Employee-Data-Management-Agent - DSGVO Art. 5/17/35, BDSG §26 | Gosign
Mitarbeiterdaten-Plattform plus DSGVO-Compliance plus Stammdaten-Governance plus Loeschkonzept plus Cross-System-Synchronisation in einer Pipeline - DSGVO-Vollabdeckung statt fragmentierter HR-Systeme fuer HR-Operations, Datenschutzbeauftragte, Betriebsrat und Konzernrevision.
Mitarbeiterdaten-Plattform: DSGVO Art. 5 Datenminimierung, Art. 17 Right-to-Erasure und BDSG §26 Beschäftigtendaten - Master-Data-Management mit Löschkonzept und BetrVG §87 Mitbestimmung.
Prozess analysieren lassenAuswahl aus über 5.000 Projekten in 25 Jahren Softwareentwicklung
Mitarbeiterdaten-Plattform DSGVO Art. 5+9+17+22+25+30+32+33+35+88 plus BDSG §26 plus BetrVG §87 Abs. 1 Nr. 6 plus EU AI Act 2024/1689 in einer Pipeline
100 Prozent deterministische Stammdaten-Verwaltung plus DSGVO-Daten-Minimierungs-Audit Art. 5 Abs. 1 lit. c plus Pseudonymisierung Art. 25 plus Verschluesselung at-Rest und In-Transit Art. 32 plus Right-to-Erasure-Workflow Art. 17 mit Aufbewahrungs-Pruefung HGB §257 + AO §147 10 Jahre plus Cross-System-Master-Data-Management mit Mapping-Tabelle plus Data-Lineage-Tracking RAT Art. 30 plus Auftragsverarbeitungs-Vertraege Art. 28 plus DPIA Art. 35 plus 72-Stunden-Datenpannen-Meldung Art. 33 plus BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Validierung plus EU AI Act 2024/1689 Annex VI Konformitaetsbewertung mit DSGVO Art. 22 keine automatisierte Einzelentscheidung
Ergebnis: DSGVO-Bussgeld-Risiko reduziert von typisch 8-18 Prozent bei fragmentierten HR-Systemen auf unter 1 Prozent durch zentralisierte Mitarbeiterdaten-Plattform plus Daten-Minimierungs-Audit plus Pseudonymisierung plus Verschluesselung plus Right-to-Erasure-Workflow plus RAT-Aktualisierung plus DPIA plus 72-Stunden-Datenpannen-Meldung; DSGVO Art. 83 Abs. 5 Bussgelder bis 4 Prozent Konzernumsatz oder 20 Mio EUR plus EU AI Act 2024/1689 bis 35 Mio EUR oder 7 Prozent Konzernumsatz plus AGG §15 drei Monatsgehaelter pro Diskriminierungsfall plus EuGH C-579/21 DSGVO-Schadensersatz typisch 1.000-5.000 EUR pro Betroffenen plus Aufsichtsbehoerden-Bussgeld-Praxis Hessen 9.55 Mio EUR Vodafone 2024 + Bayern 1.2 Mio EUR Personio plus Cross-System-Inkonsistenz-Risiko Payroll-Fehlerquote 37 Prozent durch manuelle Eingabe - Vollabdeckung identifiziert DSGVO-Pflichtangaben-Luecken plus AGG-Diskriminierungs-Daten plus Cross-System-Drift die in fragmentierten Systemen typisch unsichtbar bleiben
Der Agent zerlegt die Mitarbeiterdaten-Verwaltung in 13 deterministische Datenschutz-Decisions plus 1 ML-gestuetzten Daten-Minimierungs-Indikator plus 1 menschliche Aufsichtsrats-Eskalations-Entscheidung - jede mit DSGVO-Artikel-Zitat plus Quell-System-Audit-Trail plus Anfechtungs-Pfad fuer Mitarbeiter und Datenschutzbeauftragten.
DSGVO-Bussgelder bis 4 Prozent Konzernumsatz oder 20 Mio EUR plus EU AI Act 7 Prozent plus Right-to-Erasure-Klagen 1.000-5.000 EUR Schadensersatz
Mitarbeiterdaten-Verwaltung in Deutschland steht zwischen vier parallelen Compliance-Themen mit substanziell unterschiedlichen Konsequenzen: DSGVO seit 25.5.2018 mit Art. 5 Datenminimierungs-Pflicht plus Art. 9 Sondercategorien plus Art. 17 Right-to-Erasure plus Art. 22 Verbot rein automatisierter Einzelentscheidung plus Art. 25 Privacy by Design plus Art. 30 RAT plus Art. 32 Sicherheit plus Art. 33 72-Stunden-Datenpannen-Meldung plus Art. 35 DPIA plus Art. 88 Beschaeftigtendaten-Spezialregelung plus Bussgeld Art. 83 Abs. 5 bis 4 Prozent Konzernumsatz oder 20 Mio EUR. BDSG §26 Beschaeftigtendatenverarbeitung mit Erforderlichkeits-Grundsatz fuer Begruendung + Durchfuehrung + Beendigung Beschaeftigungsverhaeltnis plus Konzern-Datenuebermittlung. BetrVG §87 Abs. 1 Nr. 6 zwingende Mitbestimmung bei technischen Einrichtungen zur Ueberwachung von Verhalten oder Leistung der Arbeitnehmer plus Betriebsvereinbarung-Pflicht plus Konsultations-Pflicht 1-Wochen-Frist. EU AI Act Verordnung 2024/1689 verschaerft ab Anwendungs-Beginn 2.8.2026 mit Hochrisiko-Klassifikation HR-AI-Systeme Annex III Nr. 4 plus Konformitaetsbewertung Annex VI plus Bussgelder bis 35 Mio EUR oder 7 Prozent Konzernumsatz. Diese Vier-Norm-Konstellation bedeutet jede Mitarbeiterdaten-Verarbeitung in einem deutschen DAX-MDAX-SDAX-Konzern oder gehobenen Mittelstaendler kann gleichzeitig bis zu vier verschiedene Compliance-Pflichten ausloesen.
