Datenschutzerklärung

Datenschutzerklärung der ICO AG

Version 1.6
21.11.2021

Bei Abweichungen zwischen der deutschen und einer anderen Sprachfassung ist im Zweifelsfall der Wortlaut der deutschen Fassung maßgeben

Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 (die GDPR)

Allgemeine Erklärungen

Der Datenschutz und somit der Schutz der Persönlichkeit ist der ICO AG und den Geschäftseinheiten sehr wichtig. Alle beteiligten Geschäftseinheiten der ICO AG halten sich streng an die Europäische Datenschutzgrundverordnung (EUDSGVO, in der Folge DSGVO).

Das vorliegende Dokument gibt Ihnen einen Überblick darüber, wie der Schutz der Personendaten sichergestellt wird und welche Daten zu welchem Zweck von wem bearbeitet werden.

Version der Datenschutzerklärung Die vorliegendeDatenschutzerklärung wurde am 18.11.2021 in Kraft gesetzt, resp. aktualisiert. Die ICO AG behält sich vor, die Datenschutzerklärung bei Änderungen gesetzlicher Vorgaben, bei ändernden Geschäftsanforderungen oder ändernden Prozessen anzupassen. Ebenfalls kann sich der Anhang 1 ändern, wenn weitere Daten verarbeitet oder zusätzliche Dienste angeboten werden. Wird die Datenschutzerklärung angepasst, werden Sie entsprechend darauf hingewiesen.

Die bisherigen Informationen gelten für sämtliche Anwendungen und Funktionen im Rahmen der ICO AG Zertifizierungsdienstleistungen. Nachfolgend werden die Besonderheiten der eingesetzten Kognitive Dienste erläutert.

Verantwortlicher

ICO - International Certification Organization AG Morassistraße 20 80469 München
Vertretungsberechtigte Personen: Stefan Härle
E-Mail-Adresse: office@ico-cert.org

Kontakt Datenschutzbeauftragter

Martin Weigert
Datenschutzbeauftragter ICO AG | Morassistraße 20 | 80649 München | Germany
datenschutz@ico-cert.org

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Bewerberdaten (z.B. Angaben zur Person, Post- und Kontaktadressen, die zur Bewerbung gehörenden Unterlagen und die darin enthaltenen Informationen, wie z.B. Anschreiben, Lebenslauf, Zeugnisse sowie weitere im Hinblick auf eine konkrete Stelle oder freiwillig von Bewerbern mitgeteilte Informationen zu deren Person oder Qualifikation)
  • Inhaltsdaten (z.B. Eingaben in Onlineformularen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen)
  • Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten)
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
  • Zahlungsdaten (z.B. Bankverbindungen, Rechnungen, Zahlungshistorie)

Kategorien betroffener Personen

  • Beschäftigte (z.B. Angestellte, Bewerber, ehemalige Mitarbeiter)
  • Bewerber
  • Geschäfts- und Vertragspartner
  • Interessenten
  • Kommunikationspartner
  • Kunden
  • Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten)

Zwecke der Verarbeitung

  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
  • Bewerbungsverfahren (Begründung und etwaige spätere Durchführung sowie mögliche spätere Beendigung des Beschäftigungsverhältnisses)
  • Büro- und Organisationsverfahren
  • Direktmarketing (z.B. per E-Mail oder postalisch)
  • Feedback (z.B. Sammeln von Feedback via Online-Formular)
  • Marketing
  • Kontaktanfragen und Kommunikation
  • Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen)
  • Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher)
  • Sicherheitsmaßnahmen
  • Erbringung vertraglicher Leistungen und Kundenservice
  • Verwaltung und Beantwortung von Anfragen

Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c. DSGVO) - Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
  • Bewerbungsverfahren als vorvertragliches bzw. vertragliches Verhältnis (Art. 9 Abs. 2 lit. b DSGVO) - Soweit im Rahmen des Bewerbungsverfahrens besondere Kategorien von personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten, wie Schwerbehinderteneigenschaft oder ethnische Herkunft) bei Bewerbern angefragt werden, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, erfolgt deren Verarbeitung nach Art. 9 Abs. 2 lit. b. DSGVO, im Fall des Schutzes lebenswichtiger Interessen der Bewerber oder anderer Personen gem. Art. 9 Abs. 2 lit. c. DSGVO oder für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich gem. Art. 9 Abs. 2 lit. h. DSGVO. Im Fall einer auf freiwilliger Einwilligung beruhenden Mitteilung von besonderen Kategorien von Daten, erfolgt deren Verarbeitung auf Grundlage von Art. 9 Abs. 2 lit. a. DSGVO.
  • Nationale Datenschutzregelungen in Deutschland - Zusätzlich zu den Datenschutzregelungen der Datenschutz-Grundverordnung gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Des Weiteren regelt es die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG), insbesondere im Hinblick auf die Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen sowie die Einwilligung von Beschäftigten. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder sie ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z.B. mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fall beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.

Datenverarbeitung in Drittländern

Sofern wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.

Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, vertraglichen Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, beim Vorliegen von Zertifizierungen oder verbindlicher internen Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).

Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z.B. wenn der Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind).

Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.

Unsere Datenschutzhinweise können ferner weitere Angaben zu der Aufbewahrung und Löschung von Daten beinhalten, die für die jeweiligen Verarbeitungen vorrangig gelten.

Wann löschen wir Ihre Daten?

Wir löschen Ihre Daten dann, wenn wir diese nicht mehr brauchen oder Sie uns dies vorgeben. Dass bedeutet, dass - sofern sich aus den einzelnen Datenschutzhinweisen dieser Datenschutzerklärung nichts anderes ergibt - wir Ihre Daten löschen,

  • wenn der Zweck der Datenverarbeitung weggefallen ist und damit die jeweilige in den einzelnen Datenschutzhinweisen genannte Rechtsgrundlage nicht mehr besteht, also bspw.
    • nach Beendigung der zwischen uns bestehenden vertraglichen oder mitgliedschaftlichen Beziehungen (Art. 6 Abs. 1 lit. a DSGVO) oder
    • nach Wegfall unseres berechtigten Interesses an der weiteren Verarbeitung oder Speicherung Ihrer Daten (Art. 6 Abs. 1 lit. f DSGVO),
  • wenn Sie von Ihrem Widerrufsrecht Gebrauch machen und keine anderweitige gesetzliche Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift,
  • wenn Sie vom Ihrem Widerspruchsrecht Gebrauch machen und der Löschung keine zwingenden schutzwürdigen Gründe entgegenstehen.

Sofern wir (bestimmte Teile) Ihre(r) Daten jedoch noch für andere Zwecke vorhalten müssen, weil dies etwa steuerliche Aufbewahrungsfristen (in der Regel 6 Jahre für Geschäftskorrespondenz bzw. 10 Jahre für Buchungsbelege, 10 Jahre für Nachweis von Schulungsmaßnahmen und Zertifikatsausstellung) oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen aus vertraglichen Beziehungen (bis zu vier Jahren) erforderlich machen oder die Daten zum Schutz der Rechte einer anderen natürlichen oder juristischen Person gebraucht werden, löschen wir (den Teil) Ihre(r) Daten erst nach Ablauf dieser Fristen. Bis zum Ablauf dieser Fristen beschränken wir die Verarbeitung dieser Daten jedoch auf diese Zwecke (Erfüllung der Aufbewahrungspflichten).

Einsatz von Cookies

Cookies sind Textdateien, die Daten von besuchten Websites oder Domains enthalten und von einem Browser auf dem Computer des Benutzers gespeichert werden. Ein Cookie dient in erster Linie dazu, die Informationen über einen Benutzer während oder nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Zu den gespeicherten Angaben können z.B. die Spracheinstellungen auf einer Webseite, der Loginstatus, ein Warenkorb oder die Stelle, an der ein Video geschaut wurde, gehören. Zu dem Begriff der Cookies zählen wir ferner andere Technologien, die die gleichen Funktionen wie Cookies erfüllen (z.B., wenn Angaben der Nutzer anhand pseudonymer Onlinekennzeichnungen gespeichert werden, auch als "Nutzer-IDs" bezeichnet)

Die folgenden Cookie-Typen und Funktionen werden unterschieden:

  • Temporäre Cookies (auch: Session- oder Sitzungs-Cookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Online-Angebot verlassen und seinen Browser geschlossen hat.

  • Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Browsers gespeichert. So kann beispielsweise der Login-Status gespeichert oder bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht. Ebenso können die Interessen von Nutzern, die zur Reichweitenmessung oder zu Marketingzwecken verwendet werden, in einem solchen Cookie gespeichert werden.

  • First-Party-Cookies: First-Party-Cookies werden von uns selbst gesetzt.

  • Third-Party-Cookies (auch: Drittanbieter-Cookies): Drittanbieter-Cookies werden hauptsächlich von Werbetreibenden (sog. Dritten) verwendet, um Benutzerinformationen zu verarbeiten.

