Rechtliches · Q-Hub

Bereiche

6 Governance-Sektionen

Rollen & Rechte Sichtbarkeit · Scope · Vererbung Datenschutz & DSGVO Verarbeitungsverzeichnis · Datenfelder Löschkonzept DIN 66398 · DSGVO · BDSG · HGB Audit & Nachvollziehbarkeit Event-Timeline · Verantwortlichkeit Rechtliche Einordnung Zweck · Abgrenzung · Mitbestimmung Dokumente & Exporte Versionierung · Freigaben · PDF

Alle Bereiche unterliegen halbjährlicher Review-Pflicht durch Compliance & Datenschutzbeauftragte.

Rollen-Konzept

Rollen & Rechte

Die Plattform basiert auf Organisationsstruktur, Kostenstellenhierarchie, Führungsverantwortung und Rollenvererbung. Es gibt keine freie globale Mitarbeitersicht.

Demo

Fundamentale Prinzipien

Jede Rolle ist an einen organisatorischen Scope gekoppelt (Kostenstelle, Werk, Bereich).
Sichtbarkeit ergibt sich aus Rollenvererbung in der Kostenstellen-Hierarchie — nicht aus statischen Personen-Listen.
Es gibt keine Global-Lesesicht für operative Rollen. Nur Compliance & Geschäftsführung haben plattform-weite Sicht — und nur für den dokumentierten Zweck.
Administratoren haben keinen Default-Zugriff auf operative Personendaten — diese Trennung ist Architektur, nicht Konvention.

Rollen-Matrix

9 Rollen

Rolle	Scope	Sichtbarkeit	Audit-Relevanz
Teamleiter*in	Eigenes Team (1 Kostenstelle)	Direkte Mitarbeiter*innen der Kostenstelle	hoch
Meister*in	Werkstatt / Untereinheit	MA der eigenen Werkstatt + Pflicht-Unterweisungen	hoch
Projektleiter*in	Projekt (zeitlich begrenzt, mehrere KS)	Projekt-zugeordnete MA, kostenstellen-übergreifend	mittel
Projektmanager*in	Projekt-Portfolio (mehrere Projekte)	Aggregat: alle Projekte + Ressourcen-Status	mittel
Standortleiter*in	Standort (Werk) — alle Bereiche	Alle MA, Kostenstellen, Bereiche des Werks	hoch
Geschäftsbereichsleiter*in	Geschäftsbereich über alle Werke	Bereichs-übergreifend, nur eigener Bereich	hoch
Geschäftsführer*in	Gesamtes Unternehmen	Vollständig — alle Werke, Bereiche, MA	hoch
Administrator*in	Technisch — Plattform-Konfiguration	Konfiguration, kein Default-Zugriff auf MA-Daten	hoch
Compliance / Audit	Plattform-weit — read-only	Read-only über alle Audit-Logs & Reports	hoch

Vererbungs-Pattern

Wie Sichtbarkeit in der Kostenstellen-Hierarchie fließt:

Geschäftsführer*in
└── alle Werke + Bereiche + Untereinheiten

Standortleiter*in (Werk Wolfsburg)
└── Produktion, Logistik, QS, Verwaltung, IT, HR
    └── Halle 1, Halle 2, Montage, Schweißerei, …
        └── Mitarbeiter*innen dieser Kostenstellen

Bereichsleiter*in (Produktion)
└── Produktion @ Wolfsburg + Emden + Hannover
    └── Halle 1, Halle 2, Montage … (alle Werke)

Datenschutz

Datenschutz & DSGVO

Verarbeitungsverzeichnis nach Art. 30 DSGVO. Die Plattform ist KEIN Mitarbeiterüberwachungs-System — was nicht verarbeitet wird, ist genauso wichtig wie was verarbeitet wird.

Demo

Grundsätze

Q-Hub ist ein Qualifikations- und Compliance-Management-System. Die Plattform unterstützt Vorgesetzte beim Nachweis von Pflicht-Qualifikationen und Pflicht-Unterweisungen ihrer direkt verantworteten Mitarbeiter*innen.