Bussgeld-Risiken DSGVO plus EU AI Act plus AGG bis 4 Prozent plus 7 Prozent Konzernumsatz akkumulierbar
Sanktionen kumulativ relevante: DSGVO Art. 83 Abs. 5 bis 4 Prozent Konzernumsatz oder 20 Mio EUR fuer Verstoesse gegen Art. 5 Grundsaetze + Art. 6 Rechtsgrundlage + Art. 9 Sondercategorien + Art. 17 Right-to-Erasure + Art. 22 + Art. 88 Beschaeftigtendaten plus Aufsichtsbehoerden-Bussgeld-Praxis Hessen 9.55 Mio EUR Vodafone 2024 + Bayern 1.2 Mio EUR Personio + Berlin 14.5 Mio EUR Deutsche Wohnen 2019. EU AI Act 2024/1689 Bussgelder bis 35 Mio EUR oder 7 Prozent Konzernumsatz fuer Hochrisiko-HR-AI-System ohne Konformitaetsbewertung Annex VI + Risk-Management-System Art. 9 + Daten-Governance Art. 10. AGG §15 Schadensersatz drei Monatsgehaelter pro Diskriminierungsfall plus 2-Monats-Klagefrist plus 3-Jahre-Verjaehrung BGB §195 Sammelklage-Risiko bei diskriminierungs-relevanten Daten-Verarbeitungen. EuGH C-579/21 zu DSGVO-Schadensersatz typisch 1.000-5.000 EUR pro Betroffenen plus immaterieller Schadensersatz Art. 82 plus Verbandsklage. BDSG-Bussgelder bis 50.000 EUR. BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Verstoss-Risiko mit Betriebsrat-Unterlassungs-Anspruch + Bussgeld + Personalmassnahmen-Unwirksamkeit. Cross-System-Inkonsistenz-Risiko: 37 Prozent aller Payroll-Fehler entstehen durch manuelle Dateneingabe mit durchschnittlich EUR 265 (USD 291) Schaden pro Fehler bei 1.000 Mitarbeitenden aggregiert auf rund EUR 230.000 jaehrlich. BAG-Schwerpunkt 2024-2026 ist Cloud-Personalakte-Rechtmaessigkeit BAG 16.05.2024 + Mitarbeiter-Ueberwachung BetrVG §87 Abs. 1 Nr. 6 + Right-to-Erasure-nach-Beendigung + EuGH-Mitbestimmung HR-IT.
13 deterministische Datenschutz-Decisions plus 1 ML-Indikator plus 1 Aufsichtsbehoerden-Eskalation
Der Agent zerlegt die Mitarbeiterdaten-Verwaltung in 15 Micro-Entscheidungen die alle bis auf 1 Daten-Minimierungs-Indikator plus 1 Aufsichtsbehoerden-Eskalation deterministisch erfolgen. Jede Entscheidung dokumentiert: Schritt-Beschreibung, Entscheidungs-Frage, Decider-Klassifikation (R fuer regelbasiert, A fuer ML-Indikator nicht-finale-Entscheidung, H fuer menschliche-Pflicht-Eskalation), Begruendung mit DSGVO-Artikel-Zitat plus Quell-System-Audit-Trail, Anfechtungs-Pfad. Die 13 R-Entscheidungen umfassen: Datenherkunfts-Klassifikation Stammdatensatz plus DSGVO-Rechtsgrundlage, Pseudonymisierungs-Pflicht Art. 25, Verschluesselungs-Pflicht Art. 32, Right-to-Erasure Art. 17 plus Loeschkonzept, Cross-System-Synchronisation Master-Data-Management, Data-Lineage-Tracking plus RAT-Tabellen-Aktualisierung Art. 30, Auftragsverarbeitungs-Vertrag Art. 28 plus Subprozessor-Genehmigung, DSGVO Art. 35 DPIA fuer HR-AI-System EU AI Act, BetrVG §87 Abs. 1 Nr. 6 Mitbestimmung Mitarbeiter-Ueberwachung, Datenpannen-Meldung 72-Stunden Art. 33, Personalakte-Einsichts-Recht §83 BetrVG plus DSGVO Art. 15, Sondercategorien Art. 9 Daten-Trennung, plus Datenkategorie-Aufbewahrungs-Pruefung. Die 1 A-Entscheidung ist Daten-Minimierungs-Audit DSGVO Art. 5 Abs. 1 lit. c mit Erforderlichkeits-Klassifikation pro Feld + LLM-Output Indikator nicht Endentscheidung + menschliche Validierung Datenschutzbeauftragter + HR-Lead + AGG-Beauftragter. Die 1 H-Entscheidung ist Aufsichtsbehoerden-Eskalation Bestandsgefaehrdung 4-Prozent-Konzernumsatz §107 AktG bei DSGVO-Verstoessen mit Bussgeld-Hoehe Bestandsgefaehrdungs-Klassifikation IDW PS 951.
Plausibilitaets-Check mit BAG-Rechtsprechung plus Aufsichtsbehoerden-Praxis 2024-2026
Der Agent integriert kontinuierliche Plausibilitaetspruefung gegen BAG-Rechtsprechungs-Schwerpunkte 2024-2026 plus Aufsichtsbehoerden-Bussgeld-Praxis. BAG 16.05.2024 zu Cloud-Personalakte-Rechtmaessigkeit + Schrems-II-Konformitaet + EU-Hosting-Anforderung. BAG-Rechtsprechung Mitarbeiter-Ueberwachung BetrVG §87 Abs. 1 Nr. 6 mit Auswertung Audit-Trail + Cross-System-Synchronisations-Logs + Performance-Tracking-Integration. EuGH C-579/21 DSGVO-Schadensersatz Art. 82 mit immaterieller Schadensersatz Beschaeftigte typisch 1.000-5.000 EUR pro Betroffenen plus Sammelklage-Risiko. Aufsichtsbehoerden-Bussgeld-Praxis: Hessen 9.55 Mio EUR Vodafone 2024 + Bayern 1.2 Mio EUR Personio + Berlin 14.5 Mio EUR Deutsche Wohnen 2019 zeigen Schwerpunkt-Pruefungen Beschaeftigtendaten + Cloud-HR + Right-to-Erasure-nach-Beendigung. EDPB Guidelines 2024-2026 zu Beschaeftigtendaten + DPIA-Pflicht + Standardvertragsklauseln SCC + Cross-Border-Verarbeitung. EU AI Act 2024/1689 Anwendungs-Beginn 2.8.2026 fuer Hochrisiko-HR-AI-Systeme + Konformitaetsbewertung-Vorbereitung + Risk-Management-System + Daten-Governance. Der Agent dokumentiert pro BAG-EuGH-Aufsichtsbehoerden-Schwerpunkt die Konformitaet plus Substantive-Testing-Vorbereitung plus DSB-Validierungs-Workflow plus Bestandsgefaehrdungs-Vermeidungs-Massnahmen. Bei Auffaelligkeiten erfolgt fruehzeitige Aufsichtsrats-Pruefungsausschuss-Eskalation §107 AktG plus externer Wirtschaftspruefer Big-4 plus DSB-Stellungnahme plus Konzernbetriebsrat-Konsultation.
