Verzeichnis von Verarbeitungstätigkeiten
Verzeichnis von Verarbeitungstätigkeiten
Das vorliegende Verzeichnis von Verarbeitungstätigkeiten bietet entsprechend Artikel 30 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) eine Auflistung der Prozesse, bei denen personenbezogene Daten durch den Verantwortlichen verarbeitet werden, sowie der technischen und organisatorischen Maßnahmen gemäß Artikel 35 DSGVO.
Verantwortlicher:
glasschutz24.de | Brettinger & Peters GbR
Heinrichstraße 40
51373 Leverkusen
Stand: 6. Juni 2025
Inhaltsverzeichnis
| I. | Angaben zum Verantwortlichen | ||||
| II. | Allgemeine Verfahrensregeln und Hinweise | ||||
| 1. | Präambel | ||||
| 2. | Maßgebliche Rechtsgrundlagen | ||||
|
|||||
|
|||||
| 3. | Übermittlung von personenbezogenen Daten | ||||
|
|||||
| 4. | Internationale Datentransfers | ||||
|
|||||
| 5. | Allgemeine Informationen zur Datenspeicherung und Löschung | ||||
|
|||||
|
|||||
| 6. | Änderung und Aktualisierung | ||||
| 7. | Rechte der betroffenen Personen | ||||
|
|||||
| III. | Übersicht der Verarbeitungstätigkeiten | ||||
| 1. | Geschäftliche Leistungen | ||||
|
|||||
|
|||||
|
|||||
|
|||||
| 2. | Geschäftsprozesse und -verfahren | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 3. | Im Rahmen der Geschäftstätigkeit eingesetzte Anbieter und Services | ||||
|
|||||
|
|||||
| 4. | Zahlungsverfahren | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 5. | Bereitstellung des Onlineangebots und Webhosting | ||||
|
|||||
|
|||||
|
|||||
| 6. | Einsatz von Cookies | ||||
|
|||||
| 7. | Registrierung, Anmeldung und Nutzerkonto | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 8. | Blogs und Publikationsmedien | ||||
|
|||||
| 9. | Kontakt- und Anfrageverwaltung | ||||
|
|||||
| 10. | Kommunikation via Messenger | ||||
|
|||||
| 11. | Künstliche Intelligenz (KI) | ||||
|
|||||
|
|||||
| 12. | Zwecke der Nutzung von KI | ||||
|
|||||
|
|||||
| 13. | Onlinemarketing | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 14. | Kundenrezensionen und Bewertungsverfahren | ||||
|
|||||
|
|||||
| 15. | Präsenzen in sozialen Netzwerken (Social Media) | ||||
|
|||||
|
|||||
|
|||||
|
|||||
| 16. | Plug-ins und eingebettete Funktionen sowie Inhalte | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| IV. | Anhang: Technisch-organisatorische Maßnahmen (TOMs) | ||||
| 1. | Organisatorische Maßnahmen | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 2. | Datenschutz auf Mitarbeiterebene | ||||
|
|||||
|
|||||
|
|||||
|
|||||
| 3. | Zutrittskontrolle | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 4. | Zugangskontrolle | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 5. | Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten) | ||||
|
|||||
|
|||||
|
|||||
|
|||||
| 6. | Weitergabekontrolle | ||||
|
|||||
|
|||||
|
|||||
| 7. | Auftragskontrolle, Zweckbindung und Trennungskontrolle | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
| 8. | Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen | ||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
|
I. Angaben zum Verantwortlichen
| VERANTWORTLICHER ___________________ |
||
| Name und Adresse: | glasschutz24.de | Brettinger & Peters GbR Heinrichstraße 40 51373 Leverkusen |
|
| URL des Impressums: | glasschutz24.de/impressum | |
| E-Mail-Adresse: | info@glasschutz24.de | |
| Vertretungsberechtigte Personen: | Vertretungsberechtigte Personen: Julius Brettinger und Tim Peters |
II. Allgemeine Verfahrensregeln und Hinweise
| 1. | Präambel ___________________ |
|
| Das Verzeichnis von Verarbeitungstätigkeiten umfasst eine Sammlung von allgemeinen Angaben, die für sämtliche nachfolgend beschriebenen Verarbeitungsverfahren relevant sind, sowie spezifische Details zu einzelnen Verarbeitungsprozessen, in deren Rahmen personenbezogene Daten (nachfolgend auch kurz als „Daten“ bezeichnet) verarbeitet werden. Diese Struktur dient dazu, sowohl die Übersichtlichkeit zu wahren als auch eine präzise Information bereitzustellen. Die allgemeinen Angaben erläutern grundlegende Prinzipien und Richtlinien, die auf alle Verarbeitungsaktivitäten zutreffen, wie die Einhaltung von Datenschutzgrundsätzen, die Rechtsgrundlagen der Datenverarbeitung, und den Umgang mit den Rechten der betroffenen Personen. Im spezifischen Teil des Verzeichnisses werden detaillierte Informationen zu den einzelnen Verarbeitungsprozessen aufgeführt, darunter der Zweck der Datenverarbeitung, die betroffenen Datenkategorien, die Empfänger der Daten sowie gegebenenfalls die Übermittlung von Daten in Drittländer. Dieses Verzeichnis dient als zentrales Dokument, um die Transparenz und Nachvollziehbarkeit der Datenverarbeitung zu gewährleisten und ist ein wesentliches Element zur Erfüllung der Dokumentationspflichten unter der Datenschutz-Grundverordnung (DSGVO). |
| 2. | Maßgebliche Rechtsgrundlagen ___________________ |
|
| 2.1. | Maßgebliche Rechtsgrundlagen nach der DSGVO | |
| Beschreibung: | Die Verarbeitung personenbezogener Daten erfolgt gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Dies schließt die Einhaltung der in Artikel 5 DSGVO festgelegten Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit mit ein. Primär stützt sich die Datenverarbeitung auf die in Artikel 6 DSGVO definierten Bedingungen für die Rechtmäßigkeit der Verarbeitung oder auf spezifischere Erlaubnisnormen. Zusätzlich werden, falls notwendig, nationale Datenschutzregelungen des Wohn- oder Sitzlandes der betroffenen Personen beachtet. Speziellere Rechtsgrundlagen, die in bestimmten Fällen anwendbar sind, werden explizit in diesem Verzeichnis aufgeführt. | |
| 2.2. | Nationale Datenschutzregelungen in Deutschland | |
| Beschreibung: | Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen. |
| 3. | Übermittlung von personenbezogenen Daten ___________________ |
|
| Beschreibung: | Im Rahmen der Verarbeitung personenbezogener Daten durch den Verantwortlichen kann es erforderlich sein, diese Daten an andere Stellen wie Unternehmen, rechtlich unabhängige Organisationseinheiten oder Personen zu übermitteln oder sie diesen offenzulegen. Zu den Empfängern dieser Daten zählen häufig Dienstleister, die IT-Aufgaben übernehmen, oder Anbieter von Diensten und Inhalten, die in Websites integriert sind. Der Verantwortliche achtet dabei stets auf die Einhaltung der gesetzlichen Datenschutzvorschriften und stellt durch den Abschluss entsprechender Verträge oder Vereinbarungen sicher, dass der Datenschutz bei den Empfängern gewährleistet wird. | |
| 3.1. | Datenübermittlung innerhalb der Organisation | |
| Beschreibung: | Der Verantwortliche kann personenbezogene Daten an andere Abteilungen oder Einheiten innerhalb der Organisation übermitteln oder ihnen den Zugriff darauf gewähren. Sofern die Datenweitergabe zu administrativen Zwecken erfolgt, beruht sie auf den berechtigten unternehmerischen und betriebswirtschaftlichen Interessen des Verantwortlichen oder erfolgt, sofern sie zur Erfüllung der vertragsbezogenen Verpflichtungen des Verantwortlichen erforderlich ist beziehungsweise wenn eine Einwilligung der betroffenen Personen oder eine gesetzliche Erlaubnis vorliegt. |
| 4. | Internationale Datentransfers ___________________ |
|
| 4.1. | Datenverarbeitung in Drittländern | |
| Beschreibung: | Sofern der Verantwortliche Daten in ein Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermittelt oder dies im Rahmen der Nutzung von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen geschieht (was erkennbar wird anhand der Postadresse des jeweiligen Anbieters oder wenn im Verzeichnis von Verarbeitungstätigkeiten ausdrücklich auf den Datentransfer in Drittländer hingewiesen wird), erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.
Für Datenübermittlungen in die USA stützt sich der Verantwortliche vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich hat der Verantwortliche mit den jeweiligen Anbietern Standardvertragsklauseln abgeschlossen, die den Vorgaben der EU-Kommission entsprechen und vertragliche Verpflichtungen zum Schutz personenbezogener Daten festlegen. Diese zweifache Absicherung gewährleistet einen umfassenden Schutz personenbezogener Daten: Das DPF bildet die primäre Schutzebene, während die Standardvertragsklauseln als zusätzliche Sicherheit dienen. Sollten sich Änderungen im Rahmen des DPF ergeben, greifen die Standardvertragsklauseln als zuverlässige Rückfalloption ein. So stellt der Verantwortliche sicher, dass personenbezogene Daten auch bei etwaigen politischen oder rechtlichen Veränderungen stets angemessen geschützt bleiben. Bei den einzelnen Diensteanbietern informiert der Verantwortliche betroffene Personen darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen können betroffene Personen auf der Website des US-Handelsministeriums unter https://www.dataprivacyframework.gov/ (in englischer Sprache) finden. Für Datenübermittlungen in andere Drittländer gelten entsprechende Sicherheitsmaßnahmen, insbesondere Standardvertragsklauseln, ausdrückliche Einwilligungen oder gesetzlich erforderliche Übermittlungen. Informationen zu Drittlandtransfers und geltenden Angemessenheitsbeschlüssen können dem Informationsangebot der EU-Kommission entnommen werden: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en?prefLang=de. |
| 5. | Allgemeine Informationen zur Datenspeicherung und Löschung ___________________ |
|
| Beschreibung: | Personenbezogene Daten, die vom Verantwortlichen verarbeitet werden, werden gemäß den gesetzlichen Bestimmungen gelöscht, sobald die zugrundeliegenden Einwilligungen widerrufen oder keine weiteren rechtlichen Grundlagen für die Verarbeitung vorhanden sind. Dies gilt für Fälle, in denen der ursprüngliche Verarbeitungszweck entfallen ist oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung gelten, wenn gesetzliche Verpflichtungen oder besondere Interessen des Verantwortlichen eine längere Aufbewahrung oder Archivierung der Daten erforderlich machen.
