Datenschutz

Startseite Datenschutzinformation
Entdecken Sie OUNUO, das Kontaktmanagement für alle Bedürfnisse

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

eGenius GmbH
Elbuferstraße 86a, 21436 Marschacht
info@egenius.de
+49 40 2263415-0

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten:
Rechtsanwalt David Heimburger
dh@davidheimburger.de
+49 40 22863648

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

  1. Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).
  2. Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
  3. Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).
  4. Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).
  5. Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).
  6. Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).
  7. Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Niedersächsischen Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.

Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie von 2002 (oft „Cookie-Richtlinie“ genannt). Die Vorschriften dieser Richtlinie gelten in Deutschland über das Telemediengesetz (TMG, insoweit gültig bis 30.11.2021), Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG, tritt zum 01.12.2021 in Kraft) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.

Cookies sind Textdateien, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern in erster Linie nach § 25 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). § 25 TTDSG unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen ohne Einwilligung gesetzt werden, nicht-essenzielle Cookies setzen immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z.B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt).

Sollten wir nicht-essenzielle Cookies für eine unserer Internetseiten setzen wollen, fragen wir Sie beim Aufruf der Seite nach Ihrem Einverständnis in das Setzen der nicht-essenziellen Cookies.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

  • Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.
  • Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.
  • Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).
  • Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
  • Ein Spezialfall: Google bietet ein Browser-Plug-In an, das das Setzen der verschiedenen Cookies von Google unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

5 Konkrete Datenverarbeitungen bei uns

5.1.1 Internet-Logfile

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet nicht statt. Im Falle von Angriffen auf unsere Seiten Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Transfer in Drittstaaten findet hierbei nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.

Speicherdauer: 7 Tage

5.1.2 Cookie-Verwaltung

Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung in Ihrem Browser-Cache nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits in einem Cookie auf Ihrem Gerät gespeichert, so dass wir Sie bei Ihrem nächsten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie den entsprechenden Cookie (borlabs-cookie, Speicherdauer 1 Jahr) über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.

Datenkategorien: Einwilligungsstatus (Ja/Nein je Cookie, für den wir Ihre Einwilligung benötigen)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Rechtskonformes Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht. Dieser Cookie darf auch nach der ePrivacy-Richtlinie ohne Ihre Einwilligung gesetzt werden, da die Cookie-Auswahl als eine essenzielle Funktion anzusehen ist.

Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies

5.2.1 OUNUO Demo-Konto

Beschreibung: Jeder kann OUNUO, unseren Cloud-Dienst für die Kontaktverwaltung, mit einem öffentlichen Demo-Konto kennenlernen. Wichtig dabei ist, dass alle Testpersonen über das selbe Test-Login auf die selben Daten zugreifen. Das Konto ist mit Daten gefüllt, die nicht von echten Personen oder Organisationen stammen. Jede Nacht werden die Daten im Demo-Konto gelöscht und erneut Testdaten im Konto gespeichert.

Speichern Testpersonen Daten in dem Demo-Konto, werden diese Daten für alle anderen Personen sichtbar, die vor der nächsten Kontolöschung auf dieses Konto zugreifen. Daher sind alle Testpersonen verpflichtet, hier nur mit erfundenen Daten zu experimentieren, die auf keine echte Person oder Organisation bezogen sind.

Da für die Testpersonen kein eigenes Konto erstellt wird, beschränkt sich die Datenverarbeitung auf die allgemeinen Weblog-Daten, die beim Aufruf einer Internetseite automatisch entstehen. Siehe die Verarbeitung „Internet-Logfile“.

Anders als unsere sonstigen Internetseiten wird die OUNUO Anwendung als verschlüsselte Datenbank im deutschen Rechenzentrum von Amazon Web Services („AWS“) betrieben. AWS hat durch die Verschlüsselung keinen Zugriff auf die Einträge in unserer Datenbank, sondern nur auf das Logfile der Zugriffe. Die AWS-Server erfassen einzig abstrakt als Logfile, von welchen IP-Adressen zu welchem Zeitpunkt auf unsere Datenbankanwendung zugegriffen wird.

