Datenschutzinformationsblatt
Facility Management: Startseite
Schutz Ihrer Privatsphäre: Die Bedeutung unseres Datenschutz-Informationsblattes
Unser Datenschutzinformationsblatt ist ein Dokument, das Informationen über die Verwendung und den Schutz personenbezogener Daten bereitstellt. Es informiert darüber, wie personenbezogene Daten von FM-Connect.com gesammelt, verarbeitet und gespeichert werden und welche Rechte betroffene Personen haben. Dieses Informationsblatt ist ein wichtiges Instrument für den Schutz Ihrer Privatsphäre und die Einhaltung der Datenschutzbestimmungen. Es ermöglicht Ihnen, informierte Entscheidungen über die Weitergabe ihrer personenbezogenen Daten zu treffen und gibt ihnen die Gewissheit, dass ihre Daten sicher und verantwortungsbewusst behandelt werden.
FM-Connect.com Network GmbH - Datenschutzinformationsblatt
INFORMATIONEN ZUR DATENVERARBEITUNG UND ZU DEN RECHTEN DER BETROFFENEN PERSONEN
Liebe Kund*innen, Interessent*innen und Geschäftspartner*innen,
wir nehmen den Datenschutz in unserem Unternehmen sehr ernst und Ihre diesbezüglichen Rechte liegen uns sehr am Herzen. Sie erhalten hier alle mitteilungspflichtigen und wissenswerten Informationen zum Datenschutz bei uns.
WER IST BEI UNS FÜR DEN DATENSCHUTZ VERANTWORTLICH UND AN WEN KÖNNEN SIE SICH BEI FRAGEN WENDEN:
Verantwortliche Stellen im Sinne der DS-GVO als Verantwortungsgemeinschaft sind:
FM-Connect.com Network GmbH
Geschäftsführer: Kay Meyer
Am Altenfeldsdeich 16
25371 Seestermühe
Telefon: 04125 / 398 99 23
Kay.Meyer@fm-connect.com
Website: fm-connect.com
Unser Datenschutzbeauftragter:
Tobias Lange
Externer Datenschutzbeauftragter
Berner Heerweg 246, 22159 Hamburg
Telefon: 040/ 5700 3925
E-Mail: info@tl-datenschutz.de
Die als verantwortliche Stellen aufgeführten Unternehmen bilden im Datenschutz eine Verantwortungsgemeinschaft zur vereinfachten organisatorischen Umsetzung für betroffene Personen. Das Wenden an eine verantwortliche Stelle stellt für betroffene Personen rechtlich gleichzeitig das Wenden an alle Stellen und die richtige Stelle dar.
VERANTWORTUNGSGEMEINSCHAFT
Die vorgenannten verantwortlichen Stellen agieren im Datenschutz als Verantwortungsgemeinschaft. Wenn Sie mit einer dieser Stellen einen Vertrag über eine Dienstleistung eingehen, so werden Ihre Daten grundsätzlich nur von dieser Stelle gespeichert und verarbeitet. Eine Übertragung, Speicherung und Verarbeitung von Daten an/bei einer anderen genannten verantwortlichen Stelle erfolgt nur mit einer rechtlichen Erlaubnis oder aufgrund Ihrer ausdrücklichen Einwilligung. Gleiches gilt für Ihre Anfrage als Interessent*in an unseren Dienstleistungen. Sofern eine Übertragung unter den verantwortlichen Stellen der Fall ist, werden Ihre Daten nur auf Grundlage gegenseitiger Vereinbarungen zwischen den verantwortlichen Stellen und unter Wahrung des Datenschutzrechts übertragen.
Alle verantwortlichen Stellen unterliegen dem Datenschutz nach DS-GVO und setzen diese Bestimmungen durch einheitliche betriebliche Datenschutzrichtlinien um.
ZWECK, RECHTSGRUNDLAGEN UND DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN:
Wir erheben und verarbeiten Ihre Daten auf Grundlage des mit uns geschlossenen Kauf- oder Dienstleistungsvertrags oder Ihrer hierfür gerichteten Anfrage an uns. Wir verarbeiten Ihre Daten zu keinem anderen Zweck. Insbesondere übertragen wir Ihre Daten keinen unbefugten dritten Personen.
Rechtsgrundlage für die Verarbeitung der Daten aus dem mit Ihnen geschlossenen Vertrag ist Art. 6 Abs. 1 lit. b.) DS-GVO. Hiernach ist es uns erlaubt alle unmittelbar für die Durchführung der vereinbarten Leistungen notwendigen personenbezogenen Daten von Ihnen zu erheben und zu verarbeiten.
Wir erstellen aus den von Ihnen rechtskonform erhaltenen Daten keine Profile im Sinne von Art. 4 Abs. 4 DS-GVO.
