Dienstvereinbarung

• a) CAFM-System ist die Gesamtheit aus Web-Anwendung, Mobile-App, Datenbank, Dokumentenspeicher, Schnittstellen, Exportfunktionen, Berichtswesen, Audit-Logs sowie Administrations- und Supportkomponenten.

• b) Beschäftigte sind alle in § 26 Abs. 8 BDSG erfassten Personen, einschließlich Beamtinnen und Beamten, Tarifbeschäftigten, Auszubildenden, Praktikantinnen und Praktikanten, studentischen Hilfskräften sowie im Rahmen der Aufgabenwahrnehmung eingesetzter Leiharbeitnehmerinnen und Leiharbeitnehmer, soweit auf sie Beschäftigtendatenregeln Anwendung finden.

• c) Personenbezogene CAFM-Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich Nutzungs-, Zeit-, Auftrags-, Medien-, Standort-, Zugangs-, Berechtigungs- und Logdaten.

• d) Leistungs- oder Verhaltenskontrolle ist jede Nutzung personenbezogener CAFM-Daten zur Bewertung, zum Vergleich, Ranking, Scoring oder zur Sanktionierung von Arbeitsweise, Arbeitstempo, Reaktionsverhalten, Bewegungen, Anwesenheit, Nutzungsintensität, Fehlerquote oder sonstigen persönlichen Verhaltens- oder Leistungsmerkmalen.

• e) Sonderauswertung ist jede personenbezogene Auswertung außerhalb des Regelbetriebs, insbesondere zur Verdachtsaufklärung, Incident-Reaktion, forensischen Analyse oder Rechtsverteidigung.

• Nutzerverwaltung, Authentifizierung, Rollen- und Rechtevergabe;

• Raum-, Flächen-, Objekt-, Inventar- und Anlagenmanagement;

• Helpdesk-, Ticket-, Störungs- und Serviceprozesse;

• Auftrags-, Wartungs-, Betreiber- und Nachweisdokumentation;

• auftragsbezogene Zeitdokumentation und – soweit gesondert freigegeben – Arbeitszeitdokumentation;

• Zutritts-, Präsenz- oder Belegungsinformationen, soweit sie für Gebäudebetrieb, Sicherheit, Betreiberpflichten oder Arbeitsplatzorganisation erforderlich sind;

• gesetzlich oder vertraglich erforderliche Nachweise;

• technische und organisatorische Sicherheit des Systems;

• standardisierte, überwiegend aggregierte Berichte und Kennzahlen zur Steuerung von Gebäudebetrieb und Services;

• definierte Schnittstellen zu HR/Payroll, Identitätsmanagement und Dokumentenmanagement.

• (2) Das CAFM-System darf nicht zum Zweck einer dauerhaften, generellen oder anlasslosen Leistungs- oder Verhaltenskontrolle von Beschäftigten eingesetzt werden.

• (3) Eine Zweckänderung ist nur zulässig, wenn sie gesetzlich gedeckt, dokumentiert, verhältnismäßig und mit dieser Vereinbarung vereinbar ist. Eine Verwendung „auf Vorrat“ für spätere Verdachts- oder Sanktionszwecke ist unzulässig.

• (1) Diese Dienstvereinbarung gilt für alle Beschäftigten der Dienststelle, die das CAFM-System nutzen, administrieren, überwachen oder deren Daten darin verarbeitet werden.

• (2) Soweit das CAFM auch Daten von Studierenden, Gästen, Besucherinnen/Besuchern, Auftragnehmern oder externen Dienstleistern verarbeitet, gelten ergänzend die allgemeinen Datenschutzregeln der Dienststelle. Diese Vereinbarung ist auf diese Verarbeitung nur insoweit anwendbar, als Beschäftigtendaten mittelbar oder unmittelbar betroffen sind.

• (3) Für andere Systeme, insbesondere eigenständige Zutrittskontroll-, Videoüberwachungs-, Zeiterfassungs-, HR-, Payroll- oder ITSM-Systeme, gilt diese Vereinbarung nur, soweit und solange ihre Daten über definierte Schnittstellen in das CAFM übernommen oder aus diesem heraus verarbeitet werden.