Datenkategorien: Siehe die Verarbeitung „Internet-Logfile“

Datenempfänger (ggf. Drittstaatentransfer): Deutsches Rechenzentrum von Amazon Web Services EMEA SARL (“AWS”), 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg; AWS ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter überträgt, hat AWS mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Siehe die Verarbeitung „Internet-Logfile“

Speicherdauer: Siehe die Verarbeitung „Internet-Logfile“

5.2.2 OUNUO Benutzerkonto

Beschreibung: Für die OUNUO Kunden werden eigenständige Datenbankinstanzen angelegt, die wir unseren Kunden als Auftragsverarbeiter zur Verfügung stellen. Ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist Teil unserer Allgemeinen Geschäftsbedingungen (OUNUO AGB). Als Auftragsverarbeiter sind wir datenschutzrechtlich für die Daten innerhalb der Kundendatenbanken nur im Rahmen des Auftragsverarbeitungsvertrags verantwortlich. Das gilt identisch für kostenlose Test-Instanzen wie für kostenpflichtige Instanzen.

Die Benutzer einer OUNUO Instanz erhalten ihre OUNUO Konten von ihrem jeweiligen Administrator zur Verfügung gestellt. Unseren Kunden obliegt die Pflicht zur datenschutzrechtlichen Information ihrer OUNUO Benutzer.

Hilfsweise stellen wir hier Datenschutzinformationen zur Verfügung. Dies soll insbesondere den Verantwortlichen bei unseren Kunden, die zum Beispiel eine OUNUO Testinstanz einrichten lassen, einen Eindruck von den Datenverarbeitungen durch OUNUO vermitteln.

OUNUO ist eine browserbasierte Webanwendung. Dementsprechend ist zu unterscheiden zwischen dem externen Logfile, das allgemein durch den Aufruf der OUNUO Anwendung entsteht, und dem internen Logfile, das innerhalb der OUNUO Anwendung entsteht und das Speichern, Ändern oder Löschen von Kontaktdaten dokumentiert. So bleibt für die Benutzer nachvollziehbar, wer an einem Datensatz gearbeitet hat und wer diesen zuletzt geändert hat.

Auf das externe Logfile haben nur wir Zugriff und stellen diese Daten unseren Kunden nur zur Verfügung, wenn zum Beispiel im Falle eines Missbrauchs ein berechtigtes Interesse an der Auswertung des Logfiles geltend gemacht werden kann. Auf die Daten aus dem internen Logfile haben nur die Benutzer und Administratoren der jeweiligen OUNUO Instanz Zugriff. Wir unterstützen bei der Auswertung dieser Nutzungsdaten nur, wenn wir von unseren Kunden dazu aufgefordert werden.

Wir betreiben OUNUO als verschlüsselte Datenbank im deutschen Rechenzentrum von Amazon Web Service („AWS“). AWS hat durch die Verschlüsselung keinen Zugriff auf die Einträge in unserer Datenbank. Die AWS-Server erfassen einzig abstrakt als (externes) Logfile, von welchen IP-Adressen zu welchem Zeitpunkt auf unsere Datenbankanwendung zugegriffen wird.

Zu den Daten der in OUNUO gespeicherten Kontakte siehe beispielhaft unsere Verarbeitung „Kontaktverzeichnis und Visitenkarten“.

Datenkategorien: für das externe Logfile siehe die Verarbeitung „Internet-Logfile; im internen Logfile: Veränderungshistorie zu speichern, ändern oder löschen von Kontaktdaten in OUNUO.

Datenempfänger (ggf. Drittstaatentransfer): Die Daten innerhalb der OUNUO Cloud-Anwendung werden an keinen Dritten weitergegeben. Nur das Weblog für die Zugriffe auf die OUNUO Datenbank läuft über das Deutsche Rechenzentrum von Amazon Web Services EMEA SARL (“AWS”), 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg; AWS ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter überträgt, hat AWS mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Bereitstellung von OUNUO als Cloud-Dienst für die Kontaktverwaltung. Rechtsgrundlage ist Erfüllung des OUNUO Bereitstellungsvertrags.

Speicherdauer: Das externe Logfile wird nach 7 Tagen automatisch gelöscht. Die Daten aus dem internen Logfile bleiben bei dem jeweiligen Kontaktdatensatz erhalten, auf den sie bezogen sind. Entsprechend werden sie erst mit dem Löschen eines Kontakts aus dem System gelöscht.

