Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
c89a68e59e6a2cc45d417940d1cf0bc5aec8d90d
breakpilot-compliance/backend-compliance/migrations/100_employee_applicant_dsi.sql
T
Benjamin Admin f591871277 feat: Phase 1 — Whistleblower + Cookie/Impressum + HR-DSI templates 
Phase 1 of the Document Templates Masterplan:

- 098: Whistleblower-Richtlinie (HinSchG) — 10 sections, anonymous
  reporting, 7-day confirmation, 3-month feedback, reprisal protection
- 099: Cookie-Banner + Impressum updates — OS-Plattform discontinued
  note (July 2025), description updates
- 100: Applicant DSI + Employee DSI — two new HR privacy notices with
  § 26 BDSG, 6-month retention (applicants), modular blocks for video
  interviews, talent pool, IT monitoring, company vehicles, works council

Generator: 25 new fields (whistleblower, applicant, employee categories)
Categories: whistleblower, hr_dsi added to document generator

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-01 08:29:52 +02:00

296 lines
13 KiB
SQL
Raw Blame History

-- Migration 100: Bewerber-DSI + Mitarbeiter-DSI
-- Zwei neue Templates fuer den HR-Bereich
-- Jedes Unternehmen mit Stellenanzeigen oder Mitarbeitern braucht diese
-- ===========================================================================
-- Template 1: Bewerber-Datenschutzinformation (Art. 13 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'applicant_dsi',
'Datenschutzinformation fuer Bewerber (Art. 13 DSGVO)',
'Datenschutzinformation fuer Bewerberinnen und Bewerber gemaess Art. 13 DSGVO. Verarbeitung im Bewerbungsverfahren, Rechtsgrundlagen (§ 26 BDSG / Art. 88 DSGVO), Aufbewahrungsfristen (6 Monate), Betroffenenrechte.',
$template$# Datenschutzinformation fuer Bewerberinnen und Bewerber
Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Bewerbungsverfahren
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
{{#IF DPO_NAME}}
**Datenschutzbeauftragter:** {{DPO_NAME}} {{DPO_EMAIL}}
{{/IF}}
---
## 2. Welche Daten verarbeiten wir?
Im Rahmen Ihres Bewerbungsverfahrens verarbeiten wir folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Vorname, Anschrift, Geburtsdatum |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer |
| Bewerbungsunterlagen | Anschreiben, Lebenslauf, Zeugnisse, Zertifikate, Arbeitsproben |
| Qualifikationsdaten | Ausbildung, Berufserfahrung, Sprachkenntnisse, Faehigkeiten |
| Gehaltsvorstellungen | Gewuenschtes Gehalt, fruehester Eintrittstermin |
{{#IF HAS_VIDEO_INTERVIEW}} | Videointerview-Daten | Videoaufnahme, Audio, Metadaten | {{/IF}}
{{#IF HAS_ASSESSMENT}} | Assessment-Daten | Testergebnisse, Bewertungen | {{/IF}}
| Korrespondenzdaten | Inhalt der Kommunikation waehrend des Bewerbungsverfahrens |
{{#IF HAS_SPECIAL_CATEGORIES}}
**Besondere Kategorien (Art. 9 DSGVO):** Soweit Sie uns im Rahmen Ihrer Bewerbung freiwillig besondere Kategorien personenbezogener Daten mitteilen (z.B. Schwerbehinderung, Gesundheitsdaten), verarbeiten wir diese ausschliesslich auf Grundlage Ihrer ausdruecklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder soweit dies zur Ausuebung oder Erfuellung arbeitsrechtlicher Pflichten erforderlich ist (Art. 9 Abs. 2 lit. b DSGVO).
{{/IF}}
---
## 3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Durchfuehrung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO (Anbahnung eines Beschaeftigungsverhaeltnisses) |
| Beurteilung der Eignung fuer die ausgeschriebene Stelle | § 26 Abs. 1 BDSG |
| Kommunikation mit Ihnen waehrend des Verfahrens | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) |
| Aufbewahrung nach Ablehnung (Frist fuer AGG-Ansprueche) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Anspruechen) |
{{#IF HAS_TALENT_POOL}} | Aufnahme in den Talentpool (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | {{/IF}}
