DATENSCHUTZERKLÄRUNG

BS Personalportal — Datenschutzinformation gemäß Art. 13 & 14 DSGVO

Diese Erklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten im internen HR-Portal der Best Self Sales Academy GmbH (BSS) und der BS Akademie GmbH (BSA).

1. Verantwortlicher

Best Self Sales Academy GmbH
Geschäftsführung
Standorte: Köln & Bergisch Gladbach
Kontakt für Datenschutzanfragen: admin@bssales.de

2. Verarbeitete Datenkategorien & Aufbewahrungsfristen

Im Portal werden folgende Kategorien personenbezogener Daten gespeichert:

DatenkategorieBeschreibungRechtsgrundlageAufbewahrungsfrist
StammdatenName, E-Mail, Geburtsdatum, Standort, PersonalnummerArt. 6 Abs. 1 lit. b DSGVO · § 26 BDSG6 Jahre nach Beendigung
BeschäftigungsdatenPosition, Abteilung, Eintrittsdatum, Arbeitszeitmodell, UrlaubstageArt. 6 Abs. 1 lit. b DSGVO · § 26 BDSG6 Jahre nach Beendigung
SteuerdatenSteuer-ID, Steuerklasse, Familienstand, KinderfreibetragArt. 6 Abs. 1 lit. c DSGVO · § 39e EStG10 Jahre (§ 147 AO)
SozialversicherungSozialversicherungsnummer, KrankenkasseArt. 6 Abs. 1 lit. c DSGVO · § 28a SGB IV10 Jahre (§ 147 AO)
★ KirchendatenKirchenzugehörigkeit (bes. Kategorie Art. 9)Art. 9 Abs. 2 lit. b DSGVO · § 3 Nr. 9 EStG10 Jahre (§ 147 AO)
BankdatenIBAN, BICArt. 6 Abs. 1 lit. b DSGVO6 Jahre (§ 257 HGB)
GehaltsdatenBruttogehalt, Provision, Boni, AbrechnungsmonatArt. 6 Abs. 1 lit. c DSGVO · § 257 HGB10 Jahre (§ 147 AO)
AbwesenheitsdatenUrlaubsanträge, Krankmeldungen, HomeofficeArt. 6 Abs. 1 lit. b DSGVO · § 26 BDSG3 Jahre
★ GesundheitsdatenAU-Bescheinigungen (bes. Kategorie Art. 9)Art. 9 Abs. 2 lit. b DSGVO · § 5 EFZG3 Jahre
DokumenteArbeitsverträge, Bescheinigungen, ZeugnisseArt. 6 Abs. 1 lit. b, c DSGVO · § 257 HGB10 Jahre (Verträge) · 6 Jahre (Zeugnisse)
NotfallkontaktName, Telefon, Beziehung einer NotfallpersonArt. 6 Abs. 1 lit. f DSGVOBis Ende des Beschäftigungsverhältnisses
Audit-LogBenutzer-ID, Aktion, Zeitstempel, betroffene DatenArt. 5 Abs. 2 DSGVO (Rechenschaftspflicht)3 Jahre
AuthentifizierungE-Mail, Passwort (gehasht), Session-TokensArt. 6 Abs. 1 lit. f · Art. 32 DSGVOBis Kontolöschung

★ = Besondere Datenkategorie gemäß Art. 9 DSGVO (Verarbeitung nur mit expliziter Rechtsgrundlage)

3. Zweck der Verarbeitung

  • Durchführung und Verwaltung des Beschäftigungsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO · § 26 BDSG)
  • Erfüllung steuer- und sozialversicherungsrechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)
  • Lohnabrechnung und gesetzliche Buchhaltungspflichten (§ 257 HGB · § 147 AO)
  • Kirchensteuerberechnung — Kirchenzugehörigkeit wird ausschließlich für steuerliche Zwecke verwendet (§ 3 Nr. 9 EStG)
  • Nachvollziehbarkeit von Datenverarbeitungsvorgängen (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO)
  • Berechtigte Interessen an sicherer IT-Infrastruktur und effizienter Personalverwaltung (Art. 6 Abs. 1 lit. f DSGVO)

4. Anonymisierung statt Löschung (Art. 17 DSGVO)

Auf Antrag oder nach Beendigung des Beschäftigungsverhältnisses werden personenbezogene Identifikationsdaten (Name, E-Mail, Steuer-ID, IBAN, SVN etc.) anonymisiert. Aus rechtlichen Gründen (§ 147 AO, § 257 HGB) müssen Beschäftigungs- und Gehaltshistorie bis zum Ende der gesetzlichen Aufbewahrungsfristen erhalten bleiben — diese werden dann von der betroffenen Person getrennt gespeichert.

