Kunden-Transparenzerklärung
Grundinformationen
Betroffene
Diese Datenschutzerklärung richtet sich an alle Personen, die mit dem Verantwortlichen (siehe unten) Kundenverträge schließen, unabhängig davon, ob diese Verträge kostenpflichtig sind oder nicht. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortlicher
Verantwortlicher für die hier beschriebene Verarbeitung ist: eBusiness Pfeil GmbH, das durch den Inhaber Oliver Pfeil vertreten wird. Der Geschäftssitz ist die Pasenbacher Straße 4 in 85244 Röhrmoos ist. Die sonstigen Erreichbarkeiten lauten wie folgt: Telefon +49 8139 2042430, E-Mail support@oliverpfeil.de.
Rechte
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.
(4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA, der Republik Indien und der Russischen Föderation ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Weitere Hinweise
(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
Verarbeitungsvorgänge im Zusammenhang mit Verträgen
Zweck und Rechtsgrundlage
Soweit in diesem Abschnitt („Verarbeitungsvorgänge im Zusammenhang mit Verträgen“) keine abweichenden Angaben gemacht werden, bezwecken alle in diesem Abschnitt beschriebenen Verarbeitungsvorgänge die Begründung, Durchführung und/oder Beendigung von Verträgen. Bei
a. Verträgen, die keine Beschäftigungsverträge sind, ist dann Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage.
b. Beschäftigungsverträgen ist dann Artikel 88 DSGVO i.V.m. § 26 Absatz 1 BDSG2018 die Rechtsgrundlage.
Speicherungsdauer
(1) Personenbezogene Daten, deren Verarbeitung in diesem Abschnitt beschrieben wird, werden so lang verarbeitet, wie sie für die Begründung, Durchführung und/oder Beendigung der Verträge benötigt werden. Eine längere Aufbewahrung, die unabhängig von der in Satz 1 beschriebenen Zweckerreichung ist, kann sich aus den Absätzen 2 bis 5 ergeben.
(2) Die personenbezogenen Daten werden für drei Jahre aufbewahrt, wobei dieser Zeitraum am 31. Dezember des Kalenderjahres beginnt, in dem die Daten erhoben wurden. Abweichend von den obenstehenden Angaben (Verarbeitungsvorgänge im Zusammenhang mit Verträgen / Zweck und Rechtsgrundlage) dient diese Verarbeitung dem berechtigten Interesse des Verantwortlichen sich innerhalb der regelmäßigen Verjährungsfrist gegen Ansprüche aus dem Vertragsverhältnis heraus zu verteidigen. Ausnahmsweise ist daher Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage.
(3) Personenbezogene Daten, die sich aus Rechnungen oder aus E-Mails/Briefen oder sonstiger vertragsbezogener Kommunikation herrühren, werden für sechs Jahre aufbewahrt, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist. Diese Verarbeitung dient der Erfüllung steuer- und handelsrechtlicher Pflichten nach § 147 AO und § 257 HGB. Ausnahmsweise ist daher Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage.
Anbahnung, Durchführung und Beendigung der Verträge
In aller Kürze: Der Verantwortliche verarbeitet die Kundendaten, um damit Verträge zu begründen, durchzuführen und/oder zu beenden.
Verarbeitung im Detail: Die Verarbeitung verläuft wie folgt:
- Bei Begründung des Vertrages erhebt und speichert der Verantwortliche die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge) und erstellt auf dieser Grundlage ein Angebot. Die Daten werden fortan im Customer-Relationship-Management (kurz CRM) des Verantwortlichen gespeichert.
- Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen).
- Nach Ende des Vertrages werden die Daten gespeichert (vgl. Speicherungsdauer, s.o.).
Daten, die verarbeitet werden: Name und Kontaktdaten, Daten über vertragsbezogene Kommunikation, einschl. Rechnungsinformationen.
Drittanbieter: Es wird eine externer Steuerberatungskanzlei mit der Kundenbuchhaltung betraut.
Drittanbieter: Es wird das Cloud-Tool Hetzner eingesetzt. Anbieteirn ist die Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen (BRD).
Drittanbieter: Es wird das Cloud-Tool „Google Workspace“ (Cloud) eingesetzt. Anbieterin ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist, was aber durch Artikel 46 DSGVO gerechtfertigt ist.
Drittanbieter: Es wird das Projektmanagement-Tool „Microsoft Teams“ eingesetzt. Anbieterin ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 (USA). Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet (vgl. Artikel 46 DSGVO) und den „Additional Safeguards Addendum to Standard Contractual Clauses“ verpflichtet.
