Datenschutzinfo

1. Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung(DSGVO) ist:
CURASTEP GmbH, Fruchtallee 115, 20259 Hamburg, info@curastep.de

2. Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

  1. Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).
  2. Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
  3. Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).
  4. Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).
  5. Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).
  6. Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbaren Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).
  7. Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. dem Hamburgischen Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

3. Datenverarbeitungen bei uns im Allgemeinen

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z. B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.

Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z. B. Internetseiten, Onlinespielen, Social Media Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 16 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO, sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie von 2002 (oft „Cookie-Richtlinie“ genannt). Die Vorschriften dieser Richtlinie gelten in Deutschland über das Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.

4. Allgemeiner Hinweis zu Cookies

Unsere Internetseiten verwenden sogenannte Cookies. Dabei handelt es sich um Textdateien, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern auch nach der EU ePrivacy-Richtlinie bzw. § 15 TMG. Die ePrivacy-Richtlinie unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht essenzielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z. B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt).

Wegen der strengen Vorgaben der ePrivacy-Richtlinie fragen wir Sie beim Aufruf unserer Internetseite nach Ihrem Einverständnis in das Setzen der nicht-essenziellen Cookies.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

  1. Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht.
  2. Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.
  3. Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).
  4. Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.

5. Konkrete Datenverarbeitungen

5.1 Ihr Kundenverhältnis mit uns

5.1.1 Onlinekurse

Beschreibung: Wir bieten Ihnen Onlinekurse als Fernunterricht an. Dafür nutzen wir eine eLearning-Plattform, die wir Learning Management System nennen – kurz LMS. Das LMS stellt ein technischer Dienstleister für uns bereit.

Im LMS legen wir für Sie ein Kundenkonto an, dessen Zugangsdaten wir Ihnen zuschicken. Auf das Kundenkonto werden die von Ihnen gewünschten Kurse gebucht. Auch Ihre Ausbildungsfortschritte werden hier dokumentiert.

Die Nutzung des LMS erfolgt über Ihren Internetbrowser (siehe die Verarbeitungen „Besuch unserer Internetseiten“).

Bei Ihren Profildaten steht es Ihnen frei, Ihr Benutzerkonto mit einem Foto oder Symbolbild zu versehen. Ihren Benutzernamen können Sie frei wählen. Für andere Kursteilnehmende wird Ihr Name nur sichtbar, wenn Sie in unserem Forum Beiträge veröffentlichen oder kommentieren (siehe die Verarbeitungen „CURASTEP-Forum“).

Soweit wir einzelne Kurseinheiten als Webinare anbieten, können Sie sich in unterschiedlicher Form in die Veranstaltung mit einbringen (Chat, Audio, Video). Einige unserer Webinare werden aufgezeichnet, damit Sie zur anschließenden Ansicht zur Verfügung gestellt werden können. Sie werden hierauf spätestens zu Beginn des jeweiligen Webinars hingewiesen und um Ihre Einwilligung gebeten, die Sie nicht erteilen müssen. Sollten Sie der Einwilligung widersprechen, bitten wir Sie ggf. ohne eigene Aktivität an dem Webinar teilzunehmen. Wenn Sie sich während des Webinars nicht zu Wort melden, werden von Ihnen auch keine Daten aufgezeichnet.

Teilweise erhalten Sie Benachrichtigungen zu Ihren Kursen per E-Mail, die automatisch von unserem LMS verschickt werden (z. B. Erinnerungen an bevorstehende Termine).

Unser LMS setzt zwei Session-Cookies, die technisch notwendig sind, um Ihnen Ihre persönlichen Kursdaten korrekt anzeigen zu können, während Sie eingeloggt sind: _thinkific_session und visitor_id. Als technisch notwendige Cookies bedarf es hierfür auch nach § 15 TMG keiner Einwilligung.

