Verarbeitungsverzeichnis


Verzeichnis von Verarbeitungstätigkeiten

Das vorliegende Verzeichnis von Verarbeitungstätigkeiten bietet entsprechend Artikel 30 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) eine Auflistung der Prozesse, bei denen personenbezogene Daten durch den Verantwortlichen verarbeitet werden, sowie der technischen und organisatorischen Maßnahmen gemäß Artikel 35 DSGVO.

Verantwortlicher:

Elaraby Germany GmbH

Markt 9

Aufgang B/3. OG

04109 Leipzig

Stand: 10. Oktober 2025

Erstellt mit dem Datenschutz-Generator.de von Dr. Thomas Schwenke

Inhaltsverzeichnis

I.

Angaben zum Verantwortlichen

II.

Allgemeine Verfahrensregeln und Hinweise

1.

Präambel

2.

Maßgebliche Rechtsgrundlagen

2.1.

Maßgebliche Rechtsgrundlagen nach der DSGVO

2.2.

Nationale Datenschutzregelungen in Deutschland 

2.3.

Hinweis auf Geltung DSGVO und Schweizer DSG

3.

Übermittlung von personenbezogenen Daten

3.1.

Datenübermittlung innerhalb der Unternehmensgruppe

3.2.

Datenübermittlung innerhalb der Organisation

4.

Internationale Datentransfers

4.1. Datenverarbeitung in Drittländern

5. Allgemeine Informationen zur Datenspeicherung und Löschung

5.1. Aufbewahrung und Löschung von Daten

5.2. Fristbeginn mit Ablauf des Jahres

5.3. Überprüfung und Einhaltung der Löschfristen

6. Änderung und Aktualisierung

7. Rechte der betroffenen Personen

7.1. Rechte der betroffenen Personen aus der DSGVO

III.

Übersicht der Verarbeitungstätigkeiten

1.

Geschäftsprozesse und -verfahren

1.1.

Kontaktverwaltung und Kontaktpflege

1.2.

Allgemeiner Zahlungsverkehr

1.3.

Buchhaltung, Kreditorenbuchhaltung, Debitorenbuchhaltung

1.4.

Finanzbuchhaltung und Steuern

1.5.

Marketing, Werbung und Absatzförderung

1.6.

Öffentlichkeitsarbeit

1.7.

Recht und Compliance

1.8.

IT-Systemmanagement und -sicherheit

1.9.

Nutzung von Internet, E-Mail, Telefon und anderen Kommunikationsmitteln

1.10.

Management von Geräten

2.

Bereitstellung des Onlineangebots und Webhosting

2.1.

Bereitstellung Onlineangebot auf gemietetem Speicherplatz

2.2.

Erhebung von Zugriffsdaten und Logfiles

3.

Einsatz von Cookies

3.1.

Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung

4.

Kontakt- und Anfrageverwaltung

4.1.

Kontaktformular

5.

Kommunikation via Messenger

5.1.

Facebook-Messenger

6.

Cloud-Dienste

6.1.

Microsoft 365 und Microsoft Clouddienste

7.

Newsletter und elektronische Benachrichtigungen

7.1.

Messung von Öffnungs- und Klickraten

8.

Präsenzen in sozialen Netzwerken (Social Media)

8.1.

Instagram

8.2. Facebook-Seiten

IV.

Anhang: Technisch-organisatorische Maßnahmen (TOMs)

1.

Organisatorische Maßnahmen

1.1.

Datenschutz-management-system, bzw. Datenschutz-konzept

1.2.  

Organisationsstruktur für die Datensicherheit und Datenschutz

1.3.

Es existieren interne Sicherheitsricht- bzw. Leitlinien

1.4.

Regelmäßige und anlassloses System- und Sicherheitstests

1.5.

Beobachtung Stand der Technik und erforderliche Umsetzung

1.6.

Konzept zur Wahrung von Betroffenenrechten

1.7.

Notfallkonzept

1.8.

Dokumentation bei Sicherheitsvorkommnissen (Security Reporting)

1.9.

Sorgfältige Auswahl Dienstleister/ freie Mitarbeiter und ggf. Verpflichtung auf Vertraulichkeit

1.10.

Beachtung Vorgaben Datenschutz durch Technik

1.11.

Aktueller Stand von Hardware und Software

1.12.

Bezug Standardsoftware und Updates aus vertrauenswürdigen Quellen

1.13.

Angemessenes Lösch- und Entsorgungskonzept

1.14.

Sperrvermerke/ Aussonderung von Daten, wenn keine Löschung

2.

Datenschutz auf Mitarbeiterebene

2.1.

Verpflichtung Mitarbeiter auf Datenschutzgeheimnis

2.2.

Schulung und Sensibilisierung von Mitarbeitern

2.3.

Entzug von Zutritts- und Zugangsberechtigungen ausscheidender Mitarbeiter

2.4.

Clean-Desk-Richtlinie

3.

Zutrittskontrolle

3.1.

Personenkontrolle beim Pförtner oder am Empfang

3.2.

