Datenschutzinformationen für Beschäftigte

 

Begriffe

Für die Zwecke der nachfolgenden Datenschutzinformationen gelten die folgenden Begriffe, wobei sich alle Personenbezeichnungen auf alle Geschlechter und die damit verbundenen Sprachformen beziehen und stets mit dem Zusatz “m/w/d” zu verstehen sind:

 

  1. Verantwortliche. Verantwortliche für die Datenverarbeitung ist die Kivent GmbH, Josef-Orlopp-Str. 56, 10365 Berlin, T: +49 (0) 30 / 629 30 25 20, E: info@kivent.de, Geschäftsführer: Johannes Kirsch, Datenschutzbeauftragte: STANHOPE Rechtsanwaltsgesellschaft mbH, request@thenextstanhope.de.
  2. Betroffene. Betroffene sind alle natürliche Personen, die Beschäftigte der Verantwortlichen sind, einschließlich Bewerber, aktueller und ehemaliger Beschäftigter.
  3. Personenbezogene Daten. Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.
  4. Verarbeitung personenbezogener Daten. Das ist jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.
  1. Einwilligung. Das ist eine nachweisbare Willenserklärung, mit der die Betroffenen einer konkreten Datenverarbeitung freiwillig und vorab zustimmen. 
  2. KI/Künstliche Intelligenz. Künstliche Intelligenz bezeichnet die Fähigkeit eines Systems, Aufgaben zu erledigen, die normalerweise menschliche Intelligenz erfordern. Dazu gehören unter anderem das Erkennen von Mustern, das Treffen von Entscheidungen, das Erlernen von neuen Informationen und das Anpassen an neue Situationen. KI nutzt Algorithmen und statistische Modelle, um Informationen zu analysieren und daraus Schlussfolgerungen zu ziehen.
  3. KI-System. Das ist ein softwarebasiertes System, das mithilfe von Algorithmen Aufgaben autonom oder teilautonom durchführt (z.B. Google Gemini, ChatGPT).
  4. KI-Modell. Ein KI-Modell ist ein mathematisches oder algorithmisches System, das durch maschinelles Lernen trainiert wurde, um spezifische Aufgaben zu erfüllen. Es basiert auf Datensätzen, um Muster zu erkennen, Vorhersagen zu treffen, Entscheidungen zu unterstützen oder andere automatisierte Funktionen auszuführen. KI-Modelle können in verschiedenen Formen auftreten, einschließlich neuronaler Netze, Entscheidungsbäume oder statistischer Algorithmen, und werden in der Regel genutzt, um datenbasierte Probleme effizient zu lösen. 
  5. LLM/Large Language Models/Große Sprachmodelle. Große Sprachmodelle sind eine spezialisierte Form von KI-Modellen, die darauf trainiert sind, natürlichsprachliche Texte zu verstehen und zu generieren. Sie basieren häufig auf tiefen neuronalen Netzwerken und verwenden riesige Mengen an Textdaten, um ihre Sprachfähigkeiten zu entwickeln. LLMs können Aufgaben wie Textvervollständigung, Übersetzung, Konversationsführung oder Stilanalyse durchführen. Beispiele sind Modelle wie GPT (Generative Pre-trained Transformer) von OpenAI. Diese Modelle sind in der Lage, menschlich klingende Texte zu produzieren und kontextbezogene Antworten zu geben, was sie besonders nützlich in Anwendungen wie Chatbots, virtuellen Assistenten und Content-Kreationstools macht.
  1. Soziale Medien / Upload in die Custom Audience. Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.
  2. Soziale Medien oder Videoeinbettungen / Veröffentlichung von Medienaufnahmen. Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk oder im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.

 

Hinweise an die Betroffenen

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.

(2) Beruht die Verarbeitung auf einer Einwilligung, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche).

(3) Beruht die Verarbeitung auf einem berechtigten Interesse, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.

(7) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt (Drittland) werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen. Beruft sich die Verantwortliche auf

  • Artikel 45 DSGVO, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet.
  • Artikel 46 DSGVO i.V.m. EU-Standardvertragsklauseln beruft, bedeutet dies, dass sich die empfangende Stelle vertraglich dazu verpflichtet hat, die Grundsätze des EU-Datenschutzrechts zu achten und dies auf Grundlage eines Mustervertrages der EU-Kommission.
  • Artikel 47 DSGVO beruft, bedeutet dies, dass die empfangende Stelle sich verbindlichen, internen Datenschutzvorschriften unterworfen hat, die von einer in der EU sitzenden Aufsichtsbehörde genehmigt wurden.
  • Artikel 49 Absatz 1 lit. a DSGVO beruft, bedeutet dies, dass die Betroffenen in Kenntnis aller Risiken der Datenübermittlung in ein Drittland zugestimmt hat.