Edge-Cases mit Sondercategorien Art. 9 plus HinSchG plus Schwerbehinderten-Vertretung
Komplexe Datenschutz-Szenarien sind explizit dokumentiert. Sondercategorien Art. 9 mit Schwerbehinderten-Vertretung-Daten + AGG-Diskriminierungs-Schutz + Aufbewahrung 10 Jahre nach Ablauf Schwerbehinderten-Status + Daten-Trennung von Performance-Systemen. Arbeitsmedizinische Vorsorgeuntersuchung G37 mit Schweigepflicht Betriebsarzt §203 StGB plus Aufbewahrung 30 Jahre nach Beschaeftigungsende plus Daten-Trennung von HR-Performance-Systemen plus DGUV-Vorgaben. HinSchG-Hinweisgeber-Daten max 3 Jahre Aufbewahrung §11 plus Vertraulichkeits-Pflicht §8 plus Verbot Repressalien §36 plus Cross-System-Synchronisations-Verbot zu Performance-Systemen plus Verschluesselungs-Pflicht. Konzernbetriebsvereinbarung KBV plus Gesamtbetriebsvereinbarung GBV als Rechtsgrundlage Art. 88 DSGVO + BDSG §26 Abs. 4 plus Konzernbetriebsrat-Mitbestimmung bei Cross-System-Plattform plus konzernweite Stammdaten-Standardisierung. Cloud-HR-Schrems-II-Konformitaet mit US-Anbietern (SAP SuccessFactors + Workday + Microsoft Dynamics 365 HR + Oracle HCM Cloud) + Trans-Atlantic Data Privacy Framework Pruefung + EU-Region-Hosting-Pflicht + Standardvertragsklauseln SCC 2021 + Transfer-Impact-Assessment TIA. Internationale Konzern-Datenuebermittlung mit BCR (Binding Corporate Rules) Art. 47 DSGVO oder Standardvertragsklauseln SCC + Drittlandsuebertragung-Pruefung + Schrems-II/III-Anpassung. Insolvenz-Szenarien mit Personalakte-Uebernahme durch Insolvenzverwalter + DSGVO-Konformitaet + Aufbewahrungs-Pflicht-Erfuellung. M-und-A-Transaktionen mit Datenuebernahme bei Asset-Deal oder Share-Deal + Due-Diligence-DSGVO-Pruefung + Loeschkonzept-Anpassung. Auflage-Erfuellung Aufsichtsbehoerden mit Korrektur-Workflow + Dokumentations-Pflicht + Wirksamkeits-Nachweis + Abschluss-Bericht.
Integration mit deutschen HR-Plattformen DSGVO-Toolset Master-Data-Management
Der Agent integriert mit den fuehrenden HR-Plattformen plus DSGVO-Toolset plus Master-Data-Management-Hubs ueber API: SAP SuccessFactors Employee Central + SAP HCM (PA-PA Personnel Administration) + SAP HCM Master Data + SAP Master Data Governance MDG-HCM + SAP Information Lifecycle Management ILM (DSGVO-Loeschkonzept-Komponente) als deutscher Marktfuehrer Konzern-HCM mit DSGVO Art. 17 Right-to-Erasure-Workflows + Pseudonymisierungs-Funktionen + GoBD-konforme Aufbewahrung + RAT-Tabellen-Integration. Workday HCM + Workday Master Data Management + Workday Skills Cloud + Workday Privacy Center cloud-natives Master-Data-Management mit DSGVO Art. 17 Erasure-Workflows + Cross-System-Synchronisation + Audit-Trail. Personio HRIS + Personio Master Data + Personio Plus + Personio Privacy Hub +12.000 Kunden Mittelstand DACH plus dedizierte DSGVO-Tools + Right-to-Erasure-Funktion + EU-Hosting Frankfurt. Oracle HCM Cloud + Oracle Master Data Hub + Oracle PeopleSoft HCM fuer Konzern-HCM Multinationals plus Master-Data-Management. BambooHR HRIS + ADP Workforce Now + ServiceNow HR Service Delivery + Microsoft Dynamics 365 HR + Sage HR + P&I Loga HR Master Data + ATOSS HR Master Data fuer Mittelstand-DACH-HR-Plattformen. OneTrust DataDiscovery + OneTrust Privacy Management + OneTrust Vendor Risk + OneTrust Privacy Pulse + OneTrust DSAR Automation als Marktfuehrer Privacy-Management-Plattform mit Data-Discovery + RAT Art. 30 + DPIA Art. 35 + DSAR-Workflow + Cookie-Consent + Vendor-Risk-Assessment + AVV Art. 28. BigID Discovery + BigID Privacy + BigID Data Governance + BigID DSAR Fulfillment fuer AI-gestuetzte personenbezogene-Daten-Erkennung + RAT-Generierung + Cross-System-Inventarisierung. Privacera + Collibra Data Governance + Informatica MDM + IBM Master Data Management + IBM Privacy Risk Manager fuer Enterprise-Data-Governance-Plattformen. Concord CLM + DocuSign CLM + Ironclad CLM + LinkSquares CLM fuer Auftragsverarbeitungs-Vertraege Art. 28 + Standardvertragsklauseln SCC + Subprozessor-Verwaltung + Schrems-II-Pruefung. BetrVG §87 Abs. 1 Nr. 6 Mitbestimmungs-Workflow mit Rahmen-BV plus Konsultations-Pflicht 1-Wochen-Frist plus Einigungsstellen-Verfahren plus Konzernbetriebsrat bei konzernweiter Plattform. DSGVO Art. 35 DPIA fuer HR-AI-System EU AI Act 2024/1689 Annex VI Konformitaetsbewertung plus DSB-Konsultation Art. 39 plus Aufsichtsbehoerden-Eskalation. Aufsichtsrats-Pruefungsausschuss-Eskalation §107 AktG plus IDW PS 951-Stellungnahme plus externer Wirtschaftspruefer Big-4 bei Bestandsgefaehrdungs-Klassifikation. Cross-Reference zum Contract-Offer-Generation-Agent (Cluster #29) fuer Bewerber-zu-Mitarbeiter-Pipeline-Stammdaten-Feed plus Audit-Compliance-Agent (Cluster #22) fuer HR-Audit-Berichte plus Compliance-Training-Agent (Cluster #28) fuer initial-Pflicht-Schulungs-Trigger.
Micro-Decision-Tabelle
Wer entscheidet bei diesem Agent?
15 Entscheidungsschritte, aufgeteilt nach Decider
Datenherkunfts-Klassifikation Stammdatensatz plus DSGVO-Rechtsgrundlage Art. 6 + 9 Welche Rechtsgrundlage Art. 6 (lit. b vertragliche Notwendigkeit + lit. c rechtliche Verpflichtung + lit. f berechtigtes Interesse) plus Art. 9 Sondercategorien (Gesundheit + Religion + Gewerkschaft) plus BDSG §26 Erforderlichkeit Beschaeftigungsverhaeltnis ist fuer den Stammdatensatz dokumentiert? Regelwerk WP/BP
Regelbasierte Datenherkunfts-Klassifikation gegen RAT Art. 30-Tabelle mit Rechtsgrundlage-Mapping pro Datenkategorie + BDSG §26 Erforderlichkeits-Pruefung Begruendung/Durchfuehrung/Beendigung Beschaeftigung + AGG §11 Diskriminierungs-freie Erhebung + Konzernbetriebsvereinbarung KBV-Verweis + bei fehlender Rechtsgrundlage Erfassungs-Sperre + DSGVO Art. 5 Rechenschaftspflicht-Dokumentation
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Daten-Minimierungs-Audit DSGVO Art. 5 Abs. 1 lit. c Welche Datenfelder werden ueber das fuer den Beschaeftigungs-Zweck erforderliche Mass hinaus erhoben und sind zu loeschen oder zu blockieren? KI-Agent Mitarbeiter
ML-gestuetzte Daten-Minimierungs-Pruefung mit Erforderlichkeits-Klassifikation pro Feld gegen DSGVO Art. 5 Abs. 1 lit. c plus BDSG §26 plus Beschaeftigungs-Zweck-Mapping plus AGG-Diskriminierungs-Risiko + LLM-Output Indikator nicht Endentscheidung + menschliche Validierung Datenschutzbeauftragter + HR-Lead + AGG-Beauftragter; bei Pruef-Auffaelligkeiten Loesch-Vorschlag + Anpassung Feldkatalog + Konsultation Betriebsrat BetrVG §94
Entscheidungsakte
Anfechtbar: Ja - vollständig dokumentiert, durch Menschen überprüfbar, Einspruch über formalen Prozess.
