Datenschutz

 

 

Datenschutzinformationen für Kund*innen

Begriffe

Für die Zwecke der nachfolgenden Datenschutzinformationen gelten die folgenden Begriffe, wobei sich alle Personenbezeichnungen auf alle Geschlechter und die damit verbundenen Sprachformen beziehen und stets mit dem Zusatz “m/w/d” zu verstehen sind:

  1. Verantwortliche. Verantwortliche für die Datenverarbeitung ist die FAIRFAMILY GmbH, EDGE ElbSide, Amerigo-Vespucci-Platz 2, 20457 Hamburg, Geschäftsführung: Felix Anrich, Randolph Moreno Sommer, T: 040-3346678 – 0, F: 040-3346678 -99, E: info@fairfamily.de, Datenschutzbeauftragter: STANHOPE Rechtsanwaltsgesellschaft mbH, dort Rechtsanwalt Dr. Stephan Gärtner, erreichbar unter request@thenextstanhope.de.
  2. Betroffene. Betroffene sind alle natürliche Personen, die an einer Veranstaltung der Verantwortlichen teilnehmen, insbesondere aber nicht abschließend: TOP Arbeitgeber Kongress, „TOP Arbeitgeber Days”, einschl.  TOP Arbeitgeber West, TOP Arbeitgeber Nord, TOP Arbeitgeber Ost, TOP Arbeitgeber Süd.
  3. Personenbezogene Daten. Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.
  4. Verarbeitung personenbezogener Daten. Das ist jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.
  5. Einwilligung. Das ist eine nachweisbare Willenserklärung, mit der die Betroffenen einer konkreten Datenverarbeitung freiwillig und vorab zustimmen.
  6. Soziale Medien / Upload in die Custom Audience. Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.
  7. Soziale Medien oder Videoeinbettungen / Veröffentlichung von Medienaufnahmen. Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk oder im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.

Hinweise an die Betroffenen

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.

(2) Beruht die Verarbeitung auf einer Einwilligung, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche).

(3) Beruht die Verarbeitung auf einem berechtigten Interesse, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.

(7) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt (Drittland) werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen. Beruft sich die Verantwortliche auf

  • Artikel 45 DSGVO, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet.
  • Artikel 46 DSGVO i.V.m. EU-Standardvertragsklauseln beruft, bedeutet dies, dass sich die empfangende Stelle vertraglich dazu verpflichtet hat, die Grundsätze des EU-Datenschutzrechts zu achten und dies auf Grundlage eines Mustervertrages der EU-Kommission.
  • Artikel 47 DSGVO beruft, bedeutet dies, dass die empfangende Stelle sich verbindlichen, internen Datenschutzvorschriften unterworfen hat, die von einer in der EU sitzenden Aufsichtsbehörde genehmigt wurden.
  • Artikel 49 Absatz 1 lit. a DSGVO beruft, bedeutet dies, dass die Betroffenen in Kenntnis aller Risiken der Datenübermittlung in ein Drittland zugestimmt hat.

Erwartbare Standarddatenverarbeitung

Anbahnung des Vertrages

Die Betroffenen und die Verantwortliche treten in Erstkontakt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig zur Verfügung stellen. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Die Verantwortliche erstellt auf dieser Grundlage ein Angebot und  speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Durchführung des Vertrages

Beide Seiten erfüllen den Vertrag, soweit er zustandekommt. Hierbei erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Auslieferung Leistung, Beantwortung Nachfragen, Rechnungsdaten), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Veränderungen bei der Datenverarbeitung

Sofern die Verantwortliche die Art und Weise der Datenverarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Ansprüche, Rechte und Konflikte im Vertragsverhältnis

(1) Sofern die Betroffenen ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften (einschl. Vertragliche Ansprüche) geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Prüfung von bzw. die Reaktion auf die Ansprüche, einschließlich der Erfüllung oder Zurückweisung der Ansprüche. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. f DSGVO, wobei das berechtigte Interesse aus der Natur des jeweils geltend gemachten Rechts folgt.

(2) Im Fall eines rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärungen abzugeben (z.B. Geltendmachung von Forderungen) und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem rechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, rechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt.

Löschung, soweit keine Aufbewahrungsgründe bestehen

(1) Sobald die Daten den hier jeweils beschriebenen Zweck erfüllt haben, werden sie gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.

(2) Abweichend von Absatz 1 unterbleibt die Löschung in folgenden Fällen:

  • Interne Aufzeichnungen, die keine Buchungsbelege sind (z.B. Jahresabschlüsse), werden 10 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Buchungsbelege werden 8 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen werden 6 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für 3 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
  • Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für 3 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
  • Daten, die auf einer Einwilligung beruhen, werden bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufbewahrt, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Daten, die die Erteilung der Einwilligung beweisen, werden 3 Jahre aufbewahrt, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).

