Datenschutzinformation
1 Ansprechpartner
Zur Frage, wer hier Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist, siehe den sich anschließenden Hinweis zur Struktur unserer Vereinigung.
Primärer Ansprechpartner für Datenschutzthemen ist:
Gebäudeenergieberater Ingenieure Handwerker – Bundesverband e.V. (GIH BV)
Unter den Linden 10
10117 Berlin
Telefon: 030 3406023-70
E-Mail: info@gih.de
Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: Rechtsanwalt David Heimburger LL.M., 040 22863648, dh@davidheimburger.de
2 Informationen zu unserer Struktur
Der GIH BV ist ein Dachverband, dessen Mitglieder die rechtlich eigenständigen Landesverbände (GIH LV) sind. Persönliche Mitgliedschaften für Energieberater und andere natürliche oder juristische Personen bieten nur die Landesverbände an.
Verschiedene Leistungen wie Seminarangebote, Newsletter oder den Vertrieb von Publikationen bieten sowohl der Bundesverband wie die Landesverbände an, teils einzeln und teils gemeinsam.
Der Bundesverband betreibt federführend – im Auftrag der Landesverbände – eine zentrale Datenbankanwendung, über die Mitgliedschaften und Dienstleistungen wie Anmeldungen zu Seminaren oder Newslettern sowie Webshops verwaltet werden.
Für einige Landesverbände übernimmt der Bundesverband auch über die gemeinschaftliche Software hinausgehende Dienstleistungen wie zum Beispiel den Telefon- und E-Mail-Dienst für einzelne Landesgeschäftsstellen.
Aus dieser Konstellation der eigenständigen Verbände, die für wesentliche Teile ihrer Datenverwaltung auf dieselbe Datenbank zugreifen, ergibt sich datenschutzrechtlich eine sogenannte gemeinsame Verantwortung nach Artikel 26 DSGVO. Die beteiligten Verbände haben hierzu eine nach Artikel 26 DSGVO erforderliche Vereinbarung abgeschlossen.
Aus dieser Vereinbarung ergibt sich folgende Aufteilung der Verantwortung zwischen den Verbänden:
- Jeder Landesverband verantwortet allein die Verwaltung seiner Mitglieder.
- Für Veranstaltungen (z.B. Seminare), Newsletter, Zeitschriftenabos, Webshops und sonstige Informations- und Bildungsangebote ist immer der Verband verantwortlich, der als Anbieter des jeweiligen Angebots auftritt. Bei kostenpflichtigen Angeboten ist der jeweilige Anbieter als Rechnungssteller angegeben; bei anderen Leistungen ist der Anbieter zum Beispiel in E-Mail-Signaturen angegeben.
- Viele Informations- und Bildungsangebote werden direkt vom Bundesverband angeboten, der entsprechend für diese Angebote verantwortlich ist.
- Der Bundesverband ist zudem der primäre Ansprechpartner für alle Fragen, die Datenverarbeitungen durch die zentrale Software betreffen. Hier liegt die Verantwortung intern zwar auch bei den Landesverbänden, Betroffene dürfen sich aber mit Datenschutzthemen immer an den GIH BV wenden.
- Soweit ein Landesverband seine Geschäftsstelle durch die Bundesgeschäftsstelle vertreten lässt, verbleibt die primäre Verantwortung beim jeweiligen Landesverband.
Bei Bedarf informieren wir Sie, wer konkret für Ihr Anliegen der Verantwortliche ist. Richten Sie Ihre entsprechende Frage an info@gih.de oder den Landesverband Ihrer Wahl.
Die nachfolgenden Informationen gelten sowohl für Datenverarbeitungen durch den Bundesverband wie durch die Landesverbände. Soweit einzelne Landesverbände in einigen Bereichen Daten in abweichender Form verarbeiten, weisen sie hierauf in eigenständigen Datenschutzinformationen hin. Die Informationen der Landesverbände gehen, wo sie existieren, diesen allgemeineren Informationen hier vor.
3 Hinweis zur geschlechtergerechten Sprache
Wir bemühen uns, eine geschlechtergerechte Sprache zu verwenden. Teilweise verwenden wir für die vereinfachte Leseführung nur die männliche Form von Begriffen wie Benutzer statt Benutzende, Benutzer:innen oder Benutzerinnen und Benutzer. Wenn wir nur die männliche Form verwenden, soll der Begriff dennoch alle Geschlechter miteinschließen.
4 Ihre Rechte im Allgemeinen
Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.
- Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).
- Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
- Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).
- Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).
- Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).
- Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbaren Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).
- Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Berliner Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.
5 Datenverarbeitungen bei uns im Allgemeinen
Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.
Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.
Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).
Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 16 Jahren richtet.
Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) oder dem Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.
Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist. Eine solche Übertragung nach außerhalb des EWRs nennt man im Datenschutzrecht einen Drittstaatentransfer.
6 Allgemeiner Hinweis zu Cookies
Cookies sind eine bestimmte Form von Texteinträgen, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“) oder eine Landeskennung wie „de“ für deutsche Sprache; teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).
Das Recht Cookies zu setzen, bemisst sich nicht allein nach der DSGVO, sondern primär nach § 25 TDDDG. Die Norm unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essenzielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (z.B. wenn ein berechtigtes Interesse als Rechtsgrundlage vorliegt oder die Daten nicht personenbezogen sind).
Bevor wir nicht-essenzielle Cookies auf Ihrem Endgerät speichern, fragen wir Sie entsprechend den Vorgaben des § 25 TDDDG nach Ihrem Einverständnis.
Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.
Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:
- Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.
- Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.
- Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).
- Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
- Ein Spezialfall: Google bietet ein Browser-Plug-In an, das das Setzen der verschiedenen Cookies von Google unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de
7 Konkrete Datenverarbeitungen
7.1 Besuch unserer Internetseiten
7.1.1 Bereitstellen unserer Internetseiten
Beschreibung: Damit ein Webserver Internetseiten Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.
Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Im Falle von Angriffen auf unsere Seiten Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Drittstaatentransfer findet hierbei nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.
Speicherdauer: 7 Tage
7.1.2 Cookie-Verwaltung
Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung in Ihrem Browser-Cache nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits in einem Cookie auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie den entsprechenden Cookie (borlabs-cookie, Speicherdauer 6 Monate) über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.
Datenkategorien: Einwilligungsstatus (Ja/Nein je Cookie, für den wir Ihre Einwilligung benötigen)
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Rechtskonformes Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht. Dieser Cookie darf auch nach § 25 TDDDG ohne Ihre Einwilligung gesetzt werden, da die Cookie-Auswahl eine essenzielle Funktion darstellt.
Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies
7.1.3 Kontaktformular
Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular, über das Sie uns Nachrichten schicken können. Ihre Eingaben werden technisch als eine E-Mail an uns geschickt.
Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.
Datenkategorien: Siehe die Verarbeitungen „Bereitstellen unserer Internetseiten“ und „E-Mail- Postfach“.
Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Postfach“.
Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.
Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail- Postfach“.