Wir erheben im Einzelfall personenbezogene Daten über die vorab genannten Daten hinaus, wenn dieses für die Durchführung der Leistungen erforderlich ist oder gesonderte Umstände es erforderlich machen. Eine derartige Sammlung und Verarbeitung personenbezogener Daten erfolgt entweder auf Grundlage einer freiwilligen ausdrücklichen Einwilligung durch Sie, im Sinne des Art. 6 Abs. 1. lit. a.) DS-GVO, aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f.) DS-GVO oder auf der Grundlage von Art. 6 Abs. 1 lit. c.), wenn ein öffentliches Interesse zu wahren ist.
Dieses heißt im Detail, wobei die nachstehende Aufstellung nur als Aufstellung aller möglichen, aber keinesfalls tatsächlich erhobenen Daten jedes Einzelfalls zu sehen ist:
WIR ERHEBEN IM ZUSAMMENHANG MIT IHNEN:
Namens, Adress- und Kontaktdaten
Erbrachte Leistungen
Rechnungsdaten
Notwendige Informationen zur
Gewünschten Leistungserbringung
Sollte in Einzelfällen eine Sammlung und Verarbeitung Ihrer personenbezogenen Daten auf Grundlage eines berechtigten Interesses durch uns erfolgen, tätigen wir dieses nur nach einer Abwägung Ihrer berechtigten Schutzinteressen, die unsere Interessen nicht übersteigen dürfen, und unter Konsultation unseres Datenschutzbeauftragten. In diesem Fall wird Ihnen die Interessenabwägung in angemessenem Umfang dargelegt.
Wir verarbeiten von Ihnen grundsätzlich keine besonders schutzwürdigen Daten im Sinne der Art. 9 und 10 DS-GVO oder die aus einem sonstigen Grund einen besonderen Schutzbedarf haben. Sollte in unvorhergesehenen Ausnahmefällen dieses dennoch nötig werden, verarbeiten wir solche Daten nur auf der Grundlage von besonderen technischen und organisatorischen Maßnahmen, die die rechtmäßige Speicherung und Verarbeitung und ggf. auch Weiterübertragung dieser Daten sicherstellen.
Sofern Sie mit uns in Kontakt getreten sind, um zukünftig unsere Leistungen in Anspruch zu nehmen oder Geschäftspartner*in zu werden, speichern und verarbeiten wir Ihre Kontaktdaten (Namen, Adressen, Telefonnummern, E-Mail), um Ihre Anfrage bei uns bearbeiten zu können und um mit Ihnen zu kommunizieren. Darüber hinaus speichern und erheben wir ggf. weitere Daten, die Sie uns mit der Anfrage freiwillig übermittelt haben (z. B. Daten über Ihr Anliegen und angefragte Leistungen), um Ihnen ein Angebot machen zu können. Wir speichern und verarbeiten diese Daten nur zu diesem Zweck und nur so lange, wie der Zweck fortbesteht. Gehen die Verhandlungen nicht in einen Vertrag über, werden Ihre Daten gelöscht, nachdem der Abschluss eines Vertrags nicht mehr zu erwarten ist und weitere Pflichten zur Aufbewahrung nicht bestehen.
Wir bewahren personenbezogene Daten nur so lange auf, wie der Zweck der Verarbeitung vorliegt. Hiernach werden Ihre Daten unwiederbringlich gelöscht. Sofern gesetzliche Bestimmungen uns zu einer Aufbewahrung Ihrer Daten darüber hinaus verpflichten, werden Ihre Daten archiviert. Derartige Daten sind in der Verarbeitung eingeschränkt und bestehen nur zum Zwecke des Einhaltens der Aufbewahrungsfristen fort. Sie werden nur verarbeitet, soweit es aufgrund gesetzlicher Bestimmungen zu einer diesbezüglichen Anfrage, zum Beispiel bei einer Prüfung des Sozialamts, kommt.
Bei der Sammlung und Verarbeitung Ihrer personenbezogenen Daten verfahren wir streng nach dem Prinzip der Datensparsamkeit und der minimalen Verwendung. Dieses Prinzip ist auch Grundlage der Verarbeitung Ihrer personenbezogenen Daten durch unsere Mitarbeiter*innen. Mitarbeiter*innen erhalten nur auf Grundlage des Minimalprinzips die für die Erbringung der jeweiligen Leistung notwendigen personenbezogenen Daten übermittelt.
Auf dem Prinzip der Datensparsamkeit übermitteln wir auch nur personenbezogene Daten an Dritte, wenn wir hierfür berechtigt oder verpflichtet sind. Es folgt eine Aufstellung möglicher berechtigter Empfänger Ihrer personenbezogenen Daten:
Von Ihnen im oder außerhalb des Vertrags mit uns schriftlich benannte Bevollmächtigte oder Kontaktpersonen
Herstellerfirmen zu Garantiezwecken
Steuerberater, Finanzämter
Anwälte oder Gerichte
Bei der vorstehenden Aufstellung handelt es sich um eine generelle Liste aller möglichen, aber nicht unbedingt tatsächlichen Empfänger Ihrer personen-bezogenen Daten. Ob eine Übertragung an einem dieser Empfänger im Einzelfall erfolgt und mit welchem Umfang an Daten basiert auf der mit Ihnen getroffenen Vereinbarungen über Kauf/Leistung und die im individuellen Fall vorliegenden Genehmigungen und gesetzlichen Bestimmungen.