Außergewöhnliche Datenverarbeitung

Videokonferenzen (ohne Aufzeichnung)

Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

Videokonferenzen (mit Aufzeichnung)

(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

(2) Die Betroffene zeichnet – in einigen Fällen – die Videokonferenzen auch auf.
a. Hierfür erfragt sie zunächst die Einwilligung der Betroffenen. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

b.Nur sofern die Betroffenen eingewilligt haben, zeichnet sie die Videokonferenz (vgl. Absatz 1) auf. Hierbei werden die Bild- und Tondaten dauerhaft bei externen Anbietern gespeichert. Zweck ist Dokumentation der Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

Sicherheitsüberprüfung von E-Mails ohne KI

Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.

Bewertungen/Testimonials

(1) Die Verantwortliche holt Testimonials der Betroffenen ein.

(2) Zunächst erfragt sie die Einwilligung dafür und dokumentiert die Antwort. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Falls die Einwilligung erteilt wird, geschieht folgendes: Die Verantwortliche erhebt die Testimonials und veröffentlicht sie, soweit die erteilte Einwilligung dies erlaubt. Hierbei werden folgende Daten verarbeitet: Name, Status zur Einwilligung, Datum der Entscheidung. Die Verarbeitung bezweckt die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Videotestimonials

(1) Die Verantwortliche ermöglicht den Betroffenen in einigen, ausgewählten Fällen, ein Videotestimonial abzugeben.

(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Die Verantwortlich fertigt  das Videotestimonial an und veröffentlicht es, soweit die Einwilligung es zulässt. Hierbei werden folgende Daten verarbeitet: Name, Bild- und Tondaten. Zweck ist Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

werbliche Ansprache per E-Mail (berechtigtes Interesse)

Die Verantwortliche nutzt die E-Mail-Adressen der Betroffenen, um diese werblich anzusprechen. Hierbei verarbeitet sie die folgenden Daten: Name, E-Mail-Adresse, Status Vertragsbeziehung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

werbliche Ansprache per E-Mail (Einwilligung)

(1) Die Verantwortliche nutzt die E-Mail-Adressen der Betroffenen, um diese werblich anzusprechen.

(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt, Status der Einwilligung sowie die ergänzende Identitätsbestätigung durch Klick auf den entsprechenden Link in der Bestätigungs-E-Mail (sog. Double-Opt-In-Verfahren). Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Die Verantwortlich nutzt die E-Mail-Adressen, um die betroffenen werblich anzusprechen.  Hierbei verarbeitet sie die folgenden Daten: Name, E-Mail-Adresse. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

werbliche Ansprache per Post (berechtigtes Interesse)

Die Verantwortliche nutzt die Anschriften der Betroffenen, um diese werblich per Post anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

werbliche Ansprache per Telefon (Einwilligung)

(1) Die Verantwortliche nutzt die Telefonnummern der Betroffenen, um diese werblich anzusprechen.

(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Die Verantwortlich nutzt die Namen und Telefonnummern, um die betroffenen werblich anzusprechen.  Hierbei verarbeitet sie die folgenden Daten: Name, Telefonnummer. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Veranstaltungen

Die Verantwortliche führt Veranstaltungen durch, wobei auch hier die Datenverarbeitung stattfindet, die unter Erwartbare Standarddatenverarbeitung / Anbahnung des Vertrages und Erwartbare Standarddatenverarbeitung / Durchführung des Vertrages beschrieben wird. Zur Veranstaltung ist aber folgendes zu ergänzen:

