Datenschutzerklärung – moveup.events

1 Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

move UP Gesellschaft für Gesundheitsmanagement mbH
Wendenstraße 130, 20537 Hamburg
info@moveup.de, +49 40 30747251

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: Rechtsanwalt David Heimburger, dh@davidheimburger.de, 040 / 22863648

2 Hinweis zur geschlechtergerechten Sprache

Wir bemühen uns, eine geschlechtergerechte Sprache zu verwenden. Teilweise verwenden wir für die vereinfachte Leseführung nur die männliche Form von Begriffen wie Benutzer statt Benutzende, Benutzer:innen oder Benutzerinnen und Benutzer. Wenn wir nur die männliche Form verwenden, soll der Begriff dennoch alle Geschlechter mit einschließen.

3 Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).

Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.

Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).

Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).

Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).

Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).

Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. dem Hamburgischen Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

4 Datenverarbeitungen bei uns im Allgemeinen

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.

Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 16 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem Telemedien-Telekommunikation-Datenschutzgesetz (TTDSG) oder dem Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist. Eine solche Übertragung nach außerhalb des EWRs nennt man im Datenschutzrecht einen Drittstaatentransfer.

5 Allgemeiner Hinweis zu Cookies

Cookies sind eine bestimmte Form von Texteinträgen, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“) oder eine Landeskennung wie „de“ für deutsche Sprache; teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern primär nach § 25 TTDSG. Die Norm unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essenzielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (z.B. wenn ein berechtigtes Interesse als Rechtsgrundlage vorliegt oder die Daten nicht personenbezogen sind).

Bevor wir nicht-essenzielle Cookies auf Ihrem Endgerät speichern, fragen wir Sie entsprechend den Vorgaben des § 25 TTDSG nach Ihrem Einverständnis.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.
Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.
Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).
Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
Ein Spezialfall: Google bietet ein Browser-Plug-In an, das das Setzen der verschiedenen Cookies von Google unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

6 Konkrete Datenverarbeitungen

6.1 Digitale Angebote: Academy und Challenges

Wir bieten eine Vielzahl digitaler Angebote unter verschiedenen Domains an. Regelmäßig erreichen Sie die von Ihnen gesuchte Plattform als eine Subdomain von moveup-academy.de, teilweise aber auch als Subdomain zu den Internetangeboten von Arbeitgebern, Krankenversicherungen oder anderen Anbietern.

Manche Angebote nennen wir eine Academy. Andere Angebote nennen wir eine Challenge, insbesondere wenn sie mit der Möglichkeit einhergeht sich mit anderen Teilnehmenden in einem Ranking zu vergleichen oder wenn es darum geht, eigene Fortschritte zu dokumentieren.

Teilweise stellen wir eine Plattform als weisungsgebundener Dienstleister für einen Arbeitgeber, eine Krankenversicherung oder einen anderen Anbieter zur Verfügung. Sollte dies auf die von Ihnen genutzte Plattform zutreffen, sind wir – moveUP – für die Datenverarbeitung rechtlich nicht die Verantwortlichen sondern unser Auftraggeber. Diese Datenschutzinformation hier gilt dann inhaltlich in gleicher Weise, nur die Person des Verantwortlichen ist in diesen Fällen nicht moveUP sondern unser Auftraggeber. Entscheidend ist, welche Organisation Ihnen gegenüber als Anbieter des Digitalangebots auftritt. Wenn Sie unsicher sind, wer für Sie der zuständige Datenschutzverantwortliche ist, wenden Sie sich gerne an moveUP – wir werden die Unklarheiten für Sie beseitigen können.

6.1.1 Bereitstellen der digitalen Angebote als Internetseiten

Beschreibung: Damit ein Webserver unsere digitalen Angebote Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Internetseiten, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.

Speicherdauer: 30 Tage

6.1.2 Cookie-Verwaltung

Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung auf Ihrem Gerät nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits über Cookies auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie die entsprechenden Cookies, deren Namen jeweils mit cmplz beginnen, über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.

Datenkategorien: Einwilligungsstatus (allow/dismissed)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht. Dieser Cookie darf auch nach § 25 TTDSG ohne Ihre Einwilligung gesetzt werden, da die Cookie-Auswahl als eine essenzielle Funktion anzusehen ist.

Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies (für die cmplz-Cookies regelmäßig ein Jahr nach Speicherung)

6.1.3 Benutzerkonten für digitale Angebote

Beschreibung: Die Nutzung unserer digitalen Angebote, egal ob als Academy, Challenge oder in sonstiger Form, setzt ein Benutzerkonto voraus, über das persönlichen Fortschritte im Rahmen des Angebots erfasst werden können.

Soweit Sie an Challenges teilnehmen, dient das Benutzerkonto insbesondere dazu, Ihren Status im Wettbewerb zu dokumentieren und Ihre Position im Ranking zu ermitteln.