Sie ist ausdrücklich kein Werkzeug für Leistungsbewertung, Verhaltensanalyse oder Performance-Tracking. Diese Abgrenzung ist architektonisch umgesetzt — entsprechende Datenfelder existieren nicht.

Was NICHT verarbeitet wird

Leistungsbewertungen

Keine Zielerreichung, KPI-Tracking, Performance-Reviews.

Verhaltensanalysen

Kein Activity-Monitoring, Stimmungsbild, Pattern-Erkennung.

Gesundheitsdaten

Keine Krankheitsdaten, Schwangerschaft, Schwerbehinderung.

Private Informationen

Keine Familienverhältnisse, politische/religiöse Einstellungen.

Aktivitätsüberwachung

Kein Tracking von Anmeldezeiten, Klick-Verhalten, Standort.

Kommunikationsinhalte

Keine E-Mail-Inhalte, Chat-Logs, Telefon-Aufzeichnungen.

Was AUSSCHLIESSLICH verarbeitet wird

Qualifikationen

Skill-Name, Level, Verfallsdatum, Verifizierungs-Status.

Unterweisungen

Schulungs-Name, Abschluss-Datum, Recert-Fälligkeit, Pflicht-Status.

Rollen-Zuordnung

Welche Rolle die Person in welcher Einheit hat.

Organisatorische Sichtbarkeit

Zu welcher Kostenstelle/Bereich/Werk die Person gehört.

Compliance-Status

Pflicht-Unterweisungen erfüllt/überfällig, Audit-Zertifikate.

IT-Berechtigungen

System-Name, Berechtigungs-Level, Gültig-bis.

Was niemals in Q-Hub aufgenommen werden darf

Schutz vor Art. 9-Drift

Die Plattform verarbeitet ausschließlich „normale" personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Es gibt eine harte technische und prozessuale Grenze gegen die Aufnahme von besonderen Kategorien nach Art. 9 DSGVO (insbesondere Gesundheitsdaten) — auch für künftige Feature-Erweiterungen.

Verbotene Kategorie	Rechtsgrundlage	Erlaubt (Beispiel)	Verboten (Beispiel)
Ergebnisse arbeitsmedizinischer Vorsorgen	Art. 9 — Gesundheit	Befähigung „Gabelstapler" — gültig bis 14.06.2027	Auflage „Brillentragen wegen reduzierter Sehschärfe"
Schwerbehindertenstatus / GdB	Art. 9 — Gesundheit	Operative Sichtbarkeit + Skill-Status	Markierung „SB" oder „GdB ≥ 50" am Profil
Krankheitszeiten, AU-Daten, Diagnosen	Art. 9 — Gesundheit	Pause der Compliance-Berechnung bei Abwesenheit	Feld „Abwesenheitsgrund: Krankheit, langfristig"
Persönlichkeitsmerkmale & Soft-Skill-Bewertungen	Art. 4 Nr. 4 — Profiling	Skill „Konfliktmoderation Level 3" (geprüft)	Soft-Skill „Empathie: 4 von 5"
Performance-/Zielerreichungs-Scores	BetrVG § 87 Abs. 1 Nr. 6	Status der Pflicht-Unterweisung (erfüllt / überfällig)	„Stückzahl-Soll erreicht: 87 %" am Profil
Verhaltens- & Aktivitätsdaten	BetrVG § 87 Abs. 1 Nr. 6	Audit-Log über Schreib-Aktionen (wer, wann, was)	„Login zuletzt: 14:23 Uhr aus Halle 2"
Religiöse, politische, gewerkschaftliche Zuordnungen	Art. 9 — besondere Kategorien	Rolle „Betriebsratsvorsitzende*r" als Funktion	Feld „Mitgliedschaft IG Metall: ja"
Biometrische Identifikationsdaten	Art. 9 — biometrisch	Foto im Avatar (freiwillig, nicht zur Identifikation)	Hash eines Fingerabdrucks am Profil

Goldene Regel

Q-Hub speichert Status, niemals Begründung. Ein Skill ist gültig oder abgelaufen — warum jemand eine Untersuchung nicht bestanden hat, gehört in den arbeitsmedizinischen Akt, nicht in diese Plattform.