  • Notwendige (auch: essentielle oder unbedingt erforderliche) Cookies: Cookies können zum einen für den Betrieb einer Webseite unbedingt erforderlich sein (z.B., um Logins oder andere Nutzereingaben zu speichern oder aus Gründen der Sicherheit).

  • Statistik-, Marketing- und Personalisierungs-Cookies : Ferner werden Cookies im Regelfall auch im Rahmen der Reichweitenmessung eingesetzt sowie dann, wenn die Interessen eines Nutzers oder sein Verhalten (z.B. Betrachten bestimmter Inhalte, Nutzen von Funktionen etc.) auf einzelnen Webseiten in einem Nutzerprofil gespeichert werden. Solche Profile dienen dazu, den Nutzern z.B. Inhalte anzuzeigen, die ihren potentiellen Interessen entsprechen. Dieses Verfahren wird auch als "Tracking", d.h., Nachverfolgung der potentiellen Interessen der Nutzer bezeichnet. Soweit wir Cookies oder "Tracking"-Technologien einsetzen, informieren wir Sie gesondert in unserer Datenschutzerklärung oder im Rahmen der Einholung einer Einwilligung.

  • Hinweise zu Rechtsgrundlagen: Auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten mit Hilfe von Cookies verarbeiten, hängt davon ab, ob wir Sie um eine Einwilligung bitten. Falls dies zutrifft und Sie in die Nutzung von Cookies einwilligen, ist die Rechtsgrundlage der Verarbeitung Ihrer Daten die erklärte Einwilligung. Andernfalls werden die mithilfe von Cookies verarbeiteten Daten auf Grundlage unserer berechtigten Interessen (z.B. an einem betriebswirtschaftlichen Betrieb unseres Onlineangebotes und dessen Verbesserung) verarbeitet oder, wenn der Einsatz von Cookies erforderlich ist, um unsere vertraglichen Verpflichtungen zu erfüllen.

  • Speicherdauer: Sofern wir Ihnen keine expliziten Angaben zur Speicherdauer von permanenten Cookies mitteilen (z. B. im Rahmen eines sog. Cookie-Opt-Ins), gehen Sie bitte davon aus, dass die Speicherdauer bis zu zwei Jahre betragen kann.

  • Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-Out): Abhängig davon, ob die Verarbeitung auf Grundlage einer Einwilligung oder gesetzlichen Erlaubnis erfolgt, haben Sie jederzeit die Möglichkeit, eine erteilte Einwilligung zu widerrufen oder der Verarbeitung Ihrer Daten durch Cookie-Technologien zu widersprechen (zusammenfassend als "Opt-Out" bezeichnet). Sie können Ihren Widerspruch zunächst mittels der Einstellungen Ihres Browsers erklären, z.B., indem Sie die Nutzung von Cookies deaktivieren (wobei hierdurch auch die Funktionsfähigkeit unseres Onlineangebotes eingeschränkt werden kann). Ein Widerspruch gegen den Einsatz von Cookies zu Zwecken des Onlinemarketings kann auch mittels einer Vielzahl von Diensten, vor allem im Fall des Trackings, über die Webseiten https://optout.aboutads.info und https://www.youronlinechoices.com/ erklärt werden. Daneben können Sie weitere Widerspruchshinweise im Rahmen der Angaben zu den eingesetzten Dienstleistern und Cookies erhalten.

  • Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung: Wir setzen ein Verfahren zum Cookie-Einwilligungs-Management ein, in dessen Rahmen die Einwilligungen der Nutzer in den Einsatz von Cookies, bzw. der im Rahmen des Cookie-Einwilligungs-Management-Verfahrens genannten Verarbeitungen und Anbieter eingeholt sowie von den Nutzern verwaltet und widerrufen werden können. Hierbei wird die Einwilligungserklärung gespeichert, um deren Abfrage nicht erneut wiederholen zu müssen und die Einwilligung entsprechend der gesetzlichen Verpflichtung nachweisen zu können. Die Speicherung kann serverseitig und/oder in einem Cookie (sogenanntes Opt-In-Cookie, bzw. mithilfe vergleichbarer Technologien) erfolgen, um die Einwilligung einem Nutzer, bzw. dessen Gerät zuordnen zu können. Vorbehaltlich individueller Angaben zu den Anbietern von Cookie-Management-Diensten, gelten die folgenden Hinweise: Die Dauer der Speicherung der Einwilligung kann bis zu zwei Jahren betragen. Hierbei wird ein pseudonymer Nutzer-Identifikator gebildet und mit dem Zeitpunkt der Einwilligung, Angaben zur Reichweite der Einwilligung (z. B. welche Kategorien von Cookies und/oder Diensteanbieter) sowie dem Browser, System und verwendeten Endgerät gespeichert.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Geschäftliche Leistungen

Wir verarbeiten Daten unserer Vertrags- und Geschäftspartner, z.B. Kunden und Interessenten (zusammenfassend bezeichnet als "Vertragspartner") im Rahmen von vertraglichen und vergleichbaren Rechtsverhältnissen sowie damit verbundenen Maßnahmen und im Rahmen der Kommunikation mit den Vertragspartnern (oder vorvertraglich), z.B., um Anfragen zu beantworten.

Diese Daten verarbeiten wir zur Erfüllung unserer vertraglichen Pflichten, zur Sicherung unserer Rechte und zu Zwecken der mit diesen Angaben einhergehenden Verwaltungsaufgaben sowie der unternehmerischen Organisation. Die Daten der Vertragspartner geben wir im Rahmen des geltenden Rechts nur insoweit an Dritte weiter, als dies zu den vorgenannten Zwecken oder zur Erfüllung gesetzlicher Pflichten erforderlich ist oder mit Einwilligung der betroffenen Personen erfolgt (z.B. an beteiligte Telekommunikations-, Transport- und sonstige Hilfsdienste sowie Subunternehmer, Banken, Steuer- und Rechtsberater, Zahlungsdienstleister oder Steuerbehörden). Über weitere Verarbeitungsformen, z.B. zu Zwecken des Marketings, werden die Vertragspartner im Rahmen dieser Datenschutzerklärung informiert.

Welche Daten für die vorgenannten Zwecke erforderlich sind, teilen wir den Vertragspartnern vor oder im Rahmen der Datenerhebung, z.B. in Onlineformularen, durch besondere Kennzeichnung (z.B. Farben) bzw. Symbole (z.B. Sternchen o.ä.), oder persönlich mit.

Wir löschen die Daten nach Ablauf gesetzlicher Gewährleistungs- und vergleichbarer Pflichten, d.h., grundsätzlich nach Ablauf von 4 Jahren, es sei denn, dass die Daten in einem Kundenkonto gespeichert werden, z.B., solange sie aus gesetzlichen Gründen der Archivierung aufbewahrt werden müssen (z.B. für Steuerzwecke im Regelfall 10 Jahre). Daten, die uns im Rahmen eines Auftrags durch den Vertragspartner offengelegt wurden, löschen wir entsprechend den Vorgaben des Auftrags, grundsätzlich nach Ende des Auftrags.

Soweit wir zur Erbringung unserer Leistungen Drittanbieter oder Plattformen einsetzen, gelten im Verhältnis zwischen den Nutzern und den Anbietern die Geschäftsbedingungen und Datenschutzhinweise der jeweiligen Drittanbieter oder Plattformen.

  • Shop und E-Commerce: Wir verarbeiten die Daten unserer Kunden, um ihnen die Auswahl, den Erwerb, bzw. die Bestellung der gewählten Produkte, Waren sowie verbundener Leistungen, als auch deren Bezahlung und Zustellung, bzw. Ausführung zu ermöglichen. Sofern für die Ausführung einer Bestellung erforderlich, setzen wir Dienstleister, insbesondere Post-, Speditions- und Versandunternehmen ein, um die Lieferung, bzw. Ausführung gegenüber unseren Kunden durchzuführen. Für die Abwicklung der Zahlungsvorgänge nehmen wir die Dienste von Banken und Zahlungsdienstleistern in Anspruch. Die erforderlichen Angaben sind als solche im Rahmen des Bestell- bzw. vergleichbaren Erwerbsvorgangs gekennzeichnet und umfassen die zur Auslieferung, bzw. Zurverfügungstellung und Abrechnung benötigten Angaben sowie Kontaktinformationen, um etwaige Rücksprache halten zu können.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Zahlungsdaten (z.B. Bankverbindungen, Rechnungen, Zahlungshistorie), Kontaktdaten (z.B. E-Mail, Telefonnummern), Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie).

  • Betroffene Personen: Interessenten, Geschäfts- und Vertragspartner.

  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Kundenservice, Kontaktanfragen und Kommunikation, Büro- und Organisationsverfahren, Verwaltung und Beantwortung von Anfragen.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Bereitstellung des Onlineangebotes und Webhosting

Um unser Onlineangebot sicher und effizient bereitstellen zu können, nehmen wir die Leistungen von einem oder mehreren Webhosting-Anbietern in Anspruch, von deren Servern (bzw. von ihnen verwalteten Servern) das Onlineangebot abgerufen werden kann. Zu diesen Zwecken können wir Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste sowie Sicherheitsleistungen und technische Wartungsleistungen in Anspruch nehmen.

