Verarbeitung personenbezogener Daten durch die für das Online-Bewerbungsverfahren verantwortliche Stelle
Der WHU – Otto Beisheim School of Management, Burgplatz 2, 56179 Vallendar, E-Mail: datenschutz@whu.edu (nachstehend auch als „WHU“ bezeichnet), ist der Schutz Ihrer personenbezogenen Daten bei deren Verarbeitung im Beschäftigungsverhältnis ein wichtiges Anliegen.
Im Folgenden erläutern wir Ihnen daher anhand unserer Datenschutzerklärung, welche personenbezogenen Daten wir von Ihnen in welcher Weise verarbeiten.
Wenden Sie sich bitte an uns, wenn Sie weitere Fragen haben. Unsere Kontaktdaten finden Sie am Ende dieser Datenschutzerklärung.
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Darunter fallen beispielsweise Informationen wie Ihr Name, Ihre Anschrift, Ihre Telefonnummer, Ihre Sprache, Ihr Standort, Ihre E-Mail Adresse, Ihre Bankverbindungen und Ihr Geburtsdatum.
Verarbeitung personenbezogener Daten
Bei der Datenverarbeitung gehen wir verantwortungsvoll und vertraulich mit Ihren personenbezogenen Daten um. Deshalb werden Ihre personenbezogenen Daten selbstverständlich unter Beachtung der geltenden nationalen (insbesondere BDSG neu) und europäischen Datenschutzvorschriften (EU Datenschutz-Grundverordnung, nachstehend auch als „DS-GVO“ bezeichnet) verarbeitet.
Eine diesbezügliche Verarbeitung von personenbezogenen Daten liegt in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten vor. Eine Datenverarbeitung ist insbesondere in dem Erheben, dem Erfassen, der Organisation, dem Ordnen, der Speicherung, der Anpassung, der Veränderung, dem Auslesen, dem Abfragen, der Verwendung, der Offenlegung durch Übermittlung, der Verbreitung oder in einer anderen Form der Bereitstellung, dem Abgleich oder der Verknüpfung, der Einschränkung, dem Löschen oder der Vernichtung personenbezogener Daten zu sehen.
Wenn wir für die Verarbeitung Ihrer personenbezogenen Daten einen Auftragsverarbeiter einsetzen, schließen wir mit diesem einen Auftragsverarbeitungsvertrag ab, der sämtliche Voraussetzungen des Art. 28 DS-GVO erfüllt.
Zweck der Verarbeitung von personenbezogenen Daten
Wir verarbeiten personenbezogene Daten nach den nachstehend dargestellten Vorgaben und Voraussetzungen im Rahmen einer automatisierten Verarbeitung.
Primäre gesetzliche Ermächtigungsgrundlage für die Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis ist § 26 BDSG neu. Bewerber gelten gemäß § 26 Abs. 8 Satz 2 BDSG neu als Beschäftigte.
Wenn Sie sich bei uns bewerben, werden die von Ihnen zur Verfügung gestellten Daten von uns verarbeitet um zu prüfen, ob wir ein Beschäftigungsverhältnis mit Ihnen begründen und durchführen möchten. Die von Ihnen eingegeben Bewerberdaten werden grundsätzlich nur bis zum Entscheidungszeitpunkt über die Einstellung verarbeitet werden, wenn ein Beschäftigungsverhältnis nicht zustande kommt. Nach 6 Monaten nach der Absendung der Absage bzw. nach Rückgabe der Bewerbungsunterlagen an den Bewerber werden die Daten gelöscht. Wenn wir ein Beschäftigungsverhältnis mit Ihnen eingehen, werden die Daten, die Sie uns zur Verfügung gestellt haben, zur Begründung, Durchführung und ggf. zur Beendigung des Beschäftigungsverhältnisses verarbeitet.
Unter den folgenden Voraussetzungen darf eine Datenverarbeitung im Beschäftigungsverhältnis basierend auf der gesetzlichen Ermächtigungsgrundlage des § 26 BDSG neu durchgeführt werden:
Die Datenverarbeitung ist erforderlich hinsichtlich der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses oder die Erforderlichkeit hinsichtlich der Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung des Beschäftigten (betriebsverfassungsrechtliche Zwecke) ist gegeben.
