Datenschutzerklärung
I Allgemeiner Teil
In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten. Am Ende finden Sie ein Glossar, der wichtige Begriffe aus der Datenschutzerklärung erläutert.
Sie können diese Datenschutzerklärung ausdrucken oder speichern, indem Sie
die übliche Funktionalität Ihres Browsers nutzen. Auch können Sie diese
Datenschutzerklärung als PDF-Datei herunterladen und archivieren, indem Sie hier klicken:
Download Datenschutzerklärung
Betroffene
-
Diese Erklärung richtet sich an alle Personen,
- die mit dem Verantwortlichen Kundenverträge schließen, unabhängig davon, ob diese Verträge kostenpflichtig sind oder nicht. „II Kundendaten/Online-Shop“
- die gegenüber dem Verantwortlichen (siehe unten) Leistungen bringen, unabhängig davon, ob diese Verträge kostenpflichtig sind oder nicht. „III Lieferantendaten“
- die Internetseiten besuchen, die der Verantwortliche zum Abruf bereitstellt. „IV Internetseite“
- Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortlicher
Rechte der Betroffenen und sonstige Hinweise
- Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.
- Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).
- Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
- Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
- Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
Übermittlung in Länder außerhalb der Europäischen Union
- Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
- Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
- Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.
- Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
- Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.
- Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Weitere Hinweise
- Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
- Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
II Kundendaten / Online-Shop
Zur Verarbeitung personenbezogener Daten von Kunden ist folgendes auszuführen:
Datenverarbeitung
-
Die Anbahnung des Vertrages verläuft wie folgt:
- Die Betroffenen gelangen zum Registrierungsformular. Dort geben sie die erforderlichen Registrierungsdaten ein, die anschließend gespeichert werden. Hierbei werden folgende Daten verarbeitet: E-Mail-Adresse*, Passwort*, Anrede* (Herr, Frau, Firma), Vorname*, Nachname*, Rechnungsadresse* (Land, PLZ, Ort, Straße, Hausnummer), Telefonnummer, Geburtsdatum, Rechnungsadresse (Adresszusatz). Pflichtfelder sind mit dem „*“ markiert. Zweck der Verarbeitung ist die Anbahnung des Vertrages. Rechtsgrundlage ist insoweit Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Die Verantwortliche sendet den Betroffenen eine Transaktions-E-Mail, mit der sie die Registrierung bestätigen. Hierbei werden folgende Daten verarbeitet: Nachname, E-Mail-Adresse. Zweck der Verarbeitung ist die Identifizierung des Betroffenen einerseits zur Betrugsprävention und andererseits zur datenschutzrechtlichen Qualifizierung. Soweit die Betrugsprävention bezweckt wird, ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das Interesse aus dem vorgenannten Zweck folgt. Soweit die datenschutzrechtliche Qualifizierung bezweckt wird, ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 2 DSGVO die Rechtsgrundlage, wobei die Verantwortliche verpflichtet ist, die Identität des Betroffenen festzustellen, um später eine werbliche Ansprache auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO stützen und nachweisen zu können.
- Sofern der Betroffene die Registrierung aus der E-Mail heraus bestätigt, wird der Registrierungsprozess abgeschlossen; anderenfalls bleibt er offen. Hierbei werden folgende Daten verarbeitet: Nachname, E-Mail-Adresse, Status der Bestätigung. Zweck und Rechtsgrundlage entspricht insoweit den Angaben oben bei lit. b.
-
Die Durchführung des Vertrages verläuft wie folgt:
- Der Betroffene wählt ein Produkt aus und gibt − erforderlichenfalls − weitere Daten an, um selbst ein Kaufangebot zu unterbreiten. In diesem Zusammenhang generiert der Verantwortliche eine Bestellnummer und ordnet sie dem Betroffenen zu. Hierbei werden folgende Daten verarbeitet: Liefer- und Rechnungsanschrift, KfZ-Kennzeichen (auf www.carpardoo.nl, www.carpardoo.fr und www.carpardoo.dk), Fahrzeugtyp KBA-Nummer (auf www.kfzteile24.de, www.autoteile24.de, www.auspuff.com, www.bremsen.com und www.kfzteile.com), Hersteller, Modell, Typ, nationaler Code (auf kfzteile24.at), Bestellnummer (stets). Zweck ist die Anbahnung des Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Die Betroffenen führen über den ausgewählten Zahlungsdienstleister die Zahlung dadurch. Dafür werden sie zu Zahlungs-Dienstleistern weitergeleitet, die den Zahlungsvorgang eigenverantwortlich abwickeln und dem Verantwortlichen den Status zum Zahlungsvorgang zurückmelden. Hierbei werden folgende Daten verarbeitet: Bestelldaten, Rechnungsdaten, Zahlungsstatus. Zweck ist die Begründung und Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Entscheiden sich die Betroffenen für eine Zahlung per Rechnung-, Lastschrift oder Ratenkauf werden die Daten an einen externen Zahlungsdienstleister übermittelt, damit dieser ggf. unter Einbeziehung externer Auskunfteien entscheidet, ob die gewählte Zahlungsart gewährt werden kann. Dieser Schritt erfolgt nur, wenn die Zahlung nach Lieferung erfolgen soll. Hierbei werden folgende Daten verarbeitet: Kontaktdaten (Name, Adresse, ggf. Geburtsdatum, ggf. E-Mail-Adresse, Ihre Bankdaten), Angaben zu den bestellten Artikeln (z.B. Bestellwert, Produktgruppe, Warenwert, ggf. Anfragekanal und Lieferart), Bonitätsdaten. Die Bonitätsdaten werden von externen Zahlungsdienstleistern eigenverantwortlich erhoben und gespeichert und dem hiesigen Verantwortlichen gegenüber nicht bekannt gemacht. Zweck ist die Durchführung des Vertrages sowie aus Perspektive der hier eingesetzten, externen Zahlungsdienstleister der Schutz vor dem Vorleistungsrisiko bei den gewählten Zahlungsarten. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vorleistungsrisiko folgt.
