Gesamtdatenschutzerklärung der Condat AG

Die Condat AG nimmt den Schutz personenbezogener Daten sehr ernst. Nachfolgend haben wir die wichtigsten Informationen zu den typischen Datenverarbeitungen getrennt nach Betroffenengruppen für Sie zusammengestellt:

I Allgemeine Informationen für alle Betroffenen (m/w/d)

Verantwortlicher.

Verantwortlicher i.S.v. Artikel 4 Ziffer 7 DSGVO für die Verarbeitung personenbezogener Daten ist die Condat AG, Alt-Moabit 91d, 10559 Berlin, Telefon: +49 30 3949 0, E-Mail: info@condat.de. Soweit von „Wir“ oder „uns“ die Rede ist, bezieht sich dies auf den hier dargestellten Verantwortlichen. Unser externer Datenschutzbeauftragter ist Dr. Stephan Gärtner, request@thenextstanhope.de.

Rechte der Betroffenen.

Die Betroffenen haben mit Blick auf die zu ihrer Person verarbeiteten, personenbezogenen Daten nach der Datenschutzgrundverordnung mehrere Rechte. Insbesondere

1. das Recht auf Auskunft über die gespeicherten, personenbezogenen Daten,
2. das Recht auf die Berichtigung unrichtig gespeicherter, personenbezogener Daten,
3. das Recht auf Löschung personenbezogener Daten, für deren weitere Speicherung es keine Rechtsgrundlage gibt,
4. das Recht auf Einschränkung der Verarbeitung der gespeicherten, personenbezogenen Daten,
5. das Recht auf Datenübertragbarkeit,
6. das Recht sich bei für uns zuständigen Aufsichtsbehörde für Datenschutz zu beschweren.

Soweit die Tatbestandsvoraussetzungen der jeweiligen Ansprüche gegeben sind und wir Sie identifizieren können, werden wir Ihre Ansprüche zeitnah erfüllen.

Verarbeitungsvorgänge, bei denen eine automatisierte Entscheidungsfindung (ggf. auch Profiling) stattfindet

Eine automatisierte Entscheidungsfindung (ggf. auch als Profiling) findet nicht statt.

Datenübermittlung an Stellen außerhalb der Europäischen Union

(1) Es besteht die Möglichkeit, dass wir personenbezogenen Daten an Stellen übermitteln und/oder übermitteln lassen, die außerhalb der Europäischen Union sitzen oder dies zumindest nicht ausschließen können (fortan: Drittlandstelle). In diesen Fällen müssen wir nach Artikel 44 DSGVO garantieren, dass dadurch das Schutzniveau der Datenschutzgrundverordnung nicht unterschritten wird. Vorsorglich weisen wir darauf hin, dass die Drittlandstelle sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter sein kann.

(2) Sofern wir uns in der nachfolgenden Erklärung auf einen sog. Angemessenheitsbeschluss berufen, bedeutet dies, dass die Drittlandstelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Schutzniveau bietet. Diese Garantie folgt dann aus Artikel 45 DSGVO.

(3) Sofern wir uns in der nachfolgenden Erklärung auf die sog. Standardvertragsklauseln berufen, bedeutet dies, dass die Drittlandstelle die sog. EU-Standardvertragsklauseln akzeptiert und sich damit vertraglich zur Achtung des Schutzniveaus der Datenschutzgrundverordnung verpflichtet hat. Diese Garantie folgt dann aus Artikel 46 Absätze 1 und 5 DSGVO.

(4) Sofern wir uns in der nachfolgenden Erklärung darauf berufen, dass Sie in die Übermittlung an die Drittlandstelle eingewilligt haben, bedeutet dies, dass Sie über alle bestehenden möglichen Risiken derartiger Übermittlungen, für die es keinen Angemessenheitsbeschluss oder andere Garantien gibt, informiert wurden und der Datenübermittlung dennoch zugestimmt haben. Diese Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. Die entsprechenden Risiken schildern wir aus Transparenzgründen an gesonderter Stelle.

(5) Diesen Hinweis erteilen wir nur vorsorglich. Er gilt nur, wenn wir in der nachfolgenden Erklärung hierauf Bezug nehmen. Es besteht auch die Möglichkeit, dass wir hiervon keinen Gebrauch machen.

Hinweis zur rechtlichen Verarbeitungspflicht.

Nur sofern wir in der nachfolgenden Datenschutzerklärung auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO hinweisen, besteht eine rechtliche Pflicht zur Verarbeitung.

II Informationen für Beschäftigte (m/w/d), einschl. Bewerber (m/w/d)

Datenverarbeitung

(1) Im Bewerbungsverfahren werden die Bewerbungsdaten entgegengenommen und geprüft. Im Fall eines fortwährenden Interesses folgt darauf ein Bewerbungsgespräch, wobei Daten zur Terminvereinbarung erhoben, gespeichert und genutzt werden. Im Fall eines weiterhin bestehenden Interesses unterbreitet der Verantwortliche ein Angebot für ein Beschäftigungsverhältnisses. In jedem, der vorgenannten Verarbeitungsschritte ist auch möglich, dass eine Absage erfolgt. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Im aktiven Beschäftigungsverhältnis werden alle Zugangs- und/oder Kommunikationsdaten im Zusammenhang mit der Erfüllung des Beschäftigungsvertrages (z.B. E-Mails) verarbeitet. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Ferner und zur Erfüllung gesetzlicher Pflichten werden im aktiven Beschäftigungsverhältnis zudem folgende Daten verarbeitet: Daten, die für die Besteuerung relevant sind (§ 147 AO, § 257 HGB), Krankenversicherungs- und Krankschreibungsdaten (§ 198 SGB V, ‚§ 165 SGB VII), Lohnkontodaten (§ 41 EStG), Arbeitszeitdaten (§ 17 MiLoG, § 16 ArbG). Zweck ist die Erfüllung der in den Klammerzusätzen genannten rechtlichen Pflichten. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

(3) Nach Ende des aktiven Beschäftigungsverhältnisses werden die Daten wie folgt aufbewahrt:

1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Gehaltslisten (einschl. Sonderzahlungen) und Informationen über Angestelltenversicherungen für zehn Jahre aufbewahrt. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Daten über den Krankenversicherungsstatus und Krankschreibungen werden für mindestens fünf Jahre aufbewahrt. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 198 SGB V und § 165 SGB VII).