7.1.4 Video-Streaming
Beschreibung: Unsere Internetseite zeigt Filme über einen Videoplayer von YouTube, einem Tochterunternehmen von Google. Wenn Sie eine mit einem YouTube-Player ausgestattete Seite aufrufen, wird eine Verbindung zu den Servern von YouTube hergestellt und Cookies von Google werden in Ihrem Browser gesetzt. Dabei wird Google mitgeteilt, welche unserer Seite Sie besucht haben und welchen Film Sie angeschaut haben. Google setzt über den YouTube-Player regelmäßig die folgenden Cookies: CONSENT, GPS, Visitor_Info1_Live, YSC, IDE
Google verarbeitet als technischer Anbieter des Videohostings die typischen Weblog-Daten, die ein Endgerät beim Abruf des Streamingangebots an den technischen Anbieter überträgt wie zum Beispiel Ihre IP-Adresse.
Wir erhalten hinsichtlich dieser Datenerfassung von Google keinerlei Daten über Ihr Nutzungsverhalten. Die Verantwortung für diese Datenverarbeitung liegt allein bei Google. Wir informieren an dieser Stelle über diese externe Datenverarbeitung, weil unser Angebot über die Verlinkung zum YouTube-Player auf den Google-Dienst verweist.
Wenn Sie während des Besuchs unserer Seite in Ihrem YouTube- oder Google-Konto eingeloggt sind, ermöglichen Sie Google, Ihr Nutzungsverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Konto ausloggen.
Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy. Zur Nutzung von YouTube-Diensten siehe insbesondere die Übersicht auf: https://support.google.com/youtube/topic/2803240.
Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; in Cookies gespeicherte Google-ID
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.
Zweck + Rechtsgrundlage: Wir setzen den YouTube-Player ein, um Ihnen ein leistungsfähiges Video-Streaming anbieten zu können. Rechtsgrundlage für die Datenübertragung an Google ist Ihre Cookie-Einwilligung für den YouTube-Player.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von YouTube keine Daten von Ihnen erfassen.
7.1.5 Analyse des Nutzungsverhaltens (Google Analytics)
Beschreibung: Wir nutzen den Webanalysedienst Google Analytics. Google erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die regionale Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.
Wir benutzen Analytics mit der Erweiterung „anonymizeIP“, damit die IP-Adressen nur gekürzt weiterverarbeitet werden, um die Möglichkeit eines Personenbezugs zu reduzieren. Durch die IP-Anonymisierung wird das Ende Ihre IP-Adresse von Google innerhalb der Europäischen Union durch Nullen ersetzt, bevor die Daten in die USA übertragen werden. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Google Analytics erfasst zum einen im Sinne von Server-side Analytics die Angaben aus einem Weblog, die standardmäßig an einen Webserver gesendet werden, wenn Internetseiten aufgerufen werden. Haben Sie dem Setzen von Google-Cookies zugestimmt, erfasst Google die in den Cookies gespeicherten Daten wie z.B. eine Cookie-ID. Zusätzlich erkennt Google allgemeine Informationen zu Ihrem Gerät wie installierte Software oder Schriften und bildet hieraus einen sogenannten digitalen Fingerabdruck.
Die Cookie-ID oder der digitale Fingerabdruck ermöglichen im Gegensatz zum einfachen Server-side Analytics, mehrere Aktionen auf unseren Seiten dem selben Besucher zuzuordnen. So können wiederkehrende Besucher bestimmt werden und Nutzungspfade innerhalb unserer Internetseiten nachvollzogen werden. Insbesondere die Aussagen zu den Nutzungspfaden sind wesentlich, um wertvolle Rückschlüsse aus dem Benutzerverhalten ziehen zu können.
Die Analytics-Cookies tragen die Bezeichnungen _ga (um wiederkehrende Besucher zu erkennen), _gid (um statistische Gruppen bilden zu können) und _gat (um den Datenabgleich mit erweiterten Google-Funktionen zu reduzieren).
Wir verknüpfen die Daten, die wir über Google Analytics erheben, nicht mit personenbezogenen Daten, die wir auf anderen Wegen erheben. Auch Google ist es untersagt, die Daten für eigene Zwecke zu nutzen oder mit Daten zusammenzuführen, die an anderer Stelle erhoben wurden. Google stellt uns die Daten nur in einer anonymisierten und statistischen Form zur Verfügung, so dass wir selbst keinen eigenen Zugriff auf Datenmerkmale haben, die eine Identifikation einzelner Personen ermöglichen könnte.
Umfassende Informationen über die Verwendung der von Google erfassten Daten finden Sie in den Datenschutzinformationen von Google (https://policies.google.com/privacy) und in Googles Informationen zu Cookies (https://policies.google.com/technologies/cookies).
Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Angaben zur Bildschirmauflösung und weitere technische Parameter des benutzten Endgeräts; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Google-ID; von Google berechneter digitaler Fingerabdruck des genutzten Endgeräts
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung verpflichtet. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat Google sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.
Zweck + Rechtsgrundlage: Der Zweck dieser Nutzungsanalyse ist es, dass wir unser Internetangebot anhand der Analyseerkenntnisse weiter verbessern können.
Rechtsgrundlage ist ein berechtigtes Interesse, das sich daraus ergibt, dass der Personenbezug der erfassten Daten z.B. durch das Anonymisieren der IP-Adressen stark reduziert wird, dass die Daten von uns nicht mit weiteren Datensammlungen kombiniert werden und dass den Besuchern unserer Internetseiten verschiedene Möglichkeiten zur Verfügung stehen, die Erfassung durch die Cookies von Google Analytics zu unterbinden.
Unabhängig davon fragen wir gemäß § 25 TDDDG für das Setzen der Google-Cookies über unseren Cookie-Manager nach Ihrem Einverständnis.
Speicherdauer: 14 Monate; diese Speicherdauer der Rohdaten ermöglicht uns das Exportieren von Jahresstatistiken.
7.2 Mitglieder und Kunden
7.2.1 Mitglieder-/ Kundendatenbank, Seminarbuchung, Webshop, Kontaktverzeichnis
Beschreibung: Wir pflegen die Daten unserer Mitglieder, unserer Kunden (z.B. von Seminar- oder Webshop-Angeboten) in unserer Mitglieder-/ Kundendatenbank. In der Datenbank speichern wir Ihre Vertrags- und Rechnungsdaten sowie die Historie Ihrer Mitgliedschaft oder Kundenbeziehung. Aus der Datenbank steuern wir die Kommunikation mit Ihnen. Aus der Datenbankanwendung betreiben wir auch unseren Webshop, über den Sie z.B. Dokumente erwerben können, und unseren Newsletter-Versand (siehe hierzu die Verarbeitung „Newsletter“).
Als Mitglied erhalten Sie ein Benutzerkonto, über das Sie Ihre Daten einsehen können und Ihr Profil (z.B. Ihre Kontaktdaten) pflegen können.
Zur Vereinheitlichung unserer Verbandsarbeit und Datenpflege nehmen wir auch die Kontaktdaten von Lieferanten und Dienstleistern in die Datenbank als unserem zentralen Kontaktverzeichnis auf. Soweit mit einer Kommunikation über die Einzelanfragen hinaus zu rechnen ist, werden auch Kontakte von Interessenten an der Verbandsarbeit gespeichert, um bei künftigen Nachfragen auf die Ursprungskommunikation zugreifen zu können. Für die Kommunikationsarbeit unseres Verbands nehmen wir in einzelnen Fällen auch die dienstlichen Kontaktdaten branchenrelevanter Ansprechpartner in unsere Datenbank auf.
Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse, ggf. Zuordnung zu einer Organisation bzw. einem Unternehmen), Geburtsdatum, Angaben zur Qualifikation, Mitgliedschaftsdaten (Beitritt, Mitgliedsnummer, Mitgliederkommunikation, Zuordnung zu Gremien, Rechnungen, Austritt), Bestelldaten (Kundennummer, Waren/Leistungen und Bestellverlauf, Zahlungs- und Lieferkonditionen, Rechnungen, Kundenkommunikation), Kommunikationsverlauf, Newsletter-Anmeldungen, Login (Benutzername; Passwort nur als Hashwert)
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Mitglieder-/ Kundenverwaltungsanwendung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Nutzung eines Systems, das uns eine ganzheitliche Betreuung unserer Mitglieder, Kunden, Interessenten, Lieferanten, Dienstleister und Branchen-Ansprechpartnern ermöglicht. Rechtsgrundlage ist Erfüllung des jeweiligen Vertragsverhältnisses (Mitgliedschaft, Bestellung, Beauftragung), Einwilligung in den Newsletter-Empfang oder ein berechtigtes Interesse bei Anfragen oder dienstlichen Kontakten branchenrelevanter Personen. Soweit es sich um ein berechtigtes Interesse handelt, können Sie der Datenverarbeitung widersprechen.
Speicherdauer: Wir speichern Ihr Mitglieds-/ Kundenkonto bis zu sechs Jahre nach Abschluss des letzten Kundenkontakts beziehungsweise nach Austritt. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht. Kontakte, die allein über die Newsletter-Anmeldung erfasst wurden, werden unmittelbar nach Newsletter-Abbestellung gelöscht.
7.2.2 Rechnungsstellung
Beschreibung: Stellen wir Ihnen eine Rechnung, liegt darin eine Verarbeitung personenbezogener Daten, wenn der Rechnungsempfänger eine natürliche Person ist (Selbstständige oder Teilhaber einer Personengesellschaft) oder Sie als Ansprechpartner in der Rechnung genannt werden. Wir erstellen unsere Rechnungen teilweise aus unserer Mitglieder-/Kundenverwaltung heraus und teilweise über unsere Buchhaltungssoftware.
Datenkategorien: Name, Anschrift, Datum, Mitglieds-, Kunden- und Rechnungsnummer, Rechnungsbetrag und Rechnungsinhalt
Datenempfänger (ggf. Drittstaatentransfer): Hosting-Dienstleister für Mitglieder-/Kundenverwaltungssoftware und Online-Buchhaltungssoftware, die jeweils über Auftragsverarbeitungsverträge auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Rechnungsstellung. Rechtsgrundlage ist für uns Vertragserfüllung.
Speicherdauer: Rechnungen sind als Buchungsbelege nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.
7.2.3 Zahlungsdienstleister (PayPal)
Beschreibung: In unserem Webshop können Sie Ihre Bestellung über den Finanzdienstleister PayPal bezahlen. Aus unserem Webshop wird dazu eine verschlüsselte Verbindung zu PayPal hergestellt, über die wir PayPal eine Transaktionsnummer, eine Leistungsbeschreibung sowie den Rechnungsbetrag kommunizieren und Sie zur Freigabe Ihrer Zahlung an PayPal weiterleiten. Wir erhalten von PayPal keine Informationen über Ihre Bankverbindung oder Kreditkarte. PayPal meldet uns einzig zurück, wenn der Rechnungsbetrag für eine von uns generierte Transaktionsnummer uns gutgeschrieben werden konnte.
Hinsichtlich aller Vorgänge bei PayPal ergibt sich der Datenschutz aus Ihrer eigenständigen Vertragsbeziehung mit PayPal. PayPal unterliegt als Finanzdienstleister der europäischen Bankenaufsicht. Details zum Datenschutz bei PayPal finden Sie auf: https://www.paypal.com/de/webapps/mpp/ua/privacy-full
Datenkategorien: Transaktionsnummer, Leistungsbeschreibung (Buchungstext) und Rechnungsbetrag
Datenempfänger (ggf. Drittstaatentransfer): PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über Ihr PayPal-Konto. Rechtsgrundlage ist sowohl für PayPal wie für uns jeweils Vertragserfüllung.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.
7.2.4 Versand Ihrer Bestellung
Beschreibung: Bestellen Sie bei uns eine Sache (z.B. ein Buch oder ein Shirt), lassen wir Ihnen die bestellten Waren regelmäßig direkt von einem Dienstleister schicken, bei dem die entsprechende Ware lagert. Dazu teilen wir dem Dienstleister mit, welche Waren an welche Adresse zu versenden sind.
Datenkategorien: Name + Anschrift, bestelle Ware
Datenempfänger (ggf. Drittstaatentransfer): Unternehmen, die von uns mit dem Versand von Waren beauftragt werden, die bei uns bestellt aber extern gelagert werden.
Zweck + Rechtsgrundlage: Zustellung bestellter Ware. Rechtsgrundlage für die Übergabe der Versanddaten ist Vertragserfüllung beziehungsweise ein berechtigtes Interesse mit Blick auf den Einsatz von Logistikdienstleistern.
Speicherdauer: Die Dokumentation des Versandvorgangs ist nach den Vorgaben des Handelsrechts als Geschäftsbrief sechs Jahre zu speichern.
7.2.5 Onlineschulungen (Webinare)
Beschreibung: Viele Seminare bieten wir als Onlineschulungen (Webinare) an. Während der Webinare können Sie sich in unterschiedlicher Form in die Veranstaltung mit einbringen (Chat, Audio, Video). Viele Seminare werden im Webinar-Modus angeboten, so dass Kameras und Mikrofone der Teilnehmenden ausgeschaltet sind und nur die Vortragenden zu sehen und zu hören sind.
Einige unserer Webinare werden aufgezeichnet, damit Sie zur anschließenden Ansicht zur Verfügung gestellt werden können. Sie werden hierauf spätestens zu Beginn des jeweiligen Kurses hingewiesen. Bei Aufzeichnungen wird besonders darauf geachtet, dass nur Daten der Vortragenden erfasst werden.
Die von uns eingesetzte Webinar-Technologie erfasst Ihre Bildschirmaktivität insoweit, dass sich daraus eine Vermutung zu Ihrer Aufmerksamkeit der Schulung gegenüber ableiten lässt. Die Webinar-Anwendung erkennt, ob ihr Programm im Vordergrund ist oder Sie sich eher anderen Anwendungen während der Schulung zuwenden. Sollten Sie sich mehrfach oder über verschiedene Geräte ins Webinar einwählen, können wir über den eindeutigen Anmeldelink alle Anmeldungen der- bzw. demselben Teilnehmenden zuordnen. Die Erfassung der Aufmerksamkeit ist erforderlich für alle Schulungen, zu denen wir Teilnahmenachweise bereitstellen und diese Nachweise an eine Pflicht zur Dokumentation einer Mindestanwesenheit geknüpft ist.
