planklar
Anmelden

Datenschutzerklärung

Diese Datenschutzerklärung informiert nach Art. 13 DSGVO über die Verarbeitung personenbezogener Daten in planklar — dem internen Dienstplanungs-Tool der Klinik für Unfall-, Hand- und Wiederherstellungschirurgie des Universitätsklinikums Münster.

1. Verantwortlicher

Universitätsklinikum Münster (Anstalt des öffentlichen Rechts)
Klinik für Unfall-, Hand- und Wiederherstellungschirurgie
Albert-Schweitzer-Campus 1, 48149 Münster

2. Datenschutzbeauftragter

Datenschutzbeauftragte:r des Universitätsklinikums Münster. Anfragen zum Datenschutz innerhalb von planklar können zunächst an die unter Ziffer 1 genannte verantwortliche Stelle gerichtet werden (E-Mail an die V.i.S.d.P. siehe Impressum); diese leitet die Anfrage an die Datenschutzbeauftragte / den Datenschutzbeauftragten des UKM weiter.

3. Erhobene Daten

planklar verarbeitet folgende personenbezogene Daten ausschließlich zur Erstellung und Verwaltung von Dienstplänen:

  • Stammdaten: Name, Anzeigename, E-Mail-Adresse, Rolle (User/Admin/Owner), Aktiv-Status
  • Authentifizierung: gehashtes Passwort (bcrypt), Reset-Tokens, Calendar-Abo-Token
  • Zugehörigkeit zu Teams (Dienstgruppe, Stationen, Poliklinik) und Haupt-Team
  • Dienstwünsche (Urlaub, Fortbildung, FZA, Wunsch-/Kein-Dienst-Markierungen)
  • Zugewiesene Schichten und Dienste (Planungsergebnis), inkl. Tausch-Historie
  • Audit-Log: protokollierte administrative Änderungen mit Zeitstempel und User-ID
  • Server-Logs: Zugriffsdaten (Zeitstempel, IP, User-Agent) für 14 Tage zur Sicherheits-Analyse

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Arbeitsvertrags / Durchführung vorvertraglicher Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fairen, dokumentierten und effizienten Dienstplanung). Für die Speicherung des Audit-Logs besteht zusätzlich ein berechtigtes Interesse an Nachvollziehbarkeit administrativer Eingriffe.

5. Speicherung, Speicherort und Löschung

Alle Daten werden auf Servern des Universitätsklinikums Münster gespeichert (Self-Hosting im Klinik-Netz). Die Datenbank ist eine PostgreSQL-Instanz mit verschlüsseltem Backup. Der Zugriff erfolgt ausschließlich über TLS-verschlüsselte Verbindungen.

Speicherfristen:

  • Stammdaten: bis Beendigung des Arbeitsverhältnisses + Aufbewahrungspflichten
  • Dienstwünsche: bis Veröffentlichung des Plans, danach 12 Monate für Nachvollziehbarkeit
  • Veröffentlichte Pläne: 5 Jahre für Belegung von Arbeitszeitnachweisen
  • Audit-Log: 24 Monate
  • Server-Logs: 14 Tage
  • Reset-Tokens: 60 Minuten (Single-Use)

6. Auftragsverarbeitung

Sofern in der Konfiguration aktiviert, wird ein externer E-Mail-Dienstleister (z.B. Resend.com) für den Versand von transaktionalen Mails (Plan-Veröffentlichung, Wunsch-Erinnerung, Passwort-Reset, Tausch-Bestätigung) eingesetzt. In diesem Fall besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Ohne entsprechende Konfiguration werden Mails ausschließlich intern protokolliert und nicht versendet.

Über den E-Mail-Dienstleister hinaus findet keine Übermittlung an Dritte oder in Drittländer statt.

7. Cookies und Tracking

planklar verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookie auf JWT-Basis, HttpOnly, Secure, SameSite). Es werden keine Tracking-Tools, Analytics oder Werbe-Cookies eingesetzt.

8. Sicherheit

Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Fehlversuche bei der Anmeldung werden mittels Rate-Limit gedrosselt. Reset-Tokens werden vor der Speicherung mit SHA-256 gehasht und sind 60 Minuten gültig (single-use).

9. Betroffenenrechte

Sie haben nach DSGVO folgende Rechte:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung Ihrer Daten, soweit gesetzlich zulässig (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit der von Ihnen bereitgestellten Daten (Art. 20)
  • Widerspruch gegen die Verarbeitung aus berechtigtem Interesse (Art. 21)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77) — zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf (www.ldi.nrw.de)

Anfragen zu Ihren Rechten richten Sie bitte schriftlich oder per E-Mail an die im Impressum genannte verantwortliche Stelle.

10. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird angepasst, sobald sich die Datenverarbeitung in planklar ändert (z.B. neue Funktionen, zusätzliche Dienstleister). Die jeweils aktuelle Fassung ist innerhalb der Anwendung jederzeit abrufbar.