5. Zugriffsbeschränkungen & Datensicherheit

  • Mitarbeiter haben ausschließlich Zugriff auf ihre eigenen Daten
  • HR & Admin können alle Mitarbeiterdaten der eigenen Gesellschaft einsehen und bearbeiten
  • Sensible Felder (Steuer-ID, IBAN, SVN, Kirchenzugehörigkeit) sind nur für HR und Admin sichtbar und standardmäßig maskiert
  • Alle Zugriffe auf sensible Felder werden im Audit-Log protokolliert
  • Row-Level Security (RLS) in der Datenbank stellt sicher, dass Datenbankabfragen immer nur rollengerechte Daten zurückgeben
  • Alle Verbindungen erfolgen verschlüsselt über HTTPS (TLS 1.2+)
  • Daten werden auf einem gesicherten Server in Deutschland (Hetzner, DSGVO-konform) gespeichert
  • Automatischer Session-Timeout nach 30 Minuten Inaktivität
  • Passwörter werden ausschließlich gehasht (bcrypt) gespeichert — kein Klartext

6. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Welche Daten werden über Sie gespeichert? Sie können über den Button „Meine Daten (Art. 15)" in Ihrem Profil eine vollständige Übersicht aller über Sie gespeicherten Daten abrufen und ausdrucken.
  • Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder unvollständiger Daten. Wenden Sie sich hierzu an admin@bssales.de oder Ihre HR-Abteilung.
  • Recht auf Löschung / Anonymisierung (Art. 17 DSGVO): Auf Antrag nach Ende der gesetzlichen Aufbewahrungsfristen. Beachten Sie, dass Gehalts- und Steuerdaten aus rechtlichen Gründen nicht vor Ablauf der Aufbewahrungsfristen gelöscht werden können.
  • Recht auf Datenportabilität (Art. 20 DSGVO): Export Ihrer Daten in maschinenlesbarem Format. Nutzen Sie den „Daten exportieren"-Button in Ihrem Profil (nur für HR/Admin sichtbar) oder wenden Sie sich an admin@bssales.de.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Bei bestrittener Richtigkeit oder unrechtmäßiger Verarbeitung.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Einsichtsrecht (§ 83 BetrVG): Recht auf Einsicht in Ihre vollständige Personalakte. Im Portal über Einstellungen → „Meine Daten" zugänglich.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
admin@bssales.de — Bitte geben Sie Ihren vollständigen Namen und Ihre Mitarbeiternummer an.

7. Zweckbindung besonderer Datenkategorien

Kirchenzugehörigkeit (Art. 9 DSGVO): Diese Information wird ausschließlich für die Berechnung der Kirchensteuer (§ 3 Nr. 9 EStG) verwendet. Eine Weitergabe an Dritte oder eine Verwendung für andere Zwecke ist ausgeschlossen.

Gesundheitsdaten / AU-Bescheinigungen (Art. 9 DSGVO): Diese Daten werden ausschließlich zur Prüfung der Arbeitsfähigkeit und zur Erfüllung gesetzlicher Vorlagepflichten (§ 5 EFZG) verwendet.

8. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das vollständige Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist für HR und Administratoren im Portal unter Datenschutz → Verarbeitungsverzeichnis einsehbar. Es dokumentiert alle Datenkategorien, Verarbeitungszwecke, Rechtsgrundlagen, Aufbewahrungsfristen und Zugriffsberechtigungen.

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Postfach 20 04 44 · 40102 Düsseldorf
Kavalleriestraße 2–4 · 40213 Düsseldorf
Tel.: 0211 38424-0
www.ldi.nrw.de
Stand: Juni 2026 · BS Personalportal · Version 2.0
Datenverarbeitung erfolgt auf Servern in Deutschland (Hetzner Cloud, Frankfurt & Nürnberg) · DSGVO-konform