Anfechtbar durch: Mitarbeiter
Pseudonymisierungs-Pflicht DSGVO Art. 25 Privacy by Design Welche Datenfelder werden pseudonymisiert (Forschungs-Zugriffe + Reporting-Aggregate + Cross-System-Synchronisation) und mit Re-Identifizierungs-Schluessel-Verwaltung HSM? Regelwerk WP/BP
Regelbasierte Pseudonymisierungs-Anwendung nach DSGVO Art. 25 Privacy by Design and by Default + Art. 4 Nr. 5 Pseudonymisierung-Definition + Re-Identifizierungs-Schluessel-Verwaltung HSM (Hardware Security Module) + Schluesseltrennungs-Prinzip + DSGVO Art. 32 angemessene Sicherheitsmassnahmen + getrennt aufbewahrte zusaetzliche Information; Cross-Reference zur Statistik-Auswertung + Reporting-Aggregat + Forschungs-Zugriff + Lieferanten-Audit
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Verschluesselungs-Pflicht DSGVO Art. 32 at-Rest plus In-Transit Welche Verschluesselung (AES-256 + TLS 1.3 + Hardware Security Module HSM) wird auf welche Datenkategorie angewendet (Sondercategorien Art. 9 + Sozialversicherungsnummer + Gehaltsdaten)? Regelwerk WP/BP
Regelbasierte Verschluesselungs-Anwendung nach DSGVO Art. 32 angemessene Sicherheitsmassnahmen + BSI C5-Katalog Cloud-Computing + AES-256-at-Rest fuer Datenbanken + TLS 1.3 In-Transit + HSM-Schluesselverwaltung + Datenkategorie-Mapping (Sondercategorien Art. 9 hoechste Stufe + Gehaltsdaten + Sozialversicherungsnummer + Bankdaten + AGG-Diskriminierungs-relevante Daten); Cross-Reference zu IT-Grundschutz-Kompendium HR-IT
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Right-to-Erasure DSGVO Art. 17 plus Loeschkonzept Bei Mitarbeiter-Loeschungs-Antrag oder Beendigung-plus-Aufbewahrungs-Frist-Ablauf welche Datensaetze werden in welcher Reihenfolge geloescht plus welche aufbewahrungs-pflichtigen Daten bleiben (HGB §257 + AO §147 10 Jahre)? Regelwerk Mitarbeiter
Regelbasierte Loeschungs-Workflow nach DSGVO Art. 17 mit Aufbewahrungs-Pruefung HGB §257 + AO §147 10 Jahre nach Beendigung Beschaeftigungsverhaeltnis + GoBD-Anforderungen + 6 Jahre Geschaeftsbriefe + 30 Jahre arbeitsmedizinische Vorsorgeuntersuchung G37 + steuerrechtliche Nachweise + sozialversicherungsrechtliche Nachweise + Loeschkonzept-Dokumentation pro Datenkategorie + Loeschungs-Bestaetigung an Betroffenen Art. 19; Cross-Reference zu BAG-Rechtsprechung Personalakte-Loeschung
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: Mitarbeiter
Cross-System-Synchronisation Master-Data-Management Welche Stammdaten-Aenderung wird an welche Zielsysteme (SAP HCM + DATEV LODAS + Personio Payroll + Workday + Zeiterfassung + Zugangssystem + bAV-Anbieter) mit welcher Synchronisations-Reihenfolge synchronisiert? Regelwerk Lieferant
Regelbasierte Cross-System-Synchronisation mit Mapping-Tabelle Feldtyp-zu-Zielsystemen + Master-Data-Management-Hub + Idempotenz-Pruefung + Konflikt-Aufloesung + Synchronisations-Bestaetigung + Bei-Fehlschlag-Exception-Routing + Audit-Trail jeder Synchronisations-Operation + DSGVO Art. 5 Abs. 1 lit. d Richtigkeit-Grundsatz + GoBD-Datenintegritaet
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: Lieferant
Data-Lineage-Tracking plus RAT-Tabellen-Aktualisierung Art. 30 Welche Datenherkunft + Verarbeitungs-Pfad + Empfaenger-Liste pro Datensatz wird im Verzeichnis Verarbeitungstaetigkeiten RAT Art. 30 dokumentiert? Regelwerk WP/BP
Regelbasiertes Data-Lineage-Tracking mit RAT Art. 30 Pflicht-Komponenten (Verantwortlicher + Verarbeitungszweck + Datenkategorien + Empfaenger + Drittlandsuebertragung + Loeschfristen + technisch-organisatorische Massnahmen) + Datenflusskarten + Cross-System-Inventarisierung + Empfaenger-Liste pro Datensatz + DSB-Pflicht Art. 39 jaehrliche Aktualisierung; OneTrust + BigID + Collibra Cross-Reference
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Auftragsverarbeitungs-Vertrag Art. 28 plus Subprozessor-Genehmigung Welcher Cloud-HR-Anbieter erfordert Auftragsverarbeitungs-Vertrag AVV Art. 28 plus Subprozessor-Genehmigung plus EU-Drittlandsuebertragung Standardvertragsklauseln SCC plus Schrems-II-Transfer-Impact-Assessment TIA? Regelwerk WP/BP
Regelbasierte AVV-Pflichtpruefung Art. 28 DSGVO mit schriftlicher Vertragsgestaltung + Weisungsgebundenheit + Subprozessor-Genehmigungs-Pflicht + EU-Drittlandsuebertragung Standardvertragsklauseln SCC 2021 + EU-Kommissions-Beschluss + angemessene Garantien Schrems-II + Transfer-Impact-Assessment TIA + zusaetzliche Massnahmen Verschluesselung + Auditrechte; Concord CLM + DocuSign CLM AVV-Modul Cross-Reference
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
DSGVO Art. 35 DPIA fuer HR-AI-System EU AI Act 2024/1689 Ist eine Datenschutz-Folgenabschaetzung DPIA Art. 35 DSGVO plus Konformitaetsbewertung EU AI Act 2024/1689 Annex VI fuer den Stammdaten-Plattform-Algorithmus erforderlich? Regelwerk WP/BP
Regelbasierte DPIA-Pflichtpruefung nach DSGVO Art. 35 + EDPB Guidelines 4/2017 fuer HR-AI-Systeme mit Annex III Nr. 4 EU AI Act 2024/1689 Klassifikation + Risk-Management-System Art. 9 + Daten-Governance Art. 10 + Technische Dokumentation Annex IV + Logging Art. 12 + DSGVO Art. 22 keine automatisierte Einzelentscheidung + DSB-Konsultation Art. 39 + Konformitaetsbewertung CE-Kennzeichnung + Bussgelder bis 35 Mio EUR oder 7 Prozent Konzernumsatz