  • Anmeldung über Einladung bestehender Kontakte: Die Verantwortliche nutzt die Kontaktdaten der Betroffenen, die sie bereits speichert und die sie gemäß Artikel 5 Absatz 1 lit. a DSGVO für diese Zwecke auch verwenden darf, und lädt diese Betroffenen proaktiv zur Veranstaltung ein. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten. Die Verarbeitung dient der Einladung zur Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
  • Anmeldung über offene Registrierungsmöglichkeit: Die Verantwortliche ermöglicht eine offene Registrierung zur Veranstaltung und dokumentiert die Anmeldungen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Anmeldestatus.  Die Verarbeitung dient der Anmeldung zur Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
  • Veranstaltung kostenpflichtig: Soweit die Veranstaltung kostenpflichtig ist, werden Rechnungen erstellt, versendet und der Zahlungsstatus geprüft. Hierbei werden folgende Daten verarbeitet: Name, Rechnungsanschrift, Zahlungsstatus. Zweck ist die Durchsetzung des eigenen Vergütungsanspruches, soweit es der Durchführung des Veranstaltungsvertrages dient. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
  • Format Präsenzveranstaltung: Soweit die Veranstaltung eine Präsenzveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Status Zutritt. Die Verarbeitung dient der Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
  • Format Onlineveranstaltung: Soweit die Veranstaltung eine Onlineveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert und ggf. Ton-, Bild- und Filmdaten verarbeitet; dies jedoch nur wenn die Betroffenen freiwillig teilnehmen und ihre Kamera bzw. ihr Mikrofon aktivieren.  Hierbei werden folgende Daten verarbeitet: (1) Name, Kontaktdaten, Status Zutritt, (2) Ton-, Bild- und Filmdaten. Die Verarbeitung dient der Durchführung der Veranstaltung. Bei den Daten der Kategorie (1) ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage. Bei den Daten der Kategorie (2) ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
  • Format Hybridveranstaltung
    • Soweit die Veranstaltung eine Präsenzveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Status Zutritt. Die Verarbeitung dient der Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
    • Soweit die Veranstaltung eine Onlineveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert und ggf. Ton-, Bild- und Filmdaten verarbeitet; dies jedoch nur wenn die Betroffenen freiwillig teilnehmen und ihre Kamera bzw. ihr Mikrofon aktivieren.  Hierbei werden folgende Daten verarbeitet: (1) Name, Kontaktdaten, Status Zutritt, (2) Ton-, Bild- und Filmdaten. Die Verarbeitung dient der Durchführung der Veranstaltung. Bei den Daten der Kategorie (1) ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage. Bei den Daten der Kategorie (2) ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
  • Medienaufnahmen während der Veranstaltung: Die Verantwortliche dokumentiert die Veranstaltung mit Medienaufnahmen (Foto, Ton, Film).
    • Hierfür holt sie zunächst die dafür erforderliche Einwilligung ein. Dabei verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
    • Falls die Betroffenen einwilligen, fertigt sie Aufnahmen an und veröffentlicht sie. Hierbei werden folgende Daten verarbeitet: Name, Ton- und Bilddaten. Zweck ist die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

gesellschaftsrechtlich Reorganisation

Im Zusammenhang mit gesellschaftsrechtlichen Reorganisationen wie Verschmelzung, Share-Deal oder Asset-Deal prüft die Verantwortliche, ob und in welchem Umfang eine Verarbeitung oder Übermittlung von personenbezogenen Daten der Kundinnen und Kunden erforderlich und zulässig ist.

(1) Verschmelzung und Share-Deal:

Bei einer Verschmelzung oder einem sogenannten Share-Deal findet kein Wechsel der verantwortlichen Stelle statt, da entweder die Identität des Rechtsträgers erhalten bleibt (Verschmelzung) oder nur die gesellschaftsrechtliche Eigentümerstruktur verändert wird (Share-Deal). Kundendaten verbleiben in der Sphäre der bisherigen Verantwortlichen; eine Übermittlung an Dritte erfolgt nicht. Entsprechend bedarf es hierfür keiner datenschutzrechtlichen Rechtsgrundlage für eine Übermittlung, da kein Wechsel der datenverarbeitenden Stelle stattfindet. In diesen Fallgestaltungen werden Kundendaten lediglich weiterhin im Rahmen der ursprünglich vereinbarten Zwecke verarbeitet.

(2) Asset-Deal:

Im Rahmen eines Asset-Deals kann es zu einer Übertragung von Kundendaten auf einen neuen, erwerbenden Verantwortlichen kommen. Die Verantwortliche prüft, ob Kundendaten – differenziert nach dem rechtlichen Status des Kundenverhältnisses – an die erwerbende Partei übermittelt werden dürfen. Kunden mit aktuellen vertraglichen Beziehungen oder fortbestehenden Ansprüchen (z. B. bestehende Hauptleistungsschuld, offene Gewährleistungs- oder Schadenersatzansprüche): Hier kann eine Übermittlung personenbezogener Daten an den Erwerber zur Wahrung der berechtigten Interessen des Erwerbers sowie der betroffenen Kunden erforderlich sein. Der Erwerber muss die Möglichkeit haben, bestehende Ansprüche, laufende Verträge oder Gewährleistungsrechte zu verwalten, zu erfüllen und zu prüfen. Vor der Übermittlung werden Umfang und Zulässigkeit der konkret notwendigen Kundendaten geprüft. Soweit eine Übermittlung von Kundendaten im Rahmen eines Asset-Deals an den Erwerber notwendig ist: Artikel 6 Absatz 1 Satz 1 lit. f DSGVO (berechtigtes Interesse des Erwerbers und der betroffenen Kunden an der Wahrnehmung, Fortführung und Erfüllung bestehender vertraglicher Ansprüche und Rechte; Interessenabwägung erfolgt unter besonderer Berücksichtigung des Schutzniveaus und der Übermittlungserforderlichkeit).