 

Erwartbare Standarddatenverarbeitung

 

Anbahnung des Vertrages

Im Rahmen des Erstkontakts erhebt die Verantwortliche die personenbezogenen Daten der Betroffenen, indem diese sich – etwa per E-Mail, Telefon, Kontaktformular oder persönlich – an die Verantwortliche wenden, um sich auf ein Beschäftigungsverhältnis zu bewerben. Die Verantwortliche dokumentiert die von den Betroffenen übermittelten Daten (insbesondere Name, Kontaktdaten, Lebenslauf, Fotos), um die Bewerbung entgegenzunehmen, sie zu bewerten und den weiteren Ablauf – etwa die Organisation und Durchführung von Bewerbungsgesprächen sowie die Kommunikation über Zu- oder Absagen – zu gewährleisten. Die Verarbeitung umfasst damit die initiale Entgegennahme, die Durchführung des Bewerbungsverfahrens sowie die begleitende Kommunikation mit den Betroffenen. Zweck ist die Durchführung des Bewerbungsverfahrens bzw. die Anbahnung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Steuerliche Erfassung bei Einstellung

Die Verantwortliche erhebt und dokumentiert die personenbezogenen Stamm- und Steuerdaten der Betroffenen, um deren steuerliche Erfassung und sozialversicherungsrechtliche Meldung als Arbeitgeberin vorzunehmen. Dies umfasst insbesondere die erstmalige Aufnahme, Prüfung und Verarbeitung der steuer- sowie sozialversicherungsrelevanten Daten nach Aufnahme eines Beschäftigungsverhältnisses, einschließlich der Kommunikation mit Steuerbehörden und Sozialversicherungsträgern sowie der Vorbereitung der internen Lohnabrechnung und etwaiger Zuschläge. Hierbei werden folgende Daten verarbeitet: Name, Vorname, ggf. Anrede, Geburtsdatum, Anschrift, Steuer-Identifikationsnummer, Sozialversicherungsnummer, Steuerklasse, Religionszugehörigkeit (für Kirchensteuer), Familienstand, Arbeitspensum, Bankverbindung, Lohn- und Gehaltsangaben, Steuerfreibeträge, Eintrittsdatum, Angaben zu Kindern (z.B. Zahl der Kinder, Kindergeldanspruch, Kinderfreibetrag), Kommunikationsdaten (z.B. Korrespondenz mit Behörden), Angaben zu Krankenversicherung und Pflegeversicherung (Name der Kasse, Versicherungsnummer, Beitragsgruppe), Angaben zur Berufsgenossenschaft, Informationen zu etwaigen Nebenbeschäftigungen, Steuerliche Sondertatbestände (z.B. Befreiungen, Pauschalversteuerung, Mehrfachbeschäftigung), Angaben zu Schwerbehinderung (Grad der Behinderung, ggf. Zusatzfreibeträge), Angaben zu vermögenswirksamen Leistungen, Daten zu Steuerabzugsmerkmalen (z.B. Steuerberaterbeauftragung, Steuerklassenwechsel), weitere gesetzlich vorgeschriebene Merkmale zur steuerlichen und sozialversicherungsrechtlichen Einordnung. Die Verarbeitung dient der Erfüllung rechtlicher Verpflichtungen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. §§ 39e, 39b EStG, § 28a SGB IV.

 

Kommunikation mit Behörden, Kranken- und Sozialversicherungsträgern 

Die Verantwortliche informiert die zuständigen Krankenkassen sowie Sozialversicherungsträger erstmalig bei Aufnahme einer Beschäftigung und fortlaufend über relevante Änderungen im Beschäftigungsverhältnis der Betroffenen, soweit dies zur Erfüllung gesetzlicher Melde-, Auskunfts- und Beitragspflichten erforderlich ist. Die Verarbeitung umfasst insbesondere die Übermittlung personenbezogener Daten der Betroffenen im Rahmen gesetzlich vorgeschriebener Meldungen (z.B. Anmeldung, Abmeldung oder Unterbrechung der Beschäftigung, Lohnabrechnung, Änderung des Versichertenstatus) an die jeweils zuständigen Stellen. Hierbei werden folgende Daten verarbeitet: Name, Vorname, Geschlecht, Geburtsdatum, Sozialversicherungsnummer, Adresse, Staatsangehörigkeit, Angaben zur Krankenversicherung, Beginn und Ende der Beschäftigung, Entgelthöhe, Steuer- und Beitragsdaten, Beschäftigungsstatus, Berufsbezeichnung, Arbeitszeiten, Kontodaten (soweit zur Beitragserhebung erforderlich), Angaben zu Unterbrechungs- oder Änderungszeiträumen, ggf. Familienstand, ggf. Angaben zu beitragsfreien oder ermäßigten Versicherungstatbeständen. Erfüllung gesetzlicher Melde-, Auskunfts- und Nachweispflichten gegenüber Krankenkassen und Sozialversicherungsträgern gemäß § 41a EStG, § 198 SGB V sowie zugehörigen sozialversicherungsrechtlichen Vorschriften. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41a EStG, § 198 SGB V. 