• (1) Die Verarbeitung personenbezogener Daten von Beschäftigten erfolgt im Beschäftigungskontext primär auf Grundlage von Art. 5, Art. 6 Abs. 1 lit. c und/oder e, Art. 24, 25, 30, 32, 35 und 88 DSGVO, § 26 Abs. 1 und Abs. 4 BDSG sowie den jeweils einschlägigen arbeits-, dienst-, personalvertretungs-, arbeitszeit-, arbeitsschutz- und organisationsrechtlichen Vorschriften.

• (2) Diese Dienstvereinbarung ist eine Kollektivvereinbarung im Sinne von § 26 Abs. 4 BDSG und konkretisiert die zulässige Verarbeitung im Sinne des Beschäftigtendatenschutzes.

• (3) Einwilligungen von Beschäftigten werden im Regelbetrieb nicht als Standard-Rechtsgrundlage genutzt. Sie kommen nur bei nachweislich freiwilligen, nachteilfreien Zusatzoptionen in Betracht, die weder Voraussetzung für die Aufgabenerfüllung noch Kontrollinstrument sind.

• (4) Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sowie Daten über Abwesenheitsgründe, Krankheitsursachen, biometrische Merkmale oder Audioinhalte werden im CAFM nicht verarbeitet, es sei denn, eine gesonderte ausdrückliche Rechtsgrundlage, eine gesonderte Freigabe und angemessene spezifische Schutzmaßnahmen bestehen.

• Nutzerverwaltung einschließlich SSO/IdM-Anbindung;

• Rollen- und Rechteverwaltung;

• Störungs- und Helpdesk-Management;

• Tätigkeits- und Auftragszeiterfassung;

• Reporting und Export in freigegebenem Umfang;

• Mobile App für definierte Nutzergruppen;

• QR-/Barcode-Scan zur Objektidentifikation;

• Foto-Funktion zur technischen Schadens- und Leistungsdokumentation;

• Audit- und Sicherheitsprotokollierung;

• definierte Schnittstellen zu HR/Payroll, Dokumentenmanagement und weiteren freigegebenen Drittsystemen.

insbesondere GPS/Ortung, Video, personenbezogene Dashboards, umfangreiche Verhaltensanalysen, externe Dienstleisterzugänge und neue KI-/Automationsfunktionen – dürfen nur nach gesonderter Dokumentation, DSFA-Prüfung und technischer Freigabe gemäß § 19 produktiv genutzt werden.

• heimliche Überwachung;

• dauerhafte oder anlasslose GPS-Ortung von Beschäftigten;

• Geofencing, Geschwindigkeits-, Pausen-, Wege- oder Bewegungsprofilbildung;

• Audioaufzeichnung;

• Videoüberwachung von Arbeitsplätzen, Pausen-, Sozial-, Sanitär- oder Umkleidebereichen;

• personenbezogene Rankings, Scorecards, Heatmaps oder dauerhafte historische Individual-Dashboards;

• Verknüpfung von CAFM-Daten mit HR/Payroll-Daten zu Zwecken der allgemeinen Leistungs- oder Verhaltensbewertung;

• automatisierte Entscheidungen mit erheblichen nachteiligen Wirkungen für Beschäftigte;

• Massenexporte ohne dokumentierten Zweck und Berechtigung;

• Speicherung oder Weiterleitung personenbezogener CAFM-Daten in private Cloud-, Messenger- oder Dateidienste;

• KI-gestützte Emotionserkennung, Persönlichkeitsbewertung oder Prognosen über individuelles Fehlverhalten ohne gesonderte Vereinbarung.

Eine davon abweichende Nutzung ist nur als eng begrenzte Sonderauswertung nach Maßgabe dieser Vereinbarung zulässig.

• (1) Verantwortliche Stelle ist die Dienststelle.

• (2) Fachlich verantwortlich ist die von der Dienststelle benannte CAFM-Fachverantwortung. Technisch verantwortlich ist die zuständige IT-Organisation der Dienststelle.