Insbesondere sind Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Aufbewahrung zur Rechtsverfolgung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen notwendig ist, entsprechend zu archivieren. Die Datenschutzhinweise des Verantwortlichen enthalten zusätzliche Informationen zur Aufbewahrung und Löschung von Daten, die speziell für bestimmte Verarbeitungsprozesse relevant sind. Bei Vorliegen mehrerer Angaben zur Aufbewahrungsdauer oder Löschungsfristen eines Datums ist stets die längste Frist maßgeblich. Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, so beginnt sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Daten, die nicht mehr für den ursprünglich vorgesehenen Zweck verarbeitet werden können, aber aufgrund gesetzlicher Vorgaben oder aus anderen Gründen aufbewahrt werden müssen, verarbeitet der Verantwortliche ausschließlich zu den Gründen, die ihre Aufbewahrung rechtfertigen. |
|
| Verantwortlich für Löschverfahren: | Löschung aller Daten: Julius Brettinger, Tim Peters | |
| 5.1. | Aufbewahrung und Löschung von Daten | |
| Beschreibung: | Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:
|
|
| 5.2. | Überprüfung und Einhaltung der Löschfristen | |
| Beschreibung: | Die Einhaltung der gesetzlichen und internen Vorgaben bezüglich der Löschung personenbezogener Daten wird regelmäßig geprüft. Es wird sichergestellt, dass alle personenbezogenen Daten, die nicht mehr benötigt werden oder deren Speicherfrist abgelaufen ist, gemäß den relevanten Datenschutzvorschriften gelöscht werden oder, im Fall von Archivierungs- und Aufbewahrungspflichten, die Verarbeitung auf diese Zwecke eingeschränkt wird. Diese Prüfungen der Löschvorgaben und der Einhaltung der festgelegten Löschfristen finden regelmäßig, mindestens jedoch einmal jährlich, statt. Die Ergebnisse der Prüfung werden von der für die Löschungsprüfung zuständigen Person(en) dokumentiert und bewertet. Bei Feststellung von Abweichungen werden umgehend Korrekturmaßnahmen eingeleitet und die Effektivität dieser Maßnahmen in nachfolgenden Überprüfungen evaluiert, um eine fortlaufende Compliance sicherzustellen. |
| 6. | Änderung und Aktualisierung ___________________ |
|
| Beschreibung: | Das Verzeichnis von Verarbeitungstätigkeiten wird angepasst, sobald Änderungen in den Verarbeitungsprozessen dies erforderlich machen, oder wenn gesetzliche Bestimmungen oder andere zwingende Gründe eine Anpassung notwendig erscheinen lassen. Unabhängig von solchen Ereignissen findet eine regelmäßige Überprüfung des Verzeichnisses mindestens einmal jährlich statt, um sicherzustellen, dass das Verzeichnis stets den aktuellen Verarbeitungsaktivitäten und den rechtlichen Anforderungen entspricht. |
| 7. | Rechte der betroffenen Personen ___________________ |
|
| 7.1. | Rechte der betroffenen Personen aus der DSGVO | |
| Beschreibung: | Betroffene Personen werden umfassend über ihre Rechte entsprechend der DSGVO informiert. Diese Informationen werden in einer öffentlichen Datenschutzerklärung oder im Einzelfall präzise, transparent, verständlich und leicht zugänglich bereitgestellt. Die Kommunikation erfolgt in klarer und einfacher Sprache. Die wesentlichen Rechte umfassen: a) das Widerspruchsrecht, b) das Widerrufsrecht bei Einwilligungen, c) das Auskunftsrecht, d) das Recht auf Berichtigung, e) das Recht auf Löschung und Einschränkung der Verarbeitung, f) das Recht auf Datenübertragbarkeit und g) das Recht auf Beschwerde bei einer Aufsichtsbehörde. |
III. Übersicht der Verarbeitungstätigkeiten
| 1. | Geschäftliche Leistungen ___________________ |
|
| Beschreibung: | Daten von Vertrags- und Geschäftspartnern, wie Kunden und Interessenten (zusammenfassend als „Vertragspartner“ bezeichnet), werden vom Verantwortlichen im Rahmen von vertraglichen und vergleichbaren Rechtsverhältnissen sowie damit verbundenen Maßnahmen und im Hinblick auf die Kommunikation mit den Vertragspartnern (oder vorvertraglich), etwa zur Beantwortung von Anfragen, verarbeitet.
Diese Daten werden verwendet, um die vertraglichen Verpflichtungen des Verantwortlichen zu erfüllen. Dazu zählen insbesondere die Pflichten zur Erbringung der vereinbarten Leistungen, etwaige Aktualisierungspflichten und Abhilfe bei Gewährleistungs- und sonstigen Leistungsstörungen. Darüber hinaus werden die Daten zur Wahrung der Rechte des Verantwortlichen und zum Zwecke der mit diesen Pflichten verbundenen Verwaltungsaufgaben sowie der Unternehmensorganisation verwendet. Zudem werden die Daten auf Grundlage der berechtigten Interessen des Verantwortlichen an einer ordnungsgemäßen und betriebswirtschaftlichen Geschäftsführung sowie an Sicherheitsmaßnahmen zum Schutz seiner Vertragspartner und seines Geschäftsbetriebs vor Missbrauch, Gefährdung ihrer Daten, Geheimnisse, Informationen und Rechte (z. B. zur Beteiligung von Telekommunikations-, Transport- und sonstigen Hilfsdiensten sowie Subunternehmern, Banken, Steuer- und Rechtsberatern, Zahlungsdienstleistern oder Finanzbehörden) verarbeitet. Im Rahmen des geltenden Rechts werden die Daten von Vertragspartnern nur insoweit an Dritte weitergegeben, als dies für die vorgenannten Zwecke oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. Über weitere Formen der Verarbeitung, etwa zu Marketingzwecken, werden die Vertragspartner im Rahmen der Datenschutzerklärung informiert. Welche Daten für die vorgenannten Zwecke erforderlich sind, wird den Vertragspartnern vor oder im Rahmen der Datenerhebung, z. B. in Onlineformularen, durch besondere Kennzeichnung (z. B. Farben) bzw. Symbole (z. B. Sternchen o. Ä.), oder persönlich mitgeteilt. Die Löschung der Daten erfolgt nach Ablauf gesetzlicher Gewährleistungs- und vergleichbarer Pflichten, d. h., grundsätzlich nach vier Jahren, es sei denn, dass die Daten in einem Kundenkonto gespeichert werden sollen oder solange sie aus gesetzlichen Gründen der Archivierung aufbewahrt werden müssen (etwa für Steuerzwecke im Regelfall zehn Jahre). Daten, die dem Verantwortlichen im Rahmen eines Auftrags durch den Vertragspartner offengelegt wurden, löscht der Verantwortliche entsprechend den gesetzlichen Vorgaben und grundsätzlich nach Ende des Auftrags. |
|
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Leistungsempfänger und Auftraggeber; Interessenten; Geschäfts- und Vertragspartner. | |
| Zwecke/ Interesse: | Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Kommunikation; Büro- und Organisationsverfahren; Organisations- und Verwaltungsverfahren; Geschäftsprozesse und betriebswirtschaftliche Verfahren. | |
| Datenquellen: | Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber; Erhebung bei betroffenen Personen; Erhebung aus anderen Quellen; Erhebung über Schnittstellen zu Diensten anderer Anbieter; Erhebung im Rahmen von Werbe- und Marketingaktionen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 1.1. | Onlineshop, Bestellformulare, E-Commerce und Auslieferung | |
| Beschreibung: | Der Verantwortliche verarbeitet die Daten der Kunden, um ihnen die Auswahl, den Erwerb bzw. die Bestellung der gewählten Produkte, Waren sowie verbundener Leistungen zu ermöglichen. Dies schließt auch deren Bezahlung und Zustellung bzw. Ausführung ein. Sofern für die Ausführung einer Bestellung notwendig, beauftragt der Verantwortliche Dienstleister, insbesondere Post-, Speditions- und Versandunternehmen, um die Lieferung bzw. Ausführung gegenüber den Kunden zu gewährleisten. Für die Abwicklung der Zahlungsvorgänge zieht der Verantwortliche die Dienste von Banken und Zahlungsdienstleistern heran. Die im Rahmen des Bestell- bzw. vergleichbaren Erwerbsvorgangs erforderlichen Angaben sind als solche gekennzeichnet und umfassen jene Informationen, die zur Auslieferung bzw. Zurverfügungstellung und Abrechnung benötigt werden sowie Kontaktinformationen, um etwaige Rücksprachen halten zu können.
|
|
| 1.2. | Agenturdienstleistungen | |
| Beschreibung: | Der Verantwortliche verarbeitet die Daten der Kunden zur Erbringung seiner vertraglichen Leistungen. Zu diesen Leistungen zählen unter anderem konzeptionelle und strategische Beratung, Kampagnenplanung, Software- und Designentwicklung/-beratung oder -pflege, die Umsetzung von Kampagnen und Prozessen, Handling, Serveradministration, Datenanalyse/Beratungsleistungen sowie Schulungsleistungen.
|
|
| 1.3. | Marketing- und Werbung | |
| Beschreibung: | Der Verantwortliche verarbeitet die Daten seiner Kunden sowie Auftraggeber (nachfolgend einheitlich als „Kunden“ bezeichnet), um Marketingdienstleistungen wie Marktforschung, Werbekampagnen, Content-Erstellung und Social-Media-Management anzubieten. Die erforderlichen Angaben sind als solche im Rahmen der Auftragserteilung gekennzeichnet und umfassen die zur Leistungserbringung und Abrechnung benötigten Angaben sowie Kontaktinformationen, um etwaige Rücksprachen halten zu können. Soweit Zugang zu Informationen der Endkunden, Mitarbeitern oder anderer Personen gewährt wird, werden diese im Einklang mit den gesetzlichen und vertraglichen Vorgaben verarbeitet.
Verfahren, die im Rahmen von Marketing- und Werbemaßnahmen erforderlich sind, umfassen das Erstellen von Marketingstrategien und -kampagnen, die Gestaltung von Werbematerialien und -inhalten, die Auswahl von Werbekanälen und -plattformen, die Durchführung von Marktanalysen und Zielgruppenerhebungen sowie die Erfolgsmessung und Analyse von Marketingmaßnahmen. Darüber hinaus beinhalten sie die Verwaltung und Pflege von Kunden- und Interessentendaten, die Segmentierung von Zielgruppen, das Versenden von Newslettern und Werbe-E-Mails, das Tracking von Online-Marketing-Aktivitäten sowie die Zusammenarbeit mit externen Dienstleistern im Bereich Marketing und Werbung. Diese Verfahren dienen dazu, effektive Marketingstrategien Kunden des Verantwortlichen zu entwickeln, Werbemaßnahmen zielgruppengerecht zu gestalten, den Erfolg von Marketingaktivitäten zu messen und zu analysieren sowie eine effiziente Verwaltung von Kundenkontakten und -informationen sicherzustellen.
|
|
| 1.4. | Handwerkliche Leistungen | |
| Beschreibung: | Der Verantwortliche verarbeitet die Daten der Kunden sowie Auftraggeber (nachfolgend einheitlich als „Kunden“ bezeichnet), um diesen die Auswahl, den Erwerb bzw. die Beauftragung der gewählten Leistungen oder Werke sowie verbundener Tätigkeiten, deren Bezahlung und Zustellung bzw. Ausführung oder Erbringung zu ermöglichen. Die im Rahmen des Auftrags-, Bestell- bzw. vergleichbaren Vertragsschlusses erforderlichen Angaben sind als solche gekennzeichnet und umfassen die für die Auslieferung und Abrechnung notwendigen Informationen sowie Kontaktinformationen, um etwaige Rücksprachen halten zu können.
|
| 2. | Geschäftsprozesse und -verfahren ___________________ |
|
| Beschreibung: | Personenbezogene Daten von Leistungsempfängern und Auftraggebern – darunter Kunden, Klienten oder in speziellen Fällen Mandanten, Patienten oder Geschäftspartner sowie weitere Dritte – werden im Rahmen vertraglicher sowie vergleichbarer Rechtsverhältnisse und vorvertraglicher Maßnahmen wie der Anbahnung von Geschäftsbeziehungen verarbeitet. Diese Datenverarbeitung unterstützt und erleichtert betriebswirtschaftliche Abläufe in Bereichen wie Kundenmanagement, Vertrieb, Zahlungsverkehr, Buchhaltung und Projektmanagement.