Datenkategorien: Name, E-Mail-Adresse, gebuchte Veranstaltung, Ton- und Videosignale bzw. Kommentare im Chat (bei eigener Aktivität im Webinar)
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Webinar-Technologie, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Der Dienstleister sitzt in der EU, ist aber Teil eines US-Konzerns und garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.
Zweck + Rechtsgrundlage: Bereitstellung von Seminaren als Webinare. Rechtsgrundlage ist Erfüllung des Seminarvertrags.
Speicherdauer: Wir speichern Ihre Teilnahme an dem Webinar bis zu sechs Jahre. Wir orientieren uns soweit an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht und wollen es ermöglichen, Ihnen auch einige Zeit nach Abschluss des Kurses Duplikate Ihrer Teilnahmebestätigung schicken zu können.
7.2.6 Ausbildungskurse und Prüfungen
Beschreibung: Wir bieten Ausbildungsangebote an; teils in Präsenz und teils online wie auch in Kombination. In diesem Zusammenhang verarbeiten wir Ihre Daten bei der Verwaltung Ihrer Anmeldung und Bezahlung der Kurse. Hierzu erfassen wir auch Anwesenheitszeiten als Grundlage für Ausbildungsnachweise. Zudem ergibt sich aus der Nutzung unserer digitalen Lernplattform eine Datenverarbeitung.
Für die Nutzung der Lernplattform, die Sie über Ihren Internetbrowser aufrufen können, wird Ihnen ein Benutzerkonto mit persönlichem Login zur Verfügung gestellt Über Ihr Benutzerkonto haben Sie sowohl Zugang zu den Kurseinheiten (Webinare) wie zu begleitendem Lernmaterial und je nach Kurs Übungsaufgaben. Soweit es dem Ausbildungskonzept entspricht, erfasst die Plattform auch automatisiert Ihre Lernfortschritte im Sinne bereits absolvierter Lernpakete.
Für einige Ausbildungsangebote bieten wir auch Prüfungen an und bei erfolgreicher Prüfung Ausbildungszertifikate. Die Details ergeben sich aus den jeweils einschlägigen Prüfungsvorschriften.
Es steht Ihnen frei, Ihr Benutzerkonto in unserer Lernplattform mit einem Foto oder Symbolbild zu versehen. Den für die anderen Teilnehmenden sichtbaren Benutzernamen können Sie in einigen Kursen frei wählen.
Teilweise fragen wir Sie während der Kurse nach Ihrem Einverständnis, den anderen Teilnehmenden Ihre E-Mail-Adresse oder andere Kontaktdaten zur Verfügung stellen zu dürfen. Diese Weitergabe soll den Teilnehmenden den Austausch zu den Lerninhalten auch außerhalb der gemeinsamen Kurseinheiten ermöglichen. Es steht Ihnen ohne Nachteile für die Kursteilnahme frei, der Weitergabe Ihrer E-Mail-Adresse nicht zuzustimmen.
Während der digitalen Teilnahme können Sie sich in unterschiedlicher Form in die Veranstaltung mit einbringen (Chat, Audio, Video). Einige unserer Kurseinheiten werden aufgezeichnet, damit Sie zur anschließenden Ansicht zur Verfügung gestellt werden können. Sie werden hierauf spätestens zu Beginn des jeweiligen Kurses hingewiesen und haben dann immer die Möglichkeit, auf die Aktivierung Ihres Mikrofons und Ihrer Kamera zu verzichten, so dass Sie nicht Teil der Aufnahme werden.
Teilweise erhalten Sie Benachrichtigungen (z.B. Erinnerungen) zu Ihren Kursen per E-Mail, die automatisch von unserer Lernplattform verschickt werden.
Datenkategorien: Kursanmeldedaten (Name, Kontaktdaten, gebuchte Veranstaltung Bezahlungsmodalitäten), Plattformanmeldedaten (E-Mail-Adresse, Passwort), Ausbildungsfortschritte (Aktivitätenhistorie), Prüfungsergebnisse, Ton- und Videosignale bzw. Kommentare im Chat
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Lernplattform, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung von Ausbildungskursen in Präsenz, online und in Kombination. Rechtsgrundlage ist Erfüllung des Ausbildungsvertrags.
Speicherdauer: Wir speichern Ihre Daten in der Lernplattform bis zu sechs Jahre nach Ihrer letzten Aktivität. Wir orientieren uns soweit an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht und wollen es ermöglichen, Ihnen auch einige Zeit nach Abschluss des Kurses Duplikate Ihrer Ausbildungsbestätigung schicken zu können.
7.2.7 Externe Dozenten
Beschreibung: Viele Experten, die als Dozenten für uns Seminare anbieten, sind externe Dienstleister. Die Dozenten erhalten im Rahmen des Seminars soweit Zugang zu Ihren Daten, wie das für die Durchführung der Veranstaltung erforderlich ist.
Datenkategorien: Name, E-Mail-Adresse, gebuchte Veranstaltung; bei Webinaren Ton- und Filmaufzeichnungen bzw. Kommentare im Chat
Datenempfänger (ggf. Drittstaatentransfer): Externe Dozenten in Seminaren. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Einbindung externer Seminar-Dozenten. Rechtsgrundlage für die Offenlegung Ihrer Daten ist ein berechtigtes Interesse, damit die Dozenten sich optimal auf die Veranstaltung vorbereiten können. Da es sich um ein berechtigtes Interesse handelt, können Sie der Datenweitergabe widersprechen.
Speicherdauer: Eine eigenständige Speicherung findet nicht statt, da die Dozenten nur auf die Daten in der eLearning-Plattform zugreifen.
7.2.8 Onlineforum
Beschreibung: Wir betreiben ein Onlineforum, in dem sich Mitglieder der Landesverbände und Experten zu allen Arten von Fragen rund um Energieberatung austauschen können. Das Forum wird technisch als Anwendung auf unserem Webserver betrieben. Der Zugang zum Forum erfolgt über eigenständige Benutzerkonten in der Anwendung, die für Mitglieder eines Landesverbands deren Benutzerkonten für unsere Mitgliederdatenbank entsprechen (Zugang über identisches Login).
Datenkategorien: Login (Benutzername; Passwort nur als Hashwert), Forumsbeiträge in Verbindung mit Zeitstempel
Datenempfänger (ggf. Drittstaatentransfer): Unser Webhosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung eines Onlineforums als verbandsinterne Kommunikationsplattform. Rechtsgrundlage ist Vertragserfüllung, da das Forum eine Dienstleistung darstellt, die durch Nutzung in Anspruch genommen wird.
Speicherdauer: Beiträge in den Foren können von den Veröffentlichenden selbst gelöscht werden oder von der Forumsverwaltung auf Anfrage oder bei missbräuchlicher Nutzung. Die Zuordnung eines Beitrags zu einem Benutzerprofil entfällt, wenn das Benutzerkonto gelöscht wird.
7.2.9 Zeitschriftenversand
Beschreibung: Wir stellen unseren Mitgliedern Fachzeitschriften zur Verfügung, die von einem unabhängigen Verlag vertrieben werden. Dafür stellen wir dem Fachverlag die jeweils aktuellen Adressdaten der Mitglieder zur Verfügung.