Protokollierung Ausgabe Schlüssel und/oder Zugangskarten

3.3.

Sperrung von Geräten und Sicherung der Arbeitsumgebung beim Verlassen

3.4.

Akten und Dokumente werden sicher aufbewahrt

3.5.

Datenträger werden sicher aufbewahrt

4.

Zugangskontrolle

4.1.

Passwortkonzept entsprechend Stand der Technik

4.2.

Passwortschutz aller Datenverarbeitungsanlagen

4.3.

Passwörter werden nicht im Klartext gespeichert oder übertragen

4.4.

Löschung von Zugangsinformationen ausgeschiedener Mitarbeiter

4.5.

Einsatz aktueller Anti-Viren-Software

4.6.

Einsatz Software-Firewall

5.

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)

5.1.

Angemessenes Berechtigungskonzept

5.2.

Regelmäßige Prüfung des Berechtigungskonzeptes

5.3.

Kontrolle der Administratoren

5.4.

Generelle Nachvollziehbarkeit von Datenzugriffen

6.

Weitergabekontrolle

6.1.

Fernzugriff/ Fernwartung per VPN

6.2.

Transportverschlüsselung von E-Mails

6.3.

Verschlüsselte Übermittlung Daten via Webseiten (TLS)

7.

Auftragskontrolle, Zweckbindung und Trennungskontrolle

7.1.

Gesonderte Dokumentation der Auftragsverarbeitung

7.2.

Sorgfältige Auswahl von Unterauftragsverarbeitern und Dienstleistern

7.3.

Weitergabe von Weisungen an Mitarbeiter und Unterauftragsverarbeiter

7.4.

Überprüfung der Einhaltung von Weisungen

7.5.

Besondere Beachtung der Löschfristen für Auftragsdaten

7.6.

Logische Trennung der Daten des Auftraggebers

7.7.

Trennung Produktiv-, Test- und Entwicklungsumgebung

8.

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen

8.1.

Einsatz ausfallsicherer, redundanter Serversysteme und Dienste

8.2.

Speicherung von Daten bei externen und zuverlässigen Hostinganbietern

8.3.

Regelmäßiges und dokumentiertes Patch-Management

8.4.

Ausfallsichere Stromversorgung von Serversystemen

8.5.

Brandschutz der Serversysteme

8.6.

Schutz der Serversysteme vor Feuchtigkeitsschaden

8.7.

Schutz von Datensätzen vor versehentlicher Veränderung oder Löschung

8.8.

Angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept

I. Angaben zum Verantwortlichen

VERANTWORTLICHER

___________________

Name und Adresse:

 

Elaraby Germany GmbH

Markt 9

Aufgang B/3. OG

04109 Leipzig

E-Mail-Adresse:

dsgvo@tornadohome.com

Vertretungsberechtigte Personen:

Marwan Elkott

II. Allgemeine Verfahrensregeln und Hinweise

1.

Präambel

___________________

Das Verzeichnis von Verarbeitungstätigkeiten umfasst eine Sammlung von allgemeinen Angaben, die für sämtliche nachfolgend beschriebenen Verarbeitungsverfahren relevant sind, sowie spezifische Details zu einzelnen Verarbeitungsprozessen, in deren Rahmen personenbezogene Daten (nachfolgend auch kurz als "Daten" bezeichnet) verarbeitet werden. Diese Struktur dient dazu, sowohl die Übersichtlichkeit zu wahren als auch eine präzise Information bereitzustellen. Die allgemeinen Angaben erläutern grundlegende Prinzipien und Richtlinien, die auf alle Verarbeitungsaktivitäten zutreffen, wie die Einhaltung von Datenschutzgrundsätzen, die Rechtsgrundlagen der Datenverarbeitung, und den Umgang mit den Rechten der betroffenen Personen. Im spezifischen Teil des Verzeichnisses werden detaillierte Informationen zu den einzelnen Verarbeitungsprozessen aufgeführt, darunter der Zweck der Datenverarbeitung, die betroffenen Datenkategorien, die Empfänger der Daten sowie gegebenenfalls die Übermittlung von Daten in Drittländer. Dieses Verzeichnis dient als zentrales Dokument, um die Transparenz und Nachvollziehbarkeit der Datenverarbeitung zu gewährleisten und ist ein wesentliches Element zur Erfüllung der Dokumentationspflichten unter der Datenschutz-Grundverordnung (DSGVO).

2.

Maßgebliche Rechtsgrundlagen

___________________

2.1.

Maßgebliche Rechtsgrundlagen nach der DSGVO

Beschreibung:

Die Verarbeitung personenbezogener Daten erfolgt gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Dies schließt die Einhaltung der in Artikel 5 DSGVO festgelegten Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit mit ein. Primär stützt sich die Datenverarbeitung auf die in Artikel 6 DSGVO definierten Bedingungen für die Rechtmäßigkeit der Verarbeitung oder auf spezifischere Erlaubnisnormen. Zusätzlich werden, falls notwendig, nationale Datenschutzregelungen des Wohn- oder Sitzlandes der betroffenen Personen beachtet. Speziellere Rechtsgrundlagen, die in bestimmten Fällen anwendbar sind, werden explizit in diesem Verzeichnis aufgeführt.