Die erfassten Daten dienen dazu, vertragliche Verpflichtungen zu erfüllen und betriebliche Prozesse effizient zu gestalten. Hierzu gehört die Abwicklung von Geschäftstransaktionen, das Management von Kundenbeziehungen, die Optimierung von Vertriebsstrategien sowie die Gewährleistung interner Rechnungs- und Finanzprozesse. Zusätzlich unterstützen die Daten die Wahrung der Rechte des Verantwortlichen und fördern Verwaltungsaufgaben sowie die Organisation des Unternehmens. Personenbezogene Daten können an Dritte weitergegeben werden, sofern dies zur Erfüllung der genannten Zwecke oder gesetzlicher Verpflichtungen notwendig ist. Nach Ablauf gesetzlicher Aufbewahrungsfristen oder wenn der Zweck der Verarbeitung entfällt, werden die Daten gelöscht. Dies umfasst auch Daten, die aufgrund von steuerrechtlichen und gesetzlichen Nachweispflichten länger gespeichert werden müssen. |
|
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten. | |
| Betroffene: | Leistungsempfänger und Auftraggeber; Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner; Kunden; Dritte Personen; Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten); Beschäftigte (z. B. Angestellte, Bewerber, Aushilfskräfte und sonstige Mitarbeiter. | |
| Zwecke/ Interesse: | Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Büro- und Organisationsverfahren; Geschäftsprozesse und betriebswirtschaftliche Verfahren; Sicherheitsmaßnahmen; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Kommunikation; Marketing; Absatzförderung; Öffentlichkeitsarbeit; Finanz- und Zahlungsmanagement; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc. | |
| Datenquellen: | Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber; Erhebung bei betroffenen Personen; Erhebung aus anderen Quellen; Erhebung im Rahmen von Werbe- und Marketingaktionen; Erhebung über Schnittstellen zu Diensten anderer Anbieter; Erhebung bei Nutzern; Erhebung bei Kunden; Externe Datenbanken, Archive und Datensammlungen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO. | |
| 2.1. | Kundenmanagement und Customer-Relationship-Management (CRM) | |
| Beschreibung: | Verfahren, die im Rahmen des Kundenmanagements und Customer-Relationship-Managements (CRM) erforderlich sind (z. B. Kundenakquisition unter Einhaltung der Datenschutzvorgaben, Maßnahmen zur Förderung von Kundenbindung und -loyalität, effektive Kundenkommunikation, Beschwerdemanagement und Kundenservice mit Berücksichtigung des Datenschutzes, Datenmanagement und -analyse zur Unterstützung der Kundenbeziehung, Verwaltung von CRM-Systemen, sichere Kontoverwaltung, Kundensegmentierung und Zielgruppenbildung.
|
|
| 2.2. | Kontaktverwaltung und Kontaktpflege | |
| Beschreibung: | Verfahren, die im Rahmen der Organisation, Pflege und Sicherung von Kontaktinformationen erforderlich sind (z. B. die Einrichtung und Wartung einer zentralen Kontaktdatenbank, regelmäßige Aktualisierungen der Kontaktinformationen, Überwachung der Datenintegrität, Implementierung von Datenschutzmaßnahmen, Sicherstellung der Zugriffskontrollen, Durchführung von Backups und Wiederherstellungen der Kontaktdaten, Schulung von Mitarbeitern im effektiven Umgang mit Kontaktmanagement-Software, regelmäßige Überprüfung der Kommunikationshistorie und Anpassung der Kontaktstrategien.
|
|
| 2.3. | Kundenkonto | |
| Beschreibung: | Kunden können innerhalb unseres Onlineangebotes ein Konto anlegen (z. B. Kunden- bzw. Nutzerkonto, kurz „Kundenkonto“). Falls die Registrierung eines Kundenkontos erforderlich ist, werden Kunden hierauf ebenso hingewiesen wie auf die für die Registrierung erforderlichen Angaben. Die Kundenkonten sind nicht öffentlich und können von Suchmaschinen nicht indexiert werden. Im Rahmen der Registrierung sowie anschließender Anmeldungen und Nutzungen des Kundenkontos speichern wir die IP-Adressen der Kunden nebst den Zugriffszeitpunkten, um die Registrierung nachweisen und etwaigem Missbrauch des Kundenkontos vorbeugen zu können. Wurde das Kundenkonto gekündigt, werden die Daten des Kundenkontos nach dem Kündigungszeitpunkt gelöscht, sofern sie nicht für andere Zwecke als die Bereitstellung im Kundenkonto aufbewahrt werden oder aus rechtlichen Gründen aufbewahrt werden müssen (z. B. interne Speicherung von Kundendaten, Bestellvorgängen oder Rechnungen). Es liegt in der Verantwortung der Kunden, ihre Daten bei Kündigung des Kundenkontos zu sichern.
|
|
| 2.4. | Allgemeiner Zahlungsverkehr | |
| Beschreibung: | Verfahren, die bei der Durchführung von Zahlungsvorgängen, der Überwachung von Bankkonten und der Kontrolle von Zahlungsströmen erforderlich sind (z. B. Erstellung und Prüfung von Überweisungen, Abwicklung des Lastschriftverkehrs, Kontrolle von Kontoauszügen, Überwachung von Zahlungseingängen und -ausgängen, Rücklastschriftmanagement, Kontenabstimmung, Cash-Management).
|
|
| 2.5. | Buchhaltung, Kreditorenbuchhaltung, Debitorenbuchhaltung | |
| Beschreibung: | Verfahren, die bei der Erfassung, Bearbeitung und Kontrolle von Geschäftsvorgängen im Bereich der Kreditoren- und Debitorenbuchhaltung erforderlich sind (z. B. Erstellung und Prüfung von eingehenden und ausgehenden Rechnungen, Überwachung und Verwaltung von offenen Posten, Durchführung des Zahlungsverkehrs, Abwicklung des Mahnwesens, Kontenabstimmung im Rahmen von Forderungen und Verbindlichkeiten, Kreditorenbuchhaltung und Debitorenbuchhaltung).
|
|
| 2.6. | Finanzbuchhaltung und Steuern | |
| Beschreibung: | Verfahren, die bei der Erfassung, Verwaltung und Kontrolle von finanzrelevanten Geschäftsvorfällen sowie bei der Berechnung, Meldung und Zahlung von Steuern erforderlich sind (z. B. Kontierung und Verbuchung von Geschäftsvorfällen, Erstellung von Quartals- und Jahresabschlüssen, Durchführung des Zahlungsverkehrs, Abwicklung des Mahnwesens, Kontenabstimmung, steuerliche Beratung, Erstellung und Einreichung von Steuererklärungen, Abwicklung des Steuerwesens).
|
|
| 2.7. | Einkauf | |
| Beschreibung: | Verfahren, die bei der Beschaffung von Waren, Rohstoffen oder Dienstleistungen erforderlich sind (z. B. Lieferantenauswahl und -bewertung, Preisverhandlungen, Auftragserteilung und -überwachung, Überprüfung und Kontrolle von Lieferungen, Rechnungsprüfung, Verwaltung von Bestellungen, Lagermanagement, Erstellung und Pflege von Einkaufsrichtlinien).
|
|
| 2.8. | Marketing, Werbung und Absatzförderung | |
| Beschreibung: | Verfahren, die im Rahmen von Marketing, Werbung und Absatzförderung erforderlich sind (z. B. Marktanalyse und Zielgruppenbestimmung, Entwicklung von Marketingstrategien, Planung und Durchführung von Werbekampagnen, Gestaltung und Produktion von Werbematerialien, Online-Marketing einschließlich SEO und Social Media Kampagnen, Eventmarketing und Messebeteiligungen, Kundenbindungsprogramme, Verkaufsförderungsmaßnahmen, Performance-Messung und Optimierung der Marketingaktivitäten, Budgetverwaltung und Kostenkontrolle.
|
|
| 2.9. | Wirtschaftliche Analysen und Marktforschung | |
| Beschreibung: | Zur Erfüllung betriebswirtschaftlicher Zwecke und zur Erkennung von Markttendenzen, Wünschen der Vertragspartner und Nutzern werden die vorliegenden Daten zu Geschäftsvorgängen, Verträgen, Anfragen etc. analysiert. In die Gruppe der betroffenen Personen können Vertragspartner, Interessenten, Kunden, Besucher und Nutzer des Onlineangebotes des Verantwortlichen fallen. Die Durchführung der Analysen dient den Zwecken der betriebswirtschaftlichen Auswertungen, des Marketings und der Marktforschung (z. B. zur Bestimmung von Kundengruppen mit unterschiedlichen Eigenschaften). Dabei werden, sofern vorhanden, Profile von registrierten Nutzern samt ihrer Angaben zu in Anspruch genommenen Leistungen berücksichtigt. Die Analysen dienen ausschließlich dem Verantwortlichen und werden nicht extern offenbart, außer es handelt sich um anonyme Analysen mit zusammengefassten, also anonymisierten Werten. Zudem wird auf die Privatsphäre der Nutzer Rücksicht genommen; die Daten werden für Analysezwecke möglichst pseudonymisiert und, sofern machbar, anonymisiert verarbeitet (z. B. als zusammengefasste Daten).
|
|
| 2.10. | Öffentlichkeitsarbeit | |
| Beschreibung: | Verfahren, die im Rahmen der Öffentlichkeitsarbeit und Public Relations erforderlich sind (z. B. Entwicklung und Umsetzung von Kommunikationsstrategien, Planung und Durchführung von PR-Kampagnen, Erstellung und Verbreitung von Pressemitteilungen, Pflege von Medienkontakten, Monitoring und Analyse der Medienresonanz, Organisation von Pressekonferenzen und öffentlichen Veranstaltungen, Krisenkommunikation, Erstellung von Content für soziale Medien und Unternehmenswebseiten, Betreuung des Corporate Branding).
|
|
| 2.11. | Gäste-WLAN | |
| Beschreibung: | Verfahren, die bei der Einrichtung, Betrieb, Wartung und Überwachung eines drahtlosen Netzwerks für Gäste erforderlich sind (z. B. Installation und Konfiguration von WLAN-Zugangspunkten, Erstellung und Verwaltung von Gastzugängen, Überwachung der Netzwerkverbindung, Sicherstellung der Netzwerksicherheit, Behebung von Verbindungsproblemen, Aktualisierung von Netzwerksoftware, Einhaltung von Datenschutzbestimmungen).
|
| 3. | Im Rahmen der Geschäftstätigkeit eingesetzte Anbieter und Services ___________________ |
|
| Beschreibung: | Im Rahmen der Geschäftstätigkeit des Verantwortlichen werden unter Beachtung der gesetzlichen Vorgaben zusätzliche Dienste, Plattformen, Schnittstellen oder Plug-ins von Drittanbietern (kurz „Dienste“) genutzt. Die Nutzung dieser Dienste beruht auf den Interessen des Verantwortlichen an einer ordnungsgemäßen, rechtmäßigen und wirtschaftlichen Führung seines Geschäftsbetriebs und seiner internen Organisation. | |
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie. | |
| Betroffene: | Leistungsempfänger und Auftraggeber; Interessenten; Geschäfts- und Vertragspartner. | |
| Zwecke/ Interesse: | Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Büro- und Organisationsverfahren; Geschäftsprozesse und betriebswirtschaftliche Verfahren. | |
| Datenquellen: | Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber; Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 3.1. | Billbee | |
| Beschreibung: | Auftragsabwicklung, Zahlungsabgleich, Warenwirtschaft und Verwaltung von Kundendaten.
|
|
| 3.2. | sevDesk | |
| Beschreibung: | Online-Software für Rechnungsstellung, Buchhaltung, Banking und Steuereinreichung mit Belegspeicherung.
|
| 4. | Zahlungsverfahren ___________________ |
|
| Beschreibung: | Im Rahmen von Vertrags- und sonstigen Rechtsbeziehungen, aufgrund gesetzlicher Pflichten oder sonst auf Grundlage der berechtigten Interessen des Verantwortlichen werden effiziente und sichere Zahlungsmöglichkeiten den betroffenen Personen angeboten. Hierzu setzt der Verantwortliche neben Banken und Kreditinstituten weitere Dienstleister ein (zusammenfassend „Zahlungsdienstleister“).