Datenfelder pro Modul

Verarbeitungsverzeichnis

Modul	Datenfeld	Zweck	Aufbewahrung
Stammsatz	Name, Personalnummer	Eindeutige Identifikation	Aktiv + 10 J. (steuerlich)
Stammsatz	Kostenstelle, Vorgesetzte*r	Sichtbarkeit, Rollenvererbung	Aktiv solange gültig
Qualifikationen	Skill-ID, Level, Verfallsdatum	Skill-Gap-Analyse, Recert	Aktiv + 3 J.
Unterweisungen	Unterweisungs-ID, Datum, Recert	Pflicht-Erfüllung, Audit	Aktiv + 10 J.
IT-Berechtigungen	System-ID, Level, Gültig-bis	Access-Governance	Aktiv + 1 J. (Audit)
Audit-Log	Wer · Was · Wann · Kontext	Revisionssichere Nachvollziehbarkeit	10 J. (gesetzlich)

Rechte der Betroffenen (Art. 15–22 DSGVO)

Auskunft (Art. 15): vollständige Übersicht der eigenen verarbeiteten Daten als PDF.
Berichtigung (Art. 16): falsche Daten werden direkt durch Vorgesetzte korrigiert.
Löschung (Art. 17): automatischer Lifecycle bei Austritt — siehe Löschkonzept.
Einschränkung (Art. 18): auf Antrag eingeschränkte Sichtbarkeit (z. B. bei Streitfällen).
Datenübertragbarkeit (Art. 20): vollständiger Export als JSON/PDF.

Löschkonzept — Art. 17 DSGVO & DIN 66398

Löschkonzept

Strukturiert nach DIN 66398, gestützt auf DSGVO + BDSG + branchenspezifische Aufbewahrungspflichten (HGB, AO, ArbSchG, BetrVG).

Demo

Löschklassen nach DIN 66398

Standardlöschfristen pro Datenkategorie

Klasse	Datenkategorie	Startereignis	Frist	Verfahren
K1	Stammdaten (Name, Personalnr., E-Mail)	Beendigung Beschäftigung	30 T. → Anon.; 10 J. steuerlich	Anonymisierung
K2	Qualifikationen & Skill-Levels	Beendigung Beschäftigung	3 Jahre	Anonymisierung
K3	Pflicht-Unterweisungen (Sicherheit, GefStoff)	Beendigung Beschäftigung	10 Jahre	Pseudonymisierung
K4	IT-Berechtigungen & Zugriffe	Beendigung Beschäftigung	1 Jahr	Physische Löschung
K5	Audit-Logs (Änderungen, Sichtbarkeit)	Eintrag-Erzeugung	10 Jahre	Pseudonymisierung
K6	Sessions, Login-Logs	Letzte Aktivität	90 Tage	Physische Löschung
K7	Notification-Texte (Erinnerungen)	Versanddatum	180 Tage	Physische Löschung

Aufbewahrungspflichten nach deutschem Recht

Was die Löschung verzögert

Datenkategorie	Aufbewahrung	Rechtsgrundlage	Begründung
Steuerlich relevante Stammdaten	10 Jahre	§ 147 AO · § 257 HGB	Buchungsbelege, Lohnsteuer-Dokumente.
Sicherheits-Unterweisungen	10 J. nach Austritt	§ 6 ArbSchG · DGUV	Nachweis bei Audit oder Arbeitsunfällen.
Gefahrstoff / Druck / Sicherheit	30 J. nach Austritt	§ 14 GefStoffV · BetrSichV	Nachweispflicht bei Berufskrankheiten mit Latenz.
Berufsbildungsnachweise	3 J. nach Ende	§ 5 / § 8 BBiG	Nachweis gegenüber IHK/HWK.
Sozialversicherungsdaten	5–10 Jahre	§ 28f SGB IV	Beitragsabrechnungen, Meldungen.
Rechtsstreitigkeiten	Bis Rechtskraft + Verjährung	§ 199 / § 197 BGB	Geltendmachung/Abwehr von Ansprüchen.
Audit-Logs (Compliance)	10 Jahre	Art. 5 Abs. 2 DSGVO	Rechenschaftspflicht ggü. Aufsichtsbehörden.