• (3) Die oder der Datenschutzbeauftragte ist frühzeitig zu beteiligen, insbesondere bei Konfigurationsänderungen, neuen Schnittstellen, neuen Datenarten, GPS-, Video- oder Dashboard-Funktionen, Exporterweiterungen und Testdatenverwendungen.

• (4) Administratorinnen und Administratoren erhalten nur die Rechte, die für ihre Aufgaben zwingend erforderlich sind. Für Rechteänderungen an privilegierten Konten, Exporteinrichtungen, API-Schlüsseln, GPS-/Video-Freigaben und Retention-Regeln gilt das Vier-Augen-Prinzip.

• (5) Externe Anbieter handeln – soweit sie nicht eigenständig Verantwortliche sind – ausschließlich auf Grundlage einer Auftragsverarbeitung. Rollenabgrenzung, Unterauftragsverhältnisse, Support-Zugriffe und Drittlandbezüge sind schriftlich festzulegen.

• Stammdaten: Name, dienstliche Kennung, Organisationseinheit, Funktion, Kostenstelle, dienstliche Kontaktdaten;

• Berechtigungsdaten: Rollen, Rechte, Freigaben, SSO-Merkmale, Kontostatus;

• Objekt- und Vorgangsdaten mit Beschäftigtenbezug: Meldungen, Tickets, Aufträge, Zuständigkeiten, Bearbeitungsstände, Kommentare, Anhänge;

• Zeitdaten: Start, Ende, Dauer, Unterbrechungen, Auftragsbezug, Freigabestatus;

• Zutritts-/Anwesenheits-/Belegungsdaten: Ereignis, Ort/Zone, Zeitstempel, Status;

• Mobile Daten: Gerätekennung, App-Version, Synchronisationsdaten, Scanereignisse;

• Standortdaten nach § 14;

• Medien nach § 14;

• Audit- und Sicherheitslogs;

• Export- und Empfängerprotokolle.

Freitextfelder sind datensparsam zu gestalten. Diagnosen, private Inhalte, disziplinarische Bewertungen, Werturteile über Persönlichkeitsmerkmale und nicht erforderliche Notizen dürfen nicht eingetragen werden.

• (1) Es gilt der Grundsatz Least Privilege. Jeder Zugriff ist auf Rolle, Aufgabe, Objektbereich, Zeitbezug und Zweck zu beschränken.

• a) Rollenbezogene Rechteprofile;

• b) objekt- oder gebäudebezogene Bereichsbeschränkungen;

• c) Trennung zwischen internen, externen und administrativen Konten;

• d) Trennung von Leserechten, Bearbeitungsrechten, Exportrechten und Administrationsrechten;

• e) Protokollierung privilegierter Zugriffe;

• f) regelmäßige Rezertifizierung sämtlicher erweiterten Rechte, mindestens halbjährlich.

• (3) Sammelkonten sind unzulässig. Ausnahmen für technische Servicekonten sind zu dokumentieren und besonders abzusichern.

• (4) Für Administratoren, externe Zugriffe und Exportberechtigte ist Mehrfaktor-Authentifizierung verpflichtend.

• (1) Benutzerkonten werden grundsätzlich aus dem zentralen IdM/HR-Prozess erzeugt, geändert und beendet.

• (2) Beim Onboarding dürfen nur für Rolle und Aufgabe erforderliche Daten übernommen werden.

• (3) Beim Offboarding sind Konten unverzüglich zu sperren; Rollen, Gruppen und Token sind zu entziehen. Noch offene Vorgänge sind geordnet zu übergeben.

• (4) Inaktive Konten werden spätestens nach 90 Tagen deaktiviert, sofern keine dokumentierte Ausnahme besteht.

• (5) Rechteänderungen außerhalb des Standardprozesses sind gesondert zu dokumentieren.

• (1) Zutrittsdaten dürfen ausschließlich für Zutrittssteuerung, Gebäudesicherheit, Betreiberpflichten, Incident-Aufklärung und erforderliche organisatorische Abläufe verarbeitet werden. Eine Nutzung als allgemeines Instrument der Pünktlichkeits-, Wege- oder Pausenkontrolle ist unzulässig.