3. Daten, die aus der Dokumentation der Arbeitszeiten i.S.v. § 17 MiLoG und § 16 ArbZG herrühren, werden für zwei Jahren gespeichert. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 17 MiLoG und § 16 ArbZG),

4. Lohnkontodaten werden bis zum Ablauf des sechsten Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung folgt, gespeichert. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41 EStG.

5. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

6. Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Der Zeitraum bestimmt sich nach den ordnungswidrigkeitsrechtlichen Verjährungsfristen nach § 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 Absätze 4, 5 DSGVO.

7. Im Fall einer Absage im Bewerbungsverfahren werden die Bewerbungsdaten für sechs Monate aufbewahrt, wobei diese Frist im Zeitpunkt der Absage beginnt. Zweck ist die Möglichkeit, sich gegen Diskriminierungsvorwürfe verteidigen zu können. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO i.V.m. § 15 Absatz 4 AGG, wobei das berechtigte Interesse aus dem zuvor genannten Zweck folgt.

8. Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

9. Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

(4) Ergänzend zu Absatz 1 gilt, dass die Bewerbungsunterlagen dem Betriebsrat zur Verfügung gestellt werden. Zweck ist die Erfüllung einer rechtlichen Verpflichtung zur Gewährung von Mitbestimmungsrechten. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 99 BetrVG.

(5) Ergänzend zu Absatz 2 gilt, dass einige Beschäftigten betriebliche Hardware (Mobiltelefone usw.) erhalten, wobei die Herausgabe protokolliert wird. Zweck ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(6) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den Beschäftigten die Wahl für dienstliche Gespräche in Präsenz oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die Beschäftigten einwilligen, werden die dienstlichen Gespräche per Videokonferenz durchgeführt. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(7) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den Beschäftigten die Wahl für ein Mitarbeiterfoto bzw. Mitarbeiterfilm lässt. Falls sie sich dafür entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die Beschäftigten einwilligen, wird die Medienaufnahme angefertigt und wie im Einwilligungstext erläutert verwendet, insbesondere veröffentlicht. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung die Präsentation des Unternehmens. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(8) Ergänzend zu Absatz 1 gilt, dass der Verantwortliche einen externen Dienstleister eines externen Online-Recruiting-Tools mit der aktiven Ansprache potenzieller Beschäftigten betraut hat. Hierbei werden Daten, die die Betroffenen selbst in die Formulare eintragen, verarbeitet. Zweck ist die Personalbeschaffung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(9) Ergänzend zu Absatz 2 gilt, dass die Beschäftigten Schlüssel und Transponder für den Zutritt zu Betriebsräumen erhalten, wobei die Herausgabe protokolliert wird. Zweck ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(10) Ergänzend zu Absatz 1 gilt, dass der Verantwortliche den Beschäftigten (hier Bewerbern) die Wahl für ein Bewerbungsgespräch in Präsenz oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO Für den Fall, dass die Beschäftigten einwilligen, führt er dann das Bewerbungsgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Bewerbungsgespräches. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(11) Ergänzend zu Absatz 2 gilt, dass die Beschäftigten Zugangsdaten für betriebliche Soft- und Hardware erhalten, wobei die Zugangsdaten verwaltet werden und die Herausgabe protokolliert wird. Zweck ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(12) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Lohnbuchhaltung an eine externe Steuerberatungskanzlei übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

(13) Ergänzend zu Absatz 2 gilt, dass Informationen über beabsichtigte Kündigungsmaßnahmen an den Betriebsrat übermittelt werden. Zweck ist die Erfüllung einer rechtlichen Verpflichtung zur Gewährung von Mitbestimmungsrechten. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 102 BetrVG.

Auftragsverarbeiter und Dritte, die Daten erhalten

Die folgenden Drittanbieter erhalten personenbezogene Daten:

Drittanbieter: Es werden die nachfolgenden Tools der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: Microsoft 365, dazu insbesondere Microsoft Exchange (für E-Mail-Kommunikation), Cloud, Microsoft Teams für die Kommunikation und Dateiverwaltung, Microsoft Planner und Microsoft ToDo für die Aufgabenverwaltung. Eine Gesamtübersicht über alle Tools ist zu finden unter: https://www.microsoft.com/de-de/microsoft-365?rtc=1. Der Beauftragung steht nicht entgegen, dass der Anbieter in einem Drittland (USA) seinen Sitz hat. Denn erstens findet keine Übermittlung i.S.v. Artikel 44 DSGVO in die USA statt, da der Anbieter sich verpflichtet hat, die Daten ausschließlich innerhalb der EU zu speichern. Zweitens wäre eine solche Übermittlung aber auch gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es werden die nachfolgenden Tools der Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: „Jira Service Management“, „Jira Software“ und „Confluence“ ein. Anbieterin dieser Produkte ist die Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien). Näheres zur Arbeitsweise dieses Anbieters finden Sie unter https://www.atlassian.com/de/software. Der Verarbeitung steht nicht entgegen, dass die Daten außerhalb der Europäischen Union verarbeitet werden, denn der Anbieter hat sich nach den Standardvertragsklauseln verpflichtet (Artikel 46 DSGVO).