Zu den im Rahmen der Bereitstellung des Hosting-Angebotes verarbeiteten Daten können alle die Nutzer unseres Onlineangebotes betreffenden Angaben gehören, die im Rahmen der Nutzung und der Kommunikation anfallen. Hierzu gehören regelmäßig die IP-Adresse, die notwendig ist, um die Inhalte von Onlineangeboten an Browser ausliefern zu können, und alle innerhalb unseres Onlineangebotes oder von Webseiten getätigten Eingaben.

  • Erhebung von Zugriffsdaten und Logfiles: Wir selbst (bzw. unser Webhostinganbieter) erheben Daten zu jedem Zugriff auf den Server (sogenannte Serverlogfiles). Zu den Serverlogfiles können die Adresse und Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen und der anfragende Provider gehören. Die Serverlogfiles können zum einen zu Zwecken der Sicherheit eingesetzt werden, z.B., um eine Überlastung der Server zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten DDoS-Attacken) und zum anderen, um die Auslastung der Server und ihre Stabilität sicherzustellen.

  • Verarbeitete Datenarten: Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Clouddienste

Wir nutzen Clouddienste insbesondere

  • zur Speicherung und Bearbeitung von Dokumenten,
  • zum Versenden von Dokumenten per E-Mail bzw. zum Austausch von Dateien jeglicher Art,
  • für unsere kalendarische Terminverwaltung,
  • zur Vorbereitung und Ausführung von Präsentationen und Tabellenkalkulationen,
  • zur Veröffentlichung von Dateien jeglicher Art,
  • für die interne und externe Kommunikation mittels Chats, Audio- und Videokonferenzen.

Die Softwareanwendungen, die wir zu diesen Zwecken einsetzen, stellen uns der/die unten genannten Anbieter auf deren Servern zur Verfügung. Auf diese Server greifen wir über das Internet zu. Soweit Sie uns Ihre Daten im Rahmen der Kommunikation mit uns bzw. in anderweitigen von uns mittels dieser Datenschutzerklärung erläuterten Vorgängen übermitteln, verarbeiten wir diese Daten in dem von uns genutzten Clouddienst. Das bedeutet, dass Ihre Daten auf den Servern des Clouddient-Drittanbieters gespeichert werden. Die Drittanbieter verarbeiten zur Sicherung ihrer Server sowie zur Optimierung ihrer Dienstleistungen Nutzungs- und Metadaten. Wir verarbeiten und speichern insbesondere Ihre Kontakt-, Kunden- und Vertragsdaten.

Sollten wir mittels des von uns genutzten Clouddienstes Dateien jeglicher Art öffentlich über unsere Internetpräsenz zur Verfügung stellen, kann der jeweilige Drittanbieter des Clouddienstes Cookies auf Ihrem Computersystem speichern, sofern Sie auf diese Dateien zugreifen. Der Dienstanbieter kann die so erhobenen Daten verarbeiten, um Ihr Nutzungsverhalten bzw. Ihre Browser-Einstellungen zu analysieren.

Wir weisen darauf hin, dass je nach Sitzland des nachstehend genannten Diensteanbieters die nachfolgend näher benannten Daten auf Server außerhalb des Raumes der Europäischen Union übertragen und verarbeitet werden können. Es besteht in diesem Fall das Risiko, dass das von der DSGVO vorgeschriebene Datenschutzniveau nicht eingehalten und die Durchsetzung Ihrer Rechte nicht oder nur erschwert erfolgen kann. Sofern der von uns eingesetzte Diensteanbieter das Verarbeiten der Daten ausschließlich innerhalb der EU anbietet, beabsichtigen wir - sofern derzeit ohnehin nicht bereits umgesetzt - Ihre Daten ausschließlich dort zu verarbeiten.

Betroffene Daten:

  • Bestandsdaten (bspw. Namen, Adressen),
  • Kontaktdaten (bspw. E-Mail-Adressen, Telefon- und Handynummern)
  • Inhaltsdaten (bspw. Fotos, Videos, Texte),
  • Nutzungsdaten (bspw. Zeiten der Zugriffe, besuchte Internetpräsenzen, Interesse an Inhalten),
  • Metadaten (bspw. IP-Adresse, Computersystem-Informationen)

Betroffene Personen: Interessenten, Kommunikationspartner, Kunden, Beschäftigte (bspw. Bewerber, aktuelle und ehemalige Mitarbeiter)

Verarbeitungszweck: Organisation der Büro- und Administrationsaufgaben

Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, Vertragserfüllung und vorvertragliche Anfragen, Art. 6 Abs. 1 lit. b DSGVO, berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Eingesetzte Cloud-Dienstleister:

Amazon Drive

Dienstanbieter: Amazon Europe Core S.à.r.l., Amazon EU S.à.r.l, Amazon Services Europe S.à.r.l., Amazon Media EU S.à.r.l., 38, avenue John F. Kennedy, L-1855 Luxemburg, Luxemburg
Sitz in Deutschland: Amazon Instant Video Germany GmbH, Domagkstr. 28, 80807 München Mutterunternehmen: Amazon.com, Inc., 2021 Seventh Ave, Seattle, Washington 98121, USA
Internetseite: https://www.amazon.de
Datenschutzerklärung: https://www.amazon.de/gp/help/customer/display.html?nodeId=201909010

Google Clouddienste

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Internetseite: https://cloud.google.com/
Datenschutzerklärung: https://www.google.com/policies/privacy

Microsoft Clouddienste

Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA
Internetseite: https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage
Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Webhosting

Wir bedienen uns zum Vorhalten unserer Internetseiten eines Anbieters, auf dessen Server unsere Internetseiten gespeichert und für den Abruf im Internet verfügbar gemacht werden (Hosting). Hierbei können von dem Anbieter all diejenigen über den von Ihnen genutzten Browser übertragenen Daten verarbeitet werden, die bei der Nutzung unserer Internetseiten anfallen. Hierzu gehören insbesondere Ihre IP-Adresse, die der Anbieter benötigt, um unser Online-Angebot an den von Ihnen genutzten Browser ausliefern zu können sowie sämtliche von Ihnen über unsere Internetseite getätigten Eingaben. Daneben kann der von uns genutzte Anbieter

  • das Datum und die Uhrzeit des Zugriffs auf unsere Internetseite
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Zugriffsstatus (HTTP-Status)
  • die übertragene Datenmenge
  • der Internet-Service-Provider des zugreifenden Systems
  • der von Ihnen verwendete Browsertyp und dessen Version
  • das von Ihnen verwendete Betriebssystem
  • die Internetseite, von welcher Sie gegebenenfalls auf unsere Internetseite gelangt sind
  • die Seiten bzw. Unterseiten, welche Sie auf unserer Internetseite besuchen.

erheben. Die vorgenannten Daten werden als Logfiles auf den Servern unseres Anbieters gespeichert. Dies ist erforderlich, um die Stabilität und Sicherheit des Betriebs unserer Internetseite zu gewährleisten.

Betroffene Daten:

  • Inhaltsdaten (bspw. Posts, Fotos, Videos)
  • Nutzungsdaten (bspw. Zugriffszeiten, angeklickte Webseiten)
  • Kommunikationsdaten (bspw. Informationen über das genutzte Gerät, IP-Adresse)

Betroffene Personen: Nutzer unserer Internetpräsenz

Verarbeitungszweck: Ausspielen unserer Internetseiten, Gewährleistung des Betriebs unserer Internetseiten

Rechtsgrundlage: Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Von uns beauftragte(r) Webhoster:

OVH GmbH Dienstanbieter: OVH GmbH, St. Johanner Str. 41-43, 66111 Saarbrücken, Deutschland Internetseite: https://www.ovh.de/ Datenschutzerklärung: https://www.ovh.de/support/impressum-und-rechtshinweise/

Contabo GmbH Dienstanbieter: Contabo GmbH, Aschauer Straße 32a, 81549 München, Deutschland Internetseite: https://contabo.com/de/ Datenschutzerklärung: https://contabo.com/de/legal/privacy/

Content-Delivery-Network

Wir benutzen zum Ausspielen unserer Internetseiten ein Content-Delivery-Network (CDN). Ein CDN ist ein Netz regional verteilter und über das Internet verbundener Server. Über das CDN werden skalierende Speicher- und Auslieferungskapazitäten zur Verfügung gestellt. Hierdurch werden die Ladezeiten unserer Internetseiten optimiert und auch bei großen Lastspitzen ein optimaler Datendurchsatz gewährleistet. Nutzeranfragen auf unseren Internetseiten werden über Server des CDN geleitet. Aus diesen Datenströmen werden Statistiken erstellt. Dies dient zum einen dazu, potentielle Bedrohungen für unsere Internetseiten durch Schadsoftware frühzeitig zu erkennen und zum anderen unser Angebot stetig zu verbessern und unsere Internetseiten für Sie als Nutzer nutzerfreundlicher auszugestalten.