- Bei positivem Zahlungsstatus wird der Kaufgegenstand automatisiert verpackt, beschriftet, an ein externes Logistikunternehmen übergeben und ausgeliefert. Hierbei werden folgende Daten verarbeitet: Name, Lieferungsanschrift, Zahlungsstatus, ggf. Telefonnummer, Bestellstatus, z.B. „Versendet&ldquo oder „Retourniert&ldquo, Versandstatus. Zweck ist die Durchführung des Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Bei Anrufen in der Servicehotline des Betroffenen werden Sprachaufzeichnungen angefertigt, die einerseits zur Verbesserung des Servicelevels andererseits zur Bearbeitung des Vorhabens genutzt werden. Hierbei werden folgende Daten verarbeitet: Telefonnummer des anrufenden Betroffenen, Gesprächsbeginn, Dauer des Gesprächs, die Auftragsnummer. Zweck ist die Verbesserung des Servicelevels und die Bearbeitung des Anliegens. Rechtsgrundlage ist allein die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
- Sofern die Betroffenen diesen Service wünschen und der damit verbundenen Datenverarbeitung zustimmen, werden die für die Haupt-/Abgasuntersuchung und/oder für ein Schadensgutachten erforderlichen Daten an einen externen Drittanbieter übermittelt. Zweck ist die Durchführung des Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Im Fall eines vertragsrechtlichen Konflikts werden die Daten verarbeitet, um entsprechende Erklärung abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem arbeitsrechtlichen Konflikt stehen (etwa Bestellstatus, z.B. „Versendet“ oder „Retourniert“). Zweck ist die Wahrnehmung externer, Beratung/Betreuung und Ausübung eigener Rechte. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den Zwecken folgt. Soweit Daten bei Rechtsberatungsdienstleistern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Der Verantwortliche übermittelt die Rechnungsdaten an eine externe Steuerberatungskanzlei. Hierbei werden folgende Daten verarbeitet: Alle Daten, die aus der Rechnung ersichtlich sind. Inanspruchnahme der Unterstützung einer externen Steuerberatungskanzlei bei der Buchhaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Der Verantwortliche verarbeitet sämtliche Daten der Betroffenen im Rahmen eines technologiegetriebenen Prozesses (Business Intelligence - kurz BI), um diese zu analysieren. Die Analyseergebnisse, nicht aber die Rohdaten, nutzen der Verantwortliche bzw. die bei ihm tätigen Entscheidungsträger*innen, um unternehmerische Entscheidungen zu treffen, die rechtskonform, nachhaltig und betriebswirtschaftlich sinnvoll sind und um riskante Entscheidungen einzuordnen und womöglich zu vermeiden. Hierbei werden Daten aus internen Quellen (Name, Anschriften, PLZ-Bereiche, Geschäftsvolumina, Retouren- und Beschwerdehäufigkeiten) und externen Quellen (allg. zugängliche Quellen, Studien von Branchenverbänden usw.) zusammengeführt, um Analyse vorzubereiten, fertigzustellen und/oder zu visualisieren, um Berichte, Dashboards und Datenvisualisierungen zu erstellen, um die Analyseergebnisse sowohl den Entscheidungsträger*innen im Unternehmen als auch den operativen Mitarbeitenden zugänglich zu machen. Zur Strukturierung der Daten werden analytische Informationssysteme eingesetzt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Verarbeitungszwecken, insbesondere aber aus dem Bestreben folgt, unternehmerische Entscheidungen zu treffen, die rechtskonform, nachhaltig und betriebswirtschaftlich sinnvoll sind und Risiken einzuordnen und zu minimieren. Das ist nicht nur im Interesse der Verantwortlichen, sondern auch im Interesse der Allgemeinheit, da die Vermeidung von Insolvenzrisiken, die Arbeitslosenversicherung schont, und das Treffen nachhaltiger Entscheidungen einen positiven Einfluss auf das Klima haben kann.
- Der Verantwortliche spricht die Betroffenen werblich per E-Mail an, insbesondere, um für neue Produkte zu werben, Gewinnspiele vorzustellen und Umfragen durchzuführen. Dafür verwendet der Verantwortliche folgende Daten: Name, E-Mail-Adresse, Kundenstatus. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem vorgenannten Zweck i.V.m. ErwG 47 folgt. Die Betroffenen werden darauf hingewiesen, dass sie dieser Verarbeitung jederzeit und ohne Begründung widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
-
Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:
- Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Daten ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich aus internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.
- Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.
- Daten, die die Erteilung einer Einwilligung beweisen, für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
- Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.
- Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.
Auftragsverarbeiter und Dritte, die Daten erhalten
Die folgenden Drittanbieter erhalten personenbezogene Daten:
Microsoft (Suite):
Es werden diverse Applikationen von der Microsoft Corporation
(USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:
Microsoft-365 (Cloud, Software)
Microsoft-Teams (Projektmanagement)
AWS (Suite):
Es werden diverse Applikationen der Amazon Web Services EMEA SARL
(Luxemburg - EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland
(hier zur Amazon Web Services Inc., USA) ist bei Beschäftigtendaten
gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß
Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
AWS cloud
AWS Webhosting
Google (Suite):
Es werden diverse Applikationen der Google Ireland Ltd. (Irland - EU)
eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in
ein Drittland (hier zur Amazon Web Services Inc., USA) ist bei
Beschäftigtendaten gemäß Artikel 46 DSGVO und bei
allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Google Workspace
Google Analytics
Hierzu sei folgendes ergänzt: Google Analytics hilft bei der Analyse des Nutzungsverhaltens auf der
Internetseite. Die IP-Adresse wird durch die Drittanbieterin innerhalb von Mitgliedstaaten der
Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen
Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server der
Drittanbieterin in den USA übertragen und dort gekürzt. Die im Rahmen des Einsatzes dieses Tools
vom Browser übermittelte IP-Adresse wird nicht mit anderen Daten durch die Drittanbieterin
zusammengeführt. Das Tool wird zudem für eine geräteübergreifende Analyse von
Besucher*innenströmen eingesetzt, die über eine User-ID durchgeführt wird.
Google Tagmanager
Hierzu sei folgendes ergänzt: Durch dieses Tool kann die Verantwortliche verschiedene Codes und
Dienste geordnet und vereinfacht auf dieser Internetseite einbinden. Dieses Tool implementiert dabei
die tags bzw. löst die damit eingebundenen tags aus. Beim Auslösen eines tags verarbeitet die
Dritanbieterin unter Umständen auch personenbezogene Daten.
Google Doubleclick
Hierzu sei folgendes angemerkt: DoubleClick setzt Cookies ein, um für die Betroffenen relevante
Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden,
dass die Betroffenen die gleichen Anzeigen mehrmals sehen. Über eine Cookie-ID erfasst die
Drittanbieterin, welche Anzeigen in welchem Browser geschaltet werden und kann so verhindern,
dass diese mehrfach geschaltet werden. Darüber hinaus kann DoubleClick mithilfe von Cookie-IDs
sog. Conversions erfassen, die Bezug zu Anzeigenanfragen haben. Das ist etwa der Fall, wenn die
Betroffenen eine DoubleClick-Anzeige sehen und später mit demselben Browser die Internetseite der
hiesigen Verantwortlichen aufrufen und dort etwas kaufen. Aufgrund der eingesetzten Marketing-Tools
baut der Browser automatisch und direkt eine Verbindung mit dem Server der Drittanbieterin auf.
Durch die Einbindung von DoubleClick erhält die Drittanbieterin die Information, dass die Betroffenen
den entsprechenden Teil des hiesigen Internetauftritts aufgerufen oder die Anzeige der
Verantwortlichen angeklickt haben. Sofern die Betroffenen bei einem Dienst der Drittanbieterin
registriert sind, kann sie den Besuch dem jeweiligen Account der Betroffenen zuordnen. Selbst wenn
die Betroffenen nicht bei der Drittanbieterin registriert sind bzw. sich nicht eingeloggt haben, besteht
die Möglichkeit, dass die Drittanbieterin deren IP-Adresse in Erfahrung bringt und speichert.
Google Ads / Google Remarketing
Hierzu sei folgendes angemerkt: Wenn die Betroffenen mit der Verantwortlichen online in Interaktion
treten, etwa diese Internetseite besuchen, können sie per Cookies (sog. Ad Server Cookies) als
geeignete Empfänger von Werbeanzeigen, sog. "Ads" gekennzeichnet werden. Außerdem kann
mithilfe dieser Cookies der Erfolg einer Kampagne gemessen und bewertet werden. Wenn die
Betroffenen dann das soziale Medium der hiesigen Drittanbieterin, etwa ihre Suchmaschine,
aufsuchen, werden sie erkannt und ihnen werden die "Ads" der hiesigen Verantwortlichen angezeigt
("Remarketing"). Dies geschieht, in dem der jeweilige Browser der Betroffenen automatisch eine
direkte Verbindung mit dem Server der hiesigen Drittanbieterin aufbaut. Die Auslieferung der "Ads"
erfolgt dann über sog. Google Ad Server. Die hierfür eingesetzten Ad Server Cookies verlieren in der
Regel nach 30 Tagen ihre Gültigkeit und sollen nicht dazu dienen, die Betroffenen persönlich zu
identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID,
Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für
Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr
angesprochen werden möchte) gespeichert. Die Betroffenen können das Tracking erschweren und
verhindern, etwa (a) durch entsprechende Einstellungen ihrer Browser-Software (insbesondere führt
die Unterdrückung von Drittcookies dazu, dass sie keine Anzeigen von Drittanbieterinnen erhalten)
oder (b) durch Deaktivierung der Cookies für das Conversion-Tracking, indem sie ihren Browser so
einstellen, dass Cookies von der Domain der hiesigen Drittanbieterin blockiert werden, wobei diese
Einstellung gelöscht werden, wenn die Betroffenen die Cookies löschen. Der Zweck besteht darin, die
Verantwortlichen zu präsentieren, das Nutzungsverhaltens in Bezug auf die Interaktion mit dieser
Internetseite zu analysieren sowie über das hier vorgestellte soziale Medium (ggf. werblich) mit den
Betroffenen zu kommunizieren.
