Betroffene
Diese Erklärung richtet sich an alle Personen, die Beschäftigte der Verantwortlichen sind, wozu auch Bewerber*innen und ehemalige Beschäftigte gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere männlich, weiblich, divers. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortliche
Verantwortliche für die hier beschriebene Verarbeitung ist: Boris Wossidlo, firmierend unter
P2 Objekt Grün ®
Bielefelder Straße 5
10709 Berlin
T: +49 30 303016 60
F: +49 30 303016 70
E: info@p2objektgruen.de

Datenschutzbeauftragte/r:
Dr. Stephan Gärtner (STANHOPE Rechtsanwaltsgesellschaft mbH, ext. Datenschutzbeauftragter) und Ulf Castelle, LL.M. (STANHOPE
Rechtsanwaltsgesellschaft mbH, stellv. ext. Datenschutzbeauftragter).

Rechte der Betroffenen und sonstige Hinweise
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen
der o.g. Kontaktkanäle (Verantwortliche).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch
formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet
oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EUStandardvertragsklauseln
beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EUDatenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EUStandardvertragsklauseln. Die Garantie folgt dann aus Artikel 46 DSGVO.
(4) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die
Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO.

Es werden vorsorgliche folgende Risikohinweise erteilt:
Grundsätzlich hat die Europäische Kommission den USA attestiert, dass sie ein sicheres Drittland sind. Daher wird nur vorsorglich und nur für den Fall, dass ausnahmsweise eine Einwilligung für die Datenübermittlung in die USA eingeholt wird, folgendes mitgeteilt: Die rechtsstaatlichen Prinzipien in den USA sind nicht mit denen aus der Europäischen Union vergleichbar.

Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können
Betroffene ihre Rechte nur eingeschränkt geltend machen.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.

Weitere Hinweise
(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Datenverarbeitung

Bewerbungsverfahren:

Recruiting
Vor dem Bewerbungsverfahren recherchiert die Verantwortliche Daten über potenzielle Beschäftigte; dies aus allgemein zugänglichen Quellen. Sie kontaktiert die Betroffenen. Hierbei verarbeitet sie die für die Kontaktaufnahme erforderlichen Daten (z.B. Name, Anschrift, E-Mail-Adresse) sowie stellenspezifische Daten zu den Qualifikationen der Betroffenen (z.B. Abschlüsse, Zertifikate usw.). Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Online-Recruiting
Die Verantwortliche setzt ein Online-Recruiting-Tool ein, über das die Betroffenen, hier die Bewerber*innen, ihre Bewerbungsdaten hochladen können und über das sie sowohl die interne als auch die externe Kommunikation im Bewerbungsverfahren steuern kann. Hierbei verarbeitet sie die Daten, die die Betroffenen freiwillig über das Tool preisgeben, i.d.R. Name, Anschrift, Qualifikationen, Lebenslauf. Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Erstkontakt im Bewerbungsverfahren
Im Bewerbungsverfahren werden die Bewerbungsdaten entgegengenommen und geprüft. Im Fall eines fortwährenden Interesses folgt darauf ein Bewerbungsgespräch, wobei Daten zur Terminvereinbarung erhoben, gespeichert und genutzt werden. Im Fall eines weiterhin bestehenden Interesses unterbreitet die Verantwortliche ein Angebot für ein Beschäftigungsverhältnisses. In jedem, der vorgenannten Verarbeitungsschritte ist auch möglich, dass eine Absage erfolgt. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Probearbeitstag
Die Betroffenen tätigen einen Probearbeitstag und die Verantwortliche notiert ihre Erkenntnisse, die sie anschließend für die Entscheidung über die Bewerbung nutzt. Hierbei verarbeitet sie die für die Kontaktaufnahme erforderlichen Daten (z.B. Name, Anschrift, E-Mail-Adresse) sowie etwaige Mitschriften vom Probearbeitstag. Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Bildung eines Bewerbungspools
Die Verantwortliche lässt den Betroffenen, denen sie ggf. absagt oder die ihr absagen, die Wahl für die Aufnahme in einen Bewerbungspool. Falls sie sich für die Aufnahme in den Bewerbungspool entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Verantwortliche nimmt die Betroffenen in den Bewerbungspool auf. Die Zwecke sind die Anbahnung eines Beschäftigungsverhältnisses, Prüfung der Bewerbung, spätere Berücksichtigung einer Bewerbung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

