Datenschutzinformationen für Kund*innen

Betroffene

Diese Erklärung richtet sich an alle Personen, die Kund*innen der Verantwortlichen sind, wozu auch potenzielle und ehemalige Kund*innen gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortliche

Verantwortliche für die hier beschriebene Verarbeitung ist: Growthartig GmbH, Ritterstraße 14, 10969 Berlin, E-Mail: [email protected], Geschäftsführer: Hassan Elammar, Datenschutzbeauftragter: STANHOPE Rechtsanwaltsgesellschaft mbH, Rechtsanwalt Dr. Stephan Gärtner, erreichbar per [email protected] oder an die o.g. Anschrift mit dem Adresszusatz „persönlich, vertraulich, nur z.Hd. des Datenschutzbeauftragten“.

Rechte der Betroffenen und sonstige Hinweise

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Übermittlung in Länder außerhalb der Europäischen Union

(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU- Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU- Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU- Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 46 DSGVO.
(4) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO.

Es werden vorsorgliche folgende Risikohinweise erteilt:

Grundsätzlich hat die Europäische Kommission den USA attestiert, dass sie ein sicheres Drittland sind. Daher wird nur vorsorglich und nur für den Fall, dass ausnahmsweise eine Einwilligung für die Datenübermittlung in die USA eingeholt wird, folgendes mitgeteilt: Die rechtsstaatlichen Prinzipien in den USA sind nicht mit denen aus der Europäischen Union vergleichbar. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können Betroffene ihre Rechte nur eingeschränkt geltend machen.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird

Erwartbare Standarddatenverarbeitung

Vertragsanbahnung:

Erstkontakt

Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit der Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E- Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Die Verantwortliche erstellt auf dieser Grundlage ein Angebot und speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Geltendmachung von Rechten

Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.

 

Löschung

Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Vertragsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.


Aktives Vertragsverhältnis:

Durchführung des Vertrages

Nach Zustandekommen des Vertrages erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.


Veränderungen bei der Datenverarbeitung

Sofern die Verantwortliche die Verarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen per E-Mail übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

 

Geltendmachung von Rechten

Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.


Konflikte im Vertragsverhältnis

Im Fall eines rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärungen abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem rechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, rechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt. Soweit Daten extern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Löschung
Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Vertragsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.


Nach Ende des aktiven Vertragsverhältnisses:

Aufbewahrung Deutschland (Standard)

(1) Nach Ende des Beschäftigungsverhältnisses werden alle vorgenannten Daten, die noch gespeichert werden, aufbewahrt. Insoweit Hinsichtlich der Aufbewahrung ergeben sich Zweck und Rechtsgrundlage aus der untenstehenden Auflistung der Aufbewahrungszeiträume (Absatz 2)

(2) Es gelten folgende Aufbewahrungszeiten:

a. Aufbewahrungszeitraum 1: Interne Aufzeichnungen (z.B. Jahresabschlüsse, Buchungsbelege) sind 10 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
b. Aufbewahrungszeitraum 2: Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
c. Aufbewahrungszeitraum 3: Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
d. Aufbewahrungszeitraum 4: Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
e. Aufbewahrungszeitraum 5: Daten, die auf einer Einwilligung beruhen, sind bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufzubewahren, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
f. Aufbewahrungszeitraum 6: Daten, die die Erteilung der Einwilligung beweisen, sind 3 Jahre aufzubewahren, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).

Löschung der Daten

Nach Ablauf der Aufbewahrungszeiträume werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.

Außergewöhnliche Datenverarbeitung

Bonitätsprüfung

(1) Die Verantwortliche fragt bei den Betroffenen nach einer Einwilligung für eine Bonitätsprüfung, etwa bei einer Auskunftei. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(2) Die Verantwortliche übermittelt die für die Bonitätsprüfung erforderlichen Kontaktdaten an externe Dienstleister (i.d.R. Name, Anschrift, Information, welches Geschäft beabsichtigt ist). Zweck ist die Minimierung des Vorleistungsrisikos. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Ob und bejahendenfalls, wie die Bonitätsdaten in Entscheidungen der Verantwortlichen einfließen, hängt vom konkreten Einzelfall ab und wird maßgeblich durch menschliches Zutun beeinflusst.

Einbindung einer Buchhaltungssoftware

Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten der Betroffenen an eine externe Buchhaltungssoftwarei. Hierfür verarbeitet sie den Namen und sämtliche Daten, die sich auch Rechnungen und Zahlungszugängen ergeben. Zweck ist die Inanspruchnahme der Unterstützung einer externen Software bei der Buchhaltung. Soweit hier keine Auftragsverarbeitungsvereinbarung greift, ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage, wobei sich die rechtlichen Verpflichtungen aus den maßgeblichen, steuerrechtlichen Normen ergibt.

