Datenschutz,
der Vertrauen schafft.
Unser Konzept, wie die Vergütungsanalyse die Gehalts- und Personaldaten Ihrer Mitarbeitenden schützen soll — technisch nachweisbar und rechtlich sauber gedacht.
Für Geschäftsführung, HR & Datenschutzbeauftragte
Sascha Kubak · sascha.kubak@next-gen-consulting.de
Datenschutz auf zwei Ebenen erklärt.
Diese Präsentation zeigt unser Datenschutz-Konzept — den Ansatz, nach dem wir die Vergütungsanalyse bauen. Sie richtet sich an Geschäftsführung & HR und Datenschutzbeauftragte. Einiges ist bereits umgesetzt, vieles ist geplant — wir sagen jeweils, was schon steht und was wir noch bauen.
So schützen wir die Daten
Pseudonymisierung im Browser · Datenminimierung · Privacy by Design
Ehrlich & rechtssicher
Pseudonym ≠ anonym · Rollen & AVV · Rechtsgrundlage · EU-Hosting
Betriebsmodelle: SaaS vs. On-Premise
Hosting-Optionen · Vergleich · Empfehlung · Umsetzung & Datenschutz
Rechte, Pflichten & Fazit
Betroffenenrechte · Löschkonzept · DSFA & Betriebsrat · nächste Schritte
So schützen wir
die Daten.
Datenschutz soll keine nachträgliche Schicht sein, sondern von Anfang an in der Architektur verankert. Drei Prinzipien leiten unseren Ansatz.
Klarnamen verlassen Ihren Browser nicht.
Die Pseudonymisierung passiert bereits auf dem Rechner Ihrer HR — bevor irgendein Datum unsere Server erreicht.
Excel im Browser
Ihre Gehaltsliste wird lokal im Browser eingelesen — nicht hochgeladen.
Pseudonym statt Name
Die Personalnummer wird mit einem geheimen Schlüssel zu einem nicht umkehrbaren Code (SHA-256) verrechnet.
Nur Codes an uns
An unsere Server geht ausschließlich pseudonymisiertes Datenmaterial — keine Namen.
Nur, was die Analyse wirklich braucht.
Verarbeitet — pseudonymisiert
- Pseudonym statt Klarname
- Geschlecht (für die Pay-Gap-Analyse)
- Geburts- und Eintrittsjahr
- Gehalt, Bonus, Wochenstunden
- Position, Level, Abteilung, Standort
- Manager-Pseudonym (für Favoritismus-Check)
Bewusst NICHT gespeichert
- Klarnamen der Mitarbeitenden
- Klartext-Personalnummern
- Adressen oder Kontaktdaten
- Klartext-IP-Adressen (nur gehasht)
- Freitext-Personalakten / Bewertungen
Privacy by Design — eingebaut statt aufgesetzt.
Technische Maßnahmen
- Pseudonymisierung im Browser
- Strict-Schema weist Klarnamen ab
- Eigener Schlüssel je Kunde — keine Verkettung
- Verschlüsselung & rollenbasierter Zugriff
Nachvollziehbarkeit
- Lückenloses Audit-Log (mit gehashter IP)
- Unveränderbare Stichtags-Snapshots
- Signierte PDF-Reports (SHA-256-Prüfsumme)
- Trennung Admin- / Kundenrolle
Ehrlich bleiben.
Rechtssicher arbeiten.
Wir versprechen keine Anonymität, die wir nicht halten können. Stattdessen benennen wir die Grenzen offen — und wollen sie technisch und vertraglich absichern.
Pseudonym ist nicht anonym — und das sagen wir.
Pseudonymisierte Daten bleiben rechtlich personenbezogen (Erwägungsgrund 26 DSGVO). Wir gehen dieses Restrisiko bewusst an, statt es zu verschweigen.
Re-Identifikation
Wer Schlüssel und Originalliste besitzt, kann rückverknüpfen. In kleinen Gruppen genügt schon die Kombination aus Position, Standort und Geschlecht.
So begrenzen wir es
Schlüssel-Zugriff nur für Import-Berechtigte · Auswertungen erst ab einer Mindestgruppengröße · Einzelfälle nur für berechtigte Rollen, protokolliert. (geplant)
Klare Rollen, klarer Vertrag.
Sie bestimmen Zweck und Mittel — es sind die Daten Ihrer Beschäftigten.
Wir verarbeiten ausschließlich weisungsgebunden in Ihrem Auftrag.
Hosting in der EU — als Unterauftragsverarbeiter gelistet.
Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
Ist verpflichtend — wir werden ihn bereitstellen, inklusive Unterauftragsverarbeiter-Liste und der dokumentierten Schutzmaßnahmen.
Es gibt einen klaren Rechtsrahmen.
Entgelttransparenzrichtlinie 2023/970
Pflicht zum Gender-Pay-Gap-Reporting — Umsetzung bis Juni 2026. (Art. 6 (1) c DSGVO)
§ 26 BDSG
Verarbeitung von Beschäftigtendaten für Zwecke des Arbeitsverhältnisses.
Berechtigtes Interesse
Diskriminierungsfreie, konsistente Vergütungsstruktur. (Art. 6 (1) f DSGVO)
Aus der Pflicht wird ein Vorteil
Die EU-Richtlinie macht die Analyse nicht nur zulässig — sie macht sie ab 2026 zur gesetzlichen Pflicht. Wer jetzt sauber aufsetzt, ist vorbereitet.
Ihre Daten bleiben in der EU.