 

Aktives Beschäftigungsverhältnis

Durchführung des Beschäftigungsverhältnisses
Im aktiven Beschäftigungsverhältnis werden alle Zugangs- und/oder Kommunikationsdaten im Zusammenhang mit der Erfüllung des Beschäftigungsvertrages (z.B. E-Mails) verarbeitet. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Erfüllung rechtlicher Verpflichtungen
Ferner und zur Erfüllung gesetzlicher Pflichten werden im aktiven Beschäftigungsverhältnis zudem folgende Daten verarbeitet: Daten, die für die Besteuerung relevant sind (§ 147 AO, § 257 HGB), Krankenversicherungs- und Krankschreibungsdaten (§ 198 SGB V, ‚§ 165 SGB VII), Lohnkontodaten (§ 41 EStG), Arbeitszeitdaten (§ 17 MiLoG, § 16 ArbG). Zweck ist die Erfüllung der in den Klammerzusätzen genannten rechtlichen Pflichten. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Herausgabe von Schlüsseln
Die Betroffenen erhalten in einigen Fällen Schlüssel, Transponder und/oder Chipkarten für den Zugang zu Betriebsräumen, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der o.g. Gegenstände. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.

Zuteilung von Zugangsdaten
Die Betroffenen erhalten in einigen Fällen Zugangsdaten für betriebliche Soft- und Hardware, wobei die Zugangsdaten verwaltet werden und die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Zugangsdaten, Status der Vergabe der Zugangsdaten. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.

Herausgabe von Betriebsgeräten
Die Betroffenen erhalten in einigen Fällen betriebliche Hardware, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der Hardware. Zweck der vorgenannten Verarbeitungsvorgänge ist die innerbetriebliche Organisation der arbeitsvertraglich geschuldeten Leistung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.

Gewährung von Benefits
Die Verantwortliche bietet den Betroffenen an, sog. Beschäftigtenbenefits wahrzunehmen. Falls sie sich dafür entscheiden, holt die Verantwortliche die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Die Verantwortliche übermittelt die für die Gewährung der Benefits erforderlichen Kontaktdaten an externe Drittanbieterinnen (i.d.R. Name, Anschrift, Information, dass die Betroffenen bei der Verantwortlichen beschäftigt sind). Zweck ist die Gewährung von Vorteilen; dies zur Bindung von Beschäftigten und zur Steigerung der Arbeitgeberattraktivität. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Ob und bejahendenfalls, welche Benefits gewährt werden, ist Gegenstand einer arbeitsrechtlichen Abrede, die abstrakt von diesen Datenschutzinformationen ggf. noch zu treffen ist. Allein aus dem Umstand der Erwähnung dieser Möglichkeit, folgt kein Anspruch für die Betroffenen.

Anfertigung von Medienaufnahmen
Die Verantwortliche lässt den Betroffenen die Wahl, ob sie von sich eine dienstliche Medienaufnahme (z.B. Foto für Internetseite) anfertigen lassen. Falls sie sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Von den Betroffenen werden Medienaufnahmen angefertigt und, soweit die Einwilligung reicht, in einigen, von der Verantwortlichen zu bestimmenden Fällen auch veröffentlicht. Hierbei verarbeitet sie die Bild- und Tondaten, sowie etwaige Mitschriften. Zweck ist die Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

Nach Ende des Beschäftigungsverhältnisses 
Nach Ende des aktiven Beschäftigungsverhältnisses werden die Daten bis zum Ende ihrer jeweiligen Aufbewahrungszeiträume gespeichert und anschließend gelöscht. Zweck der Löschung ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 5 Absatz 1 litt. a, e DSGVO. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Es gelten die folgenden Aufbewahrungszeiträume:

1. Daten aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Lageberichten, Eröffnungsbilanzen, Organisationsunterlagen, Buchungsbelegen und Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union werden für zehn Jahre aufbewahrt. Alle anderen Daten, die für die Besteuerung der Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Daten über den Krankenversicherungsstatus und Krankschreibungen werden für mindestens fünf Jahre aufbewahrt. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 198 SGB V und § 165 SGB VII).

