Verzeichnis für Verarbeitungstätigkeiten
gem. Art. 30 Abs. 1 DSGVO
GG Hair
vom 14.09.2025
1. Kontaktdaten des Verantwortlichen
Name: GG Hair
Adresse: 8259 Kaltenbach
E-Mail-Adresse: info@gg-hair.ch
2. Verarbeitungstätigkeiten
2.1 Personalwesen
2.1.1 Arbeitszeiterfassung
Zweck der Datenverarbeitung: Lohnabrechnung und Kontrolle der Einhaltung der gesetzlichen und vertraglichen Bestimmungen
Kategorien betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Name, Zeitpunkt des Arbeitsbeginns und des Arbeitsendes
Kategorien von Empfängern: Unternehmensführung, Personalabteilung, Steuerbehörden, Steuerberater
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Arbeitsvertrag) und lit. c DSGVO (gesetzliche Pflichten, z. B. ArbZG)
Löschfrist: 2 Jahre für reine Arbeitszeitnachweise, die aus ArbZG-Gründen vorgehalten werden müssen. Steuerlich relevante Nachweise: 6 Jahre (§ 147 AO).
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.2 Durchführung von Bewerbungsprozessen
Zweck der Datenverarbeitung: Begründung und Durchführung von Beschäftigungsverträgen
Kategorien betroffener Personen: Bewerber
Kategorien personenbezogener Daten: Bewerberdaten
Kategorien von Empfängern: Unternehmensführung, Personalabteilung, Abteilungsleitung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung), § 26 BDSG
Löschfrist: Löschung mit Vertragsbeendigung/Kündigung, Löschung mit Ende der Erforderlichkeit, 6 Monate gemäß § 61 b Abs. 1 ArbGG i.V.m. § 15 AGG
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.3 Lohnbuchhaltung
Zweck der Datenverarbeitung: Begründung, Durchführung und Beendigung von Beschäftigungsverträgen, Berechnung der Lohnzahlung
Kategorien betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Beschäftigtenstammdaten, Religionszugehörigkeit
Kategorien von Empfängern: Personalabteilung, Banken, Steuerbehörden, Steuerberater, Sozialversicherungsträger, Krankenkassen
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Arbeitsverhältnis und gesetzliche Pflichten), Art. 9 Abs. 2 lit. b DSGVO (Verarbeitung besonderer Kategorien im Arbeitsrecht), § 26 BDSG (Datenverarbeitung für Beschäftigungsverhältnis)
Löschfrist: 6 Jahre für Lohnunterlagen (z. B. § 41 EStG), in Einzelfällen 10 Jahre, sofern nach Handelsrecht (§ 257 HGB) als Buchungsbelege eingestuft.
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.4 Mitarbeiterbewertungen
Zweck der Datenverarbeitung: Feedback an Mitarbeiter
Kategorien betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Name, Personalnummer, Bewertungsdaten
Kategorien von Empfängern: Personalabteilung, Vorgesetzte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Arbeitsverhältnisses)
Löschfrist: 3 Jahre nach Ende des Arbeitsverhältnisses
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.5 Erstellung von Arbeitszeugnissen
Zweck der Datenverarbeitung: Nachweis über die Tätigkeit des Mitarbeiters und seinen Leistungen
Kategorie betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Name, Geburtsdatum, Angaben zu Position und Tätigkeitsfeld, Leistungsbeurteilung, Verhaltensbewertung, Angaben zu Name und Position des Zeugnisverfassers
Kategorien von Empfängern: Personalabteilung, Vorgesetzte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2 Marketing
2.2.1 Website
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Websitebesucher
Kategorien personenbezogener Daten: Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Trackinganbieter
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Online-Präsenz, Außendarstellung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.2 Newsletter
Zweck der Datenverarbeitung: Marketing und Werbezwecke, Versand von Newslettern
Kategorien betroffener Personen: Empfänger von Marketingmaßnahmen
Kategorien personenbezogener Daten: Kontaktdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Newsletteranbieter
Übermittlungen an Drittländer bzw. internationale Organisationen: NeinJa, es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.3 Social-Media: Facebook
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Nutzer
Kategorien personenbezogener Daten: Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)
Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Facebook/Meta
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.4 Social-Media: Instagram
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Nutzer
Kategorien personenbezogener Daten: Profildaten, Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)
Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Instagram/Meta
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.5 E-Mail Marketing
Zweck der Datenverarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Kategorien betroffener Personen: Kunden, Interessenten
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse
Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. f DSGVO (Direktwerbung an Bestandskunden)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.6 Webtracking und Analyse
Zweck der Datenverarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts
Kategorien betroffener Personen: Kunden, Interessenten
Kategorien personenbezogener Daten: IP-Adresse, Verhaltensdaten
Kategorien von Empfängern: Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Cookies/Tracking) oder lit. f (berechtigtes Interesse, sofern rechtskonform umsetzbar)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3 Vertrieb
2.3.1 Kundenverwaltung und -datenbank (Privatkunden)
Zweck der Datenverarbeitung: Organisation der laufenden Kundenbeziehungen