Drittanbieter: Es wird das Signaturtool „Docusign“ der Docusign, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.docusign.com/products/electronic-signature. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Übermittlung beruht auf verbindlichen, internen Datenschutzvorschriften (Artikel 47 DSGVO).

 

III Informationen für Kunden (m/w/d) / Ansprechpartner (m/w/d) bei Kunden

Wichtiger Hinweis: Wir stellen klar, dass die Informationen aus diesem Abschnitt ausschließlich für den Fall gelten, dass wir Ihre Daten (i.d.R. Kontaktdaten) als eigene Verantwortliche verarbeiten, um mit Ihnen als Kunden zu interagieren.

Soweit wir aber in Ihrem Auftrag Daten von Dritten verarbeiten (z.B. Ihrer Kunden), geschieht dies ausschließlich auf Grundlage Ihrer Weisung und auch nur mithilfe der Tools/Anwendungen, die Sie uns dafür gestatten.

Datenverarbeitung

(1) Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit dem Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet der Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Der Verantwortliche erstellt auf dieser Grundlage ein Angebot. Der Verantwortliche speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(3) Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:

1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Daten ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich aus internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

3. Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

4. Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

5. Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

(4) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den Interessenten die Wahl für ein Vertragsgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die Interessenten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vertragsgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(5) Ergänzend zu Absatz 1 gilt, dass der Verantwortliche den Interessenten die Wahl für ein Vorgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die Interessenten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vorgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(6) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche die Betroffenen werblich per E-Mail anspricht. Dafür verwendet der Verantwortliche folgende Daten: Name und E-Mail-Adresse. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem vorgenannten Zweck i.V.m. ErwG 47 folgt. Die Betroffenen werden darauf hingewiesen, dass sie dieser Verarbeitung jederzeit und ohne Begründung widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

(7) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an den Anbieter einer externen Buchhaltungssoftware übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung.

(8) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an eine externe Steuerberatungskanzlei übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Auftragsverarbeiter und Dritte, die Daten erhalten

Die folgenden Drittanbieter erhalten personenbezogene Daten:

Drittanbieter: Es werden die nachfolgenden Tools der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: Microsoft 365, dazu insbesondere Microsoft Exchange (für E-Mail-Kommunikation), Cloud, Microsoft Teams für die Kommunikation und Dateiverwaltung, Microsoft Planner und Microsoft ToDo für die Aufgabenverwaltung. Eine Gesamtübersicht über alle Tools ist zu finden unter: https://www.microsoft.com/de-de/microsoft-365?rtc=1. Der Beauftragung steht nicht entgegen, dass der Anbieter in einem Drittland (USA) seinen Sitz hat. Denn erstens findet keine Übermittlung i.S.v. Artikel 44 DSGVO in die USA statt, da der Anbieter sich verpflichtet hat, die Daten ausschließlich innerhalb der EU zu speichern. Zweitens wäre eine solche Übermittlung aber auch gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es werden die nachfolgenden Tools der Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: „Jira Service Management“, „Jira Software“ und „Confluence“ ein. Anbieterin dieser Produkte ist die Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien). Näheres zur Arbeitsweise dieses Anbieters finden Sie unter https://www.atlassian.com/de/software. Der Verarbeitung steht nicht entgegen, dass die Daten außerhalb der Europäischen Union verarbeitet werden, denn der Anbieter hat sich nach den Standardvertragsklauseln verpflichtet (Artikel 46 DSGVO).

Drittanbieter: Es wird das Signaturtool „Docusign“ der Docusign, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.docusign.com/products/electronic-signature. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Übermittlung beruht auf verbindlichen, internen Datenschutzvorschriften (Artikel 47 DSGVO).

IV Informationen für Lieferanten (m/w/d) / Ansprechpartner (m/w/d) bei Lieferanten

Verarbeitungsvorgänge, die für die Erfüllung von Verträgen erforderlich sind (primäre Rechtsgrundlage Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

Datenverarbeitung

(1) Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit dem Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet der Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Der Verantwortliche prüft auf dieser Grundlage das Angebot des Betroffenen. Der Verantwortliche speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(3) Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:

1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Daten ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich aus internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

3. Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

4. Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

5. Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

(4) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den potentiellen Lieferanten die Wahl für ein Vertragsgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potentiellen Lieferanten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vertragsgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(5) Ergänzend zu Absatz 1 gilt, dass der Verantwortliche den potenziellen Lieferanten die Wahl für ein Vorgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potentiellen Lieferanten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vorgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(6) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an den Anbieter einer externen Buchhaltungssoftware übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung.