Wir bewahren personenbezogene Daten, die Aufbewahrungspflichtig sind, nach den bestehenden Vorschriften aus dem Handelsgesetzbuch und der Abgabenordnung auf. Rechtsgrundlage ist Art. 6 Abs.1 lit. c.) DS-GVO. Hiernach sind bestimmte Daten bis zu 10 Jahren aufzubewahren. Im Einzelnen:
Geschäfts- und Handelsbriefe 6 Jahre
Buchungsunterlagen 6 Jahre
Jahresabschlussrelevante Unterlagen 10 Jahre
Abrechnungsunterlagen 10 Jahre
Ferner kann, auf Grundlage der §§ 195ff BGB, zu Zwecken der Erhaltung gesetzlicher Beweismittel, im Rahmen gesetzlicher Verjährungsfristen in Rechtsstreitigkeiten, eine Aufbewahrungsfrist von bis zu 30 Jahren möglich sein. Wenn wir auf dieser Grundlage personenbezogene Daten über den eigentlichen Zeitraum der verpflichtenden Aufbewahrung aufbewahren, erfolgt dieses auf Grundlage des Art. 6 Abs. 1 lit f.) DS-GVO.
Personenbezogene Daten, für die keine Aufbewahrungspflichten, kein Zweck der Verarbeitung und kein berechtigtes oder öffentliches Interesse mehr bestehen, werden unwiderruflich gelöscht. Sofern Sie zu einzelnen personenbezogenen Daten rechtswirksam ein Ihnen zustehendes Recht gegenüber uns ausüben, zum Beispiel eine Einwilligung widerrufen oder die Löschung bestimmter Daten verlangen, erfolgt diese Löschung unmittelbar und unwiderruflich mit Ausübung Ihres Rechts.
Zu Zwecken der Werbung und Außendarstellung betreiben wir Webseiten im Internet:
Für die vorgenannten Webseite gelten zusätzlich und vorrangig die Datenschutzbestimmungen, die auf der Seite ausgeführt sind. Wir erheben und verarbeiten grundsätzlich keine personenbezogenen Daten auf unserer Webeseite noch nutzen wir Tracking oder dergleichen Techniken, um Nutzer*innen der Webseite in ihrem Verhalten zu analysieren oder zu verfolgen.
Wir arbeiten in unserer Unternehmensgruppe mit der Anwendung MS365 und Microsoft Teams von Microsoft Inc., USA. Der Anbieter hat in seinen AGBs und den mit uns geschlossenen Verträgen EU-Standarddatenklauseln verfasst, die einen nach Art. 28 DS-GVO rechtsverbindlichen Auftrags-verarbeitungsvertrag darstellen. Wir haben in der Unternehmensgruppe, unter Einbezug unseres Datenschutzbeauftragten, eine Erforderlichkeits-prüfung hierfür vollzogen und die Schutzrechte möglicher betroffener Personen mit den Risiken und unseren berechtigten Interessen abgewogen. Sofern Sie als Kund*in, Geschäftspartner*in oder Interessent*in über ein von uns aufgesetztes MS-Teams Meeting mit und kommunizieren, werden Telemetriedaten von Ihnen erfasst. Dieses sind Daten über ihren Nutzernamen und IP-Adressen des genutzten Gerätes. Ferner Zeiten und Daten von Meetings, Betreffzeilen, Meetings-Bezeichnungen und deren Teilnehmer. Wir übertragen solche Daten nicht an Dritte. Microsoft hat sich verpflichtet ebenso keine Übertragung dieser Daten an Dritte vorzunehmen. Uns ist bekannt, dass Microsoft ggf. unter US-Recht gezwungen ist in seltenen Fällen solche Daten an US-Behörden zu übertragen. Rechtsgrundlage wäre in diesem Fall Art. 49 Abs. 1 Satz 2 ff. DS-GVO. Ggf. ist es Microsoft dabei nicht erlaubt betroffene Personen hierüber zu informieren. Alle Daten der Anwendung MS365 und MS Teams werden auf Servern in der EU gespeichert und verarbeitet. Alle inhaltlichen Daten einschließlich der (Video)Konferenzen sind verschlüsselt und keinen dritten Personen, auch nicht Microsoft, zugänglich.