• (2) Anwesenheits- oder Statusanzeigen dürfen nur den für die Arbeitsorganisation erforderlichen Status enthalten. Gründe einer Abwesenheit dürfen nicht im CAFM offengelegt oder in Anwesenheitslisten angezeigt werden.

• (3) Arbeitszeit- oder auftragsbezogene Zeitdaten dürfen nur erhoben werden, soweit sie für Arbeitsschutz, Arbeitszeitnachweis, Besoldung/Entgelt, Auftragsdokumentation oder Kostenzuordnung erforderlich sind. Die Nutzung ist auf diese Zwecke beschränkt.

• (4) Vorgesetzte erhalten personenbezogene Zeitdaten nur im erforderlichen Umfang. Standard ist eine zusammengefasste Übersicht; ein Vollzugriff auf Einzelbuchungen ist nur anlassbezogen und dokumentiert zulässig.

• (5) Beschäftigte erhalten Zugriff auf ihr eigenes Zeitkonto.

• (6) Dem Personalrat werden Zeitdaten grundsätzlich zunächst anonymisiert oder pseudonymisiert bereitgestellt. Eine namentliche Zuordnung erfolgt nur im Einzelfall und nur, wenn anders die Wahrnehmung gesetzlicher Aufgaben nicht möglich ist.

• (1) Das CAFM darf auftrags- und servicebezogene Kennzahlen erzeugen, insbesondere zu Ticketvolumen, Antwortzeiten, Erledigungsständen, Wartungsfristen, Flächennutzung, Anlagenzuständen, SLA-Einhaltung und Prozessdurchlaufzeiten.

• (2) Personenbezogene Kennzahlen dürfen nur angezeigt werden, soweit sie für den laufenden eigenen Arbeitsprozess oder für die unmittelbare Einsatzsteuerung im aktuellen Vorgang erforderlich sind.

• a) personenbezogene Rankings;

• b) dauerhafte historische Individual-Dashboards;

• c) quantitative Bewegungs-, Belastungs- oder Produktivitätsscorecards;

• d) Schwellenwertsysteme, aus denen ohne Einzelfallprüfung personalwirtschaftliche Folgerungen gezogen werden;

• e) Zielvereinbarungs-, Beurteilungs- oder Sanktionssysteme auf Basis von CAFM-Rohdaten.

• (4) Führungskräften sind für Steuerungszwecke grundsätzlich aggregierte oder teambezogene Ansichten bereitzustellen. Soweit im Einzelfall personenbezogene Sichten für kurzfristige Disposition erforderlich sind, sind diese zeitnah in aggregierte Darstellungen zu überführen.

• (5) Service-Feedback von Meldenden darf erhoben werden; es ist spätestens 30 Tage nach Abschluss des Vorgangs vom Namen der ausführenden Beschäftigten zu entkoppeln und anschließend nur noch aggregiert auszuwerten. Beschwerdefälle bleiben unberührt.

• (1) Mobile Nutzung ist nur mit von der Dienststelle freigegebenen Geräten oder mit einer freigegebenen, technisch abgesicherten Container-/MDM-Lösung zulässig.

• (2) Die GPS-/Ortungsfunktion ist standardmäßig deaktiviert.

• a) die aktive Lokalisierung eines Schadens- oder Einsatzorts durch die meldende oder ausführende Person;

• b) dokumentierte Notfall-, Alleinarbeits- oder Personenschutzszenarien;

• c) die Sicherung entwendeter Geräte oder Fahrzeuge, sofern keine Verknüpfung mit personenbezogenen Leistungs- oder Verhaltensdaten erfolgt.

• a) Hintergrundortung;

• b) dauerhafte Live-Ortung;

• c) Geofencing;

• d) Geschwindigkeits-, Wege-, Pausen- oder Stoppauswertungen;

• e) Ortung während erlaubter Privatnutzung;

• f) Nutzung von Ortung als Ersatz für Zeiterfassung.