Einige unserer Angebote bieten Ihnen Zertifikate zu Ihrer Teilnahme beziehungsweise den von Ihnen erreichten Fortschritten an. Auch die Bereitstellung dieser Zertifikate steht im unmittelbarem Zusammenhang mit den Benutzerkonten.

Teilweise erhalten Sie Benachrichtigungen (z.B. Erinnerungen) zu Ihren Kursen per E-Mail, die automatisch von unserer Plattform verschickt werden.

Wenn Sie sich in unsere Plattform einloggen, halten wir Ihren Anmeldestatus über Cookies fest um den Status aufrechtzuerhalten. Die Namen der Cookies beginnen mit wordpress_sec_ und wordpress_logged_in_ und enden jeweils mit einem vorübergehendem Zahlenwert, der Ihnen zugeordnet wird. Diese Cookies löschen sich am Ende Ihrer Browsersitzung automatisch.

Einige unserer digitalen Angebote setzen in Ihrem Browser einen Cookie mit dem Namen wpcw_timezone, der dem Abgleich Ihrer Systemuhr mit unserer Uhrzeit dient. Der Cookie speichert als Wert einzig, welche Zeitzone für Ihr Gerät aktuell ausgewählt ist. Dieser Vorgang ist technisch erforderlich für alle Aktionen, die im Zusammenhang stehen mit einer Zeiterfassung für unsere Wettbewerbe.

Regelmäßig übernehmen Arbeitgeber die Kosten für die Nutzung der Academy. Eine Zuordnung der Teilnehmenden zu einem Kostenträger erfolgt teils über die Nutzung einer E-Mail-Adresse aus dem Adressbereich des Kostenträgers, teils über die Nutzung der Academy über eine bestimmte Subdomain, die dem jeweiligem Arbeitgeber zugeordnet ist.

Wir stellen den Arbeitgebern keine Nutzungsdaten mit Bezug zu einzelnen Teilnehmenden zur Verfügung. Die Academy ist ein Angebot Ihres Arbeitgebers im Rahmen der Gesundheitsfürsorge, dient aber nicht der Leistungs- und Verhaltenskontrolle. Einige Arbeitgeber bieten an, unter den teilnehmenden Beschäftigten Preise zu verlosen oder Teilnehmende nach anderen Kriterien zu prämieren. Wir geben Daten von Teilnehmenden nur an die Arbeitgeber weiter, wenn die Betroffenen vorab ausdrücklich hierüber informiert worden sind oder in die Übermittlung eingewilligt haben.

Bei einigen unserer Plattformen können Sie in den Einstellungen für Ihr Benutzerkonten ihre Betroffenenrechte aus der DSGVO direkt in Anspruch nehmen. Sie können dort ihre personenbezogenen Daten aus unserer Plattform exportieren und Sie können Ihre personenbezogenen Daten aus unserer Plattform löschen sowie Ihr komplettes Benutzerkonto löschen.

Datenkategorien: Name, E-Mail-Adresse, Passwort (verschlüsselt und für uns nicht lesbar), Zuordnung zu einem Arbeitgeber (als Kostenträger für Ihre Nutzung); genutzte Academy-Angebote und Fortschritte (Aktivitätenhistorie), auf dem Gerät eingestellte Zeitzone, Zielerreichungen (z.B. Zahl gegangener Schritte), Auszeichnungen (z.B. Platzierung bei internen Wettbewerben); zusätzliche Angaben, die Sie Ihrem Profil hinzufügen

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Benutzerdatenbank, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung von Benutzerkonten als Grundlage der individuellen Datenerfassung im Rahmen unserer digitalen Angebote. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Erfüllung des Nutzungsvertrags für unser Angebot, der sich aus der Registrierung für ein Benutzerkonto ergibt.

Speicherdauer: Wir speichern Ihr Benutzerkonto und die damit in Verbindung stehenden Daten bis Sie Ihr Konto löschen oder bis zu sechs Jahre nach dem letzten Kontakt mit Ihnen. Wir orientieren uns hierbei an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht und wollen Ihnen so ermöglichen, Ihnen auch einige Zeit nach Abschluss der Kurse Nachweise über Ihre Teilnahme anbieten zu können.

6.1.4 Videostreaming

Beschreibung: Unsere digitalen Angebote zeigen Filme über den Videoplayer des Streaminganbieters Vimeo. Vimeo verarbeitet als technischer Anbieter des Videohostings die typischen Weblog-Daten, die ein Endgerät beim Abruf des Onlineangebots an den technischen Anbieter überträgt wie zum Beispiel Ihre IP-Adresse.