2.2.

Nationale Datenschutzregelungen in Deutschland

Beschreibung:

Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

2.3.

Hinweis auf Geltung DSGVO und Schweizer DSG

Beschreibung:

Dieses Verzeichnis von Verarbeitungstätigkeiten dient sowohl der Informationserteilung nach dem Schweizer DSG als auch nach der Datenschutzgrundverordnung (DSGVO). Aus diesem Grund ist zu beachten, dass aufgrund der breiteren räumlichen Anwendung und Verständlichkeit die Begriffe der DSGVO verwendet werden. Insbesondere werden anstelle der im Schweizer DSG verwendeten Begriffe "Bearbeitung" von "Personendaten", "überwiegendes Interesse" und "besonders schützenswerte Personendaten" die in der DSGVO verwendeten Begriffe "Verarbeitung" von "personenbezogenen Daten" sowie "berechtigtes Interesse" und "besondere Kategorien von Daten" verwendet. Die gesetzliche Bedeutung dieser Begriffe wird jedoch im Rahmen der Geltung des Schweizer DSG weiterhin nach dem Schweizer DSG bestimmt.

3.

Übermittlung von personenbezogenen Daten

___________________

Beschreibung:

Im Rahmen der Verarbeitung personenbezogener Daten durch den Verantwortlichen kann es erforderlich sein, diese Daten an andere Stellen wie Unternehmen, rechtlich unabhängige Organisationseinheiten oder Personen zu übermitteln oder sie diesen offenzulegen. Zu den Empfängern dieser Daten zählen häufig Dienstleister, die IT-Aufgaben übernehmen, oder Anbieter von Diensten und Inhalten, die in Websites integriert sind. Der Verantwortliche achtet dabei stets auf die Einhaltung der gesetzlichen Datenschutzvorschriften und stellt durch den Abschluss entsprechender Verträge oder Vereinbarungen sicher, dass der Datenschutz bei den Empfängern gewährleistet wird.

3.1.

Datenübermittlung innerhalb der Unternehmensgruppe

Beschreibung:

Datenübermittlung innerhalb der Unternehmensgruppe: Der Verantwortliche kann personenbezogene Daten an andere Unternehmen innerhalb der Unternehmensgruppe übermitteln oder ihnen den Zugriff darauf gewähren. Diese Datenweitergabe erfolgt auf Grundlage der berechtigten unternehmerischen und betriebswirtschaftlichen Interessen des Verantwortlichen. Darunter fallen beispielsweise die Verbesserung von Geschäftsprozessen, die Sicherstellung einer effizienten und effektiven internen Kommunikation, die optimale Nutzung personeller und technologischer Ressourcen sowie die Möglichkeit, fundierte Geschäftsentscheidungen zu treffen. In bestimmten Fällen kann die Datenweitergabe auch erforderlich sein, um die vertragsbezogenen Verpflichtungen des Verantwortlichen zu erfüllen, oder sie kann auf einer Einwilligung der betroffenen Personen beziehungsweise einer gesetzlichen Erlaubnis beruhen.

3.2.

Datenübermittlung innerhalb der Organisation

Beschreibung:

Der Verantwortliche kann personenbezogene Daten an andere Abteilungen oder Einheiten innerhalb der Organisation übermitteln oder ihnen den Zugriff darauf gewähren. Sofern die Datenweitergabe zu administrativen Zwecken erfolgt, beruht sie auf den berechtigten unternehmerischen und betriebswirtschaftlichen Interessen des Verantwortlichen oder erfolgt, sofern sie zur Erfüllung der vertragsbezogenen Verpflichtungen des Verantwortlichen erforderlich ist beziehungsweise wenn eine Einwilligung der betroffenen Personen oder eine gesetzliche Erlaubnis vorliegt.

4.

Internationale Datentransfers

___________________

4.1.

Datenverarbeitung in Drittländern

Beschreibung:

Sofern der Verantwortliche Daten in ein Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermittelt oder dies im Rahmen der Nutzung von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen geschieht (was erkennbar wird anhand der Postadresse des jeweiligen Anbieters oder wenn im Verzeichnis von Verarbeitungstätigkeiten ausdrücklich auf den Datentransfer in Drittländer hingewiesen wird), erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben. Für Datenübermittlungen in die USA stützt sich der Verantwortliche vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich hat der Verantwortliche mit den jeweiligen Anbietern Standardvertragsklauseln abgeschlossen, die den Vorgaben der EU-Kommission entsprechen und vertragliche Verpflichtungen zum Schutz personenbezogener Daten festlegen. Diese zweifache Absicherung gewährleistet einen umfassenden Schutz personenbezogener Daten: Das DPF bildet die primäre Schutzebene, während die Standardvertragsklauseln als zusätzliche Sicherheit dienen. Sollten sich Änderungen im Rahmen des DPF ergeben, greifen die Standardvertragsklauseln als zuverlässige Rückfalloption ein. So stellt der Verantwortliche sicher, dass personenbezogene Daten auch bei etwaigen politischen oder rechtlichen Veränderungen stets angemessen geschützt bleiben. Bei den einzelnen Diensteanbietern informiert der Verantwortliche betroffene Personen darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen können betroffene Personen auf der Website des US-Handelsministeriums unter https://www.dataprivacyframework.gov/ (in englischer Sprache) finden. Für Datenübermittlungen in andere Drittländer gelten entsprechende Sicherheitsmaßnahmen, insbesondere Standardvertragsklauseln, ausdrückliche Einwilligungen oder gesetzlich erforderliche Übermittlungen. Informationen zu Drittlandtransfers und geltenden Angemessenheitsbeschlüssen können dem Informationsangebot der EU-Kommission entnommen werden: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en?prefLang=de.