(7) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an eine externe Steuerberatungskanzlei übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Auftragsverarbeiter und Dritte, die Daten erhalten

Die folgenden Drittanbieter erhalten personenbezogene Daten:

Drittanbieter: Es werden die nachfolgenden Tools der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: Microsoft 365, dazu insbesondere Microsoft Exchange (für E-Mail-Kommunikation), Cloud, Microsoft Teams für die Kommunikation und Dateiverwaltung, Microsoft Planner und Microsoft ToDo für die Aufgabenverwaltung. Eine Gesamtübersicht über alle Tools ist zu finden unter: https://www.microsoft.com/de-de/microsoft-365?rtc=1. Der Beauftragung steht nicht entgegen, dass der Anbieter in einem Drittland (USA) seinen Sitz hat. Denn erstens findet keine Übermittlung i.S.v. Artikel 44 DSGVO in die USA statt, da der Anbieter sich verpflichtet hat, die Daten ausschließlich innerhalb der EU zu speichern. Zweitens wäre eine solche Übermittlung aber auch gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es werden die nachfolgenden Tools der Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde: „Jira Service Management“, „Jira Software“ und „Confluence“ ein. Anbieterin dieser Produkte ist die Atlassian. Pty Ltd, Level 6,a 341 George Street, Sydney NSW 2000 (Australien). Näheres zur Arbeitsweise dieses Anbieters finden Sie unter https://www.atlassian.com/de/software. Der Verarbeitung steht nicht entgegen, dass die Daten außerhalb der Europäischen Union verarbeitet werden, denn der Anbieter hat sich nach den Standardvertragsklauseln verpflichtet (Artikel 46 DSGVO).

Drittanbieter: Es wird das Signaturtool „Docusign“ der Docusign, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.docusign.com/products/electronic-signature. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Übermittlung beruht auf verbindlichen, internen Datenschutzvorschriften (Artikel 47 DSGVO).

V Informationen für die Besucher der Internetseite (m/w/d)

Datenverarbeitung auf Grundlage eines berechtigten Interesses

(1) Ergänzend zur Datenverarbeitung im Grundsatz verarbeitet der Verantwortliche die Daten der Besucher der Internetseite auf Grundlage eines berechtigten Interesses. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.
(2) Es wird auf folgende Verarbeitungsvorgänge hingewiesen:

Werbliche Ansprache von Vertragspartnern
Der Verantwortliche verarbeitet die E-Mail-Adresse und den Namen der Betroffenen, um ihnen in regelmäßigen oder unregelmäßigen Abständen nützliche Informationen per E-Mail zuzusenden. Ferner speichert er die Information, dass zwischen ihnen und ihm ein Vertragsverhältnis besteht oder bestand, um den Nachweis des berechtigten Interesses führen zu können. Das berechtigte Interesse folgt hier aus dem Umstand, dass zwischen den Betroffenen und dem Verantwortlichen ein Vertragsverhältnis besteht, in dessen Zusammenhang die werbliche Ansprache per E-Mail zur üblichen Erwartungshaltung der Betroffenen zählt. Dies wird gestützt durch Erwägungsgrund 47 Satz 7. Hierbei werden folgende Daten verarbeitet: (1) E-Mail-Adresse, (2) Name sowie (3) die Statusdaten zu dem Vertragsverhältnis. Besonderer Hinweis zum Widerspruchsrecht: Die Betroffenen können der Nutzung ihrer Daten zu diesem Zweck jederzeit widersprechen; etwa durch formlose Nachricht an den Verantwortlichen (Kontaktkanäle finden die Betroffenen am Anfang dieser Erklärung und im Impressum). Insbesondere können die Betroffenen widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Rechte-Management und ggf. externer Rechtsrat
Sofern die Betroffenen dem hiesigen Verantwortlichen gegenüber Ansprüche – gleich welcher Art – geltend machen, werden die Daten wie folgt verarbeitet:

1. Der Verantwortliche nimmt das Anliegen entgegen und speichert alle damit verbundenen Daten.
2. Der Verantwortliche nutzt diese Daten, um das Anliegen zu prüfen. Erforderlichenfalls nimmt er externen Rechtsrat in Anspruch.
3. Sofern das Anliegen begründet ist, nutzt er die Daten, um dem Anliegen nachzukommen. Anderenfalls nutzt er die Daten, um die Betroffenen zu informieren.
4. Der Verantwortliche bewahrt die Daten, die bei der Verarbeitung gemäß den Ziffern 1 bis 3 besteht, für drei Jahre auf, beginnend mit dem 31. Dezember des Kalenderjahres, in dem Schritt 3 stattgefunden hat. Das berechtigte Interesse bei den Ziffern 1 bis 3 folgt aus dem Interesse der Betroffenen, dass die Ansprüche bearbeitet werden und aus dem Interesse des Verantwortlichen, Ansprüche und Sanktionen zu vermeiden. Das berechtigte Interesse bei Ziffer 4 folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse nach Ziffer 4 endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten und Kommunikationsinhalte.

Externes Webhosting
Der Verantwortliche hat für die Veröffentlichung dieser Internetseite Drittanbieter mit der Bereitstellung von Speicherplatz und der Auslieferung beauftragt. Damit diese Dienstleister ihren Auftrag erfüllen können, erhalten sie zwangsläufig einige Daten der Betroffenen. Das berechtigte Interesse folgt aus dem Anspruch, sich öffentlich präsentieren zu dürfen. Hierbei werden folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware; ggf. auch Kommunikations- und Interaktionsdaten aus dem Verhalten der Betroffenen.

Datenverarbeitung im Zusammenhang mit Verträgen

1) Ergänzend zur Datenverarbeitung im Grundsatz verarbeitet der Verantwortliche die Daten der Besucher der Internetseite, um Verträge zu begründen, durchzuführen und/oder zu beenden. Rechtsgrundlage ist dann grundsätzlich Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Nur für den Fall, dass die Betroffenen Beschäftigte (einschl. Bewerber) sind, ist die Rechtsgrundlage Artikel 88 DSGVO i.V.m. § 26 Absatz 1 BDSG2018.

(2) Es wird auf folgende Verarbeitungsvorgänge hingewiesen:

Formular
Der Verantwortliche stellt auf der Internetseite ein Formulartool zur Verfügung. Darüber findet eine Kommunikation zwischen Betroffenen und dem Verantwortlichen statt, wobei die Eingaben der Betroffenen dokumentiert und an den Verantwortlichen übermittelt werden. Hierbei werden die folgenden Daten verarbeitet: Daten über Inhalt, Art und Weise sowie Umfang der Eingaben in das jeweilige Formular.