Wenn Sie dem Setzen von Cookies zugestimmt haben, platziert der Vimeo-Player eigene Cookies (z.B. der Cookie VUID) auf Ihrem Gerät, die Ihnen teils zusätzliche Funktionen bieten (wie das spätere Fortsetzen eines Films an der zuletzt gesehenen Stelle). Teils dienen die Vimeo-Cookies der Erfassung und statistischen Auswertung des Nutzungsverhaltens.

Außerdem greift die moveUP Academy für einzelne Übungen (Challenges) auf den Wert zu, wie weit Sie ein Video geschaut haben. Abhängig von der Dauer, die Sie gesehen haben, weist Ihnen unser System unterschiedlich viele Punkte zu. Benötigt eine unserer Challenges den Zugriff auf die Sehdauer der Videos, ist Ihre Zustimmung zu den Vimeo-Cookies eine technisch zwingende Voraussetzung für die Teilnahme an der Challenge.

Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Vimeo: https://vimeo.com/privacy

Einige unserer Kunden fallen unter die besonderen Datenschutzpflichten nach dem Sozialgesetzbuch (SGB), die eine Datenübermittlung in Drittstaaten nur auf Grundlage einer Einwilligung gestatten. Da Vimeo Daten in den USA verarbeitet, fragen wir Sie vor der Aktivierung des Vimeo-Videoplayers für die Datenübertragung in die USA nach Ihrer Einwilligung nach Artikel 49 DSGVO. Dabei sollten Sie berücksichtigen, dass der Europäische Gerichtshof in dem sogenannten Schrems-II-Urteil festgestellt hat, dass die USA EU-Bürgern kein ausreichendes Datenschutzniveau bieten, da Nicht-US-Bürger ihre Betroffenenrechte gegenüber US-Institutionen wie den Nationalen Sicherheits- und Nachrichtendiensten nicht geltend machen können.

Datenkategorien: IP-Adresse, von der aus der Vimeo-Player aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme und Sehdauer; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; zu den Details siehe Vimeos Datenschutzinformationen

Datenempfänger (ggf. Drittstaatentransfer): Vimeo.com Inc., 555 West 18th Street, New York, New York 10011, USA. Vimeo verarbeitet die Daten in den USA. Für diesen Drittstaatentransfer sichert Vimeo einen Umgang mit den Daten auf EU-Datenschutzniveau zu durch den Abschluss von EU-Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Wir setzen den Vimeo-Player ein, um Ihnen ein leistungsfähiges Videostreaming anbieten zu können. Rechtsgrundlage für die Verarbeitung der Weblog-/ Streamingdaten ist ein berechtigtes Interesse, da Internetdienste wie ein Videostreaming technisch nicht ohne Verarbeitung der Weblog-Daten angeboten werden können. Rechtsgrundlage für das Setzen der Vimeo-Cookies ist Ihre Einwilligung. Sollte Ihnen unser digitales Angebot von einem Leistungsträger nach dem Sozialgesetzbuch zur Verfügung gestellt werden, beruht die Datenübertragung in die USA ebenfalls auf Ihrer Einwilligung.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Vimeo. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von Vimeo selbst keine personenbezogenen Daten von Ihnen erfassen.

6.1.5 Kontaktformular

Beschreibung: Unsere digitalen Angebote bieten den angemeldeten Benutzern ein Kontaktformular, über das Sie uns Nachrichten schicken können. Sie müssen dazu keine E-Mail-Adresse oder andere Kontaktdaten angeben, da wir Sie als angemeldeten Benutzer erkennen.

Datenkategorien: Benutzerkennung, Inhalt und Zeitpunkt Ihrer Kontaktaufnahme

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist ein berechtigtes Interesse, da Sie den Kontakt mit uns aufnehmen und wir nur reagieren.

Speicherdauer: 6 Jahre in Anlehnung an die Speicherfrist für Geschäftsbriefe im Handelsrecht

6.2 Besuch von moveup.de

6.2.1 Bereitstellen der Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseiten Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Speicherdauer: 30 Tage

6.2.2 Cookie-Verwaltung

Datenkategorien: Einwilligungsstatus (allow/dismissed)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

6.2.3 Videostreaming

Beschreibung: Unsere Internetseiten zeigen Filme über den Videoplayer des Streaminganbieters Vimeo. Vimeo verarbeitet als technischer Anbieter des Videohostings die typischen Weblog-Daten, die ein Endgerät beim Abruf des Onlineangebots an den technischen Anbieter überträgt wie zum Beispiel Ihre IP-Adresse.

Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Vimeo: https://vimeo.com/privacy

6.2.4 Kontaktformular

Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular, über das Sie uns Nachrichten schicken können. Ihre Eingaben werden technisch als eine E-Mail an uns geschickt (auch wenn Sie selbst keine E-Mail-Adresse als Absender hinterlegt haben).

Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.

Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail- Postfach“ sowie Art des Angebots, für das Sie sich interessieren

Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Postfach“.