5.

Allgemeine Informationen zur Datenspeicherung und Löschung

___________________

Beschreibung:

 

Personenbezogene Daten, die vom Verantwortlichen verarbeitet werden, werden gemäß den gesetzlichen Bestimmungen gelöscht, sobald die zugrundeliegenden Einwilligungen widerrufen oder keine weiteren rechtlichen Grundlagen für die Verarbeitung vorhanden sind. Dies gilt für Fälle, in denen der ursprüngliche Verarbeitungszweck entfallen ist oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung gelten, wenn gesetzliche Verpflichtungen oder besondere Interessen des Verantwortlichen eine längere Aufbewahrung oder Archivierung der Daten erforderlich machen.

Insbesondere sind Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Aufbewahrung zur Rechtsverfolgung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen notwendig ist, entsprechend zu archivieren.

Die Datenschutzhinweise des Verantwortlichen enthalten zusätzliche Informationen zur Aufbewahrung und Löschung von Daten, die speziell für bestimmte Verarbeitungsprozesse relevant sind.

Bei Vorliegen mehrerer Angaben zur Aufbewahrungsdauer oder Löschungsfristen eines Datums ist stets die längste Frist maßgeblich.

Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, so beginnt sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist.

Daten, die nicht mehr für den ursprünglich vorgesehenen Zweck verarbeitet werden können, aber aufgrund gesetzlicher Vorgaben oder aus anderen Gründen aufbewahrt werden müssen, verarbeitet der Verantwortliche ausschließlich zu den Gründen, die ihre Aufbewahrung rechtfertigen.

5.1.

Aufbewahrung und Löschung von Daten

Beschreibung:

Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

  • 10 Jahre - Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 147 Abs. 1 Nr. 1 i.V.m. Abs. 3 AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB).
  • 8 Jahre - Buchungsbelege, wie z. B. Rechnungen und Kostenbelege (§ 147 Abs. 1 Nr. 4 und 4a i.V.m. Abs. 3 Satz 1 AO sowie § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB).
  • 6 Jahre - Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, z. B. Stundenlohnzettel, Betriebsabrechnungsbögen, Kalkulationsunterlagen, Preisauszeichnungen, aber auch Lohnabrechnungsunterlagen, soweit sie nicht bereits Buchungsbelege sind und Kassenstreifen (§ 147 Abs. 1 Nr. 2, 3, 5 i.V.m. Abs. 3 AO, § 257 Abs. 1 Nr. 2 u. 3 i.V.m. Abs. 4 HGB).
  • 3 Jahre - Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen sowie damit verbundene Anfragen zu bearbeiten, basierend auf früheren Geschäftserfahrungen und üblichen Branchenpraktiken, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).

5.2.

Fristbeginn mit Ablauf des Jahres

Beschreibung:

Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, so startet sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Im Fall laufender Vertragsverhältnisse, in deren Rahmen Daten gespeichert werden, ist das fristauslösende Ereignis der Zeitpunkt des Wirksamwerdens der Kündigung oder sonstige Beendigung des Rechtsverhältnisses.

5.3.

Überprüfung und Einhaltung der Löschfristen

Beschreibung:

Die Einhaltung der gesetzlichen und internen Vorgaben bezüglich der Löschung personenbezogener Daten wird regelmäßig geprüft. Es wird sichergestellt, dass alle personenbezogenen Daten, die nicht mehr benötigt werden oder deren Speicherfrist abgelaufen ist, gemäß den relevanten Datenschutzvorschriften gelöscht werden oder, im Fall von Archivierungs- und Aufbewahrungspflichten, die Verarbeitung auf diese Zwecke eingeschränkt wird. Diese Prüfungen der Löschvorgaben und der Einhaltung der festgelegten Löschfristen finden regelmäßig, mindestens jedoch einmal jährlich, statt. Die Ergebnisse der Prüfung werden von der für die Löschungsprüfung zuständigen Person(en) dokumentiert und bewertet. Bei Feststellung von Abweichungen werden umgehend Korrekturmaßnahmen eingeleitet und die Effektivität dieser Maßnahmen in nachfolgenden Überprüfungen evaluiert, um eine fortlaufende Compliance sicherzustellen.

6.