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
BetrVG §87 Abs. 1 Nr. 6 Mitbestimmung Mitarbeiter-Ueberwachung Erfuellt die Stammdaten-Plattform die Anforderungen einer technischen Einrichtung zur Ueberwachung von Verhalten oder Leistung der Arbeitnehmer und ist eine Betriebsvereinbarung BV abgeschlossen? Regelwerk WP/BP
Regelbasierte Mitbestimmungs-Pruefung BetrVG §87 Abs. 1 Nr. 6 mit Betriebsvereinbarung-Pflicht bei technischer Einrichtung Mitarbeiter-Ueberwachung (Logging + Audit-Trail + Performance-Tracking + Cross-System-Synchronisation) + Konsultations-Pflicht 1-Wochen-Frist + Einigungsstellen-Verfahren bei Unstimmigkeit + Konzernbetriebsrat bei konzernweiter Plattform + Rahmen-BV als Rechtsgrundlage Art. 88 DSGVO + BDSG §26 Abs. 4; BAG-Rechtsprechung Mitarbeiter-Ueberwachung
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Datenpannen-Meldung 72-Stunden DSGVO Art. 33 plus Art. 34 Bei Datenpanne (Cyberangriff + interner Datenklau + System-Ausfall + Fehl-Synchronisation) erfolgt 72-Stunden-Meldung an Aufsichtsbehoerde Art. 33 plus Benachrichtigung Betroffene Art. 34? Regelwerk WP/BP
Regelbasierte Datenpannen-Workflow nach DSGVO Art. 33 72-Stunden-Frist Aufsichtsbehoerde-Meldung mit Beschreibung Art + ungefaehre Anzahl Betroffene + Datenkategorien + Massnahmen + Folgen + DSB-Daten + Art. 34 Benachrichtigung Betroffene bei hoher Risiko-Schwelle + Cross-Reference zu BSI IT-Sicherheitsvorfall + ServiceNow Privacy-Workflow + OneTrust Incident-Response
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Personalakte-Einsichts-Recht §83 BetrVG plus DSGVO Art. 15 Welche Mitarbeiter-Anfrage auf Einsicht Personalakte §83 BetrVG plus DSGVO Art. 15 Auskunfts-Recht wird in welcher Frist (max 1 Monat Art. 12 Abs. 3 DSGVO) wie beantwortet? Regelwerk Mitarbeiter
Regelbasierter Einsichts-Workflow §83 BetrVG plus DSGVO Art. 15 mit 1-Monats-Frist Beantwortung + Identitaetspruefung Antragsteller + Vollstaendigkeit aller Datenkategorien + Empfaenger-Liste + Aufbewahrungsfristen + Quellenangabe + Auskunft kostenfrei nach Art. 15 Abs. 3 + DSGVO Art. 20 Datenuebertragbarkeit + Self-Service-Portal Personio + SAP SuccessFactors + Workday Privacy Center
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: Mitarbeiter
Sondercategorien Art. 9 Daten-Trennung Arbeitsmedizin plus Schwerbehinderung Sind Sondercategorien-Daten (Gesundheit + Religion + Gewerkschaftszugehoerigkeit + Schwerbehinderung) physisch und logisch von HR-Performance-Systemen getrennt? Regelwerk WP/BP
Regelbasierte Trennungs-Pruefung Sondercategorien Art. 9 mit physischer/logischer Daten-Trennung Arbeitsmedizin + AGG-Diskriminierungs-Schutz + Schwerbehinderten-Vertretung-Daten + Schweigepflicht Betriebsarzt §203 StGB + Aufbewahrung 30 Jahre G37-Vorsorgeuntersuchung + Daten-Zugriffs-Beschraenkung Compliance-Beauftragte + HinSchG-Hinweisgeber-Daten max 3 Jahre + Cross-System-Synchronisations-Verbot zu Performance-Systemen
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Datenkategorie-Aufbewahrungs-Pruefung HGB §257 plus AO §147 Welche Aufbewahrungs-Frist gilt pro Datenkategorie (10 Jahre Personalakte HGB §257 + AO §147 + 6 Jahre Geschaeftsbriefe + 30 Jahre G37-Vorsorgeuntersuchung + 3 Jahre HinSchG + 6 Monate Bewerber-Daten) und ist die GoBD-Datenintegritaet erfuellt? Regelwerk WP/BP
Regelbasierte Aufbewahrungs-Klassifikation pro Datenkategorie nach HGB §257 + AO §147 10 Jahre Personalakte nach Beendigung Beschaeftigungsverhaeltnis + 6 Jahre Geschaeftsbriefe + 30 Jahre G37-arbeitsmedizinische-Vorsorgeuntersuchung + 6 Monate Bewerber-Daten Absage + 3 Jahre HinSchG-Hinweisgeber-Identitaet + GoBD-Datenzugriff Z1/Z2/Z3 + Unveraenderbarkeit + Vollstaendigkeit + Richtigkeit + zeitgerechte Buchung + DSGVO Art. 5 Speicherbegrenzung + automatischer Loesch-Trigger nach Frist-Ablauf
Entscheidungsakte
Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.
Anfechtbar durch: WP/BP
Aufsichtsbehoerden-Eskalation Bestandsgefaehrdung 4-Prozent-Konzernumsatz Welche DSGVO-Verstoesse plus Datenpannen-Faelle plus Cross-System-Inkonsistenzen sind dem Aufsichtsrats-Pruefungsausschuss §107 AktG plus DSB plus externer Wirtschaftspruefer zu eskalieren bei Bestandsgefaehrdung-Klassifikation? Mensch
Menschliche Eskalation erforderlich da DSGVO-Verstoesse mit potentieller Bussgeld-Hoehe bis 4 Prozent Konzernumsatz oder 20 Mio EUR Art. 83 Abs. 5 Bestandsgefaehrdungs-Klassifikation IDW PS 951 erreichen + Aufsichtsrats-Pruefungsausschuss §107 AktG + AktG §171 + externer Wirtschaftspruefer Big-4 Stellungnahme + Cross-Reference zur EU AI Act Bussgelder bis 35 Mio EUR oder 7 Prozent Konzernumsatz + Konzernbetriebsrat-Konsultation; Hauptversammlungs-Vorbereitung Verguetungssystem
Entscheidungsakte
Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.
Entscheidungsakte und Anfechtbarkeit
Jede Entscheidung, die dieser Agent trifft oder vorbereitet, wird in einer vollständigen Entscheidungsakte dokumentiert. Betroffene Mitarbeitende können jede einzelne Entscheidung einsehen, nachvollziehen und anfechten.
Passt dieser Agent zu Ihrem Prozess?
Wir analysieren Ihren konkreten HR-Prozess und zeigen, wie dieser Agent in Ihre Systemlandschaft passt. 30 Minuten, keine Vorbereitung nötig.