Adresskauf:

Die Verantwortliche erwirbt in einigen Fällen Kontaktdaten (Firmierung, Name, E-Mail-Adresse). Diese Daten sind i.d.R. nicht personenbezogen, sodass die DSGVO nicht gilt. Die hiesige Information wird daher nur vorsorglich und für den Fall erteilt, dass doch ein personenbezogenes Datum (z.B. Name aus Firmierung, personalisierte E-Mail-Adresse) dabei ist. Diese Daten speichert und nutzt die Verantwortliche zu Einladungszwecke. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem zuvor genannten Zweck folgt.

Empfänger

Behörden der Finanzverwaltung:

Als Empfängerkategorie werden die Behörden der Finanzverwaltung benannt, die zur Erfüllung rechtlicher Verpflichtungen auch personenbezogenen Daten der Betroffenen erhalten, etwa in steuer- und sozialversicherungsrechtlich relevanten Dokumenten.

Gerichte:

Als Empfängerkategorie werden Gerichte benannt, die in Wahrnehmung berechtigter Interessen der Verantwortlichen auch personenbezogenen Daten der Betroffenen erhalten, etwa in gerichtlichen Auseinandersetzungen (z.B. Kündigungsschutzklage, Schadenersatzklage, …)

vivenu GmbH

Es wird der Ticketing-Dienstleister vivenu GmbH (EU – Deutschland) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. 

AWS:

Es werden Anwendungen der Amazon Web Services EMEA SARL (EU – Luxemburg) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Amazon Web Services Inc., USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

AWS cloud

Google:

Es werden Anwendungen der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Google Workspace

YouTube (Grundsatz)

YouTube (Kanal)

YouTube (Medienaufnahmen)

Vimeo (Grundsatz):

Es wird das Videowiedergabe-Tool „Vimeo“ der Vimeo, LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Hierbei wird folgendes eingesetzt:

Vimeo (eigener Kanal)

Vimeo (Medienaufnahmen)

Hubspot:

Es werden Anwendungen der Hubspot, Inc. (USA) eingesetzt, Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Hubspot CRM

Hubspot Marketing Hub

Klick-Tipp:

Es wird das Automatisierungs-Tool „KlickTipp“ der KLICK-TIPP LIMITED (Vereinigte Königreich Großbritannien und Nordirland), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier das Vereinigte Königreich Großbritannien und Nordirland) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Zapier:

Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Meta:

Es wird die sozialen Netzwerke und Medien der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit die Verantwortliche und die vorgenannte Anbieterin gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die vorgenannte Anbieterin nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende soziale Netzwerke, Medien und/oder Tools werden eingesetzt:

Facebook (Unternehmensseite)

Facebook (Custom Audience)

Facebook (Medienaufnahmen)

Instagram (Unternehmensseite)

Instagram (Medienaufnahmen)

LinkedIn:

Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

LinkedIn (Unternehmensseite)

LinkedIn (Medienaufnahmen)

X:

Es wird das soziale Netzwerk „X“ der Twitter International Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der X Corp.(USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://twitter.com/de/privacy. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

X (Unternehmensseite)

X (Medienaufnahmen)

externe Fotograf*innen:

Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

externe Tondienstleister*innen:

Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

externe Videograf*innen:

Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

Hoffmann Productions GmbH

Mit der Kontaktaufnahme und u.a. veranstaltungsbezogenen Kommunikation wurde zudem die Hoffmann Productions GmbH, Marienstraße 42, 70178 Stuttgart (Deutschland) beauftragt.

beDirect GmbH & Co. KG

Die beDirect GmbH & Co. KG ist keine Empfängerin, sondern stellt die Daten der hiesigen Verantwortlichen zur Verfügung. Sie ist wie folgt zu erreichen: beDirect GmbH & Co. KG, Carl-Bertelsmann-Straße 105–107, 33311 Gütersloh, Telefon +49 5241 80-45600, info@bedirect.de, Pers. haftende Gesellschafterin: beDirect Verwaltungs-GmbH, Sitz: Gütersloh, Amtsgericht Gütersloh HRB 4170, Geschäftsführer: Thorsten Friederich. Die hier erworbenen Daten sind i.d.R. nicht personenbezogen und daher gilt insoweit auch nicht die Datenschutzgrundverordnung. Diese Information wird daher nur vorsorglich und für den Fall erteilt, dass doch ein personenbezogenes Datum dabei ist. Diese Daten hat der Verantwortliche gespeichert und wie oben beschrieben genutzt.

Ihre Cookie-Einstellung

Ihr Cookie-Auswahl-Verlauf

Opt-out