Wo werden die Daten gespeichert?

Anwendungsdaten werden auf Servern in Deutschland gespeichert. Für Zahlungen (Stripe) und DNS/CDN (Cloudflare) werden Daten an US-Anbieter mit EU-Standardvertragsklauseln übertragen. SL-UP ist ein deutsches Unternehmen.

DSGVO-konforme Urlaubsverwaltung

Q: Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Ja, auf Anfrage stellen wir einen AVV gemäß Art. 28 DSGVO bereit.

Hinweis

Dieser Artikel dient ausschließlich der allgemeinen Information und ersetzt keine Rechtsberatung. Für Ihre spezifische Situation wenden Sie sich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Warum DSGVO bei der Urlaubsverwaltung relevant ist

Urlaubsdaten sind personenbezogene Daten im Sinne der DSGVO (Art. 4 Nr. 1). Auch Krankheitstage fallen darunter – teilweise sogar als besondere Kategorie personenbezogener Daten (Art. 9 DSGVO, Gesundheitsdaten).

Unternehmen, die diese Daten digital verarbeiten, müssen sicherstellen:

Rechtsgründlage vorhanden (Beschäftigungsverhältnis, § 26 BDSG)
Datensparsamkeit: Nur notwendige Daten erheben
Auskunftsrecht: Mitarbeiter können ihre Daten einsehen
Löschpflicht: Daten bei Ausscheiden löschen
Datensicherheit: Zugangsschutz, Verschlüsselung, Protokollierung

Wie SL-UP diese Anforderungen erfüllt

Audit-Log

Alle sicherheitsrelevanten Aktionen werden lückenlos protokolliert: Wer hat was wann geändert. Ermöglicht lückenlose Nachvollziehbarkeit bei Betriebsprüfungen.

Rollenbasierter Zugriff

Mitarbeiter sehen nur eigene Daten. Manager nur ihre Abteilung. Admins haben Vollzugriff. Klare Trennung nach dem "Need-to-know"-Prinzip.

Datensparsamkeit

SL-UP erhebt nur die Daten, die für den Betrieb zwingend nötig sind. Keine optionalen Profile, keine überflüssigen Felder.

Löschmöglichkeit

Mitarbeiter können gelöscht werden. Der Administrator hat die Möglichkeit, alle personenbezogenen Daten eines Mitarbeiters zu entfernen.

Authentifizierung

Passwortbasierter Login mit optionaler 2-Faktor-Authentifizierung (TOTP oder E-Mail-Code) für zusätzliche Sicherheit.

Krankheit & Privatsphäre

Krankmeldungen erscheinen im Team-Kalender nur als Kürzel "K" – ohne medizinische Details oder Diagnosen. Nur Admin und Manager sehen die Eintragungen.

Das Audit-Log: Was wird protokolliert?

Das Audit-Log zeichnet alle sicherheitsrelevanten Aktionen automatisch auf:

2026-03-05 09:14 admin@firma.de LOGIN Erfolgreich angemeldet

2026-03-05 09:22 m.braun@firma.de ABSENCE_CREATED Urlaub 10.03.–14.03.2026 beantragt

2026-03-05 10:05 manager@firma.de ABSENCE_APPROVED Urlaub von M. Braun genehmigt

2026-03-05 11:30 admin@firma.de USER_UPDATED Urlaubsanspruch von J. Klein geändert: 28 → 30

Audit-Log aktivieren

Das Audit-Log ist ein optionales Feature, das vom Superadmin pro Mandant aktiviert werden kann. Es ist nach Launch verfügbar und protokolliert: Logins, Abwesenheitsanträge und -änderungen, Benutzerverwaltung, Admin-Aktionen.

Aufbewahrungsfristen für Urlaubsdaten

Nach der DSGVO müssen personenbezogene Daten gelöscht werden, wenn der Zweck wegfällt. Für Urlaubsdaten gibt es jedoch steuerrechtliche Aufbewahrungspflichten:

Steuerrechtlich (§ 147 AO): Lohnunterlagen und Nachweise 6–10 Jahre aufbewahren
Arbeitsrechtlich: Urlaubsnachweise können für eventuelle Rechtsstreitigkeiten relevant sein
Nach Ablauf der Aufbewahrungspflicht: Daten löschen oder anonymisieren

Auftragsverarbeitung: Der AVV

Wenn ein Unternehmen einen externen Dienst wie SL-UP zur Verarbeitung personenbezogener Daten nutzt, ist gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag (AVV) abzuschließen. Dieser Vertrag regelt, welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen der Auftragsverarbeiter trifft und unter welchen Bedingungen Subdienstleister eingesetzt werden dürfen.

SL-UP stellt einen AVV bereit, der bei Vertragsabschluss unterzeichnet wird. Der AVV dokumentiert alle Pflichten des Auftragsverarbeiters gemäß DSGVO, die Weisungsbindung gegenüber dem Verantwortlichen (Ihrem Unternehmen) sowie die Maßnahmen zur Datensicherheit. Bei Bedarf kann der AVV jederzeit über den Support angefordert werden.

Technische Sicherheitsmaßnahmen im Detail

HTTPS mit TLS 1.3 — alle Verbindungen sind verschlüsselt, keine Datenübertragung im Klartext
Passwort-Hashing mit bcrypt (Kostenfaktor 12) — Passwörter werden niemals im Klartext gespeichert
Brute-Force-Schutz — automatische Sperre nach mehreren fehlgeschlagenen Login-Versuchen
CSRF-Token bei allen POST-Operationen — Schutz vor Cross-Site Request Forgery
Mandanten-Trennung (tenant_id) — alle Datenbankabfragen sind strikt nach Mandant isoliert, kein mandantenübergreifender Zugriff möglich
Regelmäßige automatische Backups — tägliche Sicherung der gesamten Datenbank auf separatem Speicher

Was tun bei einem Datenschutzvorfall?

     3-Schritt-Anleitung für Datenpannen
    Vorfall im SL-UP Audit-Log dokumentieren: Welche Daten waren betroffen, wann wurde der Vorfall entdeckt, welche Maßnahmen wurden ergriffen?
Innerhalb 72 Stunden der zuständigen Aufsichtsbehörde melden (Art. 33 DSGVO) — bei Unsicherheit über die Meldepflicht umgehend einen Datenschutzbeauftragten konsultieren
Betroffene Personen informieren, wenn der Vorfall voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat (Art. 34 DSGVO)

  

Externe Referenzen & Rechtsgrundlagen

Häufige Fragen

Wo werden meine Daten gespeichert?

Anwendungsdaten und Datenbank werden auf Servern in Deutschland gespeichert. Zahlungen verarbeitet Stripe (USA) per EU-Standardvertragsklauseln; DNS/CDN läuft über Cloudflare (USA) ebenfalls mit SCCs. Beide Transfers sind in der Datenschutzerklärung offengelegt.

Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Ja, SL-UP stellt einen AVV gemäß Art. 28 DSGVO bereit, der bei Vertragsabschluss unterzeichnet wird. Bei Bedarf kann er vorab angefordert werden.

Wie wird das Recht auf Löschung umgesetzt?

Administratoren können Benutzer und deren Daten vollständig löschen. Ein Audit-Log dokumentiert alle Änderungen.

Kann ich als Mitarbeiter meine Daten einsehen?

Ja, über „Mein Profil“ sind alle eigenen Abwesenheitsdaten, Urlaubskonten und Einstellungen einsehbar. Administratoren können auf Anfrage einen vollständigen Export aller personenbezogenen Daten eines Mitarbeiters erstellen.

DSGVO-konforme Urlaubsverwaltung: Was Sie wissen müssen