HireSift
ENKostenlos testen
Zurück zum Trust Center

Prozess zur Bearbeitung von Betroffenenrechten

Interner Prozess zur Bearbeitung von Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsanfragen nach Art. 15–22 DSGVO.

Als Markdown herunterladen

Prozess zur Bearbeitung von Betroffenenrechten

Internes Arbeitsdokument Version: 1.0 Stand: April 2026 Rechtsgrundlage: Art. 12–22 DSGVO Verantwortlich: Mag. Markus Höfinger (Geschäftsführung, S&C Holding GmbH, FN 366123t) bzw. externer DSB (sobald bestellt)

1. Zweck

Dieses Dokument beschreibt den internen Prozess, mit dem HireSift auf Anfragen betroffener Personen gemäß Art. 15–22 DSGVO reagiert. Ziel ist, Anfragen fristgerecht (innerhalb eines Monats, Art. 12 Abs. 3 DSGVO), in der richtigen rechtlichen Rolle (Verantwortlicher vs. Auftragsverarbeiter) und mit vollständiger Dokumentation zu bearbeiten.

2. Eingangs-Kanäle

Anfragen können auf folgenden Wegen eingehen:

  1. E-Mail an hello@hiresift.ai (primärer Kanal, in Datenschutzerklärung genannt)
  2. Datenschutzerklärung-Kontaktformular (falls später eingeführt)
  3. Direkt in der App (falls später ein "Meine Daten"-Screen eingeführt wird)
  4. Indirekt über Kunden (ein Bewerber wendet sich an den Arbeitgeber, der an HireSift weiterleitet)

Alle Eingangs-Kanäle münden in hello@hiresift.ai. Anfragen werden in einer dedizierten Ablage markiert mit dem Label dsgvo-request.

3. Rollen-Klärung (entscheidende erste Triage)

Die zentrale Frage bei jeder Anfrage: Ist HireSift für diese Daten Verantwortlicher oder Auftragsverarbeiter?

3.1 HireSift als Verantwortlicher

HireSift ist Verantwortlicher für Daten von:

  • Eigenen Kunden-Nutzern (Recruitern): E-Mail, Name, Passwort-Hash, Organisationszugehörigkeit, Login-Aktivität, Produkt-Analytics-Events
  • Website-Besuchern: Cookies, Analytics-Events, Newsletter-Anmeldungen
  • Bewerbern bei HireSift selbst (falls vorhanden): Kontaktformulare, Demo-Anfragen

In diesem Fall handelt HireSift die Anfrage selbst (siehe Abschnitt 5).

3.2 HireSift als Auftragsverarbeiter

HireSift ist Auftragsverarbeiter für Daten von:

  • Bewerbern, die sich bei einem Kunden von HireSift beworben haben: Lebenslauf, Profildaten, Matching-Scores, Notizen

Verantwortlicher ist in diesem Fall der Kunde (Arbeitgeber). HireSift kann und darf diese Anfrage nicht inhaltlich selbst entscheiden, sondern leitet sie an den Verantwortlichen weiter (siehe Abschnitt 6).

3.3 Triage-Kriterien

Kommt die Anfrage von einem eingeloggten Recruiter / Kunden-Admin?
  → HireSift ist Verantwortlicher → Abschnitt 5

Kommt die Anfrage von einem Bewerber, der sich auf eine Stelle bei einem
HireSift-Kunden beworben hat?
  → HireSift ist Auftragsverarbeiter → Abschnitt 6

Kommt die Anfrage von einem Website-Besucher (z. B. zu Cookies)?
  → HireSift ist Verantwortlicher → Abschnitt 5

Kommt die Anfrage direkt an HireSift und betrifft Daten eines Kunden?
  → HireSift ist Auftragsverarbeiter → Abschnitt 6

4. Identitätsprüfung

Bei jeder Anfrage ist die Identität des Antragstellers zu verifizieren, bevor Daten herausgegeben oder gelöscht werden (Art. 12 Abs. 6 DSGVO).

Geeignete Methoden (je nach Rolle):

  • Recruiter/Admin (Verantwortlicher-Fall): Authentifizierung über bestehenden Login, oder Bestätigung über die bei HireSift hinterlegte Account-E-Mail
  • Bewerber (Auftragsverarbeiter-Fall): Bestätigung über die bei der Bewerbung verwendete E-Mail-Adresse, ggf. plus zusätzliche Verifizierungs-Frage zum Bewerbungsvorgang
  • Website-Besucher (Cookie/Newsletter-Fall): Bestätigung der verwendeten E-Mail-Adresse

Keine Ausweiskopien anfordern, außer bei begründeten Zweifeln oder wiederholten Identitäts-Konflikten. Art. 12 Abs. 2 DSGVO verlangt die Erleichterung der Wahrnehmung der Rechte, nicht deren Erschwerung.

5. Bearbeitung als Verantwortlicher

5.1 Fristen

  • Grundfrist: 1 Monat ab Eingang (Art. 12 Abs. 3 DSGVO)
  • Verlängerung: bis zu weitere 2 Monate bei Komplexität oder hoher Zahl gleichzeitiger Anfragen — der Antragsteller ist innerhalb des ersten Monats darüber und über die Gründe zu informieren

5.2 Bearbeitung nach Art

Art. 15 Auskunft:

Export aller zum Betroffenen gespeicherten Daten aus:

  • Clerk Dashboard (User-Profil, Organisationszugehörigkeit)
  • Supabase (hiresift_admins, hiresift_subscriptions, etc.)
  • Mixpanel (Events zum User-ID, falls Consent zuvor erteilt)
  • Resend Dashboard (E-Mail-Logs, falls E-Mails an diese Adresse versandt)

Ausgabeformat: strukturierter JSON-Export + Begleitbrief mit Erklärung der Kategorien, Empfänger und Speicherdauer.