Google reCaptcha
Google Kundenrezensionen
YouTube (Grundsatz)
Hierzu sei folgendes angemerkt: YouTube ist ein Portal, auf dem Videos gezeigt werden.
YouTube (eigener Kanal)
Hierzu sei folgendes angemerkt: Die Verantwortliche betreibt einen eigenen YouTube-Kanal.
YouTube (Plugin)
Hierzu sei folgendes angemerkt: Die Verantwortliche hat auf der Internetseite ein YouTube-Plugin
eingebunden, das bei Klick zu YouTube und ihrem Kanal führt und im Übrigen dabei die Daten der Betroffenen verarbeitet.
Atlassian:
Es werden diverse Applikationen der Atlassian Pty Ltd (Australien) eingesetzt, die gemäß Artikel 28
DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Australien) ist gemäß Artikel 46 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Confluence
Jira
externe Steuerberatungskanzlei:
Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei
der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl.
DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz
1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
slack:
Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland - EU)
eingesetzt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt
clockwise:
Es wird das Projektmanagement-Tool „clockwise“ der Clockwise Inc. (USA) eingesetzt, die gemäß
Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass
dieser seinen Sitz außerhalb der EU hat.
Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet (Artikel 46 DSGVO).
Veolia:
Es wird die Veolia Deutschland GmbH (Deutschland - EU) mit der Löschung/Vernichtung von Daten
gemäß Artikel 28 DSGVO beauftragt.
Host Europe:
Es wird der Webhoster „Host Europe“ der Host Europe GmbH (Deutschland - EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde
IONOS:
Es wird der Webhoster „IONOS“ der IONOS SE (Deutschland - EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
Paypal:
Es wird der Zahlungsdienst „Paypal“ des Anbieters PayPal (Europe) S.Ã r.l. et Cie, S.C.A.
(Luxembourg - EU) eingesetzt. Bevor die Betroffenen diesen Zahlungsdienst nutzen, müssen sie bei
dieser Drittanbieterin ein eigenes Konto erstellen. Dafür teilen sie der Drittanbieterin die hierfür
erforderlichen Daten mit. Sofern sie anschließend auf Dienstleister, wie die hier Verantwortliche
treffen, die eine Zahlung über diesen Zahlungsdienst akzeptieren, autorisieren sie diese
Drittanbieterin, Geld an die hiesigen Verantwortliche zu überweisen. Hierbei erlangt die Drittanbieterin
freilich Informationen über das Kaufverhalten der Betroffenen. Die Drittanbieterin agiert hier also nicht
als eine weisungsabhängige Auftragsverarbeiterin der hiesigen Verantwortlichen, sondern als
Zahlungsdienstleisterin der Betroffenen. Hierbei werden insbesondere die folgenden Daten durch die
Verantwortlichen verarbeitet: Information, (1) dass die Betroffenen diesen Dienst nutzen sowie, (2)
dass, in welcher Höhe und zu welchem Zeitpunkt die Betroffenen zahlen, (3) personenbezogene
Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen und (4)
personenbezogene Daten, die die Verantwortlichen zur Klärung von Konflikten und zur Prüfung und
Prävention von Betrug benötigt. Die Informationen zu 2., zu 3. und zu 4. erhält die Verantwortliche von der Drittanbieterin.
riverty:
Es wird der Zahlungsdienst „riverty“ des Anbieters Riverty GmbH (Deutschland - EU) eingesetzt.
Klarna:
Es wird der Zahlungsdienst „Klarna“ des Anbieters Klarna Bank AB (publ) (Schweden - EU) eingesetzt.
Dies gilt für die Internetseiten: www.auspuff.com, www.bremsen.com.
iDEAL:
Es wird der Zahlungsdienst „iDEAL“ des Anbieters Currence iDEAL B.V (Niederlande - EU) eingesetzt. Dies gilt für die Internetseiten: www.carpardoo.nl.
Cartes Bancaires:
Es wird der Zahlungsdienst „Cartes Bancaires“ des Anbieters Cartes Bancaires CB (Frankreich - EU) eingesetzt. Dies gilt für die Internetseiten: www.carpardoo.fr.
Dankort:
Es wird der Zahlungsdienst „Dankort“ des Anbieters Nets Holding A/S (Dänemark - EU) eingesetzt. Dies gilt für die Internetseiten: www.carpardoo.dk.
DEKRA:
Sofern die Betroffenen diesen Service wünschen und der damit verbundenen Datenverarbeitung
zustimmen, werden die für die Haupt-/Abgasuntersuchung und/oder für ein Schadensgutachten
erforderlichen Daten an die DEKRA Automobil GmbH (EU - Deutschland) übermittelt.
Hotjar:
Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das Analyse-Tool „Hotjar“ der Hotjar
Ltd. (Malta - EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Neben dem jederzeit
möglichen Widerruf ihrer Einwilligung können die Betroffenen die Erfassung der Daten durch Hotjar
verhindern, indem sie auf den folgenden Link klicken und die dortigen Instruktionen befolgen:
https://www.hotjar.com/opt-out.
Meta (soziales Netzwerk):
Es wird die sozialen Netzwerke und Medien der Meta Platforms Ireland Limited (Irland - EU)
eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung
der Muttergesellschaft, der Meta Platforms Inc. (USA), stattfindet. Soweit die Verantwortliche und die
vorgenannte Anbieterin gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen:
https://www.facebook.com/legal/terms/page_controller_addendum.
Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die
vorgenannte Anbieterin nach Artikel 28 DSGVO beauftragt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Platforms Inc. USA) ist bei
Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende soziale Netzwerke, Medien und/oder Tools werden eingesetzt:
Facebook (Unternehmensseite)
Facebook (Plugin)
Facebook (Pixel)
Facebook (Ads)
Instagram (Unternehmensseite)
Xing (soziales Netzwerk):
Es wird das soziale Netzwerk „Xing“ der New Work SE (Deutschland - EU) eingesetzt. Folgende Tools werden eingesetzt:
Xing (Unternehmensseite)
TikTok (soziales Netzwerk):
Es wird das soziale Netzwerk „TikTok“, das von der TikTok Technology Limited (EU - Irland) und der
TikTok Information Technologies UK Limited (Vereinigtes Königreich von England und Nordirland)
gemeinschaftlich angeboten wird, eingesetzt. Aus der Datenschutzerklärung der Drittanbieterinnen
geht jedoch vor, dass sie Daten auch an andere Unternehmen ihrer „Unternehmensgruppe“
weitergeben, ohne jedoch zu spezifizieren, welche Unternehmen dazugehörigen. Trotz öffentlich
gegenteiliger Aussagen ist daher nicht auszuschließen, dass die Daten zu Unternehmen in den USA
und/oder die Volksrepublik China, dort insbesondere an die Muttergesellschaft Beijing Bytedance
Technology Ltd. (Volksrepublik China) übermittelt und dort auch verarbeitet werden. Soweit der
Verantwortliche und die Drittanbieterinnen des hier vorgestellten sozialen Netzwerks bzw. Mediums
gemeinsam verantwortlich sind, haben sie eine gemeinsame Verantwortlichkeit nach Artikel 26
DSGVO vereinbart. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums
nach Artikel 28 DSGVO beauftragt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 49 Absatz 1 lit. a DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
TikTok (Unternehmensseite)
Bloomreach (ehemals: Exponea):
Es wird das Automatisierungs-Tool „Exponea“ der BLOOMREACH B.V. (EU - Niederlande), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt.