5.2.3 OUNUO Rechnungsstellung

Beschreibung: Wir stellen unsere OUNUO Leistungen über einen Abrechnungsdienstleister für Abozahlungen in Rechnung. Sollten Sie als Selbstständiger oder Gesellschafter einer Personengesellschaft OUNUO-Kunde sein oder unser Ansprechpartner bei einem OUNUO Kunden sein, verarbeiten wir im Rahmen der Rechnungsstellung auch Personendaten von Ihnen.

Datenkategorien: Name, Organisation, Anschrift, E-Mail-Adresse, Leistungsbeschreibung (Buchungstext), Leistungszeitraum, Rechnungsbetrag, Rechnungsdatum.

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für Abozahlungen, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt.

Zweck + Rechtsgrundlage: Rechnungsstellung für wiederkehrende Forderungen (Abo). Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.

5.3.1 Newsletter-Anmeldung

Beschreibung: Sie können sich für unseren E-Mail-Newsletter anmelden. Dafür müssen Sie nur eine E-Mail-Adresse angeben. Weitere Angaben wie z.B. Ihr Name sind freiwillig und dienen dazu, dass wir den Versand der E-Mails mit einer direkten Anrede personalisieren können.

Wenn Sie sich für den Newsletter anmelden, erhalten Sie an die von Ihnen angegebene E-Mail-Adresse eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der gar keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-in für doppelte Einwilligung.

Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.

Sie können Ihre Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich.

Wir erfassen die Nutzung unseres Newsletters über sogenannte Zähl-Pixel und Kampagnen-URLs für die Internetlinks im Newsletter. Das Zählpixel ruft unseren Newsletter-Server auf, wenn Sie die E-Mail öffnen. Der Aufruf der Internetlinks im Newsletter wird über die Kampagnenzuordnung in unserer Webanalyse erfasst.

Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Ihr Name (freiwillig), Ihre Firma/Institution (freiwillig); Nutzungsdaten (Öffnen der E-Mail + Klicken auf Internetlinks)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters und Optimierung unserer Newsletter-Inhalte. Rechtsgrundlage ist Ihre Einwilligung.

Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Daten unmittelbar gelöscht.

5.4.1 E-Mail-Kommunikation

Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absender, Zeitpunkt des Versands etc.) werden auf den E-Mail-Servern unseres Hosting-Anbieters gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets). Gleiches gilt für E-Mails, die wir an Sie schicken.

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail. Naheliegend ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das E-Mail-Hosting, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt. Soweit Sie für Ihr Postfach einen Hosting-Dienstleister außerhalb des EWR nutzen oder unsere E-Mails von außerhalb des EWR abrufen, liegt das nicht in unserer Verantwortung.

Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; so verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre, aber aus anderen Dokumentationspflichten können sich auch längere Aufbewahrungszeiten ergeben.

5.4.2 Telefonate

Beschreibung: Für Telefonate nutzen wir Mobiltelefone und für unsere sogenannten Festnetznummern die Software Teams von Microsoft. Telefonieren wir miteinander, erfasst unsere cloudbasierte Telefonanlage in Verbindung mit unseren Softphones bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs.

Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Tonaufzeichnungen von Gesprächen finden nur im Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Für Teams ist unser Vertragspartner Microsoft Ireland Operations Ltd. in Irland und das Hosting erfolgt über EU-Rechenzentren. Microsoft Ireland ist jedoch die EU-Tochter eines US-Unternehmens, das unter den US CLOUD Act fällt, der US-Nachrichtendiensten unter bestimmten Umständen auch Zugriff auf die Daten im EU-Rechenzentrum gestattet. Wenn Sie dieses Risiko ausschließen wollen, sollten Sie mit uns nur über unsere Mobilnummern telefonieren.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter für die Mobiltelefonie, die unter das Fernmeldegeheimnis fallen. Für die Teams-Telefonie Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, hat Microsoft mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.

5.4.3 Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.