Änderung und Aktualisierung

___________________

Beschreibung:

Das Verzeichnis von Verarbeitungstätigkeiten wird angepasst, sobald Änderungen in den Verarbeitungsprozessen dies erforderlich machen, oder wenn gesetzliche Bestimmungen oder andere zwingende Gründe eine Anpassung notwendig erscheinen lassen. Unabhängig von solchen Ereignissen findet eine regelmäßige Überprüfung des Verzeichnisses mindestens einmal jährlich statt, um sicherzustellen, dass das Verzeichnis stets den aktuellen Verarbeitungsaktivitäten und den rechtlichen Anforderungen entspricht.

7.

Rechte der betroffenen Personen

___________________

7.1.

Rechte der betroffenen Personen aus der DSGVO

Beschreibung:

Betroffene Personen werden umfassend über ihre Rechte entsprechend der DSGVO informiert. Diese Informationen werden in einer öffentlichen Datenschutzerklärung oder im Einzelfall präzise, transparent, verständlich und leicht zugänglich bereitgestellt. Die Kommunikation erfolgt in klarer und einfacher Sprache. Die wesentlichen Rechte umfassen: a) das Widerspruchsrecht, b) das Widerrufsrecht bei Einwilligungen, c) das Auskunftsrecht, d) das Recht auf Berichtigung, e) das Recht auf Löschung und Einschränkung der Verarbeitung, f) das Recht auf Datenübertragbarkeit und g) das Recht auf Beschwerde bei einer Aufsichtsbehörde.

III. Übersicht der Verarbeitungstätigkeiten

1.

Geschäftsprozesse und -verfahren

___________________

Beschreibung:

Personenbezogene Daten von Leistungsempfängern und Auftraggebern – darunter Kunden, Klienten oder in speziellen Fällen Mandanten, Patienten oder Geschäftspartner sowie weitere Dritte – werden im Rahmen vertraglicher sowie vergleichbarer Rechtsverhältnisse und vorvertraglicher Maßnahmen wie der Anbahnung von Geschäftsbeziehungen verarbeitet. Diese Datenverarbeitung unterstützt und erleichtert betriebswirtschaftliche Abläufe in Bereichen wie Kundenmanagement, Vertrieb, Zahlungsverkehr, Buchhaltung und Projektmanagement.

Die erfassten Daten dienen dazu, vertragliche Verpflichtungen zu erfüllen und betriebliche Prozesse effizient zu gestalten. Hierzu gehört die Abwicklung von Geschäftstransaktionen, das Management von Kundenbeziehungen, die Optimierung von Vertriebsstrategien sowie die Gewährleistung interner Rechnungs- und Finanzprozesse. Zusätzlich unterstützen die Daten die Wahrung der Rechte des Verantwortlichen und fördern Verwaltungsaufgaben sowie die Organisation des Unternehmens.

Personenbezogene Daten können an Dritte weitergegeben werden, sofern dies zur Erfüllung der genannten Zwecke oder gesetzlicher Verpflichtungen notwendig ist. Nach Ablauf gesetzlicher Aufbewahrungsfristen oder wenn der Zweck der Verarbeitung entfällt, werden die Daten gelöscht. Dies umfasst auch Daten, die aufgrund von steuerrechtlichen und gesetzlichen Nachweispflichten länger gespeichert werden müssen.

Datenkategorien:

Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.

Betroffene:

Leistungsempfänger und Auftraggeber; Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner; Dritte Personen; Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten); Beschäftigte (z. B. Angestellte, Bewerber, Aushilfskräfte und sonstige Mitarbeiter.

Zwecke/ Interesse:

Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Büro- und Organisationsverfahren; Geschäftsprozesse und betriebswirtschaftliche Verfahren; Kommunikation; Marketing; Absatzförderung; Öffentlichkeitsarbeit; Finanz- und Zahlungsmanagement; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.

Datenquellen:

Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber; Erhebung bei betroffenen Personen; Erhebung aus anderen Quellen; Erhebung über Schnittstellen zu Diensten anderer Anbieter; Erhebung im Rahmen von Werbe- und Marketingaktionen; Erhebung bei Nutzern; Erhebung bei Kunden.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO.

1.1.

Kontaktverwaltung und Kontaktpflege

Beschreibung:

Verfahren, die im Rahmen der Organisation, Pflege und Sicherung von Kontaktinformationen erforderlich sind (z. B. die Einrichtung und Wartung einer zentralen Kontaktdatenbank, regelmäßige Aktualisierungen der Kontaktinformationen, Überwachung der Datenintegrität, Implementierung von Datenschutzmaßnahmen, Sicherstellung der Zugriffskontrollen, Durchführung von Backups und Wiederherstellungen der Kontaktdaten, Schulung von Mitarbeitern im effektiven Umgang mit Kontaktmanagement-Software, regelmäßige Überprüfung der Kommunikationshistorie und Anpassung der Kontaktstrategien.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner, Dritte Personen.
  • Zwecke der Verarbeitung: Kommunikation, Büro- und Organisationsverfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.2.