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.

Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail- Postfach“.

6.2.5 Online-Schriften

Beschreibung: Um eine individuelle Gestaltung unserer Internetseiten zu ermöglichen, nutzen wir sogenannte Webfonts. Diese Schriften lädt Ihr Browser zur Darstellung unserer Seiten aus dem Internet, wenn die Schriften noch nicht von einem vorherigen Besuch einer Seite mit dieser Schrift im Speicher Ihres Browsers geladen sind.

Teilweise stehen Schriften direkt auf unserem eigenem Server zur Verfügung. Insoweit handelt es sich nicht um eine eigenständige Verarbeitung, die über die Verarbeitung „Bereitstellen unserer Internetseiten“ hinausgeht. Teilweise greifen wir auf Schriften von externen Servern zu, zum Beispiel bei der Nutzung von Google Maps auf Schriften von Google (Google Fonts). Google ermöglicht eine herausragend schnelle Bereitstellung der Schriftdateien und gewährleistet eine Bereitstellung des aktuell optimalen Schriftsatzes.

Für den Download der Schriften von den Google-Schriftservern muss Ihre IP-Adresse an Google übertragen werden, da anders eine Übertragung des Datenpakets nicht möglich ist. Google erhält im Zusammenhang mit dieser Verarbeitung keinerlei weitere Daten von Ihnen.

Datenkategorien: IP-Adresse, von der aus Ihr Gerät ins Internet geht, Zeitpunkt

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Bereitstellung von Google Fonts in schneller und aktueller Form. Rechtsgrundlage ist ein berechtigtes Interesse, da im Rahmen dieser Verarbeitung allein die IP-Adresse ihres Geräts übertragen wird ohne weitere Referenzen zu Ihrer Nutzung des Internets.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Fonts keine Daten von Ihnen erfassen.

6.2.6 Navigationsfunktionen (Google Maps)

Beschreibung: In unsere Internetseiten haben wir Karten von Google Maps eingebunden, einen Dienst von Google. Diese interaktiven Karten ermöglichen es Ihnen, unseren Standort in Kartenform zu sehen und von Ihrem Standort zu uns zu navigieren.

Der von uns verwendete Kartenausschnitt überträgt beim Aufruf in Ihrem Browser Ihre IP-Adresse an Google und – wenn Sie das in ihrem Gerät nicht deaktiviert haben – Ihren aktuellen Standort. Sollten Sie auf Ihrem Gerät zum Zeitpunkt des Seitenaufrufs mit einem Google-Konto eingeloggt sein, erfährt Google über Ihr persönliches Konto auch konkret, wer Sie sind.

Wir erhalten von Google Maps keinerlei Daten über Sie.

Sie können die Übertragung Ihres Standorts an Google verhindern, indem Sie in den Einstellungen Ihres Geräts den Zugriff Ihres Browsers auf Ihre Standortdaten unterbinden. Wenn Sie ein Google-Konto haben, können Sie die von Google zu Ihnen gespeicherten Standortdaten darüber löschen lassen.

Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google: https://policies.google.com/privacy

Zusätzliche Infos zu Google Maps finden Sie auf: https://www.google.com/intl/de_de/help/terms_maps.html

Obwohl wir keine Daten von Google erhalten, stuft Google die Nutzung seines Kartendienstes durch uns als eine gemeinsame Verantwortung ein, da sowohl Google wie auch wir ein Interesse an der Bereitstellung des Dienstes haben. Zwischen Google und uns besteht dementsprechend ein Vertrag über die gemeinsame Verantwortung, dessen Inhalt Sie hier nachlesen können (nur auf Englisch): https://privacy.google.com/intl/de/businesses/mapscontrollerterms/ Die Verantwortung für den Betrieb von Google Maps liegt vollständig bei Google, wir stellen nur die Einbindung von Google Maps in unsere Seiten zur Verfügung.

Datenkategorien: IP-Adresse Ihres Geräts; Standort Ihres Geräts, wenn die Standortweitergabe in ihrem Gerät nicht deaktiviert wurde; Zeitpunkt des Datenaufrufs; bei Goolge Maps aufgerufene Inhalte und genutzte Funktionen (z.B. Routenplanung); Google-ID im Google Cookie, wenn Sie das Setzen der Google Cookies zugelassen haben

Zweck + Rechtsgrundlage: Zweck der Einbindung von Google Maps ist es, Ihnen die Anreise zu uns zu erleichtern. Rechtsgrundlage für die Übertragung von personenbezogenen Daten an Google ist ein berechtigtes Interesse, da die Navigationsfunktion Ihnen hilfreiche Informationen zu unserem Standort zur Verfügung stellt und Sie die Datenerfassung durch Google entsprechend Ihren Cookie-Einstellungen weitestgehend einschränken können.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Maps keine Daten von Ihnen erfassen.