Datenkategorien: Name, Adresse, Beginn und Ende des Bezugszeitraums
Datenempfänger (ggf. Drittstaatentransfer): Fachverlag, der die Zeitschriftenabonnements anbietet, die wir unseren Mitgliedern anbieten. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Versand der Mitglieder-Zeitschriften. Rechtsgrundlage ist Vertragserfüllung, da die Zeitschriften zu den Verbandsleistungen im Rahmen der Mitgliedschaft zählen.
Speicherdauer: Bei uns keine über die Verwaltung der Mitgliedschaft (siehe oben) und damit des Zeitschriftenabonnements hinausgehende Speicherung. Zur Speicherung beim Verlag siehe dessen Datenschutzinformation (Kontaktdaten siehe Impressum der jeweiligen Zeitschrift).
7.2.10 Energieberater-Listen
Beschreibung: Wir veröffentlichen Verzeichnisse von Energieberatenden, damit die Öffentlichkeit sich über die Erreichbarkeit qualifizierter Berater informieren kann. Dabei unterscheiden wir zwischen einer Veröffentlichung nur auf unseren eigenen Internetseiten und auf Seiten von Kooperationspartnern. In diese Listen werden Mitglieder auf Wunsch aufgenommen; jedes Mitglied entscheidet selbst, ob es auch bei Kooperationspartnern präsentiert werden möchte.
Das online zur Verfügung gestellte Verzeichnis kann von Kooperationspartnern in deren Internetangebote integriert werden. In diesen Fällen ist unser Onlineangebot als Teil externer Internetseiten abrufbar.
Datenkategorien: Name und Kontakt (E-Mail-Adresse, Adresse, Telefonnummern, Internetadressen), fachliche Qualifikationen und Spezialisierungen, angebotene Leistungen
Datenempfänger (ggf. Drittstaatentransfer): Jedermann über unsere Internetseiten; zusätzlich wenn gewünscht Kooperationspartner, die das Informationsangebot in ihr Internetangebot integrieren
Zweck + Rechtsgrundlage: Veröffentlichung von Energieberatenden-Verzeichnissen. Rechtsgrundlage ist Vertragserfüllung, da die Veröffentlichung auf Wunsch erfolgt.
Speicherdauer: Löschung erfolgt auf Antrag des Energieberatenden oder wenn aus anderen Gründen bekannt wird, dass die Berechtigung zur Veröffentlichung entfallen ist.
7.2.11 Aufnahmen (Foto, Video, Audio)
Beschreibung: Teilweise werden bei unseren Veranstaltungen (in Präsenz wie online) Aufnahmen erstellt für unsere Öffentlichkeitsarbeit und die Dokumentation unserer Verbandstätigkeit. Aufnahmen umfassen Fotos bzw. Screenshots genauso wie Video- oder Audioaufzeichnungen. Je nach Veranstaltung und Aufnahme veröffentlichen wir diese im Internet, auf unseren Social-Media-Kanälen, in Printpublikationen oder stellen sie Medien als Pressematerial zur Verfügung.
Bei der Rechtsgrundlage wird unterschieden zwischen Personen mit Repräsentationsaufgabe und Personen ohne eine solche Rolle sowie Aufnahmen von Gruppen bei offiziellen Veranstaltungen der Organisation, auf denen visuell nicht auf einzelne Personen abgestellt wird.
Von Personen ohne Repräsentationsaufgabe ist eine Speicherung und Veröffentlichung von Fotos nur möglich, wenn sie darin eingewilligt haben. Dafür gibt es ein Einwilligungsformular, das wir Ihnen anbieten, wenn von ihnen Fotos erstellt oder angefragt werden.
Für Person mit Repräsentationsaufgabe (z.B. Vorstand, Geschäftsleitung, Redner, Dozent oder in vergleichbarer Weise Vortragender) ergibt sich ein berechtigtes Interesse an der Erstellung und anlassbezogenen Veröffentlichung der Aufnahmen aus den Repräsentationsverpflichtungen, die mit der übernommenen Aufgabe einhergehen, und den Ansprüchen an eine moderne Kommunikationsarbeit, in der man Verbandsvertretern auch ein Gesicht verleiht.
Zudem können Aufnahmen gespeichert und genutzt werden, auf denen Personen bei offiziellen Veranstaltungen der Organisation im öffentlichen Bereich der Veranstaltung (z.B. im Veranstaltungsraum) zu sehen sind, dabei Teil einer größeren Gruppe sind und nicht als Individuen hervortreten. Soweit diese Aufnahmen nur zur Dokumentation über eigene Veranstaltungen eingesetzt werden, fällt die Datenverarbeitung unter ein berechtigtes Interesse.
Datenkategorien: Aufnahme (Foto, Video, Audio); ggf. Name der Person im Rahmen des Dateinamens bzw. der Beschreibung der Aufnahme
Datenempfänger (ggf. Drittstaatentransfer): Abhängig von den genutzten Kommunikationswegen können die Fotos an externe Medien wie z.B. Social-Media-Plattformen weitergegeben werden.
Ein Drittstaatentransfer ist abhängig vom Empfänger der Fotos. Bei Veröffentlichung auf Social-Media-Plattformen regelmäßig Transfer in die USA, wofür der Angemessenheitsbeschluss der EU-Kommission aus dem Juli 2023 greift.
Zweck + Rechtsgrundlage: Die Speicherung und Veröffentlichung von Teilnehmendenaufnahmen dient dazu, den Verantwortlichen und Aktiven bei uns sowohl nach innen in die Organisation wie nach außen gegenüber Kunden und anderen Interessierten ein Gesicht zu geben und damit den Ansprüchen an moderne Öffentlichkeitsarbeit zu genügen.
Die Rechtsgrundlage für Personen ohne Repräsentationsaufgabe ist Einwilligung. Bei Personen, die eine Repräsentationsaufgabe übernommen haben, und bei Personen, die nur Teil einer größeren Gruppe bei offiziellen Veranstaltungen des Unternehmens sind, besteht ein berechtigtes Interesse an der Bildveröffentlichung.
Speicherdauer:
Für Fotos von Veranstaltungen gilt, dass diese nicht mehr genutzt werden, sobald eine Veranstaltung ihrer Bedeutung nach inaktuell geworden ist.
Bei Fotos mit Einwilligung bis zu deren Widerruf.
Bei Fotos auf Grundlage eines berechtigten Interesses bis zu dessen Wegfall, also regelmäßig bis zum Ausscheiden aus der Repräsentationsaufgabe.
7.3 Marketing-Kommunikation
7.3.1 Newsletter
Beschreibung: Sie können sich für unseren E-Mail-Newsletter anmelden. Dafür müssen Sie nur eine E-Mail-Adresse angeben. Weitere Angaben wie z.B. Ihr Name sind freiwillig und dienen dazu, dass wir den Versand der E-Mails mit einer direkten Anrede personalisieren können.
Wenn Sie sich online für den Newsletter anmelden, erhalten Sie an die von Ihnen angegebene Adresse eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-in für doppelte Einwilligung.