 

Führung eines Lohnkontos

Die Verantwortliche verarbeitet personenbezogene Daten der Betroffenen zur ordnungsgemäßen Führung des Lohnkontos. Die Verarbeitung umfasst die Erhebung und laufende Pflege sämtlicher lohnrelevanter Daten der Betroffenen, um die gesetzlichen Dokumentations- und Nachweispflichten zu erfüllen. Hierzu zählen die fortlaufende Aktualisierung der Beschäftigungs- und Gehaltsdaten, die Dokumentation von Abzügen, Zuschlägen und sonstigen lohnbezogenen Vorgängen sowie die Sicherstellung, dass das Lohnkonto jederzeit zur steuerlichen und sozialversicherungsrechtlichen Überprüfung vorgelegt werden kann. Hierbei werden folgende Daten verarbeitet: Name, Vorname, Geschlecht, Geburtsdatum, Adresse, Steuer-Identifikationsnummer, Sozialversicherungsnummer, Beginn und Ende des Beschäftigungsverhältnisses, Gehaltshöhe, Steuerklasse, Abzugsmerkmale (Kirchensteuer, Kinderfreibeträge etc.), Angaben zur Kranken-, Pflege-, Renten- und Arbeitslosenversicherung, Zahlungen und Abzüge (Brutto-/Nettogehalt, Zuschläge, Vorschüsse, Sachbezüge), Beschäftigungsumfang und Arbeitszeiten, Bankverbindung, ggf. Angaben zu Elternzeit oder weiteren steuer- und beitragsrelevanten Statustatbeständen. Zweck ist der Erfüllung einer rechtlichen Verpflichtung nach § 41 EStG. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41 EStG.

 

Durchführung des Beschäftigungsverhältnisses

Im aktiven Beschäftigungsverhältnis werden alle Zugangs- und/oder Kommunikationsdaten im Zusammenhang mit der Erfüllung des Beschäftigungsvertrages (z.B. E-Mails) verarbeitet. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Vergütung der Beschäftigten

Die Verantwortliche verarbeitet personenbezogene Daten der Betroffenen, um die vereinbarte Vergütung im Rahmen des bestehenden Arbeitsverhältnisses auszuzahlen. Hierbei werden sämtliche zur Berechnung, Überweisung und Dokumentation des Arbeitsentgelts notwendigen Daten genutzt. Die Verarbeitung umfasst die Berechnung des individuellen Brutto- und Nettogehalts einschließlich eventueller Zuschläge, Abzüge oder Sachleistungen, die Übermittlung von Zahlungsdaten an die zuständigen Finanzinstitute für die Auszahlung, die Erstellung und Archivierung von Lohnabrechnungen sowie die Durchführung sonstiger lohnbezogener Zahlungen (wie z.B. Bonus, Prämien, Reise- und Fortbildungskosten). Hierbei werden folgende Daten verarbeitet: Name, Vorname, Geburtsdatum, Adresse, Bankverbindung (IBAN/BIC), Beschäftigungsbeginn und -ende, Gehaltshöhe, Steuerklasse, Sozialversicherungsnummer, Angaben zu Zuschlägen und Abzügen, Überstunden, Bonuszahlungen, Prämien, Sachbezüge, Abrechnungsergebnisse (Brutto/Nettolohn), Leistungsnachweise, ggf. Angaben zu steuer- und beitragsrelevanten Sachverhalten. Zweck ist die Erfüllung des Beschäftigungsvertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. b DSGVO.

 

Veränderungen bei der Datenverarbeitung

Sofern die Verantwortliche die Verarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen per E-Mail übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

 

Ansprüche, Rechte und Konflikte im Vertragsverhältnis

Im Fall eines (arbeits-)rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärung abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem arbeitsrechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, arbeitsrechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt. Soweit Daten extern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

 

Aufbewahrung und Löschung

(1) Nach Ende des Beschäftigungsverhältnisses werden alle vorgenannten Daten, die noch gespeichert werden, aufbewahrt. Hinsichtlich der Aufbewahrung ergeben sich Zweck und Rechtsgrundlage aus der untenstehenden Auflistung der Aufbewahrungszeiträume (Absatz 2)

(2) Es gelten folgende Aufbewahrungszeiten:

  • Interne Aufzeichnungen, die keine Buchungsbelege sind (z.B. Jahresabschlüsse), sind 10 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Buchungsbelege sind 8 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten aus der Dokumentation der Arbeitszeit sind 2 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 16 ArbZG, § 17 MiLoG.
  • Daten aus dem Lohnkonto sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem die letzte eingetragene Lohnzahlung erfolgt. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41 EstG.
  • Daten über den Krankenversicherungsstatus und Krankschreibungen werden 5 Jahre aufbewahrt. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 198 SGB V und § 165 SGB VII.
  • Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO). 
  • Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
  • Daten, die auf einer Einwilligung beruhen, sind bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufzubewahren, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Daten, die die Erteilung der Einwilligung beweisen, sind 3 Jahre aufzubewahren, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
  • Daten aus einer Bewerbung werden 6 Monate aufbewahrt, beginnend mit dem Zeitraum des Zugangs der Absage. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche aus dem AGG zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus der Fristenregelung in § 15 Absatz 4 UWG zzgl. der Zeit, nach der der Eingang einer Beschwerde nicht mehr erwartet werden kann.
  • […]

 