Recruiting
Die Betroffenen können sich auf dieser Internetseite über einen Recruiting-Bereich und/oder einen anderen Kontaktkanal für eine Beschäftigung bewerben. Der Verantwortliche nimmt diese Daten entgegen und verarbeitet sie, indem eine Vorauswahl und ggf. ein Bewerbungsgespräch und/oder Probearbeitstag vorzubereiten oder zu weiteren, bewerbungsrelevanten Zwecken zu kommunizieren. Dabei kann der Verantwortliche

1. auf einen internen Bereich zugreifen und die Bewerberdaten einsehen (einschließlich der Bewerbungsunterlagen und dem Eingangsdatum der Bewerbung).
Anschließend besteht die Möglichkeit, dass er
2. Notizen, die mit den Bewerbungsdaten verbunden sind, anfertigt,
3. betriebsinterne Kommunikation über Ihre Bewerbung (ggf. mit den betroffenen Fachabteilungen) führen,
4. die Entscheidung über die Weiterbehandlung der Bewerbung dokumentieren,
5. die Einladung zu einem oder mehreren Bewerbungsgesprächen ausführen und dokumentieren,
6. die Einladung zu einem oder mehreren Probearbeitstagen ausführen und dokumentieren,
7. die Arbeitsvertragsurkunde übermitteln,
8. eine Absage übermitteln und dokumentieren,
9. Onboarding-Maßnahmen durchführen,
10. die Daten der Betroffenen, deren Einwilligung vorausgesetzt, in einem Bewerberpool speichern.
Hierbei werden die folgenden Daten verarbeitet: alle Daten aus der Bewerbung und den sonstigen Kommunikationsinhalten zwischen den Betroffenen und dem hiesigen Verantwortlichen.

Datenverarbeitung auf Grundlage einer Einwilligung

(1) Ergänzend zur Datenverarbeitung im Grundsatz verarbeitet der Verantwortliche die Daten der Besucher der Internetseite auf Grundlage einer Einwilligung. Rechtsgrundlage ist dann grundsätzlich Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Nur für den Fall, dass die Betroffenen Beschäftigte (einschl. Bewerber) sind, ist die Rechtsgrundlage Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

(2) Es wird auf folgende Verarbeitungsvorgänge hingewiesen:

Analyse des Nutzungsverhaltens
Zur Analyse des Nutzerverhaltens der Betroffenen auf dieser Internetseite werden sog. Cookies eingesetzt. Das sind Textdateien, die auf dem Rechner der Betroffenen gespeichert werden und die eine Analyse der Benutzung der Internetseite ermöglichen. Aus den Informationen über das Nutzungsverhalten entstehen Berichte über die Aktivitäten und Interaktionen. Der hiesige Verantwortliche nutzt diese Daten, um das Nutzungserlebnis auf der Internetseite regelmäßig verbessern zu können. Über die gewonnenen Statistiken kann er auch sein Angebot verbessern, um das Interesse der Betroffenen zielgerichteter auf für sie passende Produkte und Leistungen zu lenken. Hierbei werden die folgenden Daten verarbeitet: Cookie-basierte Daten über die Interaktionen (ins. Reihenfolge der Interaktionen, Verweildauer).

Kartendarstellung
Auf dieser Internetseite wird eine Karte angezeigt, die den Betroffenen eine Wegbeschreibung zeigt. Sobald die Betroffenen auf die entsprechende Seite gelangen, werden die gleich noch zu nennenden Daten an den hiesigen Verantwortlichen als auch an den Anbieter des Kartendienstes übermittelt. Die Karte wird nur angezeigt, wenn eine Einwilligung vorab erteilt wurde. Hierbei werden folgende Daten verarbeitet: (1) Daten über die Benutzung dieser Website, (2) IP-Adresse und ggf. (2) Daten über die zur Routenplanung eingegebene Adresse.

Turingtest
Zur Vermeidung von Missbrauch wird auf dieser Internetseite ein Turing-Test-Tool eingesetzt. Dabei müssen die Betroffenen eine kurze Aufgabe lösen, wie z.B. kursiv geschriebene Zahlen durch Tastatureingaben wiederzugeben oder Bilder zu erkennen. Diese Eingaben werden dokumentiert. Das Ergebnis wird darauf untersucht, ob eine menschliche oder maschinelle Eingabe vorliegt. Auf Grundlage dieser Information wird entschieden, ob bestimmte Verarbeitungsvorgänge (z.B. Registrierung) fortgesetzt werden können oder nicht. Hierbei werden folgende Daten verarbeitet: Eingabedaten.

Nützliche Informationen per E-Mail
Der Verantwortliche verarbeitet die Daten der Betroffenen ggf., um ihnen per E-Mail nützliche, werbliche Informationen zuzuschicken. Hierbei handelt es sich um ein regelmäßig und unregelmäßig erscheinendes elektronisches Rundschreiben. Zu Beginn stellen sie dem Verantwortlichen diejenigen Daten zur Verfügung, die er zur Anmeldung abfragt. Nach Durchführung des Double-Opt-In-Verfahrens nutzt er diese Daten, um die Betroffenen mittels dieser E-Mails werblich anzusprechen. Hierbei werden folgende Daten verarbeitet: Cookie-basierte Daten, die folgende Informationen transportieren: Der Verantwortliche verarbeitet die Daten, die die Betroffenen ihm freiwillig zu diesem Zweck mitteilen (i.d.R. E-Mail und Name) sowie die Daten, die er zum Nachweis der Erteilung der Einwilligung braucht (Opt-In-Status-Daten) sowie ggf. Daten zum Widerruf der Einwilligung.