Datenkategorien: Name, E-Mail-Adresse, Passwort (verschlüsselt und für uns nicht lesbar), ggf. Foto, gebuchte Kurse und Ausbildungsfortschritte (Aktivitätenhistorie), Cookie-ID; bei eigener Aktivität in einem Webinar: Ton- und Filmaufzeichnungen bzw. Textkommentare

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das LMS, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt in Kanada. Die dadurch erfolgende Datenübertragung nach außerhalb des EWR ist durch einen EU-Angemessenheitsbeschluss für Kanada abgesichert.

Zweck + Rechtsgrundlage: Nutzung eines LMS als Cloud-Lösung, das uns eine leistungsfähige Infrastruktur für unsere Schulungen ermöglicht. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Erfüllung des Fernausbildungsvertrags mit uns.

Speicherdauer: Wir speichern Ihr Konto im LMS bis zu sechs Jahre nach dem letzten Kontakt mit Ihnen. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht und wollen es ermöglichen, Ihnen auch einige Zeit nach Abschluss des Kurses Duplikate Ihrer Ausbildungsbestätigungen schicken zu können.

5.1.2 CURASTEP-Forum

Beschreibung: Teil unseres LMS ist ein Forum, in dem Sie und alle anderen registrierten Benutzer Beiträge inkl. Bildern, Dateien und Videolinks veröffentlichen und kommentieren können. Die anderen Benutzer des Forums sehen bei den Beiträgen und Kommentaren den Namen, den Sie für sich in Ihren Profileinstellungen gespeichert haben, und den Zeitpunkt der Veröffentlichung.

Datenkategorien: IP-Adresse des Geräts, von dem aus der Kommentar veröffentlicht wurde; Uhrzeit und Datum der Veröffentlichung; Text/Inhalt des veröffentlichten Kommentars

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das LMS, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt in Kanada. Die dadurch erfolgende Datenübertragung nach außerhalb des EWR ist durch einen EU-Angemessenheitsbeschluss für Kanada abgesichert.

Zweck + Rechtsgrundlage: Austausch mit anderen Kursteilnehmenden. Rechtsgrundlage ist Vertragserfüllung, da das Forum Teil unseres Kurs- und Ausbildungsangebots ist und Sie hier eigenverantwortlich veröffentlichen.

Speicherdauer: Wir löschen Beiträge und Kommentare von Ihnen, wenn Sie uns dazu auffordern. Wir behalten uns vor, Ihre Beiträge und Kommentare bereits zu einem früheren Zeitpunkt zu entfernen, wenn wir sie nicht mehr als ausbildungsrelevant für aktuelle oder zukünftige Kursteilnehmende einstufen.


5.1.3 Externe Dozenten

Beschreibung: Viele Experten, die als Dozenten Präsenzveranstaltungen oder Webinare sowie Korrekturleistungen für uns anbieten, sind externe Dienstleister. Die Dozenten erhalten im Rahmen ihres Auftrags Zugang zu Ihren personenbezogenen Daten, wie sie im LMS sichtbar werden bzw. für eine adäquate Vorbereitung auf die Veranstaltung und die Teilnehmenden erforderlich ist. Zusätzlich haben die Dozenten Einblick in die Ergebnisse von Prüfungen, die Sie abgelegt haben.

Der Zugriff auf Ihre Teilnehmerdaten stellt eine gemeinsame Verantwortung dar, über die die Dozenten und wir einen entsprechenden Vertrag nach Artikel 26 DSGVO abgeschlossen haben. Die Dozenten sind vertraglich auf die Vertraulichkeit verpflichtet. Sie dürfen Ihre Daten in keiner Weise für andere Zwecke als die Durchführung der CURASTEP-Veranstaltung verwenden.

Die Zuständigkeit für die Daten ist zwischen CURASTEP und Dozenten so aufgeteilt, dass CURASTEP für die Administration des Ausbildungsangebots und die Bereitstellung des LMS verantwortlich ist. Die Dozenten sind für die direkte Kommunikation rund um Ausbildungsinhalte im Zusammenhang mit Coaching-Workshops zuständig.

