DSGVO & AVV
TeamVis verarbeitet personenbezogene Daten (Name, E-Mail, Foto, Telefon) — eine DSGVO-Bewertung ist Pflicht. Diese Seite hilft dabei.
Verarbeitete Daten
| Kategorie | Felder | Zweck |
|---|---|---|
| Stammdaten MA | Vorname, Nachname, akad. Titel, Position | Visitenkarte |
| Kontakt MA | E-Mail, Telefon, Mobil, LinkedIn, XING | Visitenkarte |
| Foto MA | JPG/PNG/WebP | Visitenkarte (optional) |
| Standort MA | Straße, PLZ, Ort | Visitenkarte (optional) |
| Auswertung | IP-Land, Referrer-Domain | Analytics (anonym) |
| Lead | Vor-/Nachname, Email, Telefon, Firma | Lead-Capture-Formular |
| Audit-Log | Wer hat was wann geändert | GoBD-Konformität |
Rechtsgrundlage
- Art. 6 Abs. 1 lit. b (Vertrag): Stammdaten und Kontakt der MA zur Vertragsabwicklung
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse): öffentliche Karte für die Außendarstellung
- Art. 6 Abs. 1 lit. a (Einwilligung): Foto, falls nicht vom Arbeitsvertrag gedeckt; Lead-Capture-Formular nur mit Consent-Checkbox
AVV (Auftragsverarbeitung)
Wenn ihr TeamVis als Service von zfx.services nutzt (Hosted Mode), ist eine Auftragsverarbeitung-Vereinbarung (AVV) zwischen euch und zfx.services nötig — Vorlage gibt’s auf Anfrage.
Bei On-Premise ist keine AVV mit zfx.services nötig (die Daten verlassen euer Haus nicht). AVV ist dann ggf. mit eurem Hoster (z.B. Hetzner) und mit Supabase nötig, falls ihr Supabase Cloud nutzt — sonst self-hosted Postgres.
Datenresidenz
- Hosted bei zfx.services: EU-Hosting (Hetzner Frankfurt)
- Self-Hosted: dort, wo ihr es betreibt
- Supabase: standardmäßig in Frankfurt (
eu-central-1), prüft euer Projekt vor dem Anlegen
Es gibt keine US-Cloud-Komponenten in der Default-Konfiguration.
Rechte der Betroffenen
- Auskunft (Art. 15): MA kann seine Daten im Self-Service-Portal einsehen
- Berichtigung (Art. 16): MA kann selbst pflegen, Admin pflegt Stammdaten
- Löschung (Art. 17): Karte deaktivieren oder per Bulk-Delete entfernen — Audit-Log behält die Tatsache der Existenz mit Hash-Chain (GoBD-Pflicht)
- Datenübertragbarkeit (Art. 20): vCard-Download bzw. CSV-Export der Karte
Stolperfallen
- Trusted-Links sind teilbar: jeder, der den Link bekommt, kann ihn beliebig oft öffnen. Bei besonders schutzwürdigen Daten zeitlich begrenzen
- Lead-Capture ohne Consent-Checkbox = DSGVO-Verstoß. TeamVis bietet die Checkbox standardmäßig — nicht entfernen
- Foto-Upload ohne Mitarbeiter-Einwilligung: gilt rechtlich als „besondere Kategorie”-nahe Verarbeitung. Vor Upload Einwilligung einholen, idealerweise dokumentiert (z.B. Anhang am Arbeitsvertrag)