Prozess analysieren lassenGovernance-Hinweise
Bewertung
Voraussetzungen
- HR-Kernsystem mit API-Zugang SAP HCM + SAP SuccessFactors + Workday + Personio + Oracle HCM + BambooHR + ADP + Sage HR + P&I Loga + ATOSS mit Read/Write-Zugriff auf Mitarbeiter-Stammdaten plus DSGVO Art. 6 + 9 Rechtsgrundlage-Mapping plus BDSG §26 Erforderlichkeit-Validierung
- Master-Data-Management-Hub mit Mapping-Tabelle Feldtyp-zu-Zielsystemen plus Cross-System-Synchronisations-Engine plus Idempotenz-Pruefung plus Konflikt-Aufloesung plus Audit-Trail jeder Synchronisations-Operation plus Data-Lineage-Tracking SAP MDG + Workday Master Data + Informatica MDM + IBM MDM
- DSGVO-Toolset OneTrust DataDiscovery + OneTrust Privacy Management + BigID Discovery + BigID DSAR Fulfillment + Privacera + Collibra Data Governance fuer RAT Art. 30 + DPIA Art. 35 + DSAR Art. 15 + Right-to-Erasure Art. 17 + Data-Discovery + Datenflusskarten
- Verschluesselungs-Infrastruktur AES-256 at-Rest + TLS 1.3 In-Transit + Hardware Security Module HSM + Pseudonymisierungs-Schluessel-Verwaltung mit BSI C5-Cloud-Computing-Compliance + IT-Grundschutz-Kompendium HR-IT + DSGVO Art. 32 angemessene Sicherheitsmassnahmen
- Auftragsverarbeitungs-Vertraege AVV Art. 28 mit allen Cloud-HR-Anbietern plus EU-Drittlandsuebertragung Standardvertragsklauseln SCC 2021 plus Transfer-Impact-Assessment TIA Schrems-II/III plus Subprozessor-Genehmigungs-Workflow plus Concord CLM + DocuSign CLM AVV-Modul
- BetrVG-Betriebsrat-Setup mit Rahmen-Betriebsvereinbarung BV Stammdaten-Verarbeitung + §87 Abs. 1 Nr. 6 Mitbestimmung technische Einrichtung Mitarbeiter-Ueberwachung + §94 Personalfragebogen + Konsultations-Workflow 1-Wochen-Frist + Einigungsstellen-Verfahren + Konzernbetriebsrat bei konzernweiter Plattform
Was diese Erstbewertung enthält: 9 Slides für Ihr Führungsteam
Personalisiert mit Ihren Zahlen. Generiert in 2 Minuten direkt im Browser. Kein Upload, kein Login.
- 1
Titelfolie - Prozessname, Entscheidungspunkte, Automatisierungspotenzial
- 2
Executive Summary - FTE-Freisetzung, Kosten pro Vorgang vorher/nachher, Break-Even-Datum, Kosten des Wartens
- 3
Ausgangslage - Transaktionsvolumen, Fehlerkosten, Wachstumsszenario mit FTE-Vergleich
- 4
Lösungsarchitektur - Mensch - Regelwerk - KI-Agent mit konkreten Entscheidungspunkten
- 5
Governance - EU AI Act, Betriebsrat (§87 BetrVG), Audit Trail - mit Ampelstatus
- 6
Risikoanalyse - 5 Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und Gegenmaßnahme
- 7
Roadmap - 3-Phasen-Plan mit konkreten Kalenderdaten und Go/No-Go
- 8
Business Case - 3-Szenarien-Vergleich (Nichtstun/Neueinstellung/Automatisierung) plus 3×3-Sensitivitätsmatrix
- 9
Diskussionsvorschlag - Konkrete nächste Schritte mit Zeitplan und Verantwortlichkeiten
Enthält: 3-Szenarien-Vergleich
Nichtstun vs. Neueinstellung vs. Automatisierung - mit Ihrem Gehaltsniveau, Ihrer Fehlerquote und Ihrem Wachstumsplan. Die eine Slide, die Ihr CFO als erstes sehen will.
Berechnungsmethodik anzeigen
Stundensatz: Jahresgehalt (Ihre Eingabe) × 1,3 AG-Anteil ÷ 1.720 Jahresarbeitsstunden
Einsparung: Vorgänge × 12 × Automatisierungsrate × Minuten/Vorgang × Stundensatz × Economic Factor
Qualitäts-ROI: Fehlerreduktion × Vorgänge × 12 × EUR 260/Fehler (APQC Open Standards Benchmarking)
FTE: Eingesparte Stunden ÷ 1.720 Jahresarbeitsstunden
Break-Even: Benchmark-Investition ÷ monatliche Gesamteinsparung (Effizienz + Qualität)
Neueinstellung: Jahresgehalt × 1,3 + EUR 12.000 Recruiting pro FTE
Alle Daten bleiben in Ihrem Browser. Nichts wird an Server übertragen.
Employee-Data-Management-Agent - DSGVO Art. 5/17/35, BDSG §26 | Gosign
Erstbewertung für Ihr Führungsteam
In 2 Minuten eine fundierte Erstbewertung - mit Ihren Zahlen, Ihrem Risikoprofil und Branchenbenchmarks. Kein Anbieter-Logo, kein Vendor-Pitch.
Alle Daten bleiben in Ihrem Browser. Nichts wird übertragen.
Weiterführende Seiten
Verwandte Agenten
Employee-Self-Service-Agent - DSGVO Art. 12-17, EntgTranspG, eIDAS | Gosign
Mitarbeiter-Self-Service-Portal plus DSGVO-Auskunftsanspruch plus Datenportabilität plus EntgTranspG-Entgeltauskunft plus qualifizierte E-Signatur in einer Pipeline - Self-Service-Souveränität statt Ticketrückstand für HR-Service-Center, Datenschutzbeauftragte, Betriebsrat und IT-Sicherheits-Compliance.
HR-Document-Management-Agent - BetrVG §83, DSGVO Art. 15/17, GoBD | Gosign
Elektronische Personalakte plus DSGVO-Auskunftsanspruch plus GoBD-Audit-Trail plus eIDAS-QSig plus NachweisG plus BetrVG-Akteneinsicht plus Aufbewahrungsfristen-Engine plus HinSchG-Hinweisgeber-Akten plus Schwerbehinderten-Akten in einer Pipeline - vollständige HR-Dokumenten-Pipeline statt Netzlaufwerk-Ordner mit OCR-Klassifikation für Personalabteilung, Datenschutzbeauftragten, Betriebsrat, Schwerbehindertenvertretung, Wirtschaftsprüfer und Betriebsprüfung.
Krankmeldungs-Agent - eAU §109 SGB V, EFZG §3, SGB IX §167 BEM | Gosign
eAU §109 SGB V-konforme Krankmeldungs-Verarbeitung plus EFZG §3+§4 6-Wochen-Lohnfortzahlung plus SGB V §44 Krankengeld 70 Prozent plus SGB IX §167 BEM Betriebliches Eingliederungsmanagement plus DSGVO Art. 88 plus BetrVG §87 Abs. 1 Nr. 6 Mitbestimmung plus Schwerbehinderten-Schutz SGB IX §164+§178 plus DEÜV-Krankenkassen-Meldungen plus AGG §22 Beweislast-Umkehr in einer Pipeline - vollständige Krankmeldungs-Pipeline statt Mail-Kette für HR-Operations, Lohnbuchhalter, Betriebsrat, Schwerbehindertenvertretung, BEM-Beauftragter, Datenschutzbeauftragter und Krankenkasse.