5.4.4 Videokonferenz

Beschreibung: Nehmen Sie an einer Videokonferenz mit uns teil, zu der wir (technisch) eingeladen haben, liegt die Verantwortung für die Datenverarbeitung durch diese Kommunikation bei uns. Wir nutzen für Videokonferenzen Microsoft Teams. Wenn wir zu einer Konferenz einladen, verschicken wir mit dem Termin eine auf die konkrete Konferenz bezogene Teams-URL.

Sie können an einer Teams-Videokonferenz teilnehmen über die Teams-App für Mobilgeräte oder Desktop/Laptop oder über Ihren Internetbrowser.

Eine Teilnahme als Gast ist möglich, so dass Sie kein eigenes Microsoft-Benutzerkonto benötigen. Sie werden bei der Einwahl in die Konferenz gebeten, sich einen Teilnehmernamen für die Konferenz zu geben, um z.B. Wortmeldungen im Chat während der Konferenz Ihrer Person zuordnen zu können. Hier können Sie auch Fantasienamen verwenden.

Teams fragt nach Ihrem Einverständnis, auf Ihr Mikrofon und Ihre Kamera zuzugreifen. Jede dieser Berechtigungen können Sie erteilen, müssen Sie aber nicht, wenn Sie z.B. einer Konferenz ohne aktive Teilnahme folgen wollen.

Teams bietet Ihnen neben Audio und Video ergänzende Funktionen: ein begleitender Chat für den Austausch in Textform, Wortmeldungen über Symbolicons, Profilpflege (Profilbild, weitere Kontaktdaten), künstliches Hintergrundbild. Konferenzen können aufgezeichnet werden. Soll eine Konferenz aufgenommen werden, informieren wir zuvor alle Teilnehmenden darüber und starten die Aufnahme erst, wenn alle Teilnehmenden ihr Einverständnis mit der Aufzeichnung erklärt haben. Audioaufzeichnungen können von Microsoft für uns in eine Textdatei transkribiert werden.

Soweit keine ausdrücklich vereinbarte Aufzeichnung stattfindet, wird die Konferenz von uns in keiner Weise gespeichert. Nach Beendigung der Konferenz kann auf die Inhalte einer nicht aufgezeichneten Konferenz nicht mehr zugegriffen werden. Das entspricht insoweit Telefongesprächen, die nicht aufgezeichnet wurden.

Jedem Teilnehmer ist es technisch möglich, mit Mitteln außerhalb von Teams Screenshots oder eine Aufzeichnung der Konferenz im Ganzen oder in Teilen herzustellen. Ein solches Verhalten ohne entsprechende Abstimmung mit allen Teilnehmenden stellt einen Datenschutzverstoß der handelnden Person dar und liegt, wenn es sich dabei nicht um einen unserer Beschäftigten handelt, außerhalb unserer Verantwortung. Heimliche Aufzeichnungen des gesprochenen Worts können eine Straftat nach § 201 StGB darstellen. Wir behalten uns rechtliche Schritte jeder Art gegenüber Personen vor, die ihre Teilnahme an einer Videokonferenz zu datenschutzfeindlichem Verhalten nutzen.

Als Gastgeber (Moderator) der Konferenz verfügen wir über die technischen Möglichkeiten, Sie ohne Ihr Mitwirken stumm bzw. bildlos/schwarz zu schalten, Ihren Benutzernamen zu ändern und andere Moderatorenfunktionen auszuüben. Solche Möglichkeiten nutzen wir nur, wenn eine Notwendigkeit dafür besteht.

Soweit es um Datenverarbeitungen geht, die nicht im unmittelbaren Zusammenhang mit der konkreten Konferenz stehen, liegt die Verantwortung nicht bei uns sondern direkt bei Microsoft. Das gilt z.B. für den Download der Teams-App. Indem Sie die Teams-App auf Ihr Endgerät laden, begründen Sie insoweit eine eigenständige Rechtsbeziehung zwischen sich und Microsoft. Teilweise liegt Verantwortung auch bei Ihnen bzw. der Organisation, die Ihnen Ihr persönliches Teams-Benutzerkonto zur Verfügung stellt.

Der Datentransfer zwischen Ihrem Endgerät und dem Teams-Server setzt voraus, dass Microsoft die IP-Adresse zur Kenntnis nimmt, über die Sie während der Videokonferenz online sind. Die Server erfassen darüber hinaus alle Arten von Daten, die bei der Nutzung von Telemediendiensten regelmäßig anfallen.