Zentraler Ansprechpartner für die Betroffenenrechte nach der DSGVO bleibt CURASTEP.

Datenkategorien: Name, E-Mail-Adresse, gebuchte Kurse und Ausbildungsfortschritte sowie Prüfungsergebnisse); bei eigener Aktivität in einem Webinar: Ton- und Filmaufzeichnungen bzw. Textkommentare

Datenempfänger (ggf. Drittstaatentransfer): Externe Dozenten. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Einbindung externer Experten als Dozenten. Rechtsgrundlage für die Weitergabe Ihrer Daten ist ein berechtigtes Interesse, da die Dozenten vertraglich auf die Vertraulichkeit verpflichtet sind und der Einsatz externer Experten ein fachlich optimales Ausbildungsangebot ermöglicht.

Speicherdauer: Die Dozenten sind verpflichtet, die Daten der Kursteilnehmenden spätestens drei Jahre nach Kursende zu löschen.

5.1.4 Abrechnung Ihres Fernunterrichtsvertrags

Beschreibung: Nach Abschluss eines Fernunterrichtsvertrags mit uns, schicken wir Ihnen Rechnungen, die Sie per Überweisung an uns bezahlen. Rechnungen werden intern bei uns erstellt und versandt. Dafür nutzen wir eine Buchhaltungssoftware, die von einem Dienstleister als Cloud-Lösung angeboten wird.

Datenkategorien: Name, Anschrift, Kundennummer, Rechnungsnummer, gebuchte Kurseinheit, Rechnungsbetrag

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das Hosting der Buchhaltungssoftware, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt.

Zweck + Rechtsgrundlage: Rechnungsstellung. Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.

5.2 Direkte Kommunikation mit uns

5.2.1 E-Mail-Kommunikation

Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absender, Zeitpunkt des Versands etc.) werden auf den E-Mail-Servern unseres Hosting-Anbieters gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets). Gleiches gilt für E-Mails, die wir an Sie schicken.

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail. Naheliegend ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das E-Mail-Hosting, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt. Soweit Sie für Ihr Postfach einen Hosting-Dienstleister außerhalb des EWR nutzen oder unsere E-Mails von außerhalb des EWR abrufen, liegt das nicht in unserer Verantwortung.

Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; so verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre, aber aus anderen Dokumentationspflichten können sich auch längere Aufbewahrungszeiten ergeben.

5.2.2 Telefonate

Beschreibung: Telefonieren wir miteinander, erfassen unsere Telefonanlage bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs.

Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der passenden Stelle (z. B. in der Kundendatenbank oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Tonaufzeichnungen von Gesprächen finden nur im Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.

5.2.3 Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z. B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.

5.2.4 Online-Chat (Userlike)

Beschreibung: Sie können mit uns per Online-Chat Kontakt aufnehmen. Die Chat-Funktion ist in unsere Internetseite integriert. Technisch wird diese Funktion bei Userlike als Auftragsverarbeiter gehostet, als Gesprächspartner antworten Ihnen unsere Beschäftigten.

Userlike setzt nach Ihrer entsprechenden Einwilligung Cookies, damit eine durchgängige Konversation mit Ihnen gesichert werden kann: uslk_um_94297e (1 Jahr), uslk_um_94297s (Session)

Wenn Sie den Chat starten, lädt Ihr Browser ein sogenanntes Chat-Widget von Userlike. Das ist ein eigenständiges Programm, das für den Chat in Ihrem Browserfenster gestartet wird.

Details zum Datenschutz bei Userlike finden Sie hier: https://www.userlike.com/de/terms#privacy-policy

Datenkategorien: Zeitpunkt des Chats; IP-Adresse; Browsertyp/ -version, Betriebssystem; URL der Website, von der aus der Chat gestartet wird; Inhalte des Chats (z. B. Name, E-Mail-Adresse, besprochene Fragen und Antworten)

Datenempfänger (ggf. Drittstaatentransfer): Userlike als Dienstleister für den Chat, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung eines Online-Chats als Kommunikationsweg. Rechtsgrundlage ist Ihre Einwilligung, die Sie im Rahmen der Cookie-Zustimmung gewähren.

