Art. 30 DSGVO
Verzeichnis von Verarbeitungstätigkeiten
Verzeichnis für SecPlaner • Stand: Juni 2026
Zweck dieser Dokumentation
Dieses Verzeichnis dokumentiert alle Verarbeitungstätigkeiten, die im Rahmen der Bereitstellung und Nutzung von SecPlaner durchgeführt werden. Es dient Kunden als Vorlage zur Integration in ihr eigenes Verzeichnis nach Art. 30 DSGVO.
Angaben zum Verantwortlichen
| Name/Firma | Ankerpunkt IT |
| Inhaber / Vertretung | Denis Deja |
| Anschrift | Techowpromenade 67, 13437 Berlin |
| E-Mail-Adresse | info@ankerpunkt-it.de |
| Telefonnummer | +49 30 9829 2558 |
VT-01
Benutzerverwaltung und Authentifizierung
| Zweck | Verwaltung von Benutzerkonten, Authentifizierung und Zugriffskontrolle |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Kategorien Betroffene | Administratoren, Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Hosting-, Datenbank- und Monitoring-Unterauftragsverarbeiter |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Bei Kontolöschung oder 30 Tage nach Vertragsende |
| Schutzmaßnahme (TOM) | Verschlüsselung, sichere Hashing-Verfahren, Session-Invalidierung |
VT-02
Mitarbeiterstammdatenverwaltung
| Zweck | Verwaltung von Mitarbeiterdaten für die Personalplanung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Kategorien Betroffene | Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Administratoren und Disponenten des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Bei Mitarbeiterlöschung oder gemäß gesetzlicher Aufbewahrungsfristen (bis 10 Jahre) |
| Schutzmaßnahme (TOM) | Zugriffskontrollen, Audit-Log, Mandantentrennung |
VT-03
Schichtplanung und -verwaltung
| Zweck | Erstellung und Verwaltung von Schicht- und Einsatzplänen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Kategorien Betroffene | Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Betroffene Mitarbeiter, Administratoren, Disponenten |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | 2 Jahre (Arbeitszeitdokumentation) bzw. 10 Jahre (abrechnungsrelevant) |
| Schutzmaßnahme (TOM) | Zugriffskontrollen, Audit-Log |
VT-04
Zeiterfassung (Ein-/Ausstempeln)
| Zweck | Erfassung der tatsächlichen Arbeitszeiten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung, rechtliche Verpflichtung) |
| Kategorien Betroffene | Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Administratoren des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Stempelzeiten: 2 Jahre | GPS-Daten: 30 Tage |
| Schutzmaßnahme (TOM) | Zugriffskontrollen, Pseudonymisierung möglich |
VT-05
Abwesenheitsverwaltung
| Zweck | Erfassung und Verwaltung von Urlaub, Krankheit und anderen Abwesenheiten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. b DSGVO bei Gesundheitsdaten |
| Kategorien Betroffene | Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Administratoren des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Gemäß gesetzlicher Aufbewahrungsfristen (bis 10 Jahre) |
| Schutzmaßnahme (TOM) | Besondere Zugriffskontrollen für sensible Gesundheitsdaten |
VT-06
Push-Benachrichtigungen
| Zweck | Versand von Benachrichtigungen über Schichtänderungen, Genehmigungen etc. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Kategorien Betroffene | Mitarbeiter, die Push-Meldungen im Browser/Gerät aktiviert haben |
| Verarbeitete Daten |
|
| Empfänger | Browser- und Plattformanbieter, Firebase Cloud Messaging, Apple APNs |
| Drittlandübermittlung | Abhängig vom Browser-/Plattformanbieter; bei nativer App EU/USA (Google Firebase, Apple APNs) |
| Löschfrist | Bei Widerruf der Einwilligung oder Kontolöschung |
| Schutzmaßnahme (TOM) | Web Push Protocol mit Ende-zu-Ende-Verschlüsselung |
VT-07
Protokollierung und Audit-Log
| Zweck | Sicherheit, Nachvollziehbarkeit, Fehleranalyse und Missbrauchsprävention |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Kategorien Betroffene | Alle Nutzer der Software |
| Verarbeitete Daten |
|
| Empfänger | Administratoren des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | 90 Tage für technische Logs, länger für Audit-relevante Einträge |
| Schutzmaßnahme (TOM) | Zugriffskontrollen, unveränderliche Audit-Log-Struktur |
VT-08
Passkey-/Gerätebindung und Stempel-Sicherheitsprüfung
| Zweck | Missbrauchsprävention beim Ein- und Ausstempeln (kein Fremdstempeln) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO; beim Arbeitgeber Beschäftigtendatenschutz nach nationalem Recht |
| Kategorien Betroffene | Mitarbeiter mit App-Zugang |
| Verarbeitete Daten |
|
| Empfänger | Administratoren des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | 30 Tage nach Mitarbeiterlöschung oder Ende des Vertrages |
| Schutzmaßnahme (TOM) | Keine biometrische Speicherung (lokale Biometrie), Audit-Log, Geräte-Reset durch Admin |
VT-09
Auto-Planung und Planungsassistenz
| Zweck | Erstellung technischer Zuweisungsvorschläge für offene Schichten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b und f DSGVO |
| Kategorien Betroffene | Mitarbeiter des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Administratoren und Disponenten des Kunden |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Löschung erfolgt synchron zur Schicht- und Personalplanung |
| Schutzmaßnahme (TOM) | Keine automatisierte Entscheidung nach Art. 22 DSGVO (finale Freigabe erfolgt stets durch Disponenten) |
VT-10
Legal-Akzeptanz und Audit-Nachweis
| Zweck | Nachweis der Kenntnisnahme aktueller Vertrags- und Datenschutzunterlagen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b und f DSGVO |
| Kategorien Betroffene | Administratoren des Kunden |
| Verarbeitete Daten |
|
| Empfänger | Anbieter (SecPlaner) zur Nachweiserbringung |
| Drittlandübermittlung | USA/UK (Netlify, PlanetScale, Sentry, Push- und Echtzeit-Dienste), Datenbankregion EU |
| Löschfrist | Bis zum Ablauf gesetzlicher Nachweisfristen (in der Regel 3-10 Jahre) |
| Schutzmaßnahme (TOM) | Revisionssichere Speicherung im Tenant-Kontext |
Dokumenten-Navigation