• (5) Die Foto-Funktion ist nur für die technische Dokumentation von Schäden, Zuständen, Leistungsnachweisen und Betreiberpflichten zulässig. Personen sind nach Möglichkeit nicht aufzunehmen; unvermeidbare Personenbezüge sind unverzüglich zu beschneiden, zu verpixeln oder zu löschen.

• (6) Die Video-Funktion ist standardmäßig deaktiviert. Eine produktive Einzel- oder Gruppenfreigabe setzt eine gesonderte Dokumentation, Fortschreibung der DSFA und schriftliche Freigabe durch die Dienststelle unter Beteiligung der oder des Datenschutzbeauftragten und des Personalrats voraus.

• (7) Audiofunktionen sind technisch irreversibel zu deaktivieren.

• (8) Offline auf mobilen Endgeräten gespeicherte Daten sind verschlüsselt zu halten und nach Synchronisation automatisiert zu löschen; bei Geräteverlust ist Remote-Sperre oder Remote-Löschung auszulösen.

• a) An- und Abmeldungen;

• b) Rollen- und Rechteänderungen;

• c) Administrationshandlungen;

• d) Exporte und Massenabfragen;

• e) API- und Schnittstellenaufrufe;

• f) Lösch- und Anonymisierungsläufe;

• g) Freigaben und Sonderauswertungen.

• (2) Audit-Logs dienen ausschließlich IT-Sicherheit, Nachvollziehbarkeit, Governance, Incident-Bearbeitung, Datenschutz-Compliance und Missbrauchsaufklärung. Sie dürfen nicht zur routinemäßigen Leistungs- oder Verhaltenskontrolle genutzt werden.

• (3) Auf Audit-Logs haben nur die hierfür besonders benannten Stellen Zugriff, insbesondere IT-Sicherheitsfunktion, Systemadministration, Datenschutzbeauftragte/r, Revision und – im Einzelfall – die Dienststellenleitung.

• (4) Audit-Logs sind manipulationsgeschützt, getrennt von operativen Inhalten aufzubewahren und besonders zu berechtigen.

• (1) Standardberichte sind datensparsam auszugestalten. Der Regelfall ist die Aggregation oder Pseudonymisierung.

• (2) Personenbezogene Exporte bedürfen einer aktiven Berechtigung, eines dokumentierten Zwecks und werden protokolliert. Downloadbereiche sind zeitlich zu begrenzen.

• (3) Für Schnittstellen zu HR/Payroll gilt eine Positivliste zulässiger Felder. In HR/Payroll dürfen aus dem CAFM grundsätzlich nur freigegebene Stamm-, Zuordnungs- und Zeitinformationen übertragen werden, nicht aber GPS-Daten, Roh-Logs, Medien, unstrukturierte Freitexte oder personenbezogene KPI-Historien.

• (4) Schnittstellen zum Dokumentenmanagement dürfen nur Dokumente und Metadaten übertragen, die für den jeweils definierten Nachweiszweck erforderlich sind.

• (5) Externe Dienstleister erhalten ausschließlich rollenbasierten Zugriff auf eigene Aufträge, Termine, Checklisten und Upload-Zielorte. Ein Zugriff auf personenbezogene Rohdaten anderer Beschäftigter ist ausgeschlossen.

• (6) Soweit Anbieter oder Unterauftragsverarbeiter auf personenbezogene Daten zugreifen können, sind vor Produktivsetzung Auftragsverarbeitungsvertrag, TOM-Prüfung, Subunternehmerliste, Supportprozesse und – bei Drittlandbezug – die Voraussetzungen des Kapitels V DSGVO nachzuweisen.

• (1) Es gilt der Grundsatz der Speicherbegrenzung. Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen legitimen Zweck erforderlich ist.

• (2) Die konkreten Speicherfristen ergeben sich aus Anhang 1. Soweit Aufbewahrungspflichten, laufende Verfahren, Rechtsverteidigung oder dokumentierte Incident-Bearbeitung längere Vorhaltung erfordern, ist dies gesondert zu dokumentieren.

• (3) Wo immer möglich, sind personenbezogene Daten nach Zweckerreichung zu löschen oder irreversibel zu anonymisieren. Für technische Lebenslaufakten von Anlagen ist personenbezogener Bezug frühestmöglich zu trennen.