Lifecycle-Prozess (5 Phasen)

1 · Austritt erkannt Tag 0 · HR · Vorgesetzte*r

Trigger: HR-System meldet Austrittsdatum. Austritts-Event ins Audit-Log, Notification, Sperr-Job geplant.
2 · Zugriff sperren Tag 0 · automatisch

Login deaktivieren, API-Tokens revoken, Sessions beenden, IT-Berechtigungen inaktiv setzen.
3 · Sichtbarkeit entfernen 1–7 Tage · System · Compliance

Aus aktiven Rollen-Listen und operativen Sichten entfernen; verbleibt nur in Audit-Logs.
4 · Operative Daten anonymisieren 30 Tage · DSB

Name → „Mitarbeiter*in #<Personalnr.>", E-Mail → null, Qualifikationen anonymisiert, Audit-Logs unverändert.
5 · Auditdaten archivieren nach 10 J. · Compliance · IT-Ops

Audit-Logs in Cold-Storage; endgültige Löschung erst nach gesetzlicher Frist + dokumentierter Freigabe.

Anonymisierung

Personenbezug irreversibel entfernt.

Generische Platzhalter (Name → „Mitarbeiter*in #4571"); Re-Identifikation ausgeschlossen, Daten fallen aus dem DSGVO-Anwendungsbereich (ErwGr. 26).

Pseudonymisierung

Personenbezug nur über separaten Schlüssel.

Hash/UUID statt Klardaten; Zuordnungs-Schlüssel getrennt aufbewahrt. Während laufender Aufbewahrungspflicht; Schlüssel-Löschung macht Logs faktisch anonym.

Physische Löschung

Daten aus allen Systemen entfernt.

Löschung aus Produktiv-DB + Crypto-Erase in Backups + alle Replikationen; verifizierter Abschluss revisionssicher protokolliert.

Ausnahmen & Sonderfälle

Ausnahmen von der Löschpflicht (Art. 17 Abs. 3 DSGVO)

lit. b — Rechtliche Verpflichtung: gesetzliche Aufbewahrung (HGB, AO, ArbSchG); Zugriff aufs Minimum eingeschränkt.
lit. e — Rechtsansprüche: bei laufenden Streitigkeiten bleiben relevante Daten bis zur rechtskräftigen Entscheidung.
lit. d — Statistische Zwecke: aggregierte, anonymisierte Auswertungen bleiben erhalten.

Sonderfälle im Beschäftigungsverhältnis

Aufhebungsvertrag / fristlose Kündigung: sofortige Sperrung; Anwesenheits-/Zugriffsdaten nach § 26 BDSG bis Abschluss möglicher Streitigkeiten.

Längere Abwesenheit (Elternzeit, Pflege): Sichtbarkeit pausiert (nicht entfernt); Compliance-Berechnung pausiert; automatische Reaktivierung.

Konzern-interner Wechsel: Stammdaten transferiert, Qualifikationen mitgenommen, alte Zuordnung im Audit-Log konserviert (Art. 26 DSGVO).

Tod der/des Beschäftigten: sofortige Anonymisierung; gesetzlich aufzubewahrende Daten verbleiben bei HR / Lohnbuchhaltung.

Audit-Trail · Compliance-Anlaufstelle

Audit & Nachvollziehbarkeit

Jede operative Änderung mit Audit-Relevanz wird revisionssicher protokolliert. Audit-Logs sind nicht löschbar — auch nicht durch Administratoren.

Demo

Audit-Trail aktiv — diese Sektion ist die Live-Anlaufstelle für Auditoren und die Compliance-Funktion.