Allgemeiner Zahlungsverkehr

Beschreibung:

Verfahren, die bei der Durchführung von Zahlungsvorgängen, der Überwachung von Bankkonten und der Kontrolle von Zahlungsströmen erforderlich sind (z. B. Erstellung und Prüfung von Überweisungen, Abwicklung des Lastschriftverkehrs, Kontrolle von Kontoauszügen, Überwachung von Zahlungseingängen und -ausgängen, Rücklastschriftmanagement, Kontenabstimmung, Cash-Management).

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Büro- und Organisationsverfahren, Finanz- und Zahlungsmanagement.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.3.

Buchhaltung, Kreditorenbuchhaltung, Debitorenbuchhaltung

Beschreibung:

Verfahren, die bei der Erfassung, Bearbeitung und Kontrolle von Geschäftsvorgängen im Bereich der Kreditoren- und Debitorenbuchhaltung erforderlich sind (z. B. Erstellung und Prüfung von eingehenden und ausgehenden Rechnungen, Überwachung und Verwaltung von offenen Posten, Durchführung des Zahlungsverkehrs, Abwicklung des Mahnwesens, Kontenabstimmung im Rahmen von Forderungen und Verbindlichkeiten, Kreditorenbuchhaltung und Debitorenbuchhaltung).

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Büro- und Organisationsverfahren, Finanz- und Zahlungsmanagement.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.4.

Finanzbuchhaltung und Steuern

Beschreibung:

Verfahren, die bei der Erfassung, Verwaltung und Kontrolle von finanzrelevanten Geschäftsvorfällen sowie bei der Berechnung, Meldung und Zahlung von Steuern erforderlich sind (z. B. Kontierung und Verbuchung von Geschäftsvorfällen, Erstellung von Quartals- und Jahresabschlüssen, Durchführung des Zahlungsverkehrs, Abwicklung des Mahnwesens, Kontenabstimmung, steuerliche Beratung, Erstellung und Einreichung von Steuererklärungen, Abwicklung des Steuerwesens).

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Büro- und Organisationsverfahren, Finanz- und Zahlungsmanagement.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.5.

Marketing, Werbung und Absatzförderung

Beschreibung:

Verfahren, die im Rahmen von Marketing, Werbung und Absatzförderung erforderlich sind (z. B. Marktanalyse und Zielgruppenbestimmung, Entwicklung von Marketingstrategien, Planung und Durchführung von Werbekampagnen, Gestaltung und Produktion von Werbematerialien, Online-Marketing einschließlich SEO und Social Media Kampagnen, Eventmarketing und Messebeteiligungen, Kundenbindungsprogramme, Verkaufsförderungsmaßnahmen, Performance-Messung und Optimierung der Marketingaktivitäten, Budgetverwaltung und Kostenkontrolle.

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen.
  • Betroffene Personen: Interessenten, Kommunikationspartner, Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten), Geschäfts- und Vertragspartner, Dritte Personen.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Marketing, Absatzförderung.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.6.

Öffentlichkeitsarbeit

Beschreibung:

Verfahren, die im Rahmen der Öffentlichkeitsarbeit und Public Relations erforderlich sind (z. B. Entwicklung und Umsetzung von Kommunikationsstrategien, Planung und Durchführung von PR-Kampagnen, Erstellung und Verbreitung von Pressemitteilungen, Pflege von Medienkontakten, Monitoring und Analyse der Medienresonanz, Organisation von Pressekonferenzen und öffentlichen Veranstaltungen, Krisenkommunikation, Erstellung von Content für soziale Medien und Unternehmenswebseiten, Betreuung des Corporate Branding).

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner, Dritte Personen.
  • Zwecke der Verarbeitung: Öffentlichkeitsarbeit, Absatzförderung, Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen, Erhebung über Schnittstellen zu Diensten anderer Anbieter, Erhebung im Rahmen von Werbe- und Marketingaktionen.

1.7.

Recht und Compliance

Beschreibung:

Verfahren, die bei der Überprüfung, Sicherstellung und Durchsetzung der Einhaltung von rechtlichen Vorschriften und unternehmensinternen Richtlinien erforderlich sind (z. B. Rechtsberatung und -vertretung, Erstellung und Prüfung von Verträgen und rechtlichen Dokumenten, Durchführung von Compliance-Checks, Bearbeitung von Rechtsstreitigkeiten, Schulung und Sensibilisierung von Mitarbeitern, Erstellung und Pflege eines Compliance-Management-Systems).

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner, Dritte Personen.
  • Zwecke der Verarbeitung: Büro- und Organisationsverfahren, Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Erhebung bei Kunden, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.8.

IT-Systemmanagement und -sicherheit

Beschreibung:

Prozesse, die im Zusammenhang mit der Installation, dem Betrieb, der Wartung und dem Schutz von IT-Systemen, Netzwerken und Daten erforderlich sind (z. B. Serverwartung, Netzwerkplanung und -überwachung, Implementierung von Sicherheitsprotokollen und -strategien, Verwaltung von Firewall- und Antivirenprogrammen, Datensicherung und -wiederherstellung, IT-Helpdesk und Benutzersupport, Softwareinstallation und -updates).