EU-Datenresidenz aktiv
Betrieb auf Cloudflare (Anwendung, Datenbank, Datei-Speicher). Die Daten ruhen in europäischen Rechenzentren.
Restrisiko, das wir absichern
Cloudflare ist ein US-Konzern (CLOUD Act). Die EU-Residenz reduziert das Risiko; absichern wollen wir es über Standardvertragsklauseln im AVV.
Zwei Betriebsmodelle.
Eine klare Empfehlung.
Die Vergütungsanalyse lässt sich als Cloud-Dienst (SaaS) durch uns betreiben — oder bei Ihnen im Haus (On-Premise). Datenschutzrechtlich macht das den größten Unterschied.
SaaS oder On-Premise?
Wir betreiben es
- NGC = Auftragsverarbeiter → AVV zwingend
- Daten liegen bei uns (Cloudflare, EU-Residenz)
- Drittland-Thema → SCCs + TIA nötig
- Wir verantworten Betrieb, Updates, Backups
- Vorteil: null Betriebsaufwand für Sie
Sie hosten es im Haus
- Daten verlassen Ihr Haus nie
- NGC i.d.R. kein Auftragsverarbeiter
- Kein Drittlandtransfer
- Sie verantworten den sicheren Betrieb
- Vorteil: volle Datenhoheit, leichte DS-Freigabe
Unsere Empfehlung: On-Premise.
Was dafür spricht
- Keine Rolle als Auftragsverarbeiter (kein Datenzugriff)
- Kein Drittlandtransfer, schlankere DSFA
- Einfacheres Vertragswerk (Lizenz statt AVV + SCCs)
Was Sie übernehmen
- Sicherer Betrieb: Server, Backups, Updates
- TOMs in Ihrer Verantwortung (Art. 32)
- Wir liefern Software, Updates & Härtungs-Checkliste
Wenn doch Cloud gewünscht ist
Bleibt die SaaS-Variante voll verfügbar — mit AVV, SCCs und nachgewiesenen Schutzmaßnahmen. Sie wählen, wir richten beides DSGVO-konform ein.
On-Premise — so setzen wir's um.
Die Anwendung wird vollständig containerisiert auf einem Server betrieben, den der Kunde kontrolliert — gehosteter EU-Server oder im eigenen Haus. Portabel, ohne Cloud-Lock-in.
Der Weg in 5 Schritten
- 1 Paketierung — Container → k3s, reproduzierbar (Infrastructure as Code)
- 2 Bereitstellung & Härtung — gehärteter EU-Server, verschlüsselte Datenträger, VPN, SSH-Key-only
- 3 Perimeter-Verdrahtung — kein offener Inbound, nur definierte EU-Ausgänge
- 4 Datensicherung & Wiederanlauf — verschlüsselte EU-Backups, getestete Wiederherstellung
- 5 Beobachtung & Go-Live — Audit-Log, Monitoring, kontrollierter Start
Was der Server braucht
- Moderat: 4–8 vCPU, 16–32 GB RAM
- Verschlüsselter NVMe-Speicher, gespiegelt (RAID1)
- Gehärtetes Linux, Container-Laufzeit, k3s
- Gehosteter EU-Server oder on-prem im Haus
- Optional: GPU nur für lokales Open-Weight-Modell
Self-Hosting — Datenschutz by Design.
Datenhoheit & Perimeter
- EU-Datenresidenz — alle Daten verschlüsselt auf EU-Datenträgern
- Geschlossener Perimeter — kein offener eingehender Port
- Zugang nur über VPN + verschlüsselt (TLS)
- Nur kontrollierte, definierte EU-Ausgänge (Egress-Allowlist)
Schutz & Nachweis
- Verschlüsselung at rest & in transit
- Least Privilege / RBAC, lückenloses Audit-Log (TOMs Art. 32)
- Re-Identifikations-Schlüssel verlässt den Perimeter nie
- Sie besitzen den Server, NGC betreibt im Auftrag (AVV Art. 28)
Rechte der Mitarbeitenden — erfüllbar.
Auskunft, Berichtigung, Löschung
Erfüllbar über Ihr internes Personalnummer-zu-Pseudonym-Mapping. Wir unterstützen jeden Antrag weisungsgebunden. (Art. 15–22 DSGVO)
Löschkonzept
Definierte Aufbewahrungsfristen (Vorschlag: 3 Jahre Audit-Zeitraum), danach automatische Löschung. Schlüssel-Rotation als „digitales Vergessen".
Zwei Pflichten, bei denen wir zuliefern.
Datenschutz-Folgenabschätzung
Bei systematischer Gehaltsauswertung wahrscheinlich verpflichtend. Wir bereiten dafür eine DSFA-Vorlage mit Risikobewertung vor.
Betriebsrat einbinden
Die Auswertung von Vergütung ist mitbestimmungsnah. Wir liefern die Informations- und Argumentationsgrundlage für die Beteiligung.
Sie bleiben Verantwortlicher
Diese Pflichten liegen beim Arbeitgeber — wir machen Ihnen die Erfüllung mit Vorlagen und Zuarbeit so leicht wie möglich.
Datenschutz als Vertrauensvorsprung.
Eingebaut
Pseudonymisierung & Datenminimierung im Kern — Klarnamen erreichen uns nicht. (bereits umgesetzt)
Ehrlich
Pseudonym ist nicht anonym — wir benennen Grenzen und sichern sie ab.
Rechtssicher
Klare Rechtsgrundlage heute; AVV, EU-Hosting & DSFA-Vorlage in Vorbereitung.