3. Daten, die aus der Dokumentation der Arbeitszeiten i.S.v. § 17 MiLoG und § 16 ArbZG herrühren, werden für zwei Jahren gespeichert. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 17 MiLoG und § 16 ArbZG),

4. Lohnkontodaten werden bis zum Ablauf des sechsten Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung folgt, gespeichert. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41 EStG.

5. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

6. Daten, die die Erteilung einer Einwilligung beweisen, werden für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Der Zeitraum bestimmt sich nach den ordnungswidrigkeitsrechtlichen Verjährungsfristen nach § 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 Absätze 4, 5 DSGVO.

7. Im Fall einer Absage im Bewerbungsverfahren werden die Bewerbungsdaten für sechs Monate aufbewahrt, wobei diese Frist im Zeitpunkt der Absage beginnt. Zweck ist die Möglichkeit, sich gegen Diskriminierungsvorwürfe verteidigen zu können. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO i.V.m. § 15 Absatz 4 AGG, wobei das berechtigte Interesse aus dem zuvor genannten Zweck folgt.

8. Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis der Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

9. Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis der Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

 

Auftragsverarbeiter und sonstiges Outsourcing

Die folgenden Drittanbieterinnen erhalten personenbezogene Daten:

Microsoft: Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde, nämlich: Microsoft365-Cloud, Microsoft Teams (Projektmanagement- Tool), Microsoft Teams (Videokonferenz-Tool). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Indeed: Es wird das Recruiting-Tool „indeed“ der Indeed, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Facebook: Es wird das soziale Netzwerk „Facebook“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

Instagram: Es wird das soziale Netzwerk „Instagram“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

LinkedIn: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

Pinterest: Es wird das soziale Netzwerk „Pinterest“ der Pinterest Europe Ltd. (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Pinterest Inc. (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 49 Absatz 1 lit. a DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

Signal: Es wird der Messengerdienst „Signal“ der Signal Messenger LLC (USA) eingesetzt. Obwohl die Anbieterin in den USA sitzt findet seitens der Verantwortlichen keine Übermittlung i.S.v. Artikel 44 DSGVO statt, da Daten nur dann übermitteln werden, wenn die Betroffenen selbst Signal installieren und nutzen und selbst Eingaben tätigen, mithin selbst die Übermittlung vornehmen.

jobrad: Es werden Benefits mithilfe der JobRad GmbH (Deutschland – EU) gewährt. Dies im Rahmen des Programms „jobrad“.

Datev: Es wird das Buchhaltungs-Tool „Datev“ der Datev eG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

Externe Steuerberatungskanzlei: Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Unternehmen mit Sitz in der EU Meta Platforms Ireland Limited (Irland – EU). Facebook Germany GmbH (Deutschland – EU) o FB Spain S.L. (Spanien – EU) Unternehmen mit Sitz in Ländern, für die es einen Angemessenheitsbeschluss i.S.v. Artikel 45 DSGVO gibt: Facebook Israel Limited (Israel) Facebook UK Limited (Vereinigtes Königreich) Hier ist die Übermittlung an Stellen außerhalb der EU nach Artikel 45 DSGVO gerechtfertigt.