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Büro- und Organisationsverfahren, Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.)), Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Erhebung bei Nutzern, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen, Erhebung über Schnittstellen zu Diensten anderer Anbieter.

1.9.

Nutzung von Internet, E-Mail, Telefon und anderen Kommunikationsmitteln

Beschreibung:

Verfahren, die bei der Nutzung von Internet, E-Mail, Telefon und anderen Kommunikationsmitteln unter Berücksichtigung des Datenschutzes erforderlich sind (z. B. Einrichtung und Wartung sicherer Kommunikationsnetzwerke, Implementierung von Datenschutzrichtlinien für den E-Mail-Verkehr, sichere Konfiguration von Telefonanlagen, regelmäßige Überprüfung und Aktualisierung von Sicherheitsprotokollen, Schulungen der Mitarbeiter in datenschutzgerechtem Umgang mit Kommunikationsmitteln, Monitoring und Analyse des Kommunikationsverkehrs zur Einhaltung von Datenschutzvorgaben, sichere Speicherung und Archivierung von Kommunikationsdaten.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen), Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Büro- und Organisationsverfahren, Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

1.10.

Management von Geräten

Beschreibung:

Verfahren, die bei der Nutzung von Geräten, Maschinen und zugehöriger Ausrüstung unter Berücksichtigung des Datenschutzes erforderlich sind (z. B. Gerätewartung und -reparatur unter Einhaltung von Datenschutzvorgaben, sicheres Bestandsmanagement, Planung und Disposition von Geräten mit datenschutzkonformer Dokumentation, Energie- und Ressourcenmanagement mit Fokus auf Datenschutz, Datenschutzschulungen und Sicherheitsmaßnahmen, Verwaltung der Geräteausstattung unter Berücksichtigung des Datenschutzes, Koordination von Geräteeinsätzen mit Datenschutzprüfungen, datenschutzkonforme Beschaffung, Unterhalt, Wartung und Verkauf von Geräten.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.), Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen.
  • Betroffene Personen: Beschäftigte (z. B. Angestellte, Bewerber, Aushilfskräfte und sonstige Mitarbeiter), Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten, Büro- und Organisationsverfahren.
  • Datenquellen: Erhebung bei betroffenen Personen, Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch Geschäftspartner und Auftraggeber, Erhebung aus anderen Quellen.

2.

Bereitstellung des Onlineangebots und Webhosting

___________________

Beschreibung:

Die Daten der Nutzer werden verarbeitet, um ihnen die Online-Dienste des Verantwortlichen zur Verfügung stellen zu können. Zu diesem Zweck werden insbesondere auch IP-Adresse der Nutzer verarbeitet, die notwendig ist, um die Inhalte und Funktionen der Online-Dienste des Verantwortlichen an den Browser oder das Endgerät der Nutzer zu übermitteln.

Datenkategorien:

Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Protokolldaten (z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.

Betroffene:

Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten.

Zwecke/ Interesse:

Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.)); Sicherheitsmaßnahmen.

Datenquellen:

Erhebung bei Nutzern; Erhebung bei betroffenen Personen.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

2.1.

Bereitstellung Onlineangebot auf gemietetem Speicherplatz

Beschreibung:

Zur Bereitstellung unseres Onlineangebotes wird Speicherplatz, Rechenkapazität und Software genutzt, die von einem entsprechenden Serveranbieter (auch "Webhoster" genannt) gemietet oder anderweitig bezogen werden.

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.
  • Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten.
  • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.

2.2.

Erhebung von Zugriffsdaten und Logfiles

Beschreibung:

Der Zugriff auf das Onlineangebot des Verantwortlichen wird in Form von sogenannten "Server-Logfiles" protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen und der anfragende Provider gehören. Die Serverlogfiles werden zum einen zu Sicherheitszwecken eingesetzt, z. B. um eine Überlastung der Server zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten DDoS-Attacken), und zum anderen, um die Auslastung der Server und ihre Stabilität sicherzustellen.

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Löschung von Daten: Logfile-Informationen werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.;
  • Verarbeitete Datenarten: Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.
  • Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten.
  • Zwecke der Verarbeitung: Sicherheitsmaßnahmen, Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.

3.

Einsatz von Cookies

___________________

Beschreibung:

Der Verantwortliche setzt Cookies gemäß den gesetzlichen Vorschriften ein. Dementsprechend wird von den Nutzern eine vorhergehende Einwilligung eingeholt, es sei denn, diese ist laut Gesetzeslage nicht erforderlich. Eine Erlaubnis ist insbesondere dann nicht notwendig, wenn das Speichern und Auslesen der Informationen – also auch von Cookies – unbedingt erforderlich sind, um den Nutzern einen von ihnen ausdrücklich gewünschten Telemediendienst (d. h. das Onlineangebot des Verantwortlichen) zur Verfügung zu stellen. Die widerrufliche Einwilligung wird gegenüber den Nutzern deutlich kommuniziert und enthält Informationen zur jeweiligen Nutzung der Cookies.