Speicherdauer: Wir speichern den Inhalt des Chats mit Ihnen abhängig vom Kommunikationsinhalt; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre. Userlike speichert die (Meta-) Daten zu den Chats 36 Monate.

5.3 Besuch unserer Internetseiten

5.3.1 Bereitstellen unserer Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Wir stellen unsere Internetseiten über zwei verschiedene Anbieter zur Verfügung. Das Learning Management System und das CURASTEP-Forum liegen bei einem anderen Unternehmen als unsere allgemeine Internetseite.

Der Dienstleister für die allgemeine Internetseite anonymisiert die IP-Adressen als das eine Person identifizierende Merkmal in den Logfiles unmittelbar nach Aufruf unserer Seiten, so dass die Nutzungsprotokolle anschließend keine personenbezogenen Daten enthalten.

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für unsere allgemeinen Internetseiten, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt in den USA. Um einen Umgang mit den Daten auf EU-Datenschutzniveau zu garantieren hat unser Dienstleister mit uns Standarddatenschutzklauseln abgeschlossen.

Unser Hosting-Dienstleister für das Learning Management System und das CURASTEP-Forum, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt in Kanada. Die dadurch erfolgende Datenübertragung nach außerhalb des EWR ist durch einen EU-Angemessenheitsbeschluss für Kanada abgesichert.

Im Falle von Angriffen auf unsere Seiten erfolgt eine Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Transfer in Drittstaaten findet hierbei nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z. B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.

Speicherdauer: Keine Speicherung für allgemeine Internetseite, 30 Tage für Learning Management System und Forum.

5.3.2 Kontaktformular

Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular. Darüber können Sie uns Nachrichten schicken. Ihre freiwilligen Eingaben werden technisch als eine E-Mail an uns geschickt.

Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.

Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.

Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

5.3.3 Video-Streaming (Vimeo)

Beschreibung: Unsere Internetseite zeigt Filme über einen Videoplayer von Vimeo. Wenn Sie eine mit einem Vimeo-Player ausgestattete Seite aufrufen, wird eine Verbindung zu den Vimeo-Servern hergestellt. Dabei erfährt Vimeo, welche unserer Seiten Sie besucht haben und welchen Film Sie angeschaut haben. Diese Kommunikation ist technisch erforderlich, damit der Film in Ihrem Browser angezeigt werden kann.

Wir setzen den Vimeo-Player mit der Voreinstellung „Do not track“ (DNT) ein, so dass der Vimeo-Player keine Cookies in Ihren Browser-Cache setzt.

Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Vimeo unter: https://vimeo.com/privacy

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA. Die im Rahmen des Vimeo-Einsatzes erfassten Daten werden an Server in den USA übertragen und dort verarbeitet. Um einen Umgang mit den Daten auf EU-Datenschutzniveau zu garantieren hat Vimeo mit uns Standarddatenschutzklauseln abgeschlossen.

Zweck + Rechtsgrundlage: Wir setzen den Vimeo-Player ein, um Ihnen ein leistungsfähiges Video-Streaming anbieten zu können. Rechtsgrundlage für die Datenübertragung an Vimeo ist ein berechtigtes Interesse, da wir durch die Nutzung der Do-not-track-Funktion die Datenübertragung auf das technisch notwendige Minimum beschränkt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Vimeo. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Vimeo keine Daten von Ihnen erfassen.

5.3.4 Analyse des Nutzungsverhaltens (Google Analytics)


Beschreibung: Wir nutzen den Webanalysedienst Google Analytics. Google erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die regionale Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.

