Vorlage zum Befüllen durch den Auftraggeber · Anlage zum AVV
Modul-Matrix (Vorlage)
Zweck dieses Dokuments
Die KiNi WebApp ist als modulares System aufgebaut. Welche Module ein Mandant tatsächlich aktiviert und welche personenbezogenen Daten dabei verarbeitet werden, ist mandantenspezifisch. Diese Matrix konkretisiert die Verarbeitung gemäß Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) und gemäß Art. 28 Abs. 3 DSGVO (Gegenstand und Zweck der Auftragsverarbeitung).
Verantwortliche Stelle
| Bezeichnung | [Vollständiger Name des Vereins / Unternehmens] |
|---|---|
| Anschrift | [Straße, PLZ, Ort] |
| Vertretungsberechtigt | [Geschäftsführung / Vorstand mit Name] |
| Datenschutzbeauftragter | [Name, Erreichbarkeit] – soweit benannt |
| Weisungsbefugte gegenüber KiNi | [Name(n) + E-Mail-Adresse(n)] |
Modul-Matrix
| Modul | Aktiviert | Zweck | Datenarten | Rechtsgrundlage | Betroffene | Löschfrist |
|---|---|---|---|---|---|---|
| Benutzerverwaltung / Login | Ja | Authentifizierung, Rollen-/Standortzuweisung | Name, E-Mail, Rolle, Standort, Passwort-Hash (Argon2), Session-Token | § 26 BDSG (Beschäftigtenverhältnis) | Beschäftigte, ggf. Externe / Gäste | Mit Beendigung des Beschäftigungsverhältnisses; Recovery-Daten 30 Tage |
| Dashboard / Aktuelles / Termine | Ja | Interne Information, Termin-Kommunikation | News-/Termin-Inhalte, Teilnehmerlisten, RSVPs, Audience-Zuordnung | § 26 BDSG / berechtigtes Interesse Art. 6 (1) f DSGVO | Beschäftigte, eingeladene Gäste | Termine: Ablauf + 2 Jahre Historie; News: Ablauf + 2 Jahre |
| Kalender (öffentliche Ansicht) | Ja | Übersicht über Termine | Termin-Titel, Zeitpunkt, ggf. Standort | § 26 BDSG | Beschäftigte | Wie Termine |
| Sitzungen / Live-Protokoll | Ja/Nein | Dokumentation von Sitzungen, Folgesitzungs-Verkettung | Protokoll-Text, Anhänge, Teilnehmer-Bezug, Inputs/Outputs | § 26 BDSG / berechtigtes Interesse | Sitzungsteilnehmer | 10 Jahre (Geschäftsdokumentation) |
| Sitzungszimmer-Buchung | Ja/Nein | Raum-Reservierung | Buchungs-Zeitraum, Buchungs-Person, Zweck | § 26 BDSG | Beschäftigte | Ablauf + 12 Monate |
| Weiterbildung (Verwaltung + Pflicht-Zuweisung) | Ja/Nein | Schulungsverwaltung, Nachweis-Pflicht (Arbeitsschutz, Brandschutz) | Typ, Teilnahme-Historie pro Mitarbeiter, Auffrischungs-Intervall | § 26 BDSG; gesetzliche Pflicht zur Arbeitsschutz-Schulung (ArbSchG, DGUV V1) | Beschäftigte | Nachweis-Pflicht je nach Schulungsart (oft 3–10 Jahre) |
| Weiterbildungs-Feedback (anonym) | Ja/Nein | Qualitätssicherung, Anonyme Rückmeldung | Antworten (Sterne / Freitext / Auswahl); kein User-Bezug, nur SHA-256-Hash zum Doppel-Schutz | Berechtigtes Interesse Art. 6 (1) f DSGVO | Beschäftigte (anonymisiert) | Mit Ablauf der Weiterbildung + 2 Jahre |
| Aufträge (Handwerker / Dienstleister) | Ja/Nein | Auftragsabwicklung intern / extern | Auftragstitel, Beschreibung, Standort, Team-/Dienstleister-Zuweisung, Stunden, Anhänge | § 26 BDSG / berechtigtes Interesse | Beschäftigte, externe Dienstleister | 3 Jahre nach Erledigung |
| Dienstleister-Stammdaten | Ja/Nein | Externe Vergabe von Aufträgen | Firmenname, Anschrift, Telefon, E-Mail, Ansprechperson | Vertrag / Vertragsanbahnung Art. 6 (1) b DSGVO | Externe Dienstleister | 3 Jahre nach letztem Auftrag |