Häufige Fragen
Wie funktioniert das Right-to-Erasure DSGVO Art. 17 in Kombination mit der 10-Jahre-Aufbewahrung Personalakte?
DSGVO Art. 17 Right-to-Erasure ist nicht absolut - die Aufbewahrungs-Pruefung erfolgt gegen HGB §257 + AO §147 mit 10 Jahre Aufbewahrung Personalakte nach Beendigung Beschaeftigungsverhaeltnis plus 6 Jahre Geschaeftsbriefe plus 30 Jahre arbeitsmedizinische Vorsorgeuntersuchung G37 plus steuerrechtliche Nachweise (Lohnsteuerkarte + Sozialversicherungs-Meldungen) plus sozialversicherungsrechtliche Nachweise. Der Workflow trennt zwischen sofort-loeschbaren Daten (z.B. Bewerber-Daten nach Absage 6 Monate Aufbewahrung + Performance-Bewertungen-Aggregate + interne Notizen) und aufbewahrungs-pflichtigen Daten (Lohnabrechnung-Daten 10 Jahre + Sozialversicherungs-Meldungen + Steuerunterlagen). Die aufbewahrungs-pflichtigen Daten werden pseudonymisiert oder in einem Archiv-Tresor mit Zugriffs-Beschraenkung gespeichert + nach Aufbewahrungs-Ablauf endgueltig geloescht. Loeschkonzept-Dokumentation pro Datenkategorie nach DSGVO Art. 5 Speicherbegrenzung + Rechenschaftspflicht + Bestaetigung an Betroffenen Art. 19. BAG 16.05.2024 zu Cloud-Personalakte-Loeschung. Der Agent automatisiert die Aufbewahrungs-Pruefung + selektive Loeschung + Pseudonymisierung + Archiv-Verlagerung + Bestaetigungs-Workflow.
Welche Datenkategorien fallen unter DSGVO Art. 9 Sondercategorien und wie werden sie getrennt verwaltet?
DSGVO Art. 9 Sondercategorien umfassen: rassische und ethnische Herkunft + politische Meinungen + religioese und weltanschauliche Ueberzeugungen + Gewerkschaftszugehoerigkeit + genetische und biometrische Daten + Gesundheitsdaten + Daten zum Sexualleben/sexueller Orientierung. Im HR-Kontext: Schwerbehinderten-Status + Religion (Kirchensteuer-Pflicht) + Gewerkschaftsmitgliedschaft + Gesundheitsdaten (AU-Bescheinigung + Arbeitsmedizin G37 + Mutterschutz). Verarbeitungs-Voraussetzung: nur Art. 9 Abs. 2 lit. b ausdrueckliche Einwilligung + lit. b arbeitsrechtliche Pflicht + lit. h Praeventivmedizin oder lit. i oeffentliche Gesundheit. Trennungs-Prinzip: physische und logische Daten-Trennung Arbeitsmedizin von HR-Performance-Systemen + Schweigepflicht Betriebsarzt §203 StGB + Daten-Zugriffs-Beschraenkung Compliance-Beauftragte + Cross-System-Synchronisations-Verbot zu Performance/Bonus-Systemen + AGG-Diskriminierungs-Schutz. Aufbewahrung: 30 Jahre G37-Vorsorgeuntersuchung + 10 Jahre Lohnabrechnung-Daten + Schwerbehinderten-Vertretung-Daten 10 Jahre nach Ablauf Schwerbehinderten-Status. Der Agent prueft regelbasiert die Trennungs-Konformitaet plus Verarbeitungs-Rechtsgrundlage plus Aufbewahrungs-Frist.
Wie funktioniert die BetrVG §87 Abs. 1 Nr. 6 Mitbestimmung bei einer Stammdaten-Plattform?
BetrVG §87 Abs. 1 Nr. 6 verlangt zwingende Mitbestimmung bei Einfuehrung und Anwendung technischer Einrichtungen die zur Ueberwachung von Verhalten oder Leistung der Arbeitnehmer bestimmt sind oder objektiv geeignet sind. Eine Stammdaten-Plattform mit Audit-Trail + Logging + Cross-System-Synchronisation + Performance-Tracking-Integration erfuellt typisch die Voraussetzungen + erfordert zwingend Betriebsvereinbarung BV. Die BV muss regeln: Verarbeitungs-Zweck + Datenkategorien + Empfaenger + Aufbewahrungsfristen + Logging-Umfang + Mitarbeiter-Rechte + Verbotene Verarbeitungen (z.B. Verhaltens-Profiling + Leistungs-Ranking ohne Einzelfallpruefung). Konsultations-Pflicht 1-Wochen-Frist plus Einigungsstellen-Verfahren bei Unstimmigkeit. Bei konzernweiter Plattform: Konzernbetriebsrat-Mitbestimmung plus Konzernbetriebsvereinbarung KBV. Die BV ist gleichzeitig Rechtsgrundlage fuer die Verarbeitung nach BDSG §26 Abs. 4 + DSGVO Art. 88. Bei Verstoss: Betriebsrat-Unterlassungs-Anspruch + Bussgeld + Personalmassnahmen-Unwirksamkeit. BAG-Rechtsprechung 2024-2026 fokussiert auf Cloud-HR + KI-Plausibilitaets-Pruefung + Cross-System-Tracking. Der Agent dokumentiert die BV-Konformitaet plus loest Konsultations-Workflow bei System-Aenderungen aus.
Wie funktioniert die DSGVO Art. 28 Auftragsverarbeitung bei Cloud-HR-Anbietern wie SAP SuccessFactors oder Workday?
DSGVO Art. 28 verlangt fuer jeden Cloud-HR-Anbieter mit Datenverarbeitungs-Funktion einen schriftlichen Auftragsverarbeitungs-Vertrag AVV mit Pflicht-Komponenten: Gegenstand + Dauer + Art und Zweck + Datenkategorien + Pflichten und Rechte des Verantwortlichen + Weisungsgebundenheit + Mitarbeiter-Verschwiegenheits-Pflicht + technisch-organisatorische Massnahmen + Subprozessor-Genehmigungs-Pflicht + Mitwirkungs-Pflicht + Loesch-Pflicht nach Vertragsende + Auditrechte. EU-Drittlandsuebertragung erfordert Standardvertragsklauseln SCC 2021 (EU-Kommissions-Beschluss 2021/914) plus Transfer-Impact-Assessment TIA nach Schrems-II-Urteil EuGH C-311/18 + Schrems-III-Pruefung. Bei US-Anbietern (SAP SuccessFactors + Workday + Microsoft Dynamics 365 HR + Oracle HCM Cloud): Trans-Atlantic Data Privacy Framework Pruefung + EU-Region-Hosting verpflichten + zusaetzliche Massnahmen (Verschluesselung at-Rest + In-Transit + Pseudonymisierung + Schluessel-Verwaltung beim Verantwortlichen). Subprozessor-Liste muss vor Plattform-Inbetriebnahme genehmigt werden plus Aenderungs-Notifizierungs-Workflow. Der Agent verwaltet die AVV-Vertraege mit Concord CLM + DocuSign CLM + automatischer Subprozessor-Genehmigungs-Pruefung + Schrems-II-TIA + jaehrlicher Audit.