Die durch die Zahlungsdienstleister verarbeiteten Daten umfassen Bestandsdaten, wie zum Beispiel den Namen und die Adresse, Bankdaten, wie zum Beispiel Kontonummern oder Kreditkartennummern, Passwörter, TANs und Prüfsummen sowie die Vertrags-, Summen- und empfängerbezogenen Angaben. Diese Angaben sind erforderlich, um die Transaktionen durchführen zu können. Die eingegeben Daten werden jedoch ausschließlich durch die Zahlungsdienstleister verarbeitet und bei diesen gespeichert. Das bedeutet, dass der Verantwortliche keine konto- oder kreditkartenbezogenen Informationen erhält, sondern lediglich Informationen mit Bestätigung oder Negativbeauskunftung der Zahlung. Unter Umständen übermitteln die Zahlungsdienstleister die Daten an Wirtschaftsauskunfteien. Diese Übermittlung dient der Identitäts- und Bonitätsprüfung. In diesem Zusammenhang wird auf die Allgemeinen Geschäftsbedingungen und die Datenschutzhinweise der Zahlungsdienstleister verwiesen. Für die Zahlungsgeschäfte gelten zudem die Geschäftsbedingungen und Datenschutzhinweise der jeweiligen Zahlungsdienstleister, welche innerhalb deren Webseiten bzw. Transaktionsapplikationen abrufbar sind. Der Verantwortliche verweist ebenfalls auf diese für weitere Informationen sowie zur Geltendmachung von Widerrufs-, Auskunfts- und anderen Betroffenenrechten. |
|
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern. | |
| Betroffene: | Leistungsempfänger und Auftraggeber; Geschäfts- und Vertragspartner; Interessenten. | |
| Zwecke/ Interesse: | Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Geschäftsprozesse und betriebswirtschaftliche Verfahren. | |
| Datenquellen: | Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber; Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 4.1. | Amazon Payments | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.2. | Apple Pay | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.3. | Google Pay | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.4. | Klarna | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.5. | Mastercard | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.6. | PayPal | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden) (z. B. PayPal, PayPal Plus, Braintree.
|
|
| 4.7. | Stripe | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
|
| 4.8. | Visa | |
| Beschreibung: | Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden.
|
| 5. | Bereitstellung des Onlineangebots und Webhosting ___________________ |
|
| Beschreibung: | Die Daten der Nutzer werden verarbeitet, um ihnen die Online-Dienste des Verantwortlichen zur Verfügung stellen zu können. Zu diesem Zweck werden insbesondere auch IP-Adresse der Nutzer verarbeitet, die notwendig ist, um die Inhalte und Funktionen der Online-Dienste des Verantwortlichen an den Browser oder das Endgerät der Nutzer zu übermitteln. | |
| Datenkategorien: | Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.)); Sicherheitsmaßnahmen; Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten. | |
| Datenquellen: | Erhebung bei Nutzern; Erhebung bei betroffenen Personen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 5.1. | Bereitstellung Onlineangebot auf gemietetem Speicherplatz | |
| Beschreibung: | Zur Bereitstellung unseres Onlineangebotes wird Speicherplatz, Rechenkapazität und Software genutzt, die von einem entsprechenden Serveranbieter (auch „Webhoster“ genannt) gemietet oder anderweitig bezogen werden.
|
|
| 5.2. | Erhebung von Zugriffsdaten und Logfiles | |
| Beschreibung: | Der Zugriff auf das Onlineangebot des Verantwortlichen wird in Form von sogenannten „Server-Logfiles“ protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen und der anfragende Provider gehören. Die Serverlogfiles werden zum einen zu Sicherheitszwecken eingesetzt, z. B. um eine Überlastung der Server zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten DDoS-Attacken), und zum anderen, um die Auslastung der Server und ihre Stabilität sicherzustellen.
|
|
| 5.3. | 1&1 IONOS | |
| Beschreibung: | Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z. B. Speicherplatz und/oder Rechenkapazitäten.
|
| 6. | Einsatz von Cookies ___________________ |
|
| Beschreibung: | Der Verantwortliche setzt Cookies gemäß den gesetzlichen Vorschriften ein. Dementsprechend wird von den Nutzern eine vorhergehende Einwilligung eingeholt, es sei denn, diese ist laut Gesetzeslage nicht erforderlich. Eine Erlaubnis ist insbesondere dann nicht notwendig, wenn das Speichern und Auslesen der Informationen – also auch von Cookies – unbedingt erforderlich sind, um den Nutzern einen von ihnen ausdrücklich gewünschten Telemediendienst (d. h. das Onlineangebot des Verantwortlichen) zur Verfügung zu stellen. Die widerrufliche Einwilligung wird gegenüber den Nutzern deutlich kommuniziert und enthält Informationen zur jeweiligen Nutzung der Cookies.
Hinweise zu datenschutzrechtlichen Rechtsgrundlagen: Die datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Daten der Nutzer mithilfe von Cookies durch den Verantwortlichen hängt davon ab, ob eine Einwilligung eingeholt wird. Falls die Nutzer ihre Einwilligung erteilen, basiert die Verarbeitung ihrer Daten auf dieser erklärten Einwilligung. Andernfalls erfolgt die Verarbeitung der mithilfe von Cookies erhobenen Daten auf Grundlage berechtigter Interessen des Verantwortlichen (z. B. an einem betriebswirtschaftlichen Betrieb seines Onlineangebots und dessen Verbesserung) oder im Rahmen der Erfüllung vertraglicher Pflichten des Verantwortlichen, sofern der Einsatz von Cookies hierfür erforderlich ist. Speicherdauer: Es wird zwischen folgenden Arten von Cookies unterschieden: Temporäre Cookies (auch bekannt als Session- oder Sitzungscookies): Diese werden spätestens gelöscht nachdem ein Nutzer ein Onlineangebot verlassen und sein Endgerät (z. B. Browser oder mobile Applikation) geschlossen hat. Permanente Cookies: Diese bleiben auch nach dem Schließen des Endgeräts gespeichert und ermöglichen es z. B., den Log-in-Status bei erneutem Besuch einer Website direkt anzuzeigen oder bevorzugte Inhalte vorzuhalten sowie zur Reichweitenmessung genutzt zu werden. Sofern vom Verantwortlichen keine expliziten Angaben zur Art und Speicherdauer von Cookies gemacht werden (z. B. im Rahmen der Einholung einer Einwilligung), sollten Nutzer davon ausgehen, dass diese permanent sind und eine Speicherdauer bis zu zwei Jahre haben können. Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-out): Nutzer können ihre erteilten Einwilligungen jederzeit widerrufen und darüber hinaus einen Widerspruch gegen die Verarbeitung ihrer Daten entsprechend den gesetzlichen Bestimmungen erklären. Als Cookies werden im Rahmen dieses Verzeichnisses von Verarbeitungstätigkeiten Dateien bzw. sonstige Speichervermerke verstanden, die Informationen auf Endgeräten speichern und aus ihnen auslesen. Sie können z. B. dazu dienen, den Log-in-Status in einem Nutzerkonto oder die aufgerufenen Inhalte bzw. verwendeten Funktionen eines Onlineangebots zu speichern. Darüber hinaus können Cookies für verschiedene Zwecke eingesetzt werden, etwa zur Gewährleistung der Funktionsfähigkeit, Sicherheit und des Komforts von Onlineangeboten sowie zur Erstellung von Analysen der Besucherströme. |
|
| Datenkategorien: | Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Datenquellen: | Erhebung bei Nutzern; Erhebung bei betroffenen Personen. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 6.1. | BorlabsCookie | |
| Beschreibung: | Einwilligungsmanagement: Verfahren zur Einholung, Protokollierung, Verwaltung und des Widerrufs von Einwilligungen, insbesondere für den Einsatz von Cookies und ähnlichen Technologien zur Speicherung, Auslesen und Verarbeitung von Informationen auf Endgeräten der Nutzer sowie deren Verarbeitung.
|
| 7. | Registrierung, Anmeldung und Nutzerkonto ___________________ |
|
| Beschreibung: | Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung durch den Verantwortlichen verarbeitet. Zu den vom Verantwortlichen verarbeiteten Daten gehören insbesondere die Login-Informationen (Nutzername, Passwort sowie eine E-Mail-Adresse).
Im Rahmen der Inanspruchnahme der Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos durch den Nutzer speichert der Verantwortliche die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage der berechtigten Interessen des Verantwortlichen als auch jener der Nutzer an einem Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, sie ist zur Verfolgung der Ansprüche des Verantwortlichen erforderlich oder es besteht eine gesetzliche Verpflichtung hierzu. Die Nutzer können über Vorgänge, die für deren Nutzerkonto relevant sind, wie z. B. technische Änderungen, per E-Mail informiert werden. Dies wird im „Verzeichnis von Verarbeitungstätigkeiten“ des Verantwortlichen dokumentiert. |
|
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Organisations- und Verwaltungsverfahren; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit. | |
| Datenquellen: | Erhebung bei betroffenen Personen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“; Löschung nach Kündigung. | |
| Rechtsgrundlagen: | Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 7.1. | Registrierung mit Klarnamen | |
| Beschreibung: | Der Verantwortliche bittet die Nutzer aufgrund der Natur der Community, das Angebot nur unter Verwendung von Klarnamen zu nutzen. Dies bedeutet, dass die Nutzung von Pseudonymen nicht zulässig ist.
|
|
| 7.2. | Profile der Nutzer sind nicht öffentlich | |
| Beschreibung: | Die Profile der Nutzer sind öffentlich nicht sichtbar und nicht zugänglich. | |
| 7.3. | Zwei-Faktor-Authentifizierung | |
| Beschreibung: | Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für Ihr Benutzerkonto und stellt sicher, dass nur Sie auf Ihr Konto zugreifen können, auch, wenn jemand anderes Ihr Passwort kennt. Zu diesem Zweck müssen Sie zusätzlich zu Ihrem Passwort eine weitere Authentifizierungsmaßnahme durchführen (z. B. einen an ein mobiles Gerät gesandten Code eingeben). Der Verantwortliche informiert Sie über das eingesetzte Verfahren.
|
|
| 7.4. | Löschung von Daten nach Kündigung | |
| Beschreibung: | Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Erlaubnis, Pflicht oder Einwilligung der Nutzer, gelöscht.
|
|
| 7.5. | Keine Aufbewahrungspflicht für Daten | |
| Beschreibung: | Es obliegt den Nutzern, ihre Daten bei erfolgter Kündigung vor dem Vertragsende zu sichern. Der Verantwortliche ist berechtigt, sämtliche während der Vertragsdauer gespeicherte Daten des Nutzers unwiederbringlich zu löschen.
|
| 8. | Blogs und Publikationsmedien ___________________ |
|
| Beschreibung: | Es werden Blogs oder vergleichbare Mittel der Onlinekommunikation und Publikation (nachfolgend „Publikationsmedium“) genutzt. Die Daten der Leser werden vom Verantwortlichen für die Zwecke des Publikationsmediums nur insoweit verarbeitet, als es für dessen Darstellung und die Kommunikation zwischen Autoren und Lesern oder aus Gründen der Sicherheit erforderlich ist. Im Übrigen wird auf die Informationen zur Verarbeitung der Besucher des Publikationsmediums im Rahmen dieses Verzeichnisses von Verarbeitungstätigkeiten verwiesen. | |
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Feedback (z. B. Sammeln von Feedback via Online-Formular); Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Sicherheitsmaßnahmen; Organisations- und Verwaltungsverfahren. | |
| Datenquellen: | Erhebung bei Nutzern; Erhebung bei betroffenen Personen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 8.1. | Kommentare und Beiträge | |
| Beschreibung: | Wenn Nutzer Kommentare oder sonstige Beiträge hinterlassen, können ihre IP-Adressen auf Grundlage unserer berechtigten Interessen gespeichert werden. Das erfolgt zu unserer Sicherheit, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte hinterlässt (Beleidigungen, verbotene politische Propaganda etc.). In diesem Fall können wir selbst für den Kommentar oder Beitrag belangt werden und sind daher an der Identität des Verfassers interessiert.
Des Weiteren behalten wir uns vor, auf Grundlage unserer berechtigten Interessen die Angaben der Nutzer zwecks Spamerkennung zu verarbeiten. Auf derselben Rechtsgrundlage behalten wir uns vor, im Fall von Umfragen die IP-Adressen der Nutzer für deren Dauer zu speichern und Cookies zu verwenden, um Mehrfachabstimmungen zu vermeiden. Die im Rahmen der Kommentare und Beiträge mitgeteilten Informationen zur Person, etwaige Kontakt- sowie Webseiteninformationen als auch die inhaltlichen Angaben werden von uns bis zum Widerspruch der Nutzer dauerhaft gespeichert.
|
| 9. | Kontakt- und Anfrageverwaltung ___________________ |
|
| Beschreibung: | Bei der Kontaktaufnahme mit dem Verantwortlichen (z. B. per Post, Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen vom Verantwortlichen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist. | |
| Datenkategorien: | Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Kommunikationspartner. | |
| Zwecke/ Interesse: | Kommunikation; Organisations- und Verwaltungsverfahren; Feedback (z. B. Sammeln von Feedback via Online-Formular); Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit. | |
| Datenquellen: | Erhebung bei betroffenen Personen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO. | |
| 9.1. | Kontaktformular | |
| Beschreibung: | Bei Kontaktaufnahme über das Kontaktformular, per E-Mail oder anderen Kommunikationswegen, verarbeitet der Verantwortliche die ihm übermittelten personenbezogenen Daten zur Beantwortung und Bearbeitung des jeweiligen Anliegens. Dies umfasst in der Regel Angaben wie Name, Kontaktinformationen und gegebenenfalls weitere Informationen, die mitgeteilt werden und zur angemessenen Bearbeitung erforderlich sind. Diese Daten werden ausschließlich für den angegebenen Zweck der Kontaktaufnahme und Kommunikation genutzt.
|
| 10. | Kommunikation via Messenger ___________________ |
|
| Beschreibung: | Es werden Messenger zu Zwecken der Kommunikation eingesetzt. Kommunikationspartner können den Verantwortlichen auch auf alternativen Wegen, z. B. via Telefon oder E-Mail, kontaktieren.