Informationen zum Datenschutz bei Microsoft finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement

Datenkategorien: Benutzername, Teilnahmezeiten, Video- bzw. Audiosignal, Video- bzw. Audioaufzeichnung (nur mit Einwilligung), Audiotranskript (nur nach Aufzeichnung), Aktionen im Chat, Status Wortmeldung, Profildaten (Profilbild, Kontaktdaten, Hintergrundbild), Telefonnummer (bei Teilnahme per Telefon); weitere Datenkategorien wie IP-Adresse oder E-Mail-Adresse werden von Microsoft in eigener Verantwortung verarbeitet.

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, hat Microsoft mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Nutzung einer Videokonferenz. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Für Aufzeichnungen ist Einwilligung die Rechtsgrundlage.

Speicherdauer: Soweit keine Aufzeichnung stattfindet, werden alle Daten mit Abschluss der Konferenz gelöscht. Wurde die Konferenz aufgezeichnet, wird die Aufzeichnung gelöscht sobald der letzte Zweck erreicht wurde, zu dem die Aufzeichnung erstellt wurde.

5.4.5 Kollaboration – digitale Zusammenarbeit

Beschreibung: Für das digitale Zusammenarbeiten – Kollaboration genannt –nutzen wir Microsoft Teams. Hier können Kanäle für einzelne Gruppen oder Projekte eingerichtet werden. In diesen Kanälen kann ein Austausch in Textform stattfinden, es können Dateien gespeichert und mit den Microsoft Office-Apps gemeinsam bearbeitet bzw. kommentiert und mit Notizen versehen werden. Die Grundfunktionen von Teams können über sogenannte Widgets umfangreich erweitert werden, z.B. um eine gemeinsame Aufgabenplanung und -zuweisung.

Für die Zusammenarbeit über Teams muss die Teams-App für Mobilgeräte oder Desktop/Laptop auf Ihrem Endgerät installiert sein. Für den Download der Teams-App liegt die Verantwortung nicht bei uns sondern direkt bei Microsoft. Indem Sie die Teams-App auf Ihr Endgerät laden, begründen Sie insoweit eine eigenständige Rechtsbeziehung zwischen sich und Microsoft.

Ein Microsoft 365-Konto ist für die Nutzung von Teams nicht erforderlich; eine Nutzung als nicht bei Microsoft registrierter Gast ist möglich. Soweit Sie über ein Microsoft 365-Konto verfügen, liegt die Verantwortung hierfür bei Ihnen bzw. der Organisation, die Ihnen das Konto zur Verfügung stellt. Über Ihr 365-Konto können Sie Ihr Profil pflegen (Profilbild, weitere Kontaktdaten).

Der Datentransfer zwischen Ihrem Endgerät und dem Teams-Server setzt voraus, dass Microsoft die IP-Adresse zur Kenntnis nimmt, über die Sie auf Teams-Inhalte zugreifen. Die Server erfassen darüber hinaus alle Arten von Daten, die bei der Nutzung von Telemediendiensten regelmäßig anfallen.
Informationen zum Datenschutz bei Microsoft finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement

Datenkategorien: Benutzername, Veröffentlichungen in Teams-Kanälen, Speichern und Bearbeiten von in Teams gespeicherten Dateien, Profildaten (Profilbild, Kontaktdaten); weitere Datenkategorien wie IP-Adresse oder E-Mail-Adresse werden von Microsoft in eigener Verantwortung verarbeitet.

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, hat Microsoft mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Nutzung einer Kollaborationssoftware zur digitalen Zusammenarbeit. Rechtsgrundlage ist je nach Inhalt der Zusammenarbeit Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Einzelne Kanäle in Teams ebenso wie dort gespeicherte Dateien werden gelöscht, sobald der letzte Zweck erreicht wurde, zu dem sie angelegt bzw. gespeichert wurden. Wird Ihr Office 365-Konto gelöscht, ändern sich die Namenseinträge bei Veröffentlichungen oder Dateimetadaten in Teams zu „unbekannt“.

