DSGVO & AVV
TeamVis verarbeitet personenbezogene Daten (Name, E-Mail, Foto, Telefon) — eine DSGVO-Bewertung ist Pflicht. Diese Seite hilft dabei.
Verarbeitete Daten
| Kategorie | Felder | Zweck |
|---|---|---|
| Stammdaten MA | Vorname, Nachname, akad. Titel, Position | Visitenkarte |
| Kontakt MA | E-Mail, Telefon, Mobil, LinkedIn, XING | Visitenkarte |
| Foto MA | JPG/PNG/WebP | Visitenkarte (optional) |
| Standort MA | Straße, PLZ, Ort | Visitenkarte (optional) |
| Auswertung | IP-Land, Referrer-Domain | Analytics (anonym) |
| Lead | Vor-/Nachname, Email, Telefon, Firma | Lead-Capture-Formular |
| Audit-Log | Wer hat was wann geändert | GoBD-Konformität |
Rechtsgrundlage
- Art. 6 Abs. 1 lit. b (Vertrag): Stammdaten und Kontakt der MA zur Vertragsabwicklung
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse): öffentliche Karte für die Außendarstellung
- Art. 6 Abs. 1 lit. a (Einwilligung): Foto, falls nicht vom Arbeitsvertrag gedeckt; Lead-Capture-Formular nur mit Consent-Checkbox
AVV (Auftragsverarbeitung)
Wenn Sie TeamVis als Service von zfx.services nutzen (Hosted Mode), ist eine Auftragsverarbeitung-Vereinbarung (AVV) zwischen Ihnen und zfx.services nötig — eine Vorlage erhalten Sie auf Anfrage.
Bei On-Premise ist keine AVV mit zfx.services nötig (die Daten verlassen Ihr Haus nicht). Eine AVV ist dann ggf. mit Ihrem Rechenzentrum bzw. Hoster und mit Supabase nötig, falls Sie Supabase Cloud nutzen — sonst self-hosted Postgres.
Datenresidenz
- Hosted bei zfx.services: Rechenzentrum Haßfurt GmbH (Haßfurt, Deutschland)
- Self-Hosted: dort, wo Sie es betreiben
- Supabase: standardmäßig in Frankfurt (
eu-central-1), prüfen Sie Ihr Projekt vor dem Anlegen
Es gibt keine US-Cloud-Komponenten in der Default-Konfiguration.
Rechte der Betroffenen
- Auskunft (Art. 15): MA kann seine Daten im Self-Service-Portal einsehen
- Berichtigung (Art. 16): MA kann selbst pflegen, Admin pflegt Stammdaten
- Löschung (Art. 17): Karte deaktivieren oder per Bulk-Delete entfernen — Audit-Log behält die Tatsache der Existenz mit Hash-Chain (GoBD-Pflicht)
- Datenübertragbarkeit (Art. 20): vCard-Download bzw. CSV-Export der Karte
Stolperfallen
- Trusted-Links sind teilbar: jeder, der den Link bekommt, kann ihn beliebig oft öffnen. Bei besonders schutzwürdigen Daten zeitlich begrenzen
- Lead-Capture ohne Consent-Checkbox = DSGVO-Verstoß. TeamVis bietet die Checkbox standardmäßig — nicht entfernen
- Foto-Upload ohne Mitarbeiter-Einwilligung: gilt rechtlich als „besondere Kategorie”-nahe Verarbeitung. Vor Upload Einwilligung einholen, idealerweise dokumentiert (z.B. Anhang am Arbeitsvertrag)