Zu Kontaktzwecken speichern und verarbeiten wir unter Umständen Ihre privaten/geschäftlichen E-Mailadressen. Dieses erfolgt nur nach einer ausdrücklichen freiwilligen Einwilligung durch Sie. Dabei sehen wir diese Einwilligung auch dann, im Sinne eines schlüssigen Verhaltens, als erteilt an, wenn uns von Ihnen E-Mailadressen zur Kontaktaufnahme oder zu bestimmten Zwecken übermittelt werden und der Wunsch der Kommunikation per E-Mail deutlich erkennbar ist. Wir speichern und nutzen Ihre privaten/geschäftlichen E-Mailadressen nur für den Zweck, für den uns diese übermittelt wurden. E-Mailadressen veröffentlichen wir grundsätzlich nicht. Sofern in bestimmten Fällen eine Veröffentlichung erfolgt, geschieht diesen nur nach einer freiwilligen informierten Einwilligung durch Sie. In Hinblick auf mögliche Risiken im E-Mailverkehr oder der Veröffentlichung von E-Mails bitten wir um Kenntnisnahme der Anlage A2 „Risiken im E-Mailverkehr“ zu diesem Informationsblatt.
Wir verarbeiten ggf. E-Mailadressen in Massenemails oder dem Versand an mehrere Personen grundsätzlich nicht in der Form, dass E-Mailadressen eines Empfängers anderen Empfängern offengelegt werden. Hiervon machen wir Ausnahmen, wenn einer Gruppe von Empfängern die E-Mailadressen aller anderen Empfänger bereits bekannt sind oder davon auszugehen ist, dass für den Zweck dieser Kommunikation eine Offenlegung der E-Mailadressen innerhalb einer Gruppe eindeutig von allen beteiligten Empfängern gewollt ist. Im letzteren Sinne also auf der Rechtsgrundlage, dass durch den schlüssigen Ausdruck der Empfänger eine Einwilligung deutlich herzuleiten ist.
Der Empfang wie Versand von E-Mails erfolgt bei uns durch eine per SSL verschlüsselte Verbindung. Wir nutzen keine Techniken, welche eine Weiterverfolgung verschickter E-Mails durch Trackingmethoden ermöglichen. Wir versenden auch keine E-Mails, die Daten aus dritten unsicheren Quellen laden.
In besonderen Fällen veröffentlichen wir von Kund*innen Namen, Bildaufnahmen (Fotos und Videos) oder weitere Informationen in der Presse (online wie offline), auf unseren Webseiten, auf Socialmedia Portalen oder an sonstigen Orten im Internet. Wir tun dieses nur nach Ihrer ausdrücklichen, informierten und freiwilligen Einwilligung. Bei jeder unter der erteilten Veröffentlichung werden Sie separat über Art und Umfang der Veröffentlichung in Kenntnis gesetzt. Zu einer informierten und freiwilligen Einwilligung gehört eine angemessene Belehrung über mögliche Risiken einer solchen Veröffentlichung. Bitte nehmen Sie hierfür die Anlage 1 zu diesem Informationsblatt zur Kenntnis.
DIE IHNEN ZUSTEHENDEN RECHTE:
Sie haben nach Art. 15 DS-GVO in Verbindung mit § 35 BDSG das Recht von uns eine Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten und der in Art. 15 DS-GVO näher bestimmten Informationen zu erhalten. Sie können dieses Recht durch formlose schriftliche oder (fern)mündliche Aufforderung an uns ausüben. Die Auskunft kann dahingehend beschränkt werden, dass Daten, welche die freiheitlichen Grundrechte dritter Personen betreffen, nicht übermittelt werden. Die Beantwortung der Auskunft erfolgt ggf. in elektronischer Form.
Ihr Auskunftsrecht erstreckt sich, im Falle der Sammlung und Verarbeitung von personenbezogenen Daten auf Grundlage eines berechtigten oder öffentlichen Interesses, auch darauf, die Abwägung zwischen unseren Interessen und Ihren Schutzrechten in ausführlicher Darlegung zu verlangen, unabhängig davon, ob diese Ausführungen Ihnen bereits vorherig schon übermittelt wurden.
Nach Art. 16 DS-GVO haben Sie das Recht unrichtige personenbezogene Daten zu Ihrer Person korrigieren zu lassen und unvollständige personenbezogene Daten vervollständigen zu lassen.
Nach Art. 17 DS-GVO in Verbindung mit § 35 BDSG haben Sie das Recht auf Löschung Ihrer Daten. Dieses Recht besteht jedoch nur beschränkt und vorrangig für an uns freiwillig übermittelte Daten. Sie können eine Löschung von personenbezogenen Daten, die auf Grundlage einer gesetzlichen Verpflichtung oder zur Durchführung der mit Ihnen geschlossenen Verträge gesammelt und verarbeitet wurden nicht verlangen. Die weiteren Voraussetzungen zur Ausübung und Einschränkungen dieses Rechts finden Sie im Art. 17 DS-GVO.
Sofern wir von Ihnen personenbezogene Daten auf Grundlage Ihrer freiwilligen Einwilligung speichern und verarbeiten, können Sie diese Einwilligung jederzeit widerrufen. Der Widerruf kann auch teilweise oder für bestimmte Verarbeitungszwecke begrenzt erfolgen. Der Widerruf einer Einwilligung stellt keine Ausübung des Rechts auf Löschung nach Art. 17 DSG-VO dar. Sofern Sie mit dem Widerspruch auch die Löschung von Daten verlangen wollen, müssen Sie diese separat erklären. Eine solche Erklärung kann zusammen mit der Ausübung des Widerspruchs erfolgen.