Unseren Mitgliedern, deren E-Mail-Adressen als Teil der Mitgliedschaft bereits verifiziert wurden, wird kein zusätzliches Double-Opt-in zur Adressüberprüfung geschickt.
Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.
Sie können Ihre Newsletter-Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich. Alternativ können Sie eine E-Mail mit Ihrer Abmeldung schicken an info@gih.de.
Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Ihr Name (freiwillig), Ihre Firma/Institution (freiwillig)
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters. Rechtsgrundlage ist Ihre Einwilligung.
Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Daten unmittelbar gelöscht.
7.3.2 Telefonmarketing (B2B)
Beschreibung: Soweit von einem potentiellen Geschäftskunden (B2B) eine mutmaßliche Einwilligung für werbende Anrufe durch uns vorliegt, bieten wir Ihnen unsere Leistungen auch per Telefonanruf an (Telefonmarketing). Bei Geschäftskunden gehen wir von einer entsprechenden mutmaßlichen Einwilligung aus, wenn Sie mit uns Kontakt aufgenommen haben und uns z.B. im Rahmen eines Whitepaper-Downloads oder einer Newsletter-Anmeldung Ihre Telefonnummer mitgeteilt haben.
Die Details der Anrufe folgen der Verarbeitung „Mitglieder-/Kundendatenbank“ und „Telefonate“.
Datenkategorien: Name, Telefonnummer, Unternehmen/Organisation, Vorliegen der Marketing-Einwilligung, ggf. Bestellung Whitepaper oder vergleichbare Interessensnachweise, Zeitpunkt der Kontaktaufnahme
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Persönliches Vorstellen des Leistungsportfolios und seiner Konditionen in einem Telefongespräch mit potentiellen Kunden, deren Einverständnis für einen Anruf ausdrücklich oder mutmaßlich vorliegt. Rechtsgrundlage ist eine mutmaßliche Einwilligung im Sinne des § 7 Absatz 2 Nr. 2 UWG.
Speicherdauer: siehe Verarbeitungen „Kundendatenbank (CRM)“ und „Telefonate“
7.3.3 Gewinnspielteilnahme
Beschreibung: Regelmäßig laden wir zur Teilnahme an Gewinnspielen ein. Die Teilnehmenden erfassen wir in einer Liste, um darüber eine Verlosung durchführen zu können. Die Liste der Teilnehmenden wird nach Benachrichtigung des Gewinners vernichtet.
Die Auswahl der Gewinnenden erfolgt unter Ausschluss des Rechtswegs. Gewinnerin oder Gewinner werden von uns benachrichtigt und erhalten ihren Preis zur Verfügung gestellt.
Aus steuerrechtlichen Gründen speichern wir Namen und Kontakt der Gewinnenden, um eine korrekte Verwendung unseres Preises nachweisen zu können. Eine weitere Nutzung der Kontakte erfolgt nicht.
Datenkategorien: Name, E-Mail-Adresse, Anschrift; bei Gewinnern Preis und Übergabe des Preises
Datenempfänger (ggf. Drittstaatentransfer): Keine
Zweck + Rechtsgrundlage: Auswahl und Benachrichtigung der Gewinnenden sowie Bereitstellung des Gewinns. Rechtsgrundlage für die Verlosung ist Erfüllung des unentgeltlichen Gewinnspielvertrags.
Speicherdauer: für die Daten der Gewinnenden sechs Jahre (wie Geschäftsbriefe nach dem Handelsgesetzbuch); für nicht gewinnende Teilnehmende bis zur Benachrichtigung der Gewinnenden
7.4 Unsere Social Media-Profile
7.4.1 Facebook und Instagram
Beschreibung: Wir betreiben bei Facebook Unternehmensprofile (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.
Meta stellt uns über die Nutzung unserer Fanpage Analysedaten zur Verfügung (Page Insights oder Seiten-Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Meta gilt die Datenschutzinformation von Meta: https://www.facebook.com/about/privacy
Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Meta nach Artikel 26 DSGVO. Meta hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Meta hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Meta-Konto an Meta wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Meta weiterreichen.
Datenkategorien: Meta-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): Meta Platforms Inc., für uns als europäische Organisation ansprechbar über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Meta garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat Meta sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Meta-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Meta.
7.4.2 X (früher: Twitter)
Beschreibung: Wir betreiben bei X ein Unternehmensprofil. So ein X-Profil ermöglicht es uns, unsere Organisation bei X vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
X stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung (X Analytics). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Twitter gilt die Datenschutzinformation von X: https://twitter.com/de/privacy
Datenkategorien: X-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von X sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): X Corp., für uns als europäische Organisation ansprechbar über Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Irland. X garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem X-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre X-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von X bzw. Twitter International Company.
7.4.3 LinkedIn
Beschreibung: Wir betreiben bei LinkedIn ein Unternehmensprofil. So ein LinkedIn-Profil ermöglicht es uns, unsere Organisation bei LinkedIn vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
LinkedIn stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei LinkedIn gilt die Datenschutzinformation von LinkedIn: https://www.linkedin.com/legal/privacy-policy
Datenkategorien: LinkedIn-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von LinkedIn sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. LinkedIn garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem LinkedIn-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre LinkedIn-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn.
7.4.4 Xing
Beschreibung: Wir betreiben bei Xing ein Unternehmensprofil. So ein Xing-Profil ermöglicht es uns, unsere Organisation bei Xing vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
Xing stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Xing gilt die Datenschutzinformation von Xing: https://privacy.xing.com/de/datenschutzerklaerung
Datenkategorien: Xing-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Xing sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): New Work SE (Betreiberin von xing.com), Dammtorstraße 30, 20354 Hamburg. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Xing-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Xing-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Xing.
7.5 Lieferanten und Dienstleister
7.5.1 Geschäftsbeziehung
Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.
Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen unserer „Allgemeinen Infrastruktur“ (siehe dort).
Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten
Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.
Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.
Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.
7.5.2 Nennung in Publikationen
Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt. Bei einigen Publikationen werden als Service für die Leserinnen und Leser auch berufliche Kontaktdaten der Autorinnen und Autoren veröffentlicht.
Neben Autorinnen und Autoren werden auch andere Personen in unseren Publikationen als Gegenstand der Berichterstattung genannt oder gezeigt.
Ähnliches gilt für Dozentinnen und Dozenten unserer Seminarangebote sowie Vortragende auf sonstigen Veranstaltungen unseres Verbands, die wir im Rahmen der Seminar-/ Veranstaltungsankündigung nennen.
Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten; Foto
Datenempfänger (ggf. Drittstaatentransfer): Öffentlichkeit im Rahmen der jeweiligen Publikation
Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft oder Vortragstätigkeit; Berichterstattung. Rechtsgrundlage ist für den Namen Erfüllung des Autoren- oder Vortragendenvertrags. Für die Kontaktdaten ist die Rechtsgrundlage ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden. Hinsichtlich Personen, über die wir berichten, greift das Medienprivileg als eine Form des durch die Meinungs- und Pressefreiheit gestützten berechtigten Interesses.
Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich. Onlineveröffentlichungen werden gelöscht, wenn das Berichterstattungsinteresse entfallen ist.