Wir möchten Sie darauf hinweisen, dass je nach Sitzland des unten genannten Diensteanbieters die über den Dienst erfassten Daten außerhalb des Raumes der Europäischen Union übertragen und verarbeitet werden können. Es besteht in diesem Fall das Risiko, dass das von der DSGVO vorgeschriebene Datenschutzniveau nicht eingehalten und die Durchsetzung Ihrer Rechte nicht oder nur erschwert erfolgen kann.

Betroffene Daten:

  • Inhaltsdaten (bspw. Posts, Fotos, Videos)
  • Nutzungsdaten (bspw. Zugriffszeiten, angeklickte Webseiten)
  • Kommunikationsdaten (bspw. Informationen über das genutzte Gerät, IP-Adresse)

Verarbeitungszweck: Technische Optimierung der Internetpräsenz, Analyse von Fehlern und Nutzerverhalten

Rechtsgrundlage: Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Eingesetzte CDN-Dienstleister:

Cloudflare

Diensteanbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA Internetseite: https://www.cloudflare.com/ Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/ Umfang der Datenerfassung: https://blog.cloudflare.com/what-cloudflare-logs/

Kontakt- und Anfragenverwaltung

Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Die Beantwortung der Kontaktanfragen sowie die Verwaltung von Kontakt- und Anfragedaten im Rahmen von vertraglichen oder vorvertraglichen Beziehungen erfolgt zur Erfüllung unserer vertraglichen Pflichten oder zur Beantwortung von (vor)vertraglichen Anfragen und im Übrigen auf Grundlage der berechtigten Interessen an der Beantwortung der Anfragen und Pflege von Nutzer- bzw. Geschäftsbeziehungen.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen).
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation.
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Registrierung, Anmeldung und Nutzerkonto

Sie haben die Möglichkeit sich auf unserem Online-Medium zu registrieren, um dort ein Nutzerkonto anzulegen. Hierzu ist die Angabe personenbezogener Daten notwendig, die sich aus der Eingabemaske ergeben. Zu den dort abgefragten Daten gehören insbesondere Ihr Name, Ihre E-Mail-Adresse, ggfls. ein Nutzername sowie das Passwort. Diese Daten werden von uns gespeichert und verarbeitet, um für Sie ein Nutzerkonto einzurichten und die (wiederholte) Anmeldung zu ermöglichen. Die Daten können jederzeit durch Sie geändert oder gelöscht werden. Die Daten werden nicht an Dritte weitergegeben außer dies dient der technischen und organisatorischen Abwicklung des zwischen uns bestehenden Nutzungsvertrages. Um Sie und uns vor missbräuchlichen Registrierungen zu schützen, speichern wir die Ihnen im Zeitpunkt der Registrierung zugeordnete IP-Adresse, sowie das Datum und die Uhrzeit der Registrierung.

Betroffene Daten:

  • Bestandsdaten (bspw. Namen, Adressen)
  • Kontaktdaten (bspw. E-Mail-Adresse, Telefonnummer, Postanschrift)
  • Vertragsdaten (bspw. Vertragsgegenstand, Vertragsdauer)
  • Zahlungsdaten (bspw. Bankverbindungsdaten, Rechnungen)
  • Inhaltsdaten (bspw. Posts, Fotos, Videos)
  • Nutzungsdaten (bspw. Zugriffszeiten, angeklickte Webseiten)
  • Kommunikationsdaten (bspw. Informationen über das genutzte Gerät, IP-Adresse)

Verarbeitungszweck: Abwicklung vertraglicher Leistungen, Kommunikation sowie Beantwortung von Kontaktanfragen, Sicherheitsmaßnahmen.

Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen, Art. 6 Abs. 1 lit. b DSGVO, rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Löschung: Siehe hierzu den Punkt: "Wann löschen wir Ihre Daten?". Daneben möchten wir Sie darauf aufmerksam machen, dass wir die im Rahmen der Registrierung erhobenen Daten sowie die in dem Account hinterlegten Inhaltsdaten vorbehaltlich entgegenstehender gesetzlicher Aufbewahrungspflichten löschen, sobald Sie Ihren Account löschen. Wir bitten Sie daher, sofern Sie auf die in Ihrem Account hinterlegten Inhaltsdaten auch nach der Löschung Ihres Accounts zugreifen wollen oder müssen, diese vor der Löschung des Accounts anderweitig zu sichern.

Verarbeitung Ihrer Daten bei einer Bestellung in unserem Online-Shop: Sofern Sie über unseren Online-Shop Bestellungen aufgeben, verarbeiten wir die von Ihnen im Bestellprozess gemachten Angaben, um Ihre Bestellung abwickeln zu können. Hierzu gehören insbesondere Ihr Name sowie Ihre Adress- sowie elektronischen Kontaktdaten, Informationen zur Abwicklung des Bezahlvorgangs sowie die Angaben zu Ihrer konkreten Bestellung. Welche Daten wir im Einzelnen benötigen, teilen wir Ihnen im Rahmen des Bestellvorgangs mit.

Sofern es zur Erfüllung des zwischen uns geschlossenen Vertrages, zum Schutz Ihrer lebensnotwendiger Interessen oder wegen gesetzlicher Bestimmungen erforderlich ist, übermitteln wir Ihre Daten unter Beachtung Ihrer Rechte an Dritte, wie bspw. an das mit der Lieferung beauftragte Logistik-Unternehmen, an Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung sowie unseren Steuerberater. Soweit wir zur Erbringung unserer Leistungen Drittanbieter einsetzen, gelten die Datenschutzhinweise der jeweiligen Drittanbieter.

Nutzerkonten: Sie können freiwillig ein Nutzerkonto anlegen, in dem Sie Ihre Bestellungen einsehen und verwalten können. Wenn Sie Ihr Konto kündigen, werden Ihre Daten gelöscht. Es obliegt Ihnen, Ihre Daten vor der Kündigung zu sichern. Wir verwenden transiente Cookies (zum Begriff s. o. unter Cookies) für die Speicherung des Warenkorb-Inhalts sowie persistente Cookies (zum Begriff s. o. unter Cookies) für die Speicherung des Login-Status. Wenn Sie eine Bestellung vornehmen, sich für ein Nutzerkonto registrieren oder dort erneut anmelden, speichern wir Ihre IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Zweck der Speicherung sind unsere aber ebenso auch Ihre berechtigten Interessen am Schutz vor dem Missbrauch und sonstiger unbefugter Nutzung.

Angaben zu dem von uns genutzten Shopsystem

Wir nutzen das nachgenannte Shopsystem eines Drittanbieters, über das wir die Bestellungen und Zahlungseingänge abwickeln sowie unseren Warenbestand administrieren. Sofern Sie in unserem Online-Shop eine Bestellung aufgeben, geben wir Ihren Namen sowie Ihre Adress- und elektronischen Kontaktdaten, Informationen zur Abwicklung des Bezahlvorgangs sowie die konkrete Bestellung an den Anbieter des Shopsystems weiter, um die Bestellung und Zahlungsvorgänge abzuwickeln.

Betroffene Daten:

  • Bestandsdaten (bspw. Namen, Adressen)
  • Zahlungsdaten (bspw. Bankverbindungsdaten, Rechnungen)
  • Kontakdaten (bspw. E-Mail-Adresse, Telefonnummer, Postanschrift)
  • Vertragsdaten (bspw. Vertragsgegenstand, Vertragsdauer)
  • Nutzungsdaten (bspw. Zugriffszeiten, angeklickte Webseiten)
  • Kommunikationsdaten (bspw. Informationen über das genutzte Gerät, IP-Adresse)

Betroffene Personen: Kunden, Interessenten, Geschäfts- und Vertragspartner

Verarbeitungszweck: Abwicklung von Bestellungen, Kommunikation und ggfs. Marketing sowie Beantwortung von Anfragen, Datensicherheit, Büro und Organisationsverfahren

Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen, Art. 6 Abs. 1 lit. b DSGVO, rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Snipcart

Dienstanbieter: Snipcart, 226, rue Saint-Joseph Est, Québec, Québec G1K 3A9, CA
Internetseite: https://snipcart.com/
Datenschutzerklärung: https://snipcart.com/terms-of-service https://cdn.snipcart.com/legal/dpa.pdf

Pipedrive

Dienstanbieter: Pipedrive OÜ, Mustamäe tee 3a, 10615, Tallinn, Estland
Internetseite: https://www.pipedrive.com/
Datenschutzerklärung: https://www.pipedrive.com/en/privacy

Collmex

Dienstanbieter: Collmex GmbH, Lilienstr. 37, 66119 Saarbrücken, Deutschland
Internetseite: https://www.collmex.de/
Datenschutzerklärung: https://www.collmex.de/datenschutz.html
AGB Zusatzerklärung AVV: https://www.collmex.de/auftragsverarbeitung.html

Zahlungsdienstleister

Gemäß unserer gesetzlichen Pflichten beziehungsweise wegen unserer berechtigten Interessen an einer effizienten, sicheren und Kunden orientierten Zahlungsabwicklung können Personen, die mit uns einen Vertrag oder eine anderweitige Rechtsbeziehung geschlossen haben, zur Zahlung sowohl Banken und Kreditinstitute, als auch weitere Zahlungsdienstleister in Anspruch nehmen. Die von uns angebotenen Zahlungsdienstleister, verarbeiten in diesem Rahmen Bestandsdaten, dazu zählen Name, Adresse oder auch Bankdaten wie Konto-/Kreditkartennummer, Passwörter, TANs, Prüfnummern sowie Angaben zum abgeschlossenen Vertrag und Angaben zum Empfänger der Zahlung.