Außergewöhnliche Datenverarbeitung

 

aktives Recruiting

Vor dem Bewerbungsverfahren recherchiert die Verantwortliche Daten über potenzielle Beschäftigte; dies aus allgemein zugänglichen Quellen. Sie kontaktiert die Betroffenen. Hierbei verarbeitet sie die für die Kontaktaufnahme erforderlichen Daten (z.B. Name, Anschrift, E-Mail-Adresse) sowie stellenspezifische Daten zu den Qualifikationen der Betroffenen (z.B. Abschlüsse, Zertifikate usw.). Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Online-Recruiting

Die Verantwortliche setzt ein Online-Recruiting-Tool ein, über das die Betroffenen, hier die Bewerber*innen, ihre Bewerbungsdaten hochladen können und über das sie sowohl die interne als auch die externe Kommunikation im Bewerbungsverfahren steuern kann. Hierbei verarbeitet sie die Daten, die die Betroffenen freiwillig über das Tool preisgeben, i.d.R. Name, Anschrift, Qualifikationen, Lebenslauf. Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Abfrage Zeugnisse und Nachweise

Die Verantwortliche fragt besondere Zeugnisse und Qualifikationen ab, die für die Berufsausübung unerlässlich sind. Hierbei verarbeitet sie die Daten, die aus den Zeugnissen und sonstigen, hierbei anfallenden Dokumenten hervorgehen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens bzw. später die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.  

 

Bildung Bewerbungspool

(1) In Ausnahmefällen ermöglicht die Verantwortliche den Betroffenen die Aufnahme in einen Bewerbungspool.

(2) Falls die Betroffenen sich auf Nachfrage der Verantwortlichen für die Aufnahme entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Die Verantwortliche speichert die Bewerbungsdaten, auch über die gesetzlichen Höchstspeicherfrist hinaus. Sie nutzt die Daten, um zu einem späteren Zeitpunkt zu prüfen, ob sie den Betroffenen ein weiteres Angebot für ein Beschäftigungsverhältnis unterbreiten will und ggf. nimmt sie zu diesem Zweck Kontakt mit ihnen auf.

 

Dokumentation Schlüssel, Transponder

Die Betroffenen erhalten in einigen Fällen Schlüssel, Transponder und/oder Chipkarten für den Zugang zu Betriebsräumen, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der o.g. Gegenstände. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.

 

Dokumentation betriebliche Hardware

Die Betroffenen erhalten in einigen Fällen betriebliche Hardware, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der Hardware. Zweck der vorgenannten Verarbeitungsvorgänge ist die innerbetriebliche Organisation der arbeitsvertraglich geschuldeten Leistung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.

 

Dokumentation Zugangsdaten

Die Betroffenen erhalten in einigen Fällen Zugangsdaten für betriebliche Soft- und Hardware, wobei die sowohl diese Zugangsdaten als auch die Zuordnung zu den jeweils Betroffenen erfasst und gespeichert werden. Die Vergabe selbst wird zudem protokolliert. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Zugangsdaten, Status der Vergabe der Zugangsdaten. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.

 

Videokonferenzen (ohne Aufzeichnung)

Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

Videokonferenzen (mit Aufzeichnung)

(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

(2) Die Betroffene zeichnet – in einigen Fällen – die Videokonferenzen auch auf.
a. Hierfür erfragt sie zunächst die Einwilligung der Betroffenen. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

b.Nur sofern die Betroffenen eingewilligt haben, zeichnet sie die Videokonferenz (vgl. Absatz 1) auf. Hierbei werden die Bild- und Tondaten dauerhaft bei externen Anbietern gespeichert. Zweck ist Dokumentation der Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

 

Erfüllung spezifischer Arbeitgeberpflichten

Im Beschäftigungsverhältnis verarbeitet die Verantwortliche personenbezogene Daten der Betroffenen zur Erfüllung weiterer, sich aus gesetzlichen Vorgaben ergebender Pflichten. Dazu zählen insbesondere:

  • Verarbeitung aller Daten über die Teilnahme an verpflichtenden Schulungen und Unterweisungen (z.B. Erste-Hilfe-Unterweisung, Datenschutzschulungen nach Artikel 32 DSGVO, Schulungen für EuP, Fahrsicherheitstrainings, Feuerlöschtrainings, IT-Schulungen), einschließlich Erfassung von Status und Zeitpunkten der Teilnahme.
  • Verarbeitung aller erforderlichen Daten bei der Bestellung und Ausgabe von Hard- oder Software, die aus arbeitsschutzrechtlichen Gründen bereitgestellt werden müssen (z.B. Bildschirmbrillen), einschließlich Nachweisen zur Erforderlichkeit, Bestell-, Liefer- und Inbetriebnahmezeitpunkten sowie Kosten.
  • Führung eines Verbandbuches inklusive Abheften und Verschließen der ausgefüllten Verbandbuchseiten, insbesondere Erfassung von Erste-Hilfe-Vorfällen, deren Art, Zeitpunkt, der ergriffenen Maßnahmen sowie der Identitäten der beteiligten Personen.
  • Verarbeitung aller Daten, die im Rahmen der Wahrnehmung betriebsärztlicher und betrieblicher augenärztlicher Untersuchungen anfallen, einschließlich Terminplanung, Status zur Wahrnehmung der Termine.
  • Verarbeitung aller Daten im Zusammenhang mit weiteren Schulungen, für die Schulungspflichten bestehen oder künftig entstehen.