Soziale Medien / Netzwerke
Der Verantwortliche setzt soziale Medien und soziale Netzwerke ein. Weder hat er Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge noch sind ihm der volle Umfang der Datenerhebung, die Zwecke der Verarbeitung, die Speicherfristen und der Umstände der Löschung personenbezogener Daten vollends bekannt. Wenn die Betroffenen die Unternehmens- und Produktseiten des Verantwortlichen in den sozialen Medien oder Anzeigen (sog. Ads) aufsuchen, besteht die Möglichkeit, dass die Anbieter der sozialen Medien und Netzwerke die über sie erhobenen Daten als Nutzungsprofile speichern und diese für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseiten nutzen. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dessen an den jeweiligen Anbieter wenden müssen. Soweit der hiesige Verantwortliche Art und Umfang der hiermit verbundenen Verarbeitung personenbezogener Daten beeinflussen kann, besteht ihr Zweck darin, den Verantwortlichen zu präsentieren, das Nutzungsverhaltens der Betroffenen in Bezug auf die Interaktion mit der dort unterhaltenen Unternehmens- und/oder Produktseite zu analysieren sowie über dieses soziale Netzwerk (ggf. werblich) mit den Betroffenen zu kommunizieren.

Wenn und soweit der Verantwortliche die Besucherinteraktionen mit seiner Unternehmensseite analysiert, sind sowohl er als auch der jeweilige Anbieter des sozialen Netzwerks oder Mediums insoweit datenschutzrechtlich gemeinsam verantwortlich; dies gemäß Artikel 26 DSGVO. In allen anderen Fällen wird der jeweilige Anbieter des sozialen Netzwerks oder Mediums gemäß Artikel 28 DSGVO beauftragt.

Ergänzend zu den allgemeinen Ausführungen zur Rechtsgrundlage ist folgendes auszuführen: Sofern die Betroffenen bei dem jeweiligen sozialen Netzwerk oder Medium selbst ein Profil unterhalten, ist die Rechtsgrundlage auch die Einwilligung i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, die sie gegenüber dem Anbieter des jeweiligen sozialen Netzwerks erteilt haben.

Hierbei werden folgende Daten verarbeitet: Cookie- bzw. pixelbasierte Daten über die Interaktionen mit der Internetseite sowie den Unternehmens- und/oder Produktseiten des Verantwortlichen, ggf. die E-Mail-Adresse, der Name und die Kommunikationsdaten.

Wiedergabe von Videos
Es wird ein Videowiedergabe-Tool eingesetzt, um den Betroffenen im Rahmen dieser Internetpräsenz, aber ggf. auch auf dem Kanal des Verantwortlichen seine und/oder fremde Videos zu präsentieren. Wenn die Betroffenen diese Videos starten, dokumentieren das sowohl der Anbieter der Videowiedergabe-Lösung als auch der Verantwortliche, um den Betroffenen anschließend interessengerechte Informationen und Ads anzeigen zu können. Hierbei werden folgende Daten verarbeitet: Cookie-basierte Daten, die folgende Informationen transportieren: (1) Information, dass die Betroffenen diese Internetseite (ggf. auch die konkrete Unterseite) besucht haben, (2) Information, dass ein bestimmtes Video angeklickt wurde.

Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung

(1) Ergänzend zur Datenverarbeitung im Grundsatz verarbeitet der Verantwortliche die Daten der Besucher der Internetseite, um eine gesetzliche Pflicht zu erfüllen. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

(2) Es wird auf folgende Verarbeitungsvorgänge hingewiesen:

Aufbewahrung von Daten im Zusammenhang mit Verträgen
Soweit der Verantwortliche Daten erhebt, um Verträge zu begründen, durchzuführen und/oder zu beenden, bewahrt er Daten, die für die Besteuerung des Verantwortlichen relevant sind, grundsätzlich für sechs Jahre auf. Hiervon abweichend werden Daten ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Zweck ist die Erfüllung der rechtlichen Aufbewahrungspflicht aus § 147 AO.

Aufbewahrung von Daten, die die Erteilung einer Einwilligung beweisen
Soweit der Verantwortliche Daten auf Grundlage einer Einwilligung verarbeitet, speichert er die Daten, die die Erteilung der Einwilligung beweisen, für drei Jahre. Die Frist beginnt, wenn die Einwilligung widerrufen wird oder die einwilligungsgegenständliche Verarbeitung endet, je nachdem, was früher eintritt. Zweck ist die Erfüllung der Aufbewahrungspflicht nach Artikel 7 Absatz 1 DSGVO i.V.m. Artikel 5 Absatz 2 DSGVO. Der Zeitraum bestimmt sich nach den ordnungswidrigkeitsrechtlichen Verjährungsfristen nach § 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 Absätze 4, 5 DSGVO.

Verarbeitung zur Dokumentation einer Einwilligung (Cookie-Consent)
Sobald die Betroffenen die hiesige Internetseite öffnen, erscheint ein Banner, über den die Betroffenen Erklärungen zum Einsatz von datenverarbeitenden Tools abgegeben können. Ihre Erklärungen und ggf. spätere Modifikationen dieser Erklärungen werden dokumentiert. Hierbei werden in der Regel folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Erklärung, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Erklärung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 7 Absatz 1 DSGVO.