Zenloop:
Es wird das Tool „Zenloop“ der zenloop GmbH (Deutschland - EU) eingesetzt. Näheres zur Art und
Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben:
https://www.zenloop.com/de/plattform/.
DHL:
Für Auslieferungen von Kaufsachen wird die DHL Paket GmbH (Deutschland - EU) eingesetzt.
Soweit Daten an einen Lieferungsdienst übermittelt und durch ihn verarbeitet werden, stellt dies keine
Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits
durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Tableau:
Es wird das Business-Intelligence-Tool der Tableau Software, Inc. (USA) eingesetzt, die gemäszlig; Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Astronomer:
Es wird das Schnittstellen-Tool „Astronomer.io“ der Astronomer, Inc (USA) eingesetzt, die gemäß
Artikel 28 DSGVO beauftragt wurde. Astronomer.io ist eine Plattform zur Verwaltung und Steuerung
von Datenworkflows bereit. Die Software ermöglicht Unternehmen, Datenprozesse zu überwachen
und zu automatisieren, was im Bereich Business Intelligence eingesetzt wird. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
growthbook.io:
Es wird das A/B-Testing-Tool growthbook.io der GrowthBook, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschlieÃende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
III Lieferantendaten
Zur Verarbeitung personenbezogener Daten von Lieferanten ist folgendes auszuführen:
Datenverarbeitung
-
Die Anbahnung des Vertrages verläuft wie folgt:
- Entweder nehmen die Betroffenen mit dem Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet der Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Der Verantwortliche prüft auf dieser Grundlage das Angebot des Betroffenen. Der Verantwortliche speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Ferner lässt der Verantwortliche den potenziellen Lieferanten die Wahl für ein Vorgespräch in Präsenz, per Telefon oder per Videokonferenz. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potentiellen Lieferanten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vorgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
-
Nach Zustandekommen des Vertrages geschieht folgendes:
- Zunächst erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Ferner lässt der Verantwortliche den Lieferanten die Wahl für ein Vertragsgespräche in Präsenz, per Telefon oder per Videokonferenz. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potentiellen Lieferanten einwilligen, führt er dann das Gespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vorgesprächs.
- Außerdem übermittelt der Verantwortliche Daten aus der Buchhaltung an eine externe Steuerberatungskanzlei. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Der Verantwortliche verarbeitet sämtliche Daten der Betroffenen im Rahmen eines technologiegetriebenen Prozesses (Business Intelligence - kurz BI), um diese zu analysieren. Die Analyseergebnisse, nicht aber die Rohdaten, nutzen der Verantwortliche bzw. die bei ihm tätigen Entscheidungsträger*innen, um unternehmerische Entscheidungen zu treffen, die rechtskonform, nachhaltig und betriebswirtschaftlich sinnvoll sind und um riskante Entscheidungen einzuordnen und womöglich zu vermeiden. Hierbei werden Daten aus internen Quellen (Name, Anschriften, PLZ-Bereiche, Geschäftsvolumina, Kommunikationsdaten) und externen Quellen (allg. zugängliche Quellen, Studien von Branchenverbänden usw.) zusammengeführt, um Analyse vorzubereiten, fertigzustellen und/oder zu visualisieren, um Berichte, Dashboards und Datenvisualisierungen zu erstellen, um die Analyseergebnisse sowohl den Entscheidungsträger*innen im Unternehmen als auch den operativen Mitarbeitenden zugänglich zu machen. Zur Strukturierung der Daten werden analytische Informationssysteme eingesetzt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Verarbeitungszwecken, insbesondere aber aus dem Bestreben folgt, unternehmerische Entscheidungen zu treffen, die rechtskonform, nachhaltig und betriebswirtschaftlich sinnvoll sind und Risiken einzuordnen und zu minimieren. Das ist nicht nur im Interesse der Verantwortlichen, sondern auch im Interesse der Allgemeinheit, da die Vermeidung von Insolvenzrisiken, die Arbeitslosenversicherung schont, und das Treffen nachhaltiger Entscheidungen einen positiven Einfluss auf das Klima haben kann.
-
Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:
- Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Daten ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich aus internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.
- Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.
- Daten, die die Erteilung einer Einwilligung beweisen, für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
- Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.
- Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.
Auftragsverarbeiter und Dritte, die Daten erhalten
Die folgenden Drittanbieter erhalten personenbezogene Daten:
Microsoft (Suite):
Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Microsoft-365 (Cloud, Software)
Microsoft-Teams (Projektmanagement)
AWS (Suite):
Es werden diverse Applikationen der Amazon Web Services EMEA SARL (Luxemburg - EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Amazon Web Services Inc., USA) ist bei
Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
AWS cloud
Google (Suite):
Es werden diverse Applikationen der Google Ireland Ltd. (Irland - EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Google Workspace
Atlassian:
Es werden diverse Applikationen der Atlassian Pty Ltd (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Australien) ist gemäß Artikel 46 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Confluence
Jira
externe Steuerberatungskanzlei:
Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei
der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl.
DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz
1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
slack:
Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland - EU) eingesetzt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
clockwise:
Es wird das Projektmanagement-Tool „clockwise“ der Clockwise Inc. (USA) eingesetzt, die gemäß
Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat.
Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet (Artikel 46 DSGVO).
Veolia:
Es wird die Veolia Deutschland GmbH (Deutschland - EU) mit der Löschung/Vernichtung von Daten gemäß Artikel 28 DSGVO beauftragt.
Bloomreach (ehemals: Exponea):
Es wird das Automatisierungs-Tool „Exponea“ der BLOOMREACH B.V. (EU - Niederlande), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt.
Zenloop:
Es wird das Tool „Zenloop“der zenloop GmbH (Deutschland - EU) eingesetzt. Näheres zur Art und
Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben:
https://www.zenloop.com/de/plattform/.
Tableau:
Es wird das Business-Intelligence-Tool der Tableau Software, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Astronomer:
Es wird das Schnittstellen-Tool „Astronomer.io“ der Astronomer, Inc (USA) eingesetzt, die gemäß
Artikel 28 DSGVO beauftragt wurde. Astronomer.io ist eine Plattform zur Verwaltung und Steuerung
von Datenworkflows bereit. Die Software ermöglicht Unternehmen, Datenprozesse zu überwachen
und zu automatisieren, was im Bereich Business Intelligence eingesetzt wird.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
IV Internetseite
Zur Verarbeitung personenbezogener Daten von Besuchern der Internetseite ist folgendes auszuführen:
Datenverarbeitung
-
Soweit die Betroffenen die Internetseite nur informatorisch nutzen, gilt folgendes:
- Die Betroffenen nutzen die Internetseite zunächst informatorisch, d.h. sie rufen die Internetseite auf, ohne mit ihr aktiv zu interagieren. Hierbei erhebt der Verantwortliche, soweit zur Darstellung der Internetseite technisch erforderlich, die folgenden Daten der Betroffenen: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware. Zweck ist die Darstellung der Internetseite. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei sich das berechtigte Interesse aus dem zuvor genannten Zweck ergibt.
- Sobald die Betroffenen die hiesige Internetseite öffnen, erscheint ein Banner, über den die Betroffenen Erklärungen zum Einsatz von datenverarbeitenden Tools abgeben können. Ihre Erklärungen und ggf. spätere Modifikationen dieser Erklärungen werden dokumentiert. Hierbei werden in der Regel folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Erklärung, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Erklärung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 7 Absatz 1 DSGVO. Rechtsgrundlage ist Artikel Absatz 1 Satz 1 lit. c DSGVO.