Die Verarbeitung dient der Erfüllung rechtlicher Pflichten. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO. 

 

Reisekostenabrechnung

Die Verantwortliche erhebt, prüft und verarbeitet personenbezogene Daten der Beschäftigten zur Bearbeitung, Abrechnung und Erstattung von im Rahmen der betrieblichen Tätigkeit angefallenen Reisekosten.

  • Die Beschäftigten reichen die notwendigen Abrechnungsbelege (z. B. Reiseantrag, Fahrkarten, Hotelrechnungen, Bewirtungsbelege, Tankquittungen usw.) zusammen mit einem ausgefüllten Abrechnungsformular bei der Verantwortlichen ein.
  • Die Verantwortliche prüft die Anspruchsvoraussetzungen, erfasst alle erforderlichen personenbezogenen und reisebezogenen Angaben im Abrechnungssystem, dokumentiert die einzelnen Posten und erstellt die Reisekostenabrechnung.
  • Anschließend erfolgt die Auslösung und Dokumentation der Erstattung, welche in der Regel per Überweisung auf das Bankkonto der Betroffenen oder als Gehaltsbestandteil vorgenommen wird.
  • Im Rahmen der steuer- und prüfungsrechtlich erforderlichen Archivierung werden die relevanten Nachweise und Abrechnungen dokumentiert und aufbewahrt.

Die Verarbeitung dient der Bearbeitung, Abrechnung und Erstattung von dienstlich veranlassten Reisekosten der Beschäftigten; Erfüllung betrieblicher und steuerlicher Nachweis- und Aufbewahrungspflichten Rechtsgrundlage ist  Artikel 6 Absatz 1 Satz 1 lit. b DSGVO (Durchführung des Beschäftigungsverhältnisses) und lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen, insb. Steuer- und Aufbewahrungspflichten).

 

Beschäftigtenbenefits (mit berechtigtem Interesse)

(1) Die Verantwortliche bietet den Betroffenen in einigen ausgewählten Fällen an, sog. Beschäftigtenbenefits wahrzunehmen.

(2) Die Verantwortliche übermittelt die für die Gewährung der Benefits erforderlichen Kontaktdaten an externe Drittanbieterinnen (i.d.R. Name, Anschrift, Information, dass die Betroffenen bei der Verantwortlichen beschäftigt sind). Zweck ist die Gewährung von Vorteilen; dies zur Bindung von Beschäftigten und zur Steigerung der Arbeitgeberattraktivität. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Ob und bejahendenfalls, welche Benefits gewährt werden, ist Gegenstand einer arbeitsrechtlichen Abrede, die abstrakt von diesen Datenschutzinformationen ggf. noch zu treffen ist. Allein aus dem Umstand der Erwähnung dieser Möglichkeit, folgt kein Anspruch für die Betroffenen.

 

Anfertigung von Medienaufnahmen

(1) Die Verantwortliche ermöglicht den Betroffenen in einigen, ausgewählten Fällen Medienaufnahmen (Foto, Film, Ton) anfertigen zu lassen.

(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Von den Betroffenen werden Medienaufnahmen angefertigt und, soweit die Einwilligung reicht, in einigen, von der Verantwortlichen zu bestimmenden Fällen auch veröffentlicht. Hierbei verarbeitet sie die Bild-, Film- und Tondaten. Zweck ist die Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift. 

 

gesellschaftsrechtliche Reorganisation

Im Zuge gesellschaftlicher Reorganisationen wie Verschmelzung, Asset-Deal oder Share-Deal kann es dazu kommen, dass Beschäftigtendaten der Betroffenen auf eine neue oder übernehmende Entität übertragen werden. Die Verantwortliche prüft im Rahmen der jeweiligen Transaktion, ob und in welchem Umfang ein Betriebsübergang oder ein Wechsel der arbeitgebenden Gesellschaft vorliegt und welche Beschäftigtendaten auf die neue verantwortliche Stelle übergehen. Die Verarbeitung umfasst in diesem Zusammenhang

(1) die Ermittlung und Auswahl der relevanten Beschäftigtendaten, die für den Übergang erforderlich sind, die Prüfung der rechtlichen Zulässigkeit nach den arbeitsrechtlichen und datenschutzrechtlichen Vorschriften (insbesondere § 613a BGB, Artikel 6 Absatz 1 DSGVO) sowie die interne Abstimmung zur Sicherstellung der Interessen der Betroffenen,

(2) die tatsächliche Übertragung der Beschäftigtendaten auf die neue, rechtsnachfolgende oder erwerbende Entität unter Beachtung bestehender Vertraulichkeitsverpflichtungen, arbeitsrechtlicher Informations- und Beteiligungspflichten sowie Transparenzanforderungen; danach erfolgt die Weiterverarbeitung durch die neue Verantwortliche nach Maßgabe der gesetzlichen und ggf. vertraglichen Vorgaben. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO (Durchführung des Beschäftigungsverhältnisses, insbesondere im Rahmen eines Betriebsübergangs nach § 613a BGB), Artikel 6 Absatz 1 Satz 1 lit. c DSGVO (Erfüllung arbeitsrechtlicher, gesellschaftsrechtlicher und sozialversicherungsrechtlicher Pflichten), Artikel 6 Absatz 1 Satz 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Durchführung der Transaktion; Sicherstellung der rechtlichen und organisatorischen Kontinuität des Geschäftsbetriebes).