Sonstige Unternehmen mit Besonderheiten: Facebook Singapur Pie Limited (Singapur). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Singapur) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Meta Platforms Inc. (USA) Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Einzelheiten sind hier erklärt: https://www.whatsapp.com/legal/privacy-policy-eea#privacy-policy-howwe- work-with-other-meta-companies. Alba: Mit der Aktenvernichtung ist die ALBA Europe Holding plc & Co. KG (Deutschland – EU) betraut, die gemäß Artikel 28 DSGVO beauftragt  wurde.

 

 

 

Glossar

 

Es folgt ein Glossar. Nicht alle Sachverhalte, die im Glossar erläutert werden, spielen notwendigerweise eine Rolle bei den hier beschrieben Datenverarbeitungsvorgängen. Sie dienen nur dem allgemeinen Verständnis und damit der Transparenz.

Thema: Grundbegriffe

Personenbezogene Daten:
Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.

Verarbeitung personenbezogener Daten:
Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.

Einwilligung:
Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.

Thema: Soziale Medien

Unternehmens- und/oder Produktseite:
Diese Formulierung bedeutet, dass die Verantwortliche eine Unternehmens- bzw. Produktseite bei einem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Plugin:
Diese Formulierung bedeutet, dass die Verantwortliche auf der Internetseite ein Plugin einer Drittanbieterin eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil der Verantwortlichen. Die Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an die jeweilige Drittanbieterin des Plug-ins weitergegeben werden. Die Drittanbieterin ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Die Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit der Drittanbieterin des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält die Drittanbieterin die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an die jeweilige Drittanbieterin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei der jeweiligen Drittanbieterin besitzen und dort eingeloggt sind. Wenn sie bei der Drittanbieterin eingeloggt sind, werden ihre durch die hiesige Verantwortliche erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei der jeweiligen Drittanbieterin unterhalten.

Ads:
Diese Formulierung bedeutet, dass die Verantwortliche sog. „Ads“ (Anzeigen) in einem sozialen Medium einsetzt. Mithilfe der „Ads“ kann die hiesige Verantwortliche im Rahmen des jeweiligen sozialen Netzwerks bzw. Mediums auf ihre Angebote aufmerksam machen. Sie kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Damit wird das Interesse verfolgt, den Betroffenen „Ads“ anzuzeigen, die für sie von Interesse sind, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbekosten durchzuführen. Diese „Ads“ werden durch die jeweilige Drittanbieterin ausgeliefert. Sofern die Betroffenen über „Ads“, die die jeweilige Drittanbieterin ihnen präsentiert, auf die Internetseite der hiesigen Verantwortlichen gelangen, wird ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen in der Regel nicht dazu dienen, die Betroffenen persönlich zu identifizieren.

Pixel:
Diese Formulierung bedeutet, dass die Verantwortliche sog. Pixel einsetzt. Das ist ein Analysetool, mit dem die Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Internetseite zu verstehen und nachzuvollziehen. Die Verantwortliche hat den Pixel auf ihrer Internetseite implementiert, indem sie den Pixel-Code im Header platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt die Verantwortliche, wenn die Betroffenen eine Handlung vornehmen und kann dies auswerten.

Upload in die Custom Audience:
Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die EMail- Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.

Veröffentlichung von Medienaufnahmen:
Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk hochlädt und sie dort veröffentlicht.

Thema: Videoeinbettungen

Plugin:
Diese Bezeichnung bedeutet, dass auf der Internetseite der Verantwortlichen Plugins eines Videoportals eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem Server der jeweiligen Drittanbieterin hergestellt. Die jeweilige Drittanbieterin speichert die Daten der Betroffenen als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseite. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Betroffene) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer *innen über die Aktivitäten der Betroffenen auf der Internetseite der Verantwortlichen zu informieren. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dieses Rechts an die jeweilige Drittanbieterin richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die jeweilige Drittanbieterin erhalten die Betroffenen in der Datenschutzerklärung.

Eigener Kanal:
Diese Bezeichnung bedeutet, dass die Verantwortliche im Videoportal einen eigenen Kanal anbietet.

Veröffentlichung von Medienaufnahmen:
Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.

 

 

Ort, Datum, Unterschrift des Mitarbeiters (m/w/d)