Drittanbieter: Als reseller wird die Digistore24 GmbH (Deutschland – EU) eingesetzt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.digistore24.com/de/vendors.
Drittanbieter: Es wird der Zahlungsdienst „Paypal“ des Anbieters PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg – EU) eingesetzt. Bevor die Betroffenen diesen Zahlungsdienst nutzen, müssen sie bei diesem Anbieter ein eigenes Konto erstellen. Dafür teilen sie dem Anbieter die hierfür erforderlichen Daten mit. Sofern sie anschließend auf Dienstleister, wie den hier Verantwortlichen treffen, die eine Zahlung über diesen Zahlungsdienst akzeptieren, autorisieren sie diesen Anbieter, Geld an den hiesigen Verantwortlichen zu überweisen. Hierbei erlangt der Anbieter freilich Informationen über Ihr Kaufverhalten. Der Anbieter agiert hier also nicht als ein weisungsabhängiger Auftragsverarbeiter des hiesigen Verantwortlichen, sondern als Zahlungsdienstleister der Betroffenen. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.paypal.com/de/home. Hierbei werden insbesondere die folgenden Daten durch den Verantwortlichen verarbeitet: Information,
- dass die Betroffenen diesen Dienst nutzen sowie,
- dass, in welcher Höhe und zu welchem Zeitpunkt die Betroffenen zahlen,
- personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen und
- personenbezogene Daten, die der Verantwortlichen zur Klärung von Konflikten und zur Prüfung und Prävention von Betrug benötigt. Die Informationen zu 2., zu 3. und zu 4. erhält der Verantwortliche von dem Anbieter.
Drittanbieter: Es wird das Automatisierungs-Tool „KlickTipp“ der KLICK-TIPP LIMITED (England) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.klick-tipp.com/handbuch. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter sitzt in einem Land, für das die EU-Kommission beschlossen hat, dass es ein angemessenes Schutzniveau bietet (vgl. Artikel 45 DSGVO).
Drittanbieter: Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zapier.com/how-it-works. Kurz gesagt: Mit Zapier kann der hiesige Verantwortliche Applikationen verbinden, sodass zwischen den verschiedenen Applikationen Kunden- und Interessentendaten automatisiert ausgetauscht werden können. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
Drittanbieter: Es wird das Terminbuchung-Tool „Calendly“ des Anbieters Calendly LLC BB&T (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschreiben: https://calendly.
Verarbeitungsvorgänge mit Einwilligung der Betroffenen
Zweck und Rechtsgrundlage
Soweit in diesem Abschnitt („Verarbeitungsvorgänge mit Einwilligung der Betroffenen“) keine abweichenden Angaben gemacht werden, beruhen die Verarbeitungsvorgänge allein auf der Einwilligung der Betroffenen. Der jeweilige Zweck ist bei der Einzelbeschreibung zur Verarbeitung genannt. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
Speicherungsdauer
(1) Personenbezogene Daten, deren Verarbeitung in diesem Abschnitt beschrieben wird, werden so lange verarbeitet, bis die maßgebliche Einwilligung widerrufen wurde.
(2) Abweichend von Absatz 1 bewahrt der Verantwortliche die Daten, aus denen sich die Erteilung der Einwilligung ergibt, für drei Jahre auf, wobei dieser Zeitraum am 31. Dezember des Kalenderjahres beginnt, in dem die Einwilligung widerrufen wird. Abweichend von den obenstehenden Angaben (Verarbeitungsvorgänge mit Einwilligung der Betroffenen / Zweck und Rechtsgrundlage) dient diese Verarbeitung der Erfüllung der gesetzlichen Pflicht, die Einwilligungserteilung nachweisen zu können. Ausnahmsweise ist dann Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO die Rechtsgrundlage. Drei Jahre nach Widerruf der Einwilligung fällt diese Pflicht, spätestens mit Erreichung des Verjährungseintritts weg.
Videokonferenzen
In aller Kürze: Der Verantwortliche überlässt den Betroffenen die Entscheidung, ob die vertragsbezogene Kommunikation per E-Mail, per Post, per Telefon oder auch per Videokonferenz läuft. Entscheiden sich die Betroffenen für die Videokonferenz, werden dabei Daten mithilfe von Videokonferenzanbietern verarbeitet.
Verarbeitung im Detail: Der Verantwortliche überlässt den Betroffenen die Entscheidung, ob die vertragsbezogene Kommunikation per E-Mail, per Post, per Telefon oder auch per Videokonferenz läuft. Entscheiden sich die Betroffenen für die Videokonferenz, geschieht folgendes:
- Sie erhalten sie vom Verantwortlichen eine Einladung, in der i.d.R. auch ein Videokonferenzlink enthalten ist. Sie klicken auf den Link und dabei werden ggf. bereits an den Videokonferenzanbieter übermittelt.