7.5.3 Daten der Dozenten und Prüfer
Beschreibung: Wir beauftragen Expertinnen und Experten, für uns und unsere Partner (z.B. Handwerkskammern als lokale Veranstalter) als Dozentin oder Dozent Schulungen und Vorträge anzubieten bzw. als Prüferin oder Prüfer tätig zu werden. In diesem Zusammenhang geben wir die Kontaktdaten der Dozentinnen und Dozenten bzw. Prüferinnen und Prüfer im erforderlichen Umfang an Teilnehmende und Veranstaltungspartner weiter, sowohl für Abstimmung und Organisation der Veranstaltung wie auch für die mit der Veranstaltung einhergehende Öffentlichkeitsarbeit.
Datenkategorien: Name und Kontaktdaten
Datenempfänger (ggf. Drittstaatentransfer): Veranstaltungsteilnehmende und Kooperationspartner
Zweck und Rechtsgrundlage: Vorbereitung und Durchführung der Veranstaltungen. Rechtsgrundlage ist Vertragserfüllung.
Speicherdauer: Die aktive Kommunikationsarbeit endet mit Abschluss der jeweiligen Veranstaltung. Die Zuordnung zu einzelnen Veranstaltungen bleibt in der internen Dokumentation für Ausbildungsnachweise aber regelmäßig zehn Jahre erhalten.
7.6 Stellenbesetzungen
7.6.1 Bewerbungen
Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.
Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.
Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens
7.6.2 Kandidatenpool
Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzenden Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.
Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung
7.7 Allgemeine Infrastruktur
7.7.1 E-Mail-Postfach, Kontaktverzeichnis, Kalender
Beschreibung: Für E-Mail, Kontaktverzeichnis und Kalender nutzen wir Konten, die diese Datengruppen gebündelt erfassen. E-Mails, die Sie uns schicken oder von uns erhalten, Ihre Kontaktdaten und Termine mit Ihnen werden sowohl auf den Servern unseres Hostinganbieters gespeichert wie als lokale Kopie auf den Endgeräten, die wir mit unseren entsprechenden Konten verbunden haben.
Datenkategorien: Name, Kontaktdaten (E-Mail, Telefon, Adresse, Fax), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen; Zeitpunkt des Versands bzw. Empfangs einer E-Mail; Inhalt der E-Mail (Texte, Dokumente, Bilder, sonstige Dateien); sonstige typische Metadaten einer E-Mail
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das Hosting des Postfach-Servers, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Nutzung von miteinander synchronisiertem E-Mail-Postfach, Kalender und Kontaktverzeichnis. Die Rechtsgrundlage ist berechtigtes Interesse, da ohne eine solche digitale Infrastruktur die Teilhabe am modernen Geschäftsleben nicht in vertretbar effizienter Weise möglich wäre.
Speicherdauer: Wir speichern die E-Mails und Einträge so lange, wie es zur Erfüllung eines Zwecks notwendig ist. Je nach Inhalt einer E-Mail, Geschäftsbeziehung zu einem Kontakt oder Hintergrund zu einem Termin können das sehr unterschiedliche Zwecke sein; dementsprechend vielfältig sind die Aufbewahrungsfristen.
Ein Beispiel: Wenn Ihre E-Mail der Vorbereitung eines Vertragsabschlusses dient, greift die Pflicht aus dem Handelsgesetzbuch (HGB) Geschäftsbriefe sechs Jahre lang aufzubewahren.
7.7.2 Telefonate
Beschreibung: Telefonieren wir miteinander, erfasst unsere cloudbasierte Telefonanlage bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs.
Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der entsprechend passenden Stelle (z.B. in der Mitgliederdatenbank oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.
Tonaufzeichnungen von Gesprächen finden nur im Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.
Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte
Datenempfänger (ggf. Drittstaatentransfer): Mobilfunkanbieter sowie der Anbieter unserer cloudbasierten Telefonanlage, die unter das Fernmeldegeheimnis nach dem TDDDG fallen. Der Anbieter unserer Telefonanlage ist ein Unternehmen in der EU, das zu einem US-Unternehmen gehört. Soweit durch die Konzernzugehörigkeit Drittstaatentransfers erfolgen, garantiert der Dienstleister einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.
Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.
7.7.3 Briefpost
Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.
Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen
Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.
Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.
7.7.4 Videokonferenzen
Beschreibung: Videokonferenzen, deren Veranstalter wir sind, erfolgen über externe Dienstleister, die als Telekommunikationsanbieter unter das TDDDG fallen und damit gesetzlich auf Datenschutz verpflichtet sind.
Der Umfang der Datenverarbeitungen ist abhängig von den einzelnen Funktionen des Konferenztools, die Sie in Anspruch nehmen. Sie können mit und ohne Video- bzw. Audiosignal teilnehmen, mit und ohne Profilbild, Hintergrundbild, Handzeichen oder Aktivitäten im Chat. Teilweise können Sie sich auch selbst gewählte Benutzernamen geben.
Insbesondere der Zugriff auf Ihre Kamera und Ihr Mikrofon erfolgen nur nach entsprechender Zustimmung durch Sie.
Bevor Konferenzen aufgezeichnet werden, werden alle Teilnehmenden um ihr Einverständnis oder Inaktivität gebeten. Sollte eine Aufzeichnung stattfinden, kann deren Gesprächsverlauf automatisiert oder manuell verschriftlicht werden (transkribiert).
Jedem Teilnehmer ist es technisch möglich, mit Mitteln außerhalb des Konferenztools Screenshots oder Aufzeichnungen im Ganzen oder in Teilen herzustellen. Ein solches Verhalten ohne entsprechende Abstimmung mit allen Teilnehmenden stellt einen Datenschutzverstoß der handelnden Person dar und liegt, wenn es sich dabei nicht um einen unserer Beschäftigten handelt, außerhalb unserer Verantwortung. Heimliche Aufzeichnungen des gesprochenen Worts können eine Straftat nach § 201 StGB darstellen. Wir behalten uns rechtliche Schritte jeder Art gegenüber Personen vor, die ihre Teilnahme an einer Videokonferenz zu datenschutzfeindlichem Verhalten nutzen.
Datenkategorien: Benutzername, E-Mail-Adresse; Teilnahmezeiten; Video- bzw. Audiosignal; Video- bzw. Audioaufzeichnung (nur mit Einwilligung); Audiotranskript (nur nach Aufzeichnung); Aktionen im Chat, Status Wortmeldung; Profildaten (Profilbild, Kontaktdaten, Hintergrundbild), Telefonnummer (bei Teilnahme per Telefon); Logfile (IP-Adresse, Gerätekennungen, Aktivitätenhistorie)
Datenempfänger (ggf. Drittstaatentransfer): Anbieter von Videokonferenzsystemen, die als Telekommunikationsanbieter unter das TDDDG fallen. Regelmäßig werden mit den Anbietern Auftragsverarbeitungsverträge geschlossen, die Datenschutzdetails der Leistungsbeziehung regeln. Soweit durch die Anbieter Drittstaatentransfers erfolgen, garantiert der Dienstleister einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem haben die Anbieter sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.