 

E-Mail-Prüfung (ohne KI)

Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.

 

Einsatz von LLM (KI-System)

Die Kommunikationsdaten werden auch mithilfe eines KI-Systems in Form eines sog. großen Sprachmodells (Large Language Model, LLM) verarbeitet. Dies verläuft wie folgt: 

  1. Eingabe des Prompts: Zunächst geben personalverantwortliche Beschäftigte der Verantwortlichen einen Prompt in das dafür vorgesehene Feld ein.
  2. Tokenisierung: Der Prompt wird dann in eine Form umgewandelt, die das KI-Modell, das dem KI-System zugrunde liegt, verstehen kann. Dies geschieht durch eine sog. Tokenisierung, bei der der Prompt in kleine Einheiten zerlegt wird, sog. Tokens.
  3. Verarbeitung durch das Modell: Die Tokens werden durch das Modell geleitet. Das KI-Modell besteht aus vielen Schichten, die jeweils unterschiedliche Teile des Prompts analysieren. Bei jedem Durchgang durch eine Schicht versteht das Modell den Prompt besser.
  4. Generierung der Antwort: Das KI-Modell nutzt die erlernten Muster und Strukturen, um eine Antwort zu erzeugen. Die Antwort selbst besteht aus Tokens. Das Modell sagt voraus, welche Tokens am wahrscheinlichsten als nächstes kommen, und setzt diesen Prozess fort, bis eine vollständige Antwort entsteht.
  5. Umwandlung in einen lesbaren Text: Die generierten Tokens werden schließlich wieder in lesbaren Text umgewandelt und als Antwort ausgegeben. Diese Antwort basiert auf den Daten, mit denen das Modell trainiert wurde, und den spezifischen Anweisungen des Prompts. Konkret wird diese Technologie eingesetzt, um
  • Kommunikation zusammenzufassen.
  • Kommunikation zu unterstützen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

KI-basierte Transkription 

Gespräche bzw. das gesprochene Wort der Betroffenen werden mithilfe eines KI-Systems transkribiert. Dies verläuft in technischer Hinsicht wie folgt: 

  1. Eingabe des Audiosignals: Zunächst wird das gesprochene Wort in Form eines Audiosignals an das Transkriptionssystem übermittelt, etwa durch ein Mikrofon während eines Gesprächs oder durch das Hochladen einer Audiodatei. Das System erhält damit eine zeitliche Folge von Schallwellen, die die gesprochenen Inhalte, aber auch Hintergrundgeräusche enthalten.
  2. Umwandlung in ein Maschinenformat: Das analoge Audiosignal wird in digitale Daten umgewandelt, indem das Signal in sehr kurzen Abständen abgetastet und in Zahlenwerte (Samples) übersetzt wird. Gleichzeitig können Vorverarbeitungsschritte wie Lautstärkeanpassung, Rauschunterdrückung oder das Herausfiltern bestimmter Frequenzbereiche erfolgen, um die Sprachanteile besser erkennbar zu machen.
  3. Zerlegung in Merkmale/Tokens: Die digitale Audiospur wird in kurze Zeitabschnitte aufgeteilt, sogenannte Frames, aus denen das System charakteristische Merkmale der Sprache (z.B. Frequenzspektren) berechnet. Diese Merkmale werden in eine Form gebracht, die das KI-Modell versteht, etwa als Vektoren oder akustische „Tokens“, die Lautfolgen und Sprechrhythmen repräsentieren.
  4. Verarbeitung durch das Spracherkennungsmodell: Diese akustischen Tokens werden durch das zugrunde liegende KI-Modell geleitet, das aus vielen Schichten besteht und Zusammenhänge zwischen Lautfolgen, Silben, Wörtern und typischen Sprachmustern lernt. Schicht für Schicht ordnet das Modell die gehörten Laute wahrscheinlichen Zeichen- und Wortfolgen zu und berücksichtigt dabei auch den sprachlichen Kontext eines Satzes.
  5. Generierung der Textsequenz: Auf Basis der erkannten Muster sagt das Modell voraus, welche Buchstaben, Silben oder Wörter mit höchster Wahrscheinlichkeit zu den gehörten Lauten passen. Schrittweise entsteht so eine Textsequenz, indem das System immer wieder das nächste wahrscheinlichste Zeichen oder Wort wählt und den laufenden Satz im Kontext „mitdenkt“.
  6. Umwandlung in lesbaren Text: Die vorhergesagten Zeichen- oder Wortfolgen werden zu einem lesbaren Text zusammengefügt und als Transkript ausgegeben. Der resultierende Text basiert auf den Trainingsdaten des Spracherkennungsmodells, den erkannten akustischen Merkmalen des konkreten Audios und gegebenenfalls zusätzlichen Vorgaben, etwa zur Sprache, zum Fachvokabular oder zur gewünschten Schreibweise.
  7. Speicherung und Nutzung: Ton- und Textdateien werden gespeichert und zum Umgang mit den Betroffenen eingesetzt.