- Während des Gesprächs haben die Betroffenen die Möglichkeit, die Kamera zu deaktivieren, sodass keine Bilddaten übertragen werden. Sofern sie freiwillig die Bildübertragung aktivieren, werden Bilddaten übertragen. Soweit dabei Daten i.S.v. Artikel 9 DSGVO übertragen werden (z.B. Gesundheitsdaten bei Brillenträgern, religionsbezogene Daten beim Tragen religiöser Zeichen), umfasst die Einwilligung auch die Verarbeitung dieser Daten.
Daten, die verarbeitet werden: Bild- und Tondaten, Name und Kontaktdaten.
Drittanbieter: Es wird das Videokonferenz-Tool „Webinaris“ der Webinaris GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.webinaris.com/webinar-software-funktionen/.
Drittanbieter: Es wird das Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zoom.us/webinar. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Drittanbieter: Es wird das Videokonferenz-Tool „everwebinar“ der Genesis Digital LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://home.everwebinar.com/index. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Drittanbieter: Es wird das Videokonferenz-Tool „webinarjam“ der Genesis Digital LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://home.webinarjam.com/home. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Drittanbieter: Es wird das Videokonferenz-Tool „Google Meet“ eingesetzt. Anbieterin ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen istDem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Testimonials / Referenzen als Video
In aller Kürze: Der Verantwortliche wird einige Betroffene fragen, ob sie bereit sind, über seine Leistungen und/oder Produkte eine Referenz abzugeben. Er wird diese per Video aufzeichnen und anschließend veröffentlichen, sofern die Betroffenen einwilligen.
Verarbeitung im Detail: Der Verantwortliche wird einige Betroffene fragen, ob sie bereit sind, über seine Leistungen und/oder Produkte eine Referenz abzugeben. Er wird diese per Video aufzeichnen und anschließend veröffentlichen, sofern die Betroffenen einwilligen. Hierbei wird zunächst das Video aufgezeichnet und anschließend wird es veröffentlicht. Soweit dabei Daten i.S.v. Artikel 9 DSGVO übertragen werden (z.B. Gesundheitsdaten bei Brillenträgern, religionsbezogene Daten beim Tragen religiöser Zeichen), umfasst die Einwilligung auch die Verarbeitung dieser Daten.
Daten, die verarbeitet werden: Bild- und Tondaten, Name und Kontaktdaten.
Drittanbieter: Es wird das soziale Netzwerk „Facebook“ der Meta Platforms Ireland Limited (Irland – EU) zur Veröffentlichung des Testimonials eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.facebook.com/business/gdpr. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht dem hiesigen Verantwortlichen gegenüber, soweit er die Datenverarbeitung steuert. Hier besteht zwischen dem hiesigen Verantwortlichen und dem Anbieter des sozialen Netzwerks allenfalls ein Verhältnis i.S.v. Artikel 26 DSGVO.
Drittanbieter: Es wird das soziale Netzwerk „Instagram“ der Meta Platforms Ireland Limited (Irland – EU) zur Veröffentlichung des Testimonials eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://help.instagram.com/519522125107875. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht dem hiesigen Verantwortlichen gegenüber, soweit er die Datenverarbeitung steuert. Hier besteht zwischen dem hiesigen Verantwortlichen und dem Anbieter des sozialen Netzwerks allenfalls ein Verhältnis i.S.v. Artikel 26 DSGVO.
Drittanbieter: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) zur Veröffentlichung des Testimonials eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.linkedin.com/legal/privacy-policy?trk=hb_ft_priv.. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht dem hiesigen Verantwortlichen gegenüber, soweit er die Datenverarbeitung steuert. Hier besteht zwischen dem hiesigen Verantwortlichen und dem Anbieter des sozialen Netzwerks allenfalls ein Verhältnis i.S.v. Artikel 26 DSGVO.
Drittanbieter: Es wird das soziale Netzwerk „Xing“ der New Work SE (Deutschland – EU) zur Veröffentlichung des Testimonials eingesetzt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://privacy.xing.com/de.