• (4) Lösch- und Anonymisierungsläufe erfolgen automatisiert mindestens monatlich und werden protokolliert.

• (5) Datenmigrationen aus Altsystemen, Excel-Dateien oder Schattenlisten sind nach erfolgreicher Übernahme und Validierung geordnet zu bereinigen; doppelte Parallelbestände sind zu vermeiden.

• (1) Die Dienststelle stellt sicher, dass das System dem Stand der Technik entsprechend abgesichert wird. Dies umfasst insbesondere Verschlüsselung, Berechtigungskonzepte, Protokollierung, Backup/Restore, Schwachstellenmanagement, Patchmanagement, Mandanten- und Umgebungs-Trennung, sichere Schnittstellen, Exportkontrollen und mobile Gerätesicherheit.

• (2) Für Produktiv-, Test- und Schulungssysteme gelten unterschiedliche Schutzanforderungen. Test- und Schulungssysteme dürfen grundsätzlich nur mit anonymisierten oder hinreichend pseudonymisierten Daten betrieben werden.

• (3) Support-, Wartungs- und Fernzugriffe sind zeitlich zu begrenzen, zweckgebunden freizugeben und zu protokollieren.

• (4) Die einzelnen Mindestmaßnahmen ergeben sich aus Anhang 3.

• (1) Vor Produktivsetzung des Gesamtsystems ist eine Datenschutz-Folgenabschätzung durchzuführen.

• a) Aktivierung von GPS-/Ortungsfunktionen;

• b) Aktivierung von Video;

• c) Einführung personenbezogener Dashboard- oder Analysefunktionen;

• d) Anschluss neuer HR-, Payroll-, Zutritts- oder externer Dienstleisterschnittstellen;

• e) Einführung neuer KI- oder Prognosefunktionen;

• f) erheblicher Erweiterung des Nutzerkreises oder der Datenkategorien.

• (3) Ergibt die DSFA trotz geplanter Maßnahmen ein hohes Restrisiko, ist vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren.

• (4) Änderungen an Zweck, Datenarten, Empfängern, Speicherdauern, Berechtigungen, Exporten oder Systemarchitektur dürfen nur nach dokumentierter Prüfung durch Fachverantwortung, IT, Datenschutzbeauftragte/n und – soweit mitbestimmungspflichtig – Personalrat produktiv gesetzt werden.

• (1) Beschäftigte sind vor erstmaliger Nutzung und bei wesentlichen Änderungen in transparenter Form über Zwecke, Datenarten, Empfänger, Schnittstellen, Speicherfristen, Rechte, Ansprechpartner und die Grenzen von GPS-/Medien-/Dashboard-Funktionen zu informieren.

• (2) Beschäftigte erhalten im gesetzlich vorgesehenen Umfang Auskunft, Einsicht in ihre eigenen Daten sowie Möglichkeiten zur Berichtigung, Einschränkung, Löschung und Beschwerde.

• (3) Die Dienststelle richtet ein geeignetes Verfahren zur Bearbeitung von Betroffenenrechten ein und stellt Exportmöglichkeiten für den eigenen Datensatz bereit, soweit gesetzlich erforderlich.

• a) aktive Rollen und privilegierte Rechte;

• b) Exporte und Sonderauswertungen;

• c) GPS-/Video-Freigaben;

• d) Löschläufe;

• e) Datenschutz- und Sicherheitsvorfälle;

• f) Änderungen an Schnittstellen, Subunternehmern und Funktionen.

(5) Ein genereller lesender Direktzugriff des Personalrats auf namentliche Zeit-, GPS-, Medien-, Log- oder Dashboard-Rohdaten wird nicht eingerichtet. Soweit personenbezogene Detailinformationen zur gesetzlichen Aufgabenwahrnehmung notwendig sind, gilt das Zwei-Stufen-Prinzip: zuerst anonymisiert/pseudonymisiert, erst danach – bei dokumentierter Erforderlichkeit – personenbezogen.

