energydesk · v2026-05 · Vorlage für Verantwortliche
Verzeichnis von Verarbeitungstätigkeiten
des Verantwortlichen gemäß Art. 30 Abs. 1 DSGVO
Stand: Mai 2026
Status: Vorlage. Jeder Verantwortliche
(Arbeitgeber/Operator) muss ein eigenes Verzeichnis nach
Art. 30 Abs. 1 DSGVO führen. Diese Vorlage enthält die typischen
Tätigkeiten, die im Kontext von energydesk anfallen. Sie ist um
alle weiteren Verarbeitungen des Verantwortlichen
(Außenkommunikation, Buchhaltung, Marketing, Lieferanten …) zu
ergänzen.
1. Verantwortlicher
Firma, Anschrift, Vertretungsberechtigte/r, Kontakt
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Falls relevant (z. B. Brand/Franchise-Geber), hier angeben. Andernfalls: „nicht einschlägig".
Datenschutzbeauftragte/r
Name + Kontakt oder Begründung der Nichtbestellpflicht
2. Verarbeitungstätigkeiten
2.1 Personalverwaltung
| Zweck | Anlage und Pflege Personalakten, Stammdaten, Berechtigungen |
|---|---|
| Betroffene | Beschäftigte |
| Datenkategorien | Name, Geburtsdatum, Anschrift, Personalnummer, SV-Nummer, Bankverbindung, Arbeitsvertrag |
| Empfänger | Dynkhues GmbH (AV), Steuerberater, Lohnbüro, Sozialversicherungsträger, Finanzamt |
| Fristen | bis 10 Jahre nach Austritt |
| Rechtsgrundlage | § 26 BDSG, Art. 6 Abs. 1 lit. b/c DSGVO |
| TOMs | siehe TOM-Anlage + interne Maßnahmen |
2.2 Arbeitszeiterfassung und Schichtplanung
| Zweck | Erfassung Arbeitszeiten, Schichtplanung, Lohnabrechnungs-Grundlage |
|---|---|
| Betroffene | Beschäftigte |
| Datenkategorien | Stempel-Zeitstempel, Schicht-Zuordnung, Korrekturen, ggf. GPS-Snapshot |
| Empfänger | Dynkhues GmbH (AV) |
| Fristen | 2 Jahre roh / 6 Jahre lohnrelevant / 90 Tage GPS |
| Rechtsgrundlage | § 3 ArbSchG, § 16 ArbZG, § 26 BDSG |
| TOMs | siehe TOM-Anlage |
2.3 Lohn- und Gehaltsabrechnung
| Zweck | monatliche Lohnabrechnung, Steuer-/SV-Meldungen |
|---|---|
| Betroffene | Beschäftigte |
| Datenkategorien | Stundenlohn, Stundenzahl, Zuschläge, Abzüge, Steuermerkmale, Lohnabrechnungs-PDF |
| Empfänger | Lohnbüro/Steuerberater, Finanzamt, Krankenkassen, Dynkhues GmbH (AV für Bereitstellung im Mobile-Portal) |
| Fristen | 6/10 Jahre (§ 41 EStG, § 147 AO) |
2.4 Belehrungen und Schulungen
| Zweck | Nachweis Pflichtbelehrungen (Arbeitssicherheit, Datenschutz, IfSG § 43 bei Lebensmittelumgang) |
|---|---|
| Betroffene | Beschäftigte |
| Datenkategorien | Belehrungs-Bestätigungen mit Unterschrift, Datum, Gültigkeit |
| Empfänger | Dynkhues GmbH (AV); ggf. Behörden bei Kontrolle |
| Fristen | 3 Jahre nach Austritt; IfSG-Belehrungen mind. für Dauer der Tätigkeit |
2.5 Bewerbermanagement (Karriereseite)
| Zweck | Annahme und Verwaltung von Bewerbungen |
|---|---|
| Betroffene | Bewerber |
| Datenkategorien | Name, Kontakt, Anschreiben, Lebenslauf, Status |
| Empfänger | Dynkhues GmbH (AV) |
| Fristen | abgelehnte 180 Tage (Hard-Delete); offene max. 365 Tage mit manueller Prüfung |
2.6 Kundenkommunikation, Tagesabschluss, Stationsbetrieb
Eigene Verarbeitungstätigkeiten ergänzen — z. B. Kassen-/POS-System,
Videoüberwachung, Reklamations-Bearbeitung, Lieferanten-Stammdaten.
3. Drittlandübermittlungen
Status angeben; bei energydesk allein: keine.
4. Technisch-organisatorische Maßnahmen
Für die im Portal energydesk verarbeiteten Daten: siehe TOM-Anlage des AVV. Für eigene Verarbeitungen außerhalb energydesk: gesondert beschreiben.
5. Weitere Pflicht-Verarbeitungen außerhalb energydesk
Hier alle weiteren Verarbeitungen ergänzen (Buchhaltung, Webseite-Kontaktformular außerhalb energydesk, Newsletter, Videoüberwachung, Bewerbungen per E-Mail …)