Events (letzte 24h)

Kritisch

Warnungen

∞

Aufbewahrung

Letzte Audit-Events

Live-Timeline

Info

Maria Schmidt · Sichtbarkeits-Scope für Rolle „Bereichsleiter*in" angepasst

Produktion · Werk Wolfsburg

Heute, 09:14

Warnung

System · 12 Pflicht-Unterweisungen als überfällig markiert

Sicherheit · 3 Kostenstellen

Heute, 06:00

Kritisch

Maria Schmidt · Privilegierten Zugriff entzogen

SAP FI/CO · Patrick Lenz

Gestern, 16:42

Info

Thomas Weber · Jahres-Review abgeschlossen

Sandra Vogel · HR Wolfsburg

Gestern, 11:08

Warnung

System · Mitarbeiter*in anonymisiert (Lifecycle-Schritt 4)

Personalnr. 4571 · 30 T. nach Austritt

12.05.2026

Protokollierte Ereignis-Kategorien

Rollen & Sichtbarkeit

Rolle zugewiesen/entzogen, Scope geändert, Vererbung umgeschaltet.

Qualifikationen

Skill zugewiesen/bestätigt, Level geändert, als verfallen markiert.

Unterweisungen

Zugewiesen, abgeschlossen, Recert-Mahnung versendet.

Kostenstellen / Organisation

Erstellt/umbenannt, Hierarchie verschoben, archiviert.

IT-Berechtigungen

Beantragt/genehmigt/abgelehnt, entzogen, Ablauf-Mahnung.

Compliance-Events

Pflicht-Verletzung erkannt, Eskalation, Audit-Bericht generiert.

Audit-Record-Struktur

Pro Event revisionssicher protokolliert:

{
  "id": "audit-event-id-uuid",
  "timestamp": "2026-05-15T09:14:23.000Z",
  "actor": { "name": "Maria Schmidt",
             "role": "IT Security Lead" },
  "action": "permission.revoke",
  "target": { "type": "employee",
              "name": "Patrick Lenz" },
  "context": { "system": "SAP FI/CO",
               "reason": "Austritt geplant" },
  "severity": "critical",
  "ipAddress": "10.x.x.x (gehasht)"
}

Audit-Zugriff — Wer darf was sehen

Compliance / Audit: vollständiger Read-Access auf alle Audit-Logs; kann Records schreiben, aber keine löschen oder ändern.
Geschäftsführung: Read-Access auf aggregierte Reports; keine Personen-Detail-Sicht ohne Compliance-Freigabe.
Administratoren: sehen System-Konfigurationsänderungen, aber keine operativen Personen-Events; eigene Aktionen werden protokolliert.
Mitarbeiter*innen: erhalten auf Antrag (Art. 15 DSGVO) eine Übersicht der eigenen Audit-Events.

Zweckbindung & Abgrenzung

Rechtliche Einordnung

Grundlage für Betriebsvereinbarung, DSFA und Datenschutz-Audit.

Demo

Was die Plattform leistet

Qualifikationsmanagement — Erfassung, Pflege und Nachweis beruflicher Qualifikationen für die Einsatzplanung.
Unterweisungssteuerung — Organisation gesetzlich vorgeschriebener Pflicht-Unterweisungen inkl. Rezertifizierung.
Compliance-Nachweis — auditfähige Dokumentation für externe Audits (ISO, IATF, ATEX, BG) und interne Revision.
Workforce Operations — Unterstützung von Führungskräften bei arbeits- und sicherheitsrechtlicher Verantwortung im eigenen Bereich.

Was die Plattform NICHT leistet

Keine Leistungsüberwachung — keine Arbeitsleistung, Zielerreichung oder Output-Tracking.
Keine Mitarbeiterbewertung — keine subjektiven Bewertungen, Persönlichkeitsmerkmale, weiche Faktoren.
Keine Verhaltenskontrolle — keine Auswertung des Arbeitsverhaltens; Aktivitätsdaten nicht personenbezogen aggregiert.
Keine Profilbildung — keine Persönlichkeitsprofile, Verhaltensmuster oder Persönlichkeitstests.

Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Grundlage	Artikel	Beschreibung
Vertragserfüllung	Art. 6 Abs. 1 lit. b	Verarbeitung der Qualifikationen ist zur Erfüllung des Arbeitsvertrags erforderlich (Einsatzplanung, Einarbeitung).
Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c	Pflicht-Unterweisungen (§ 12 ArbSchG, § 6 GefStoffV, § 14 BetrSichV) sind gesetzlich vorgeschrieben.
Berechtigtes Interesse	Art. 6 Abs. 1 lit. f	Compliance-Reporting, Audit-Vorbereitung, IT-Security-Governance — soweit Betroffeneninteressen nicht überwiegen.

Mitbestimmung & Vereinbarkeit mit BetrVG

Da die Plattform keine Verhaltens- oder Leistungskontrolle ermöglicht (§ 87 Abs. 1 Nr. 6 BetrVG nicht einschlägig), unterliegt sie nicht der erzwingbaren Mitbestimmung. Eine freiwillige Betriebsvereinbarung wird dennoch empfohlen — sie schafft Transparenz und dokumentiert die Zweckbindung. Mustertext im Bereich „Dokumente & Exporte".

§ 87 Abs. 1 Nr. 6 (technische Überwachung): nicht erfüllt — weder Verhalten noch Leistung werden überwacht.
§ 87 Abs. 1 Nr. 1 (Ordnung im Betrieb): bei Sichtbarkeits-/Rechte-Konzepten Abstimmung mit Betriebsrat empfohlen.
§ 96 (Bildungsmaßnahmen): Mitbestimmung bei Ausgestaltung von Qualifikations-Programmen kann einschlägig sein.

Governance-Assets

Dokumente & Exporte

Versionierte, freigegebene Governance-Dokumente. CI-konforme PDF-Exporte mit Titelblatt, Änderungsverlauf und Verantwortlichkeit.

Demo

Dokument	Version	Status	Geändert
Rollen- & Rechtekonzept 18 Seiten · Freigabe: Compliance + IT Security	v1.4.2	Freigegeben	12.05.2026
DSGVO- & Datenschutzrichtlinie 24 Seiten · Freigabe: DSB + GF	v2.1.0	Freigegeben	28.04.2026
Löschkonzept & Datenlebenszyklus 12 Seiten · Freigabe: DSB + HR	v1.2.0	Freigegeben	07.05.2026
Auditierungsrichtlinie 16 Seiten · Freigabe: Compliance + IT Security	v1.0.3	Freigegeben	20.04.2026
Rechtliche Einordnung & Zweckbindung 22 Seiten · Freigabe: Rechtsabteilung + Betriebsrat	v1.1.0	Freigegeben	02.05.2026
Muster-Betriebsvereinbarung 8 Seiten · Noch keine Freigabe	v0.9	In Review	10.05.2026
Audit-Vorbereitung Checkliste 4 Seiten · Freigabe: Compliance	v1.0.0	Freigegeben	15.03.2026
Onboarding Compliance Checkliste 3 Seiten · Noch keine Freigabe	v0.5	Entwurf	08.05.2026

PDF-Renderer folgt in einer eigenen Welle (Backend). Heute Stub — die Inhalte stehen in den Sektionen oben.

PDF-Anforderungen

Titelblatt mit Titel, Version, Datum, verantwortlicher Stelle, Freigabe-Personen.
Versionierung mit semantischer Notation (X.Y.Z), sichtbar im Seiten-Header.
Änderungsverlauf als eigene Section am Ende.
CI-konform — Q-Hub-Marken, Schriften, Theme-Farben.
Auditfähig — DocID, Hash, Timestamp pro Seite, revisionssicher signiert.

Freigabe-Workflow (Vier-Augen-Prinzip)

1 · Entwurf erstellen
Verantwortliche Stelle erstellt initial.
2 · Inhaltliche Review
Compliance prüft Inhalt + DSGVO-Konformität.
3 · Rechtliche Review
Rechtsabteilung + ggf. Betriebsrat prüfen.
4 · Freigabe-Signaturen
Min. 2 Berechtigte unterzeichnen.
5 · Veröffentlichung
Als „freigegeben" markiert, Version fest, alte Version archiviert.