6.2.7 Analyse des Nutzungsverhaltens (Google Analytics)

Beschreibung: Wir nutzen den Webanalysedienst Google Analytics. Google erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die regionale Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.

Wir benutzen Analytics mit der Erweiterung “anonymizeIP”, damit die IP-Adressen nur gekürzt weiterverarbeitet werden, um die Möglichkeit eines Personenbezugs zu reduzieren. Durch die IP-Anonymisierung wird das Ende Ihre IP-Adresse von Google innerhalb der Europäischen Union durch Nullen ersetzt, bevor die Daten in die USA übertragen werden. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Google Analytics erfasst zum einen im Sinne von Server-side Analytics die Angaben aus einem Weblog, die standardmäßig an einen Webserver gesendet werden, wenn Internetseiten aufgerufen werden. Haben Sie dem Setzen von Google Cookies zugestimmt, erfasst Google die in den Cookies gespeicherten Daten wie z.B. eine Cookie-ID. Zusätzlich erkennt Google allgemeine Informationen zu Ihrem Gerät wie installierte Software oder Schriften und bildet hieraus einen sogenannten digitalen Fingerabdruck.

Die Cookie-ID oder der digitale Fingerabdruck ermöglichen im Gegensatz zum einfachen Server-side Analytics, mehrere Aktionen auf unseren Seiten dem selben Besucher zuzuordnen. So können wiederkehrende Besucher bestimmt werden und Nutzungspfade innerhalb unserer Internetseiten nachvollzogen werden. Insbesondere die Aussagen zu den Nutzungspfaden sind wesentlich, um wertvolle Rückschlüsse aus dem Benutzerverhalten ziehen zu können.

Die Analytics-Cookies tragen die Bezeichnungen _ga (um wiederkehrende Besucher zu erkennen), _gid (um statistische Gruppen bilden zu können) und _gat (um den Datenabgleich mit erweiterten Google-Funktionen zu reduzieren).

Wir verknüpfen die Daten, die wir über Google Analytics erheben, nicht mit personenbezogenen Daten, die wir auf anderen Wegen erheben. Auch Google ist es untersagt, die Daten für eigene Zwecke zu nutzen oder mit Daten zusammenzuführen, die an anderer Stelle erhoben wurden. Google stellt uns die Daten nur in einer anonymisierten und statistischen Form zur Verfügung, so dass wir selbst keinen eigenen Zugriff auf Datenmerkmale haben, die eine Identifikation einzelner Personen ermöglichen könnte.

Umfassende Informationen über die Verwendung der von Google erfassten Daten finden Sie in den Datenschutzinformationen von Google (https://policies.google.com/privacy) und in Googles Informationen zu Cookies (https://policies.google.com/technologies/cookies).

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Angaben zur Bildschirmauflösung und weitere technische Parameter des benutzten Endgeräts; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Google-ID; von Google berechneter digitaler Fingerabdruck des genutzten Endgeräts

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung verpflichtet. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Der Zweck dieser Nutzungsanalyse ist es, dass wir unser Internetangebot anhand der Analyseerkenntnisse weiter verbessern können.

Rechtsgrundlage ist ein berechtigtes Interesse, das sich daraus ergibt, dass der Personenbezug der erfassten Daten z.B. durch das Anonymisieren der IP-Adressen stark reduziert wird, dass die Daten von uns nicht mit weiteren Datensammlungen kombiniert werden und dass den Besuchern unserer Internetseiten verschiedene Möglichkeiten zur Verfügung stehen, die Erfassung durch die Cookies von Google Analytics zu unterbinden.

Unabhängig davon fragen wir gemäß § 25 TTDSG für das Setzen der Google-Cookies über unseren Cookie-Manager nach Ihrem Einverständnis.

Speicherdauer: 14 Monate; diese Speicherdauer der Rohdaten ermöglicht uns das Exportieren von Jahresstatistiken.

6.3 Unsere Social Media-Profile

6.3.1 Facebook und Instagram

Beschreibung: Wir betreiben bei Facebook und Instagram Unternehmensprofile (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook bzw. Instagram vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Meta stellt uns über die Nutzung unserer Fanpage Analysedaten zur Verfügung (Page Insights oder Seiten-Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Meta gilt die Datenschutzinformation von Meta: https://www.facebook.com/about/privacy

Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Meta nach Artikel 26 DSGVO. Meta hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Meta hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Meta-Konto an Meta wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Meta weiterreichen.

Datenkategorien: Meta-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook bzw. Instagram sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): Meta Platforms Inc., für uns als europäische Organisation ansprechbar über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Meta garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage bzw. unserem Instagram-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Meta-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Meta.