| Erfuellung gesetzlicher Pflichten (z.B. AGG) | Art. 6 Abs. 1 lit. c DSGVO |
---
## 4. Datenquellen
Wir verarbeiten personenbezogene Daten, die:
- Sie uns im Rahmen Ihrer Bewerbung uebermitteln
- Aus oeffentlich zugaenglichen Quellen stammen (z.B. berufliche Netzwerke wie LinkedIn, XING), soweit dies fuer die Beurteilung Ihrer Eignung relevant und zulaessig ist
{{#IF HAS_RECRUITING_AGENCY}} - Von beauftragten Personalvermittlern an uns uebermittelt werden {{/IF}}
{{#IF HAS_EMPLOYEE_REFERRAL}} - Im Rahmen von Mitarbeiterempfehlungen an uns gelangen {{/IF}}
---
## 5. Empfaenger
Ihre Bewerbungsdaten werden ausschliesslich den am Bewerbungsverfahren beteiligten Personen zugaenglich gemacht:
- Personalabteilung (HR)
- Fachvorgesetzte der ausgeschriebenen Stelle
- Geschaeftsfuehrung (bei Fuehrungspositionen)
{{#IF HAS_RECRUITING_SOFTWARE}} - Anbieter unserer Bewerbermanagement-Software (Auftragsverarbeiter gemaess Art. 28 DSGVO) {{/IF}}
{{#IF HAS_RECRUITING_AGENCY}} - Beauftragte Personalvermittler (Auftragsverarbeiter oder eigene Verantwortliche) {{/IF}}
Eine Weitergabe an sonstige Dritte erfolgt nicht.
---
## 6. Speicherdauer
| Szenario | Speicherdauer | Begruendung |
|----------|:---:|---|
| Ablehnung | **6 Monate** nach Ende des Verfahrens | Frist fuer AGG-Ansprueche (§ 15 Abs. 4 AGG: 2 Monate + Sicherheitszuschlag) |
| Einstellung | Uebernahme in die Personalakte | § 26 BDSG |
{{#IF HAS_TALENT_POOL}} | Talentpool (bei Einwilligung) | Bis zum Widerruf, max. {{TALENT_POOL_MONTHS}} Monate | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
Nach Ablauf der Aufbewahrungsfrist werden Ihre Daten vollstaendig geloescht oder vernichtet.
---
## 7. Ihre Rechte
Sie haben folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
---
## 8. Pflicht zur Bereitstellung
Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die erforderlichen Angaben (insb. Kontaktdaten, Qualifikationsnachweise) kann Ihre Bewerbung jedoch nicht beruecksichtigt werden.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","TALENT_POOL_MONTHS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'applicant_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
-- ===========================================================================
-- Template 2: Mitarbeiter-Datenschutzinformation (Art. 13 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'employee_dsi',
'Datenschutzinformation fuer Beschaeftigte (Art. 13 DSGVO)',
'Datenschutzinformation fuer Mitarbeiterinnen und Mitarbeiter gemaess Art. 13 DSGVO. Verarbeitung im Beschaeftigungsverhaeltnis, Rechtsgrundlagen (§ 26 BDSG), Datenkategorien (Personal, Gehaltsabrechnung, Zeiterfassung, IT-Nutzung), Empfaenger, Aufbewahrungsfristen.',
$template$# Datenschutzinformation fuer Beschaeftigte
Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Beschaeftigungsverhaeltnis
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}
**Datenschutzbeauftragter:** {{DPO_NAME}} {{DPO_EMAIL}}
{{/IF}}
---
## 2. Welche Daten verarbeiten wir?
Im Rahmen des Beschaeftigungsverhaeltnisses verarbeiten wir folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Adresse, Geburtsdatum, Familienstand, Staatsangehoerigkeit |
| Kontaktdaten | Telefon, E-Mail (privat/dienstlich), Notfallkontakte |
| Vertragsdaten | Arbeitsvertrag, Position, Abteilung, Eintrittsdatum, Verguetung |
| Steuer- und Sozialversicherungsdaten | Steuer-ID, SV-Nummer, Steuerklasse, Krankenkasse |
| Bankdaten | IBAN, BIC (fuer Gehaltsabrechnung) |
| Zeiterfassungsdaten | Arbeitszeiten, Ueberstunden, Urlaub, Krankheitstage |
| Qualifikationsdaten | Zeugnisse, Zertifikate, Weiterbildungen |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Nutzungsdaten | Anmeldedaten, E-Mail-Nutzung (Metadaten), Internetzugriff (Protokolldaten) | {{/IF}}
{{#IF HAS_COMPANY_VEHICLE}} | Fahrzeugdaten | Fuhrpark-Zuordnung, Fahrtenbuch, Tankkartendaten | {{/IF}}
{{#IF HAS_ACCESS_CONTROL}} | Zutrittsdaten | Chipkarten-Protokolle, Zutrittszeiten | {{/IF}}
{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Aufnahmen aus ueberwachten Bereichen | {{/IF}}
| Leistungsdaten | Beurteilungen, Zielvereinbarungen, Feedbackgespraeche |
| Disziplinarische Daten | Abmahnungen, Verwarnungen |
{{#IF HAS_SPECIAL_CATEGORIES_EMPLOYEES}}
**Besondere Kategorien (Art. 9 DSGVO):** Gesundheitsdaten (Arbeitsunfaehigkeitsbescheinigungen, BEM-Verfahren), Schwerbehinderteneigenschaft, Religionszugehoerigkeit (fuer Kirchensteuer). Rechtsgrundlage: § 26 Abs. 3 BDSG.
{{/IF}}
---
## 3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Begruendung, Durchfuehrung und Beendigung des Beschaeftigungsverhaeltnisses | § 26 Abs. 1 BDSG |
| Gehaltsabrechnung und Sozialversicherungsmeldungen | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) |
| Steuerliche Pflichten (Lohnsteuer) | Art. 6 Abs. 1 lit. c DSGVO |
| Arbeitszeiterfassung (ArbZG) | Art. 6 Abs. 1 lit. c DSGVO |
| Betriebliche Altersvorsorge | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Sicherheit und Missbrauchserkennung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | {{/IF}}
{{#IF HAS_COMPANY_VEHICLE}} | Fuhrparkverwaltung und Fahrtenbuch | Art. 6 Abs. 1 lit. c/f DSGVO | {{/IF}}
| Weiterbildung und Personalentwicklung | Art. 6 Abs. 1 lit. b/f DSGVO |
| Arbeitssicherheit und Gesundheitsschutz | Art. 6 Abs. 1 lit. c DSGVO (ArbSchG) |
| Betriebliches Eingliederungsmanagement (BEM) | § 167 Abs. 2 SGB IX |
---
## 4. Empfaenger
| Empfaenger | Zweck | Rolle |
|-----------|-------|------|
| Personalabteilung (HR) | Personalverwaltung | Intern |
| Vorgesetzte/Fachabteilung | Arbeitsorganisation | Intern |
| Gehaltsabrechnungsdienstleister | Lohn-/Gehaltsabrechnung | Auftragsverarbeiter |
| Finanzamt | Lohnsteuer | Gesetzliche Pflicht |
| Sozialversicherungstraeger | SV-Meldungen | Gesetzliche Pflicht |
| Krankenkasse | Krankmeldungen | Gesetzliche Pflicht |
| Berufsgenossenschaft | Unfallversicherung | Gesetzliche Pflicht |
{{#IF HAS_COMPANY_PENSION}} | Pensionskasse/Versorgungswerk | Betriebliche Altersvorsorge | Vertrag | {{/IF}}
{{#IF HAS_EXTERNAL_HR_SOFTWARE}} | HR-Software-Anbieter | Personalverwaltung | Auftragsverarbeiter | {{/IF}}
---
## 5. Speicherdauer
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---------------|:---:|---|
| Personalakte (allgemein) | 3 Jahre nach Austritt | § 195 BGB (Verjaehrung) |
| Lohn-/Gehaltsunterlagen | 6 Jahre | § 257 HGB |
| Steuerunterlagen | 10 Jahre | § 147 AO |
| Sozialversicherungsnachweise | 5 Jahre | §§ 28f, 110 SGB IV |
| Zeugnisse (Erstellung) | Bis 3 Jahre nach Austritt | § 195 BGB |
| BEM-Dokumentation | 3 Jahre nach Abschluss | § 195 BGB |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Protokolldaten | {{LOG_RETENTION_DAYS}} Tage | Berechtigtes Interesse | {{/IF}}
{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Max. 72 Stunden | Berechtigtes Interesse | {{/IF}}
---
## 6. Ihre Rechte
Sie haben folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
{{#IF HAS_WORKS_COUNCIL}}
**Hinweis:** Bei Fragen zum Beschaeftigtendatenschutz koennen Sie sich auch an den Betriebsrat wenden.
{{/IF}}
---
## 7. Pflicht zur Bereitstellung
Die Bereitstellung der fuer die Begruendung und Durchfuehrung des Beschaeftigungsverhaeltnisses sowie zur Erfuellung gesetzlicher Pflichten erforderlichen Daten ist notwendig. Ohne diese Daten kann das Beschaeftigungsverhaeltnis nicht begruendet oder durchgefuehrt werden.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","LOG_RETENTION_DAYS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'employee_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
Reference in New Issue View Git Blame Copy Permalink