Datenschutzerklaerung
Mitarbeiterportal Dornburg Reisen · Art. 13 DSGVO
1. Verantwortlicher
Dornburg Reisen GmbH & Co. KG
Im Eichwald 19
65599 Dornburg-Frickhofen
Telefon: 06436 - 910 910
E-Mail: info@dornburg-reisen.de
Geschaeftsfuehrer: Julian Schmitz
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Schwellenwerte (§38 BDSG) nicht erreicht werden. Eine Pruefung erfolgt regelmaessig. Bei Fragen wenden Sie sich bitte an den Verantwortlichen unter info@dornburg-reisen.de.
3. Zweck der Datenverarbeitung
Das Mitarbeiterportal dient der Abwicklung interner Workflows zwischen Dornburg Reisen GmbH & Co. KG und ihren Mitarbeitern. Es ersetzt vorhandene Einzeltools (Fuehrerscheinkontrolle, Teamkleidung-Bestellsystem, Mitarbeiter-Onboarding, Schadensmeldung, Schwarzes Brett) und vereint sie unter einem Dach.
Verarbeitet werden ausschliesslich Daten von Beschaeftigten der Dornburg Reisen GmbH & Co. KG sowie von Bewerbern im Rahmen des Onboardings.
4. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO i.V.m. §26 BDSG — Beschaeftigungsverhaeltnis
- Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflichten (z. B. §21 StVG, BKrFQG, PBefG, §147 AO, §257 HGB)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Erinnerungs-Mails, IT-Sicherheit, Audit-Logging)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. fuer Foto-Uploads bei Schadensmeldungen)
5. Datenkategorien (modulabhaengig)
Stammdaten / Self-Service
- Name, Vorname, Geburtsdatum, Geschlecht
- Anschrift, Telefon, Mobil
- E-Mail (privat und ggf. dienstlich)
- Bankverbindung (IBAN, BIC, Bank)
- Steuerklasse, Krankenkasse, SV-Nummer
- Notfallkontakt
- Eintritts- und Austrittsdatum, Status, Sprache
Login & Sicherheit
- Passwort-Hash (bcrypt — das Klartext-Passwort wird niemals gespeichert)
- Anzahl Fehlversuche, letzter Login, IP-Adresse beim Login
- Audit-Log: wer hat wann was geaendert (inkl. IP & User-Agent)
Fahrerakte / §21 StVG-Kontrolle
- Fuehrerschein-Klassen, Ausstellungsdaten, Gueltigkeit
- Foto/Scan des Fuehrerscheins (Vor- und Rueckseite)
- Kontroll-Stempel mit Sichter, Datum und digitaler Unterschrift
Schadensmeldung
- Fahrzeug-Kennzeichen, Datum, Ort, ggf. Geo-Koordinaten (nach Einwilligung)
- Schadens-Beschreibung, Beteiligte, Foto-Dokumentation
- PDF-Bericht zur Bearbeitung durch Personal/Disposition
Teamkleidung-Bestellsystem
- Koerpermass-Empfehlungen (Brust, Huefte, Innennaht)
- Bestellpositionen mit Groesse und Farbe
- Versand-Adresse (i.d.R. die hinterlegte Stammadresse)
Schwarzes Brett
- Lesebestaetigungen mit Zeitstempel pro Pflicht-Mitteilung
Kommunikation
- System-Benachrichtigungen im Portal (Posteingang)
- Versand-Log fuer Mails (Empfaenger, Betreff, Status, Zeitstempel)
6. Empfaenger der Daten / Auftragsverarbeiter (Art. 28 DSGVO)
Folgende Empfaenger / Auftragsverarbeiter sind an der Datenverarbeitung beteiligt:
- Personalbuero und Geschaeftsleitung der Dornburg Reisen GmbH & Co. KG
- All-Inkl.com Neue Medien Münnich, Friedrichroda — Hosting (Webserver + MariaDB), AV-Vertrag vorhanden
- Microsoft Ireland Operations Ltd., Dublin — Microsoft 365 / Microsoft Graph für Mailversand, AV-Vertrag vorhanden
Eine Uebermittlung in Drittlaender ausserhalb der EU/des EWR findet ueber Microsoft 365 nur auf Grundlage der von der EU-Kommission anerkannten Standardvertragsklauseln statt.
7. Speicherdauer / Loeschfristen
| Datenkategorie | Aufbewahrung |
|---|---|
| Stammdaten aktiver Mitarbeiter | Dauer des Beschaeftigungsverhaeltnisses + 1 Jahr |
| Steuer-/Lohn-relevante Daten | 10 Jahre (§257 HGB, §147 AO) |
| Audit-Log | 3 Jahre |
| Fahrerakte / §21-Kontrollen | fuer Dauer des Beschaeftigungsverhaeltnisses, danach 6 Monate |
| Onboarding-Bewerberdaten ohne Anstellung | 6 Monate |
| Login-Daten | Loeschung mit Konto-Deaktivierung |
| Schadensmeldungen | 3 Jahre nach Abschluss (Verjaehrungsfristen) |
| Spesen-/Reisekosten-Antraege inkl. Belegfotos | 10 Jahre (§147 AO Buchungsbelege) |
Mit Vertragsende wird das Mitarbeiter-Stammprofil zunaechst auf ausgetreten gesetzt.
Nach Ablauf der gesetzlichen Fristen werden die Daten anonymisiert oder geloescht.
8. Cookies / Tracking
Das Portal setzt ausschliesslich technisch notwendige Cookies fuer die Sitzungsverwaltung
(Session-Cookie MAPORT_SID, HttpOnly & SameSite=Strict). Es findet kein
Drittanbieter-Tracking, keine Werbung, kein Profiling statt. Eine Cookie-Einwilligung
ist daher gem. §25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.
9. Ihre Rechte als Betroffene/r
Nach Art. 15–22 DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft ueber die zu Ihrer Person gespeicherten Daten (Art. 15) — im Portal direkt verfuegbar: Mein Daten-Export (ZIP)
- Berichtigung unrichtiger Daten (Art. 16) — via Stammdaten-Self-Service
- Loeschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17)
- Einschraenkung der Verarbeitung (Art. 18)
- Datenuebertragbarkeit (Art. 20) — ueber den oben genannten Datenexport
- Widerspruch gegen die Verarbeitung (Art. 21)
- Widerruf einer erteilten Einwilligung mit Wirkung fuer die Zukunft (Art. 7 Abs. 3)
- Beschwerde bei der zustaendigen Aufsichtsbehoerde:
Hessischer Beauftragter fuer Datenschutz und Informationsfreiheit,
Postfach 31 63
65021 Wiesbaden
10. Datensicherheit
- Verschluesselte Uebertragung (HTTPS / TLS) ueber alle Verbindungen
- bcrypt-Hashing der Passwoerter (Cost-Faktor 12)
- Brute-Force-Bremse mit Account-Lockout
- CSRF-Schutz auf allen Formularen, Honeypot-Bot-Schutz
- Audit-Log fuer alle Datenaenderungen, einsehbar fuer Personal/GF/Admin
- Rollen-basierte Zugriffsbeschraenkung (z. B. Disposition sieht keine Lohndaten)
- Regelmaessige Backups durch den Hosting-Anbieter
- Zwei-Faktor-Schutz (Mail-Code) bei Aenderung sensibler Daten (IBAN, Steuerklasse)
11. Aenderungen dieser Erklaerung
Wir behalten uns vor, diese Datenschutzerklaerung mit jeder neuen Phase / Modul-Aktivierung anzupassen. Es gilt jeweils die hier veroeffentlichte Fassung.
Stand: 06.05.2026