Double-Opt-In
Zur Einholung der Einwilligung für die werbliche Ansprache per E-Mail bedient sich der Verantwortliche des sog. Double-Opt-In-Verfahrens. Das heißt, dass er den Betroffenen nach ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse sendet, in welcher er sie um Bestätigung ihrer Einwilligung bittet. Wenn sie ihre Anmeldung nicht innerhalb von 30 Tagen bestätigen, werden ihre Informationen gesperrt und nach einem Monat automatisch gelöscht. Darüber hinaus speichert der Verantwortliche jeweils ihre eingesetzten IP-Adressen und Zeitpunkte der Anmeldung und Bestätigung. Zweck des Verfahrens ist, ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch ihrer persönlichen Daten aufklären zu können. Die rechtliche Verpflichtung folgt aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften ist der hiesige Verantwortliche rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Das geht nur, wenn er die Daten der Betroffenen dafür zu Nachweiszwecken erhebt.

Auftragsverarbeiter und Dritte, die Daten erhalten

Die folgenden Drittanbieter erhalten im Rahmen der vorab beschriebenen Datenverarbeitung Zugriff auf personenbezogene Daten der Besucher der Internetseite:

WordPress-Plugin: Zur Erstellung und Verwaltung von Formularen wird das WordPress-Plugin Contact Form 7 ein. Einzelheiten zur Datenverarbeitung durch dieses Plugin sind hier zu finden: https://de.wordpress.org/plugins/contact-form-7/.

Drittanbieter: Es wird das Automatisierungs-Tool „sendinblue“ der Sendinblue GmbH (Deutschland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://de.sendinblue.com/funktionen/.

Drittanbieter: Es wird das WordPress Cookie-Consent-Plugin Borlabs Cookie des Entwicklers Benjamin A. Bornschein (Deutschland – EU) eingesetzt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://de.borlabs.io/borlabs-cookie/.

Drittanbieter: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.linkedin.com/legal/privacy-policy?trk=hb_ft_priv.. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Der Verantwortliche setzt „LinkedInAds“ ein. Mithilfe der Werbemittel dieses Tools kann der hiesige Verantwortliche im Rahmen dies hier vorgestellten sozialen Netzwerks bzw. Mediums auf seine Angebote aufmerksam machen. Er kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Er verfolgt damit das Interesse, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbe-Kosten durchzuführen. Diese Werbemittel werden durch den hier vorgestellten Anbieter ausgeliefert. Sofern die Betroffenen über eine Anzeige, die dieser Anbieter ihnen präsentiert, auf diese Internetseite gelangen, wird durch das Tool ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen nicht dazu dienen, die Betroffenen persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert. Aufgrund des eingesetzten Tools baut der Browser der Betroffenen automatisch eine direkte Verbindung mit dem Server des hier vorgestellten Anbieters auf. Der Verantwortliche hat keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools erhoben werden. Er teilt aber seinen Kenntnisstand mit: Durch die Einbindung der Werbemittel dieses Tools erhält der hier vorgestellte Anbieter die Information, dass die Betroffenen den entsprechenden Teil dieses Internetauftritts aufgerufen oder eine Anzeige des Verantwortlichen angeklickt haben. Sofern die Betroffenen bei einem Dienst dieses Anbieters registriert sind, kann er den Besuch Ihrem Account zuordnen. Aber selbst wenn die Betroffenen nicht bei dem hier vorgestellten Anbieter registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter ihre IP-Adresse in Erfahrung bringt und speichert. Die Betroffenen können die Teilnahme an diesem Tracking-Verfahren auf verschiedene Weise verhindern: Entweder durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass die Betroffenen keine Anzeigen von Drittanbietern erhalten. Oder durch Deaktivierung der Cookies. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://business.linkedin.com/de-de/marketing-solutions/ads.

Der Verantwortliche hat auf dieser Internetseite ein Plugin des hier vorgestellten Anbieters eines sozialen Netzwerks bzw. Mediums eingebunden. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil des Verantwortlichen. Der Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an den hier vorgestellten Anbieter des Plug-ins weitergegeben werden. Der Anbieter ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Der Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit dem Anbieter des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält der Anbieter die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die oben näher bezeichneten Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an den hier vorgestellten Anbieter übermittelt und von ihm ggf. in den USA gespeichert oder dorthin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei dem hier vorgestellten Anbieter besitzen und dort eingeloggt sind. Wenn sie bei dem Anbieter eingeloggt sind, werden ihre durch den hiesigen Verantwortlichen erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei dem hier vorgestellten Anbieter unterhalten. Es ist ratsam, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da die Betroffenen so eine Zuordnung zu Ihrem Profil bei dem Anbieter vermeiden können.

Der Verantwortliche unterhält auch eine Unternehmens- bzw. Produktseite bei diesem Anbieter, die auch auf dieser Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Drittanbieter: Es wird das soziale Netzwerk „X“ der Twitter International Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der X Corp. (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://twitter.com/de/privacy. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Der Verantwortliche hat auf dieser Internetseite ein Plugin des hier vorgestellten Anbieters eines sozialen Netzwerks bzw. Mediums eingebunden. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil des Verantwortlichen. Der Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an den hier vorgestellten Anbieter des Plug-ins weitergegeben werden. Der Anbieter ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Der Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit dem Anbieter des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält der Anbieter die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die oben näher bezeichneten Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an den hier vorgestellten Anbieter übermittelt und von ihm ggf. in den USA gespeichert oder dorthin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei dem hier vorgestellten Anbieter besitzen und dort eingeloggt sind. Wenn sie bei dem Anbieter eingeloggt sind, werden ihre durch den hiesigen Verantwortlichen erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei dem hier vorgestellten Anbieter unterhalten. Es ist ratsam, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da die Betroffenen so eine Zuordnung zu Ihrem Profil bei dem Anbieter vermeiden können.