Hinweise zu Rechtsgrundlagen: Sofern vor der Kommunikation mit den Kommunikationspartnern via Messenger um eine Erlaubnis gebeten wird, ist die Rechtsgrundlage für die Verarbeitung ihrer Daten deren Einwilligung. Im Übrigen, falls keine Einwilligung eingeholt wird und sie z. B. von sich aus Kontakt aufnehmen, werden Messenger im Verhältnis zu Vertragspartnern sowie im Rahmen der Vertragsanbahnung als eine vertragliche Maßnahme genutzt und im Fall anderer Interessenten und Kommunikationspartner auf Grundlage berechtigter Interessen an einer schnellen und effizienten Kommunikation sowie Erfüllung der Bedürfnisse unserer Kommunikationspartner an der Kommunikation via Messenger. Ferner wird darauf hingewiesen, dass ohne Ihre Einwilligung Kontaktdaten nicht erstmalig an die Messenger übermittelt werden. Widerruf, Widerspruch und Löschung: Eine erteilte Einwilligung kann jederzeit widerrufen werden und dem Einsatz von Messengern für die Kommunikation kann jederzeit widersprochen werden. Im Fall der Nutzung von Messengern für die Kommunikation erfolgt das Löschen von Nachrichten entsprechend den generellen Löschrichtlinien des Verantwortlichen (d. h., wie oben beschrieben, nach Ende vertraglicher Beziehungen oder im Kontext von Archivierungsvorgaben etc.) bzw., sobald davon ausgegangen werden kann etwaige Auskünfte beantwortet zu haben wenn kein Rückbezug auf eine vorhergehende Konversation zu erwarten ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Vorbehalt des Verweises auf andere Kommunikationswege: Um Sicherheit gewährleisten zu können werden Nutzer informiert, dass Anfragen über Messenger möglicherweise nicht beantwortet werden können Dies betrifft Situationen in denen etwa Details besonders vertraulich behandelt müssen oder eine Antwort über Messenger den formellen Anforderungen nicht entspricht In diesen Fällen wird Nutzern empfohlen geeignetere Kommunikationswege zu nutzen |
|
| Datenkategorien: | Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Kommunikationspartner. | |
| Zwecke/ Interesse: | Kommunikation; Direktmarketing (z. B. per E-Mail oder postalisch. | |
| Datenquellen: | Erhebung bei betroffenen Personen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 10.1. | ||
| Beschreibung: | Textnachrichten, Sprach- und Videoanrufe, Versenden von Bildern, Videos und Dokumenten, Gruppenchat-Funktion, Ende-zu-Ende-Verschlüsselung für erhöhte Sicherheit.
|
| 11. | Künstliche Intelligenz (KI) ___________________ |
|
| Beschreibung: | Der Verantwortliche setzt Künstliche Intelligenz (KI) ein, wobei personenbezogene Daten verarbeitet werden. Die spezifischen Zwecke und das Interesse des Verantwortlichen am Einsatz der KI werden nachfolgend genannt. Unter KI versteht der Verantwortliche entsprechend dem Begriff eines „KI-Systems“ gemäß Artikel 3 Nr. 1 der KI-Verordnung ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, nach seiner Einführung anpassungsfähig sein kann und aus den erhaltenen Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorbringt, die physische oder virtuelle Umgebungen beeinflussen können.
Die KI-Systeme des Verantwortlichen werden unter strikter Beachtung der gesetzlichen Vorgaben eingesetzt. Diese umfassen sowohl spezifische Regelungen für Künstliche Intelligenz als auch Datenschutzvorgaben. Dabei hält der Verantwortliche insbesondere die Prinzipien der Rechtmäßigkeit, Transparenz, Fairness, menschlichen Kontrolle, Zweckbindung, Datenminimierung und Integrität sowie Vertraulichkeit ein. Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten stets auf einer rechtlichen Grundlage erfolgt. Dies kann entweder die Einwilligung der betroffenen Personen oder eine gesetzliche Erlaubnis sein. Falls externe Dienstleister für den Einsatz von KI-Systemen herangezogen werden, prüft der Verantwortliche sorgfältig, ob diese die gesetzlichen Vorgaben einhalten. Der Verantwortliche legt besonderen Wert auf den Schutz der Daten und die Einhaltung aller relevanten Datenschutzbestimmungen. Verschiedene technische und organisatorische Maßnahmen werden eingesetzt, um die Sicherheit der Daten zu gewährleisten und Missbrauch zu verhindern. Bei der Nutzung externer KI-Leistungen wählt der Verantwortliche deren Anbieter (nachfolgend „KI-Anbieter“) sorgfältig aus. Entsprechend den gesetzlichen Pflichten stellt der Verantwortliche sicher, dass die KI-Anbieter die geltenden Bestimmungen einhalten. Ebenso beachtet er die ihm obliegenden Pflichten bei Nutzung oder Betrieb der bezogenen KI-Leistungen. Die Verarbeitung personenbezogener Daten durch den Verantwortlichen und die KI-Anbieter erfolgt ausschließlich auf Grundlage einer Einwilligung oder gesetzlichen Berechtigung. Dabei legt er besonderen Wert auf Transparenz, Fairness und die Wahrung der menschlichen Kontrolle über KI-gestützte Entscheidungsprozesse. Zum Schutz der verarbeiteten Daten implementiert der Verantwortliche angemessene und robuste technische sowie organisatorische Maßnahmen. Diese gewährleisten die Integrität und Vertraulichkeit der verarbeiteten Daten und minimieren potenzielle Risiken. Durch regelmäßige Überprüfungen der KI-Anbieter und ihrer Leistungen stellt er die fortlaufende Einhaltung aktueller rechtlicher und ethischer Standards sicher. |
|
| Datenkategorien: | Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten); Dritte Personen. | |
| Zwecke/ Interesse: | Künstliche Intelligenz (KI. | |
| Datenquellen: | Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 11.1. | Adobe KI | |
| Beschreibung: | KI-gestützte Werkzeuge und Funktionen in Adobe-Produkten, die Kreativprozesse unterstützen. Adobe KI bietet Funktionen wie automatische Bildbearbeitung, Inhaltsgenerierung und intelligente Bildanpassungen, um den kreativen Workflow zu optimieren.
|
|
| 11.2. | ChatGPT | |
| Beschreibung: | KI-basierter Dienst, der darauf ausgelegt ist, natürliche Sprache und mit ihr verbundene Eingaben sowie Daten zu verstehen und zu generieren, Informationen zu analysieren und Vorhersagen zu treffen („KI“, d. h. „Künstliche Intelligenz“, ist im jeweils geltenden rechtlichen Sinne des Begriffs zu verstehen).
|
| 12. | Zwecke der Nutzung von KI ___________________ |
|
| Beschreibung: | Der Verantwortliche setzt Künstliche Intelligenz (KI) ein, wobei personenbezogene Daten verarbeitet werden. Die spezifischen Zwecke und das Interesse des Verantwortlichen am Einsatz der KI werden nachfolgend genannt. Unter KI versteht der Verantwortliche entsprechend dem Begriff eines „KI-Systems“ gemäß Artikel 3 Nr. 1 der KI-Verordnung ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, nach seiner Einführung anpassungsfähig sein kann und aus den erhaltenen Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorbringt, die physische oder virtuelle Umgebungen beeinflussen können.
Die KI-Systeme des Verantwortlichen werden unter strikter Beachtung der gesetzlichen Vorgaben eingesetzt. Diese umfassen sowohl spezifische Regelungen für Künstliche Intelligenz als auch Datenschutzvorgaben. Der Verantwortliche hält insbesondere die Prinzipien der Rechtmäßigkeit, Transparenz, Fairness, menschlichen Kontrolle, Zweckbindung, Datenminimierung und Integrität sowie Vertraulichkeit ein. Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten stets auf einer rechtlichen Grundlage erfolgt. Dies kann entweder die Einwilligung der betroffenen Personen oder eine gesetzliche Erlaubnis sein. |
|
| Zwecke/ Interesse: | Künstliche Intelligenz (KI. | |
| Datenquellen: | Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| 12.1. | Erstellung von KI-generierten Inhalten | |
| Beschreibung: | Der Verantwortliche setzt KI ein, um KI-generierte Inhalte zu erstellen, um die Arbeitsprozesse des Verantwortlichen zu optimieren, betriebswirtschaftliche Interessen zu wahren und Kreativität bei der Inhaltserstellung zu unterstützen. | |
| 12.2. | Verbesserung des Kundensupports | |
| Beschreibung: | Der Verantwortliche setzt KI-basierte Chatbots und virtuelle Assistenten ein, um rund um die Uhr schnellen und effektiven Kundensupport zu bieten und häufige Anfragen automatisch zu bearbeiten. |
| 13. | Onlinemarketing ___________________ |
|
| Beschreibung: | Der Verantwortliche verarbeitet personenbezogene Daten zum Zweck des Onlinemarketings, was insbesondere die Vermarktung von Werbeflächen oder die Darstellung von werbenden und sonstigen Inhalten anhand potenzieller Interessen der Nutzer sowie die Messung ihrer Effektivität umfassen kann. Zu diesen Zwecken werden Nutzerprofile erstellt und in einer Datei (dem sogenannten „Cookie“) gespeichert oder ähnliche Verfahren eingesetzt, durch die relevante Angaben zum Nutzer für die Darstellung der genannten Inhalte gespeichert werden. Hierzu gehören unter anderem betrachtete Inhalte, besuchte Websites, genutzte Onlinenetzwerke sowie Kommunikationspartner und technische Angaben wie der verwendete Browser, das Computersystem sowie Informationen zu Nutzungszeiten und genutzten Funktionen. Sofern Nutzer in die Erhebung ihrer Standortdaten eingewilligt haben, können auch diese verarbeitet werden.