Videotestimonial

(1) Die Verantwortliche ermöglicht den Betroffenen in einigen, ausgewählten Fällen, ein Testimonial/Videotestimonial abzugeben.
(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Die Verantwortlich fertigt das Videotestimonial an und veröffentlicht es, soweit die Einwilligung es zulässt. Hierbei werden folgende Daten verarbeitet: Name, Bild- und Tondaten. Zweck ist Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Werbliche Ansprache per E-Mail

Die Verantwortliche nutzt die E-Mail-Adressen der Betroffenen, um diese werblich anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

Werbliche Ansprache per Post

Die Verantwortliche nutzt die Anschriften der Betroffenen, um diese werblich per Post anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

Sicherheitsüberprüfung von E-Mails

Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.

Videokonferenzen

(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz.
(2) Falls die Betroffenen sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Die Verantwortliche führt Gespräche per Videokonferenz durch. Hierbei verarbeitet sie die hierbei anfallenden Bild- und Tondaten sowie etwaige Mitschriften. Zweck ist die Anbahnung bzw. Durchführung eines Vertragsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

Einbindung Steuerberatungskanzlei

Die Daten zur steuerlichen Erfassung werden an eine externe Steuerberatungskanzlei übermittelt. Hiervon sind folgende Daten umfasst: Name, Kontaktdaten, sämtliche für die Besteuerung relevanten Daten, die die Betroffenen freiwillig mitteilen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Wahrnehmung externer, steuerrechtlicher Unterstützung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Soweit Daten in der externen Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK- Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Anfertigung von Medienaufnahmen

(1) Die Verantwortliche ermöglicht den Betroffenen in einigen, ausgewählten Fällen Medienaufnahmen (Foto, Film, Ton) anfertigen zu lassen.
(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Von den Betroffenen werden Medienaufnahmen angefertigt und, soweit die Einwilligung reicht, in einigen, von der Verantwortlichen zu bestimmenden Fällen auch veröffentlicht. Hierbei verarbeitet sie die Bild-, Film- und Tondaten. Zweck ist die Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

Veranstaltungen

Die Verantwortliche führt Veranstaltungen durch und verarbeitet die Daten der Betroffenen bei der Anmeldung zur sowie Durchführung der Veranstaltung. Hierbei verarbeitet sie grundsätzlich folgende Daten: Name, Kontaktdaten, Teilnahmestatus. Zweck ist die Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Zur Veranstaltung ist folgendes zu ergänzen:

Kostenpflichtige Veranstaltungen

Soweit die Veranstaltung kostenpflichtig ist, werden Rechnungen erstellt, versendet und der Zahlungsstatus geprüft. Hierbei werden folgende Daten verarbeitet: Name, Rechnungsanschrift, Zahlungsstatus. Zweck ist die Durchsetzung des eigenen Vergütungsanspruches, soweit es der Durchführung des Veranstaltungsvertrages dient. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Kostenfreie Veranstaltung

Soweit die Veranstaltung kostenfrei ist, werden Einladungen erstellt und versendet. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Zahlungsstatus. Zweck ist die Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. 

Medienaufnahmen während der Veranstaltung

(1) Die Verantwortliche dokumentiert die Veranstaltung mit Medienaufnahmen (Foto, Ton, Film).
(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Von den Betroffenen fertigt sie die Aufnahmen an und veröffentlicht sie, soweit die erteilte Einwilligung dies erlaubt. Hierbei werden folgende Daten verarbeitet: Name, Ton- und Bilddaten. Zweck ist die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit. a DSGVO greift.


Outsourcing: Empfängerinnen, Auftragsverarbeiterinnen

Folgende Empfänger*innen und sonstige externe Stellen erhalten in diesem Zusammenhang Daten der Betroffenen:

Google (Suite):

Es werden Tools der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

Google Workspace:

Es wird das Cloud- und Office-Software-Tool Google Workspace eingesetzt.

Google Meet:
Es wird das Videokonferenztool Google Meet eingesetzt.

G-Mail:
Es wird das E-Mail-Tool „G-Mail“ eingesetzt.

YouTube (eigener Kanal):
Es wird die Videoplattform YouTube mit einem eigenen Kanal genutzt.

YouTube (Medienaufnahmen):
Es werden Medienaufnahmen der hiesigen Betroffenen auf der Videoplattform YouTube veröffentlicht.

Hubspot (Suite):

Es werden diverse Tools der Hubspot, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

Hubspot CRM:
Es wird das CRM von Hubspot eingesetzt.