Wir benutzen Analytics mit der Erweiterung "anonymizeIP", damit die IP-Adressen nur gekürzt weiterverarbeitet werden, um die Möglichkeit eines Personenbezugs zu reduzieren. Durch die IP-Anonymisierung wird das Ende Ihrer IP-Adresse von Google innerhalb der Europäischen Union durch Nullen ersetzt, bevor die Daten in die USA übertragen werden. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Google Analytics erfasst zum einen die Daten Ihres Geräts bzw. Internetbrowsers, die von Ihnen standardmäßig an einen Webserver gesendet werden, wenn Sie Internetseiten aufrufen. Haben Sie dem Setzen eines Google Cookies zugestimmt, erfasst Google die in dem Cookie gespeicherte Cookie-ID.

Die Cookie-ID gibt uns die Möglichkeit, die Quote wiederkehrender Besucher zu bestimmen oder Nutzungspfade innerhalb unserer Internetseiten nachvollziehen zu können.

Die Analytics-Cookies tragen die Bezeichnungen _ga (um wiederkehrende Besucher zu erkennen), _gid (um statistische Gruppen bilden zu können) und _gat (um den Datenabgleich mit erweiterten Google-Funktionen zu reduzieren).

Umfassende Informationen über die Verwendung der von Google erfassten Daten finden Sie in den Datenschutzinformationen von Google (https://policies.google.com/privacy) und in Googles Informationen zu Cookies (https://policies.google.com/technologies/cookies).

Wir haben unser Analytics-Konto mit unserem Marketingkonto bei Google verknüpft und ermöglichen es Google so, Anzeigen für uns noch zielgruppengerechter ausspielen zu können. Zudem können wir so besser nachvollziehen, welche Werbemaßnahme welchen Erfolg hatte. Siehe dazu die Verarbeitung „Google Ads“ und dort denentsprechenden Hinweis zu unserer gemeinsamen Verantwortung mit Google im Sinne des Artikel 26 DSGVO.

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Angaben zur Bildschirmauflösung und weitere technische Parameter des benutzten Endgeräts; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Google-ID.

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO verpflichtet. Die durch die Cookies gesammelten Informationen werden an Server von Google in den USA übertragen und dort gespeichert. Hierfür hat Google mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Der Zweck dieser Nutzungsanalyse ist es, dass wir unser Internetangebot anhand der Analyseerkenntnisse weiter verbessern können. Rechtsgrundlage insbesondere für die Verknüpfung der Analytics-Daten mit den Werbefunktionen von Google ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.

Speicherdauer: 14 Monate (Begründung: Diese Speicherdauer ermöglicht uns das Exportieren von Jahresberichten.)

5.3.5 Google My Business


Beschreibung: Wir betreiben ein Unternehmensprofil bei Google My Business („GMB“). Über GMB veröffentlichen wir Informationen zu uns, aus denen sich die Darstellung unseres Unternehmens in verschiedenen Diensten von Google speist. Das gilt insbesondere für die Präsentation unseres Unternehmens in der Ergebnisanzeige zur Google Suche und in Google Maps. Google stellt uns statistische Daten zur Verfügung über die Nutzung unserer bei GMB veröffentlichen Informationen. Zusätzlich können Sie direkt über GMB mit uns Kontakt aufnehmen – z.B. direkt unsere Telefonnummer anrufen – oder Kommentare zu unserem Unternehmensprofil veröffentlichen. Wenn Sie uns kontaktieren oder unser Profil kommentieren, erhalten wir von Google Daten zu Ihrer Person, z.B. Ihren Google-Benutzernamen, mit dem Sie während Ihrer Interaktion mit GMB angemeldet waren.

Durch die Kopplung von GMB mit unserem Google Analytics-Konto erleichtern wir Google die Wiedererkennung von Interessenten, die bereits einmal auf unseren Internetseiten gewesen sind.