Die in diesem Zusammenhang erhobenen Daten sind erforderlich, um die Zahlungsabwicklung durch den Zahlungsdienstleister vornehmen zu können. Ausschließlich der von uns beauftragte Zahlungsdienstleister erhebt und verarbeitet diese persönlichen Angaben. Wir erhalten zu keinem Zeitpunkt Informationen über Ihre Konto- oder Kreditkartenverbindung. Wir werden von unserem Zahlungsdienstleister darüber in Kenntnis gesetzt, ob die Zahlung unserer Kunden eingetroffen ist oder nicht. Es besteht die Möglichkeit, dass unsere Zahlungsdienstleister die Daten unserer Kunden an Wirtschaftsauskunftsdateien weiterleiten, um die Identität sowie Bonität des Zahlenden prüfen zu können. Insoweit verweisen wir auf die Datenschutzerklärung und Allgemeinen Geschäftsbedingungen (AGB) unserer Zahlungsdienstleister.

Es gelten die AGB und Datenschutzbestimmung des jeweiligen Zahlungsdienstleister. Sie finden diese Hinweise auf der Webseite des betroffenen Dienstleister oder in der Transaktionsanwendung. Für weitergehende Informationen und für die Geltendmachung Ihrer Rechte bezüglich Widerruf und Auskunft verweisen wir insoweit auf die Bestimmungen des jeweiligen Dienstleisters.

Betroffene Daten:

  • Bestandsdaten (bspw. Name, Adresse),
  • Benutzungsdaten (bspw. besuchte Internetseiten, Interesse an bestimmten Themen, Zeiten der Zugriffe),
  • Zahlungsdaten (bspw. Bankverbindung, Rechnungen. Zahlungshistorie),
  • Geschäftsabschlussdaten (bspw. Laufzeit, Kundenkategorie, Vertragsgegenstand),
  • Kommunikations- und Metadaten (bspw. IP-Adresse, Informationen zum Gerät oder Computersystem)

Verarbeitungszweck: Effektive, sichere sowie Kunden orientierte Zahlungsangebote (Service) sowie Abwicklung von Zahlungen gemäß vertraglicher Vereinbarung

Rechtsgrundlage: Vertragserfüllung und Erfüllung vorvertraglichen Anfragen, Art. 6 Abs. 1 lit. b DSGVO, berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO

Widerrufsmöglichkeiten: Sie können Ihre Einwilligung zur Verwendung der personenbezogenen Daten jederzeit gegenüber dem jeweiligen Zahlungsdienstleister widerrufen. Trotz Widerruf bleibt der Zahlungsdienstleister gegebenenfalls weiterhin dazu berechtigt, die personenbezogenen Daten zu verarbeiten, zu nutzen und zu übermitteln, die zur vertragsmäßigen Zahlungsabwicklung zwingend notwendig sind. Bezüglich der Speicherung und fristgemäßen Löschung der personenbezogenen Daten verweisen wir auf die jeweiligen Datenschutzbestimmungen des Zahlungsdienstleisters.

Wir nutzen folgende Zahlungsdienstleister:

PayPal

Dienstanbieter: PayPal (Europe) S.à.r.l. et Cie., S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg
Internetseite: https://www.paypal.com/de/webapps/mpp/home
Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full#

Stripe

Dienstanbieter: Stripe Payments Europe Limited 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
Internetseite: https://stripe.com/de/
Datenschutzerklärung: https://stripe.com/de/privacy
Wir bieten die Möglichkeit, den Zahlungsvorgang über den Zahlungsdienstleister Stripe, 510,Townsend St., San Francisco, CA 94103 (Stripe) abzuwickeln. Dies entspricht unserem berechtigten Interesse, eine effiziente und sichere Zahlungsmethode anzubieten (Art. 6 Abs. 1 lit. f DSGVO). In dem Zusammenhang geben wir folgende Daten an Stripe weiter, soweit es für die Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit b. DSGVO).
  • Name des Karteninhabers
  • E-Mail-Adresse
  • Kundennummer
  • Bestellnummer
  • Bankverbindung
  • Kreditkartendaten
  • Gültigkeitsdauer der Kreditkarte
  • Prüfnummer der Kreditkarte (CVC)
  • Datum und Uhrzeit der Transaktion
  • Transaktionssumme
  • Name des Anbieters
  • Ort

Die Verarbeitung der unter diesem Abschnitt angegebenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die Übermittlung Ihrer personenbezogenen Daten können wir eine Zahlung über Stripe nicht durchführen. [Es besteht für Sie die Möglichkeit, eine andere Zahlungsmethode zu wählen.]

Stripe nimmt bei Datenverarbeitungstätigkeiten eine Doppelrolle als Verantwortlicher und Auftragsverarbeiter ein. Als Verantwortlicher verwendet Stripe Ihre übermittelten Daten zur Erfüllung regulatorischer Verpflichtungen. Dies entspricht dem berechtigten Interesse Stripes (gem. Art. 6 Abs. 1 lit. f DSGVO) und dient der Vertragsdurchführung (gem. Art. 6 Abs. 1 lit. b DSGVO). Wir haben auf diesen Prozess keinen Einfluss.

Als Auftragsverarbeiter fungiert Stripe, um Transaktionen innerhalb der Zahlungsnetzwerke abschließen zu können. Im Rahmen des Auftragsverarbeitungsverhältnisses wird Stripe ausschließlich nach unserer Weisung tätig und wurde im Sinne des Art. 28 DSGVO vertraglich verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.

Stripe hat Compliance-Maßnahmen für internationale Datenübermittlungen umgesetzt. Diese gelten für alle weltweiten Aktivitäten, bei denen Stripe personenbezogene Daten von natürlichen Personen in der EU verarbeitet. Diese Maßnahmen basieren auf den EU-Standardvertragsklauseln (SCCs).

Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber Stripe finden Sie unter: https://stripe.com/privacy-center/legal

Ihre Daten werden von uns bis zum Abschluss der Zahlungsabwicklung gespeichert. Dazu zählt auch der Zeitraum der für die Bearbeitung von Rückerstattungen, Forderungsmanagement und Betrugsprävention erforderlich ist.

Werbliche Kommunikation via E-Mail, Post, Fax oder Telefon

Wir verarbeiten personenbezogene Daten zu Zwecken der werblichen Kommunikation, die über diverse Kanäle, wie z.B. E-Mail, Telefon, Post oder Fax, entsprechend den gesetzlichen Vorgaben erfolgen kann.

Die Empfänger haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen oder der werblichen Kommunikation jederzeit zu widersprechen.

Nach Widerruf bzw. Widerspruch können wir die zum Nachweis der Einwilligung erforderlichen Daten bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern, bevor wir sie löschen. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern).
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Direktmarketing (z.B. per E-Mail oder postalisch).
  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Newsletter

Wir versenden in regelmäßigen Abständen einen Newsletter, um unsere Kunden und Geschäftspartner und Interessenten über unsere Angebote und über hiermit im Zusammenhang stehende Neuigkeiten zu informieren. Sie haben die Möglichkeit, sich auf unserer Internetseite zu unserem Newsletter anzumelden und im Rahmen der Anmeldung in den Empfang des Newsletters einzuwilligen. Wenn Sie sich zu unserem Newsletter anmelden, ist die Angabe Ihrer E-Mail-Adresse verpflichtend. Die E-Mail-Adresse speichern wir, um Ihnen den Newsletter zusenden zu können. Sobald eine Anmeldung zu unserem Newsletter erfolgt, erhalten Sie eine Bestätigungs-E-Mail an die bei der Anmeldung hinterlegte E-Mail-Adresse im sog. Double-Opt-In-Verfahren. Diese E-Mail enthält einen Link. Wenn Sie auf diesen Link klicken, bestätigen Sie, dass Sie den Newsletter empfangen möchten. Damit stellen wir sicher, dass Ihre E-Mail-Adresse bei der Anmeldung nicht von einem Dritten missbraucht wurde. Aus demselben Grunde speichern wir das Datum und die Uhrzeit der Anmeldung sowie die bei der Anmeldung Ihnen zugeordnete IP-Adresse. Die vorgenannten Daten geben wir nicht an Dritte weiter.