Zudem kann eine Datenverarbeitung im Beschäftigungsverhältnis zur Aufdeckung von Straftaten im Beschäftigungsverhältnis erfolgen.
Im Hinblick auf die Erfüllung gesetzlicher Verpflichtungen ist Art. 6 Abs. 1 Satz 1 lit. c DS-GVO als Ermächtigungsgrundlage einschlägig.
Ihre personenbezogenen Daten werden von uns, soweit dies nicht auf eine gesetzliche Ermächtigungsgrundlage gestützt wird, nur verarbeitet, wenn Sie Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a DS-GVO i.V.m. Art. 7 DS-GVO dazu erteilen. Hierfür haben Sie die Möglichkeit, Ihre Einwilligungserklärung freiwillig abzugeben. Die Nichtabgabe der Einwilligung hat für Sie keine Nachteile. Sie können Ihre Einwilligung jederzeit zur Einsicht anfordern und zu jedem Zeitpunkt durch eine E-Mail oder per Post an uns widerrufen. Der Widerruf der Einwilligung berührt nicht die Zulässigkeit der bis zum Widerruf erfolgten Verarbeitung. Unsere Kontaktdaten finden Sie am Ende dieser Datenschutzerklärung.
Nach der Auffassung des Gesetzgebers kann eine solche Einwilligung gemäß § 26 Abs. 2 BDSG neu dann von Ihnen abgegeben werden, wenn für Sie ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird (z.B. die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung, die Erlaubnis zur privaten Nutzung der betrieblichen IT-Systeme) oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen (z.B. die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos/Videos des Beschäftigten im Internet/Intranet oder für Werbezwecke). Nur in diesen Fällen wird ggf. von uns eine Einwilligungserklärung von Ihnen unter Beachtung der vorstehend dargestellten Voraussetzungen eingeholt.
Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling gemäß Art. 22 DS-GVO findet nicht statt.
Der Umfang der Verarbeitung Ihrer personenbezogenen Daten wird durch die vorstehend dargestellten jeweiligen Zwecke begrenzt.
Erhebung personenbezogener Daten bei der Verwendung des WHU internen Bezahlsystems
Wenn Sie sich für unser WHU internes bargeldloses Bezahlsystem über den Terminalmanager oder unsere App MyAuthent anmelden und dieses verwenden, werden von uns personenbezogene Daten von Ihnen erhoben und verarbeitet.
Dies sind insbesondere jeweils bei den Schritten Guthaben aufladen, Zahlung am Terminal Guthaben auszahlen und Guthaben auflösen: Name, Betrag, Datum, WHU-Kartennummer, Nutzergruppenzuordnung
Eine solche Verarbeitung findet nur dann statt, wenn dies für eine Erfüllung des mit Ihnen geschlossenen Vertrages hinsichtlich der Benutzung des Bezahlsystems erforderlich ist. Rechtsgrundlage dafür ist Art. 6 Abs. 1 Satz 1 lit. b DS-GVO.
Seitens der WHU werden im Rahmen der Durchführung des bargeldlosen Bezahlsystems hinsichtlich der automatischen Aufladung Ihres Guthabens Payone Payment Services des Dienstleisters PAYONE GmbH eingesetzt. Zu diesem Zweck erfolgt ein Transfer Ihrer personenbezogenen Daten zu der PAYONE GmbH. Ihre Kreditkarteninformationen werden bei der PAYONE GmbH hinterlegt. PAYONE GmbH ist aus datenschutzrechtlicher Sicht eigenständig verantwortlich. Einen entsprechenden Datenschutzhinweis der PAYONE GmbH nach Art. 14 DS-GVO können Sie unter folgendem Link abrufen: https://s3-eu-west-1.amazonaws.com/bspayone-docs/bspayone/PAYONE_Information_zu_Datenverarbeitung_gemaess_Art-14-DSGVO_062019.pdf
Hinsichtlich der Datenverarbeitung in der App MyAuthent dürfen wir auf unsere eigenständige Datenschutzerklärung für diese App verweisen, welche Sie vor dem Bezug der App und bei jeder Verwendung der App abrufen können.