Nach Art. 18 DS-GVO haben Sie das Recht die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der hierfür im Art. 18 DS-GVO bestimmten Voraussetzungen vorliegt. Eine Speicherung Ihrer personenbezogenen Daten ist uns sodann weiterhin erlaubt, obliegt aber engen Beschränkungen in der Verarbeitung, die sich aus der Art der Sachumstände ergeben.
Nach Art. 20 DS-GVO können Sie die Übertragung Ihrer Daten an eine dritte verantwortliche Stelle verlangen. Hierzu können wir Ihnen Ihre Daten in einer gängigen strukturierten digitalen Form zur Verfügung stellen oder, gemäß Ihrem Auftrag, direkt an eine dritte Partei übermitteln. Eine andere Form der Übertragung, sofern es uns technisch möglich ist, wäre im individuellen Fall zu besprechen. Art. 20 DS-GVO enthält weitere Regelungen zu Art und Umfang Ihrer diesbezüglichen Rechte und unserer Pflichten.
Nach Art. 21 DS-GVO haben Sie das Recht Widerspruch ausüben, wenn wir Ihre personenbezogenen Daten nach Art. 6 Abs. 1. lit e.) oder f.), sprich auf Grundlage eines berechtigten eigenen oder öffentlichen Interesses, verarbeiten. Sofern wir keine zwingenden Gründe, welche Ihre schutzbedürftigen Rechte überwiegen, zum Beispiel die Ausübung oder Abwehr von Rechtsansprüchen, hiergegen anführen können, werden wir die Erhebung und Verarbeitung dieser personenbezogenen Daten umgehend einstellen. Sofern Sie weitere Rechte ausüben, zum Beispiel das Recht auf Löschung, werden wir diese Löschung umgehend vornehmen.
Soweit nicht nach Art. 12 Abs. 5 Satz 2 DS-GVO bestehende Umstände vorliegen, ist die Ausübung Ihrer Rechte für Sie kostenlos. Umstände im Sinne dieses Artikels wären offenkundig unbegründete oder, insbesondere im Fall von häufiger Wiederholung, exzessive Anträge einer betroffenen Person. In diesem Fall kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung, die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.
Als betroffene Person haben Sie ferner, nach Art 77 DS-GVO i.V.m. § 19 BDSG, unbeschadet weiterer und anderer, auch gerichtlicher Rechtsmittel, das Recht auf Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde, wenn Sie einen Verstoß gegen den Datenschutz bei uns vermuten. Zuständige Aufsichtsbehörde ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Tel.: 0431 / 988 1200
Fax: 0431 / 988 1223
E-Mail: mail@datenschutzzentrum.de
Website: datenschutzzentrum.de
Sofern Sie einen Datenschutzverstoß, der mit uns in einem Zusammenhang steht, feststellen, ohne dass Sie selbst persönlich Betroffener hierbei sind, können Sie diesen Verstoß zur Bearbeitung von Amts wegen an die zuständige Aufsichtsbehörde melden.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZU IHREM SCHUTZ
In allen unseren Prozessen liegt uns die Sicherheit, die Verfügbarkeit und die Richtigkeit Ihrer personenbezogenen Daten am Herzen. Wir haben daher umfangreiche Maßnahmen getroffen, um dieses für Sie sicherzustellen. Gleichermaßen ist es unser Ziel, nicht mehr benötigte und nicht mehr aufbewahrungspflichtige personenbezogene Daten final zu löschen.
Zu jedem Prozess von Verarbeitungstätigkeiten personenbezogener Daten führen wir eine Risikoanalyse durch, in welcher wir die Schutzwürdigkeit unter Aspekten von Verlust, Verfälschung, unberechtigter Einsicht durch Dritte oder Veröffentlichung beurteilen. Für Ihre Gesundheitsdaten, die wir im Rahmen der Durchführung des mit Ihnen geschlossenen Vertrags sammeln und verarbeiten, gilt grundsätzlich ein hohes Schutzniveau.
Wir praktizieren in unserem Unternehmen manuelle und automatisierte Verfahren, welche eine Löschung Ihrer nicht mehr benötigten und nicht mehr aufbewahrungspflichtigen Daten sicherstellen. Hiermit verwirklichen wir Ihr Recht auf „digitales Vergessenwerden“ und minimieren so Risiken, denn nicht mehr vorhandene Daten können auch nicht verloren werden. Die endgültige Löschung von digitalen Daten oder Papierdokumenten erfolgt nach den hierfür vorgeschriebenen Vorschriften durch Schreddern gemäß DIN-Norm 66399.
Wir haben unsere Räumlichkeiten durch Sicherheitsschlösser/-maßnahmen sowie Zutrittsbeschränkungen und Zutrittskontrollen in angemessenem Maße gegen Diebstahl und Einbruch gesichert.