Hubspot Marketing Hub:
Es wird das Marketing-Tool „Hubspot Marketing Hub” eingesetzt.

Hubspot Meetingplaner:
Es wird das Terminvereinbarungs-Tool „Hubspot Marketing Hub” eingesetzt.

Proven Expert:

Es wird Tool „Proven Expert“ der Expert Systems AG (Deutschland – EU) eingesetzt.

Trust Pilot:

Es wird das Tool „Trustpilot“ der Trustpilot A/S, (Dänemark – EU) eingesetzt.

Adobe Sign:

Es wird das Signasturtool „Adobe Sign“ der Adobe Systems Software Ireland Limited (Irland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Adobe Inc., USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Zapier:

Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Meta (soziale Netzwerke):

Es werden soziale Netzwerke der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Soweit der Verantwortliche und die Anbieterin des jeweils genutzten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die Anbieterin des sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein:

Facebook (Unternehmensseite):
Es wird eine Unternehmens- und/oder Produktseite bei Facebook betrieben.

Facebook (Custom Audience):
Es werden E-Mail-Adressen der Betroffenen bei Facebook hochgeladen. Sofern diese E-Mail-Adressen dort zugeordnet werden können, werden die Betroffenen dort werblich angesprochen.

Facebook (Medienaufnahmen):
Sofern die Verantwortliche über Foto-, Film- und/oder Tonaufnahmen der Betroffenen verfügt, veröffentlicht sie diese Medienaufnahmen bei Facebook.

Instagram (Unternehmensseite):
Es wird eine Unternehmens- und/oder Produktseite bei Instagram betrieben.

Instagram (Custom Audience):
Es werden E-Mail-Adressen der Betroffenen bei Facebook hochgeladen. Sofern diese E-Mail-Adressen dort zugeordnet werden können, werden die Betroffenen dort werblich angesprochen.

Instagram (Medienaufnahmen):
Sofern die Verantwortliche über Foto-, Film- und/oder Tonaufnahmen der Betroffenen verfügt, veröffentlicht sie diese Medienaufnahmen bei Instagram.

LinkedIn (soziales Netzwerk):

Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein:

LinkedIn (Unternehmensseite):
Es wird eine Unternehmens- und/oder Produktseite bei LinkedIn betrieben 

TikTok (soziales Netzwerk):

Es wird das soziale Netzwerk „TikTok“, das von der TikTok Technology Limited (EU – Irland) und der TikTok Information Technologies UK Limited (Vereinigtes Königreich von England und Nordirland) gemeinschaftlich angeboten wird, eingesetzt. Aus der Datenschutzerklärung der Drittanbieterinnen geht jedoch vor, dass sie Daten auch an andere Unternehmen ihrer „Unternehmensgruppe“ weitergeben, ohne jedoch zu spezifizieren, welche Unternehmen dazugehörigen. Trotz öffentlich gegenteiliger Aussagen ist daher nicht auszuschließen, dass die Daten zu Unternehmen in den USA und/oder die Volksrepublik China, dort insbesondere an die Muttergesellschaft Beijing Bytedance Technology Ltd. (Volksrepublik China) übermittelt und dort auch verarbeitet werden. Soweit der Verantwortliche und die Drittanbieterinnen des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, haben sie eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vereinbart. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA, China) ist gemäß Artikel 49 Absatz 1 lit. a DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein:

TikTok (Unternehmensseite):
Es wird eine Unternehmens- und/oder Produktseite bei TikTok betrieben. 

WhatsApp:

Es wird der Messengerdienst „WhatsApp“ der WhatsApp Ireland Limited (Irland – EU) eingesetzt. Sofern hierüber Daten verarbeitet werden, ist nicht auszuschließen, dass diese Daten wie folgt weiterübermittelt werden:
Innerhalb der EU werden sie womöglich an die Meta Platforms Ireland Limited (Irland – EU) und die Facebook Germany GmbH (Deutschland – EU) und die FB Spain S.L. (Spanien – EU) übermittelt. Etwaige Übermittlungen zur Facebook Israel Limited (Israel) und zur Facebook UK Limited (Vereinigtes Königreich) sind nach Artikel 45 DSGVO ergänzend gerechtfertigt.
Etwaige Übermittlungen an die Meta Platforms Inc. (USA) und die WhatsApp LLC (USA) sind mit Blick auf Beschäftigtendaten nach Artikel 46 DSGVO und im Übrigen nach Artikel 45 DSGVO ergänzend gerechtfertigt.
Übermittlungen an die Facebook Singapur Pie Limited (Singapur) sind nach Artikel 46 DSGVO ergänzend gerechtfertigt. 

