Datenschutz-Folgenabsch\u00e4tzung (DSFA)

1. Beschreibung der Verarbeitungsvorgänge

Zweck: SaaS-Plattform zur Entgelttransparenzanalyse gemäß EntgTranspG und EU-Richtlinie 2023/970. Arbeitgeber importieren Mitarbeitervergütungsdaten, um geschlechtsspezifische Entgeltluecken zu identifizieren, Berichte zu erstellen und Maßnahmen zu planen.

Datenkategorien: Vor- und Nachname (verschluesselt), Personalnummer (verschluesselt), Geschlecht, Geburtsjahr, Stellenbezeichnung, Abteilung, Entgeltgruppe, Grundgehalt, Bonusbetrag, Gesamtvergeutung, Beschäftigungsart, Arbeitszeitfaktor, Eintrittsdatum.

Betroffene Personen: Beschäftigte der Kundenunternehmen (typisch: 100–10.000 Mitarbeitende).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung des Verantwortlichen gemaess EntgTranspG / EU-Richtlinie 2023/970).

Speicherdauer: Gemäß konfigurierbarer Aufbewahrungsrichtlinie mit gesetzlichen Mindestfristen (§ 147 AO: 10 Jahre fuer Lohnunterlagen, § 22 EntgTranspG: 5 Jahre fuer Entgeltberichte).

2. Erforderlichkeit und Verhaeltnismaessigkeit

Notwendigkeit: Die Verarbeitung ist zur Erfuellung gesetzlicher Pflichten des Verantwortlichen erforderlich. Art. 9 der EU-Richtlinie 2023/970 verpflichtet Arbeitgeber zur systematischen Analyse und Berichterstattung der Entgeltgleichheit.

Datenminimierung: Personenbezogene Identifikatoren (Namen, Personalnummern) werden bei Import automatisch pseudonymisiert. Die Entgeltanalyse arbeitet ausschliesslich mit Pseudo-IDs. Eine Entschluesselung ist nur fuer autorisierte HR-Rollen moeglich.

Zweckbindung: Daten werden ausschliesslich fuer Entgelttransparenzanalysen verwendet, nicht fuer Marketing, Profiling oder sonstige Zwecke.

Speicherbegrenzung: Konfigurierbare Aufbewahrungsfristen mit automatischer Loeschung. Gesetzliche Mindestfristen koennen nicht unterschritten werden.

3. Risikobewertung

Risiko 1 — Unbefugter Zugriff auf Gehaltsdaten: Eintrittswahrscheinlichkeit: mittel. Schwere: hoch. Risikostufe: HOCH. Minderung: Rollenbasierte Zugriffskontrolle (RBAC) mit 4 Rollen und 30+ Berechtigungen, AES-256-GCM-Verschluesselung, Sitzungssicherheit mit 7-Tage-Ablauf und 5-Minuten-Auffrischung.

Risiko 2 — Re-Identifizierung aus aggregierten Berichten: Eintrittswahrscheinlichkeit: mittel. Schwere: hoch. Risikostufe: HOCH. Minderung: Mindestgruppengroeße von 6 Personen pro Geschlecht. Kennzahlen fuer Gruppen unter dieser Schwelle werden unterdrueckt.

Risiko 3 — Datenschutzverletzung mit Gehalts- und Geschlechtsdaten: Eintrittswahrscheinlichkeit: niedrig. Schwere: sehr hoch. Risikostufe: HOCH. Minderung: Verschluesselung at rest und in transit, Pseudonymisierung, Mandantenisolierung, lueckenloser Audit-Trail.

Risiko 4 — Diskriminierung aufgrund von Analyseergebnissen: Eintrittswahrscheinlichkeit: niedrig. Schwere: mittel. Risikostufe: MITTEL. Minderung: KI-Ergebnisse sind Vorschlaege, keine Entscheidungen (Human-in-the-Loop). Berichte enthalten Kontextinformationen und Handlungsempfehlungen.

Risiko 5 — Ungenaue Entgeltlueckenberechnung: Eintrittswahrscheinlichkeit: mittel. Schwere: mittel. Risikostufe: MITTEL. Minderung: Validierung der Importdaten, FTE-Normalisierung, statistische Tests (Welch-t-Test, Blinder-Oaxaca-Zerlegung) mit Konfidenzintervallen.

4. Technische und organisatorische Maßnahmen

Verschluesselung: AES-256-GCM fuer personenbezogene Daten (Namen, Personalnummern) mit separater Schluesselverwahrung. TLS 1.2+ fuer alle Datenuebertragungengen.

Zugriffskontrolle: 4 Rollen (Administrator, HR-Manager, Betrachter, Betriebsrat) mit 30+ granularen Berechtigungen. Betriebsrat-Rolle: ausschliesslich Zugriff auf aggregierte Daten, keine individuellen Mitarbeiterdaten.

Pseudonymisierung: Automatische UUID-basierte Pseudonymisierung bei Datenimport. Identitaetszuordnungen separat verschluesselt gespeichert. Entschluesselung nur durch autorisierte HR-Rollen, protokolliert im Audit-Trail.

Datentrennung: Multi-Mandanten-Architektur mit Organisations-ID auf allen Datenbanktabellen. Strikte Mandantenisolierung durch Membership-Pruefung auf allen Queries und Mutations.

Protokollierung: 6 modulspezifische Audit-Log-Tabellen (Berichte, Anfragen, Bewertungen, Zertifizierungen, Benachrichtigungen, Integrationen) plus zentrales Datenzugriffsprotokoll fuer sensible Operationen (PII-Entschluesselung, Datenexport, Datenloeschung).

Sicherheitspruefungen: Have I Been Pwned (HIBP) Passwortpruefung, Cloudflare Turnstile CAPTCHA, Einweg-E-Mail-Blocking, Kontosperrung mit zeitlicher Befristung.

5. Konsultation

Diese DSFA wurde intern erstellt und wird mindestens jaehrlich oder bei wesentlichen Aenderungen der Verarbeitungsvorgaenge ueberprueft.

Eine vorherige Konsultation der Aufsichtsbehoerde gemaess Art. 36 DSGVO ist nach Einschaetzung nicht erforderlich, da die getroffenen Massnahmen das Restrisiko auf ein akzeptables Niveau senken.

Hinweis: Diese DSFA ist ein lebendes Dokument. Vor Produktivstart sollte sie durch einen Datenschutzbeauftragten (DSB) und ggf. externe Rechtsberatung geprueft werden.