5.4.6 Kontaktverzeichnis + Visitenkarten

Beschreibung: Wenn wir mit Ihnen in Zukunft wahrscheinlich erneut in Kontakt stehen, speichern wir Ihre Kontaktdaten in unserem Kontaktverzeichnis, um Sie bei Anrufen und E-Mails als bekannten Kontakt wiedererkennen zu können bzw. den Kontakt zu Ihnen fortführen können. Übergeben Sie uns Ihre Visitenkarte, übernehmen wir Ihre Daten in unser Kontaktverzeichnis.

Wir pflegen unsere Kontakte in OUNUO, der Kontaktverwaltung, die wir selbst entwickelt haben und selbst betreiben. Aus OUNUO heraus steuern wir teilweise die Kommunikation mit Ihnen, insbesondere wenn wir Sie als Teil einer Gruppe bzw. eines Teams anschreiben.

Über eine entsprechende Schnittstelle können wir über Outlook auf die in OUNUO gespeicherten Kontakte zugreifen. Dabei erfolgt keine Übertragung Ihrer Daten an Microsoft.

Innerhalb von OUNUO werden die Daten verschlüsselt gespeichert, so dass auch unser Hosting-Anbieter für die Datenbankanwendung keinen Zugriff auf deren Inhalte hat.

Datenkategorien: Name, Organisation, Position, Zuständigkeitsbereich, Kontaktdaten (E-Mail-Adresse, Telefonnummer, Adresse, Social Media-Profile), Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen, Vertragsunterlagen, Kommunikationshistorie und Kommunikationsinhalte, Aktivitätenhistorie; mit Einwilligung Geburtsdatum

Datenempfänger (ggf. Drittstaatentransfer): kein Datentransfer

Zweck + Rechtsgrundlage: Pflege von Kontakten und Nutzung einer Kontaktverwaltung, die uns eine umfassende Betreuung unserer Kunden von der Kontaktaufnahme bis zur Abrechnung ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, das sich aus den Details unseres Kennenlernens ergibt. Für die Nutzung von OUNUO besteht ein berechtigtes Interesse, da OUNUO Kommunikation erleichtert und die Verarbeitung in OUNUO nicht mit einer Einschränkung Ihrer Rechte einhergeht.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben. Bei Geschäftspartnern speichern wir den Kontakt im Regelfall bis sechs Jahre nach Abschluss des letzten Kontakts. Hiermit orientieren wir uns an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht. Sollten Gründe dafür vorliegen, dass wir auch nach einer sechsjährigen Pause noch auf Ihren Kontakt zugreifen können sollten, verlängert sich die Speicherzeit entsprechend diesen Gründen.

5.5.1 Kundendatenbank

Beschreibung: Wir pflegen unsere Kontakte in OUNUO, der Kontaktverwaltung, die wir selbst entwickelt haben und selbst betreiben. In OUNUO speichern wir Ihre Vertrags- und Rechnungsdaten sowie die Historie Ihrer Kundenbeziehung mit uns. Aus OUNUO heraus steuern wir teilweise die Kommunikation mit Ihnen, insbesondere wenn wir Sie als Teil einer Gruppe bzw. eines Teams anschreiben.

Über eine entsprechende Schnittstelle können wir über Outlook auf die in OUNUO gespeicherten Kontakte zugreifen. Dabei erfolgt keine Übertragung Ihrer Daten an Microsoft.

Wir betreiben OUNUO als verschlüsselte Datenbank im deutschen Rechenzentrum von Amazon Web Service („AWS“). AWS hat durch die Verschlüsselung keinen Zugriff auf die Einträge in unserer Datenbank.

Datenkategorien: Name, Organisation + Position, Kontaktdaten (E-Mail-Adresse, Telefonnummer, Adresse, Social Media-Profile), Vertragsunterlagen, Kommunikationshistorie und Kommunikationsinhalte, Aktivitätenhistorie; mit Einwilligung Geburtsdatum

Datenempfänger (ggf. Drittstaatentransfer): kein Datentransfer

Zweck + Rechtsgrundlage: Nutzung einer Kontaktverwaltung, die uns eine umfassende Betreuung unserer Kunden von der Kontaktaufnahme bis zur Abrechnung ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, da die Nutzung von OUNUO das Serviceniveau steigert und Kosten senkt.