Zweck + Rechtsgrundlage: Nutzung einer Videokonferenz. Rechtsgrundlage ist ein berechtigtes Interesse, da Videokonferenzen ohne ein Mindestmaß an Datenverarbeitung nicht möglich sind. Für Aufzeichnungen ist Einwilligung die Rechtsgrundlage.
Speicherdauer: Soweit keine Aufzeichnung stattfindet, werden alle Daten mit Abschluss der Konferenz gelöscht. Wurde die Konferenz aufgezeichnet, wird die Aufzeichnung gelöscht sobald der letzte Zweck erreicht wurde, zu dem die Aufzeichnung erstellt wurde.
7.7.5 Faxen
Beschreibung: Für das Faxen verwenden wir kein klassisches Gerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, erhalten wir das Dokument als einen Anhang an eine E-Mail. Die begleitende E-Mail dokumentiert die von Ihnen übertragenen Absenderdaten und den Empfangszeitpunkt. Für alle übrigen Aspekte dieser Datenverarbeitung verweisen wir auf die Verarbeitung „E-Mail-Kommunikation“.
Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang; ggf. personenbezogene Inhalte des gesendeten Dokuments
Datenempfänger (ggf. Drittstaatentransfer): Siehe E-Mail-Postfach
Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.
7.7.6 Besucher-WLAN
Beschreibung: Wir stellen Besuchern den Zugang zu unserem WLAN-Netzwerk und damit dem Internet zur Verfügung. Bei der dafür erforderlichen Anmeldung am Access Point für das WLAN-Netzwerk wird die eindeutige Kennung Ihres Geräts sowie die Nutzungszeiten erfasst.
Bei allen Diensten, die Sie während der Nutzung unseres Netzwerks im Internet aufrufen, wird die IP-Adresse unseres Netzwerks protokolliert. Soweit es zu Ermittlungen wegen Aktivitäten kommt, die von unserer IP-Adresse ausgegangen sind, sind wir teilweise verpflichtet die Nutzungsdokumentation im sogenannten Logfile unserer Access Points zur Verfügung zu stellen.
Datenkategorien: MAC-Adresse des Geräts, Nutzungszeiten
Datenempfänger (ggf. Drittstaatentransfer): Im Normalfall keine Empfänger; bei Ermittlungen zuständige Behörden und unter Umständen private Inhaber eines Auskunftsanspruchs oder von uns beauftragte Forensiker
Zweck + Rechtsgrundlage: Logfiles wie dieses dienen dazu, die IT-Sicherheit in unserem Unternehmen zu ermöglichen und zu stärken. Die Rechtsgrundlage ist ein berechtigtes Interesse, da wir auf das WiFi-Logfile nur zugreifen, wenn eine Sicherheitsanalyse erforderlich ist. Eine Zuordnung der WiFi-Daten zu konkreten Geräten und damit deren Besitzern ist uns nur mit erheblichem Aufwand und regelmäßig nur unter Zuhilfenahme polizeilicher Ermittlungen möglich.
Speicherdauer: Unser WLAN-Logfile wird regelmäßig gelöscht, spätestens einmal jährlich.
7.7.7 Finanzbuchhaltung
Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang.
Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z.B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)
Wir nutzen für unsere Buchhaltung eine cloudbasierte Software.
Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)
Datenempfänger (ggf. Drittstaatentransfer): Hosting-Dienstleister für die Buchhaltungssoftware, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz
Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).
Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir nach den Vorgaben des Steuerrechts 10 Jahre auf.
7.7.8 Zahlungstransfers
Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.
Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)
Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.
Speicherdauer: Kontoauszüge bewahren wir nach den Vorgaben des Steuerrechts 10 Jahre auf.
7.7.9 IT-Administration
Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.
Speicherdauer: Eine eigenständige Speicherung findet nicht statt.
7.7.10 Dateispeicherung
Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischerweise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.
Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.
Mit Blick auf die Größe unserer Organisation und die Vielfalt der Themen und Projektgruppen kommen auch unterschiedliche Onlinespeicher zum Einsatz. In erster Linie speichern wir Daten in der Datenbankanwendung für Mitglieder-/ Kundenverwaltung. Teilweise werden Datengespeichert in verbreiteten Speicherdiensten wie Microsoft OneDrive und Sharepoint (regelmäßig in Verbindung mit Microsoft 365-Konten, teilweise in Verbindung mit Microsoft Teams), Google Drive (als Teil von Google Workspace) oder Dropbox
Wenn Sie genau wissen wollen, in welchen Speichern wir Dateien mit Daten zu Ihrer Person sichern, sprechen Sie uns bitte an.
Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung
Datenempfänger (ggf. Drittstaatentransfer): Hosting-Dienstleister für Onlinespeicher, die über Auftragsverarbeitungsverträge auf den Datenschutz verpflichtet sind und in der EU sitzen. Einige der Dienstleister sind Teil von US-Konzernen und garantieren einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem haben die Anbieter sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.
Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.
Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei
7.7.11 Entsorgung von Datenträgern und Dokumenten
Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder über die verschlossenen Tonnen eines professionellen Aktenvernichters entsorgt. Die Qualitätsstufe des eingesetzten Schredders und das Niveau der mit dem Dienstleister vereinbarten Dokumentenvernichtung entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.
Speichermedien (Festplatten z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer IT-Administration durch mehrfaches vollständiges Überschreiben sicher gelöscht oder an einen professionellen Vernichter von Speichermedien übergeben. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:
Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.
7.7.12 Rechtsverfolgung
Beschreibung: Für den Fall, dass wir in eine rechtliche Auseinandersetzung mit Ihnen geraten, geben wir Daten zu Ihrer Person und den Umständen der Auseinandersetzung an Rechtsanwälte und ggf. an Behörden oder Gerichte weiter.
Datenkategorien: Name, Kontaktdaten, Angaben zum Streitgegenstand
Datenempfänger (ggf. Drittstaatentransfer): Rechtsanwälte, Behörden, Gerichte, Gerichtsvollzieher. Alle Empfänger sind als staatliche Einrichtung oder als Berufsgeheimnisträger auf die Vertraulichkeit verpflichtet. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Rechtsverfolgung. Rechtsgrundlage ist das berechtigte Interesse daran, bei Bedarf Rechtsbeistand bei Anwälten und ggf. Behörden oder Gerichten zu suchen.
Speicherdauer: Die genannten Empfänger Ihrer Daten verarbeiten diese nach ihren eigenen Vorgaben in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.
7.7.13 Datenschutzmanagement
Beschreibung: Machen Sie uns gegenüber Ihre Rechte aus dem Datenschutz geltend, dokumentieren wir die damit einhergehende Kommunikation und Prozesse in unserer Datenschutzmanagementanwendung.
Datenkategorien: Name, Kontaktdaten, Angaben zum Datenschutzbegehren
Datenempfänger (ggf. Drittstaatentransfer): Unser Datenschutzbeauftragter, der gesetzlich auf die Vertraulichkeit verpflichtet ist, sitzt im EWR. Unser Dienstleister für die Cloud-Anwendung für das Datenschutzmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt so.
Zweck + Rechtsgrundlage: Datenschutzmanagement. Rechtsgrundlage ist die gesetzliche Rechenschaftspflicht aus der DSGVO.
Speicherdauer: Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.
Letzte Aktualisierung: September 2024