Die von Ihnen bei uns gesammelten Daten, sofern diese in Papierform vorliegen, werden in verschlossenen und vor Feuer und Wasser geschützten Schränken sicher verwahrt. Wir sind bestrebt Papierdokumente zeitnah und vollständig zu digitalisieren, um so eine zusätzliche Sicherung gegen Verlust vorzuhalten. Sofern Papierunterlagen nach einer Digitalisierung nicht mehr erforderlich sind, vernichten wir diese durch ein zertifiziertes Aktenvernichtungsunternehmen oder durch Schreddern nach vorgeschriebener DIN-Norm 66399.
Sofern wir für die Vernichtung von personenbezogenen Daten, gleich ob digital oder in Papierform, dritte Unternehmen (Aktenvernichter) beauftragen, schließen wir mit diesen Unternehmen bei Auftragsvergabe grundsätzlich einen Auftrags-verarbeitungsvertrag (AVV) ab.
Digital gespeicherte Daten werden nach dem allgemeinen Stand der Technik nur verschlüsselt aufbewahrt. Sofern eine Verarbeitung eine Übertragung der digitalen Daten an Mitarbeiter*innen oder andere berechtigte Personen oder Institutionen erforderlich macht, erfolgt diese Übertragung verschlüsselt.
Wir protokollieren jede Veränderung an digitalen Daten unserer Kund*innen in einem Logfile. Ein solcher Logfile enthält mindestens Tag und Uhrzeit der Änderung, das Gerät, auf welchen diese Änderung vorgenommen wurde, den Benutzer, der die Änderung getätigt hat, und Informationen zu Art und Umfang der Änderung. Derartige Logfiles werden automatisiert erstellt und sind nur Mitarbeiter*innen mit besonderen Berechtigungen zugänglich.
Wir haben EDV-Geräte zur Speicherung und Verarbeitung von Daten angeschafft, die in Ihrer Funktionalität und in Ihrem Umfang den Notwendigkeiten unseres Unternehmens Rechnung tragen. Die EDV-Ausstattung stellt sicher, dass unter rein technischen Aspekten Ihre Daten angemessen sicher und jederzeit verfügbar gespeichert werden. Dieses ist auch dann sichergestellt, wenn eine maximale Belastbarkeit der EDV-Systeme praktiziert wird.
Wir schützen Ihre Daten gegen technische und vorsätzlich rechtswidrige Einwirkungen, sowie Fälle von Naturkatastrophen oder anderen Unfällen, einschließlich Feuer, durch die Anfertigung von Sicherungskopien. Hierbei erstellen wir interne sowie auch externe Sicherungskopien. Sicherungskopien werden nur in verschlüsselter Form erstellt. Sofern es sich um externe oder offline Sicherungen handelt, stellen wir sicher, dass die physischen Träger unter angemessen Schutzvorkehrungen an sicheren Orten verwahrt werden.
Sofern wir für die Herstellung von Sicherungskopien, die Wartung unserer EDV-Anlagen oder die Wahrnehmung sonstiger IT-Dienstleistungen mit Zugriff auf unsere EDV-System dritte Unternehmen beauftragen, dann erfolgt dieses nur, nachdem wir mit diesen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) geschlossen haben.
Durch die in unserem Haus intern oder auch extern zuständigen Beauftragten für die Datensicherung wird ein Verfahren, unter Würdigung verschiedenster Szenarien, regelmäßig durchgespielt, welches die Wiedereinspielung von Sicherungskopien in unsere EDV-Systeme praktisch erprobt und sicherstellt. Somit sind wir in der Lage auch bei einer Zerstörung der EDV-Systeme den Geschäftsbetrieb aufrecht zu erhalten oder in kürzester Zeit wieder zu errichten.
Ferner haben wir zusätzliche Maßnahmen zur Sicherung der automatisierten Datenverarbeitung in unserem Unternehmen umgesetzt:
Serverräume, soweit vorhanden, sind separat verschlossen.
Betriebsfremden Personen ist ein unbegleiteter Aufenthalt in Büroräumen nicht gestattet
Server und Endgeräte sind passwortgeschützt
Anmeldungen an unserem EDV-System können nur durch Benutzernamen in Kombination mit sicheren Passwörtern erfolgen
In besonders sensiblen digitalen Bereichen nutzen wir ggf. eine Zwei-Faktoren-Authentisierung oder andere zusätzliche Sicherungsmaßnahmen
Benutzerkonten sind so beschränkt, dass die jeweiligen Benutzer nur Zugang auf die für die Ausübung Ihrer Tätigkeit absolut notwendigen personenbezogenen Daten haben
Unser EDV-System ist durch Firewall und Anti-Malware-Software geschützt und nur zugelassene Prozesse können Daten aus dem geschlossenen System heraus übertragen.
Darüber hinaus haben wir weitere geeignete Maßnahmen zur Eingabe-, Übertragungs- und Transportkontrolle getroffen, sowie weitere Maßnahmen zur Zuverlässigkeit der Systeme.