Dauer der Datenverarbeitung
Die Höchstdauer der Speicherung ist abhängig davon, welchem Zweck die Datenverarbeitung dient. Die Dauer der Speicherung richtet sich danach, für welchen Zeitraum die Verarbeitung zur Zweckerfüllung, insbesondere hinsichtlich der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses mit Ihnen, oder zur Erfüllung gesetzlicher Verpflichtungen (z.B. handelsrechtliche und steuerrechtliche Aufbewahrungspflichten nach § 257 HGB und § 147 AO), erforderlich ist.
Nach dem Ausscheiden von Ihnen als Mitarbeiter erfolgt eine datenschutzrechtliche Löschung der Daten nach dem Ablauf von drei Jahren nach dem Ausscheiden zum Jahresende, wobei das Jahr, in dem Sie ausgeschieden sind, nicht mitgezählt wird.
Etwaige Einwilligungserklärungen gelten grundsätzlich bis auf Widerruf durch den Betroffenen. Jedoch kann eine „ungenutzte“ Einwilligungserklärung durch Zeitlablauf von 1,5 Jahren ihre Wirksamkeit verlieren. Nach einem Zeitraum von 1,5 Jahren, in dem die Einwilligung nicht genutzt wird, werden die Daten gelöscht.
Die vorstehend dargestellten gesetzlichen Aufbewahrungspflichten gemäß § 257 HGB und § 147 AO bleiben davon unberührt.
Empfänger der personenbezogenen Daten
Die Datenverarbeitung durch die WHU im Beschäftigungsverhältnis erfolgt ausschließlich durch die Personalabteilung bzw. Fachabteilungen (z.B. IT, Bibliothek), soweit dies erforderlich ist.
Intranet (Informationsplattform, Mitarbeiterverzeichnis): Vorname, Nachname, geschäftliche E-Mail-Adresse und Telefonnummer, Abteilung, Funktion.
Des Weiteren können Übermittlungen an externe Dritte vorgenommen werden, soweit dies erforderlich ist, insbesondere an:
Sozialversicherung (Krankenkasse/Krankenversicherung, Pflegeversicherung, Rentenversicherung, Arbeitslosenversicherung), Berufsgenossenschaft, Finanzamt, Agentur für Arbeit, Ministerium, Versicherungsunternehmen, Kreditinstituten, Gewerbeaufsichtsamt, TÜV, Sicherheitsbeauftragter, Akkreditierungsstellen, ggfs. Finanzdienstleister.
Ort der Datenverarbeitungsmaßnahmen
Die gesamte Verarbeitung Ihrer personenbezogenen Daten findet entweder in Deutschland oder in Mitgliedsstaaten der Europäischen Union statt. Eine Übermittlung Ihrer personenbezogenen Daten durch uns an Staaten außerhalb der Mitgliedstaaten der Europäischen Union (sog. Drittstaaten) oder andere internationale Organisationen erfolgt nicht.
Sicherheit / Technische und organisatorische Maßnahmen
Wir treffen alle notwendigen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben der Art. 24, 25 und 32 DS-GVO, um Ihre personenbezogenen Daten vor Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen und Missbrauch zu schützen.
So beachten wir die rechtlichen Vorgaben zur Pseudonymisierung und Verschlüsselung personenbezogener Daten, zur Vertraulichkeit, Integrität, Verfügbarkeit und der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, zur Verfügbarkeit der personenbezogenen Daten und der Möglichkeit, diese bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen sowie zur Einrichtung von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Des Weiteren beachten wir auch die Vorgaben des Art. 25 DS-GVO im Hinblick auf die Grundsätze des „privacy by design“ (Datenschutz durch Technikgestaltung) und des „privacy by default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen).
Ihre Rechte
Sie haben ein Recht auf unentgeltliche Auskunft über Ihre personenbezogene Daten sowie, wenn die jeweiligen gesetzlichen Voraussetzungen vorliegen, ein Recht auf Berichtigung, Sperrung und Löschung Ihrer Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie ein Widerspruchsrecht.
Sie haben zudem die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten sowie bei Fragen bezogen auf die vorstehend genannten Rechte ebenso wie bei Anregungen wenden Sie sich bitte an uns oder an unseren externen Datenschutzbeauftragten:
Dr. Dornbach Consulting GmbH
Anton-Jordan-Straße 1
56070 Koblenz
E-Mail: datenschutz@whu.edu
Stand: November 2021