Legal/Compliance fragt: Welche DSGVO-Dokumente und Rechtsgrundlagen gibt es für Empatyzer?

TL;DR: Kurz: Wir haben ein DPA, führen DPIA durch, hosten in der EU, verschlüsseln Daten und trennen Mandanten, haben Aufbewahrungsregeln und Verfahren zur Umsetzung von Betroffenenrechten sowie Nutzungsbeschränkungen für Mitarbeiterbeurteilungen.

DPA: Auftragsverarbeitung und klare Rollenpflichten.
DPIA: Datenschutz-Folgenabschätzung bei Profiling oder sensiblen Daten.
Rechtsgrundlage: fallabhängig (berechtigtes Interesse, Vertrag, manchmal Einwilligung).
Retention: Minimierung, Anonymisierung und Löschung auf Anfrage.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Verbot vollautomatischer Entscheidungen.

Empatyzer stellt Musterdokumente für die DSGVO bereit, darunter eine Auftragsverarbeitungsvereinbarung mit klar definierten Rollen und Pflichten sowie Beschreibungen technischer und organisatorischer Sicherheitsmaßnahmen. Bei Vorgängen, die Profiling oder potenziell sensible Informationen betreffen und ein hohes Risiko für Betroffene darstellen können, führen wir oder unterstützen wir bei der Durchführung einer Datenschutz-Folgenabschätzung und liefern eine Zusammenfassung der Ergebnisse sowie Minderungsmaßnahmen. Wir hosten Kundendaten in der EU, verschlüsseln Daten im Ruhezustand und bei der Übertragung, trennen Mandantendaten, führen Log-Audits und rollenbasierte Zugriffskontrollen für Administratoren. Die rechtliche Grundlage wird je nach Einsatz festgelegt: Bulk-Analysen stützen wir häufig auf berechtigtes Interesse, während individuelle Diagnosen oder persönliche Auswertungen Vertragsgrundlage oder gegebenenfalls Einwilligung erfordern, insbesondere wegen des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer. Die Aufbewahrung folgt dem Minimierungsprinzip: Rohdaten werden nur begrenzt gespeichert und nach festgelegtem Zeitplan anonymisiert; Kontolöschungen entfernen operative Daten und passen aggregierte Statistiken gemäß Verfahren an. Empatyzer gibt keine rohen Einzelergebnisse an Arbeitgeber weiter, nutzt Aggregation und Mindestgrößen in Berichten zur Reduktion der Identifizierbarkeit und enthält vertragliche Verbote zur Nutzung für formale Mitarbeiterbewertungen sowie Klauseln gegen missbräuchliche Verwendung, wobei die Umsetzung interner Richtlinien beim Kunden liegt. Die Verfahren zur Ausübung von Betroffenenrechten sind dokumentiert: Antragswege, Fristen, Identitätsprüfung und Abläufe für Berichtigung, Einschränkung, Löschung und Datenübertragbarkeit. Bei Sicherheitsvorfällen informieren wir den Kunden unverzüglich, spätestens binnen fünf Arbeitstagen, und stellen Logs sowie Abhilfemaßnahmen bereit; weitere Meldungen an Aufsichtsbehörden erfolgen nach Entscheidung des Kunden als Verantwortlichem. Wir verwenden Kundendaten nicht zum Training öffentlicher Modelle; Zugriff durch den Anbieter ist eingeschränkt, protokolliert und prüfbar.

Verfügbare Dokumente: DPA, Muster oder Zusammenfassung einer DPIA, Aufbewahrungsrichtlinie, Anleitung zur Umsetzung von Betroffenenrechten sowie Beschreibungen zu Sicherheitsmaßnahmen und Vorfallprozessen; Rechtsgrundlagen und technische Konfigurationen stimmen wir individuell mit dem Kunden ab.

Autor: Empatyzer

Veröffentlicht: 7.November (Freitag), 2025 (vergangen: 13 Wochen)

Aktualisiert: 7.November (Freitag), 2025 (vergangen: 13 Wochen)