| Snacks & Getränke (Vertrauenskiosk) | Ja/Nein | Bestand, Bestellung, Verzehrabrechnung | Käufer-Bezug, Mengen, Preise, Lieferanten-Stammdaten | § 26 BDSG; ggf. Mitbestimmung Betriebsrat / MAV | Beschäftigte | Verzehr-Abrechnung 10 Jahre (§ 257 HGB); Bestände laufend |
| Fahrtenbuch (ohne GPS) | Ja/Nein | Abrechnung Geschäfts-/Privatfahrten, steuerlicher Nachweis | Kennzeichen, Tachostand (manuell), Start-Ort + Ziel-Ort (Freitext-Eingabe), Fahrer-Bezug, Datum, digitale Unterschrift. Plattformweit ohne GPS-Tracking (kategorischer Ausschluss seit DSB-Welle 1, 2026-06) — bewusster Verzicht zur Vermeidung von Profilbildung und Verhaltens-/Leistungskontrolle. | § 26 BDSG; ggf. Mitbestimmung Betriebsrat / MAV | Beschäftigte (Fahrer) | 10 Jahre (§ 147 AO) für steuerrelevante Daten |
| Fahrzeug-Reservierung | Ja/Nein | Buchung Dienstfahrzeuge | Mitarbeiter-ID, Fahrzeug, Zeitraum, Zweck-Freitext | § 26 BDSG | Beschäftigte | Ablauf + 12 Monate |
| Bike-to-Work-Challenge | Ja/Nein | Gesundheitsförderung, freiwilliger Wettbewerb | Tageseinträge (Tag/Strecke/Modus), Mitarbeiter-Bezug; aggregierte Auswertung auf Standortebene | Einwilligung Art. 6 (1) a DSGVO (Teilnahme freiwillig) | Beschäftigte (freiwillig) | Ende Aktion + 12 Monate |
| Tippspiel | Ja/Nein | Mitarbeiter-Engagement | Tipps, Punkte, Mitarbeiter-Bezug | Einwilligung Art. 6 (1) a DSGVO | Beschäftigte (freiwillig) | Ende Turnier + 12 Monate |
| Mitarbeiter-Chat (1:1 + Gruppen) | Ja/Nein | Interne Kommunikation | Nachrichteninhalt, Sender, Empfänger, Zeitstempel; Anhänge (gelöscht nach 30 Tagen) | § 26 BDSG; ggf. Mitbestimmung Betriebsrat / MAV | Beschäftigte | Nachrichten: aktiver Account; Anhänge: 30 Tage |
| Dokumentenablage (mit digitaler Unterschrift) | Ja/Nein | Verteilung von Dokumenten, Bestätigung Kenntnisnahme | Dokumente, Status pro Empfänger, IP-Adresse zum Klick-Zeitpunkt, eingegebener Name | § 26 BDSG; gesetzliche Nachweispflichten (Arbeitsschutz, Datenschutzschulung) | Beschäftigte | Je nach Dokumentenart (Arbeitsschutz: oft 3–10 Jahre) |
| Beschwerde- und KVP-Management | Ja/Nein | Verbesserungs-Vorschläge, Beschwerden, Hinweisgeber-Schutz | Titel, strukturierte Freitexte (was/wo/wie/Beschreibung); Anonymitäts-Modus pro Einreichung (named/pseudonym/full); bei named Klarname; bei pseudonym ist Sender-ID gespeichert (für Antwort übers Postfach), Verwaltung sieht nur „Anonym #ID"; bei full ist Sender-ID NULL und nicht rückführbar. Status inkl. Soft-Delete-Status „Gelöscht". | Berechtigtes Interesse Art. 6 (1) f DSGVO; ggf. HinSchG | Beschäftigte (Einreicher, ggf. Betroffene einer Beschwerde) | Erledigte Vorgänge: 3 Jahre; Soft-Delete-Vermerk bleibt |
| Beauftragte (DS-, Gleichstellungs-, Sicherheitsbeauftragte) | Ja/Nein | Niedrigschwelliger Kontakt zu Beauftragten-Stellen; Stellen-Vorstellung, Nachrichten-Workflow, Dokumentenablage | Pro Stelle: Titel, Vorstellungstext, Kontakt (Mail/Telefon), zugewiesene Person als interner User ODER aus Kontaktliste, Audience-Filter (Standort/Team/User); Pflicht-Pyramiden-Ebene für Dokumente. Nachrichten in drei Anonymitäts-Modi (named/pseudonym/full mit gleicher Semantik wie KVP/Beschwerde); Thread-Antworten beidseitig (bei full ausgeschlossen). Mail-Notification an die Stellen-Kontakt-Adresse. | Berechtigtes Interesse Art. 6 (1) f DSGVO | Beschäftigte; bei externer Stellen-Person zusätzlich der Kontakt-Eintrag | 3 Jahre nach Erledigung; Dokumente nach Mandanten-Aufbewahrungsregel |
