Zuletzt aktualisiert: 21. Januar 2026
Im Rahmen der täglichen Geschäftstätigkeit verarbeitet WorkGenius verschiedene personenbezogene Daten, einschließlich Daten über:
Bei der Erhebung und Nutzung dieser Daten unterliegt das Unternehmen unterschiedlichen gesetzlichen Regelungen, die festlegen, wie solche Tätigkeiten durchgeführt werden dürfen und welche Schutzmaßnahmen erforderlich sind.
Zweck dieser Richtlinie ist es, die relevanten gesetzlichen Anforderungen darzustellen und zu beschreiben, welche Schritte WorkGenius unternimmt, um diese einzuhalten. Dies gilt für alle Systeme, Personen und Prozesse, die die Informationssysteme des Unternehmens bilden – einschließlich Board‑Mitglieder, Geschäftsführung, Mitarbeitende, Lieferanten sowie weiterer Dritter, die Zugriff auf Systeme von WorkGenius haben.
Die folgende Liste zeigt die wichtigsten Datenschutzgesetze, die für die Länder (oder Ländergruppen) und Bundesstaaten gelten, in denen WorkGenius tätig ist.
Europäische Union
General Data Protection Regulation (GDPR)
USA – Kalifornien
California Consumer Privacy Act (CCPA)
WorkGenius ist verpflichtet, die Anforderungen dieser Gesetze jederzeit einzuhalten. Auch wenn es Unterschiede in den jeweiligen Vorschriften gibt, legt diese Richtlinie zentrale Grundprinzipien fest, die in der Regel in Datenschutzgesetzen zu beachten sind.
Wichtig: Bei Verstößen gegen Datenschutzgesetze können erhebliche Bußgelder anfallen. Es ist die Politik von WorkGenius, die Einhaltung der anwendbaren Gesetze jederzeit klar und nachvollziehbar nachweisen zu können.
Die in Datenschutzgesetzen verwendeten Definitionen unterscheiden sich. Es ist daher nicht sinnvoll, alle Definitionen hier vollständig abzubilden. Die in dieser Richtlinie verwendeten Begriffe sind wie folgt zu verstehen:
Personenbezogene Daten
Alle Informationen, die (a) zur Identifizierung der betroffenen Person verwendet werden können oder (b) direkt oder indirekt mit einer betroffenen Person verknüpft sind oder verknüpft werden können.
Betroffene Person
Natürliche Person, auf die sich personenbezogene Daten beziehen (in Datenschutzgesetzen häufig auch „Data Subject“).
Verarbeitung personenbezogener Daten
Vorgang oder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, z.B. Erheben, Speichern, Ändern, Abrufen, Abfragen, Offenlegen, Anonymisieren, Pseudonymisieren, Verbreiten oder anderweitiges Bereitstellen, Löschen oder Vernichten.
Data Controller
Datenschutz‑Stakeholder (oder mehrere Stakeholder), der/die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt/festlegen, ausgenommen natürliche Personen, die Daten für ausschließlich persönliche Zwecke nutzen.
Data Processor
Datenschutz‑Stakeholder, der personenbezogene Daten im Auftrag eines Data Controllers und gemäß dessen Weisungen verarbeitet.
Datenschutzgesetze basieren auf einer Reihe grundlegender Prinzipien:
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet.
Zweckbindung
Personenbezogene Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet.
Datenminimierung
Personenbezogene Daten sind dem Zweck angemessen, erheblich sowie auf das notwendige Maß beschränkt.
Richtigkeit
Personenbezogene Daten sind sachlich richtig und erforderlichenfalls auf dem neuesten Stand; unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Speicherbegrenzung
Personenbezogene Daten werden nur so lange in identifizierbarer Form gespeichert, wie dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit
Personenbezogene Daten werden so verarbeitet, dass durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet wird – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.
Besondere Kategorien: Die Verarbeitung personenbezogener Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung hervorgehen, ist grundsätzlich untersagt, sofern keine zulässige Ausnahme greift.
Betroffene Personen haben Rechte in Bezug auf ihre personenbezogenen Daten. Diese Rechte werden bei WorkGenius durch geeignete Verfahren unterstützt:
Recht auf Information
Bei Datenerhebung oder innerhalb eines Monats
Auskunftsrecht
Antwort innerhalb eines Monats
Recht auf Berichtigung
Antwort innerhalb eines Monats
Recht auf Löschung
Ohne unangemessene Verzögerung
Recht auf Einschränkung
Ohne unangemessene Verzögerung
Datenübertragbarkeit
Antwort innerhalb eines Monats
Widerspruchsrecht
Bei Eingang des Widerspruchs
Rechte bei automatisierten Entscheidungen
Soweit anwendbar
Wenn WorkGenius auf einen Antrag nicht reagiert, informieren wir die betroffene Person innerhalb eines Monats über die Gründe. Bei unbegründeten oder exzessiven Anträgen kann WorkGenius eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen.
Es ist die Politik von WorkGenius, die passende Rechtsgrundlage für Verarbeitungen zu bestimmen und diese gemäß den anwendbaren Vorschriften zu dokumentieren. Zu den wichtigsten Grundlagen gehören:
Soweit erforderlich, holt WorkGenius die Einwilligung einer betroffenen Person ein, um Daten zu erheben und zu verarbeiten. Transparente Informationen über die Nutzung werden zum Zeitpunkt der Einwilligung bereitgestellt. Wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden, werden Informationen innerhalb eines Monats zur Verfügung gestellt.