• a) Administratorinnen und Administratoren;

• b) Fachadministration und Service-Desk;

• c) Führungskräfte;

• d) mobile Nutzergruppen;

• e) externe Dienstleister mit Portalzugängen.

• (2) Schulungsinhalte sind insbesondere Zweckbindung, Rollenrechte, zulässige Dokumentation, Mediennutzung, Exportverbote, Incident-Meldung, Betroffenenrechte und datenschutzkonforme Freitexte.

• (3) Die Dienststelle richtet ein gemeinsames Review-Format mit Fachverantwortung, IT, Datenschutzbeauftragten und Personalrat ein. Gegenstand sind mindestens Wirksamkeit der Schutzmaßnahmen, Notwendigkeit der Funktionen, Beschwerden, Auffälligkeiten, Löschstatus und Änderungsbedarf.

• (4) GPS-, Video- und personenbezogene Reportingfunktionen sind mindestens jährlich gesondert auf Erforderlichkeit und Verhältnismäßigkeit zu überprüfen.

• (1) Verstöße gegen diese Dienstvereinbarung sind als Compliance-Vorfälle zu behandeln. Technische und organisatorische Sofortmaßnahmen – insbesondere Sperrung von Rechten, Exportverbot, Funktionsdeaktivierung, Incident-Bearbeitung und Nachschulung – sind unverzüglich zu veranlassen.

• (2) Vorsätzlicher oder grob fahrlässiger Missbrauch von CAFM-Daten oder -Funktionen kann arbeits-, dienst- oder vertragsrechtliche Folgen haben. Für externe Dienstleister sind abgestufte Vertragssanktionen vorzusehen.

• (3) Daten, die unter Verstoß gegen diese Dienstvereinbarung erhoben oder verwendet wurden, dürfen nicht für routinemäßige Leistungsbeurteilungen, Zielvereinbarungen oder generalisierte Kontrollberichte genutzt werden. Die Frage einer möglichen prozessualen Verwertbarkeit in einem konkreten gerichtlichen Verfahren bleibt der gesetzlichen und gerichtlichen Einzelfallprüfung vorbehalten.

• (4) Diese Dienstvereinbarung tritt am [Datum] in Kraft und gilt auf unbestimmte Zeit.

• (5) Sie kann mit einer Frist von sechs Monaten zum Quartalsende schriftlich gekündigt werden.

• (6) Die Schutz-, Lösch-, Transparenz- und Zweckbindungsregelungen wirken bis zum Abschluss einer Folgeregelung fort, soweit zwingendes Recht nicht entgegensteht.

• (7) Vor Produktivsetzung müssen mindestens vorliegen: DSFA, Rollen- und Rechte-Matrix, Verzeichnis der Verarbeitungstätigkeiten, AVV/TOM-Nachweise, Mitarbeitendeninformation, Schulungskonzept, Test-/Migrationskonzept.

• (8) Funktionen mit erhöhtem Eingriffsgewicht – insbesondere GPS, Video und personenbezogene Dashboards – bleiben bis zur Erfüllung dieser Voraussetzungen deaktiviert.

• (9) Die Anhänge 1 bis 5 sind Bestandteil dieser Dienstvereinbarung.

Für die Dienststelle: ______

Für den Personalrat: ______

Die folgenden Anlagen operationalisieren insbesondere das Verzeichnisgebot, die Grundsätze von Zweckbindung und Speicherbegrenzung, Privacy by Design/Default, Sicherheit der Verarbeitung, die DSFA-Pflicht und die Transparenzpflichten.

Art. 35 DSGVO verlangt eine DSFA bei voraussichtlich hohem Risiko; die DSK-Mussliste nennt ausdrücklich Geolokalisierung von Beschäftigten, Bewegungsprofile und umfangreiche Verhaltensbewertungen als typische DSFA-Fälle.

• GPS-/Ortungsfunktionen sind nur tragfähig, wenn sie eventbezogen, transparent, kurz gespeichert und nicht zur Arbeitszeit- oder Verhaltenskontrolle genutzt werden.