Der Verantwortliche unterhält auch eine Unternehmens- bzw. Produktseite bei diesem Anbieter, die auch auf dieser Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Drittanbieter: Es wird das soziale Netzwerk „Xing“ der New Work SE (Deutschland – EU). Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://privacy.xing.com/de.

Der Verantwortliche hat auf dieser Internetseite ein Plugin des hier vorgestellten Anbieters eines sozialen Netzwerks bzw. Mediums eingebunden. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil des Verantwortlichen. Der Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an den hier vorgestellten Anbieter des Plug-ins weitergegeben werden. Der Anbieter ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Der Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit dem Anbieter des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält der Anbieter die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die oben näher bezeichneten Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an den hier vorgestellten Anbieter übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei dem hier vorgestellten Anbieter besitzen und dort eingeloggt sind. Wenn sie bei dem Anbieter eingeloggt sind, werden ihre durch den hiesigen Verantwortlichen erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei dem hier vorgestellten Anbieter unterhalten. Es ist ratsam, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da die Betroffenen so eine Zuordnung zu Ihrem Profil bei dem Anbieter vermeiden können.

Der Verantwortliche unterhält auch eine Unternehmens- bzw. Produktseite bei diesem Anbieter, die auch auf dieser Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Drittanbieter: Es wird das Videowiedergabe-Tool „Vimeo“ der Vimeo, LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung in die USA nicht ausgeschlossen werden kann. Denn diese Übermittlung ist gemäß Artikel 46 DSGVO gerechtfertigt.

Konkret ist es so, dass auf dieser Internetseite Plugins des Videoportals Vimeo eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem YouTube-Server hergestellt. Diese Videos sind alle im „erweiterten Datenschutz-Modus“ eingebunden Es werden keine Daten über die Betroffenen als Nutzer an die Anbieterin übertragen, wenn die Betroffenen die Videos nicht abspielen. Erst wenn sie die Videos abspielen, werden die in oben näher bezeichneten Daten übertragen. Auf diese Datenübertragung hat der Verantwortliche keinen Einfluss. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dessen an den Anbieter richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die Anbieterin erhalten die Betroffenen in der Datenschutzerklärung. Dort erhalten sie auch weitere Informationen zu Ihren Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre: https://vimeo.com/privacy

Der Verantwortliche unterhält eine Unternehmensseite bei diesem Anbieter und hat sie auf dieser Internetseite verlinkt. Sofern die Betroffenen diesen Link (gemeint ist der Link zu der Unternehmensseite) anklicken, gelangen sie zum Kanal des hiesigen Verantwortlichen.

Drittanbieter: Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das Analyse-Tool „Google Analytics“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://support.google.com/analytics/answer/9306384?hl=de. Hierzu sei ergänzt: Die IP-Adresse wird durch den Anbieter innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server des Anbieters in den USA übertragen und dort gekürzt. Die im Rahmen des Einsatzes dieses Tools vom Browser übermittelte IP-Adresse wird nicht mit anderen Daten durch den Anbieter zusammengeführt. Das Tool wird zudem für eine geräteübergreifende Analyse von Besucherströmen eingesetzt, die über eine User-ID durchgeführt wird. Die Betroffenen können in ihrem Kundenkonto unter „Meine Daten“, „persönliche Daten“ die geräteübergreifende Analyse deaktivieren. Informationshalber sei darauf hingewiesen, dass dieses Tool mit der Erweiterung „_anonymizeIp()“ verwendet wird. Dadurch werden IP-Adressen gekürzt weiterverarbeitet, eine Personenbeziehbarkeit kann damit ausgeschlossen werden. Soweit den über die Betroffenen erhobenen Daten ein Personenbezug zukommt, wird dieser also sofort ausgeschlossen und die personenbezogenen Daten damit umgehend gelöscht. Der Verarbeitung steht nicht entgegen, dass die Daten in die USA übermittelt werden, ggf. im Zusammenwirken mit der Google LLC (USA). Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das zentrale Steuerungs-Tool „Google Tag-Manager“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://marketingplatform.google.com/intl/de/about/tag-manager/. Hierzu sei ergänzt: Durch dieses Tool kann der Verantwortliche verschiedene Codes und Dienste geordnet und vereinfacht auf dieser Internetseite einbinden. Dieses Tool implementiert dabei die tags bzw. löst die damit eingebundenen tags aus. Beim Auslösen eines tags verarbeitet der Anbieter unter Umständen auch personenbezogene Daten. Dabei kann nicht ausgeschlossen, dass der Anbieter die Daten auch an einen Server in einem Drittland übermittelt. Der Verarbeitung steht dennoch nicht entgegen, dass die Daten in die USA übermittelt werden, ggf. im Zusammenwirken mit der Google LLC (USA). Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird der Kartendienst „Google Maps“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Google LLC (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://support.google.com/maps/answer/7576020?hl=de#null. Welche konkreten Daten im Einzelnen übertragen werden, hängt auch davon ab, ob die Betroffenen diese Internetseite als eingeloggte Nutzer eines Google-Accounts nutzen. Einzelheiten zur Datenübertragung und Nutzung sind hier zu finden: https://policies.google.com/privacy?hl=de. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird das Tool „Google reCaptcha“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Google LLC (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.google.com/recaptcha/about/. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn diese Übermittlung ist gemäß Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird das Signaturtool „Docusign“ der Docusign, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.docusign.com/products/electronic-signature. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Übermittlung beruht auf verbindlichen, internen Datenschutzvorschriften (Artikel 47 DSGVO).