Hierbei werden folgende Daten verarbeitet: Audiodaten (gesprochenes Wort, Stimme, Tonaufnahmen, Umgebungsgeräusche), Name, gegebenenfalls weitere personenbezogene Angaben, die im Gespräch genannt werden, Kommunikationsinhalte (z.B. Gesprächsverlauf, spontane Äußerungen, Rückmeldungen, Arbeitsinhalte), Position und Kontextinformationen (Datum, Anlass, Teilnehmerkreis), Transkriptionsdaten (umgewandelter Text aus Tonspur), Metadaten zur Aufnahme (Zeitpunkt, Gerät, Dateiformat), gegebenenfalls weitere personenbezogene und/oder sensible Daten aus Gesprächsinhalten. Die Verarbeitung dient Erstellung, Speicherung, Verarbeitung und Auswertung schriftlicher Transkripte von Gesprächen zur Dokumentation, Qualitätssicherung, Nachbereitung von Besprechungen, Bewerbungs- oder Feedbackgesprächen, Erleichterung der weiteren Kommunikation und zur Unterstützung interner Abläufe in allen Phasen des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Zeiterfassung

Die Arbeitszeit der Betroffenen wird erfasst. Hierbei werden folgende Daten verarbeitet: Name, Arbeitszeiten (Datum, Beginn und Ende). Die Verarbeitung dient einerseits (1) der Erfüllung einer gesetzlichen Pflicht nach § 3 ArbSchG und andererseits (2) der innerbetrieblichen Organisation. Hinsichtlich Zweck (1) ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 3 ArbSchG die Rechtsgrundlage. Hinsichtlich Zweck (2) ist es Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.

 

Empfänger

 

Behörden der Finanzverwaltung:

Als Empfängerkategorie werden die Behörden der Finanzverwaltung benannt, die zur Erfüllung rechtlicher Verpflichtungen auch personenbezogenen Daten der Betroffenen erhalten, etwa in steuer- und sozialversicherungsrechtlich relevanten Dokumenten.

 

Krankenversicherungen / Sozialversicherungsträger:

Als Empfängerkategorie werden Krankenkassen und Sozialversicherungsträger benannt, die zur Erfüllung rechtlicher Verpflichtungen auch personenbezogenen Daten der Betroffenen erhalten, etwa in sozialversicherungsrechtlich relevanten Dokumenten.

 

Gerichte/Arbeitsgerichte:

Als Empfängerkategorie werden Gerichte/Arbeitsgerichte benannt, die in Wahrnehmung berechtigter Interessen der Verantwortlichen auch personenbezogenen Daten der Betroffenen erhalten, etwa in gerichtlichen Auseinandersetzungen (z.B. Kündigungsschutzklage, Schadenersatzklage, …)

 

Staatsanwaltschaften/Polizei:

Als Empfängerkategorie werden Staatsanwaltschaften/Polizei benannt, die auf Grundlage von strafprozessualen oder gefahrenabwehrrechtlichen Vorschriften heraus, Zugriff auf bestimmte Daten erhalten.

 

Microsoft:

Es werden Anwendungen der Microsoft Ireland Operations Limited (EU – Irland) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Microsoft Corporation, USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Microsoft-365 (Cloud, Software)

Microsoft-Teams (Videokonferenz)

 

Google:

Es werden Anwendungen der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Google Workspace

YouTube (Grundsatz)

Hierzu sei folgendes angemerkt: YouTube ist ein Portal, auf dem Videos gezeigt werden.

YouTube (eigener Kanal)

Hierzu sei folgendes angemerkt: Die Verantwortliche betreibt einen eigenen YouTube-Kanal.

YouTube (Medienaufnahmen)

Hierzu sei folgendes angemerkt: Die Verantwortliche veröffentlicht hier Videos, die die Betroffenen zeigen.

YouTube (Recruiting)

Hierzu sei folgendes angemerkt: Die Verantwortliche sucht über Videos, die sie veröffentlicht, neue Beschäftigte. In den Videos und/oder Videobeschreibungen befinden sich Verlinkungen und/oder sonstige Angaben, die die Kontaktaufnahme zur Anbahnung eines Beschäftigungsverhältnisses ermöglichen.