Weiterhin speichert der Verantwortliche IP-Adressen der Nutzer, wobei IP-Masking-Verfahren zur Pseudonymisierung durch Kürzung der IP-Adresse zum Schutz der Nutzer angewendet werden. Im Rahmen des Onlinemarketingverfahrens werden keine Klardaten der Nutzer (wie z. B. E-Mail-Adressen oder Namen) gespeichert, sondern Pseudonyme verwendet. Dies bedeutet, dass sowohl der Verantwortliche als auch die Anbieter der Onlinemarketingverfahren nicht die tatsächliche Identität der Nutzer kennen, sondern nur die in deren Profilen gespeicherten Angaben. Die im Rahmen dieser Profile erhobenen Daten werden üblicherweise in Cookies oder mittels ähnlicher Verfahren gespeichert. Diese Cookies können später auch auf anderen Websites ausgelesen und analysiert sowie mit weiteren Daten ergänzt und auf dem Server des Anbieters des Onlinemarketingverfahrens gespeichert werden. In Ausnahmefällen ist es möglich, Klardaten den Profilen zuzuordnen, insbesondere dann, wenn die Nutzer Mitglieder eines sozialen Netzwerks sind, dessen Onlinemarketingverfahren eingesetzt wird und das Netzwerk die Profile mit den entsprechenden Angaben verbindet. Der Verantwortliche weist darauf hin, dass Nutzer mit den Anbietern zusätzliche Vereinbarungen treffen können, beispielsweise durch Einwilligung im Rahmen einer Registrierung. Der Verantwortliche erhält grundsätzlich nur Zugang zu zusammengefassten Informationen über den Erfolg seiner Werbeanzeigen. Allerdings kann er im Rahmen sogenannter Konversionsmessungen prüfen, welche Marketingmaßnahmen zu einer Konversion geführt haben – beispielsweise zu einem Vertragsschluss mit ihm. Die Konversionsmessung dient ausschließlich zur Analyse des Erfolgs dieser Maßnahmen. Sofern nicht anders angegeben wird davon ausgegangen, dass eingesetzte Cookies für einen Zeitraum von zwei Jahren gespeichert werden. Bezüglich der Rechtsgrundlagen: Wenn um Einwilligung in den Einsatz von Drittanbietern gebeten wird, stellt diese Einwilligung die Rechtsgrundlage für die Datenverarbeitung dar. Andernfalls erfolgt eine Verarbeitung auf Grundlage berechtigter Interessen des Verantwortlichen (d. h., Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen). Der Verantwortliche führt betroffene Personen im Rahmen des „Verzeichnisses von Verarbeitungstätigkeiten“ auf Informationen zur Nutzung von Cookies hin. |
|
| Datenkategorien: | Kontaktinformationen (Facebook) („Kontaktinformationen“ sind Daten, die betroffene Personen (klar) identifizieren, wie z. B. Namen, E-Mail-Adressen und Telefonnummern, die an Facebook, z. B. via Facebook-Pixel oder Upload zu Abgleichzwecken zwecks Bildung von Custom Audiences übermittelt werden können; Nach dem Abgleich zwecks Bildung von Zielgruppen, werden die Kontaktinformationen gelöscht); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Event-Daten (Facebook) („Event-Daten“ sind Informationen, die beispielsweise über Meta-Pixel (sei es über Apps oder andere Kanäle) an den Anbieter Meta gesendet werden und sich auf Personen oder deren Aktionen beziehen. Zu diesen Daten zählen etwa Details zu Website-Besuchen, Interaktionen mit Inhalten und Funktionen, App-Installationen sowie Produktkäufe. Die Verarbeitung der Event-Daten erfolgt mit dem Ziel, Zielgruppen für Inhalte und Werbebotschaften (Custom Audiences) zu erstellen. Es ist wichtig zu beachten, dass Event-Daten keine tatsächlichen Inhalte wie verfasste Kommentare, keine Login-Informationen und keine Kontaktinformationen wie Namen, E-Mail-Adressen oder Telefonnummern umfassen. „Event-Daten“ werden von Meta nach maximal zwei Jahren gelöscht, und die daraus gebildeten Zielgruppen verschwinden mit der Löschung unserer Meta-Nutzer-Konten. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Reichweitenmessung (z. B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher); Tracking (z. B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies); Zielgruppenbildung; Marketing; Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen); Konversionsmessung (Messung der Effektivität von Marketingmaßnahmen); Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Remarketing. | |
| Datenquellen: | Erhebung bei betroffenen Personen; Erhebung aus anderen Quellen. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“; Speicherung von Cookies von bis zu 2 Jahren (Sofern nicht anders angegeben, können Cookies und ähnliche Speichermethoden für einen Zeitraum von zwei Jahren auf den Geräten der Nutzer gespeichert werden. | |
| Sicherheitsmaßnahmen: | IP-Masking (Pseudonymisierung der IP-Adresse. | |
| Rechtsgrundlagen: | Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 13.1. | Meta – Zielgruppen Bildung via Datenupload | |
| Beschreibung: | Bildung von Zielgruppen für Marketingzwecke – Wir übermitteln Kontaktinformationen (Namen, E-Mail-Adressen und Telefonnummern) in Listenform an Meta zwecks Bildung von Zielgruppen (sog. „Custom Audiences“) für eine an den mutmaßlichen Interessen der Nutzer orientierte Anzeige von Inhalten und Werbeinformationen. Die Übermittlung und Abgleich mit bei Meta vorhandenen Daten erfolgen nicht im Klartext, sondern als so genannte „Hashwerte“, also mathematische Abbildungen der Daten (diese Methode wird z. B. bei der Speicherung von Passwörtern verwendet). Nach dem Abgleich zwecks Bildung von Zielgruppen, werden die Kontaktinformationen gelöscht.
|
|
| 13.2. | Facebook Werbeanzeigen | |
| Beschreibung: | Schaltung von Werbeanzeigen innerhalb der Facebook Plattform und Auswertung der Anzeigenergebnisse.
|
|
| 13.3. | Google Ad Manager | |
| Beschreibung: | Der Verantwortliche nutzt den Dienst „Google Ad Manager“, um Anzeigen im Google-Werbenetzwerk zu platzieren (z. B. in Suchergebnissen, in Videos, auf Webseiten etc.). Der Google Ad Manager zeichnet sich durch die Echtzeitanzeige von Anzeigen basierend auf mutmaßlichen Nutzerinteressen aus. Dies ermöglicht es dem Verantwortlichen, Anzeigen für sein Onlineangebot gezielt Nutzern anzuzeigen, die potenziell an seinem Angebot interessiert sein könnten oder sich bereits dafür interessiert haben, sowie den Erfolg der Anzeigen zu messen.
|
|
| 13.4. | AdMob | |
| Beschreibung: | Plattform für die Anzeige von Werbeinhalten in mobilen Anwendungen.
|
|
| 13.5. | Google Ads und Konversionsmessung | |
| Beschreibung: | Online-Marketing-Verfahren zum Zwecke der Platzierung von Inhalten und Anzeigen innerhalb des Werbenetzwerks des Diensteanbieters (z. B. in Suchergebnissen, in Videos, auf Webseiten usw.), so dass sie Nutzern angezeigt werden, die ein mutmaßliches Interesse an den Anzeigen haben. Darüber hinaus messen wir die Konversion der Anzeigen, d. h. ob die Nutzer sie zum Anlass genommen haben, mit den Anzeigen zu interagieren und die beworbenen Angebote zu nutzen (sog. Konversionen). Wir erhalten jedoch nur anonyme Informationen und keine persönlichen Informationen über einzelne Nutzer.
|
|
| 13.6. | Google Ads Remarketing | |
| Beschreibung: | Google Remarketing, auch Retargeting genannt, ist eine Technologie, mit der Nutzer, die einen Online-Dienst nutzen, in eine pseudonyme Remarketing-Liste aufgenommen werden, so dass den Nutzern auf der Grundlage ihres Besuchs bei dem Online-Dienst Anzeigen auf anderen Onlineanageboten angezeigt werden können.
|
|
| 13.7. | Google Adsense mit personalisierten Anzeigen | |
| Beschreibung: | Wir binden den Dienst Google Adsense ein, der es ermöglicht, personalisierte Anzeigen innerhalb unseres Onlineangebots zu platzieren. Google Adsense analysiert das Nutzerverhalten und verwendet diese Daten, um zielgerichtete Werbung auszuspielen, die auf die Interessen unserer Besucher abgestimmt ist. Für jede Anzeigenschaltung oder andere Nutzungsarten dieser Anzeigen erhalten wir eine finanzielle Vergütung.
|
|
| 13.8. | Google Adsense mit nicht-personalisierten Anzeigen | |
| Beschreibung: | Wir nutzen den Dienst Google Adsense, um nicht-personalisierte Anzeigen in unserem Onlineangebot zu schalten. Diese Anzeigen basieren nicht auf dem individuellen Nutzerverhalten, sondern werden anhand allgemeiner Merkmale wie dem Inhalt der Seite oder Ihrer ungefähren geografischen Lage ausgewählt. Für die Einblendung oder sonstige Nutzung dieser Anzeigen erhalten wir eine Vergütung.
|
|
| 13.9. | Instagram Werbeanzeigen | |
| Beschreibung: | Schaltung von Werbeanzeigen innerhalb der Plattform Instagram und Auswertung der Anzeigenergebnisse.
|
|
| 13.10. | PayPal Marketing Solutions | |
| Beschreibung: | Erstellung von Analysen von PayPal-Kunden, die unser Onlineangebot besuchen oder bei uns Zahlungsvorgänge durchführen. Unter anderem werden Cookies verwendet und Informationen wie Browser und Gerät, IP-Adresse, Seitenaufrufe und Klicks sowie die Adresse der besuchten Webseiten sowie die Zahlungsvorgänge verarbeitet.
|
| 14. | Kundenrezensionen und Bewertungsverfahren ___________________ |
|
| Beschreibung: | Der Verantwortliche nimmt an Rezensions- und Bewertungsverfahren teil, um die eigenen Leistungen zu evaluieren, zu optimieren und zu bewerben. Die Teilnahme an diesen Verfahren erfordert, dass der Verantwortliche, mit Einwilligung der Kunden, Daten bezüglich des Kunden und der in Anspruch genommenen Leistung (einschließlich Name, E-Mail-Adresse und Bestellnummer bzw. Artikelnummer) zur Überprüfung der Authentizität des Bewertenden an die jeweiligen Bewertungsplattformen übermittelt. Diese Übermittlung erfolgt ausschließlich zum Zweck der Verifizierung.
Zusätzlich unterliegen Nutzer, die Feedback über die beteiligten Bewertungsplattformen oder -verfahren geben möchten, den Allgemeinen Geschäfts- oder Nutzungsbedingungen sowie den Datenschutzhinweisen der jeweiligen Anbieter. In der Regel ist für eine Bewertung eine Registrierung bei den jeweiligen Plattformen erforderlich. Im Rahmen der Datenschutzerklärung weist der Verantwortliche darauf hin, dass für die Teilnahme an Rezensions- und Bewertungsverfahren zusätzliche Bedingungen und Datenschutzhinweise der Plattformanbieter gelten können und in vielen Fällen eine vorherige Registrierung bei diesen Anbietern notwendig ist. |
|
| Datenkategorien: | Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen. | |
| Betroffene: | Leistungsempfänger und Auftraggeber; Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Feedback (z. B. Sammeln von Feedback via Online-Formular); Marketing. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 14.1. | Bewertungs-Widget | |
| Beschreibung: | Wir binden in unser Onlineangebot sogenannte „Bewertungs-Widgets“ ein. Ein Widget ist ein in unser Onlineangebot eingebundenes Funktions- und Inhaltselement, das veränderliche Informationen anzeigt. Es kann z. B. in Form eines Siegels oder vergleichbaren Elements, zum Teil auch „Badge“ genannt, dargestellt werden. Dabei wird der entsprechende Inhalt des Widgets zwar innerhalb unseres Onlineangebotes dargestellt, er wird aber in diesem Moment von den Servern des jeweiligen Widgets-Anbieters abgerufen. Nur so kann immer der aktuelle Inhalt gezeigt werden, vor allem die jeweils aktuelle Bewertung. Dafür muss eine Datenverbindung von der innerhalb unseres Onlineangebotes aufgerufenen Webseite zu dem Server des Widgets-Anbieters aufgebaut werden und der Widgets-Anbieter erhält gewisse technische Daten (Zugriffsdaten, inklusive IP-Adresse), die nötig sind, damit der Inhalt des Widgets an den Browser des Nutzers ausgeliefert werden kann. Des Weiteren erhält der Widgets-Anbieter Informationen darüber, dass Nutzer unser Onlineangebot besucht haben. Diese Informationen können in einem Cookie gespeichert und von dem Widgets-Anbieter verwendet werden, um zu erkennen, welche Onlineangebote, die am dem Bewertungsverfahren teilnehmen, von dem Nutzer besucht worden sind. Die Informationen können in einem Nutzerprofil gespeichert und für Werbe- oder Marktforschungszwecke verwendet werden.
|
|
| 14.2. | Google Kundenrezensionen | |
| Beschreibung: | Dienst zur Einholung und/oder Darstellung der Kundenzufriedenheit und Kundenmeinungen.
|
| 15. | Präsenzen in sozialen Netzwerken (Social Media) ___________________ |
|
| Beschreibung: | Der Verantwortliche unterhält Onlinepräsenzen innerhalb sozialer Netzwerke und verarbeitet in diesem Rahmen Nutzerdaten, um mit den dort aktiven Nutzern zu kommunizieren oder Informationen über sich anzubieten.