Art. 16 Berichtigung:

  • Korrektur über Clerk-Dashboard bzw. Supabase-Admin-UI
  • Bestätigung an den Antragsteller

Art. 17 Löschung:

  • Hard-Delete des Clerk-Accounts (kaskadiert zu Supabase über Clerk-Webhook)
  • Löschung aus Mixpanel via User Deletion API
  • Löschung aus Resend-Logs (soweit möglich)
  • Bestätigung an den Antragsteller
  • Wenn der Antragsteller der Inhaber eines Kunden-Accounts ist, ist zunächst der Haupt-Nutzungsvertrag entsprechend zu kündigen

Art. 18 Einschränkung: Markierung des Accounts als eingeschränkt (in Supabase Status-Feld).

Art. 20 Datenübertragbarkeit: Maschinenlesbarer JSON-Export wie bei Auskunft, ohne Begleitbrief.

Art. 21 Widerspruch: Ausschließlich auf Opt-in/Opt-out-basierte Verarbeitungen anwendbar. Für Produkt-Analytics (Mixpanel) wird der Consent-Status per Cookie-Banner bereits eigenständig verwaltet. Für Newsletter-Abos ist ein Unsubscribe-Link in jeder Mail vorhanden.

Art. 22 (Automatisierte Einzelentscheidung): Nicht anwendbar, da HireSift keine automatisierten Einzelentscheidungen trifft — alle Entscheidungen unterliegen menschlichem Urteil durch den Recruiter.

5.3 Dokumentation

Jede bearbeitete Anfrage wird dokumentiert in:

  • Einem internen Ticket-System (derzeit: dediziertes Label in der hello@hiresift.ai-Mailbox)
  • Mit folgenden Feldern: Datum des Eingangs, Antragsteller, Art der Anfrage, Identitätsprüfung, Datum der Bearbeitung, Ergebnis, Notizen

Aufbewahrungsdauer: 3 Jahre nach Bearbeitung (Nachweis der DSGVO-Compliance).

6. Bearbeitung als Auftragsverarbeiter

6.1 Weiterleitung an den Verantwortlichen

Bei Anfragen bezüglich Bewerberdaten, für die HireSift Auftragsverarbeiter ist:

  1. Eingangsbestätigung an den Bewerber innerhalb von 72 Stunden mit dem Hinweis:

    "Ihre Anfrage bezieht sich auf Daten, die im Auftrag unseres Kunden [Arbeitgebername, falls bekannt, sonst "des von Ihnen adressierten Arbeitgebers"] verarbeitet werden. Wir handeln hier als Auftragsverarbeiter und dürfen keine eigenen Entscheidungen über diese Daten treffen. Wir haben Ihre Anfrage an den Verantwortlichen weitergeleitet und werden Sie unterstützen, falls technische Maßnahmen (Export, Löschung) erforderlich sind."

  2. Weiterleitung an den Kunden-Verantwortlichen mit dem Hinweis auf die Rechtsgrundlage und die Frist (1 Monat ab Eingang beim Kunden).
  3. Technische Unterstützung: Wenn der Kunde eine Löschung oder einen Export der Bewerber-Daten anweist, führt HireSift das innerhalb von 5 Werktagen aus.

6.2 Dokumentation

Auch diese Anfragen werden intern dokumentiert (siehe 5.3), zusätzlich mit dem Feld "Verantwortlicher Kunde".

7. Eskalation / Streitfälle

Fälle, in denen:

  • die Identität des Antragstellers nicht zweifelsfrei geklärt werden kann
  • der Verantwortliche (Kunde) auf eine weitergeleitete Anfrage nicht innerhalb von 2 Wochen reagiert
  • der Antragsteller die Antwort als unzureichend beanstandet
  • rechtliche Unsicherheit besteht

werden an die Geschäftsführung (Mag. Markus Höfinger) eskaliert und gegebenenfalls an den externen Datenschutzberater weitergegeben.

8. Beschwerderecht

In jeder Antwort wird der Antragsteller auf sein Beschwerderecht bei der zuständigen Aufsichtsbehörde hingewiesen:

Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42, 1030 Wien www.dsb.gv.at

9. Template-Antworten

Vorlagen für die häufigsten Antworten sind im gleichen Ordner hinterlegt (docs/legal/templates/, in Vorbereitung):

  • dsar-bestaetigung-eingang.md — Eingangsbestätigung
  • dsar-auskunft-verantwortlicher.md — Auskunft als Verantwortlicher
  • dsar-weiterleitung-kunde.md — Weiterleitung an Kunden (Auftragsverarbeiter-Fall)
  • dsar-loeschbestaetigung.md — Bestätigung der Löschung

10. Review

Dieses Dokument wird mindestens einmal jährlich sowie bei wesentlichen Änderungen (z. B. neue Datenquellen, neue Rechtsprechung) überprüft und aktualisiert.

Änderungshistorie:

Version Datum Änderung
1.0 April 2026 Initiale Fassung