| Anbieter-Bestellungen / Sammelbestellung | Ja/Nein | Mitarbeiter-Bestellungen bei internen/externen Anbietern, alle Artikel pro Anbieter in einer Transaktion | Anbieter, Bestellender, Artikel + Menge, Stückpreis-Snapshot, Abrechnungsart (privat/Einrichtung), Erfüllungsart (Abholung/Lieferung), Liefer-Standort bei Lieferung, Liefer-Datum, Notiz, Status. Tageskontingent-Validierung; Postfach-Bestätigung an den Besteller mit Artikel-Liste und Liefertag. | Privat: Einwilligung Art. 6 (1) a / Vertrag Art. 6 (1) b DSGVO. Einrichtungs-Abrechnung: § 26 BDSG / berechtigtes Interesse. | Beschäftigte (Besteller); Anbieter-Stammdaten | Während Vertragslaufzeit; buchhaltungsrelevante Datensätze § 257 HGB (10 Jahre) |
| Push-Versand (Web-Push, PWA) | Ja/Nein | Aktive Benachrichtigung über neue Inhalte / Reminder | Push-Endpoint, kryptografische Schlüssel, verschlüsselter Inhalt (Titel/Vorschau/Ziel-URL) | Einwilligung Art. 6 (1) a DSGVO (Browser-Push-Permission) | Beschäftigte (mit aktiviertem Push) | Mit Deaktivierung oder Account-Ende |
| Verwaltungs-Rolle mit Kompetenzen | Ja/Nein | Delegation einzelner Verwaltungsbereiche ohne Voll-Admin-Recht | Pro Verwaltung-User Liste der Kompetenzen (steuert Menü-Sichtbarkeit + Routen-Zugriff) | § 26 BDSG | Beschäftigte (Verwaltungs-Stellen) | Mit Beendigung des Beschäftigungsverhältnisses |
| Externe / Gast-Konten | Ja/Nein | Begrenzter App-Zugriff für Beirat, Partner, Kunden | Pro Konto: Modul-Freigaben, Sichtbarkeits-Whitelist auf Standorte/Teams/Personen | Vertragsanbahnung / berechtigtes Interesse | Externe Kontakte | Mit Beendigung der Zusammenarbeit |
DSFA-Prüfung
Bei aktivierten Modulen mit erhöhtem Risiko ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu prüfen — insbesondere bei: Verzehr-/Einrichtungs-Abrechnung, KVP- und Beschwerde-Modul als Hinweisgeber-Kanal, Beauftragten-Modul mit personenbezogenen Anliegen, sowie Chat-/Postfach-Inhalten mit potentiellem Mitarbeiter-Bezug. GPS-Tracking ist plattformweit kategorisch ausgeschlossen (seit DSB-Welle 1, 2026-06) und kommt daher als DSFA-Anlass nicht in Frage. Das DSFA-Ergebnis wird hier dokumentiert oder als gesondertes Dokument beigefügt.
| DSFA erforderlich? | ☐ Ja ☐ Nein ☐ Geprüft, nicht erforderlich |
|---|---|
| Datum der Prüfung | [Datum] |
| Durchgeführt von | [Name / Funktion] |
| Mitbestimmung Betriebsrat / MAV | ☐ erforderlich ☐ erfolgt am: [Datum] ☐ nicht erforderlich |
Anlagen
- ☐ Datenschutzhinweis nach Art. 13 DSGVO an Beschäftigte ist erfolgt am [Datum]
- ☐ Betriebs-/Dienstvereinbarung zu Modulen mit Mitbestimmungspflicht liegt vor
- ☐ DSFA gemäß Art. 35 DSGVO liegt bei (falls erforderlich)
- ☐ Interner Datenschutzbeauftragter ist benannt (Name + Erreichbarkeit oben)
Diese Matrix wird gemeinsam mit dem AVV aufbewahrt. Änderungen an der Modulkonfiguration werden hier nachgepflegt; die jeweils letzte Fassung ist maßgeblich.
Tipp: Diese Seite per Drucken → „Als PDF speichern" exportieren und unterschrieben zu den Vertragsunterlagen heften.