Wir haben keine Möglichkeit auf die Datenverarbeitung bei Google Einfluss zu nehmen. Die Bereitstellung von GMB sowie Google Suche und Google Maps liegen in der Verantwortung von Google. Rechtlich gelten wir als Betreiber des GMB-Profils als mitverantwortlich für diese Datenverarbeitungen, so dass wir mit Google hierzu einen Vertrag über eine gemeinsame Verantwortung abgeschlossen haben (siehe: https://privacy.google.com/businesses/controllerterms/). Der Vertrag teilt die Verantwortung zwischen Google und uns so ein, dass wir verantwortlich sind für das Entstehen einer Beziehung zwischen Ihren Daten und unserem GMB-Profil und Google verantwortlich ist für die weitere Verarbeitung der Daten. Sie sollten alle Ihre Rechte mit Blick auf die Verarbeitung Ihrer Daten durch Google direkt bei Google geltend machen. An uns sollten Sie sich wenden, wenn es um die Verarbeitung Ihrer Daten in der direkten Kommunikation mit uns geht. Rechtlich steht es Ihnen frei, sich jederzeit mit allen Ihren Anliegen sowohl an Google wie an uns zu wenden und der Empfänger leitet Ihre Anfrage gegebenenfalls an die passende Stelle weiter.

Zu den Details der Datenverarbeitung bei Google verweisen wir auf Googles Datenschutzinformation (https://policies.google.com/privacy).

Wir nutzen die personenbezogenen Daten, die wir von Ihnen über GMB erhalten, um Ihre Anfragen beantworten zu können bzw. um auf Ihre Kommentare reagieren zu können.

Datenkategorien: Zu den von Google verarbeiteten Datenkategorien siehe Googles Datenschutzinformation. Wir verarbeiten Ihren Namen bzw. bei Google angegebenen Benutzernamen, Ihre Kontaktanfragen sowie die von Ihnen bei GMB veröffentlichten Kommentare.

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Google ist über einen Vertrag zur gemeinsamen Verantwortung auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter überträgt, hat Google mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Beantworten Ihrer Anfragen und reagieren auf Ihre Kommentare bei Google My Business. Rechtsgrundlage ist für die Verarbeitung durch uns ein berechtigtes Interesse, da Sie selbst unser GMB-Profil in einem Google-Dienst besucht haben und dort mit uns in den Austausch getreten sind.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von GMB keine Daten von Ihnen eigenständig speichern.

5.3.6 Google Ads


Beschreibung: Wir schalten Anzeigen über Google Ads. Zur Optimierung unserer Marketingaktivitäten greift Google Ads auf personenbezogene Daten zu, die Google über Cookies und seine verschiedenen Analysedienste für Internetbrowser, Apps und die von Google bereitgestellten Betriebssysteme Android und Chrome OS zur Verfügung stehen. Wir selbst haben keinen Zugriff auf die Personendaten, die der Ausspielung unserer Anzeigen zugrunde liegen. Wir wählen nur allgemeine Parameter für die Zielgruppe aus, der unsere Anzeigen zugänglich gemacht werden sollen. Insoweit findet durch uns keine Verarbeitung personenbezogener Daten statt.

Durch die Kopplung unseres Google Ads-Kontos mit unserem Google Analytics-Konto erleichtern wir Google die Wiedererkennung von Interessenten, die bereits einmal auf unseren Internetseiten gewesen sind.

Unsere Internetseiten setzen Cookies von Googles Werbediensten. Die Cookie-Namen sind: NID, SID, IDE, DSID, FLC, AID, TAID, exchange_uid, test_cookie, _gads, _gac, _gcl. 

Die Kopplung der Konten und das Setzen von Googles Werbe-Cookies stellt eine Verarbeitung personenbezogener Daten dar. Insoweit entsteht mit Blick auf die personenbezogenen Daten eine gemeinsame Verantwortung im Sinne des Artikel 26 DSGVO, für die wir mit Google einen entsprechenden Vertrag abgeschlossen haben (https://privacy.google.com/businesses/controllerterms/).

Der Vertrag teilt die Verantwortung zwischen Google und uns so ein, dass wir verantwortlich sind für die Sammlung der Analysedaten und Google verantwortlich ist für die Nutzung der Daten für Werbezwecke. Daraus ergibt sich, dass Sie alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten innerhalb von Google Analytics bei uns in Anspruch nehmen sollten und alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten für die Bereitstellung von zielgruppengerechten Anzeigen direkt bei Google in Anspruch nehmen sollten.

Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google (https://policies.google.com/privacy).

Datenkategorien: Zu den von Google verarbeiteten Datenkategorien siehe Googles Datenschutzinformation und unsere Angaben zur Nutzung von Google Analytics durch uns; Zielgruppenbildung nach demografischen, regionalen, technischen oder wirtschaftlichen Faktoren und vor allem nach Interessengebieten.

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Google ist über einen Vertrag zur gemeinsamen Verantwortung auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter überträgt, hat Google mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zielgruppengenaue Veröffentlichung von Anzeigen. Rechtsgrundlage ist Einwilligung, da Googles Trackingtechnologie erst nach Ihrer entsprechenden Einwilligung gestartet werden darf.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von Google Ads keine Daten von Ihnen erfassen.

5.4 Marketing-Kommunikation

5.4.1 Newsletter-Anmeldung

Beschreibung: Sie können sich für unseren E-Mail-Newsletter anmelden. Dafür müssen Sie nur eine E-Mail-Adresse angeben.

Wenn Sie sich online für den Newsletter anmelden, erhalten Sie an die von Ihnen angegebene E-Mail-Adresse von uns einmalig eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der gar keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-in für doppelte Einwilligung.

Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.

Sie können Ihre Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich.

Wir erfassen die Nutzung unseres Newsletters über sogenannte Zähl-Pixel und Kampagnen-URLs für die Internetlinks im Newsletter. Das Zählpixel ruft unseren Newsletter-Server auf, wenn Sie die E-Mail öffnen. Der Aufruf der Internetlinks im Newsletter wird über die Kampagnenzuordnung in unserer Webanalyse erfasst.

Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Name (freiwillig), Firma/Institution (freiwillig); Nutzungsdaten (Öffnen der E-Mail + Klicken auf Internetlinks)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Der Dienstleister sitzt im EWR, eine Datenübertragung nach außerhalb des EWR findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters und Optimierung unserer Newsletter-Inhalte. Rechtsgrundlage ist Ihre Einwilligung.

Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Daten unmittelbar gelöscht.

5.5 Lieferanten und Dienstleister

5.5.1 Geschäftsbeziehung

Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.

Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen zur „Kommunikation mit uns“ (siehe dort).

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

5.5.2 Nennung in Publikationen

Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt. Bei einigen Publikationen werden als Service für die Leserinnen und Leser auch berufliche Kontaktdaten der Autorinnen und Autoren veröffentlicht.

Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten

Datenempfänger (ggf. Drittstaatentransfer): keine

Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags. Für die Kontaktdaten ist die Rechtsgrundlage ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.

Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.

5.6 Stellenbesetzungen

5.6.1 Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen. Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z. B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

5.6.2 Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzenden Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z. B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

5.7 Allgemeine Infrastruktur

5.7.1 Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang. Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z. B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Buchhaltungsanwendung als Cloudlösung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, und unser Steuerberater, der als Berufsgeheimnisträger durch Gesetz auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf.

5.7.2 Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind, sowie unser Steuerberater. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf.

5.7.3 Visitenkarten

Beschreibung: Wenn Sie uns Ihre Visitenkarte übergeben, übernehmen wir Ihre Daten in unser Kontaktverzeichnis.

Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Betrieb des Kontaktverzeichnis, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet nicht statt.

Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.

5.7.4 IT-Administration

Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

5.7.5 Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder über die verschlossenen Tonnen eines professionellen Aktenvernichters entsorgt. Die Qualitätsstufe des eingesetzten Schredders bzw. das Niveau der mit dem Dienstleister vereinbarten Dokumentenvernichtung entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten z. B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer IT-Administration durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht oder an einen professionellen Vernichter von Speichermedien übergeben. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

Letzte Aktualisierung: 26.11.2020