Google Gemini

 

OpenAI-ChatGPT:

Im Zusammenhang mit dem Einsatz künstlicher Intelligenz wird das API-Tool „OpenAI APO“ der OpenAI, LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Citrix Workspace (DATEV-Zugriff): 

Es wird die Virtualisierungs und RemoteZugriffsplattform „Citrix Workspace“ der Citrix Systems, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO unter Verwendung von Standardvertragsklauseln gerechtfertigt.“

 

Calendly:

Es wird das Terminbuchung-Tool „Calendly“ der Calendly LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Hetzner:

Es wird der Clouddienst „Hetzer“ der Hetzner Online GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

 

Datev:

Es wird das Buchhaltungs-Tool „Datev“ der Datev eG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

 

Zoom:

Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

slack:

Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

Trello:

Es wird das Kollaborations-Tool „Trello der Trello, Inc. (USA) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

WhatsApp:

Es wird der Messengerdienst „WhatsApp“ der WhatsApp Ireland Limited (Irland – EU) eingesetzt. Sofern hierüber Daten verarbeitet werden, ist nicht auszuschließen, dass diese Daten an folgende Unternehmen übermittelt werden: 

Unternehmen mit Sitz in der EUMeta Platforms Ireland Limited (Irland – EU). 

Facebook Germany GmbH (Deutschland – EU) o FB Spain S.L. (Spanien – EU) 

Unternehmen mit Sitz in Ländern, für die es einen Angemessenheitsbeschluss i.S.v. Artikel 45 DSGVO gibt: 

Facebook Israel Limited (Israel)Facebook UK Limited (Vereinigtes Königreich) 

Hier ist die Übermittlung an Stellen außerhalb der EU nach Artikel 45 DSGVO gerechtfertigt.

sonstige Unternehmen mit Besonderheiten:

WhatsApp LLC (USA). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 45 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Facebook Singapur Pie Limited (Singapur). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Singapur) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Meta Platforms Inc. (USA) Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. 

Die Einzelheiten sind hier erklärt: https://www.whatsapp.com/legal/privacy-policy-eea#privacy-policy-how-we-work-with-other-meta-companies. 

 

externe Fotograf*innen:

Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

externe Tondienstleister*innen:

Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

externe Videograf*innen:

Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

Meta:

Es wird die sozialen Netzwerke und Medien der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit die Verantwortliche und die vorgenannte Anbieterin gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die vorgenannte Anbieterin nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende soziale Netzwerke, Medien und/oder Tools werden eingesetzt:

Facebook (Unternehmensseite)

Facebook (Recruiting)

Facebook (Medienaufnahmen)

Instagram (Unternehmensseite)

Instagram (Recruiting)

Instagram (Medienaufnahmen)

 

LinkedIn:

Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

LinkedIn (Unternehmensseite)

LinkedIn (Recruiting)

LinkedIn (Medienaufnahmen)

 

Vimeo (Grundsatz):

Es wird das Videowiedergabe-Tool „Vimeo“ der Vimeo, LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Hierbei wird folgendes eingesetzt:

Vimeo (Medienaufnahmen)

Vimeo (Recruiting)

 

Memberspot:

Es wird das Webinar-Tool „Memberspot“ der Memberspot GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. 

 

Close CRM (close.io):

Es wird das Vertriebs und CRMSystem „Close“ (close.io) der Close, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Pusher:

Es wird der PushBenachrichtigungsdienst „Pusher“ (insbesondere Pusher Beams) der Pusher Limited (Vereinigtes Königreich) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier u.a. Vereinigtes Königreich sowie – je nach Serverstandort und eingesetzten Gateways – weitere Drittländer) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Canva:

Es wird der DesignDienst „Canva“ der Canva Pty Ltd (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Australien und ggf. weitere Drittländer) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Claude (claude.ai): 

Es wird der KIDienst „Claude“ (claude.ai) der Anthropic PBC (USA) eingesetzt, die gemäß Artikel 28 DSGVO (Data Processing Addendum) beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und ggf. weitere Drittländer je nach gewählter Region) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

make.com:

Es wird das Schnittstellen- und Automatisierungs-Tool „make.com“ der Celonis, Inc. (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier die USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

ElevenLabs: 

Es wird die KISprachplattform „ElevenLabs“ der Eleven Labs Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und ggf. weitere Drittländer gemäß Subprozessorenliste) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Twilio: 

Es werden Kommunikationsdienste der Twilio Inc. (USA) eingesetzt (z.B. Versand von SMS/EMails, Telefonie, MessagingDienste und KundendatenVerarbeitung). Twilio wurde gemäß Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und – je nach Subprozessoren – weitere Drittländer) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Postmark: 

Es wird der transaktionale EMailDienst „Postmark“ der AC PM LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Adobe:

Es werden Anwendungen der Adobe Systems Software Ireland Limited (Irland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.  Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Adobe Inc., USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. 

 

d.vinci:

Es wird die Bewerbermanagement und OnboardingSoftware „d.vinci“ der d.vinci HRSystems GmbH (Deutschland) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

 

Timebutler:

Es wird die Zeiterfassungs und AbwesenheitsverwaltungsSoftware „Timebutler“ der Timebutler GmbH (Deutschland) eingesetzt, die gemäß Artikel 28 beauftragt wurde.

 

Fairbenefit:

Es wird die Benefitsdienstleisterin Fairbenefit GmbH (EU – Deutschland) eingesetzt, , die gemäß Artikel 28 beauftragt wurde.

 

Ihre Cookie-Einstellung

Ihr Cookie-Auswahl-Verlauf