- Der Verantwortliche hat für die Veröffentlichung dieser Internetseite Drittanbieter mit der Bereitstellung von Speicherplatz und der Auslieferung beauftragt. Damit diese Dienstleister ihren Auftrag erfüllen können, erhalten sie zwangsläufig einige Daten der Betroffenen. Das berechtigte Interesse folgt aus dem Anspruch, sich öffentlich präsentieren zu dürfen. Hierbei werden folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware; ggf. auch Kommunikations- und Interaktionsdaten aus dem Verhalten der Betroffenen. Zweck ist die Bereitstellung der Internetseite. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem zuvor genannten Zweck folgt.
- Nach Ende der informatorischen Nutzung werden die Daten gelöscht. Zweck ist die Erfüllung einer rechtlichen Verpflichtung (Artikel 5 Absatz 1 lit. a, e DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.
-
Zur bestimmungsgemäßen Nutzung der Internetseite bzw. des Onlineshops gilt folgendes:
- Alle Informationen zur Datenverarbeitung zwecks Registrierung und Kaufabwicklung befinden sich oben bei „II Kundendaten/Online-Shop“.
- Der Verantwortliche stellt auf der Internetseite ein Formulartool zur Verfügung. Darüber findet eine Kommunikation zwischen Betroffenen und dem Verantwortlichen statt, wobei die Eingaben der Betroffenen dokumentiert und an den Verantwortlichen übermittelt werden. Hierbei werden die folgenden Daten verarbeitet: Daten über Inhalt, Art und Weise sowie Umfang der Eingaben in das jeweilige Formular. Zweck ist die Eröffnung eines Kommunikationsweges. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
- Die Betroffenen können sich auf dieser Internetseite über einen Recruiting-Bereich und/oder einen anderen Kontaktkanal für eine Beschäftigung bewerben. Der Verantwortliche nimmt diese Daten entgegen und verarbeitet sie, indem eine Vorauswahl und ggf. ein Bewerbungsgespräch und/oder Probearbeitstag vorzubereiten oder zu weiteren, bewerbungsrelevanten Zwecken zu kommunizieren. Zweck ist die Anbahnung eines Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. b DSGVO.
- Auf dieser Internetseite haben die Betroffenen die Möglichkeit, sich für die Nutzung eines internen Bereichs zu registrieren, sich anschließend darin einzuloggen und sich schlussendlich wieder abzumelden. Wenn sie sich zum internen Bereich registrieren, erhebt der Verantwortliche dabei die Daten, die sie im Rahmen des Registrierungsprozesses angeben. Innerhalb des internen Bereichs registriert der Verantwortliche Handlungen der Betroffenen, soweit dies zur Bereitstellung des internen Bereichs mit seinen Funktionen erforderlich ist. Hierbei werden die folgenden Daten verarbeitet: (1) die von den Betroffenen eingegebenen Registrierungsdaten, (2) die Daten über Logins, (3) über Handlungen, die die Betroffenen innerhalb des Log-In-Bereichs durchführen, (4) über den Status zur Abmeldung. Zweck ist die Anbahnung von Verträgen. Rechtsgrundlage ist Artikel 6 Absatz 1 lit. b DSGVO.
-
Im Rahmen der Begründung, Durchführung und/oder Beendigung von Verträgen hat der
Verantwortliche Teile der Kommunikation mit Ihnen automatisiert. Dabei verarbeitet er alle Kommunikationsdaten
der Betroffenen, die automatische Reaktionen des hiesigen Verantwortlichen auslösen, wie z.B. die
Auslieferung eines Produktes oder einer Leistung. Er steuert insoweit
- die Erfassung Ihrer personenbezogenen Daten bei Anbahnung des jeweiligen Vertrages,
- die für die Begründung, Durchführung und/oder Beendigung des Vertrages erforderliche Kommunikation (insbesondere per E-Mail) mit den Betroffenen sowie
- die Auslieferung der Produkte und/oder Leistungen.
- Hierbei werden die folgenden Daten verarbeitet: (1) sämtliche von Ihnen eingegebene Kontakt- und Bestelldaten, (2) ggf. Zahlungsdaten, (3) Daten über die Auslieferung sowie (4) Daten über die Geltendmachung von Rechten der Betroffenen und der Reaktion des hiesigen Verantwortlichen. Zweck ist die automatisierte, vertragsbezogene Kommunikation. Alle Informationen zur Datenverarbeitung zwecks Registrierung und Kaufabwicklung befinden sich oben bei „II Kundendaten/Online-Shop“.
- Zur Analyse des Nutzerverhaltens der Betroffenen auf dieser Internetseite werden sog. Cookies eingesetzt. Das sind Textdateien, die auf dem Rechner der Betroffenen gespeichert werden und die eine Analyse der Benutzung der Internetseite ermöglichen. Aus den Informationen über das Nutzungsverhalten entstehen Berichte über die Aktivitäten und Interaktionen. Der hiesige Verantwortliche nutzt diese Daten, um das Nutzungserlebnis auf der Internetseite regelmäßig verbessern zu können. Über die gewonnenen Statistiken kann er auch sein Angebot verbessern, um das Interesse der Betroffenen zielgerichteter auf für sie passende Produkte und Leistungen zu lenken. Hierbei werden die folgenden Daten verarbeitet: cookie-basierte Daten über die Interaktionen (ins. Reihenfolge der Interaktionen, Verweildauer). Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, die hier über den sog. Cookie-Banner erklärt wird.
- Der Verantwortliche setzt soziale Medien und soziale Netzwerke ein. Weder hat er Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge noch sind ihm der volle Umfang der Datenerhebung, die Zwecke der Verarbeitung, die Speicherfristen und der Umstände der Löschung personenbezogener Daten vollends bekannt. Wenn die Betroffenen die Unternehmens- und Produktseiten des Verantwortlichen in den sozialen Medien oder Anzeigen (sog. Ads) aufsuchen, besteht die Möglichkeit, dass die Anbieter der sozialen Medien und Netzwerke die über sie erhobenen Daten als Nutzungsprofile speichern und diese für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseiten nutzen. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dessen an den jeweiligen Anbieter wenden müssen. Soweit der hiesige Verantwortliche Art und Umfang der hiermit verbundenen Verarbeitung personenbezogener Daten beeinflussen kann, besteht ihr Zweck darin, den Verantwortlichen zu präsentieren, das Nutzungsverhaltens der Betroffenen in Bezug auf die Interaktion mit der dort unterhaltenen Unternehmens- und/oder Produktseite zu analysieren sowie über dieses soziale Netzwerk (ggf. werblich) mit den Betroffenen zu kommunizieren. Wenn und soweit der Verantwortliche die Besucherinteraktionen mit seiner Unternehmensseite analysiert, sind sowohl er als auch der jeweilige Anbieter des sozialen Netzwerks oder Mediums insoweit datenschutzrechtlich gemeinsam verantwortlich; dies gemäß Artikel 26 DSGVO. In allen anderen Fällen wird der jeweilige Anbieter des sozialen Netzwerks oder Mediums gemäß Artikel 28 DSGVO beauftragt. Hierbei werden folgende Daten verarbeitet: Cookie- bzw. pixelbasierte Daten über die Interaktionen mit der Internetseite sowie den Unternehmens- und/oder Produktseiten des Verantwortlichen, ggf. die E-Mail-Adresse, der Name und die Kommunikationsdaten. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Ergänzend zu den allgemeinen Ausführungen zur Rechtsgrundlage ist folgendes auszuführen: Sofern die Betroffenen bei dem jeweiligen sozialen Netzwerk oder Medium selbst ein Profil unterhalten, ist die Rechtsgrundlage auch die Einwilligung i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, die sie gegenüber dem Anbieter des jeweiligen sozialen Netzwerks erteilt haben.
