Datenschutzerklärung
Stand: Juni 2026 — Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten im Mitarbeiterportal. Sie ist ein technischer Entwurf für die produktive Kundeninstanz und ersetzt keine externe rechtliche Prüfung.
1. Verantwortlicher und Auftragsverarbeitung
Betreiber des Mitarbeiterportals ist:
Luca Böhner
Einzelunternehmen
Dienstname: Nahbar
Wiesenstraße 11
91322 Gräfenberg
Deutschland
Für produktive Kundeninstanzen verarbeitet Luca BöhnerMitarbeiterdaten im Dienst Nahbar als Auftragsverarbeiter im Auftrag des jeweiligen Arbeitgebers. Der Arbeitgeber bleibt Verantwortlicher für die Verarbeitung der Beschäftigtendaten in seiner Instanz.
Datenschutz- und Support-Kontakt:
info@swiftloom.de
2. Zwecke der Verarbeitung
- Verwaltung von Filialen, Arbeitsbereichen und Mitarbeitern
- Dienstplanung, Schichtzuweisung und Planfreigabe
- Self-Service für Verfügbarkeiten, Abwesenheiten und Urlaub
- Arbeitszeiterfassung, Freigaben und Monatsabschluss
- Lohnexporte mit externer Personalnummer statt Klarname
- Audit-Logging, Zugriffsschutz und Missbrauchsprävention
3. Datenkategorien
- Name, E-Mail-Adresse, Telefonnummer und Systemrolle
- Filial- und Einsatzdaten, Qualifikationen und Arbeitszeitmodelle
- Schichten, Arbeitszeiten, Pausen, Korrekturen und Monatsabschlüsse
- Urlaub, Abwesenheiten, Verfügbarkeiten und Self-Service-Anträge
- Gesundheitsdaten bei Krankmeldungen im Sinne von Art. 9 DSGVO
- Audit-Daten zu Änderungen und sicherheitsrelevanten Vorgängen
4. Rechtsgrundlagen
- Art. 88 DSGVO in Verbindung mit § 26 BDSG für die Verarbeitung von Beschäftigtendaten im Arbeitsverhältnis.
- Art. 9 Abs. 2 lit. b DSGVO in Verbindung mit § 26 BDSG für Krankmeldungen und andere erforderliche Gesundheitsdaten.
- Art. 6 Abs. 1 lit. f DSGVO für IT-Sicherheit, Zugriffsschutz und Missbrauchsprävention.
5. Gesundheitsdaten
Krankmeldungen werden besonders geschützt. Freitextangaben werden serverseitig auf kurze Hinweise begrenzt, vor der Speicherung verschlüsselt und in allgemeinen Audit- oder Urlaubskonto-Einträgen nicht als Klartext übernommen.
Der Zugriff auf Krankheitsdetails ist getrennt von allgemeinen Admin- und Planerrechten. Sichtbar sind Details nur für die betroffene Person selbst oder für Rollen, die ausdrücklich für Gesundheitsdaten freigegeben sind.
6. Empfänger und Hosting
Regelmäßige externe Empfänger sind nicht vorgesehen. Hosting erfolgt bei IONOS SE, Montabaur, mit Server-Standort in der EU beziehungsweise in Deutschland. Eine Weitergabe an Lohnabrechnungsstellen erfolgt nur, soweit der jeweilige Arbeitgeber den Export nutzt und verantwortet.
7. Speicherdauer und Löschung
- Aktive Mitarbeiterdaten werden für die Dauer des Beschäftigungsverhältnisses verarbeitet.
- Deaktivierte Mitarbeiter werden nach konfigurierbarer Frist anonymisiert; Standardwert: 12 Monate.
- Krankheitsdetails werden nach konfigurierbarer kurzer Frist gelöscht; Standardwert: 12 Monate.
- Audit-Einträge werden nach konfigurierbarer Frist gelöscht; Standardwert: 2 Jahre.
- Bei einer Art.-17-Löschung werden Mitarbeiter-Stammdaten anonymisiert und abhängige Freitexte neutralisiert, soweit keine vorrangigen gesetzlichen Aufbewahrungspflichten greifen.
8. Rechte betroffener Personen
Betroffene Personen haben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Beschwerde bei einer Aufsichtsbehörde. Anfragen sind an den jeweiligen Arbeitgeber als Verantwortlichen oder an den Datenschutz- und Support-Kontakt von Nahbar zu richten.
9. Aufsichtsbehörde
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
10. Sicherheit
- Passwortspeicherung mit BCrypt
- Rollenbasierte Zugriffskontrolle mit Filial-Scoping
- Verschlüsselte Speicherung von Krankheits-Freitexten
- Konfigurierbare Retention für Audit, Gesundheitsdaten und Deaktivierte
- Transportverschlüsselung in produktiven Deployments über HTTPS
- Keine Analytics- oder Marketing-Tracker im Frontend
Diese Datenschutzerklärung wurde zuletzt im Juni 2026 aktualisiert.