Der Verantwortliche weist die betroffenen Personen im Rahmen der Datenschutzhinweise darauf hin, dass Nutzerdaten außerhalb des Raumes der Europäischen Union verarbeitet werden können. Hierdurch können sich Risiken für die Nutzer ergeben, weil dies beispielsweise die Durchsetzung ihrer Rechte erschweren könnte. Weiterhin verarbeitet der Verantwortliche Daten der Nutzer innerhalb sozialer Netzwerke üblicherweise für Marktforschungs- und Werbezwecke. Anhand des Nutzungsverhaltens und daraus resultierender Interessen der Nutzer können Nutzungprofile erstellt werden. Diese Profile können verwendet werden, um Werbeanzeigen innerhalb und außerhalb der Netzwerke zu schalten, die den Interessen der Nutzer entsprechen könnten. Infolgedessen werden in der Regel Cookies auf den Rechnern der Nutzer gespeichert, welche das Nutzungsverhalten und die Interessen speichern. Darüber hinaus können Daten in den Nutzungprofilen unabhängig von den Geräten, die von den Nutzern verwendet werden, gespeichert werden (insbesondere wenn sie Mitglieder der jeweiligen Plattformen sind und dort eingeloggt sind). Für eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und der Widerspruchsmöglichkeiten (Opt-out) verweist der Verantwortliche die Nutzer auf die Datenschutzerklärungen und Angaben der Betreiber der jeweiligen Netzwerke. Bezüglich Auskunftsanfragen und Geltendmachung von Betroffenenrechten weist der Verantwortliche Nutzer darauf hin, dass diese am effektivsten direkt bei den Anbietern geltend gemacht werden können. Nur diese haben Zugriff auf die Daten der Nutzer und können direkt Maßnahmen ergreifen sowie Auskünfte erteilen. Sollten betroffene Personen dennoch Hilfe benötigen, steht ihnen der Verantwortliche zur Verfügung. |
|
| Datenkategorien: | Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Kommunikation; Feedback (z. B. Sammeln von Feedback via Online-Formular); Öffentlichkeitsarbeit; Marketing; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit. | |
| Datenquellen: | Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“. | |
| Rechtsgrundlagen: | Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO. | |
| 15.1. | ||
| Beschreibung: | Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Profilen und Seiten.
|
|
| 15.2. | TikTok | |
| Beschreibung: | Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Accounts.
|
|
| 15.3. | TikTok Business | |
| Beschreibung: | Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Accounts – Wir und TikTok sind gemeinsam verantwortlich bei der Sammlung und Übertragung von Eventdaten sowie bei der Messung und Erstellung von Insights-Berichten (Statistiken) für Profilinhaber. Zu diesen Eventdaten gehören Informationen zu den Arten von Inhalten, die Nutzer sich ansehen oder mit denen sie interagieren, oder die von ihnen vorgenommenen Handlungen sowie Informationen über die von den Nutzern genutzten Geräte (z. B. IP-Adressen, Betriebssystem, Browsertyp, Spracheinstellungen, Cookie-Daten) und Angaben aus dem Profil der Nutzer, wie Land oder Ort. Datenschutzinformationen zur Verarbeitung von Daten der Nutzer durch TikTok können den Datenschutzhinweisen von TikTok entnommen werden: https://www.tiktok.com/legal/page/eea/privacy-policy/de. Wir haben mit TikTok eine spezielle Vereinbarung über gemeinsame Verantwortlichkeit abgeschlossen, in der insbesondere geregelt wird, welche Sicherheitsmaßnahmen TikTok beachten muss und in der TikTok sich bereit erklärt hat, die Betroffenenrechte zu erfüllen (d. h. Nutzer können z. B. Auskünfte oder Löschungsanfragen direkt an TikTok richten). Die Rechte der Nutzer (insbesondere auf Auskunft, Löschung, Widerspruch und Beschwerde bei zuständiger Aufsichtsbehörde) werden durch die Vereinbarungen mit TikTok nicht eingeschränkt. Die Vereinbarung über gemeinsame Verantwortlichkeit findet sich in den „Jurisdiction Specific Terms“ von TikTok: https://ads.tiktok.com/i18n/official/policy/jurisdiction-specific-terms.;
|
|
| 15.4. | YouTube | |
| Beschreibung: | Soziales Netzwerk und Videoplattform.
|
| 16. | Plug-ins und eingebettete Funktionen sowie Inhalte ___________________ |
|
| Beschreibung: | Der Verantwortliche bindet Funktions- und Inhaltselemente in das Onlineangebot ein, die von den Servern der jeweiligen Anbieter (nachfolgend als „Drittanbieter“ bezeichnet) bezogen werden. Dies umfasst unter anderem Grafiken, Videos oder Stadtpläne (nachfolgend einheitlich als „Inhalte“ bezeichnet). Die Einbindung dieser Inhalte setzt voraus, dass die Drittanbieter die IP-Adresse der Nutzer verarbeiten, da ohne diese eine Übermittlung der Inhalte an den Browser nicht möglich ist. Die IP-Adresse ist somit für die Darstellung dieser Inhalte oder Funktionen erforderlich. Der Verantwortliche strebt an, ausschließlich Inhalte zu nutzen, bei denen die jeweiligen Anbieter die IP-Adresse nur für die Auslieferung der Inhalte verwenden. Drittanbieter können zudem sogenannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons“ bezeichnet) für statistische oder Marketingzwecke nutzen. Durch diese Pixel-Tags können Informationen wie der Besucherverkehr auf den Seiten des Onlineangebots ausgewertet werden. Die pseudonymisierten Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert und unter anderem mit technischen Auskünften zum Browser und Betriebssystem, zu verweisenden Webseiten, zur Besuchszeit sowie weiteren Angaben zur Nutzung des Onlineangebots verbunden werden. Diese Informationen können auch mit Daten aus anderen Quellen zusammengeführt werden.
Bezüglich der Rechtsgrundlagen: Wenn vom Verantwortlichen eine Einwilligung der Nutzer für den Einsatz von Drittanbietern eingeholt wird, dient deren Zustimmung als Rechtsgrundlage für die Datenverarbeitung. Andernfalls erfolgt die Verarbeitung von Nutzerdaten auf Grundlage berechtigter Interessen des Verantwortlichen (d. h., das Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen). In diesem Kontext weist der Verantwortliche im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten auf den Einsatz von Cookies sowie auf weitere relevante Informationen hin. |
|
| Datenkategorien: | Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Event-Daten (Facebook) („Event-Daten“ sind Informationen, die beispielsweise über Meta-Pixel (sei es über Apps oder andere Kanäle) an den Anbieter Meta gesendet werden und sich auf Personen oder deren Aktionen beziehen. Zu diesen Daten zählen etwa Details zu Website-Besuchen, Interaktionen mit Inhalten und Funktionen, App-Installationen sowie Produktkäufe. Die Verarbeitung der Event-Daten erfolgt mit dem Ziel, Zielgruppen für Inhalte und Werbebotschaften (Custom Audiences) zu erstellen. Es ist wichtig zu beachten, dass Event-Daten keine tatsächlichen Inhalte wie verfasste Kommentare, keine Login-Informationen und keine Kontaktinformationen wie Namen, E-Mail-Adressen oder Telefonnummern umfassen. „Event-Daten“ werden von Meta nach maximal zwei Jahren gelöscht, und die daraus gebildeten Zielgruppen verschwinden mit der Löschung unserer Meta-Nutzer-Konten. | |
| Betroffene: | Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten. | |
| Zwecke/ Interesse: | Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Reichweitenmessung (z. B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher); Tracking (z. B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies); Zielgruppenbildung; Marketing; Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten. | |
| Datenquellen: | Erhebung bei betroffenen Personen; Erhebung bei Nutzern. | |
| Aufbewahrung und Löschung: | Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“; Speicherung von Cookies von bis zu 2 Jahren (Sofern nicht anders angegeben, können Cookies und ähnliche Speichermethoden für einen Zeitraum von zwei Jahren auf den Geräten der Nutzer gespeichert werden. | |
| Rechtsgrundlagen: | Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO. | |
| 16.1. | Facebook-Plugins und -Inhalte | |
| Beschreibung: | Facebook Social Plugins und Inhalte – Hierzu können z. B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer Inhalte dieses Onlineangebotes innerhalb von Facebook teilen können. Die Liste und das Aussehen der Facebook Social Plugins können hier eingesehen werden: https://developers.facebook.com/docs/plugins/ – Wir sind gemeinsam mitMeta Platforms Ireland Limited für die Erhebung oder den Erhalt im Rahmen einer Übermittlung (jedoch nicht die weitere Verarbeitung) von „Event-Daten“, die Facebook mittels der Facebook-Social-Plugins (und Einbettungsfunktionen für Inhalte), die auf unserem Onlineangebot ausgeführt werden, erhebt oder im Rahmen einer Übermittlung zu folgenden Zwecken erhält, gemeinsam verantwortlich: a) Anzeige von Inhalten sowie Werbeinformationen, die den mutmaßlichen Interessen der Nutzer entsprechen; b) Zustellung kommerzieller und transaktionsbezogener Nachrichten (z. B. Ansprache von Nutzern via Facebook-Messenger); c) Verbesserung der Anzeigenauslieferung und Personalisierung von Funktionen und Inhalten (z. B. Verbesserung der Erkennung, welche Inhalte oder Werbeinformationen mutmaßlich den Interessen der Nutzer entsprechen). Wir haben mit Facebook eine spezielle Vereinbarung abgeschlossen („Zusatz für Verantwortliche“, https://www.facebook.com/legal/controller_addendum), in der insbesondere geregelt wird, welche Sicherheitsmaßnahmen Facebook beachten muss (https://www.facebook.com/legal/terms/data_security_terms) und in der Facebook sich bereit erklärt hat die Betroffenenrechte zu erfüllen (d. h. Nutzer können z. B. Auskünfte oder Löschungsanfragen direkt an Facebook richten). Hinweis: Wenn Facebook uns Messwerte, Analysen und Berichte bereitstellt (die aggregiert sind, d. h. keine Angaben zu einzelnen Nutzern erhalten und für uns anonym sind), dann erfolgt diese Verarbeitung nicht im Rahmen der gemeinsamen Verantwortlichkeit, sondern auf Grundlage eines Auftragsverarbeitungsvertrages („Datenverarbeitungsbedingungen „, https://www.facebook.com/legal/terms/dataprocessing) , der „Datensicherheitsbedingungen“ (https://www.facebook.com/legal/terms/data_security_terms) sowie im Hinblick auf die Verarbeitung in den USA auf Grundlage von Standardvertragsklauseln („Facebook-EU-Datenübermittlungszusatz, https://www.facebook.com/legal/EU_data_transfer_addendum). Die Rechte der Nutzer (insbesondere auf Auskunft, Löschung, Widerspruch und Beschwerde bei zuständiger Aufsichtsbehörde), werden durch die Vereinbarungen mit Facebook nicht eingeschränkt.;
|
|
| 16.2. | Google Fonts (Bereitstellung auf eigenem Server) | |
| Beschreibung: | Bereitstellung von Schriftarten-Dateien zwecks einer nutzerfreundlichen Darstellung unseres Onlineangebotes.
|
|
| 16.3. | reCAPTCHA | |
| Beschreibung: | Wir binden die Funktion „reCAPTCHA“ ein, um erkennen zu können, ob Eingaben (z. B. in Onlineformularen) von Menschen und nicht von automatisch agierenden Maschinen (sogenannten „Bots“) getätigt werden. Zu den verarbeiteten Daten können IP-Adressen, Informationen zu Betriebssystemen, Geräten oder verwendeten Browsern, Spracheinstellungen, Standort, Mausbewegungen, Tastaturanschläge, Verweildauer auf Webseiten, zuvor besuchte Webseiten, Interaktionen mit ReCaptcha auf anderen Webseiten, unter Umständen Cookies sowie Ergebnisse von manuellen Erkennungsvorgängen (z. B. Beantwortung von gestellten Fragen oder Auswahl von Objekten in Bildern) gehören. Die Datenverarbeitung erfolgt auf Grundlage unserer berechtigten Interesse, unser Onlineangebot vor missbräuchlichem automatisiertem Crawling und Spam zu schützen.
|
|
| 16.4. | YouTube-Videos | |
| Beschreibung: | Videoinhalte.