6.3.2 LinkedIn

Beschreibung: Wir betreiben bei LinkedIn ein Unternehmensprofil. So ein LinkedIn-Profil ermöglicht es uns, unsere Organisation bei LinkedIn vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattformen auf unsere Leistungen und Angebote hinzuweisen.

LinkedIn stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei LinkedIn gilt die Datenschutzinformation von LinkedIn: https://www.linkedin.com/legal/privacy-policy

Datenkategorien: LinkedIn-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von LinkedIn sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. LinkedIn garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem LinkedIn-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre LinkedIn-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn.

6.3.3 Xing

Beschreibung: Wir betreiben bei Xing ein Unternehmensprofil. So ein Xing-Profil ermöglicht es uns, unsere Organisation bei Xing vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Xing stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Xing gilt die Datenschutzinformation von Xing: https://privacy.xing.com/de/datenschutzerklaerung

Datenkategorien: Xing-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Xing sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): New Work SE (Betreiberin von xing.com), Dammtorstraße 30, 20354 Hamburg. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Xing-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Xing-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Xing.

6.4 Lieferanten und Dienstleister

Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.

Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen zur Kommunikation mit uns.

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

6.5 Stellenbesetzungen

6.5.1 Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

6.5.2 Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

6.6 Allgemeine Infrastruktur

6.6.1 E-Mail-Postfach, Kontaktverzeichnis, Kalender

Beschreibung: Für E-Mail, Kontaktverzeichnis und Kalender nutzen wir Exchange-Konten, die diese Datengruppen gebündelt erfassen. E-Mails, die Sie uns schicken oder von uns erhalten, Ihre Kontaktdaten und Termine mit Ihnen werden sowohl auf den Servern unseres Hostinganbieters gespeichert wie als lokale Kopie auf den Endgeräten, die mit wir mit unseren Exchange-Konten verbunden haben.

Datenkategorien: Name, Kontaktdaten (E-Mail, Telefon, Adresse, Fax), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen; Zeitpunkt des Versands bzw. Empfangs einer E-Mail; Inhalt der E-Mail (Texte, Dokumente, Bilder, sonstige Dateien); sonstige typische Metadaten einer E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das Hosting von E-Mail-Postfächern, Kalendern und Kontaktverzeichnissen, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Nutzung von miteinander synchronisiertem E-Mail-Postfach, Kalender und Kontaktverzeichnis. Die Rechtsgrundlage ist berechtigtes Interesse, da ohne eine solche digitale Infrastruktur die Teilhabe am modernen Geschäftsleben nicht in vertretbar effizienter Weise möglich wäre.

Speicherdauer: Wir speichern die E-Mails und Einträge so lange, wie es zur Erfüllung eines Zwecks notwendig ist. Je nach Inhalt einer E-Mail, Geschäftsbeziehung zu einem Kontakt oder Hintergrund zu einem Termin können das sehr unterschiedliche Zwecke sein; dementsprechend vielfältig sind die Aufbewahrungsfristen.

Ein Beispiel: Wenn Ihre E-Mail der Vorbereitung eines Vertragsabschlusses dient, greift die Pflicht aus dem Handelsgesetzbuch (HGB) Geschäftsbriefe sechs Jahre lang aufzubewahren.

6.6.2 Telefonate (Mobiltelefon + Cloud-Anlage)

Beschreibung: Telefonieren wir miteinander, erfasst unsere cloudbasierte Telefonanlage bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs.

Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Tonaufzeichnungen von Gesprächen finden nur im Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Mobilfunkanbieter sowie der Anbieter unserer cloudbasierten Telefonanlage, die unter das Fernmeldegeheimnis nach dem TTDSG fallen.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.

6.6.3 Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.

6.6.4 Videokonferenzen

Beschreibung: Videokonferenzen, deren Veranstalter wir sind, erfolgen über externe Dienstleister, die als Telekommunikationsanbieter unter das TTDSG fallen und damit gesetzlich auf Datenschutz verpflichtet sind.

Der Umfang der Datenverarbeitungen ist abhängig von den einzelnen Funktionen des Konferenztools, die Sie in Anspruch nehmen. Sie können mit und ohne Video- bzw. Audiosignal teilnehmen, mit und ohne Profilbild, Hintergrundbild, Handzeichen oder Aktivitäten im Chat. Teilweise können Sie sich auch selbst gewählte Benutzernamen geben.

Insbesondere der Zugriff auf Ihre Kamera und Ihr Mikrofon erfolgen nur nach entsprechender Zustimmung durch Sie.

Bevor Konferenzen aufgezeichnet werden, werden alle Teilnehmenden um ihr Einverständnis oder Inaktivität gebeten. Sollte eine Aufzeichnung stattfinden, kann deren Gesprächsverlauf automatisiert oder manuell verschriftlicht werden (transkribiert).