Welche DPIA-Pflicht besteht fuer eine Mitarbeiterdaten-Plattform nach DSGVO Art. 35 plus EU AI Act 2024/1689?
DSGVO Art. 35 verlangt eine Datenschutz-Folgenabschaetzung DPIA wenn die Verarbeitung wahrscheinlich ein hohes Risiko fuer die Rechte und Freiheiten der Betroffenen zur Folge hat. Eine Mitarbeiterdaten-Plattform erfuellt typisch die DPIA-Pflichtkriterien EDPB Guidelines 4/2017: 1. Bewertung oder Profiling Beschaeftigte + 2. systematische Ueberwachung + 3. Verarbeitung sensibler Daten Art. 9 + 4. Datenverarbeitung in grossem Umfang + 5. innovative Technologie. DPIA-Komponenten: Verarbeitungs-Beschreibung + Notwendigkeits- und Verhaeltnismaessigkeits-Pruefung + Risikoanalyse + Mitigationsmassnahmen + DSB-Konsultation Art. 39 + ggf. Aufsichtsbehoerden-Konsultation Art. 36. EU AI Act 2024/1689 verlangt zusaetzlich fuer HR-AI-Systeme Annex III Nr. 4: Konformitaetsbewertung Annex VI + Risk-Management-System Art. 9 + Daten-Governance Art. 10 + Technische Dokumentation Annex IV + Logging Art. 12 + Transparenz Art. 13 + menschliche Aufsicht Art. 14 + Genauigkeit + Robustheit + Cybersicherheit Art. 15. Bei Verstoss: DSGVO bis 4 Prozent Konzernumsatz oder 20 Mio EUR plus EU AI Act bis 35 Mio EUR oder 7 Prozent Konzernumsatz. Der Agent automatisiert die DPIA-Erstellung plus Konformitaetsbewertung plus DSB-Konsultations-Workflow + jaehrliche Aktualisierung bei System-Aenderungen.
Wie funktioniert die 72-Stunden-Datenpannen-Meldung DSGVO Art. 33 plus Art. 34 bei einer Mitarbeiterdaten-Plattform?
DSGVO Art. 33 verlangt bei Datenpannen (Cyberangriff + interner Datenklau + System-Ausfall + Fehl-Synchronisation Cross-System + Verlust mobiler Endgeraete + unbeabsichtigte Veroeffentlichung) Meldung an Aufsichtsbehoerde innerhalb 72 Stunden nach Bekanntwerden mit Pflicht-Angaben: Beschreibung Art der Datenpanne + Datenkategorien + ungefaehre Anzahl Betroffene + ungefaehre Anzahl Datensaetze + voraussichtliche Folgen + getroffene oder vorgeschlagene Massnahmen + DSB-Daten + Kontaktstelle. Bei voraussichtlich hohem Risiko fuer Betroffene zusaetzlich Art. 34 Benachrichtigung Betroffene unverzueglich in klarer Sprache mit Verweis auf Pflicht-Angaben. Cross-Reference zu BSI IT-Sicherheitsvorfall-Meldung NIS2-Richtlinie EU 2022/2555 + DORA-Cybersecurity Finanzbranche + KRITIS-Verordnung. Workflow: Vorfall-Erkennung + 24h-Erstanalyse + 72h-Aufsichtsbehoerden-Meldung + ggf. Art. 34 Betroffenen-Benachrichtigung + Folge-Ermittlung + Mitigationsmassnahmen + Lessons-Learned-Dokumentation + Bussgeld-Vermeidungs-Argumentation Art. 83 Abs. 2. Bussgeld-Risiko: bis 4 Prozent Konzernumsatz oder 20 Mio EUR. Der Agent integriert ServiceNow Privacy-Workflow + OneTrust Incident-Response + Aufsichtsbehoerden-Meldung-Vorlage + Audit-Trail jeder Vorfall-Bearbeitung.
Worin unterscheidet sich der Employee-Data-Management-Agent vom Contract-Offer-Generation-Agent?
Beide Agents arbeiten in der HR-Domain aber mit unterschiedlichen Schwerpunkten und Lebenszyklus-Phasen. Der Contract-Offer-Generation-Agent (Cluster #29) konzentriert sich auf Arbeitsvertrag-Generierung Pre-Onboarding mit NachweisG-14-Pflichtangaben + TzBfG §14 Befristung + KSchG-Kuendigungsfristen + AGG-Diskriminierungs-Pruefung + AGB-Inhaltskontrolle BGB §305-310 + EU Pay Transparency 2023/970 + DocuSign-eIDAS-E-Signatur + Onboarding-Workflow-Trigger + BetrVG §99 Mitbestimmung Einstellung. Der Employee-Data-Management-Agent (dieser hier) konzentriert sich auf zentrale Mitarbeiterdaten-Plattform mit DSGVO-Compliance + Daten-Minimierungs-Audit Art. 5 + Pseudonymisierung Art. 25 + Verschluesselung Art. 32 + Right-to-Erasure Art. 17 + Loeschkonzept + Data-Lineage + Master-Data-Management Cross-System-Synchronisation + RAT-Tabellen-Pflege Art. 30 + Auftragsverarbeitung Art. 28 + DPIA Art. 35 + 72-Stunden-Datenpannen-Meldung Art. 33 + BetrVG §87 Abs. 1 Nr. 6 Mitbestimmung. Cross-Reference: Contract-Offer-Generation feedet neue Mitarbeiter-Stammdaten in Employee-Data-Management nach Vertragsabschluss; Employee-Data-Management liefert aktuelle Stammdaten als Input fuer Contract-Verlaengerungen + Befoerderungs-Vertrags-Anpassungen + Bewerber-zu-Mitarbeiter-Pipeline + Self-Service-Anschriften-Aenderung + Bankverbindungs-Aktualisierung. Konsistenz-Check: beide Agents referenzieren BetrVG-Mitbestimmung + DSGVO Art. 88 + AGG + EU AI Act 2024/1689. Bei Cross-System-Inkonsistenzen erfolgt Cross-Validation-Workflow zwischen den beiden Agents plus Audit-Compliance-Agent (Cluster #22) HR-Audit-Berichte plus Konzernbetriebsrat-Konsultation.
Was passiert als Nächstes?
30 Minuten
Erstgespräch
Wir analysieren Ihren Prozess und identifizieren den optimalen Startpunkt.
1 Woche
Discover
Mapping Ihrer Entscheidungslogik. Regelwerke dokumentiert, Decision Layer designt.
3-4 Wochen
Build
Produktiver Agent in Ihrer Infrastruktur. Governance, Audit Trail, prüfungsfähig ab Tag 1.
12-18 Monate
Eigenständig
Voller Zugang zu Quellcode, Prompts und Regelversionen. Kein Vendor Lock-in.
Diesen Agent implementieren?
Wir bewerten Ihre Prozesslandschaft und zeigen, wie dieser Agent in Ihre Infrastruktur passt.