Betroffene Daten:

  • Inhaltsdaten (bspw. Posts, Fotos, Videos)
  • Nutzungsdaten (bspw. Zugriffszeiten, angeklickte Webseiten)
  • Kommunikationsdaten (bspw. Informationen über das genutzte Gerät, IP-Adresse)

Betroffene Personen: Nutzer unserer Internetpräsenz

Verarbeitungszweck: Ausspielen unserer Internetseiten, Gewährleistung des Betriebs unserer Internetseiten

Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Löschung: Die Löschung der E-Mail-Adresse erfolgt entweder, wenn Sie 1 Monat nach Versand der Bestätigungs-E-Mail im Double-Opt-In-Verfahren den Bestätigungslink nicht angeklickt haben oder unmittelbar nachdem Sie sich von unserem Newsletter abgemeldet haben.

Widerruf: Sie können Ihre Einwilligung in den Empfang des Newsletters jederzeit widerrufen und sich von dem Abonnement des Newsletters abmelden. Wir bieten folgende Möglichkeiten an, über die Sie den Widerruf erklären können: Klick auf den in dem Newsletter hierfür vorgehaltenen Link.

SendinBlue (aka Newsletter2GO)

Dienstanbieter: SendinBlue SAS, 55, rue d'Amsterdam, 75008 Paris, Frankreich
Internetseite: https://de.sendinblue.com/
Datenschutzerklärung: https://www.sendinblue.com/legal/privacypolicy/

Twilio SendGrid

Dienstanbieter:Twilio Germany GmbH, Rosenheimer Str. 143C, 81671 München, Deutschland
Internetseite: https://www.twilio.com/
Datenschutzerklärung:https://www.twilio.com/legal/privacy

Webanalyse, Monitoring und Optimierung

Die Webanalyse (auch als "Reichweitenmessung" bezeichnet) dient der Auswertung der Besucherströme unseres Onlineangebotes und kann Verhalten, Interessen oder demographische Informationen zu den Besuchern, wie z.B. das Alter oder das Geschlecht, als pseudonyme Werte umfassen. Mit Hilfe der Reichweitenanalyse können wir z.B. erkennen, zu welcher Zeit unser Onlineangebot oder dessen Funktionen oder Inhalte am häufigsten genutzt werden oder zur Wiederverwendung einladen. Ebenso können wir nachvollziehen, welche Bereiche der Optimierung bedürfen.

Neben der Webanalyse können wir auch Testverfahren einsetzen, um z.B. unterschiedliche Versionen unseres Onlineangebotes oder seiner Bestandteile zu testen und optimieren.

Zu diesen Zwecken können sogenannte Nutzerprofile angelegt und in einer Datei (sogenannte "Cookie") gespeichert oder ähnliche Verfahren mit dem gleichen Zweck genutzt werden. Zu diesen Angaben können z.B. betrachtete Inhalte, besuchte Webseiten und dort genutzte Elemente und technische Angaben, wie der verwendete Browser, das verwendete Computersystem sowie Angaben zu Nutzungszeiten gehören. Sofern Nutzer in die Erhebung ihrer Standortdaten eingewilligt haben, können je nach Anbieter auch diese verarbeitet werden.

Es werden ebenfalls die IP-Adressen der Nutzer gespeichert. Jedoch nutzen wir ein IP-Masking-Verfahren (d.h., Pseudonymisierung durch Kürzung der IP-Adresse) zum Schutz der Nutzer. Generell werden die im Rahmen von Webanalyse, A/B-Testings und Optimierung keine Klardaten der Nutzer (wie z.B. E-Mail-Adressen oder Namen) gespeichert, sondern Pseudonyme. D.h., wir als auch die Anbieter der eingesetzten Software kennen nicht die tatsächliche Identität der Nutzer, sondern nur den für Zwecke der jeweiligen Verfahren in deren Profilen gespeicherten Angaben.

  • Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung von Daten die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen (d.h. Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen) verarbeitet. In diesem Zusammenhang möchten wir Sie auch auf die Informationen zur Verwendung von Cookies in dieser Datenschutzerklärung hinweisen.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher), Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen).

  • Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse).

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Eingesetzte Dienste und Diensteanbieter:

Plugins und eingebettete Funktionen sowie Inhalte

Wir binden in unser Onlineangebot Funktions- und Inhaltselemente ein, die von den Servern ihrer jeweiligen Anbieter (nachfolgend bezeichnet als "Drittanbieter") bezogen werden. Dabei kann es sich zum Beispiel um Grafiken, Videos oder Stadtpläne handeln (nachfolgend einheitlich bezeichnet als "Inhalte").

Die Einbindung setzt immer voraus, dass die Drittanbieter dieser Inhalte die IP-Adresse der Nutzer verarbeiten, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte oder Funktionen erforderlich. Wir bemühen uns, nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner sogenannte Pixel-Tags (unsichtbare Grafiken, auch als "Web Beacons" bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die "Pixel-Tags" können Informationen, wie der Besucherverkehr auf den Seiten dieser Webseite, ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und zum Betriebssystem, zu verweisenden Webseiten, zur Besuchszeit sowie weitere Angaben zur Nutzung unseres Onlineangebotes enthalten als auch mit solchen Informationen aus anderen Quellen verbunden werden.

Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung von Daten die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen (d.h. Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen) verarbeitet. In diesem Zusammenhang möchten wir Sie auch auf die Informationen zur Verwendung von Cookies in dieser Datenschutzerklärung hinweisen.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen), Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen).
  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).
  • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Erbringung vertraglicher Leistungen und Kundenservice.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO).

Eingesetzte Dienste und Diensteanbieter:

  • Google Fonts: Wir binden die Schriftarten ("Google Fonts") des Anbieters Google ein, wobei die Daten der Nutzer allein zu Zwecken der Darstellung der Schriftarten im Browser der Nutzer verwendet werden. Die Einbindung erfolgt auf Grundlage unserer berechtigten Interessen an einer technisch sicheren, wartungsfreien und effizienten Nutzung von Schriftarten, deren einheitlicher Darstellung sowie unter Berücksichtigung möglicher lizenzrechtlicher Restriktionen für deren Einbindung. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://fonts.google.com/; Datenschutzerklärung: https://policies.google.com/privacy.
  • Google Maps: Wir binden die Landkarten des Dienstes "Google Maps" des Anbieters Google ein. Zu den verarbeiteten Daten können insbesondere IP-Adressen und Standortdaten der Nutzer gehören, die jedoch nicht ohne deren Einwilligung (im Regelfall im Rahmen der Einstellungen ihrer Mobilgeräte vollzogen), erhoben werden; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://cloud.google.com/maps-platform; Datenschutzerklärung: https://policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Opt-Out-Plugin: https://tools.google.com/dlpage/gaoptout?hl=de, Einstellungen für die Darstellung von Werbeeinblendungen: https://adssettings.google.com/authenticated.
  • YouTube-Videos: Videoinhalte; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://www.youtube.com; Datenschutzerklärung: https://policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Opt-Out-Plugin: https://tools.google.com/dlpage/gaoptout?hl=de, Einstellungen für die Darstellung von Werbeeinblendungen: https://adssettings.google.com/authenticated.
  • Docusign Dienstanbieter: DocuSign Germany GmbH, Neue Rothofstrasse 13-19, 60313 Frankfurt, Deutschland Internetseite: https://www.docusign.de/ Datenschutzerklärung: https://www.docusign.de/unternehmen/datenschutz Diese Website nutzt die Dienste von Docusign für die Erstellung und Übermittlung von digitalen Signaturen zum Zwecke des Vertragsabschlusses. Anbieter ist Docusign, an der Adresse 9 Appold St, London EC2A 2AP, Großbritannien. Das Hauptprodukt und die wesentlichen Dienstleistungen von DocuSign unterstützen den Nutzer darin, Transaktionen digital oder elektronisch aufzusetzen, sie durchzuführen oder deren Wirksamkeit nachzuweisen – etwa, indem ein Vertrag über Vorsorgeleistungen elektronisch signiert wird. Gemäß dem Wunsch unserer Nutzer erheben wir im Rahmen der Erbringung unserer Dienste diejenigen Daten und dokumentieren sie, die den Parteien den Nachweis der Wirksamkeit der von ihnen getätigten Transaktionen ermöglichen. Diese Daten umfassen auch die an den Geschäftsabschlüssen beteiligten Personen und die von diesen Personen genutzten Endgeräte. Die von dieser Website mittels Docusign erfassten Daten werden auf Servern des Auftragnehmers Docusign gespeichert. Die notwendigen Voraussetzungen sind geschaffen, damit dies den Anforderungen des EU-Datenschutzrechts sowie des Bundesdatenschutzgesetzes genügt. Docusign ist unter den Bedingungen von Corporate Binding Rules (BCR, verbindliche unternehmensweit geltende Richtlinien) zugelassen worden. Die Nutzung von Docusign erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Onlinemeetings, Videokonferenzen und Bildschirm-Sharing

Wir nutzen Angebote von Drittanbietern, um Online-Meetings, Konferenzschaltungen per Video und/oder Audio-Schaltung sowie Online-Seminare unter Mitarbeitern sowie mit Interessenten oder Kunden zu ermöglichen. Wenn Sie mit uns über einen solchen Dienst kommunizieren, werden die in diesem Kommunikationsvorgang erhobenen Daten sowohl durch uns als auch durch den Drittanbieter verarbeitet. Zu den Daten, die in einem solchen Kommunikationsvorgang entstehen können, zählen insbesondere Ihre Anmelde- und Kontaktdaten, Beiträge im Chat-Fenster, Ihre Video- und Audio-Beiträge sowie geteilte Bildschirminhalte. Zu den durch den von uns eingesetzten Drittanbieter verarbeitet Daten gehören vorrangig Benutzerdaten sowie Metadaten (bspw. IP-Adresse, Computersystem-Informationen). In der Regel verarbeiten die Drittanbieter diese Daten, um die Sicherheit des Dienstes zu überprüfen und gewährleisten. Zudem sollen Erkenntnisse aus der Datenverarbeitung dazu genutzt werden, das Angebot des Drittanbieters zu optimieren sowie entsprechende Marketingmaßnahmen durchzuführen. Bitte beachten Sie diesbezüglich die Datenschutzhinweise des Drittanbieters.