• Personenbezogene Dashboards sind für laufende Disposition nur eng begrenzt zulässig; historische Individual-KPIs sind zu unterbinden.

• Video ist im Regelfall nicht erforderlich; die Foto-Funktion genügt für technische Dokumentation meist vollständig.

• HR-/Payroll-Schnittstellen dürfen nur eine bewusst schmale Feldliste übertragen.

• Exporte sind ein Primärrisiko und deshalb besonders zu protokollieren und zu berechtigen.

Das folgende Muster setzt die Transparenzanforderungen nach Art. 13 und die Auskunftslogik nach Art. 15 DSGVO sowie die besonderen Kontrollgrenzen für Zeit-, GPS- und Medienfunktionen um.

Sehr geehrte Beschäftigte,

die Dienststelle setzt ab dem [Datum] das CAFM-System [Name] ein. Das System dient der Verwaltung von Gebäuden, Räumen, Anlagen, Service- und Instandhaltungsprozessen, Meldungen, Aufträgen, Betreiberpflichten sowie – soweit für Ihre Aufgabe erforderlich – der auftragsbezogenen Zeitdokumentation.

[Name und Anschrift der Dienststelle]

Kontakt Datenschutzbeauftragte/r:

[Kontaktdaten]

Je nach Ihrer Rolle verarbeitet das System insbesondere Stammdaten, Rollen- und Rechteinformationen, Ticket- und Auftragsdaten, auftrags- oder arbeitszeitbezogene Zeitdaten, Objekt- und Raumbezüge, Uploads von Fotos, Sicherheits- und Audit-Logs sowie – nur in eng begrenzten Ausnahmefällen – einzelne Standortdaten.

Die Zwecke sind Gebäudebetrieb, Helpdesk, Auftragssteuerung, Betreiberverantwortung, Dokumentation, Arbeitsschutz, Zeitnachweis, Sicherheit und aggregiertes Reporting. Eine dauerhafte, allgemeine Leistungs- oder Verhaltenskontrolle findet nicht statt.

• GPS ist standardmäßig deaktiviert.

• Eine dauerhafte Ortung, Geofencing, Wege- oder Pausenprofile sind unzulässig.

• Video ist standardmäßig deaktiviert.

• Audioaufzeichnungen sind technisch deaktiviert.

• Führungskräfte erhalten nur den für ihre Aufgaben erforderlichen Umfang an personenbezogenen Daten.

• Der Personalrat erhält im Regelfall nur anonymisierte oder pseudonymisierte Auswertungen.

• Exporte personenbezogener Daten werden gesondert berechtigt und protokolliert.

Die Verarbeitung erfolgt auf Grundlage der DSGVO, des BDSG, der einschlägigen dienst- und arbeitsrechtlichen Vorschriften sowie der Dienstvereinbarung zur Einführung und Nutzung des CAFM-Systems in der jeweils geltenden Fassung.

Empfänger sind innerhalb der Dienststelle ausschließlich berechtigte Funktionsrollen. Soweit externe Anbieter oder Dienstleister eingebunden sind, geschieht dies nur auf dokumentierter Grundlage und innerhalb festgelegter Zugriffsgrenzen.

Die Speicherfristen richten sich nach der Art des Datums und dem Verarbeitungszweck. Zeitdaten werden im CAFM grundsätzlich nicht unbegrenzt vorgehalten; Standort- und Medienfunktionen unterliegen besonders kurzen Fristen. Einzelheiten finden Sie in der Dienstvereinbarung und auf Anfrage bei der Fachverantwortung oder dem Datenschutzbeauftragten.

Sie haben – im gesetzlichen Umfang – das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie auf Beschwerde bei der zuständigen Aufsichtsbehörde. Sie können außerdem Einsicht in Ihre eigenen, im System gespeicherten Daten verlangen, soweit keine gesetzlichen Ausnahmen greifen.

Bitte wenden Sie sich bei fachlichen Fragen an [CAFM-Fachverantwortung], bei Datenschutzfragen an [DSB-Kontakt] und bei Verdacht auf Fehlkonfiguration oder Missbrauch an [Meldestelle/Incident-Kontakt].