Speicherdauer: Wir speichern Ihren Kontakt im Regelfall bis zu sechs Jahre nach Abschluss des letzten Kontakts. Hiermit orientieren wir uns an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht. Sollten Gründe dafür vorliegen, dass wir auch nach einer sechsjährigen Pause noch auf Ihren Kontakt zugreifen können sollten, verlängert sich die Speicherzeit entsprechend diesen Gründen.

5.5.2 Rechnungsstellung

Beschreibung: Soweit unsere Kunden selbstständig sind oder Teil einer Personengesellschaft, verarbeiten wir personenbezogene Daten von Ihnen, wenn wir Ihnen unsere Rechnungen schicken. Wir erstellen unsere Rechnungen, abgesehen von den fortlaufenden Rechnungen für OUNUO Lizenzen, intern und speichern sie in unserer Buchhaltung.

Datenkategorien: Name, Anschrift, Datum, Kunden- und Rechnungsnummer, Rechnungsbetrag und Rechnungsinhalt

Datenempfänger (ggf. Drittstaatentransfer): Unser Steuerberater als Dienstleister für die Finanzbuchhaltung, der als Berufsgeheimnisträger durch Gesetz auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Zahlungsabwicklung. Rechtsgrundlage ist für uns Vertragserfüllung und erfolgt durch unsere Hausbank im Rahmen eines berechtigten Interesses, da es sich um einen Dienstleister unter der Kontrolle der Bankenaufsicht handelt.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.

5.5.3 Warenversand

Beschreibung: Wir verschicken bestellte Waren (z.B. Hardware für Ihre Geschäftsräume) per Post, Kurierdienst, Spedition oder ein vergleichbares Logistikunternehmen. Die Einhaltung des Datenschutzes durch diese Dienstleister ist im Postgesetz ergänzend zur DSGVO geregelt und wird vom Bundesdatenschutzbeauftragten überwacht.

Datenkategorien: Name + Anschrift

Datenempfänger (ggf. Drittstaatentransfer): Logistikunternehmen, die dem Postgeheimnis unterfallen. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Zustellung bestellter Ware. Rechtsgrundlage für die Übergabe der Postadresse ist Vertragserfüllung.

Speicherdauer: Die Dokumentation des Versandvorgangs ist nach den Vorgaben des Handelsrechts als Geschäftsbrief sechs Jahre zu speichern.

Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.

Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen zur „Kommunikation mit uns“ (siehe dort).

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus

5.7.1    Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen. Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

5.7.2    Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

5.8.1    Besucher-WLAN

Beschreibung: Wir stellen Besuchern den Zugang zu unserem WLAN-Netzwerk und damit dem Internet zur Verfügung. Bei der dafür erforderlichen Anmeldung am Access Point für das WLAN-Netzwerk wird die eindeutige Kennung Ihres Geräts sowie die Nutzungszeiten erfasst.

Bei allen Diensten, die Sie während der Nutzung unseres Netzwerks im Internet aufrufen, wird die IP-Adresse unseres Netzwerks protokolliert. Soweit es zu Ermittlungen wegen Aktivitäten kommt, die von unserer IP-Adresse ausgegangen sind, sind wir teilweise verpflichtet die Nutzungsdokumentation im sogenannten Logfile unserer Access Points zur Verfügung zu stellen.

Datenkategorien: MAC-Adresse des Geräts, Nutzungszeiten

Datenempfänger (ggf. Drittstaatentransfer): Im Normalfall keine Empfänger; bei Ermittlungen zuständige Behörden und unter Umständen private Inhaber eines Auskunftsanspruchs oder von uns beauftragte Forensiker

Zweck + Rechtsgrundlage: Logfiles wie dieses dienen dazu, die IT-Sicherheit in unserem Unternehmen zu ermöglichen und zu stärken. Die Rechtsgrundlage ist ein berechtigtes Interesse, da wir auf das WiFi-Logfile nur zugreifen, wenn eine Sicherheitsanalyse erforderlich ist. Eine Zuordnung der WiFi-Daten zu konkreten Geräten und damit deren Besitzern ist uns nur mit erheblichem Aufwand und regelmäßig nur unter Zuhilfenahme polizeilicher Ermittlungen möglich.