Jedem Teilnehmer ist es technisch möglich, mit Mitteln außerhalb des Konferenztools Screenshots oder Aufzeichnungen im Ganzen oder in Teilen herzustellen. Ein solches Verhalten ohne entsprechende Abstimmung mit allen Teilnehmenden stellt einen Datenschutzverstoß der handelnden Person dar und liegt, wenn es sich dabei nicht um einen unserer Beschäftigten handelt, außerhalb unserer Verantwortung. Heimliche Aufzeichnungen des gesprochenen Worts können eine Straftat nach § 201 StGB darstellen. Wir behalten uns rechtliche Schritte jeder Art gegenüber Personen vor, die ihre Teilnahme an einer Videokonferenz zu datenschutzfeindlichem Verhalten nutzen.

Datenkategorien: Benutzername, E-Mail-Adresse; Teilnahmezeiten; Video- bzw. Audiosignal; Video- bzw. Audioaufzeichnung (nur mit Einwilligung); Audiotranskript (nur nach Aufzeichnung); Aktionen im Chat, Status Wortmeldung; Profildaten (Profilbild, Kontaktdaten, Hintergrundbild), Telefonnummer (bei Teilnahme per Telefon); Logfile (IP-Adresse, Gerätekennungen, Aktivitätenhistorie)

Datenempfänger (ggf. Drittstaatentransfer): Anbieter von Videokonferenzsystemen, die als Telekommunikationsanbieter unter das TTDSG fallen. Soweit durch die Anbieter Drittstaatentransfers erfolgen, garantiert der Dienstleister einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Nutzung einer Videokonferenz. Rechtsgrundlage ist ein berechtigtes Interesse, da Videokonferenzen ohne ein Mindestmaß an Datenverarbeitung nicht möglich sind. Für Aufzeichnungen ist Einwilligung die Rechtsgrundlage.

Speicherdauer: Soweit keine Aufzeichnung stattfindet, werden alle Daten mit Abschluss der Konferenz gelöscht. Wurde die Konferenz aufgezeichnet, wird die Aufzeichnung gelöscht sobald der letzte Zweck erreicht wurde, zu dem die Aufzeichnung erstellt wurde.

6.6.5 Kontaktverzeichnis + Visitenkarten

Beschreibung: Wenn wir mit Ihnen in Zukunft wahrscheinlich erneut in Kontakt stehen, speichern wir Ihre Kontaktdaten in unserem Kontaktverzeichnis, um Sie bei Anrufen und E-Mails als bekannten Kontakt wiedererkennen zu können bzw. den Kontakt zu Ihnen fortführen können. Übergeben Sie uns Ihre Visitenkarte, übernehmen wir Ihre Daten in unser Kontaktverzeichnis.

Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben oder die Art unseres bisherigen Kontakts eine Fortführung des Austauschs miteinander nahelegt.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.

6.6.6 Externe Dozenten

Beschreibung: Einige Expert:innen, die als Dozent:innen unsere Onlinekurse und Coachings anbieten, sind externe Dienstleister. Die Dozenten:innen erhalten im Rahmen des Webinars Zugang zu Ihren personenbezogenen Daten, wie sie in der Onlineplattform sichtbar werden. Zusätzlich haben die Dozent:innen Einblick in die Ergebnisse von Prüfungen, die Sie abgelegt haben. Die Dozent:innen sind von uns vertraglich auf die Vertraulichkeit verpflichtet. Sie dürfen Ihre Daten nicht aus der moveUP-Plattform exportieren oder Ihre Daten in irgendeiner Weise für andere Zwecke als die Durchführung der Schulung verwenden.

Datenkategorien: Name, E-Mail-Adresse, gebuchte Kurse und Ausbildungsfortschritte sowie Prüfungsergebnisse, Ton- und Filmaufzeichnungen bzw. Textkommentare (bei eigener Aktivität im Webinar)

Datenempfänger (ggf. Drittstaatentransfer): Externe Dozenten. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Einbindung externer Expert:innen als Dozent:innen für Kurse und Onlineschulungen. Rechtsgrundlage für die Offenlegung Ihrer Daten ist ein berechtigtes Interesse, da die Dozent:innen auf die Vertraulichkeit verpflichtet sind.

Speicherdauer: Eine eigenständig Speicherung findet nicht statt, da die Dozenten nur auf die Daten in der moveUP-Plattform zugreifen.

6.6.7 Besucher-WLAN

Beschreibung: Wir stellen Besuchern den Zugang zu unserem WLAN-Netzwerk und damit dem Internet zur Verfügung. Bei der dafür erforderlichen Anmeldung am Access Point für das WLAN-Netzwerk wird die eindeutige Kennung Ihres Geräts sowie die Nutzungszeiten erfasst.

