und unter strengen Sicherheitsvorkehrungen.
Lückenlose Dokumentation: Alle Verarbeitungstätigkeiten sind gemäß DSGVO erfasst und jederzeit nachvollziehbar.

So stellen wir sicher, dass eure Daten einem durchdachten, sicheren und verantwortungsvollen Fluss folgen – von der Erhebung bis zur Löschung.

9. Mitarbeiterschulungen

Alle Mitwirkenden absolvieren jährlich Schulungen zu Datenschutz und IT-Sicherheit. Es liegen Zertifikate von allen im Jahr 2025 vor.

CyberSecurity Zertifikat von Andreas Weigel

Die Themen für die Datenschutzschulung sind:

DSGVO Einführung: Warum ein Datenschutz-Training
- Datenschutz – was ist das?
- Unterschied zu Informationssicherheit.
- Die EU-Datenschutz-Grundverordnung (DSGVO).
- Personenbezogene Daten.
- Besondere Kategorien personenbezogener Daten.
- Unterschiede zum bisherigen BDSG (Marktortprinzip, Beweislastumkehr, höhere Strafen, etc.).
Grundlagen der DSGVO
- Die Grundprinzipien.
- Zweckbindung.
- Datenminimierung.
- Speicherbegrenzung.
- Die Rechte des Betroffenen.
- Wer ist verantwortlich?
- Welche Strukturen fordert die DSGVO?
Anforderung im Datenschutz
- Auftragsverarbeitung nach DSGVO.
- Technische und organisatorische Maßnahmen.
- Auftragsdatenverarbeitung mit Dienstleistern.
- Datenschutz im Marketing.
Datenschutz im Alltag - DSGVO im Unternehmen
- Vertraulichkeit von personenbezogenen Daten.
- Richtiger Umgang und Aufbewahrung.
- Umgang mit Behörden.
- Dateien sicher austauschen und verschlüsseln.
- Hilfreiche Maßnahmen für den Schutz sensibler Daten.
Was ist im Notfall zu tun
- Was ist eine Datenpanne?
- Reale Beispiele von großen Datenpannen.
- Maßnahmen und korrektes Verhalten im Notfall.
- Informations- und Meldepflicht.

Die Themen für die IT-Sicherheitsschulung sind:

Cyber Security Einführung: Warum eine Cyber Security-Schulung?
- Aktuelle Bedrohungslage.
- Wer sind die Angreifer, was ist ihre Motivation?
- Implementierung einer funktionierenden Informationssicherheit.
- Rolle des Anwenders beim Schutz von Informationen.
E-Mail & Phishing
- Erkennen und Abwehren von Phishing.
- Verschlüsselung sensibler Informationen.
- Viren und Trojaner in E-Mails.
Ransomware
- Was ist Ransomware und warum ist das so gefährlich?
- Tipps zum Schutz im Unternehmen.
- Tipps zum Schutz privater IT.
Sichere Passwörter & Passwort-Management
- Wie funktioniert Passwort-Cracking?
- Starke Passwörter erstellen und merken.
- Passwörter sicher aufbewahren.
Social Engineering
- Was ist Social Engineering?
- Angriffe auf Mitarbeiter enttarnen.
- Social Engineering Angriffe auf Privatpersonen.

Aktualisiert am 15.09.2025

Datenschutzals Fundament