Von technischen Auskünften.

Standardabsagen sind sprachliche Watte. Sie klingen höflich, bleiben völlig folgenlos und sind dennoch erstaunlich effizient: Sie beenden Kommunikation, ohne Information zu liefern. Genau so lesen sich die Phrasen von HR¹. Dank, Floskel, Verweis auf „kleine Aspekte“, der Hinweis auf „andere Bewerber“, am Schluss der Imperativ, den Stellenmarkt weiter zu beobachten. Das ist HR als Nebelmaschine.

Gleichzeitig stehen die ausgeschriebenen Positionen mit einem klar umrissenen Pflichtenkreis im Raum: Managementsystem weiterentwickeln, Audits begleiten, Prozesse und Infrastruktur absichern, Sensibilisierung, Richtlinien, ISMS²-Denke, das Übliche also für CISOs³, IT-SBs, ISOs. Das Profil verlangt Erfahrung, konzeptionelle Stärke, Integrität, Kommunikationsfähigkeit, Praxisnähe. Das ist kein diffuses Wohlfühl-Mandat, sondern ein Rollenbild mit überprüfbaren Kriterien.

Und dann kommt die Absurdität, die viele inzwischen als Normalzustand akzeptiert haben: Anzeigen, die über Monate, teils über Jahre online bleiben, während Bewerber mit Standardtexten abserviert werden. Das Phänomen „Ghost Jobs“^{4 5 6 7} ist kein juristischer Begriff, aber ein realer Vertrauensschaden: Man investiert Zeit, legt Daten offen, eröffnet Angriffsflächen, und erhält im Gegenzug: Textbausteine. Gerade deshalb sind technische Auskunftsrechte heute nicht Beiwerk, sondern ein Instrument, um die Informationsasymmetrie wenigstens zu verkleinern.

Zwei Rechtsregime, ein Klick: DSGVO und TDDDG

Wer sich bewirbt, liefert Daten. Wer eine Stellenanzeige aufruft, liefert ebenfalls Daten, oft unbemerkt und in grösserer Breite: IP-Adresse⁸, User-Agent⁹, Zeitstempel, Referrer¹⁰-Ketten, Consent-Artefakte, Cookie¹¹-IDs, Local-Storage-Werte¹², Pixel-Events¹³, CDN-Logs¹⁴. Aus Sicht eines IT-Sicherheitsbeauftragten ist das banal, aus Sicht eines Betroffenen ist es der relevante Sachverhalt: Es existiert ein technischer Verarbeitungsvorgang, also existieren Pflichten.

Die DSGVO^{15 16} liefert den Kern: das Auskunftsrecht und das Recht auf „Kopie“ der personenbezogenen Daten. Entscheidend sind dabei drei Punkte, die in der Praxis gerne verwässert werden.

1. „Kopie“ ist nicht „ein hübsches PDF mit Marketingsprache“. Der Gerichtshof der EU hat klargestellt, dass die Kopie eine verständliche, originalgetreue Reproduktion der personenbezogenen Daten sein muss; nötigenfalls auch in Form von Dokumentauszügen, damit der Kontext erkennbar bleibt, EuGH, Urteil vom 04.05.2023, C-487/21.¹⁷
2. „Personenbezogene Daten“ sind nicht nur Stammdaten. Auch Bewertungen, Notizen, Einschätzungen können darunterfallen, wenn sie sich auf eine Person beziehen, EuGH, Urteil vom 20.12.2017, C-434/16, Nowak.¹⁸
3. Empfänger sind nicht bloss Kategorien. Der EuGH verlangt bei Offenlegung grundsätzlich die Benennung konkreter Empfänger, nicht nur abstrakte Gruppen, EuGH, Urteil vom 12.01.2023, C-154/21.¹⁹

Parallel dazu steht das zweite Regime: der Schutz der Endeinrichtung. Wer Informationen auf einem Endgerät speichert oder darauf zugreift, bewegt sich im Anwendungsbereich von § 25 TDDDG²⁰, der die ePrivacy-Logik von Art. 5 Abs. 3 der Richtlinie 2002/58/EG²¹ in deutsches Recht übersetzt. Und diese Logik ist im Kern simpel: Zugriff auf die Endeinrichtung ist ohne wirksame Einwilligung nur in engen Ausnahmefällen zulässig. „Planet49“ ist dafür die didaktische Ohrfeige: vorangekreuzte Kästchen und vage Informationslagen taugen nicht, EuGH, Urteil vom 01.10.2019, C-673/17.²²

Die Pointe liegt im Zusammenspiel: Der Bewerbungsprozess ist nicht nur HR-Ablauf, sondern ein technisches Ökosystem. Wenn dieses Ökosystem in die Endeinrichtung greift, entsteht eine zweite Anspruchsschiene.

Fristen, Form.

Die DSGVO ist kein Wunschkonzert, aber sie ist auch keine Alibi-Norm. Sie definiert einen Verfahrensrahmen: Antwort grundsätzlich binnen eines Monats, Verlängerung nur unter Begründung, maximal um zwei Monate, und die Kommunikation muss transparent sein. Der Text der Verordnung ist hier nüchtern, eindeutig.

Für die Praxis heisst das: Wer Auskunft verlangt, sollte nicht um „Feedback“ bitten, sondern die Pflichten adressieren, die Datenkategorien konkretisieren, den Kontext liefern: Bewerbungs-URL, Datum, Kanal, und die Lieferform festlegen. Genau das macht ein gutes Auskunftsschreiben: Es zwingt den Verantwortlichen, das Geschehen nicht als Bewerbung zu etikettieren, sondern als Datenverarbeitung zu behandeln, inklusive Artefakten, Logs und internen Vermerken.

Ein Detail, das viele unterschätzen: Die erste Kopie ist grundsätzlich unentgeltlich, EuGH, Urteil vom 26.10.2023, C-307/22.²³ Das nimmt einem beliebten Abwehrreflex die Munition, nämlich die Gebühren-Drohgebärde.

Und dann die Frage, die regelmässig im Raum steht: „Können die einfach schwärzen oder verweigern?“ Ja, teilweise. Aber nicht beliebig. Die DSGVO kennt die Schranke „Rechte und Freiheiten anderer“, einschliesslich Schutz von Dritten, Vertraulichkeit, Geschäftsgeheimnissen; das steht ausdrücklich im System der Verordnung, Art. 15 Abs. 4, Erwägungsgrund 63.

Diese Schranke ist jedoch kein Generalschlüssel für die Totalverweigerung. Sie verlangt Abwägung, zielgenaue Schwärzung, so wenig wie möglich und so viel wie nötig. Wer pauschal alles wegschwärzt, spielt nicht Compliance, sondern sabotiert den Zweck des Auskunftsrechts.

HR-Stack als Kaskade: Portal, ATS, Drittplattform, Cloud

Im Bewerbungsumfeld ist die technische Realität selten monolithisch. Ein Unternehmen schaltet auf dem eigenen Karriereportal aus, spiegelt auf einer Drittplattform, nutzt ein Bewerbermanagementsystem, bindet Consent-Management ein, lädt Fonts, Scripte, Captcha²⁴, Analytics, Fraud-Prevention, CDN²⁵, WAF²⁶. Jeder Baustein kann Empfänger, Auftragsverarbeiter, mitunter sogar (Mit-)Verantwortlicher sein. Und jeder Baustein erzeugt Daten.

Die gemeinsame Verantwortlichkeit ist dabei kein exotisches Randthema. Der EuGH hat in mehreren Konstellationen gezeigt, dass man sich nicht aus der Verantwortung exfiltriert, indem man „nur ein Plugin“ einbindet oder „nur eine Plattform“ nutzt: Fanpage-Betreiber, Social-Plugin-Betreiber, Organisationsstrukturen, die gemeinsam Zwecke und Mittel prägen, können gemeinsam verantwortlich sein, EuGH, Urteil vom 05.06.2018, C-210/16;²⁷ Urteil vom 29.07.2019, C-40/17;²⁸ Urteil vom 10.07.2018, C-25/17²⁹.

Für Auskunft bedeutet das: Ein sauber formuliertes Begehren fragt nicht nur „wer hat meine Daten“, sondern zwingt zur Rollenklärung: Wer ist Verantwortlicher, wer ist Auftragsverarbeiter, wer ist (gemeinsam) verantwortlich, wer ist Empfänger, wer ist bloss technischer Transporteur, wer ist eigener Zwecksetzer.

Hier liegt ein taktischer Vorteil für den Betroffenen: In dem Moment, in dem Rollen und Empfänger konkret benannt werden müssen, wird die „Kaskade“ sichtbar. Und Sichtbarkeit ist die Vorstufe von Durchsetzbarkeit.

Umfang der „Kopie“

Viele HR-Abteilungen tun so, als sei Art. 15 DSGVO eine Auskunft über Stammdaten plus eine Datennutzungsbelehrung. Das Gegenteil ist der Fall. Im Bewerbungsprozess sind gerade die „weichen“ Artefakte oft die harten Daten: Score-Masken, Ampel-Felder, interne Vermerke, Interviewnotizen, Weiterleitungen, Korrespondenz, Ticket-Threads. Nowak³⁰ ist dafür die juristische Grundlage, C-487/21³¹ liefert die Kopie-Schärfung.

In Deutschland kommt ein zusätzlicher Hebel hinzu: Das Bundesarbeitsgericht hat in jüngerer Zeit sehr klar herausgearbeitet, dass Auskunftsansprüche im Arbeitskontext nicht mit Allgemeinplätzen zu erledigen sind. Einerseits muss das Begehren hinreichend bestimmt sein, sonst drohen prozessuale Reibungsverluste, BAG, Urteil vom 27.04.2021, 2 AZR 342/20.³² Andererseits ist anerkannt, dass Auswahlvermerke und Bewertungszusammenfassungen grundsätzlich unter Art. 15 DSGVO herauszugeben sind, unter Schutz Dritter durch Schwärzung, BAG, Urteil vom 05.06.2025, 8 AZR 117/24.³³

Das ist der juristische Kern, der die Standardabsage entkernt: Die Absage bleibt möglich, die Begründung bleibt nicht zwingend, aber die Daten, die zur Entscheidung geführt haben, können auskunftspflichtig sein, soweit sie personenbezogen sind. Es ist eine indirekte Transparenz, keine moralische, sondern eine technische.

Tracking und Einwilligung

Einwilligung ist das Lieblingswort vieler Banner, weil es freundlich klingt und gleichzeitig wie eine Art magisches Amulett verwendet wird. Das EDPB³⁴ hat seit Jahren präzisiert, was Einwilligung bedeutet: freiwillig, spezifisch, informiert, unmissverständlich, ohne vorangekreuzte Kästchen, ohne faktische Kopplung. Das steht nicht als Poesie im Raum, sondern als Leitlinie, die Aufsichtsbehörden als Referenz nutzen, EDPB Guidelines 05 / 2020.³⁵

Hinzu kommt die „technische Reichweite“ der ePrivacy-Regel: Es geht nicht nur um Cookies, sondern um jede Speicherung oder jeden Zugriff auf Endeinrichtungsinformationen, also auch Local Storage, Session Storage, Identifiers, SDK-Artefakte und ähnliche Mechanismen. Genau dafür existieren die EDPB-Leitlinien zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy, Guidelines 02 / 2023, Version 2.0, 2024.³⁶

Und weil Menschen mit Interfaces gern manipuliert werden, gibt es auch dazu eine passende Dosis Realität: Dark Patterns³⁷ sind kein „UX-Stil“, sondern ein Problem der Wirksamkeit von Einwilligungen. Das EDPB hat das in Guidelines zu Dark Patterns systematisiert, Guidelines 03 / 2022, teils später aktualisiert.³⁸

Wer also im Bewerbungsumfeld Tracking betreibt und sich dabei auf Einwilligung stützt, muss technisch und organisatorisch belegen können, dass diese Einwilligung nicht bloss behauptet, sondern tatsächlich wirksam eingeholt wurde. Das bedeutet in Auskunftssprache: Nachweis der Einwilligung, Zeitpunkt, Version des Banners, dargestellte Zwecke, Empfänger, Consent-String, Widerrufsmöglichkeit, Protokollierung.

Automatisierung und Profiling

Viele Unternehmen nutzen im Bewerbungsprozess automatisierte Vorfilter, Ranking-Mechanismen, semiautomatische Scorecards. Nicht jede Automatisierung ist gleich eine „automatisierte Entscheidung“ im Sinne von Art. 22 DSGVO, aber jede solche Nutzung erzeugt Transparenzpflichten: Logik, Tragweite, angestrebte Auswirkungen, mindestens als „aussagekräftige Informationen“ im Rahmen der Betroffenenrechte.

Das ist keine neue Erfindung, es ist im Text der DSGVO angelegt. Und es wird perspektivisch nicht weniger, sondern mehr: Der EU-AI-Act setzt zusätzliche Anforderungen an Transparenz und Informationspflichten, je nach Systemkategorie und Rolle, Verordnung (EU) 2024/1689.³⁹

Für den Auskunftstext bedeutet das eine nüchterne Strategie: nicht „Welche KI nutzt ihr“, sondern „Ob und welche (teil-)automatisierten Verarbeitungen eingesetzt wurden, welche Daten dafür genutzt wurden, welche Entscheidungsschritte daraus folgten, welche Parameterklassen in die Bewertung eingingen, welche menschliche Prüfung stattfand, welche Korrekturmöglichkeit existiert.“ Das zwingt das Gegenüber weg vom Buzzword und hin zum Prozess.

Drittlandtransfers: SCC, BCR, Schrems II

Bewerbungsdaten landen regelmässig in Clouds und Subprozessor-Netzen. Wer behauptet, das spiele keine Rolle, hat den Markt der HR-SaaS-Anbieter nie angeschaut. Der Transfermechanismus ist dabei nicht Selbstzweck, sondern Compliance-Minimum: Standardvertragsklauseln⁴⁰, Binding Corporate Rules⁴¹, geeignete Garantien, Transfer-Risikoanalyse.

Schrems II ist hier nicht Folklore, sondern das Urteil, das den blossen Verweis auf SCCs ohne reale Risikoprüfung entwertet hat, EuGH, Urteil vom 16.07.2020, C-311/18.⁴² Wer Auskunft verlangt, kann deshalb in einem strukturierten Begehren nach den verwendeten Transfermechanismen fragen, inklusive der wesentlichen Ergebnisse einer Transfer-Impact-Assessment⁴³-Logik. Das ist nicht immer bequem, aber es ist sachlich begründbar, weil der Betroffene wissen muss, in welchem Risiko- und Rechtsraum seine Daten landen.

Konflikt mit Dritten und Geschäftsgeheimnissen

Jetzt zum Teil, den Unternehmen gerne dramatisieren: „Wir können nichts herausgeben, sonst verraten wir Interna.“ Nein. Ihr könnt sehr wohl herausgeben, ihr müsst nur sauber trennen.

Drittpersonen: Namen und personenbezogene Details anderer Bewerber sind nicht herauszugeben. Das lässt sich schwärzen. Rechte Dritter bleiben geschützt, die eigenen personenbezogenen Daten bleiben sichtbar.

Geschäftsgeheimnisse: Der Schutz ist real, und Deutschland hat mit dem GeschGehG⁴⁴ einen klaren Rahmen. Nur: Geschäftsgeheimnis ist nicht „alles, was peinlich sein könnte“. Ein echtes Geschäftsgeheimnis verlangt Schutzmassnahmen und wirtschaftliches Interesse am Geheimhalten. Wer das pauschal ruft, ohne konkrete Begründung, liefert kein Abwägungsergebnis, sondern einen Vorwand.

Die DSGVO selbst gibt die Richtung vor: Rechte und Freiheiten anderer sind zu wahren, aber das Auskunftsrecht soll nicht leer laufen. Erwägungsgrund 63 spricht ausdrücklich davon, dass der Verantwortliche geeignete Massnahmen treffen soll, um Rechte Dritter zu schützen, nicht um Auskunft zu sabotieren.

In der Praxis funktioniert das durch selektive Schwärzung, Auszüge statt Vollkopien, strukturierten Export statt Screenshot-Chaos. Wer ein ATS betreibt, kann exportieren. Wer nicht exportieren kann, hat ein Produktproblem, nicht ein Betroffenenproblem.

AGG als Nebenspur

Hier lohnt Nüchternheit. Das AGG⁴⁵ ist kein allgemeines „Erklär mir deine Absage“. Es ist ein Diskriminierungsrecht. Geht es um Transparenz der Datenverarbeitung, dann ist die DSGVO das Instrument. Geht es um Diskriminierung, dann braucht es Indizien für eine Benachteiligung wegen eines geschützten Merkmals.

Die Beweislastlogik ist dabei bekannt: Indizien reichen, um die Vermutung auszulösen, dann muss der Arbeitgeber widerlegen. Das ist § 22 AGG in der Praxis. Und die Fristen sind kurz: Ansprüche müssen innert zwei Monaten geltend gemacht werden, sonst verfallen sie in der Regel. Das AGG ist also kein gemütlicher Hebel, sondern ein scharfes Werkzeug, das nur dann sinnvoll ist, wenn man tatsächlich diskriminierungsrelevante Anhaltspunkte hat.

Ein wichtiger Punkt kommt aus der EuGH-Linie im Fall Kelly, EuGH, Urteil vom 21.07.2011, C-104/10: Selbst dort, wo Diskriminierung behauptet wird, entsteht nicht automatisch ein umfassender Anspruch auf Begründung oder auf Vergleichsdaten der Mitbewerber.⁴⁶ Der EuGH hat einen generellen „Auskunft über die Auswahlentscheidung“ nicht etabliert, sondern die Indizienlogik betont.

Epilog

Ausgerechnet Stellen mit Sicherheits- und Compliance-DNA sind ein gutes Beispiel, um den Widerspruch zu zeigen. Die Anzeigen fordern oftmals Auditbegleitung, Richtlinienarbeit, Sensibilisierung und ein hohes Mass an Integrität. Das ist die semantische Welt von „Kontrollfähigkeit“ und „Nachvollziehbarkeit“. Genau diese Werte fehlen dann im Bewerberkontakt, wenn Absagen ohne jede Information verschickt werden und gleichzeitig die Karriereplattform Daten in alle Richtungen verteilt.

Diese Reibung ist nicht nur ein Stilproblem. Sie ist ein Governance-Problem. Wer intern ISO-Denke predigt, sollte extern nicht wie ein Datenstaubsauger handeln, der auf Anfrage so tut, als gäbe es nichts zu sehen.

Ein sauberer Ablauf sieht nicht spektakulär aus, wirkt aber.

1. Auskunft verlangen, formal, bestimmt, mit Meta-Datenblock, mit klarer Definition der „Kopie“.
2. Wenn die Antwort ausweicht, nachfassen und die Lücken benennen: fehlende Empfängerbenennung, fehlende Kopie der Notizen, fehlende Speicherdauer, fehlende Rollenklärung.
3. Sofern weiter blockiert wird, die Aufsichtsbehörde einschalten.
4. Bei messbaren Pflichtverletzungen über Art. 82 DSGVO nachdenken, aber ohne Fantasie-Schadenssummen, sondern entlang der EuGH-Rechtsprechung zur Nichtvermögensschädigung. Der EuGH hat klargestellt, dass ein Schaden erforderlich ist, aber die Schwelle nicht als Strafschadensersatz missverstanden werden darf; „Kontrollverlust“ kann relevant sein, aber er ist zu begründen, EuGH, Urteil vom 14.12.2023, C-340/21.⁴⁷

Wer Daten nimmt, der muss Rechenschaft ablegen. Was dann übrig bleibt, das ist dann wohl Organisationsdefizit.

Der Kern ist unerquicklich, aber klar. Bewerbungen sind heute nicht nur Personalentscheidungen, sondern Datenverarbeitung in einem technischen Verbund. Standardabsagen sind dabei nicht bloss unhöflich, sondern ein Symptom: Man erwartet Offenheit vom Bewerber und liefert selbst Opazität.

Art. 15 DSGVO ist das Gegenmittel, weil er nicht um Einsicht bittet, sondern sie verlangt. § 25 TDDDG ist das zweite Gegenmittel, weil er den Zugriff auf die Endeinrichtung nicht als „Marketingdetail“ durchgehen lässt. Wer beides kombiniert, bringt Struktur in einen Prozess, der sonst von Textbausteinen, Toolketten und Verantwortungsdiffusion lebt.

Der Nebeneffekt ist gewollt. Ghost Jobs leben von Intransparenz. Auskunftsansprüche können diese Intransparenz ein wenig verringern.

Vorlage

Auskunftsersuchen nach Art. 15 DSGVO betreffend Tracking-Verarbeitungen unter Berücksichtigung von § 25 TDDDG

Sehr geehrte Damen,
Sehr geehrte Herren,

Hiermit verlange ich Auskunft nach Art. 15 DSGVO zu sämtlichen personenbezogenen Daten, die Sie im Zusammenhang mit meinem Besuch Ihrer Karriere- bzw. Stellenangebotsseiten und meiner Bewerbung als

""
Meta-Daten    :
Bewerbung URL : 
Bewerbung vom :
Bewerbung per : E-Mail / Bewerbungsportal / Upload URL

und der Ausspielung Ihrer Stellenanzeige(n) über Drittplattformen verarbeiten. Dies umfasst insbesondere Verarbeitungen mittels Cookies, Pixeln, SDKs, Tag- Managern, serverseitigem Tracking und vergleichbaren Technologien.

Besuchte URL(s)  :
Datum / Uhrzeit  :
Browser / Device : 
Aufrufende IP    :

Ich stelle klar, dass das Setzen bzw. Auslesen von Informationen auf meiner Endeinrichtung dem Einwilligungserfordernis nach § 25 TDDDG unterliegt; für Cookies ist eine aktive, informierte Einwilligung erforderlich, u.a. EuGH, Urteil vom 01.10.2019, C-673/17; BGH, Urteil vom 28.05.2020, I ZR 7/16.

Ergänzend zu den Anforderungen an eine wirksame Einwilligung, freiwillig, spezifisch, informiert, unmissverständlich; keine voreingestellten Häkchen, keine faktische Koppelung, jederzeit widerrufbar, verweise ich auf die EDPB-Leitlinien 05 / 2020.

Für Tracking-Techniken jenseits klassischer Cookies, z. B. Pixel-, SDK-, URL-Parameter-, Link-Tracking, Device-Fingerprinting, Identifier und vergleichbare Zugriffsvorgänge auf Endgeräteinformationen, verweise ich zusätzlich auf die EDPB-Leitlinien 02 / 2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-RL, Version 2.0, 07.10.2024.

Manipulative Einwilligungsdialoge, Dark Patterns, die die Freiwilligkeit oder Informiertheit unterlaufen, sind nach den EDPB-Leitlinien 03 / 2022 unzulässig.

Soweit "Consent-or-Pay"-Modelle oder ähnliche faktische Zwangslagen eingesetzt werden, verweise ich zusätzlich auf EDPB Opinion 08 / 2024.

Soweit Tracking / Targeting mittels Profiling / Scoring und ggf. KI-basierten Modellen erfolgt, verweise ich ergänzend auf EDPB Opinion 28 / 2024, sowie den Report der EDPB ChatGPT Taskforce (2024).

Ich ersuche insbesondere um:
 
1. Bestätigung und Kopie, Art. 15 Abs. 3 DSGVO
Bestätigung, ob und welche personenbezogenen Daten zu mir verarbeitet wurden, inklusive einer Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO. "Kopie" meint eine verständliche, originalgetreue Reproduktion der Daten; soweit  erforderlich umfasst dies auch Dokument- bzw. Auszugscharakter, u.a. EuGH, Urteil vom 04.05.2023, C-487/21. Dazu zählen insbesondere:

- Cookie- / Identifier-Daten: Cookie-Namen, Werte, Laufzeiten; Domain / Path, Secure / HttpOnly / SameSite, LocalStorage / SessionStorage-Einträge.
- Consent- / CMP-Daten: Consent-ID, Consent-String, Timestamp, Consent-Version, Vendor-Selections.
- Event- / Log-Daten: Pageviews, Clicks, Conversions, UTM, Referrer, IP / Hash, User-Agent, Device-Fingerprints, soweit eingesetzt.
- Tag-Manager- / Pixel-Events: z.B. "ViewContent", "Apply", "Conversion".
- Serverseitige Tracking- bzw. Proxy-Logs, soweit mir zuzuordnen.
- Web Beacons, Fingerprinting, z. B. Canvas, Audio, und Server-Side Tagging via Google Tag Manager oder ähnliche Tools.

2. Zwecke, Rechtsgrundlagen, Datenkategorien
Zwecke der Verarbeitung, Rechtsgrundlagen, Art. 6 DSGVO, und Abgrenzung, welche Komponenten auf Einwilligung beruhen und welche als "unbedingt erforderlich" im Sinne von § 25 Abs. 2 TDDDG geltend gemacht werden.

3. Empfänger und Weitergaben, konkret, nicht nur Kategorien
Bitte benennen Sie sämtliche Empfänger sowie sämtliche Auftragsverarbeiter / Subprozessoren, soweit diese Zugriff auf meine Daten erhalten. Ich ersuche grundsätzlich um Nennung der konkreten Empfänger, nicht nur Empfängerkategorien, EuGH, Urteil vom 12.01.2023, C-154/21.

4. Rollenklärung in der Kaskade, soweit zutreffend, Art. 26, Art. 28 DSGVO
Darstellung, in welcher Rolle die jeweiligen Akteure handeln: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter. Soweit gemeinsame Verantwortlichkeit besteht, ersuche ich um Übermittlung des wesentlichen Inhalts der Art.-26-Vereinbarung, soweit er mich betrifft. Zur Einordnung gemeinsamer Verantwortlichkeit verweise ich u.a. auf EuGH, Urteil vom 05.06.2018, C-210/16; EuGH, Urteil vom 29.07.2019, C-40/17; EuGH, Urteil vom 10.07.2018, C-25/17.

5. Drittlandübermittlungen
Sofern personenbezogene Daten im Rahmen des Bewerbungs- oder Trackingprozesses an Empfänger in Drittstaaten oder an internationale Organisationen übermittelt werden, ersuche ich gem. Art. 15 Abs. 2 DSGVO um Auskunft über die geeigneten Garantien nach Art. 46 DSGVO. Dies umfasst insbesondere:

a. Angabe der Drittländer sowie der konkreten Empfänger / Kategorien,
b. ob Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 oder Binding Corporate Rules eingesetzt werden, inkl. Bezeichnung / Referenz,

c. eine nachvollziehbare Zusammenfassung der hierzu vorgenommenen Schrems-II-Prüfung, Transfer Impact Assessment, und der ergriffenen zusätzlichen Massnahmen, technisch, organisatorisch, vertraglich,

soweit diese meine Daten betreffen.

6. Speicherdauer / Löschkonzept
Konkrete Speicherdauern je Datenkategorie, Consent-Logs, Tracking-IDs, Event-Logs, serverseitige Logs, und Kriterien für die Festlegung der Dauer.

7. Automatisierte Entscheidungen / Profiling, falls eingesetzt
Ob (teil-)automatisierte Entscheidungsfindung oder ob Profiling / Segmentierung (z. B. Zielgruppen, Attributionsmodelle, Fraud- / Bot-Scores) erfolgt, auch wenn keine Entscheidung i.S.v. Art. 22 DSGVO getroffen wird; einschließlich aussagekräftiger Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen, Art. 15 Abs. 1 lit. h i.V.m. Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g DSGVO.

8. Nachweis der Einwilligung / Consent-Protokolle
Soweit Sie sich auf Einwilligung stützen: Nachweis gem. Art. 7 Abs. 1 DSGVO. Übermittlung der zu mir gehörenden Consent-Protokolle, Zeitpunkt, Umfang, Version des Banners, Vendor-Liste, Zwecke, Widerrufs- / Änderungshistorie. Bitte teilen Sie zudem mit, ob ein Consent-Management-Framework, z.B. IAB TCF, verwendet wurde und welche Consent-Strings bzw. Purpose / Vendor-Selektionen gespeichert wurden. Ein allfälliger Widerruf erfolgt gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft.

Frist / Verfahrensmodus:

Bitte übermitteln Sie mir die Auskunft in elektronischer Form an diese E-Mail-Adresse: 

vorname.nachname@domain.tld

Ich biete Ende-zu-Ende-Verschlüsslung via OpenPGP, RFC-9580; PGP/MIME gem. RFC-3156, sowie alternativ via S/MIME, RFC-8551, an. Mein OpenPGP-Public-Key, MIME-Type application/pgp-keys, inkl. Fingerprint sind beigefügt. Falls nicht umsetzbar, bitte AES-256 verschlüsseltes PDF und Passwort über separaten Kanal wie Threema, Signal, Simplex. 

Die erste Kopie nach Art. 15 DSGVO ist unentgeltlich, EuGH, Urteil vom 26.10.2023, C-307/22.

Sollten Sie einzelne Informationen verweigern oder schwärzen, ersuche ich um konkrete Begründung unter Angabe der Rechtsgrundlage, Art. 15 Abs. 4 DSGVO sowie, soweit geltend gemacht, gem. § 34 BDSG.

Bitte bestätigen Sie den Eingang dieses Auskunftsersuchens bis zum TT.MM.JJJJ.

Die Beantwortung hat grundsätzlich binnen eines Monats nach Zugang zu erfolgen, Art. 12 Abs. 3 DSGVO.

Fristablauf ist demnach der TT.MM.JJJJ.

Soweit Sie eine Verlängerung, maximal um zwei Monate, nach Art. 12 Abs. 3 DSGVO geltend machen, erwarte ich innerhalb der Monatsfrist hier eingehend eine schriftliche, abschließende, vollständige, substantielle Begründung sowie die klare Benennung, welche Teile meines Begehrens bis wann erledigt werden und aus welchen Gründen eine fristgerechte Beantwortung nicht möglich ist, ohne fristgerechte Mitteilung ist eine Verlängerung unbeachtlich. Die Mitteilung über eine Fristverlängerung nach Art. 12 Abs. 3 DSGVO hat mir innerhalb der Monatsfrist in Textform zuzugehen. Massgeblich ist der Eingang in meinem E-Mail-Postfach unter o.g. Adresse. Das Übermittlungsrisiko tragen Sie. Eine postalische Zustellung kann ergänzend erfolgen, bevorzugt als Einschreiben-Einwurf unter:

Postfach 10 00 00, 12345 Musterstadt

Bei Nichtbeachtung steht mir das Beschwerderecht bei der zuständigen Aufsichtsbehörde zu, Art. 77 DSGVO, sowie gerichtlichen Rechtsbehelf nach Art. 78 und 79 DSGVO.

Bei verspäteter, unvollständiger oder verweigerter Auskunft behalte ich mir Ansprüche nach Art. 82 DSGVO vor; EuGH, Urteil vom 14.12.2023, C-340/21; ein immaterieller Schaden kann insbesondere bei nachweisbaren negativen Folgen, z.B. Befürchtungen, Belastungen infolge des Verstosses, vorliegen, wobei der Nachweis im Einzelfall zu führen ist, EuGH, Urteil vom 20.06.2024, C-590/22; EuGH, Urteil vom 04.09.2025, C-655/23.

Sollten Sie der Auffassung sein, dass einzelne begehrte Inhalte nicht herauszugeben sind, erwarte ich eine trennscharfe Entscheidung je Datenkategorie mit konkreter Rechtsgrundlage und nachvollziehbarer Abwägung nach Art. 15 Abs. 4 DSGVO.

Mit freundlichen Grüssen

Unterschrift

Auskunftsersuchen nach Art. 15 DSGVO betreffend Tracking-Verarbeitungen unter Berücksichtigung von § 25 TDDDG

Sehr geehrte Damen,
Sehr geehrte Herren,

Hiermit verlange ich Auskunft nach Art. 15 DSGVO zu sämtlichen personenbezogenen Daten, die Sie im Zusammenhang mit meinem Besuch Ihrer Karriere- bzw. Stellenangebotsseiten und meiner Bewerbung als

""
Meta-Daten    :
Bewerbung URL : 
Bewerbung vom :
Bewerbung per : E-Mail / Bewerbungsportal / Upload URL

und der Ausspielung Ihrer Stellenanzeige(n) über Drittplattformen verarbeiten. Dies umfasst insbesondere Verarbeitungen mittels Cookies, Pixeln, SDKs, Tag- Managern, serverseitigem Tracking und vergleichbaren Technologien.

Besuchte URL(s)  :
Datum / Uhrzeit  :
Browser / Device : 
Aufrufende IP    :

Ich stelle klar, dass das Setzen bzw. Auslesen von Informationen auf meiner Endeinrichtung dem Einwilligungserfordernis nach § 25 TDDDG unterliegt; für Cookies ist eine aktive, informierte Einwilligung erforderlich, u.a. EuGH, Urteil vom 01.10.2019, C-673/17; BGH, Urteil vom 28.05.2020, I ZR 7/16.

Ergänzend zu den Anforderungen an eine wirksame Einwilligung, freiwillig, spezifisch, informiert, unmissverständlich; keine voreingestellten Häkchen, keine faktische Koppelung, jederzeit widerrufbar, verweise ich auf die EDPB-Leitlinien 05 / 2020.

Für Tracking-Techniken jenseits klassischer Cookies, z. B. Pixel-, SDK-, URL-Parameter-, Link-Tracking, Device-Fingerprinting, Identifier und vergleichbare Zugriffsvorgänge auf Endgeräteinformationen, verweise ich zusätzlich auf die EDPB-Leitlinien 02 / 2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-RL, Version 2.0, 07.10.2024.

Manipulative Einwilligungsdialoge, Dark Patterns, die die Freiwilligkeit oder Informiertheit unterlaufen, sind nach den EDPB-Leitlinien 03 / 2022 unzulässig.

Soweit "Consent-or-Pay"-Modelle oder ähnliche faktische Zwangslagen eingesetzt werden, verweise ich zusätzlich auf EDPB Opinion 08 / 2024.

Soweit Tracking / Targeting mittels Profiling / Scoring und ggf. KI-basierten Modellen erfolgt, verweise ich ergänzend auf EDPB Opinion 28 / 2024, sowie den Report der EDPB ChatGPT Taskforce (2024).

Ich ersuche insbesondere um:
 
1. Bestätigung und Kopie, Art. 15 Abs. 3 DSGVO
Bestätigung, ob und welche personenbezogenen Daten zu mir verarbeitet wurden, inklusive einer Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO. "Kopie" meint eine verständliche, originalgetreue Reproduktion der Daten; soweit  erforderlich umfasst dies auch Dokument- bzw. Auszugscharakter, u.a. EuGH, Urteil vom 04.05.2023, C-487/21. Dazu zählen insbesondere:

- Cookie- / Identifier-Daten: Cookie-Namen, Werte, Laufzeiten; Domain / Path, Secure / HttpOnly / SameSite, LocalStorage / SessionStorage-Einträge.
- Consent- / CMP-Daten: Consent-ID, Consent-String, Timestamp, Consent-Version, Vendor-Selections.
- Event- / Log-Daten: Pageviews, Clicks, Conversions, UTM, Referrer, IP / Hash, User-Agent, Device-Fingerprints, soweit eingesetzt.
- Tag-Manager- / Pixel-Events: z.B. "ViewContent", "Apply", "Conversion".
- Serverseitige Tracking- bzw. Proxy-Logs, soweit mir zuzuordnen.
- Web Beacons, Fingerprinting, z. B. Canvas, Audio, und Server-Side Tagging via Google Tag Manager oder ähnliche Tools.

2. Zwecke, Rechtsgrundlagen, Datenkategorien
Zwecke der Verarbeitung, Rechtsgrundlagen, Art. 6 DSGVO, und Abgrenzung, welche Komponenten auf Einwilligung beruhen und welche als "unbedingt erforderlich" im Sinne von § 25 Abs. 2 TDDDG geltend gemacht werden.

3. Empfänger und Weitergaben, konkret, nicht nur Kategorien
Bitte benennen Sie sämtliche Empfänger sowie sämtliche Auftragsverarbeiter / Subprozessoren, soweit diese Zugriff auf meine Daten erhalten. Ich ersuche grundsätzlich um Nennung der konkreten Empfänger, nicht nur Empfängerkategorien, EuGH, Urteil vom 12.01.2023, C-154/21.

4. Rollenklärung in der Kaskade, soweit zutreffend, Art. 26, Art. 28 DSGVO
Darstellung, in welcher Rolle die jeweiligen Akteure handeln: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter. Soweit gemeinsame Verantwortlichkeit besteht, ersuche ich um Übermittlung des wesentlichen Inhalts der Art.-26-Vereinbarung, soweit er mich betrifft. Zur Einordnung gemeinsamer Verantwortlichkeit verweise ich u.a. auf EuGH, Urteil vom 05.06.2018, C-210/16; EuGH, Urteil vom 29.07.2019, C-40/17; EuGH, Urteil vom 10.07.2018, C-25/17.

5. Drittlandübermittlungen
Sofern personenbezogene Daten im Rahmen des Bewerbungs- oder Trackingprozesses an Empfänger in Drittstaaten oder an internationale Organisationen übermittelt werden, ersuche ich gem. Art. 15 Abs. 2 DSGVO um Auskunft über die geeigneten Garantien nach Art. 46 DSGVO. Dies umfasst insbesondere:

a. Angabe der Drittländer sowie der konkreten Empfänger / Kategorien,
b. ob Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 oder Binding Corporate Rules eingesetzt werden, inkl. Bezeichnung / Referenz,

c. eine nachvollziehbare Zusammenfassung der hierzu vorgenommenen Schrems-II-Prüfung, Transfer Impact Assessment, und der ergriffenen zusätzlichen Massnahmen, technisch, organisatorisch, vertraglich,

soweit diese meine Daten betreffen.

6. Speicherdauer / Löschkonzept
Konkrete Speicherdauern je Datenkategorie, Consent-Logs, Tracking-IDs, Event-Logs, serverseitige Logs, und Kriterien für die Festlegung der Dauer.

7. Automatisierte Entscheidungen / Profiling, falls eingesetzt
Ob (teil-)automatisierte Entscheidungsfindung oder ob Profiling / Segmentierung (z. B. Zielgruppen, Attributionsmodelle, Fraud- / Bot-Scores) erfolgt, auch wenn keine Entscheidung i.S.v. Art. 22 DSGVO getroffen wird; einschließlich aussagekräftiger Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen, Art. 15 Abs. 1 lit. h i.V.m. Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g DSGVO.

8. Nachweis der Einwilligung / Consent-Protokolle
Soweit Sie sich auf Einwilligung stützen: Nachweis gem. Art. 7 Abs. 1 DSGVO. Übermittlung der zu mir gehörenden Consent-Protokolle, Zeitpunkt, Umfang, Version des Banners, Vendor-Liste, Zwecke, Widerrufs- / Änderungshistorie. Bitte teilen Sie zudem mit, ob ein Consent-Management-Framework, z.B. IAB TCF, verwendet wurde und welche Consent-Strings bzw. Purpose / Vendor-Selektionen gespeichert wurden. Ein allfälliger Widerruf erfolgt gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft.

Frist / Verfahrensmodus:

Bitte übermitteln Sie mir die Auskunft in elektronischer Form an diese E-Mail-Adresse: 

vorname.nachname@domain.tld

Ich biete Ende-zu-Ende-Verschlüsslung via OpenPGP, RFC-9580; PGP/MIME gem. RFC-3156, sowie alternativ via S/MIME, RFC-8551, an. Mein OpenPGP-Public-Key, MIME-Type application/pgp-keys, inkl. Fingerprint sind beigefügt. Falls nicht umsetzbar, bitte AES-256 verschlüsseltes PDF und Passwort über separaten Kanal wie Threema, Signal, Simplex. 

Die erste Kopie nach Art. 15 DSGVO ist unentgeltlich, EuGH, Urteil vom 26.10.2023, C-307/22.

Sollten Sie einzelne Informationen verweigern oder schwärzen, ersuche ich um konkrete Begründung unter Angabe der Rechtsgrundlage, Art. 15 Abs. 4 DSGVO sowie, soweit geltend gemacht, gem. § 34 BDSG.

Bitte bestätigen Sie den Eingang dieses Auskunftsersuchens bis zum TT.MM.JJJJ.

Die Beantwortung hat grundsätzlich binnen eines Monats nach Zugang zu erfolgen, Art. 12 Abs. 3 DSGVO.

Fristablauf ist demnach der TT.MM.JJJJ.

Soweit Sie eine Verlängerung, maximal um zwei Monate, nach Art. 12 Abs. 3 DSGVO geltend machen, erwarte ich innerhalb der Monatsfrist hier eingehend eine schriftliche, abschließende, vollständige, substantielle Begründung sowie die klare Benennung, welche Teile meines Begehrens bis wann erledigt werden und aus welchen Gründen eine fristgerechte Beantwortung nicht möglich ist, ohne fristgerechte Mitteilung ist eine Verlängerung unbeachtlich. Die Mitteilung über eine Fristverlängerung nach Art. 12 Abs. 3 DSGVO hat mir innerhalb der Monatsfrist in Textform zuzugehen. Massgeblich ist der Eingang in meinem E-Mail-Postfach unter o.g. Adresse. Das Übermittlungsrisiko tragen Sie. Eine postalische Zustellung kann ergänzend erfolgen, bevorzugt als Einschreiben-Einwurf unter:

Postfach 10 00 00, 12345 Musterstadt

Bei Nichtbeachtung steht mir das Beschwerderecht bei der zuständigen Aufsichtsbehörde zu, Art. 77 DSGVO, sowie gerichtlichen Rechtsbehelf nach Art. 78 und 79 DSGVO.

Bei verspäteter, unvollständiger oder verweigerter Auskunft behalte ich mir Ansprüche nach Art. 82 DSGVO vor; EuGH, Urteil vom 14.12.2023, C-340/21; ein immaterieller Schaden kann insbesondere bei nachweisbaren negativen Folgen, z.B. Befürchtungen, Belastungen infolge des Verstosses, vorliegen, wobei der Nachweis im Einzelfall zu führen ist, EuGH, Urteil vom 20.06.2024, C-590/22; EuGH, Urteil vom 04.09.2025, C-655/23.

Sollten Sie der Auffassung sein, dass einzelne begehrte Inhalte nicht herauszugeben sind, erwarte ich eine trennscharfe Entscheidung je Datenkategorie mit konkreter Rechtsgrundlage und nachvollziehbarer Abwägung nach Art. 15 Abs. 4 DSGVO.

Mit freundlichen Grüssen

Unterschrift

1. https://en.wikipedia.org/wiki/Human_resource_management ↩︎
2. https://de.wikipedia.org/wiki/Information_Security_Management_System ↩︎
3. https://de.wikipedia.org/wiki/Chief_Information_Security_Officer ↩︎
4. https://arxiv.org/abs/2410.21771 ↩︎
5. https://doi.org/10.1057/s11369-025-00436-z ↩︎
6. https://www.columbialawreview.org/content/ghost-jobs/ ↩︎
7. https://www.columbialawreview.org/wp-content/uploads/2025/11/November-2025-Forum-Grimm.pdf ↩︎
8. https://de.wikipedia.org/wiki/IP-Adresse ↩︎
9. https://de.wikipedia.org/wiki/User_Agent ↩︎
10. https://de.wikipedia.org/wiki/Referrer ↩︎
11. https://de.wikipedia.org/wiki/HTTP-Cookie ↩︎
12. https://de.wikipedia.org/wiki/Web_Storage#Lokale_Speicherung ↩︎
13. https://de.wikipedia.org/wiki/Z%C3%A4hlpixel ↩︎
14. https://de.wikipedia.org/wiki/Content_Delivery_Network ↩︎
15. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), ABl. L 119 vom 04.05.2016, S. 1. ↩︎
16. https://gdpr-text.com/pt/read/article-1/?col=2&lang1=pt&lang2=de ↩︎
17. EuGH, Urt. v. 04.05.2023 – C-487/21, ECLI:EU:C:2023:369 ↩︎
18. EuGH, Urt. v. 20.12.2017 – C-434/16 (Nowak), ECLI:EU:C:2017:994. ↩︎
19. EuGH, Urt. v. 12.01.2023 – C-154/21, ECLI:EU:C:2023:3. ↩︎
20. Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG) vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), zuletzt geändert durch Artikel 4 des Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301). ↩︎
21. Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. L 201 vom 31.07.2002, S. 37. in der durch die Richtlinie 2009/136/EG geänderten Fassung, ABl. L 337 vom 18.12.2009, S. 11. ↩︎
22. EuGH, Urt. (Grosse Kammer) v. 01.10.2019 – C-673/17 (Planet49), ECLI:EU:C:2019:801. ↩︎
23. EuGH, Urt. v. 26.10.2023 – C-307/22, ECLI:EU:C:2023:811. ↩︎
24. https://de.wikipedia.org/wiki/Captcha ↩︎
25. https://de.wikipedia.org/wiki/Content_Delivery_Network ↩︎
26. https://de.wikipedia.org/wiki/Web_Application_Firewall ↩︎
27. EuGH, Urt. (Grosse Kammer) v. 05.06.2018 – C-210/16 (Wirtschaftsakademie Schleswig-Holstein), ECLI:EU:C:2018:388. ↩︎
28. EuGH, Urt. (Zweite Kammer) v. 29.07.2019 – C-40/17 (Fashion ID), ECLI:EU:C:2019:629. ↩︎
29. EuGH, Urt. (Grosse Kammer) v. 10.07.2018 – C-25/17 (Jehovan todistajat), ECLI:EU:C:2018:551. ↩︎
30. Siehe Fn. 18. ↩︎
31. Siehe Fn. 17. ↩︎
32. BAG, Urt. v. 27.04.2021 – 2 AZR 342/20, ECLI:DE:BAG:2021:270421.U.2AZR342.20.0. ↩︎
33. BAG, Urt. v. 05.06.2025 – 8 AZR 117/24, ECLI:DE:BAG:2025:050625.U.8AZR117.24.0. ↩︎
34. https://de.wikipedia.org/wiki/Europ%C3%A4ischer_Datenschutzausschuss ↩︎
35. Europäischer Datenschutzausschuss (EDPB/EDSA), Leitlinien 05/2020 zur Einwilligung gem. Verordnung (EU) 2016/679, Version 1.1, angenommen am 04. Mai 2020, abrufbar unter:
    https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf ↩︎
36. Europäischer Datenschutzausschuss (EDPB), Guidelines 02/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive, Version 2.0, Adopted on 07 October 2024, abrufbar unter:
    https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf ↩︎
37. https://de.wikipedia.org/wiki/Dark_Pattern ↩︎
38. Europäischer Datenschutzausschuss (EDPB), Guidelines 03/2022 on deceptive design patterns in social media platform interfaces, Version 2.0, Adopted on 14 February 2023, abrufbar unter:
    https://www.edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf   ↩︎
39. Europäisches Parlament und Rat, Verordnung (EU) 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung mehrerer Rechtsakte („Verordnung über künstliche Intelligenz“, „Artificial Intelligence Act“), ABl. L, 2024/1689, 12.07.2024. ↩︎
40. Europäische Kommission, Durchführungsbeschluss (EU) 2021/914 vom 04. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gem. Verordnung (EU) 2016/679, ABl. L 199 vom 07.06.2021, S. 31–61. ↩︎
41. Europäische Kommission, Binding corporate rules (BCR), abrufbar unter:
    https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en ↩︎
42. EuGH, Urt. (Grosse Kammer) v. 16.07.2020 – C-311/18 (Data Protection Commissioner ./. Facebook Ireland und Schrems), ECLI:EU:C:2020:559. ↩︎
43. Europäischer Datenschutzausschuss (EDPB), Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0 (Final), angenommen am 18.06.2021 (insb. Schritte zur Bewertung von Drittlandrecht/-praxis und ggf. zusätzlichen Massnahmen). ↩︎
44. Gesetz zum Schutz von Geschäftsgeheimnissen (Geschäftsgeheimnisgesetz – GeschGehG) vom 18. April 2019, BGBl. I 2019, S. 466. ↩︎
45. Allgemeines Gleichbehandlungsgesetz (AGG) vom 14. August 2006 (BGBl. I S. 1897), zuletzt geändert durch Art. 15 des Gesetzes vom 22. Dezember 2023 (BGBl. 2023 I Nr. 414). ↩︎
46. EuGH, Urt. (Zweite Kammer) v. 21.07.2011 – C-104/10 (Kelly), ECLI:EU:C:2011:506. ↩︎
47. EuGH, Urt. v. 14.12.2023 – C-340/21, ECLI:EU:C:2023:986. ↩︎