Wir möchten Sie darauf hinweisen, dass je nach Sitzland des unten genannten Diensteanbieters die über den Dienst erfassten Daten außerhalb des Raumes der Europäischen Union übertragen und verarbeitet werden können. Es besteht in diesem Fall das Risiko, dass das von der DSGVO vorgeschriebene Datenschutzniveau nicht eingehalten und die Durchsetzung Ihrer Rechte nicht oder nur erschwert erfolgen kann.

Betroffene Daten:

  • Bestandsdaten (bspw. Namen, Adressen)
  • Kontaktangaben (bspw. E-Mail-Adresse, Telefonnummer)
  • Geteilte Inhalte (bspw. Fotos, Videos, Texte, Audioaufnahmen)
  • Benutzerdaten (bspw. Zeiten der Zugriffe, besuchte Internetseiten, Interesse an Inhalten)
  • Meta- und Kommunikationsdaten (bspw. IP-Adresse, Computersystem Informationen)

Betroffene Personen: Interessenten, Kunden, Kommunikationspartner

Verarbeitungszweck: Verarbeitung von Kontaktanfragen, interne und externe Kommunikation mit Mitarbeitern sowie Interessenten und Kunden, Erfüllung unserer vertraglichen Leistungen, Serviceangebot

Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, Vertragserfüllung und vorvertragliche Anfragen, Art. 6 Abs. 1 lit. b DSGVO, berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO

Von uns verwendete Dienste:

Microsoft Teams

Angebotene Dienste: Videokonferenzen, Chats, Sprachkonferenzen
Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Internetseite: https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/group-chat-software
Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Zoom

Angebotene Dienste: Videokonferenzen, Sprachkonferenzen, Chats
Dienstanbieter: Zoom Video Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA
Internetseite: https://zoom.us/de-de/meetings.html
Datenschutzerklärung: https://zoom.us/de-de/privacy.html

Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

Datenschutzerklärung für die Teilnahme an Prüfungen (Qualifikation/Kompetenz)

Die ICO arbeitet mit Schulungsorganisationen zusammen, die im Anschluss an die Bildungsmaßnahme eine Prüfung zur Feststellung der Qualifikation und Kompetenz durchführen.

Dazu erheben und verarbeiten wir personenbezogenen Daten, die wir auch an externe Dritte zur Prüfungsdurchführung weitergeben. Die externen Dritten agieren dabei als Prüfungsvorbereiter, Prüfungsaufsicht, Prüfungsnachbereiter und/oder Prüfer oder in einer anderweitig für den Prüfungsablauf notwendigen Rolle.

Die erforderlichen Daten sind: Vor- und Nachname, Adresse, Geburtsdatum, Geburtsort, Geburtsland, E-Mail-Adresse, Zertifikats-ID, Ausstellungsdatum und sofern notwendig auch Prüfungsergebnisse aus vergangenen Prüfungen.

Im Falle, dass die Prüfung von einem ICO-Partner (Proctor) durchgeführt wird, darf die ICO diese Daten auch an den Dienstleister weitergeben.

Im Falle, dass von der ICO Prüfungen im Auftrag anderer Ausbildungsträger abgenommen werden, darf die ICO folgende Daten dem Ausbildungsträger übermitteln: Zertifikats-ID, Ausstellungsdatum, Vorname, Nachname, Geburtsdatum und Geburtsort.

Der Ausbildungsträger für die Themengebiete FitSM und Scrum ist die ITEMO International Education Organization e.V. (Kontakt: office@itemo.org).

Der Ausbildungsträger für das Themengebiet CISIS12 ist der IT-Sicherheitscluster e.V. (Kontakt: info@it-sec-cluster.de ) Entsprechende Verträge mit den ICO-Partnern und Ausbildungsträgern regeln den Umgang mit den Teilnehmerdaten entsprechend dieser Vereinbarung und den Vorgaben der aktuellen Datenschutzgesetze.

Mit der Registrierung zu einer Prüfung durch den Prüfungsteilnehmer oder eine vom Prüfungsteilnehmer dazu beauftragte Schulungsorganisation und spätestens mit Teilnahme an der Prüfung erklärt der Prüfungsteilnehmer sein Einverständnis zur Erhebung, Verarbeitung, Weitergabe und Nutzung personenbezogener Daten im Rahmen seiner Prüfung durch die ICO, sofern sie die jeweils anwendbaren datenschutzrechtlichen Bestimmungen beachtet.

ICO Online-Prüfungsdienste

Folgende Kognitive Dienste werden zur Durchführung der Online-Prüfungen und Zertifikatsaustellung eingesetzt und benötigt.

Microsoft Azure Kognitive-Dienste zur Gesichtserkennung und andere Microsoft Azure Cloud-Dienste, wie Web App Services, Azure Cosmos DB, Azure BlobStorage und Machine Learning werden benötigt, um unsere Online-Prüfungsdienste und weitere zu nutzen.

An wen werden die Daten weitergegeben und zu welchem Zweck?

Innerhalb der ICO AG: keine Weitergabe

Außerhalb der ICO AG:

  • Microsoft Corporation
Einige Online-Prüfungsdienste wird auf einer Microsoft Azure Cloud gehostet. Da Microsoft die Cloud -Infrastruktur und -Services betreibt und unterhält, hat Microsoft entsprechend auch Zugriff auf die Daten und gilt somit als Auftragsdatenverarbeiter.
Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Internetseite: https://www.microsoft.com/de-de/
Datenschutzerklärung: https://privacy.microsoft.com/en-us/privacystatement
  • bpmspace gmbh
Dienstleister für Support und Weiterentwicklung der Online-Prüfungsdienste mit Zugriff auf die Daten und Anwendungen und gilt somit als Auftragsdatenverarbeiter.
Dienstanbieter: BPMspace GmbH, Ridlerstraße 57, 80339 München, Deutschland
Internetseite: https://www.bpmspace.com/#contact
Datenschutzerklärung: https://www.bpmspace.com/#contact
  • mITSM GmbH
Dienstleister für Projektverwaltung und Bereitstellung von Service Desk Diensten (u.a. JIRA) mit Zugriff auf die Daten und Anwendungen und gilt somit als Auftragsdatenverarbeiter.
Dienstanbieter: mITSM GmbH, Ridlerstraße 57, 80339 München, Deutschland
Internetseite: https://www.mitsm.de
Datenschutzerklärung: https://www.mitsm.de/datenschutzerklaerung/
  • NANDEV
Company ID Number: 66070166, Company Tax Number: 112388358
Dienstleister für Support und Weiterentwicklung der Online-Prüfungsdienste mit Zugriff auf die Daten und Anwendungen und gilt somit als Auftragsdatenverarbeiter.
  • TRIDAN
Company ID Number: 65451999, Company Tax Number: 111492099
Dienstleister für Support und Weiterentwicklung der Online-Prüfungsdienste mit Zugriff auf die Daten und Anwendungen und gilt somit als Auftragsdatenverarbeiter.
  • IV DEVELOPMENT
ID Number: 66208346 Company Tax Number:112583398
Dienstleister für Support und Weiterentwicklung der Online-Prüfungsdienste mit Zugriff auf die Daten und Anwendungen und gilt somit als Auftragsdatenverarbeiter.

Mit jenen Partnern, welche im Rahmen von Support, Betrieb und Unterhalt auf die Systeme zugreifen müssen, werden entsprechende Vereinbarungen über die Auftragsdatenverarbeitung abgeschlossen. Zu diesen Vereinbarungen gehört jeweils auch eine Auflistung sämtlicher technischer und organisatorischer Maßnahmen welche getroffen wurden, um die Daten bestmöglich zu schützen.