Calendly:

Es wird das Terminbuchung-Tool „Calendly“ der Calendly LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. 

easybill
Es wird das Buchhaltungs-Tool „easybill“ der easybill GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. 

Datev:

Es wird das Buchhaltungs-Tool „Datev“ der Datev eG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

externe Steuerberatungskanzlei:

Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK- Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Asana:

Es wird das Projektmanagement-Tool „Asana“ der Asana Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Confluence:

Es wird das Projektmanagement-Tool „Confluence“ der Atlassian Pty Ltd (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Australien) ist gemäß Artikel 46 DSGVO gerechtfertigt.

slack:

Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Trello:

Es wird das Kollaborations-Tool „Trello der Trello, Inc. (USA) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

webinarjam:

Es wird das Webinar- bzw. Videokonferenz-Tool „webinarjam“ der Genesis Digital LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Loom:

Es wird das Webinar- bzw. Videokonferenz-Tool „Loom“ der Loom Inc (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Glossar

Es folgt ein Glossar. Nicht alle Sachverhalte, die im Glossar erläutert werden, spielen notwendigerweise eine Rolle bei den hier beschrieben Datenverarbeitungsvorgängen. Sie dienen nur dem allgemeinen Verständnis und damit der Transparenz.

Thema: Grundbegriffe

Personenbezogene Daten: Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.

Verarbeitung personenbezogener Daten: Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.

Einwilligung: Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.

Thema: Soziale Medien

Unternehmens- und/oder Produktseite: Diese Formulierung bedeutet, dass die Verantwortliche eine Unternehmens- bzw. Produktseite bei einem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Plugin: Diese Formulierung bedeutet, dass die Verantwortliche auf der Internetseite ein Plugin einer Drittanbieterin eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil der Verantwortlichen. Die Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an die jeweilige Drittanbieterin des Plug-ins weitergegeben werden. Die Drittanbieterin ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Die Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit der Drittanbieterin des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält die Drittanbieterin die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an die jeweilige Drittanbieterin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei der jeweiligen Drittanbieterin besitzen und dort eingeloggt sind. Wenn sie bei der Drittanbieterin eingeloggt sind, werden ihre durch die hiesige Verantwortliche erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei der jeweiligen Drittanbieterin unterhalten.

Ads: Diese Formulierung bedeutet, dass die Verantwortliche sog. „Ads“ (Anzeigen) in einem sozialen Medium einsetzt. Mithilfe der „Ads“ kann die hiesige Verantwortliche im Rahmen des jeweiligen sozialen Netzwerks bzw. Mediums auf ihre Angebote aufmerksam machen. Sie kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Damit wird das Interesse verfolgt, den Betroffenen „Ads“ anzuzeigen, die für sie von Interesse sind, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbekosten durchzuführen. Diese „Ads“ werden durch die jeweilige Drittanbieterin ausgeliefert. Sofern die Betroffenen über „Ads“, die die jeweilige Drittanbieterin ihnen präsentiert, auf die Internetseite der hiesigen Verantwortlichen gelangen, wird ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen in der Regel nicht dazu dienen, die Betroffenen persönlich zu identifizieren.

Pixel: Diese Formulierung bedeutet, dass die Verantwortliche sog. Pixel einsetzt. Das ist ein Analysetool, mit dem die Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Internetseite zu verstehen und nachzuvollziehen. Die Verantwortliche hat den Pixel auf ihrer Internetseite implementiert, indem sie den Pixel-Code im Header platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt die Verantwortliche, wenn die Betroffenen eine Handlung vornehmen und kann dies auswerten.

Upload in die Custom Audience: Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.

Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk hochlädt und sie dort veröffentlicht.

Thema: Videoeinbettungen

Plugin: Diese Bezeichnung bedeutet, dass auf der Internetseite der Verantwortlichen Plugins eines Videoportals eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem Server der jeweiligen Drittanbieterin hergestellt. Die jeweilige Drittanbieterin speichert die Daten der Betroffenen als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseite. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Betroffene) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer *innen über die Aktivitäten der Betroffenen auf der Internetseite der Verantwortlichen zu informieren. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dieses Rechts an die jeweilige Drittanbieterin richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die jeweilige Drittanbieterin erhalten die Betroffenen in der Datenschutzerklärung.

Eigener Kanal: Diese Bezeichnung bedeutet, dass die Verantwortliche im Videoportal einen eigenen Kanal anbietet.

Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.

Datenschutzbeauftragter: Rechtsanwalt Dr. Stephan Gärtner, erreichbar unter [email protected].