Speicherdauer: Unser WLAN-Logfile wird regelmäßig gelöscht, spätestens einmal jährlich.

5.8.2    Videoüberwachung

Beschreibung: Der Zugang zu unserem Serverraum innerhalb unserer Geschäftsräume ist videoüberwacht, wenn keine Beschäftigten in den Räumen anwesend sind. Entsprechende Hinweisschilder sind montiert und informieren über den Einsatz der Kameras, bevor Sie ins Blickfeld der Objektive treten.

Die Kameras zeichnen das Geschehen innerhalb ihres Blickfelds nur außerhalb unserer Geschäftszeiten auf.

Datenkategorien: Videoaufzeichnungen

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Die Videoüberwachung dient der Abwehr und Verfolgung von Angriffen gegen unseren Serverraum als – auch im Interesse unserer Kunden und unserer Geschäftsfähigkeit – besonders schützenswertes Objekt. Das berechtigte Interesse an der Videoüberwachung ergibt sich aus der besonderen Gefahrensituation bzw. den besonderen Sicherheitsanforderungen für unsere Organisation.

Speicherdauer: Die Aufzeichnungen der Videoüberwachung werden nach 72 Stunden automatisch von unseren Servern gelöscht, wenn es nicht zu einem Vorfall gekommen ist, dessen Umstände über die Aufzeichnung zu ermitteln bzw. zu belegen sind.

5.8.3    Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang. Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z.B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Steuerberater als Dienstleister für die Finanzbuchhaltung, der als Berufsgeheimnisträger durch Gesetz auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf.

5.8.4    Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf.

5.8.5    Dateispeicherung (Metadaten)

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsofts Office 365 als Cloud-Lösung für die Dateispeicherung (in Teams, Sharepoint bzw. OneDrive). Für die effiziente Nutzung unserer Daten haben wir die Funktion Office Delve aktiviert, die ihrerseits auf Microsoft Graph bzw. Office Graph zugreift. Graph wertet die Metadaten aller Dateien aus, um deren Wiederauffindbarkeit zu verbessern.

Umfassende Informationen über die Verwendung der von Microsoft erfassten Daten finden Sie in den Datenschutzinformationen von Microsoft (https://privacy.microsoft.com/de-de/privacystatement).

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, hat Microsoft mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

5.8.6    Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert. Die Qualitätsstufe des eingesetzten Schredders entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von uns durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

5.8.7    Rechtsverfolgung

Beschreibung: Für den Fall, dass wir in eine rechtliche Auseinandersetzung mit Ihnen geraten, geben wir Daten zu Ihrer Person und den Umständen der Auseinandersetzung an Rechtsanwälte und ggf. an Gerichte weiter.

Datenkategorien: Name, Kontaktdaten, Angaben zum Streitgegenstand

Datenempfänger (ggf. Drittstaatentransfer): Rechtsanwälte, Gerichte, Gerichtsvollzieher. Alle Empfänger sind als staatliche Einrichtung oder als Berufsgeheimnisträger auf die Vertraulichkeit verpflichtet. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Rechtsverfolgung. Rechtsgrundlage ist das berechtigte Interesse daran, bei Bedarf Rechtsbeistand bei Anwälten und ggf. Gerichten zu suchen.

Speicherdauer: Die genannten Empfänger Ihrer Daten verarbeiten die nach ihren eigenen Vorgaben in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Beschäftigten denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

5.8.8    Datenschutzmanagement

Beschreibung: Machen Sie uns gegenüber Ihre Rechte aus dem Datenschutz geltend, dokumentieren wir die damit einhergehende Kommunikation und Prozesse in unserer Datenschutzmanagementanwendung.

Datenkategorien: Name, Kontaktdaten, Angaben zum Datenschutzbegehren

Datenempfänger (ggf. Drittstaatentransfer): Unser Datenschutzbeauftragter, der gesetzlich auf die Vertraulichkeit verpflichtet ist, sitzt im EWR. Unser Dienstleister für die Cloud-Anwendung für das Datenschutzmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Datenschutzmanagement. Rechtsgrundlage ist die gesetzliche Rechenschaftspflicht aus der DSGVO.

Speicherdauer: Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Beschäftigten denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.