Datenschutzerklärung

Version 1.0.0 · zuletzt vollständig aktualisiert 1.5.2026

1. Verantwortlicher

Metzgerei Vogt
Langgasse 181a, 67454 Haßloch, Rheinland-Pfalz
E-Mail: info@metzgerei-vogt.de
Telefon: +49 (0) 6324 2141
Vertreten durch: Dieter Vogt (Inhaber)

2. Verarbeitete Datenkategorien

Im Cockpit verarbeiten wir folgende personenbezogenen Daten, gegliedert nach Modul:

2.1 Anmeldung und Konto

Für die Nutzung des Cockpits / der Team-App benötigst du ein Konto. Die Anmeldung erfolgt für Administrationskonten über Microsoft Entra ID (Azure AD), für Mitarbeiter-Konten über PIN oder einmaligen Anmelde-Link.

Konto-Stammdaten

Datenfelder: Anzeigename, E-Mail-Adresse, zugewiesene Rolle, Zugriffsbereich (Cockpit oder Team)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Arbeitsverhältnis)
Zweck: Identifikation, Zugriffssteuerung, Rollen- und Rechte-Vergabe
Speicherdauer: Bis Ende des Arbeitsverhältnisses + handelsrechtliche Aufbewahrungsfristen (max. 10 Jahre nach Austritt)

Authentifizierungs-Daten

Datenfelder: PIN (verschlüsselt), Microsoft-Konto-Verknüpfung, einmalige Anmelde-Links per E-Mail
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zweck: Sichere Anmeldung, Schutz vor unbefugtem Zugriff
Speicherdauer: PIN bis Account-Löschung; Anmelde-Links nach Verwendung oder spätestens 30 Minuten

Datenfelder: Zeitpunkt der letzten Anmeldung, Login-Aktionen im Sicherheits-Log
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — IT-Sicherheit)
Zweck: Anomalie-Erkennung, Sicherheits-Audit
Speicherdauer: 12 Monate, dann Anonymisierung

Letzte Überprüfung: 1.5.2026

2.2 Profilbild

Du kannst freiwillig ein Profilbild hochladen. Es ist im Cockpit für Kollegen sichtbar und erleichtert die Zuordnung im Team-Alltag.

Profilbild (Foto)

Datenfelder: Hochgeladenes Foto und Upload-Zeitpunkt
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Upload ist freiwillig)
Zweck: Visuelle Identifikation im Cockpit/Team-App
Speicherdauer: Bis du es selbst löschst oder ein Administrator es entfernt; spätestens bei Account-Löschung
Empfänger / Sichtbar für: Sichtbar für eingeloggte Mitarbeiter und Admins

Letzte Überprüfung: 1.5.2026

2.3 Abwesenheiten (Urlaub, Krankheit, etc.)

Im Modul Abwesenheiten werden Urlaubsanträge, Krankmeldungen, Mutterschutz, Elternzeit u.ä. erfasst. Krankheits-Details werden DSGVO-konform getrennt behandelt (s.u.).

Abwesenheits-Antrag

Datenfelder: Zeitraum (von/bis), Abwesenheits-Art, Status (beantragt/genehmigt/abgelehnt), berechnete Werktage, öffentliche Notiz, benannte Vertretungsperson
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Arbeitsvertrag) + § 26 BDSG (Beschäftigtendaten)
Zweck: Urlaubs- und Abwesenheitsplanung, Lohnabrechnung-Vorbereitung
Speicherdauer: 10 Jahre nach Ende des Arbeitsverhältnisses (steuer- und handelsrechtlich)
Empfänger / Sichtbar für: HR-/Personalverwaltung; die benannte Vertretungsperson sieht nur den Zeitraum, nicht die Details

Krankheits-Bescheinigung (AU)

Datenfelder: Hochgeladene Bescheinigung (PDF/Bild) — verschlüsselt gespeichert
Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO + § 26 Abs. 3 BDSG (Gesundheitsdaten im Beschäftigungskontext)
Zweck: Nachweis der Arbeitsunfähigkeit gegenüber Lohnstelle/Krankenkasse
Speicherdauer: 5 Jahre nach Ablauf des Bescheinigungs-Jahres (LFZG)
Empfänger / Sichtbar für: Nur Mitarbeiter mit HR-Berechtigung. Kollegen sehen lediglich „abwesend"

Interne Notiz (HR-only)

Datenfelder: Freitext-Notiz, sichtbar nur für HR/Admin
Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO
Zweck: HR-interne Bemerkungen zur Bearbeitung
Speicherdauer: Wie Abwesenheits-Antrag (10 Jahre)
Empfänger / Sichtbar für: Nur Benutzer mit HR-Vollzugriff

Urlaubskontingent

Datenfelder: Jahres-Anspruch (Tage), Übertrag aus Vorjahr, Verfallsdatum, Bezugsjahr
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zweck: Berechnung Urlaubsanspruch nach BUrlG
Speicherdauer: 3 Jahre nach Ende des betreffenden Jahres

Letzte Überprüfung: 1.5.2026

2.4 HACCP-Dokumentation

Pflicht-Dokumentation nach LMHV (Lebensmittelhygiene-Verordnung). Wer eine Messung erfasst, wird mit Namen mit-protokolliert (Audit-Trail).