Wenn personenbezogene Daten erforderlich sind, um einen Vertrag mit der betroffenen Person zu erfüllen, ist keine Einwilligung nötig. Dies ist häufig der Fall, wenn der Vertrag ohne die betreffenden Daten nicht abgeschlossen oder erfüllt werden kann.
Wenn personenbezogene Daten erforderlich sind, um geltendes Recht einzuhalten, ist keine Einwilligung nötig. Dies kann z.B. bei Daten im Zusammenhang mit Beschäftigung oder Steuern der Fall sein.
Wenn personenbezogene Daten erforderlich sind, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, kann dies als Rechtsgrundlage dienen. WorkGenius dokumentiert entsprechende Nachweise, wenn diese Grundlage genutzt wird.
Wenn WorkGenius eine Aufgabe im öffentlichen Interesse oder im Rahmen einer amtlichen Befugnis erfüllt, wird keine Einwilligung eingeholt. Die Bewertung wird dokumentiert und bei Bedarf als Nachweis bereitgestellt.
Wenn die Verarbeitung bestimmter personenbezogener Daten im berechtigten Interesse von WorkGenius liegt und die Rechte und Freiheiten betroffener Personen voraussichtlich nicht wesentlich beeinträchtigt, kann dies als Rechtsgrundlage dienen. Die Abwägung wird dokumentiert.
WorkGenius folgt dem Prinzip „Privacy by Design“ und stellt sicher, dass bei der Definition und Planung neuer oder wesentlich geänderter Systeme, die personenbezogene Daten erheben oder verarbeiten, Datenschutzaspekte angemessen berücksichtigt werden – einschließlich der Durchführung von Privacy‑Impact‑Assessments.
Ein Privacy‑Impact‑Assessment umfasst:
Techniken wie Datenminimierung, Pseudonymisierung und Verschlüsselung werden – soweit anwendbar – berücksichtigt, einschließlich am Ende der Verarbeitung. Wenn eine Datenschutz‑Folgenabschätzung ein hohes Risiko ergibt, konsultiert WorkGenius vor der Verarbeitung die zuständige Aufsichtsbehörde.
WorkGenius stellt sicher, dass alle Beziehungen, die die Verarbeitung personenbezogener Daten betreffen, einem dokumentierten Vertrag unterliegen, der die nach den anwendbaren Vorschriften erforderlichen Informationen und Bedingungen enthält.
Übermittlungen personenbezogener Daten zwischen Ländern werden vorab sorgfältig geprüft, um sicherzustellen, dass sie im Rahmen der durch anwendbare Vorschriften vorgegebenen Grenzen stattfinden.
Datenschutzgesetze sehen häufig die Bestellung eines Datenschutzbeauftragten (DPO) vor, z.B. wenn eine Organisation eine Behörde ist, großflächig überwacht oder besonders sensible Daten in großem Umfang verarbeitet.
Auf Basis dieser Kriterien erfordert WorkGenius die Bestellung eines Datenschutzbeauftragten. Der DPO verfügt über ein angemessenes Wissensniveau und kann entweder intern besetzt oder an einen geeigneten Dienstleister ausgelagert werden.
Es ist die Politik von WorkGenius, bei der Entscheidung über Maßnahmen zur Information betroffener Parteien im Zusammenhang mit Verletzungen personenbezogener Daten fair und verhältnismäßig vorzugehen.
72‑Stunden‑Regel: Wenn eine Datenschutzverletzung bekannt wird, die voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt, wird die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert (wie von der GDPR gefordert).
Wenn WorkGenius als Data Processor agiert, informiert WorkGenius den Data Controller über den Sicherheitsvorfall. Die Bearbeitung erfolgt gemäß unserer Security‑Incident‑Response‑Policy.
Folgende Maßnahmen werden umgesetzt, um sicherzustellen, dass WorkGenius jederzeit dem Accountability‑Prinzip der Datenschutzgesetze entspricht:
Die Dokumentation von Verarbeitungstätigkeiten umfasst:
Geschäftliche Anforderungen von WorkGenius, lokale Situationen sowie Gesetze und Vorschriften können gelegentlich eine Ausnahme von dieser oder anderen Richtlinien erforderlich machen. Wenn eine Ausnahme notwendig ist, bestimmt die Geschäftsführung von WorkGenius einen geeigneten alternativen Ansatz.
Jeder Verstoß gegen diese Richtlinie oder andere Richtlinien bzw. Verfahren von WorkGenius kann arbeitsrechtliche Maßnahmen nach sich ziehen – bis hin zur Beendigung des Beschäftigungsverhältnisses. WorkGenius behält sich das Recht vor, zuständige Strafverfolgungsbehörden über rechtswidrige Aktivitäten zu informieren und bei Ermittlungen zu kooperieren.
Jede Person, die aufgefordert wird, eine Tätigkeit auszuführen, die sie als Verstoß gegen diese Richtlinie ansieht, muss eine schriftliche oder mündliche Beschwerde so schnell wie möglich an die eigene Führungskraft oder eine andere Führungskraft bei WorkGenius richten.
WorkGenius überprüft und aktualisiert Sicherheitsrichtlinien und Pläne mindestens jährlich, um die organisatorischen Sicherheitsziele und regulatorischen Anforderungen einzuhalten. Ergebnisse werden intern an geeignete Stellen kommuniziert, Feststellungen werden bis zur Behebung nachverfolgt. Änderungen werden innerhalb der Organisation bekannt gemacht.