Kategorien betroffener Personen: (Privat-)Kunden
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten
Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.2 Allgemeiner Kundenservice
Zweck der Datenverarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Anfragedaten
Kategorien von Empfängern: Kundenservice, Verkauf
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung, Kommunikation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.3 Annahme von Bestellungen/Aufträgen über ein Webportal
Zweck der Datenverarbeitung: Erfassungen von Kundendaten zur Einleitung von Vertragsabschlüssen (Bestellungen)
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Bestelldaten, Zahlungsinformationen
Kategorien von Empfängern: Verkauf, Einkauf, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.4 Verkauf über Handelsplattformen
Zweck der Datenverarbeitung: Vertrieb der Produkte
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Bestelldaten, Zahlungsinformationen
Kategorien von Empfängern: Verkauf, Einkauf, Handelsplattformen
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4 IT- und Kommunikationssysteme
2.4.1 Nutzung eines E-Mail-Systems
Zweck der Datenverarbeitung: Kommunikation mit internen und externen Kontakten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse
Kategorien von Empfängern: IT-Abteilung, Beschäftigte, Provider
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da das E-Mail-System bei einem Anbieter liegt, der die Daten in ein Drittland spiegelt oder dort verarbeitet. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kommunikation im Arbeits-/Kundenverhältnis) oder lit. f (Geschäftskommunikation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4.2 Kalender- und Terminverwaltung
Zweck der Datenverarbeitung: Planung und Organisation von Terminen und Veranstaltungen
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Terminkoordinierung) oder lit. f (Organisation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4.3 Chat- und Messenger-Dienste extern
Zweck der Datenverarbeitung: Kommunikation zwischen internen und externen Kontakten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kunden-/Lieferantenkontakt) oder lit. f
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4.4 Kontaktformulare und Chat-Tools
Zweck der Datenverarbeitung: Kommunikation und Interaktion mit Kunden und Interessenten
Kategorien betroffener Personen: Kunden, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Telefonnummer
Kategorien von Empfängern: IT-Abteilung, Verkauf, Marketing, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (Support/Service)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4.5 Telefonanlage
Zweck der Datenverarbeitung: Telefonische Kommunikation und Bereitstellung von Telefoniediensten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, Telefonnummer, IP-Adresse
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Geschäftskommunikation), lit. f
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.4.6 Angebot einer Kommentarfunktion
Zweck der Datenverarbeitung: Kommunikation und Interaktion mit Nutzern der Webseite oder Anwendung
Kategorien betroffener Personen: Kunden, Interessenten, Beschäftigte
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Kommentartext
Kategorien von Empfängern: IT-Abteilung, Marketing, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Interaktion), ggf. lit. a (Einwilligung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.5 Finanzen und Buchhaltung
2.5.1 Allgemeine Abwicklung des Zahlungsverkehrs
Zweck der Datenverarbeitung: Durchführung der Finanzbuchhaltung
Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister
Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten
Kategorien von Empfängern: Buchhaltungsbüro
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. c (Buchhaltungspflichten)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.5.2 Elektronischer Zahlungsverkehr
Zweck der Datenverarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten
Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister
Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten
Kategorien von Empfängern: Buchhaltungsbüro
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.5.3 Finanzbuchhaltung
Zweck der Datenverarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung, finanzwirtschaftliche Auswertung und Analyse, Erfüllung der Nachweispflicht
Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister
Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten
Kategorien von Empfängern: Buchhaltungsbüro
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten), lit. b (Vertrag)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.5.4 Mahnwesen und Inkasso
Zweck der Datenverarbeitung: Eintreiben offener Forderungen
Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister
Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten
Kategorien von Empfängern: Buchhaltungsbüro, Inkassonunternehmen
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Forderungseinzug), lit. f (berechtigtes Interesse)
Löschfrist: 10 Jahre, § 147 AO / § 257 HGB
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.5.5 Kassenbuch
Zweck der Datenverarbeitung: Erfüllung der gesetzlichen Verpflichtung
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten
Kategorien von Empfängern: Buchhaltungsbüro
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtl. Aufzeichnungspflichten)
Löschfrist: 10 Jahre nach § 147 AO
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
Rechtsgrundlage: