Hinweise zum Datenschutz
Gemäß den gesetzlichen Vorgaben informieren wir Sie über die Verarbeitung personenbezogenen Daten durch uns. Bitte beachten Sie auch die Hinweise zu Ihren Rechten, insbesondere Ihrem Widerspruchsrecht nach Artikel 21 DSGVO.
Sie finden auf der Seite nachfolgende Informationen:
Name und Kontaktdaten des Verantwortlichen, sowie ggf. dessen Vertreter und Ansprechpartner
IT Rechenwerk GmbH
Eichenkamp 14
32479 Hille
Telefon: 05 71 / 951 968 00
E-Mail: post@it-rechenwerk.de
Kontaktdaten Ansprechpartner für Datenschutz
Bei Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte stehen wir Ihnen über nachfolgende Wege zur Verfügung.
Per Post:
IT Rechenwerk GmbH
– Datenschutz –
Eichenkamp 14
32479 Hille
Per E-Mail:
E-Mail-Adresse: datenschutz@it-rechenwerk.de
Per Online-Meldeformular:
https://app.datenschutzwegweiser.de/anfrage-formular/it-rechenwerk
3.1 Hinweise zur Bereitstellung von personenbezogenen Daten und mögliche Folgen
Sofern personenbezogene Daten für eine Verarbeitung erforderlich sind, die auf der Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, vertragsvorbereitende Maßnahmen auf Anfrage der betroffenen Person) oder
- Art. 6 Abs. 1 lit c DSGVO (Erfüllung anderer Vorschriften)
basieren kann eine Nichtbereitstellung zur Folge haben, dass die gewünschte Leistung nicht oder nicht vollumfänglich erbracht werden kann.
3.2 Weitergabe von personenbezogenen Daten, inkl. Drittländer und internationale Organisationen
Die vorgesehenen möglichen Empfänger bzw. Kategorien von Empfängern sind bei den jeweiligen Verarbeitungen aufgeführt. Eine Datenübermittlung oder Offenlegung im jeweiligen Umfang erfolgt sofern dies notwendig und zulässig ist. Im Rahmen des berechtigten Interesses (siehe auch Punkt „Verarbeitung zur Wahrung der berechtigten Interessen“) kann eine Übermittlung an Dritte, wie z. B. juristische Vertretung, Justiz, Behörden, Versicherungen, aber auch zur eigenen kaufmännischen Abwicklung an Steuerberater, Wirtschaftsprüfer u. Ä. erforderlich sein.
Sofern wir für die Verarbeitung personenbezogener Daten die Leistungen anderer, z. B. IT-Dienstleister, in Anspruch nehmen und deren Tätigkeit eine Auftragsverarbeitung darstellt, erfolgt dies gemäß den Vorgaben nach Art. 28 DSGVO.
Sofern nicht abweichend in einer Verarbeitung ausgeführt, gibt es keine Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder an eine internationale Organisation zu übermitteln, sofern
- dies nicht zur Auftragsabwicklung erforderlich ist,
- der Betroffene eingewilligt hat
- der Auftraggeber dort seinen dauerhaften oder temporären Aufenthalt hat,
- entsprechende Geräte bzw. Dienste (z. B. E-Mail-Postfach) dort betreibt oder,
- insbesondere bei elektronischer Kommunikation, ein entsprechendes Routing erfolgt, auf das wir keinen Einfluss haben.
Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien nach Art. 46 DSGVO, kann eine Datenübermittlung gemäß den Ausnahmeregelungen nach Art. 49 DSGVO erfolgen. Eine der möglichen Ausnahmemöglichkeiten nach Art. 49 DSGVO ist Ihre Einwilligung nach Unterrichtung über mögliche Risiken, sofern kein Angemessenheitsbeschuss oder geeignete Garantien vorhanden sind.
3.3 Dauer oder Kriterien zur Dauer der Verarbeitung (Löschung)
Sofern bei einzelnen Verarbeitungen nicht abweichend beschrieben erfolgt eine Verarbeitung personenbezogener Daten so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzlich vorgesehen ist.
Eine längere Speicherung im Rahmen des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO im Einzelfall kann erfolgen, sofern diese Daten beispielsweise zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Erfüllung von Vorschriften oder Regulierung von Schäden erforderlich sind.
3.4 Hinweis zur automatischen Entscheidungsfindung einschließlich Profiling
Sofern bei einzelnen Verarbeitungen nicht abweichend beschrieben, erfolgt gemäß den Bestimmungen des Art. 22 DSGVO keine Entscheidung, welche ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – basiert und die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt
3.5 Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Basis einer Rechtsgrundlage des Artikels 6 DSGVO. Bitte beachten Sie, dass eine Verarbeitung teilweise auch mehrere Rechtsgrundlagen haben kann. So basiert z. B. die Leistungserbringung auf der Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO „Vertragserfüllung“. Die im Rahmen der Verarbeitung verarbeiteten Daten und Dokumente sind oftmals steuerrelevant, womit wir aufgrund anderer Vorschriften verpflichtet sind diese gemäß den Steuervorschriften aufzubewahren. Die Rechtsgrundlage aus Art. 6 ist dann Art. 6 Abs. 1 lit. c DSGVO.
Wir verarbeiten personenbezogene Daten auf Basis nachfolgender Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; Diese Einwilligung ist freiwillig und mit Wirkung für die Zukunft jederzeit widerrufbar.
Art. 6 Abs. 1 lit. b DSGVO
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Art. 6 Abs. 1 lit. c DSGVO
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Art. 6 Abs. 1 lit. f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
3.6 Datenherkunft
Sofern bei einzelnen Verarbeitungen nicht abweichend beschrieben, erfolgt die Erhebung der personenbezogenen Daten im Regelfall direkt beim Betroffenen. Ausnahmen ergeben sich, wenn Dritte im Auftrag oder in Vertretung des Betroffenen Daten übermitteln bzw. bereitstellen, sowie wenn Dritte uns im Rahmen der Vertragserfüllung oder aufgrund gesetzlicher Bestimmungen uns entsprechende Daten zur Verfügung stellen.
3.7 Besondere Kategorie von Daten nach Art. 9 DSGVO
Sofern bei einzelnen Verarbeitungen nicht abweichend beschrieben oder dies im Einzelfall erforderlich ist, ist keine Verarbeitung besonderer Kategorien personenbezogener Daten geplant. Sofern eine Verarbeitung besonderer Kategorien von personenbezogenen Daten erforderlich ist, erfolgt dies gemäß den zulässigen Möglichkeiten nach Art. 9 Abs. 2 DSGVO.
3.8 Betroffenen-Rechte
Die Datenschutzvorschriften sehen bei Vorliegen der gesetzlichen Voraussetzungen für Sie als Betroffene bzw. Betroffenen nachfolgende Rechte vor.
Art. 15 DSGVO: Recht auf Auskunft
Recht auf Auskunft über Sie betreffende personenbezogene Daten, gemäß Art. 15 DSGVO
Art. 16 DSGVO: Recht auf Berichtigung
Recht auf Berichtigung Sie betreffende unrichtige personenbezogene Daten, gemäß Art. 16 DSGVO
Art. 17 DSGVO: Recht auf Löschung
Recht auf Löschung Sie betreffender personenbezogener Daten, gemäß Art. 17 DSGVO und § 35 BDSG-neu
Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung
Recht auf Einschränkung der Verarbeitung Sie betreffender personenbezogener Daten, gemäß Art. 18 DSGVO
Art. 19 DSGVO: Recht auf Unterrichtung über die Benachrichtigung von Empfängern
Recht auf Unterrichtung über die Benachrichtigung von Empfängern Sie betreffender personenbezogener Daten, gemäß Art. 19 DSGVO
Art. 20 DSGVO: Recht auf Datenübertragbarkeit
Recht auf Datenübertragbarkeit der Sie betreffender personenbezogener Daten, gemäß Art. 20 DSGVO
Art. 21 DSGVO: Recht auf Widerspruch
Recht auf Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten, gemäß Art 21 DSGVO
Sie haben gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Werden die personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Art. 7 Abs. 3 DSGVO: Recht auf Widerruf von erteilten Einwilligungen
Recht auf Widerruf von erteilten Einwilligungen mit Wirkung für die Zukunft, gemäß Art. 7 Abs. 3 DSGVO
Art. 77 DSGVO: Recht sich bei der Aufsichtsbehörde zu beschweren
Recht sich bei der Aufsichtsbehörde zu beschweren, gemäß Art. 77 DSGVO: Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
Eine Übersicht der Aufsichtsbehörden inkl. Kontaktdaten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html
Die für uns zuständige Aufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Nachfolgend – in den Unterabschnitten – informieren wir Sie, welche personenbezogenen Daten wir
- bei Kontaktaufnahme und Zusammenarbeit,
- im Rahmen unserer Tätigkeit als Datenschutzbeauftragte / Datenschutzberater
- bei Bewerbungen und im Rahmen des Beschäftigungsverhältnisses,
- zur Wahrung der berechtigten Interessen,
- zur Erfüllung von gesetzlichen Vorgaben, inkl. Erfüllung von Betroffenen-Rechten,
- und beim Besuch unserer Online-Präsenz(en)
bei den unterschiedlichen Verarbeitungen verarbeiten oder verarbeiten können.
4.1.1 Kontaktaufnahme durch betroffene Personen per Telefon (Mobiltelefon), Telefax, E-Mail und andere elektronische Kommunikationssysteme
Sofern Sie uns per Telefon, Mobiltelefon, Telefax, E-Mail und andere elektronische Nachrichtenkanäle kontaktieren, verarbeiten wir die jeweilige Nachricht sowie enthaltene und automatisch generierten Meta-/Logdaten. Meta-/Logdaten sind etwa die übermittelte Rufnummer, Datum und Uhrzeit des Anrufs, die Dauer bzw. Zeitpunkt des Versandes und Empfanges der Nachricht. Diese Daten werden teilweise durch die absendenden Systeme und teilweise durch die empfangenden Systeme generiert. Zudem ergänzen wir die Nachricht im Bedarfsfall um Bearbeitungsvermerke sowie weitere erforderliche Angaben.
Die Bereitstellung der entsprechenden Kommunikationskanäle erfolgt auf Basis von Art. 6 Abs. 1 lit. c DSGVO, sofern die Bereitstellung des jeweiligen Kommunikationskanals für uns verpflichtend ist und die Kontaktaufnahme durch den Betroffenen zu dem vorgesehenen Zweck erfolgt. Sofern die Bereitstellung des jeweiligen Kontaktkanals nicht gesetzlich verpflichtend ist, erfolgt die Bereitstellung des Kontaktkanals gemäß dem berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO. Es ist unser berechtigtes Interesse, über die bereitgestellten Kommunikationswege zu kommunizieren.
Sofern es bei einzelnen Kommunikationswegen erforderlich ist die Kommunikation zusätzlich abzusichern, z. B. E-Mail, erfolgt dies gemäß Art. 6 Abs. 1 lit. c DSGVO einerseits zur Erfüllung von gesetzlichen Anforderungen, wie Einhaltung von Art. 32 DSGVO, andererseits auch im Rahmen des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, wobei das berechtigte Interesse die Erkennung und Abwehr von Schäden ist.
Die Verarbeitung eingehender Daten und die Rückmeldung erfolgt auf Basis der Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung oder als vertragsvorbereitende Maßnahme auf Anfrage der betroffenen Person, sofern sich nicht aus der Anfrage eine andere Rechtsgrundlage ergibt. Andere Rechtsgrundlagen für die Verarbeitung können sich ergeben, wenn der Verantwortliche durch eine gesetzliche Vorschrift verpflichtet ist, eine Nachricht zu beantworten (Art. 6 Abs. 1 lit. c DSGVO) oder eine Bearbeitung im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgt. Das berechtigte Interesse könnte z. B. die Kontaktaufnahme mit einer in der Nachricht genannten Person zur Vertragserfüllung darstellen.
Eine Weitergabe an Dritte kann erfolgen, wenn dies zur Bearbeitung Ihrer Nachricht erforderlich und gemäß den Datenschutzvorschriften zulässig ist.
Bitte beachten Sie: Sofern Sie uns personenbezogene Daten anderer Personen übermitteln, gehen wir davon aus, dass dies im Einklang mit den Datenschutzvorschriften erfolgt und Sie die Person darüber gemäß den gesetzlichen Vorgaben informiert haben und die Übermittlung auf Basis einer freiwilligen und jederzeit widerrufbaren Einwilligung oder einer anderen zulässigen Rechtsgrundlage erfolgt.
Die Verarbeitung erfolgt standardmäßig solange, wie es sich aus dem Zweck der jeweiligen Nachricht ergibt oder die Aufbewahrung durch Vorschriften vorgesehen ist.
4.1.2 Kontaktaufnahme durch betroffene Personen auf dem Postweg
Sofern Sie uns per Post kontaktieren, verarbeiten wir die jeweilige Nachricht, sowie ggf. von Postdienstleistern und uns ergänzte Bearbeitungsvermerke. Sofern erforderlich ergänzen wir die Nachricht um weitere erforderliche Angaben. Die Bereitstellung der Adresse zur Kontaktaufnahme per Post erfolgt einerseits auf Basis von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung von anderen Vorschriften, z. B. Anbieterkennzeichnung, und andererseits auf Basis des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist es in diesem Fall über den Postweg zu kommunizieren.
Die Verarbeitung eingehender Daten erfolgt auf Basis der Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung oder als vertragsvorbereitende Maßnahme auf Anfrage der betroffenen Person, sofern sich nicht aus der Anfrage eine andere Rechtsgrundlage ergibt. Andere Rechtsgrundlagen für die Verarbeitung können sich ergeben, wenn der Verantwortliche durch eine gesetzliche Vorschrift verpflichtet ist, eine Nachricht zu beantworten (Art. 6 Abs. 1 lit. c DSGVO) oder eine Bearbeitung im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgt. Das berechtigte Interesse könnte z. B. die Kontaktaufnahme mit einer in der Nachricht genannten Person zur Vertragserfüllung darstellen.
Bitte beachten Sie: Sofern Sie uns personenbezogene Daten anderer Personen übermitteln, gehen wir davon aus, dass dies im Einklang mit den Datenschutzvorschriften erfolgt und Sie die Person darüber gemäß den gesetzlichen Vorgaben informiert haben und die Übermittlung auf Basis einer freiwilligen und jederzeit widerrufbaren Einwilligung oder einer anderen zulässigen Rechtsgrundlage erfolgt.
Eine Weitergabe an Dritte kann erfolgen, wenn dies zur Bearbeitung Ihrer Nachricht erforderlich und gemäß den Datenschutzvorschriften zulässig ist.
Sofern ein Dienstleister bei der Verarbeitung mitwirkt und dies eine Auftragsverarbeitung darstellt, wurde eine Vereinbarung nach Art. 28 DSGVO getroffen.
Die Verarbeitung erfolgt standardmäßig solange, wie es sich aus dem Zweck der jeweiligen Nachricht ergibt oder die Aufbewahrung durch Vorschriften vorgesehen ist.
4.1.3 Verarbeitung von Kunden-, Vertrags- und Auftragsdaten
Wir verarbeiten personenbezogene Daten im Rahmen der Anbahnung, Begründung und Erfüllung, sowie zur Abrechnung eines Vertrages. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO. Im Regelfall ergeben sich durch diese Verarbeitung Daten, welche gemäß anderen Vorschriften aufbewahrt werden müssen. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO, die Erfüllung von gesetzlichen Vorgaben, welche der Verantwortliche unterliegt.
Eine Weitergabe an Dritte kann erfolgen, wenn dies zur Bearbeitung Ihrer Nachricht erforderlich und gemäß den Datenschutzvorschriften zulässig ist.
Sofern ein Dienstleister bei der Verarbeitung mitwirkt und dies eine Auftragsverarbeitung darstellt, wurde eine Vereinbarung nach Art. 28 DSGVO getroffen.
Bitte beachten Sie: Sofern Sie uns personenbezogene Daten anderer Personen übermitteln, gehen wir davon aus, dass dies im Einklang mit den Datenschutzvorschriften erfolgt und Sie die Person darüber gemäß den gesetzlichen Vorgaben informiert haben und die Übermittlung auf Basis einer freiwilligen und jederzeit widerrufbaren Einwilligung oder einer anderen zulässigen Rechtsgrundlage erfolgt.
Die Verarbeitung erfolgt standardmäßig solange, wie es sich aus dem Zweck der jeweiligen Nachricht ergibt oder die Aufbewahrung durch Vorschriften vorgesehen ist.
4.2.1 Unsere Tätigkeit als Datenschutzbeauftragter oder Datenschutzberater sowie Unterstützung bei weiteren Aufgaben
Wenn wir im Rahmen unserer Tätigkeit als Datenschutzbeauftragter eigenverantwortlich personenbezogene Daten verarbeiten, erfolgt dies im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zur Vertragserfüllung gegenüber unserem Kunden.
Sofern wir weitere Aufgaben erledigen, welche nicht direkt in den Aufgabenbereich eines Datenschutzbeauftragten gemäß Art. 39 DSGVO fallen oder als Datenschutzberater tätig sind, erfolgt die Verarbeitung personenbezogener Daten ebenfalls im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zur Vertragserfüllung gegenüber unserem Kunden.
Wenn die Verarbeitung eine Auftragsverarbeitung nach Art. 28 DSGVO darstellt, schliessen wir mit unseren Kunden eine entsprechende Vereinbarung.
Dies betrifft zum Beispiel Datenverarbeitungen im Zusammenhang mit:
-
der Vorbereitung, Durchführung und Nachbereitung von Datenschutz-Audits und Kontrollen,
-
der Korrespondenz und Kommunikation mit Ansprechpersonen,
-
der Erhebung und Dokumentation von Informationen zu IT-Systemen, Anwendungen, technischen und organisatorischen Maßnahmen (TOMs), Zuständigkeiten in der Organisation und eingesetzten Dienstleistern.
Wir erhalten von unseren Kunden regelmäßig Informationen wie Name, Funktion, berufliche Kontaktdaten und Zuständigkeitsbereiche von Beschäftigten oder Ansprechpartnern. Diese Daten werden etwa in Verfahrensverzeichnissen dokumentiert oder bestimmten Prozessen zugeordnet.
In einigen Fällen beauftragen uns unsere Kunden damit, auch mit externen Personen – zum Beispiel Dienstleistern, Geschäftspartnern oder verbundenen Unternehmen – in Kontakt zu treten. Dabei verarbeiten wir die entsprechenden personenbezogenen Daten ebenfalls zur Aufgabenerfüllung gegenüber unseres Kunden im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).
Die Speicherdauer dieser Daten richtet sich nach dem Zweck der Verarbeitung. Üblicherweise speichern wir die Daten bis zum Wegfall des Zwecks, also beispielsweise wenn eine Person nicht mehr zuständig ist. Danach gilt eine regelmäßige Aufbewahrungsfrist von drei Jahren. Voraussetzung ist, dass uns entsprechende Änderungen durch den Verantwortlichen mitgeteilt werden. In bestimmten Fällen kann auch eine längere Aufbewahrung durch den Verantwortlichen notwendig sein, zum Beispiel zur Erfüllung der Rechenschaftspflichten nach Art. 5 DSGVO. Bitte beachten Sie, dass unsere Kunden die von uns bereitgestellten Informationen im Regelfall ebenfalls speichern.
4.2.2 Bearbeitung direkter Mitteilungen von betroffenen Personen an uns als benannter (externer) Datenschutzbeauftragter
Wenn Sie uns als betroffene Person direkt kontaktieren – auch wenn Sie uns nur in Kopie setzen – verarbeiten wir Ihre Angaben aus folgenden Gründen:
-
zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO),
-
sowie zur Wahrnehmung unserer Aufgaben als Datenschutzbeauftragter unseres Kunden im berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Vertragserfüllung
Falls Ihre Mitteilung personenbezogene Daten anderer Personen enthält, verarbeiten wir diese ebenfalls. Das erfolgt ebenfalls auf Grundlage unseres berechtigten Interesses zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gegenüber Ihnen und unserem Kunden.
Bitte beachten: In den meisten Fällen müssen wir Ihre Mitteilung an den Verantwortlichen weiterleiten. Das liegt daran, dass wir meist keinen direkten Zugriff auf interne Systeme oder Daten unserer Kunden haben. Eine Weitergabe an Dritte oder eine Einsicht durch Dritte erfolgt nur dann, wenn dies für unsere Aufgaben notwendig ist – zum Beispiel bei Mitteilungspflichten nach Art. 19 DSGVO, bei der Kommunikation mit Aufsichtsbehörden oder zur Geltendmachung bzw. Abwehr rechtlicher Ansprüche.
Zum Nachweis, dass wir Ihre Anfrage korrekt bearbeitet haben, speichern wir die Daten in der Regel für drei Jahre. Falls gesetzliche Vorschriften (z. B. § 7a UWG) eine längere Speicherung erfordern, gilt die dort vorgesehene Frist. Die Aufbewahrungsfrist beginnt meist mit Abschluss der Bearbeitung Ihrer Anfrage.
4.2.3 Unterstützung bei der Bearbeitung von Mitteilungen, die Sie an den Verantwortlichen senden
Wenn Sie sich direkt an den Verantwortlichen – also unseren Kunden – wenden, kann es sein, dass dieser uns als externe Datenschutzbeauftragte oder Datenschutzberater in die Bearbeitung Ihrer Anfrage einbezieht. In diesem Fall verarbeiten wir Ihre Angaben – und gegebenenfalls auch die personenbezogenen Daten anderer Personen, die in Ihrer Mitteilung enthalten sind – im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zur Vertragserfüllung gegenüber unserem Kunden.
Eine Weitergabe Ihrer Daten an Dritte oder eine Einsicht durch Dritte erfolgt nur dann, wenn dies für unsere Arbeit notwendig ist – zum Beispiel bei gesetzlich vorgeschriebenen Mitteilungen (Art. 19 DSGVO), im Kontakt mit Aufsichtsbehörden oder wenn es zur Durchsetzung oder Verteidigung rechtlicher Ansprüche erforderlich ist.
Zur Dokumentation der Bearbeitung Ihrer Anfrage speichern wir die Daten in der Regel für drei Jahre. Sollte eine gesetzliche Vorschrift – wie § 7a UWG – eine längere Speicherung verlangen, halten wir uns an die dort festgelegten Fristen. Die Frist beginnt normalerweise mit Abschluss der Bearbeitung.
4.2.4 Online-Formular zur Geltendmachung von Betroffenenrechten
Unsere Datenschutz-Software ermöglicht es Kunden, ein Online-Formular für die Meldung von Betroffenenrechten bereitzustellen. Dabei werden in der Regel folgende Daten verarbeitet:
-
Name,
-
E-Mail-Adresse,
-
Art der Anfrage (Auswahlkategorie),
-
sowie Inhalte aus einem frei wählbaren Textfeld.
Diese Angaben werden direkt in der Datenschutz-Software verarbeitet und können durch unsere Kunden um weitere Angaben ergänzt oder intern weiterbearbeitet werden.
Die Bereitstellung des Online-Formulars erfolgt im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
Die in diesem Zusammenhang übermittelten Daten werden nach Abschluss der Bearbeitung in der Regel für drei Jahre gespeichert und dann automatisch von der Software gelöscht, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen.
4.2.5 Bereitstellung und Hosting von Datenschutzinformationen
Unsere Kunden haben die Möglichkeit, über unsere Datenschutz-Software Datenschutzhinweise gemäß Art. 13 und 14 DSGVO zu erstellen und zu veröffentlichen. Diese Hinweise sind öffentlich zugänglich, wodurch auch Dritte Zugriff auf die Informationen erhalten können.
Beim Aufruf dieser veröffentlichten Informationen werden sogenannte Meta-Daten wie IP-Adresse, Datum und Uhrzeit vom Webserver verarbeitet. Diese Daten dienen ausschließlich der technischen Bereitstellung und werden nach Zweckentfall gelöscht.
Diese Dienstleistung erbringen wir im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
4.2.6 Schulungsplattform zur Sensibilisierung von Beschäftigten
Über unsere Datenschutz-Software können Kunden Online-Schulungen zu Datenschutz, Datensicherheit und optional angrenzenden Themen durchführen. Wir bieten hierzu standardisierte Schulungsvorlagen an und erstellen auf Wunsch auch individuelle Schulungsinhalte.
Neben der Schulung eigener Mitarbeiter nutzen einige Kunden die Plattform auch für externe Beschäftigte wie Freelancer / Selbstständige. Für die Teilnahme an einer Schulung werden in der Regel der Vor- und Nachname sowie eine E-Mail-Adresse benötigt. Alternativ ist ein Zugang über eine Kennnummer möglich – in diesem Fall wird nur der Name für die Zuordnung erfasst.
Während der Schulung werden außerdem folgende technische Daten verarbeitet:
-
IP-Adresse,
-
Browser- und Systeminformationen,
-
Datum und Uhrzeit des Abrufs,
-
Status der Auslieferung.
Nach erfolgreicher Teilnahme kann automatisch eine Teilnahmebescheinigung erstellt und versendet werden. Kunden können die Schulungen individuell konfigurieren – das betrifft sowohl die Inhalte und Fragen als auch den Ablauf.
Teilnahmen können in der Software dokumentiert und Schulungsnachweise z. B. zu Datenschutz, IT-Sicherheit oder KI verwaltet werden. Das Hosting und die Bereitstellung erfolgen im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
Hinweis: Unsere Standard-Schulungen enthalten eingebettete Videos, die bei Vimeo gehostet werden. Diese werden datenschutzfreundlich im „Do-Not-Track“-Modus eingebunden. Weitere Informationen hierzu finden Sie im Abschnitt „5. Plugins und Tools“.
Wir verarbeiten personenbezogene Daten im Rahmen der Anbahnung, Begründung und Erfüllung zum Zwecke des Beschäftigungsverhältnisses. Dies umfasst die von Ihnen oder in Ihrem Auftrag (z. B. von Ihnen beauftragter Personalvermittler) übermittelten Informationen, im Regelfall Ihr Vor- und Nachname, private Kontaktdaten, Angaben in der übermittelten Nachricht sowie Dokumente (Lebenslauf, Zeugnisse), sowie von uns ergänzte interne Angaben und Notizen zur Bearbeitung.
Sofern ein Beschäftigungsverhältnis begründet wird, werden Ihre Daten zum Zwecke der Durchführung des Beschäftigungsverhältnisses verarbeitet. Diese Verarbeitung beinhaltet auch die Weitergabe an Dritte, z. B. Sozialversicherungsträger, Behörden (Finanzamt) und weitere erforderliche oder von Ihnen beauftragte Stellen, z. B. Bank/Kreditinstitut. Weitere Details erhalten Sie im Rahmen des Einstellungsprozesses.
Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung bzw. vertragsvorbereitende Maßnahme auf Anfrage der betroffenen Person). Zudem ist es möglich, dass wir Ihre personenbezogenen Daten auf Basis der Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO verarbeiten, sofern Sie uns im Rahmen der Anbahnung, Begründung und Erfüllung eines Beschäftigungsverhältnisses Ihre freiwillige und jederzeit mit Wirkung für die Zukunft widerrufbare Einwilligung erteilt haben.
Sofern ein Dienstleister bei der Verarbeitung mitwirkt und dies eine Auftragsverarbeitung darstellt, wurde eine Vereinbarung nach Art. 28 DSGVO getroffen.
Die Verarbeitung erfolgt standardmäßig solange, wie es sich aus dem Zweck der jeweiligen Nachricht ergibt oder die Aufbewahrung durch Vorschriften vorgesehen ist. Bewerbungsunterlagen werden regelmäßig 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht. Eine längere Aufbewahrung kann mit Ihrer freiwilligen und jederzeit widerrufbaren Einwilligung erfolgen oder wenn dies im Einzelfall im Rahmen des berechtigten Interesses oder zur Erfüllung einer gesetzlichen Anforderung erforderlich ist.
Ergänzend zu den in den folgenden Abschnitten aufgeführten Verarbeitungen, welche auch im Rahmen des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO durchgeführt werden, führen wir weitere Verarbeitungen auf Basis dieser Rechtsgrundlage aus. Dazu zählen Verarbeitungen zu nachfolgenden Zwecken und berechtigten Interessen:
- Verarbeitungen zur internen Verwaltung, Abwicklung und Organisation, inkl. Einsatz von Dienstleistern (Auftragsverarbeiter und eigenständige Verantwortliche, z. B. Berufsgeheimnisträger)
- Recherche und Kontaktaufnahme von möglichen Lieferanten, Dienstleistern und anderen Geschäftspartnern zur Gewinnung von entsprechenden Lieferanten, Dienstleistern und Geschäftspartnern
- Recherche und Kontaktaufnahme mit Ansprechpartnern, z. B. von Behörden, Sozialversicherungsträgern, Organisationen (wie Industrie- und Handelskammer, Handwerkskammer, Berufs- und Branchenverbände, Gewerbeverein) sowie Journalisten zur Klärung von Fragen, Bezug entsprechender Leistungen sowie Öffentlichkeitsarbeit
- Erstellung und Veröffentlichung von Dokumenten, Beiträgen und Medien (u. a. Fotos, Videos) im Rahmen der Werbung und Öffentlichkeitsarbeit (sofern keine Einwilligung erforderlich ist)
- Recherche und Kontaktaufnahme mit möglichen Kunden (i. V. mit Erwägungsgrund 47 Satz 7 DSGVO und spezifischen Regelungen) zur Kundengewinnung
- Kontaktaufnahme über die von der betroffenen Person übermittelte Kommunikationskanäle, z. B. zur Klärung, ob die angeforderten Informationen eingetroffen sind, Klärung möglicher offener Fragen, Terminänderungen u. Ä. zur Leistungserbringung bzw. Klärung offener Vorgänge
- Kontaktaufnahme mit Dritten, i. d. R., wenn uns deren Namen und Kontaktdaten im Rahmen der Vertragserfüllung oder vertragsvorbereitenden Maßnahmen genannt oder übermittelt wurden. Hier handelt es sich häufig um Ansprechpartner oder von der betroffenen Person benannte Vertreter
- Bereitstellung von unterschiedlichen Kommunikationswegen zur Kontaktaufnahme zur Möglichkeit der einfachen Kontaktaufnahme mit uns
- Ergreifen von Sicherheitsmaßnahmen, sofern diese nicht auf Art. 6 Abs. 1 lit. c DSGVO basieren, zur Absicherung unseres Unternehmens, Prävention vor Vandalismus und Diebstahl, Aufzeichnung und Weitergabe von Beweismitteln zur Geltendmachung oder Abwehr von Schadensersatzansprüchen sowie zur Regulierung von Schäden, Aufzeichnung und Weitergabe von Beweismitteln an geschädigte Dritte und Behörden
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Regulierung von Schäden
- Auskünfte gegenüber Behörden, sofern diese nicht auf Basis der Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO basieren.
Sofern Sie Ihre Rechte gemäß den Artikeln 15 bis 22 der DSGVO ausüben möchten, werden wir die von Ihnen übermittelten personenbezogenen Daten verarbeiten, um diese Rechte umzusetzen und um den Nachweis hierüber erbringen zu können.
Hierbei können wir Ihre personenbezogenen Daten an Dritte weitergeben. Dies können, z. B. zur Erfüllung der Mitteilungspflicht nach Art. 19 DSGVO, Empfänger Ihrer personenbezogenen Daten sein, aber auch unser externer Datenschutzbeauftragter, juristische Vertretung und Aufsichtsbehörden.
Diese Verarbeitungen basieren auf der Rechtsgrundlage des Artikels 6 Absatz 1 lit. c DSGVO in Verbindung mit den Artikeln 15 bis 22 der DSGVO und § 34 Absatz 2 des BDSG. Zum Nachweis der Bearbeitung Ihrer Anfrage bzw. Anfragen dokumentieren wir die notwendigen Daten standardmäßig für 3 Jahre nach Abschluss des jeweiligen Verfahrens zur Erfüllung der gesetzlichen Anforderung gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der „Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DSGVO. Eine längere Aufbewahrung der Daten kann – auch bei einer Aufforderung zur Löschung gemäß Art. 17 DSGVO – erforderlich sein, wenn andere Vorschriften eine längere Aufbewahrung erforderlich machen, beispielsweise § 7 a UWG, oder eine längere Aufbewahrung zur Wahrung der berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich sind. Zu den berechtigten Interessen gehören u. a. die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zudem können wir aufgrund gesetzlicher Vorgaben verpflichtet sein personenbezogene Daten weiterzugeben oder öffentliche Stellen können im Rahmen von Kontrollen bzw. Prüfungen Einblick in personenbezogene Daten nehmen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der jeweiligen Vorschrift.
4.6.1 Newsletter (CleverReach)
Für den Versand und Verwaltung unserer Nachrichten an einen i. d. R. größeren Empfängerkreis nutzen wir das Newsletter-System CleverReach, welches uns von der CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede zur Verfügung gestellt wird. Wir haben mit dem Anbieter eine Vereinbarung zur Auftragsverarbeitung abgeschlossen.
Die Verarbeitung der Daten erfolgt bis zum Zweckentfall und dem Erreichen der erforderlichen Nachweispflicht. Bitte beachten Sie, dass wir die Daten von abgemeldeten Empfängern erst nach Erreichen eines in der Anwendung festgelegten Zeitraumes automatisch löschen, um unserer Rechenschaftspflicht – etwa Nachweis der vorherigen Einwilligung oder Vertragserfüllung – nachkommen zu können.
Um sicherzustellen, dass abgemeldete Empfänger auch nach Importen von Daten nicht wieder angeschrieben werden, kann die E-Mail-Adresse von abgemeldeten Empfängern automatisch auf die integrierte Blockliste gesetzt werden. Die Speicherung der E-Mail-Adresse in der Blockliste ist zeitlich nicht befristet und erfolgt im Rahmen unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse ist es zu verhindern, dass abgemeldete Empfänger versehentlich, etwa durch Import von Daten, angeschrieben werden. Dieser Speicherung kann eine betroffene Person widersprechen, sofern ihre Interessen unser berechtigtes Interesse überwiegt.
Bereitstellung und Nutzung
Die Bereitstellung und Nutzung erfolgt im Rahmen des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Unsere berechtigten Interessen sind es eine Anwendung zu nutzen, welche es uns ermöglicht zentral Informationen per E-Mail an Kunden und Interessenten sowie weitere Empfänger zu senden. Durch den zentralen Versand können wir das Risiko senken, dass E-Mails über einen offenen E-Mail-Verteiler gesendet werden oder notwendige Angaben, Inhalte oder Abläufe vergessen werden. Hinzu kann – bei Bedarf – das Double-Opt-In-Verfahren zur Anmeldung und ein Abmeldelink für die Austragung aus dem Verteiler hinterlegt werden. Das System verwaltet zudem Soft- und Hardbounces, Verwaltet die Empfänger-Daten, Blocklisten und grundlegende Dokumentation. Der zentrale Versand über ein Newsletter-System erhöht zudem die Zustellung unserer Nachrichten und verringert das Risiko, dass unsere Nachrichten durch E-Mail-Provider als Spam deklariert werden.
Ein weiteres berechtigtes Interesse ist, dass uns CleverReach eine einfache Analyse unserer Nachrichten ermöglicht, damit wir im Bedarfsfall weitere Maßnahmen, wie Optimierung der Zustellung oder Versandzeit, durchführen können. Wir erhalten die Öffnungs- und Klickrate, Abmeldungen, Bounces, Zustellrate und ggf. Spam-Markierungen.
Versand zu werblichen Zwecken
Sofern wir E-Mails zu werblichen Zwecken versenden, erfolgt der Versand im Rahmen einer vorherigen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar. Der Widerruf der Einwilligung kann durch Kontaktaufnahme oder Nutzung des Integrierten Abmeldelinks erfolgen.
Die erforderliche Korrespondenz im Rahmen des Double-Opt-In-Verfahrens erfolgt im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zur Erfüllung von Vorgaben zur Anmeldung bei werblichen Newslettern.