- Es wird ein Videowiedergabe-Tool eingesetzt, um den Betroffenen im Rahmen dieser Internetpräsenz, aber ggf. auch auf dem Kanal des Verantwortlichen seine und/oder fremde Videos zu präsentieren. Wenn die Betroffenen diese Videos starten, dokumentieren das sowohl der Anbieter der Videowiedergabe-Lösung als auch der Verantwortliche, um den Betroffenen anschließend interessengerechte Informationen und Ads anzeigen zu können. Hierbei werden folgende Daten verarbeitet: Cookie-basierte Daten, die folgende Informationen transportieren: (1) Information, dass die Betroffenen diese Internetseite (ggf. auch die konkrete Unterseite) besucht haben, (2) Information, dass ein bestimmtes Video angeklickt wurde. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
- Der Verantwortliche verarbeitet die Daten der Betroffenen ggf., um ihnen per E-Mail nützliche, werbliche Informationen zuzuschicken. Hierbei handelt es sich um ein regelmäßig und unregelmäßig erscheinendes elektronisches Rundschreiben. Zu Beginn stellen sie dem Verantwortlichen diejenigen Daten zur Verfügung, die er zur Anmeldung abfragt. Nach Durchführung des Double-Opt-In-Verfahrens nutzt er diese Daten, um die Betroffenen mittels dieser E-Mails werblich anzusprechen. Hierbei werden folgende Daten verarbeitet: Cookie-basierte Daten, die folgendeInformationen transportieren: Der Verantwortliche verarbeitet die Daten, die die Betroffenen ihm freiwillig zu diesem Zweck mitteilen (i.d.R. E-Mail und Name) sowie die Daten, die er zum Nachweis der Erteilung der Einwilligung braucht (Opt-In-Status-Daten) sowie ggf. Daten zum Widerruf der Einwilligung. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
- Zur Einholung der Einwilligung für die werbliche Ansprache per E-Mail bedient sich der Verantwortliche des sog. Double-Opt-In-Verfahrens. Das heißt, dass er den Betroffenen nach ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse sendet, in welcher er sie um Bestätigung ihrer Einwilligung bittet. Wenn sie ihre Anmeldung nicht innerhalb von 30 Tagen bestätigen, werden ihre Informationen gesperrt und nach einem Monat automatisch gelöscht. Darüber hinaus speichert der Verantwortliche jeweils ihre eingesetzten IP-Adressen und Zeitpunkte der Anmeldung und Bestätigung. Zweck des Verfahrens ist, ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch ihrer persönlichen Daten aufklären zu können. Die rechtliche Verpflichtung folgt aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften ist der hiesige Verantwortliche rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Das geht nur, wenn er die Daten der Betroffenen dafür zu Nachweiszwecken erhebt. Zweck ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 7 Absatz 1 DSGVO. Rechtsgrundlage ist Artikel Absatz 1 Satz 1 lit. c DSGVO.
- Auf dieser Internetseite wird eine Karte angezeigt, die den Betroffenen eine Wegbeschreibung zeigt. Sobald die Betroffenen auf die entsprechende Seite gelangen, werden die gleich noch zu nennenden Daten an den hiesigen Verantwortlichen als auch an den Anbieter des Kartendienstes übermittelt. Die Karte wird nur angezeigt, wenn eine Einwilligung vorab erteilt wurde. Hierbei werden folgende Daten verarbeitet: (1) Daten über die Benutzung dieser Website, (2) IP-Adresse und ggf. (2) Daten über die zur Routenplanung eingegebene Adresse. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO
- Zur Vermeidung von Missbrauch wird auf dieser Internetseite ein Turing-Test-Tool eingesetzt. Dabei müssen die Betroffenen eine kurze Aufgabe lösen, wie z.B. kursiv geschriebene Zahlen durch Tastatureingaben wiederzugeben oder Bilder zu erkennen. Diese Eingaben werden dokumentiert. Das Ergebnis wird darauf untersucht, ob eine menschliche oder maschinelle Eingabe vorliegt. Auf Grundlage dieser Information wird entschieden, ob bestimmte Verarbeitungsvorgänge (z.B. Registrierung) fortgesetzt werden können oder nicht. Hierbei werden folgende Daten verarbeitet: Eingabedaten. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO
- Der Verantwortliche empfiehlt den Besuchern seines Online-Auftritts Produkte und/oder Dienstleistungen von Dritten. Sofern die Betroffenen über eine Verlinkung, Plugin oder sonstige Weiterleitung zu einem empfohlenen Händler oder Dienstleister weitergeleitet werden, verarbeitet der Verantwortliche diese Information und erhält auf dieser Grundlage ggf. eine Provision vom empfohlenen Händler und/oder Dienstleister. Zweck ist die Dokumentation erfolgreicher Empfehlungen, mit dem Ziel, dafür provisioniert zu werden. Darin liegt auch das berechtigte Interesse. Hierbei werden folgende Daten verarbeitet: Für die Bereitstellung der Werbeanzeigen werden statistische Informationen über die Betroffenen erfasst. Dazu zählen alle Daten, die ohnehin im Rahmen der informatorischen Nutzung erhoben werden (siehe oben) sowie ggf. der Weiterleitungsstatus. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.
Auftragsverarbeiter und Dritte, die Daten erhalten
Die folgenden Drittanbieter erhalten personenbezogene Daten:
Host Europe:
Es wird der Webhoster „Host Europe“ der Host Europe GmbH (Deutschland - EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
IONOS:
Es wird der Webhoster „IONOS“ der IONOS SE (Deutschland - EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
AWS (Suite):
Es werden diverse Applikationen der Amazon Web Services EMEA SARL (Luxemburg - EU)
eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Amazon Web Services Inc., USA) ist bei
Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
AWS Webhosting
Paypal:
Es wird der Zahlungsdienst „Paypal“ des Anbieters PayPal (Europe) S.Ã r.l. et Cie, S.C.A.
(Luxembourg - EU) eingesetzt. Bevor die Betroffenen diesen Zahlungsdienst nutzen, müssen sie bei
dieser Drittanbieterin ein eigenes Konto erstellen. Dafür teilen sie der Drittanbieterin die hierfür
erforderlichen Daten mit. Sofern sie anschließend auf Dienstleister, wie die hier Verantwortliche
treffen, die eine Zahlung über diesen Zahlungsdienst akzeptieren, autorisieren sie diese
Drittanbieterin, Geld an die hiesigen Verantwortliche zu überweisen. Hierbei erlangt die Drittanbieterin
freilich Informationen über das Kaufverhalten der Betroffenen. Die Drittanbieterin agiert hier also nicht
als eine weisungsabhängige Auftragsverarbeiterin der hiesigen Verantwortlichen, sondern als
Zahlungsdienstleisterin der Betroffenen. Hierbei werden insbesondere die folgenden Daten durch die
Verantwortlichen verarbeitet: Information, (1) dass die Betroffenen diesen Dienst nutzen sowie, (2)
dass, in welcher Höhe und zu welchem Zeitpunkt die Betroffenen zahlen, (3) personenbezogene
Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen und (4)
personenbezogene Daten, die die Verantwortlichen zur Klärung von Konflikten und zur Prüfung und
Prävention von Betrug benötigt. Die Informationen zu 2., zu 3. und zu 4. erhält die Verantwortliche von der Drittanbieterin.
riverty:
Es wird der Zahlungsdienst „riverty“ des Anbieters Riverty GmbH (Deutschland - EU) eingesetzt.