Bei allen Diensten, die Sie während der Nutzung unseres Netzwerks im Internet aufrufen, wird die IP-Adresse unseres Netzwerks protokolliert. Soweit es zu Ermittlungen wegen Aktivitäten kommt, die von unserer IP-Adresse ausgegangen sind, sind wir teilweise verpflichtet die Nutzungsdokumentation im sogenannten Logfile unserer Access Points zur Verfügung zu stellen.

Datenkategorien: MAC-Adresse des Geräts, Nutzungszeiten

Datenempfänger (ggf. Drittstaatentransfer): Im Normalfall keine Empfänger; bei Ermittlungen zuständige Behörden und unter Umständen private Inhaber eines Auskunftsanspruchs oder von uns beauftragte Forensiker

Zweck + Rechtsgrundlage: Logfiles wie dieses dienen dazu, die IT-Sicherheit in unserem Unternehmen zu ermöglichen und zu stärken. Die Rechtsgrundlage ist ein berechtigtes Interesse, da wir auf das WiFi-Logfile nur zugreifen, wenn eine Sicherheitsanalyse erforderlich ist. Eine Zuordnung der WiFi-Daten zu konkreten Geräten und damit deren Besitzern ist uns nur mit erheblichem Aufwand und regelmäßig nur unter Zuhilfenahme polizeilicher Ermittlungen möglich.

Speicherdauer: Unser WLAN-Logfile wird regelmäßig gelöscht, spätestens einmal jährlich.

6.6.8 Rechnungsstellung

Beschreibung: Stellen wir Ihnen eine Rechnung, liegt darin eine Verarbeitung personenbezogener Daten, wenn der Rechnungsempfänger eine natürliche Person ist (Selbstständige oder Teilhaber einer Personengesellschaft) oder Sie als Ansprechpartner in der Rechnung genannt werden. Wir erstellen unsere Rechnungen intern und speichern sie in unserer Buchhaltung.

Datenkategorien: Name, Anschrift, Datum, Kunden- und Rechnungsnummer, Rechnungsbetrag und Rechnungsinhalt

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Rechnungsstellung. Rechtsgrundlage ist für uns Vertragserfüllung.

Speicherdauer: Rechnungen sind als Buchungsbelege nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.

6.6.9 Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang.

Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z.B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)

Wir nutzen für unsere Buchhaltung eine cloudbasierte Software.

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Steuerberater als Dienstleister für die Finanzbuchhaltung, der als Berufsgeheimnisträger durch Gesetz auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf. nach den Vorgaben des Steuerrechts

6.6.10 Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir nach den Vorgaben des Steuerrechts 10 Jahre auf.

6.6.11 IT-Administration

Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

6.6.12 Dateispeicherung

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

6.6.13 Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder über die verschlossenen Tonnen eines professionellen Aktenvernichters entsorgt. Die Qualitätsstufe des eingesetzten Schredders und das Niveau der mit dem Dienstleister vereinbarten Dokumentenvernichtung entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer IT-Administration durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht oder an einen professionellen Vernichter von Speichermedien übergeben. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlageist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

6.6.14 Rechtsverfolgung

Beschreibung: Für den Fall, dass wir in eine rechtliche Auseinandersetzung mit Ihnen geraten, geben wir Daten zu Ihrer Person und den Umständen der Auseinandersetzung an Rechtsanwälte und ggf. an Behörden oder Gerichte weiter.

Datenkategorien: Name, Kontaktdaten, Angaben zum Streitgegenstand

Datenempfänger (ggf. Drittstaatentransfer): Rechtsanwälte, Behörden, Gerichte, Gerichtsvollzieher. Alle Empfänger sind als staatliche Einrichtung oder als Berufsgeheimnisträger auf die Vertraulichkeit verpflichtet. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Rechtsverfolgung. Rechtsgrundlage ist das berechtigte Interesse daran, bei Bedarf Rechtsbeistand bei Anwälten und ggf. Behörden oder Gerichten zu suchen.

Speicherdauer: Die genannten Empfänger Ihrer Daten verarbeiten diese nach ihren eigenen Vorgaben in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

6.6.15 Datenschutzmanagement

Beschreibung: Machen Sie uns gegenüber Ihre Rechte aus dem Datenschutz geltend, dokumentieren wir die damit einhergehende Kommunikation und Prozesse in unserer Datenschutzmanagementanwendung.

Datenkategorien: Name, Kontaktdaten, Angaben zum Datenschutzbegehren

Datenempfänger (ggf. Drittstaatentransfer): Unser Datenschutzbeauftragter, der gesetzlich auf die Vertraulichkeit verpflichtet ist, sitzt im EWR. Unser Dienstleister für die Cloud-Anwendung für das Datenschutzmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Datenschutzmanagement. Rechtsgrundlage ist die gesetzliche Rechenschaftspflicht aus der DSGVO.

Speicherdauer: Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

Letzte Aktualisierung: August 2022