Messprotokolle

Datenfelder: Name der erfassenden Person, Zeitpunkt und Inhalt der Messung (Temperatur, Reinigungs-Check etc.)
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — LMHV)
Zweck: Nachweis der Hygiene-Maßnahmen gegenüber Behörden
Speicherdauer: 3 Jahre (LMHV-Aufbewahrungspflicht)
Empfänger / Sichtbar für: Geschäftsleitung, Hygiene-Auditor; Behörden auf Anforderung

Mängel-Meldungen mit Foto-Anhängen

Datenfelder: Beschreibung des Mangels, Foto-Anhang, meldende Person, Zeitpunkt
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO
Zweck: Mängel-Tracking, Nachweis der Korrektur-Maßnahmen
Speicherdauer: 3 Jahre

Letzte Überprüfung: 1.5.2026

2.5 Catering-Einsatzplanung

Wer für welchen Auftrag eingeteilt wird, wird gespeichert. Im PDF-Einsatzplan steht dein Name + Rolle + Zeit, der QR-Code dient nur der HACCP-Erfassung vor Ort.

Einteilungs-Daten

Datenfelder: Welcher Mitarbeiter ist welchem Auftrag in welcher Rolle zugeteilt (Status: geplant/bestätigt/abgesagt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zweck: Personal-Disposition pro Auftrag
Speicherdauer: 3 Jahre nach Auftrag

Skill-Profile

Datenfelder: Pro Mitarbeiter und Catering-Rolle: Qualifikations-Stufe (Trainee/Qualified/Expert), optional Notiz
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zweck: Verfügbarkeits-Prüfung, Qualifikations-Match
Speicherdauer: Bis Account-Löschung

HACCP-QR-Token

Datenfelder: Zufälliger Einmal-Token, Gültigkeitsdatum, Nutzungszähler
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Pflichtdoku)
Zweck: Mobile HACCP-Erfassung am Catering-Ort ohne Login
Speicherdauer: 14 Tage Token-Gültigkeit, danach automatische Invalidierung

Letzte Überprüfung: 1.5.2026

2.6 Audit-Log (Sicherheits-Protokoll)

Sicherheitsrelevante Aktionen (Login, Genehmigungen, Datenänderungen) werden protokolliert.

Audit-Einträge

Datenfelder: Wer hat was wann geändert (handelnde Person, Aktion, Ziel-Objekt, Zeitstempel, Kontext-Daten)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — IT-Sicherheit, Compliance)
Zweck: Nachvollziehbarkeit von Datenänderungen, Anomalie-Erkennung
Speicherdauer: 12 Monate, danach pseudonymisiert
Empfänger / Sichtbar für: Nur Administratoren mit Audit-Lese-Recht

Letzte Überprüfung: 1.5.2026

2.7 Benachrichtigungen (Push, E-Mail, Telegram)

Du kannst dich für Push-Benachrichtigungen, E-Mail- oder Telegram-Reminder anmelden. Diese sind freiwillig.

Push-Benachrichtigungs-Anmeldung

Datenfelder: Anonyme Browser-/Geräte-Endpunkt-Adresse für den Push-Versand
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Browser-Prompt)
Zweck: Push-Reminder für Aufgaben, Antrags-Status, etc.
Speicherdauer: Bis du die Push-Erlaubnis im Browser entziehst oder das Gerät löschst

Letzte Überprüfung: 1.5.2026

3. Cookies und Tracking

Wir nutzen ausschließlich technisch notwendige Cookies (Session-Token, CSRF-Schutz). Keine Tracking-Cookies, keine Werbung, kein Drittanbieter-Tracking.

4. Übermittlung in Drittstaaten

Bei Microsoft Entra ID (Azure AD) Login werden Daten an Microsoft-Server übertragen. Microsoft ist DSGVO-konform unter dem EU-US Data Privacy Framework zertifiziert. Alle anderen Daten verbleiben auf unserem Server (Hostinger VPS, Standort EU/Deutschland).

5. Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) bezüglich deiner personenbezogenen Daten. Anfragen bitte an datenschutz@metzgerei-vogt.de.

6. Beschwerderecht

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Hintere Bleiche 34, 55116 Mainz, https://www.datenschutz.rlp.de.