Drittanbieter: Es wird das soziale Netzwerk „Twitter“ der Twitter International Company (Irland – EU) zur Veröffentlichung des Testimonials eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Twitter, Inc. (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://twitter.com/de/privacy. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht dem hiesigen Verantwortlichen gegenüber, soweit er die Datenverarbeitung steuert. Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich. Sofern die Anbieter des hier vorgestellten sozialen Netzwerks bzw. Mediums die Verarbeitung steuert (beispielsweise, wenn die Betroffenen das soziale Netzwerk unabhängig von einer Aktion auf dieser Internetseite besuchen), liegt bereits keine Übermittlung durch den Verantwortlichen an die USA vor, sodass der hiesige Verantwortliche auch keine weitere Garantie i.S.d. Artikel 44ff. DSGVO vorweisen muss. Hier besteht zwischen dem hiesigen Verantwortlichen und dem Anbieter des sozialen Netzwerks allenfalls ein Verhältnis i.S.v. Artikel 26 DSGVO.
Drittanbieter: Es wird das Videowiedergabe-Tool „YouTube“ der Google Ireland Ltd. (Irland – EU) zur Veröffentlichung des Testimonials eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Google LLC (USA) stattfindet. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Drittanbieter: Es wird das Videowiedergabe-Tool „Vimeo“ der Vimeo, LLC (USA) zur Veröffentlichung des Testimonials eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung in die USA nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
Verarbeitungsvorgänge mit berechtigtem Interesse
Zweck und Rechtsgrundlage
Soweit in diesem Abschnitt („Verarbeitungsvorgänge mit berechtigtem Interesse“) keine abweichenden Angaben gemacht werden, beruhen sie allein auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten. Der jeweilige Zweck ist bei der Einzelbeschreibung zur Verarbeitung genannt. Hier ist dann Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage.
Speicherungsdauer
Personenbezogene Daten, deren Verarbeitung in diesem Abschnitt beschrieben wird, werden so lang verarbeitet, bis das berechtigte Interesse nicht mehr besteht oder die Betroffenen begründet widersprochen haben, je nachdem, was früher eintritt.
Werbliche Ansprache von Vertragspartnern.
In aller Kürze: Sofern die Betroffenen mit dem Verantwortlichen einen Vertrag schließen, sei es ein kostenpflichtiger oder kostenfreier Vertrag, wird Verantwortliche den Betroffenen nützliche Informationen per E-Mail zur Verfügung stellen. Die Betroffenen können dem jederzeit widersprechen, etwa durch formlose Nachricht an den Verantwortlichen.
Verarbeitung und Drittanbieter im Detail: Der Verantwortliche verarbeitet die E-Mail-Adresse und den Namen der Betroffenen, um ihnen in regelmäßigen oder unregelmäßigen Abständen nützliche Informationen per E-Mail zuzusenden. Ferner speichert er die Information, dass zwischen ihnen und ihm ein Vertragsverhältnis besteht oder bestand, um den Nachweis des berechtigten Interesses führen zu können. Das berechtigte Interesse folgt hier aus dem Umstand, dass zwischen den Betroffenen und dem Verantwortlichen ein Vertragsverhältnis besteht, in dessen Zusammenhang die werbliche Ansprache per E-Mail zur üblichen Erwartungshaltung der Betroffenen zählt. Dies wird gestützt durch Erwägungsgrund 47 Satz 7.
Daten, die verarbeitet werden: (1) E-Mail-Adresse, (2) Name sowie (3) die Statusdaten zu dem Vertragsverhältnis.
Besonderer Hinweis zum Widerspruchsrecht: Die Betroffenen können der Nutzung ihrer Daten zu diesem Zweck jederzeit widersprechen; etwa durch formlose Nachricht an den Verantwortlichen (Kontaktkanäle finden die Betroffenen am Anfang dieser Erklärung und im Impressum). Insbesondere können die Betroffenen widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Rechte-Management und ggf. externer Rechtsrat.
In aller Kürze: Wenn die Betroffenen gegenüber dem hiesigen Verantwortlichen Rechte geltend machen (z.B. Auskunftsersuchen), verarbeitet er die damit verbundenen Kommunikationsdaten, um im Interesse der Betroffenen hiermit umzugehen und um sich ggf. gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können.
Verarbeitung im Detail: Sofern die Betroffenen dem hiesigen Verantwortlichen gegenüber Ansprüche – gleich welcher Art – geltend machen, werden die Daten wie folgt verarbeitet:
- Der Verantwortliche nimmt das Anliegen entgegen und speichert alle damit verbundenen Daten.
- Der Verantwortliche nutzt diese Daten, um das Anliegen zu prüfen. Erforderlichenfalls nimmt er externen Rechtsrat in Anspruch.
- Sofern das Anliegen begründet ist, nutzt er die Daten, um dem Anliegen nachzukommen. Anderenfalls nutzt er die Daten, um die Betroffenen zu informieren.