New Relic:
Es wird das Website-Monitoring-Tool „New Relic“ der New Relic, Inc. (USA) eingesetzt, die gemäß
Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
recruitee:
Es wird das Recruiting-Tool „recruitee“ der Recruitee GmbH (Deutschland - EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
Google (Suite):
Es werden diverse Applikationen der Google Ireland Ltd. (Irland - EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland(hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Google Analytics
Hierzu sei folgendes ergänzt: Google Analytics hilft bei der Analyse des Nutzungsverhaltens auf der
Internetseite. Die IP-Adresse wird durch die Drittanbieterin innerhalb von Mitgliedstaaten der
Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen
Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server der
Drittanbieterin in den USA übertragen und dort gekürzt. Die im Rahmen des Einsatzes dieses Tools
vom Browser übermittelte IP-Adresse wird nicht mit anderen Daten durch die Drittanbieterin
zusammengeführt. Das Tool wird zudem für eine geräteübergreifende Analyse von
Besucher*innenströmen eingesetzt, die über eine User-ID durchgeführt wird.
Google Tagmanager
Hierzu sei folgendes ergänzt: Durch dieses Tool kann die Verantwortliche verschiedene Codes und
Dienste geordnet und vereinfacht auf dieser Internetseite einbinden. Dieses Tool implementiert dabei
die tags bzw. löst die damit eingebundenen tags aus. Beim Auslösen eines tags verarbeitet die
Dritanbieterin unter Umständen auch personenbezogene Daten.
Google Doubleclick
Hierzu sei folgendes angemerkt: DoubleClick setzt Cookies ein, um für die Betroffenen relevante
Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden,
dass die Betroffenen die gleichen Anzeigen mehrmals sehen. Über eine Cookie-ID erfasst die
Drittanbieterin, welche Anzeigen in welchem Browser geschaltet werden und kann so verhindern,
dass diese mehrfach geschaltet werden. Darüber hinaus kann DoubleClick mithilfe von Cookie-IDs
sog. Conversions erfassen, die Bezug zu Anzeigenanfragen haben. Das ist etwa der Fall, wenn die
Betroffenen eine DoubleClick-Anzeige sehen und später mit demselben Browser die Internetseite der
hiesigen Verantwortlichen aufrufen und dort etwas kaufen. Aufgrund der eingesetzten Marketing-Tools
baut der Browser automatisch und direkt eine Verbindung mit dem Server der Drittanbieterin auf.
Durch die Einbindung von DoubleClick erhält die Drittanbieterin die Information, dass die Betroffenen
den entsprechenden Teil des hiesigen Internetauftritts aufgerufen oder die Anzeige der
Verantwortlichen angeklickt haben. Sofern die Betroffenen bei einem Dienst der Drittanbieterin
registriert sind, kann sie den Besuch dem jeweiligen Account der Betroffenen zuordnen. Selbst wenn
die Betroffenen nicht bei der Drittanbieterin registriert sind bzw. sich nicht eingeloggt haben, besteht
die Möglichkeit, dass die Drittanbieterin deren IP-Adresse in Erfahrung bringt und speichert.
Google Ads / Google Remarketing
Hierzu sei folgendes angemerkt: Wenn die Betroffenen mit der Verantwortlichen online in Interaktion
treten, etwa diese Internetseite besuchen, können sie per Cookies (sog. Ad Server Cookies) als
geeignete Empfänger von Werbeanzeigen, sog. „Ads“ gekennzeichnet werden. Außerdem kann
mithilfe dieser Cookies der Erfolg einer Kampagne gemessen und bewertet werden. Wenn die
Betroffenen dann das soziale Medium der hiesigen Drittanbieterin, etwa ihre Suchmaschine,
aufsuchen, werden sie erkannt und ihnen werden die „Ads“ der hiesigen Verantwortlichen angezeigt
(„Remarketing“). Dies geschieht, in dem der jeweilige Browser der Betroffenen automatisch eine
direkte Verbindung mit dem Server der hiesigen Drittanbieterin aufbaut. Die Auslieferung der „Ads“
erfolgt dann über sog. Google Ad Server. Die hierfür eingesetzten Ad Server Cookies verlieren in der
Regel nach 30 Tagen ihre Gültigkeit und sollen nicht dazu dienen, die Betroffenen persönlich zu
identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID,
Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für
Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr
angesprochen werden möchte) gespeichert. Die Betroffenen können das Tracking erschweren und
verhindern, etwa (a) durch entsprechende Einstellungen ihrer Browser-Software (insbesondere führt
die Unterdrückung von Drittcookies dazu, dass sie keine Anzeigen von Drittanbieterinnen erhalten)
oder (b) durch Deaktivierung der Cookies für das Conversion-Tracking, indem sie ihren Browser so
einstellen, dass Cookies von der Domain der hiesigen Drittanbieterin blockiert werden, wobei diese
Einstellung gelöscht werden, wenn die Betroffenen die Cookies löschen. Der Zweck besteht darin, die
Verantwortlichen zu präsentieren, das Nutzungsverhaltens in Bezug auf die Interaktion mit dieser
Internetseite zu analysieren sowie über das hier vorgestellte soziale Medium (ggf. werblich) mit den
Betroffenen zu kommunizieren.
Google reCaptcha
Google Maps
Hierzu sei folgendes angemerkt: Google Maps ist ein Kartendarstellungstool. Welche konkreten
Daten im Einzelnen Ã?bertragen werden, hÃ?ngt u.a. davon ab, ob die Betroffenen diese Internetseite
als eingeloggte Nutzer eines Google-Accounts nutzen oder nicht.
Google Kundenrezensionen
YouTube (Grundsatz)
Hierzu sei folgendes angemerkt: YouTube ist ein Portal, auf dem Videos gezeigt werden.
YouTube (eigener Kanal)
Hierzu sei folgendes angemerkt: Die Verantwortliche betreibt einen eigenen YouTube-Kanal.
YouTube (Plugin)
Hierzu sei folgendes angemerkt: Die Verantwortliche hat auf der Internetseite ein YouTube-Plugin
eingebunden, das bei Klick zu YouTube und ihrem Kanal führt und im Übrigen dabei die Daten der Betroffenen verarbeitet.
Hotjar:
Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das Analyse-Tool „Hotjar“ der Hotjar
Ltd. (Malta - EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Neben dem jederzeit
möglichen Widerruf ihrer Einwilligung können die Betroffenen die Erfassung der Daten durch Hotjar
verhindern, indem sie auf den folgenden Link klicken und die dortigen Instruktionen befolgen:
https://www.hotjar.com/opt-out.
Meta (soziales Netzwerk):
Es wird die sozialen Netzwerke und Medien der Meta Platforms Ireland Limited (Irland - EU)
eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung
der Muttergesellschaft, der Meta Platforms Inc. (USA), stattfindet. Soweit die Verantwortliche und die
vorgenannte Anbieterin gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen:
https://www.facebook.com/legal/terms/page_controller_addendum.
Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die
vorgenannte Anbieterin nach Artikel 28 DSGVO beauftragt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Platforms Inc. USA) ist bei
Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende soziale Netzwerke, Medien und/oder Tools werden eingesetzt:
Facebook (Unternehmensseite)
Facebook (Plugin)
Facebook (Pixel)
Facebook (Ads)
Instagram (Unternehmensseite)
Xing (soziales Netzwerk):
Es wird das soziale Netzwerk „Xing“ der New Work SE (Deutschland - EU) eingesetzt. Folgende Tools werden eingesetzt:
Xing (Unternehmensseite)
TikTok (soziales Netzwerk):
Es wird das soziale Netzwerk „TikTok“, das von der TikTok Technology Limited (EU - Irland) und der
TikTok Information Technologies UK Limited (Vereinigtes Königreich von England und Nordirland)
gemeinschaftlich angeboten wird, eingesetzt. Aus der Datenschutzerklärung der Drittanbieterinnen
geht jedoch vor, dass sie Daten auch an andere Unternehmen ihrer „Unternehmensgruppe“
weitergeben, ohne jedoch zu spezifizieren, welche Unternehmen dazugehörigen. Trotz öffentlich
gegenteiliger Aussagen ist daher nicht auszuschließen, dass die Daten zu Unternehmen in den USA
und/oder die Volksrepublik China, dort insbesondere an die Muttergesellschaft Beijing Bytedance
Technology Ltd. (Volksrepublik China) übermittelt und dort auch verarbeitet werden. Soweit der
Verantwortliche und die Drittanbieterinnen des hier vorgestellten sozialen Netzwerks bzw. Mediums
gemeinsam verantwortlich sind, haben sie eine gemeinsame Verantwortlichkeit nach Artikel 26
DSGVO vereinbart. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums
nach Artikel 28 DSGVO beauftragt.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 49 Absatz 1 lit. a DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
TikTok (Unternehmensseite)
Bloomreach (ehemals: Exponea):
Es wird das Automatisierungs-Tool „Exponea“ der BLOOMREACH B.V. (EU - Niederlande), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt.
Criteo:
Es wird die Advertising-Plattform „Criteo“ der Criteo S.A. (EU - Frankreich) eingesetzt. Auf den
Internetseiten des Verantwortlichen wird dabei ein JavaScript eingebaut, das einen Aufruf via HTTP
oder HTTPS-Protokoll auf die Criteo-Domains startet. Dieser Aufruf wird mit einer anonymisierten
User-ID und dem Kontext des Aufrufes verarbeitet. Durch das Setzen von Cookies auf den
Criteo-Domains wird die Nutzung über Kunden- und Publisher-Seiten hinweg anonymisiert getrackt
und für personalisierte Werbung verwendet. Die personenbezogenen Daten werden verarbeitet für personalisierte Onlinewerbung.
Zenloop:
Es wird das Tool „Zenloop“ der zenloop GmbH (Deutschland - EU) eingesetzt. Näheres zur Art und
Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben:
https://www.zenloop.com/de/plattform/.
Microsoft (Suite):
Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel
28 DSGVO beauftragt wurde.
Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Folgende Tools werden eingesetzt:
Microsoft Ads
V Glossar
Thema: Grundbegriffe
Personenbezogene Daten: Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.
Verarbeitung personenbezogener Daten: Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.
Einwilligung: Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.
Thema: Soziale Medien
Unternehmens- und/oder Produktseite: Diese Formulierung bedeutet, dass der Verantwortliche eine Unternehmens- bzw. Produktseite bei einem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.
Plugin: Diese Formulierung bedeutet, dass der Verantwortliche auf der Internetseite ein Plugin eines Anbieters eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil des Verantwortlichen. Der Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an den hier vorgestellten Anbieter des Plug-ins weitergegeben werden. Der Anbieter ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Der Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit dem Anbieter des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält der Anbieter die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die oben näher bezeichneten Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an den hier vorgestellten Anbieter übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei dem hier vorgestellten Anbieter besitzen und dort eingeloggt sind. Wenn sie bei dem Anbieter eingeloggt sind, werden ihre durch den hiesigen Verantwortlichen erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei dem hier vorgestellten Anbieter unterhalten. Es ist ratsam, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da die Betroffenen so eine Zuordnung zu Ihrem Profil bei dem Anbieter vermeiden können.
Ads: Diese Formulierung bedeutet, dass der Verantwortliche sog. „Ads“ in einem sozialen Medium einsetzt. Mithilfe der Werbemittel dieses Tools kann der hiesige Verantwortliche im Rahmen dies ggf. vorgestellten sozialen Netzwerks bzw. Mediums auf seine Angebote aufmerksam machen. Er kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Er verfolgt damit das Interesse, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbe-Kosten durchzuführen. Diese Werbemittel werden durch den hier vorgestellten Anbieter ausgeliefert. Sofern die Betroffenen über eine Anzeige, die dieser Anbieter ihnen präsentiert, auf diese Internetseite gelangen, wird durch das Tool ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen nicht dazu dienen, die Betroffenen persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert. Aufgrund des eingesetzten Tools baut der Browser der Betroffenen automatisch eine direkte Verbindung mit dem Server des hier vorgestellten Anbieters auf. Der Verantwortliche hat keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools erhoben werden. Er teilt aber seinen Kenntnisstand mit: Durch die Einbindung der Werbemittel dieses Tools erhält der hier vorgestellte Anbieter die Information, dass die Betroffenen den entsprechenden Teil dieses Internetauftritts aufgerufen oder eine Anzeige des Verantwortlichen angeklickt haben. Sofern die Betroffenen bei einem Dienst dieses Anbieters registriert sind, kann er den Besuch Ihrem Account zuordnen. Aber selbst wenn die Betroffenen nicht bei dem hier vorgestellten Anbieter registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter ihre IP-Adresse in Erfahrung bringt und speichert. Die Betroffenen können die Teilnahme an diesem Tracking-Verfahren auf verschiedene Weise verhindern: Entweder durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass die Betroffenen keine Anzeigen von Drittanbietern erhalten. Oder durch Deaktivierung der Cookies.
Pixel: Diese Formulierung bedeutet, dass der Verantwortliche sog. Pixel einsetzt. Das ist ein Analysetool, mit dem der Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Webseite zu verstehen und nachzuvollziehen. Der Verantwortliche hat den Pixel auf dieser Internetseite implementiert, indem er den Pixel-Code im Header der Internetseite platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt der Verantwortliche, wenn ein Betroffener eine Handlung vornimmt und kann dies auswerten. Es gibt zudem die Möglichkeit des erweiterten Abgleichs, die der Verantwortliche ebenfalls nutzt und deren Einsatz ebenfalls von der Einwilligung umfasst ist. Der Pixel ermöglicht es auch, Betroffenendaten (bspw. Vorname, Nachname, E-Mail-Adresse, usw.) an die Anbieterinnen zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Betroffenen, die dieses soziale Medium nicht nutzen, zu erheben oder Nutzer zu erfassen, die während des Besuchs dieser Internetseite nicht bei diesem sozialen Medium eingeloggt sind. Dadurch werden die Betroffenen über dieses soziale Medium verfolgt.
Upload in die Custom Audience: Diese Formulierung bedeutet, dass der Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) beim Drittanbieter, der das ggf. vorgestellte, soziale Medium anbietet, hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann der hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs des vom Anbieter bereitgehaltenen sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Er lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei dem hier vorgestellten Anbieter hoch. Der Anbieter prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihm registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die der Verantwortliche bei diesem Anbieter führt) eingetragen. Bejahendenfalls werden die in die Custom Audience des Verantwortlichen eingetragen. Sofern die Betroffenen dann das von diesem Anbieter bereitgehaltene soziale Netzwerk besuchen, hat der hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.
Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass der Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium hochlädt und sie dort veröffentlicht.
Thema: Videoeinbettungen
Plugin: Diese Bezeichnung bedeutet, dass auf dieser Internetseite Plugins des Videoportals eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem Server des Drittanbieters hergestellt. Der Drittanbieter speichert die Daten der Betroffenen als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Website. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über die Aktivitäten der Betroffenen auf der Website des Verantwortlichen zu informieren. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dessen an den Anbieter richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die Anbieterin erhalten die Betroffenen in der Datenschutzerklärung.
Eigener Kanal: Diese Bezeichnung bedeutet, dass der Verantwortliche im Videoportal einen eigenen Kanal anbietet.
Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass der Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.
Stand: Mai 2025