|
|
| 16.5. | YouTube-Videos | |
| Beschreibung: | Innerhalb unseres Onlineangebotes sind Videos eingebettet, die bei YouTube gespeichert sind. Die Integration dieser YouTube-Videos erfolgt über eine spezielle Domain mithilfe der Komponente „youtube-nocookie“ im sogenannten „erweiterten Datenschutzmodus“. Im „erweiterten Datenschutzmodus“ können bis zum Start des Videos lediglich Informationen, zu denen Ihre IP-Adresse sowie Angaben zum Browser und Ihrem Endgerät gehören, auf Ihrem Endgerät in Cookies oder mittels vergleichbarer Verfahren gespeichert werden, die YouTube für die Ausgabe, Steuerung und Optimierung der Videoanzeige benötigt. Sobald Sie die Videos abspielen, können zusätzlich Informationen zur Analyse des Nutzungsverhaltens sowie zur Speicherung im Nutzerprofil und zur Personalisierung von Inhalten und Anzeigen durch YouTube verarbeitet werden. Die Speicherdauer für die Cookies kann bis zu zwei Jahre betragen.
|
III. Anhang: Technisch-organisatorische Maßnahmen (TOMs)
| Technisch-organisatorische Maßnahmen ___________________ |
||
| Beschreibung: | Es wird für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau Gewähr geleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. |
| 1. | Organisatorische Maßnahmen ___________________ |
|
| Beschreibung: | Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten. | |
| 1.1. | Datenschutz-management-system, bzw. Datenschutz-konzept | |
| Beschreibung: | Der Auftragsverarbeiter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung. | |
| 1.2. | Organisationsstruktur für die Datensicherheit und Datenschutz | |
| Beschreibung: | Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist integriert in unternehmensweite Prozesse und Verfahren integriert. | |
| 1.3. | Es existieren interne Sicherheitsricht- bzw. Leitlinien | |
| Beschreibung: | Es sind interne Sicherheitsricht- bzw. -leitlinien definiert, die unternehmensintern gegenüber Mittarbeitern als verbindliche Regeln kommuniziert werden. | |
| 1.4. | Regelmäßige und anlassloses System- und Sicherheitstests | |
| Beschreibung: | Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, durchgeführt. | |
| 1.5. | Beobachtung Stand der Technik und erforderliche Umsetzung | |
| Beschreibung: | Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet. | |
| 1.6. | Konzept zur Wahrung von Betroffenenrechten | |
| Beschreibung: | Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Auftraggeber gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen. | |
| 1.7. | Notfallkonzept | |
| Beschreibung: | Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen. | |
| 1.8. | Dokumentation bei Sicherheitsvorkommnissen (Security Reporting) | |
| Beschreibung: | Sicherheitsvorkommnisse werden konsequent dokumentiert, auch wenn sie nicht zu einer externen Meldung (z. B. an die Aufsichtsbehörde, betroffene Personen) führen (sogenanntes „Security Reporting“). | |
| 1.9. | Sorgfältige Auswahl Dienstleister/ freie Mitarbeiter und ggf. Verpflichtung auf Vertraulichkeit | |
| Beschreibung: | Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Wartungs-, Wach-, Transport- und Reinigungsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern die Dienstleister im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Auftraggebers erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet. | |
| 1.10. | Beachtung Vorgaben Datenschutz durch Technik | |
| Beschreibung: | Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt. | |
| 1.11. | Aktueller Stand von Hardware und Software | |
| Beschreibung: | Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme). | |
| 1.12. | Bezug Standardsoftware und Updates aus vertrauenswürdigen Quellen | |
| Beschreibung: | Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen. | |
| 1.13. | Papierloses Büro | |
| Beschreibung: | Es wird ein „papierloses Büro“ geführt, d. h. Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform aufbewahrt. | |
| 1.14. | Angemessenes Lösch- und Entsorgungskonzept | |
| Beschreibung: | Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und Datenträgern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und soweit zuständig, über Vorgaben für die Datenvernichtung oder Gerätevernichtung durch Dienstleister unterrichtet. | |
| 1.15. | Sperrvermerke/ Aussonderung von Daten, wenn keine Löschung | |
| Beschreibung: | Die Verarbeitung der Daten des Auftraggebers, die nicht entsprechend den Vereinbarungen dieses Auftragsverarbeitungsvertrages gelöscht wurden (z. B. in Folge der gesetzlichen Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt. |
| 2. | Datenschutz auf Mitarbeiterebene ___________________ |
|
| Beschreibung: | Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter, über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen. | |
| 2.1. | Verpflichtung Mitarbeiter auf Datenschutzgeheimnis | |
| Beschreibung: | Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet. | |
| 2.2. | Schulung und Sensibilisierung von Mitarbeitern | |
| Beschreibung: | Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung wird in angemessenen Zeitabständen oder wenn es die Umstände erfordern wiederholt. | |
| 2.3. | Entzug von Zutritts- und Zugangsberechtigungen ausscheidender Mitarbeiter | |
| Beschreibung: | Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen. | |
| 2.4. | Clean-Desk-Richtlinie | |
| Beschreibung: | Mitarbeiter werden verpflichtet, ihre Arbeitsumgebung aufgeräumt zu hinterlassen und so insbesondere den Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten zu verhindern (Clean Desk Policy). |
| 3. | Zutrittskontrolle ___________________ |
|
| Beschreibung: | Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern, mit denen personenbezogene Daten verarbeitet werden. | |
| 3.1. | Personenkontrolle beim Pförtner oder am Empfang | |
| Beschreibung: | Es findet eine Personenkontrolle beim Pförtner oder am Empfang statt. | |
| 3.2. | Protokollierung Ausgabe Schlüssel und/oder Zugangskarten | |
| Beschreibung: | Die Ausgabe und Rückgabe von Schlüsseln und/ oder Zugangskarten wird protokolliert. | |
| 3.3. | Sperrung von Geräten und Sicherung der Arbeitsumgebung beim Verlassen | |
| Beschreibung: | Mitarbeiter werden verpflichtet, Geräte zu sperren oder sie besonders zu sichern, wenn sie ihre Arbeitsumgebung oder die Geräte verlassen. | |
| 3.4. | Akten und Dokumente werden sicher aufbewahrt | |
| Beschreibung: | Unterlagen (Akten, Dokumente, etc.) werden sicher, z. B. in Aktenschränken oder sonstigen angemessen gesicherten Containern aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert. | |
| 3.5. | Datenträger werden sicher aufbewahrt | |
| Beschreibung: | Datenträger werden sicher aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert. |
| 4. | Zugangskontrolle ___________________ |
|
| Beschreibung: | Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird. | |
| 4.1. | Passwortkonzept entsprechend Stand der Technik | |
| Beschreibung: | Ein Passwortkonzept legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen. | |
| 4.2. | Passwortschutz aller Datenverarbeitungsanlagen | |
| Beschreibung: | Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt. | |
| 4.3. | Passwörter werden nicht im Klartext gespeichert oder übertragen | |
| Beschreibung: | Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt übertragen. | |
| 4.4. | Löschung von Zugangsinformationen ausgeschiedener Mitarbeiter | |
| Beschreibung: | Zugangsdaten werden, wenn deren Benutzer das Unternehmen oder Organisation des Auftragsverarbeiters verlassen haben, gelöscht oder deaktiviert. | |
| 4.5. | Einsatz aktueller Anti-Viren-Software | |
| Beschreibung: | Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt. | |
| 4.6. | Einsatz Software-Firewall | |
| Beschreibung: | Einsatz von Software-Firewall(s). |
| 5. | Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten) ___________________ |
|
| Beschreibung: | Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind. | |
| 5.1. | Angemessenes Berechtigungskonzept | |
| Beschreibung: | Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist. | |
| 5.2. | Regelmäßige Prüfung des Berechtigungskonzeptes | |
| Beschreibung: | Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert. | |
| 5.3. | Kontrolle der Administratoren | |
| Beschreibung: | Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert. | |
| 5.4. | Generelle Nachvollziehbarkeit von Datenzugriffen | |
| Beschreibung: | Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z. B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept). |
| 6. | Weitergabekontrolle ___________________ |
|
| Beschreibung: | Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. | |
| 6.1. | Fernzugriff/ Fernwartung per VPN | |
| Beschreibung: | Beim Zugriff auf betriebsinterne Systeme von außen (z. B. bei Fernwartung), werden verschlüsselte Übertragungstechnologien verwendet (z. B. VPN). | |
| 6.2. | Transportverschlüsselung von E-Mails | |
| Beschreibung: | E-Mails werden während der Übertragung verschlüsselt, was bedeutet, dass die E-Mails auf dem Weg vom Absender zum Empfänger davor geschützt sind, von jemandem gelesen zu werden, der Zugang zu den Netzwerken hat, durch die die E-Mail gesendet wird. | |
| 6.3. | Verschlüsselte Übermittlung Daten via Webseiten (TLS) | |
| Beschreibung: | Die Übermittlung und Verarbeitung von personenbezogenen Daten des Auftraggebers über Onlineangebote (Webseiten, Apps, etc.), erfolgt geschützt mittels einer TLS oder einer gleichwertig sicheren Verschlüsselung. |
| 7. | Auftragskontrolle, Zweckbindung und Trennungskontrolle ___________________ |
|
| Beschreibung: | Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verarbeitung dieser Daten erfolgt. | |
| 7.1. | Gesonderte Dokumentation der Auftragsverarbeitung | |
| Beschreibung: | Die für den Auftraggeber durchgeführten Verarbeitungsprozesse werden in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert. | |
| 7.2. | Sorgfältige Auswahl von Unterauftragsverarbeitern und Dienstleistern | |
| Beschreibung: | Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern. | |
| 7.3. | Weitergabe von Weisungen an Mitarbeiter und Unterauftragsverarbeiter | |
| Beschreibung: | Mitarbeiter und Beauftragte werden verständlich und deutlich über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen informiert und entsprechend instruiert. Eine gesonderte Information und Instruktion sind nicht erforderlich, wenn die Einhaltung des zulässigen Rahmens ohnehin, z. B. aufgrund anderweitiger Vereinbarungen oder betrieblicher Übung, verlässlich zu erwarten ist. | |
| 7.4. | Überprüfung der Einhaltung von Weisungen | |
| Beschreibung: | Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft. | |
| 7.5. | Besondere Beachtung der Löschfristen für Auftragsdaten | |
| Beschreibung: | Die für die Verarbeitung der personenbezogenen Daten des Auftraggebers geltenden Löschfristen werden innerhalb des Löschkonzepts des Auftragsverarbeiters, sofern erforderlich gesondert, dokumentiert. | |
| 7.6. | Logische Trennung der Daten des Auftraggebers | |
| Beschreibung: | Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z. B. in unterschiedlichen Datenbanken oder durch angemessene Attribute). | |
| 7.7. | Trennung Produktiv-, Test- und Entwicklungsumgebung | |
| Beschreibung: | Produktiv- und Testdaten werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrieben. |
| 8. | Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen ___________________ |
|
| Beschreibung: | Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können. | |
| 8.1. | Einsatz ausfallsicherer, redundanter Serversysteme und Dienste | |
| Beschreibung: | Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind. | |
| 8.2. | Speicherung von Daten bei externen und zuverlässigen Hostinganbietern | |
| Beschreibung: | Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung. | |
| 8.3. | Regelmäßiges und dokumentiertes Patch-Management | |
| Beschreibung: | Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden. | |
| 8.4. | Ausfallsichere Stromversorgung von Serversystemen | |
| Beschreibung: | Die zur Verarbeitung eingesetzten Serversysteme verfügen über eine unterbrechungsfreie Stromversorgung (USV), die gegen Ausfälle angemessen gesichert ist und ein geregeltes Herunterfahren in Notfällen ohne Datenverlust sicherstellt. | |
| 8.5. | Brandschutz der Serversysteme | |
| Beschreibung: | Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen angemessenen Brandschutz (Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder Feuerlöschgeräte). | |
| 8.6. | Schutz der Serversysteme vor Feuchtigkeitsschaden | |
| Beschreibung: | Es werden Serversysteme eingesetzt, die über einen Schutz vor Feuchtigkeitsschaden (z. B. Feuchtigkeitsmelder) verfügen. | |
| 8.7. | Schutz von Datensätzen vor versehentlicher Veränderung oder Löschung | |
| Beschreibung: | Die Datensätze des Auftraggebers werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups). | |
| 8.8. | Angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept | |
| Beschreibung: | Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen. |