Versand zu vertraglichen Zwecken
Wir nutzen das Newsletter-System auch zum zentralen Versenden von vertraglich zugesicherten oder erforderlichen Informationen an einen i. d. R. größeren Empfängerkreis. Darunter fallen etwa zugesicherte Informationen im Rahmen von Beratungsleistungen, aber auch Informationen zu geplanten Wartungen, Verfügbarkeit (geplant / nicht geplant) von Ressourcen, etwa Online-Plattformen und Online-Diensten, aber auch vertraglichen Änderungen. Der Versand erfolgt somit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
In manchen Fällen kann der Versand im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgen. Dies ist der Fall, wenn die Benachrichtigung nicht vertraglich zugesichert wurde aber erforderlich ist und keinen werblichen Charakter hat. Unser berechtigtes Interesse ist es dann per E-Mail eine – nicht werbliche – Information per E-Mail an einen größeren Empfängerkreis zu senden. Hierunter fallen etwa Informationen zu geänderten Kontaktdaten, Ansprechpartnern oder Sicherheitshinweise.
Auch bei diesen E-Mails integrieren wir standardmäßig einen Abmeldelink, damit die Empfänger ihr Widerspruchsrecht einfach geltend machen können.
4.6.2 Einbindung von Videos mit Vimeo (Do-Not-Track)
Zur Einbindung von Videos in Online-Präsenzen, wie etwa unsere Webseite, oder Bereitstellung von Videos nutzen wir den Dienst Vimeo. Anbieter des Dienstes ist Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA. Wir haben mit dem Anbieter eine Vereinbarung zur Auftragsverarbeitung abgeschlossen.
Rechtsgrundlage für die Integration hierfür ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung und Integration der Videos sowie Nutzung der technischen Funktionalitäten von Vimeo, welche etwa ein Abspielen der Videos auf unterschiedlichsten Geräten ermöglicht. Zudem ermöglicht uns Vimeo die Videos bei Bedarf nur bestimmten Personen oder Personenkreisen zugänglich zu machen und Einfluss auf die Darstellung und Nutzungsmöglichkeiten zu nehmen.
Beim Aufruf von Webseiten mit den eingebundenen Videos sowie Ansehen der Videos wird vom aufrufenden Endgerät eine Verbindung zu den Vimeo-Servern hergestellt und hierbei etwa die IP-Adresse übermittelt. Ebenso wird die IP-Adresse des aufrufenden Gerätes, sowie weitere Angaben zum Gerät, etwa Betriebssystem und Bildschirmgröße, auch zur Auslieferung des Videos und Vorschaubildes verarbeitet.
Wir binden unsere Videos standardmäßig so ein, dass kein Tracking durch Vimeo erfolgt. Vimeo stellt uns jedoch aggregierte Informationen über den Abruf unserer Videos zur Verfügung, also etwa die Anzahl der Aufrufe der einzelnen Videos.
Benutzer die ein eigenes Vimeo-Konto haben, können je nach unseren Sicherheits- und Darstellungsoptionen, ggf. weitere Funktionalitäten nutzen, wie ein Speichern eines Videos auf einer Playlist o. Ä. Die Verarbeitungen in Verbindung mit einem Vimeo-Benutzerkonto erfolgen gemäß den Nutzungs- und Datenschutzbestimmungen von Vimeo.
Die Übermittlungen personenbezogener Daten außerhalb der EU / EWG erfolgen gemäß der Vereinbarung mit Vimeo auf Grundlage des EU-US Data Privacy Framework“ (DPF), sowie bei Bedarf auf Grundlage der EU-Standardvertragsklauseln.
4.7.1 Bereitstellung der Webseite (Hosting und Serverlogfile)
Wir stellen eine Webpräsenz auf Basis des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zur Verfügung. Unser berechtigtes Interesse ist die Bereitstellung und Betrieb einer eigenen Online-Präsenz, zum Zwecke der Veröffentlichung unserer Kontaktdaten, Information über unsere Leistungen, sowie Bereithaltung von Angeboten und Informationen.
Der Webserver protokolliert die aufgerufenen und ausgelieferten Seiten in einer Server-Logfile. Hierbei wird der Browsertyp und Browserversion, das verwendete Betriebssystem, der Name und URL der aufgerufenen Seite, der Name und URL der Seite von welcher der Aufruf erfolgt, der Hostname des zugreifenden Gerätes, das Datum und Uhrzeit der Anfrage und Auslieferung, sowie die IP-Adresse des Besuchers protokolliert.
Die in der Server-Logfile verarbeiteten Daten dienen uns im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) dem Zweck mögliche Fehler, z. B. Aufrufe verlinkter, aber nicht mehr zur Verfügung stehender Seiten, zu ermitteln. Zudem ermöglichen uns die verarbeiteten Daten in der Server-Logfile auch unberechtigte Zugriffe abzuwehren. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Vorgabe) und Art. 6 Abs. 1 lit. f DSGVO, das berechtigte Interesse an der Wahl und Gestaltung der Sicherheitsmaßnahmen.
Die Daten der Server-Logfile werden im Regelfall für 30 Tage gespeichert, sofern nicht aus berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO), z. B. Analyse und Abwehr von (anhaltenden) unberechtigten Zugriffsversuchen, eine längere Aufbewahrung erforderlich ist.
Sofern ein Dienstleister bei der Verarbeitung mitwirkt und dies eine Auftragsverarbeitung darstellt, wurde bzw. wird eine Vereinbarung nach Art. 28 DSGVO getroffen.