Wir haben für den Fall einer Datenpanne oder eines Vorfalls mit personenbezogenen Daten ein Notfallverfahren erarbeitet, welches auch die Meldung an die zuständige Aufsichtsbehörde einschließt.
Wir haben ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen und zur Gewährleistung der Sicherheit der Verarbeitung in unserem Unternehmen eingeführt. Im Rahmen dieser Umsetzung steht die Geschäftsführung im regelmäßigen Austausch mit dem Datenschutzbeauftragten und den IT-Beauftragten/Dienstleistern. Mindestens einmal jährlich wird eine Ist-Aufnahme der Prozesse vorgenommen und mit den Soll-Vorgaben abgeglichen. Die Ergebnisse werden dokumentiert und etwaigen Abweichungen wird durch geeignete Maßnahmen abgeholfen.
Der Datenschutzbeauftragte und die an der Sicherheit der IT beteiligten Personen bilden sich fortlaufend weiter und treffen geeignete Maßnahmen, die Technik und Organisation im Unternehmen stets zeitnah an den aktuell geforderten Stand anzupassen oder der Geschäftsführung notwendige, erforderliche Maßnahmen zu empfehlen.
RISIKEN IN DER VERÖFFENTLICHUNG VON PERSONENBEZOGEN DATEN IM INTERNET
Grundsätzlich besteht bei einer Veröffentlichung von personenbezogenen Daten, insbesondere Namens-daten und Bildaufnahmen, ein Risiko erkannt und hieraufhin angesprochen zu werden. Insofern wird eine Verbindung zu unserem Unternehmen hergeleitet werden können und andere Personen könnten den Rückschluss ziehen, dass Leistungen von uns in Anspruch genommen werden. Sofern Sie mit diesen Daten auch Informationen zu Ihrer Person oder den bei uns in Anspruch genommenen Leistungen zur Veröffentlichung freigeben, können Dritte diese mit Ihnen in Verbindung bringen und auch in Bezug auf Ihre Person speichern und verarbeiten (Profiling), ohne dass dieses technisch oder organisatorisch verhindert werden kann. In der Regel ist eine solche Praktik durch Dritte rechtswidrig und Sie können gegen diese dritten Personen ggf. auf dem Rechtsweg vorgehen.
Informationen über Sie, die Dritte durch unsere Veröffentlichungen erlangen, können zu einem gezielten Kontakt zu Ihnen zu Zwecken von Werbung, Marketing, Stellenvermittlung sowie politischer/religiöser Werbung oder ideologischer Beeinflussung führen. Es kann dabei nicht ausgeschlossen werden, dass die Informationen auch zu Zwecken von Stalking, Mobbing oder von Hass und Hetze gegen Sie genutzt werden.
Für die Veröffentlichung von Bildaufnahmen im Internet gilt grundsätzlich, dass dritte Personen diese Bilder und Videos durch einfache technische Mittel (Screenshot/Videomitschnitt) widerrechtlich in Besitz nehmen und zu eigenen Zwecken nutzen können. Dabei ist eine Veröffentlichung in anderen Webseiten oder Socialmediaportalen mit unkontrollierter Verbreitung im Internet nicht auszuschließen. Wir können einen solchen Missbrauch weder technisch noch organisatorisch verhindern und auch die Möglichkeiten auf dem Rechtsweg gegen diese Personen vorzugehen, die widerrechtlich Bildaufnahmen vervielfältigen und nutzen, kann erschwert oder ganz unmöglich sein.
Darüber hinaus werden Socialmedia Plattformen und sonstige Portale regelmäßig auf Servern in Ländern außerhalb der Europäischen Union betrieben. Hier gilt die Datenschutzgrundverordnung (DS-GVO) nicht und nur die wenigsten Anbieter haben ein entsprechendes Datenschutzniveau. Sie gehen daher das Risiko ein, das so veröffentlichte Bildaufnahmen durch die Anbieter zu eigenen Zwecken, insbesondere Werbezwecken, genutzt werden, aber auch an beliebige Dritte weiterverkauft oder übertragen werden. Hierbei könnten auch Bildaufnahmen mit anderen Daten von Ihnen zu einem Profil Ihrer Person zusammengeführt werden.
Dieses auch dann, wenn ein Name zu dem Bild nicht veröffentlicht wurde, da durch technische Methoden eine Identifizierung der Person dennoch erfolgt. In diesem Zusammenhang kann auch eine biometrische Erkennung und Speicherung der Gesichtsdaten nicht ausgeschlossen werden. Möglichkeiten an Rechtsmitteln hiergegen bestehen für Sie in der Regel nicht, und es wird in einem solchen Fall nicht oder nur sehr erschwert möglich sein, die Bildaufnahmen einer nicht zugestimmten Verarbeitung und unkontrollierten Verbreitung im Internet zu entziehen.