- Der Verantwortliche bewahrt die Daten, die bei der Verarbeitung gemäß den Ziffern 1 bis 3 besteht, für drei Jahre auf, beginnend mit dem 31. Dezember des Kalenderjahres, in dem Schritt 3 stattgefunden hat.
Das berechtigte Interesse bei den Ziffern 1 bis 3 folgt aus dem Interesse der Betroffenen, dass die Ansprüche bearbeitet werden und aus dem Interesse des Verantwortlichen, Ansprüche und Sanktionen zu vermeiden. Das berechtigte Interesse bei Ziffer 4 folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse nach Ziffer 4 endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.
Daten, die verarbeitet werden: Name, Kontaktdaten und Kommunikationsinhalte.
Ergänzung zur Rechtsgrundlage: Die Verarbeitung nach den Ziffern 1 bis 3 ist ergänzend auch durch Artikel 6 Absatz 1 Satz 1 lit. C DSGVO gerechtfertigt, da der Verantwortliche verpflichtet ist, die Anliegen der Betroffenen zu prüfen.
Bewertungen.
In aller Kürze: Die Betroffenen haben die Möglichkeit, den hiesigen Verantwortlichen sowie dessen Produkte/Dienstleistungen online zu bewerten. Dafür verarbeitet der Verantwortliche und ein Bewertungsanbieter die erforderlichen Daten.
Verarbeitung und Drittanbieter im Detail: Die Betroffenen haben die Möglichkeit den hiesigen Verantwortlichen sowie dessen Produkte/Dienstleistungen, von dieser Internetseite ausgehend zu bewerten. Hierbei sind drei Verarbeitungsvorgänge zu unterscheiden:
a. Zunächst wird ein Bewertungs-Plugin auf dieser Internetseite dargestellt. Sobald die Betroffenen darauf klicken werden sowohl die Information, dass die Betroffenen sich auf dieser Internetseite befinden als auch, dass sie auf das Plugin geklickt haben an uns und einen externen Drittanbieter übermittelt, d.h. der Webserver speichert automatisch einige Zugriffsdaten (Server-Logfile, Ihre IP-Adresse, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider). Diese Zugriffsdaten werden nicht ausgewertet und kurze Zeit nach Ende Ihres Seitenbesuchs automatisch überschrieben.
b. Sobald die Betroffenen eine Bewertung abgeben, verarbeitet der Drittanbieter ihre Daten zwecks Darstellung der Bewertung und ggf. für weitere Zwecke, über die dieser Anbieter die Betroffenen aufklären muss.
c. Nachdem die Betroffenen eine Bewertung abgegeben haben übermittelt der Drittanbieter an den hiesigen Verantwortlichen den Name und – soweit von den Betroffenen bekannt gegeben – die E-Mail-Adresse sowie die Kunden-ID des Bestellvorgangs.
Der Zweck aller drei Verarbeitungsvorgänge besteht darin, dass der hiesige Verantwortliche den Betroffenen die freiwillige, für die Vertragsgestaltung unerhebliche Möglichkeit einräumt, ihn und seine Produkte/Dienstleistungen unabhängig von seiner Einflusssphäre zu bewerten. Im Fall von Verarbeitungsvorgang lit. b u. c kommt der Zweck hinzu, dass die Bewertung durch konkretes Vertragsverhältnis mit dem Verantwortlichen verifiziert werden soll.
Ergänzung zur Rechtsgrundlage: Die jeweils maßgebliche Rechtsgrundlage ist für Verarbeitungsvorgang (siehe vorheriger Absatz) lit.
a. Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigtes Interesse daraus folgt, dass der hiesige Verantwortliche den Betroffenen die freiwillige, für die Vertragsgestaltung unerhebliche Möglichkeit einräumt, ihn und seine Produkte/Dienstleistungen unabhängig von seiner Einflusssphäre zu bewerten,
b. diejenige Rechtsgrundlage, die der Anbieter des Bewertungstools den Betroffenen gegenüber benennt, denn er ist insoweit der Verantwortliche und nicht mehr wir,
c. diejenige Rechtsgrundlage, die der Anbieter des Bewertungstools den Betroffenen gegenüber benennt, denn er ist insoweit der Verantwortliche und nicht mehr wir.
Daten, die verarbeitet werden: Name, Bewertungsinhalte.
Drittanbieter: Es wird Tool „Proven Expert“ der Expert Systems AG (Deutschland – EU) eingesetzt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.provenexpert.com/de-de/produkttour/.