Wie wir die MS Azure Kognitiven-Dienste nutzen

Wir verwenden die Gesichtserkennungstechnologie (basierend auf GDPR-konformen Microsofts Azure Cognitive Serivces), um Ihre einzigartige "Vorlage" für die Gesichtserkennung zu erstellen und sie auf folgende Arten zu verwenden:

  • Authentifizierung Identifiziert Sie als den gültigen und angemeldeten Studenten, der die zugewiesene Online-Prüfung ablegt.

  • Betrugserkennung Validieren und überprüfen Sie, ob Sie die Standards für die Einhaltung der Prüfung gemäß unserer ICO-Prüfungsordnung (ER), der Vertraulichkeitsvereinbarung für Prüfungskandidaten (NDA) und Ihrer Anwesenheit während der gesamten Online-Sitzung einhalten.

  • Zertifikatsgenerierung mit verifizierbaren Token (GUID) generieren Ihr Prüfungszertifikat. Optional mit einem einzigartigen und verifizierbaren Zertifikatstoken, ohne dass, außer Ihrem vollständigen Namen, Geburtsdatum, Geburtsort und Geburtsland, weitere privaten Daten benötigt werden.

  • Zertifikatsverifizierung Eine Revalidierung der Echtheit eines Zertifikats kann auf Basis von sog. Hash-Werten vertraulich und ohne Weitergabe von privaten Informationen erfolgen

  • Neuausstellung Erneutes Generieren von Kopien Ihres Zertifikats

Diese Daten werden verarbeitet

Der Azure-Gesichtserkennungsdienst verfügt über KI-Algorithmen zum Ermitteln, Erkennen und Analysieren menschlicher Gesichter in Bildern. Bei der Gesichtserkennung handelt es sich um eine Technologie, die Fotos und Videos, in denen Sie sich befinden, analysiert, um eine eindeutige, kryptografische Gesichtsvorlage / Template zu berechnen.

Bilder von Personen werden in Templates umgewandelt, die dann für die Gesichtserkennung verwendet werden. Maschineninterpretierbare Merkmale werden aus einem oder mehreren Bildern einer Person extrahiert, um die Vorlage dieser Person zu erstellen. Die Bilder selbst - ob Aufnahme- oder Probebilder (siehe unten) - werden von Face API nicht gespeichert und die Originalbilder können nicht auf Basis einer Vorlage rekonstruiert werden.

Zunächst erstellen und verwenden wir Ihre Vorlage und vergleichen sie mit Analysen des aufgezeichneten Live-Video-/Foto-Streams, um zu erkennen, ob Sie während der gesamten Prüfungssitzung als der gültige und zugewiesene Student erscheinen.

Überprüfung der Bildschirm-Freigabe

Zusätzlich wird fortlaufend der freigegebene Bildschirm des Anwenders während der Prüfung temporär als „Screenshot" (Bildschirm-Kopie) erfasst und auf einen sog. Personal Identifier (Persönlicher Prüfsummencode) getestet. Hiermit kann festgestellt werden, ob eine parallele Nutzung des Geräts außerhalb der Prüfungsordnung erfolgt ist.

Es erfolgt ansonsten keine Weiterverarbeitung der Screenshots. Der Anwender wird während der Nutzung des Online-Dienstes permanent darauf hingewiesen und ist angehalten keine persönlichen Daten oder Daten von Dritten während der Prüfung auf seinem Bildschirm freizugeben.

Außerdem speichern wir Ihren vollständigen Namen, Ihr Geburtsdatum, Ihren Geburtsort und Ihr Geburtsland.

Folgende weitere Daten werden im Rahmen von Prüfungsdiensten verarbeitet: Das Prüfungsdatum, Ergebnisse und Kontakt-E-Mail-Adresse, E-Mail-Kommunikation.

Daher werden wir während des Prüfungsprozesses regelmäßig ein Bild von Ihnen erstellen. Diese Bilder werden nicht länger als 180 Tage in einem Cloud-Service gespeichert und danach verschlüsselt und archiviert.

Alle nicht persistenten und persistent verarbeiteten Daten werden sicher gespeichert und gemäß den höchsten GDPR / Data Loss Prevention (DLP) Standards verschlüsselt. Beim Einsatz der Azure Cognitive Services werden Benutzerdaten im Ruhezustand und während der Übertragung mithilfe bewährter Methoden verschlüsselt.

Es gibt keinen permanenten lokalen Daten- Fußabdruck auf Ihrem Gerät. Alle Daten werden in Ihrem Webbrowser-Tab "Session Store" verarbeitet und nach dem Schließen Ihres Browser-Tabs automatisch gelöscht.

Wir geben Ihre Daten oder Metadaten nicht an andere Dritte weiter.

Wir behalten nur Ihre persönliche Vorlage (ein kryptographischer Hash-Code auf der Grundlage von Metadaten und Bildern), Ihre Zertifikatsmarken und Ihren vollständigen Namen, Ihr Geburtsdatum, Ihren Geburtsort und Ihr Geburtsland, solange Ihr Konto aktiv ist. Dies wird nur für die erneute Validierung des Zertifikats und die erneute Erstellung von Kopien Ihres Zertifikats nach Bedarf und nur mit Ihrem Auftrag oder Ihrer Zustimmung verwendet.

Wir werden Ihre persönliche Vorlage löschen, wenn Sie Ihr Konto kündigen und alle Ihre persönlichen Daten dauerhaft löschen möchten. Nach der permanenten Löschung gibt es keine Möglichkeit mehr, Ihre Zertifikate erneut zu validieren oder wiederherzustellen.

Ihre persönliche Vorlage sind pseudonymisierte Daten, die den GDPR-Standards entsprechen und definiert sind als:

"Verarbeitung personenbezogener Daten in einer Weise, die es unmöglich macht, sie ihrer Quelle zuzuordnen, ohne zusätzliche Informationen, die in einer sicheren Umgebung aufbewahrt werden können".

Alle anderen persönlichen Daten und Sitzungsdaten werden innerhalb von 180 Tagen nach Abschluss der letzten Prüfung pseudonymisiert. Nur die Microsoft Azure Log-Dateien werden bis zu 12 Monate gespeichert.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
  • Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
  • Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
  • Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
  • Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
  • Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Weitere Einschränkungen, Modifikationen und gegebenenfalls Ausschlüsse der vorgenannten Rechte können sich aus der DSGVO oder nationalen Rechtsvorschriften ergeben.

Ihre Rechte können Sie direkt bei der ICO AG als geltend machen.

Richten Sie Ihren Antrag unter privacy@ico-cert.org ein. Wir müssen einen Nachweis Ihrer Identität einholen, bevor wir Ihnen die Informationen, die wir über Sie besitzen, zur Verfügung stellen können.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Viele der Begriffe sind dem Gesetz entnommen und vor allem im Art. 4 DSGVO definiert. Die gesetzlichen Definitionen sind verbindlich. Die nachfolgenden Erläuterungen sollen dagegen vor allem dem Verständnis dienen. Die Begriffe sind alphabetisch sortiert.

  • IP-Masking: Als "IP-Masking" wird eine Methode bezeichnet, bei der das letzte Oktett, d.h., die letzten beiden Zahlen einer IP-Adresse, gelöscht wird, damit die IP-Adresse nicht mehr der eindeutigen Identifizierung einer Person dienen kann. Daher ist das IP-Masking ein Mittel zur Pseudonymisierung von Verarbeitungsverfahren, insbesondere im Onlinemarketing
  • Personenbezogene Daten: "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Profile mit nutzerbezogenen Informationen: Die Verarbeitung von "Profilen mit nutzerbezogenen Informationen", bzw. kurz "Profilen" umfasst jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen (je nach Art der Profilbildung können dazu unterschiedliche Informationen betreffend die Demographie, Verhalten und Interessen, wie z.B. die Interaktion mit Webseiten und deren Inhalten, etc.) zu analysieren, zu bewerten oder, um sie vorherzusagen (z.B. die Interessen an bestimmten Inhalten oder Produkten, das Klickverhalten auf einer Webseite oder den Aufenthaltsort). Zu Zwecken des Profilings werden häufig Cookies und Web-Beacons eingesetzt.
  • Reichweitenmessung: Die Reichweitenmessung (auch als Web Analytics bezeichnet) dient der Auswertung der Besucherströme eines Onlineangebotes und kann das Verhalten oder Interessen der Besucher an bestimmten Informationen, wie z.B. Inhalten von Webseiten, umfassen. Mit Hilfe der Reichweitenanalyse können Webseiteninhaber z.B. erkennen, zu welcher Zeit Besucher ihre Webseite besuchen und für welche Inhalte sie sich interessieren. Dadurch können sie z.B. die Inhalte der Webseite besser an die Bedürfnisse ihrer Besucher anpassen. Zu Zwecken der Reichweitenanalyse werden häufig pseudonyme Cookies und Web-Beacons eingesetzt, um wiederkehrende Besucher zu erkennen und so genauere Analysen zur Nutzung eines Onlineangebotes zu erhalten.
  • Verantwortlicher: Als "Verantwortlicher" wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.
  • Verarbeitung: "Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten, sei es das Erheben, das Auswerten, das Speichern, das Übermitteln oder das Löschen.