Auf Socialmedia Plattformen (Facebook, Instagram, Twitter etc.) können Bildaufnahmen als auch Textbeiträge durch Teilen weiterverbreitet werden und so sehr schnell eine sehr große Anzahl an Personen und sehr hohe Aufmerksamkeit erreichen. Dabei haben wir in der Veröffentlichung auf Socialmedia Plattformen nur begrenzten Einfluss auf die Kommentare von anderen Personen. Wir können dabei nicht ausschließen, dass es zu Textbeiträgen oder Bildaufnahmen und den darauf zu sehenden Personen auch negative oder missbräuchliche Kommentare gibt. Dieses gilt insbesondere in der Weiterverbreitung durch Teilen als auch im Falle einer widerrechtlichen Vervielfältigung und einer unkontrollierten Verbreitung im Internet durch Dritte.
Bildaufnahmen können im schlimmsten Fall durch technische Mittel (Photoshop etc.) modifiziert oder gänzlich verfälscht werden, so dass Personen in peinlichen, beschämenden oder erniedrigenden Situationen und auch in gänzlich falschen, so nie stattgefundenen Situationen, die ggf. für eine Person kompromittierend sein können, gezeigt werden.
RISIKEN IM ZUSAMMENHANG MIT E-MAILADRESSEN
Bei der Verarbeitung von E-Mailadressen ist auch unter der Wahrung einer SSL oder anderen Verschlüsselungsform bei Versand oder Abruf grundsätzlich keine absolute Sicherheit zu gewähren. Eine SSL Verschlüsselung besteht grundsätzlich nur mit dem Abrufs- oder Versandserver und stellt keine end-to-end Verschlüsselung dar.
Da eine end-to-end Verschlüsselung nicht gewährleistet werden kann, ist das Mitlesen von E-Mails durch dritte Institutionen, insbesondere ein technischer Scan von Inhalten einer E-Mail, nicht auszuschließen. Dieses gilt auch für nicht verschlüsselte oder sonstig gesicherte Anhänge einer E-Mail.
Im Rahmen des vorherig gesagten ist es ebenso möglich, dass E-Mailadressen in einem Einzel-, Gruppen- oder Massenversand technisch abgefangen werden, um diese Adressen zum Übersenden von SPAM jeder Art, einschließlich dem Übersenden von Links oder Anhängen zu/mit Schadware, zu missbrauchen.
Wir können den Schutz Ihrer E-Mail nur auf unseren Systemen sicherstellen. Sofern es zu einem berechtigten Versand von Gruppen-Emails mit der Offenlegung der Adressen an mehrere Empfänger kommt, können wir auf die Sicherheit der geschäftlichen oder privaten Geräte Dritter, die zum Abruf der E-Mails genutzt werden, keinen Einfluss nehmen. Diese Geräte können durch Malware infiziert sein und so E-Mailadressen einer ganzen Gruppe auslesen und zu SPAM Zwecken nutzen.
SPAM E-Mails, die Sie möglicherweise durch ein Abgreifen der eigenen E-Mailadresse bei Dritten erhalten, können so gestaltet sein, dass diese von seriösen E-Mails nicht zu unterscheiden sind. Hierbei wird regelmäßig versucht an Passwörter oder Bankdaten von Ihnen zu kommen sowie Malware auf Ihrem Endgerät zu installieren. Letzteres kann insbesondere durch das Öffnen von Anlagen und das Klicken von Links erfolgen. Dieses gilt auch für Links, die vortäuschen zu einer Abmeldefunktion aus einem Verteiler oder zu einem Impressum etc. zu führen.
E-Mailadressen stellen grundsätzlich ein personenbezogenes Merkmal im Sinne des Datenschutzes dar. Sie können bestimmten natürlichen Personen zugeordnet werden. Über den Quellcode kann die IP-Adresse und der Ort sowie das genutzte Endgerät für Versand oder Abruf rückverfolgt werden.
Sofern wir E-Mailadressen auf Grundlage der dafür erteilten Einwilligung veröffentlichen, können wir ein Abgreifen dieser Adressen durch dritte Personen technisch nicht verhindern. Veröffentlichte E-Mailadressen können sich unkontrolliert im Netz und für SPAM-Zwecke jeder Art verbreiten. E-Mailadressen können ferner zu Zwecken von Profiling als auch zu einer direkten ungewollten Kontaktaufnahme durch dritte Personen verwendet werden. Diese Kontaktaufnahme kann zu Zwecken von Werbung, Stellenvermittlung, Glückspiel etc. erfolgen Es kann dabei nicht ausgeschlossen werden, dass die E-Mailadressen auch zu Zwecken von Stalking, Mobbing oder von Hass und Hetze gegen Sie genutzt werden.
Wir nutzen unter Umständen Verschlüsselungstechniken für unsere E-Mailkommunikation, wie zum Beispiel S/MIME, GPG oder dergleichen. Hierbei übersenden wir Ihnen verschlüsselte und ggf. auch signierte E-Mails. Dabei ist zu beachten, dass die Verschlüsselung nur die Inhalte nebst Anlagen betrifft, jedoch die E-Mail-Header mit Ihren Telemetriedaten und Betreffzeilen nicht verschlüsselt werden.