Hinweise zu datenschutzrechtlichen Rechtsgrundlagen: Die datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Daten der Nutzer mithilfe von Cookies durch den Verantwortlichen hängt davon ab, ob eine Einwilligung eingeholt wird. Falls die Nutzer ihre Einwilligung erteilen, basiert die Verarbeitung ihrer Daten auf dieser erklärten Einwilligung. Andernfalls erfolgt die Verarbeitung der mithilfe von Cookies erhobenen Daten auf Grundlage berechtigter Interessen des Verantwortlichen (z. B. an einem betriebswirtschaftlichen Betrieb seines Onlineangebots und dessen Verbesserung) oder im Rahmen der Erfüllung vertraglicher Pflichten des Verantwortlichen, sofern der Einsatz von Cookies hierfür erforderlich ist.

Speicherdauer: Es wird zwischen folgenden Arten von Cookies unterschieden:

Temporäre Cookies (auch bekannt als Session- oder Sitzungscookies): Diese werden spätestens gelöscht nachdem ein Nutzer ein Onlineangebot verlassen und sein Endgerät (z. B. Browser oder mobile Applikation) geschlossen hat.

Permanente Cookies: Diese bleiben auch nach dem Schließen des Endgeräts gespeichert und ermöglichen es z. B., den Log-in-Status bei erneutem Besuch einer Website direkt anzuzeigen oder bevorzugte Inhalte vorzuhalten sowie zur Reichweitenmessung genutzt zu werden. Sofern vom Verantwortlichen keine expliziten Angaben zur Art und Speicherdauer von Cookies gemacht werden (z. B. im Rahmen der Einholung einer Einwilligung), sollten Nutzer davon ausgehen, dass diese permanent sind und eine Speicherdauer bis zu zwei Jahre haben können.

Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-out): Nutzer können ihre erteilten Einwilligungen jederzeit widerrufen und darüber hinaus einen Widerspruch gegen die Verarbeitung ihrer Daten entsprechend den gesetzlichen Bestimmungen erklären.

Als Cookies werden im Rahmen dieses Verzeichnisses von Verarbeitungstätigkeiten Dateien bzw. sonstige Speichervermerke verstanden, die Informationen auf Endgeräten speichern und aus ihnen auslesen. Sie können z. B. dazu dienen, den Log-in-Status in einem Nutzerkonto oder die aufgerufenen Inhalte bzw. verwendeten Funktionen eines Onlineangebots zu speichern. Darüber hinaus können Cookies für verschiedene Zwecke eingesetzt werden, etwa zur Gewährleistung der Funktionsfähigkeit, Sicherheit und des Komforts von Onlineangeboten sowie zur Erstellung von Analysen der Besucherströme.

Datenkategorien:

Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.

Betroffene:

Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten.

Datenquellen:

Erhebung bei Nutzern; Erhebung bei betroffenen Personen.

Rechtsgrundlagen:

Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

3.1.

Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung

Beschreibung:

Der Verantwortliche setzt eine Einwilligungs-Management-Lösung ein, bei der die Einwilligung der Nutzer zur Verwendung von Cookies oder zu den im Rahmen der Einwilligungs-Management-Lösung genannten Verfahren und Anbietern eingeholt wird. Dieses Verfahren dient der Einholung, Protokollierung, Verwaltung und dem Widerruf von Einwilligungen, insbesondere bezogen auf den Einsatz von Cookies und vergleichbaren Technologien, die zur Speicherung, zum Auslesen und zur Verarbeitung von Informationen auf den Endgeräten der Nutzer eingesetzt werden. Im Rahmen dieses Verfahrens werden die Einwilligungen der Nutzer für die Nutzung von Cookies und die damit verbundenen Verarbeitungen von Informationen, einschließlich der im Einwilligungs-Management-Verfahren genannten spezifischen Verarbeitungen und Anbieter, eingeholt. Die Nutzer haben zudem die Möglichkeit, ihre Einwilligungen zu verwalten und zu widerrufen. Die Einwilligungserklärungen werden gespeichert, um eine erneute Abfrage zu vermeiden und den Nachweis der Einwilligung gemäß der gesetzlichen Anforderungen führen zu können. Die Speicherung erfolgt serverseitig und/oder in einem Cookie (sogenanntes Opt-In-Cookie) oder mittels vergleichbarer Technologien, um die Einwilligung einem spezifischen Nutzer oder dessen Gerät zuordnen zu können. Sofern keine spezifischen Angaben zu den Anbietern von Einwilligungs-Management-Diensten vorliegen, gelten folgende allgemeine Hinweise: Die Dauer der Speicherung der Einwilligung beträgt bis zu zwei Jahre. Dabei wird ein pseudonymer Nutzer-Identifikator erstellt, der zusammen mit dem Zeitpunkt der Einwilligung, den Angaben zum Umfang der Einwilligung (z. B. betreffende Kategorien von Cookies und/oder Diensteanbieter) sowie Informationen über den Browser, das System und das verwendete Endgerät gespeichert wird.

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

4.

Kontakt- und Anfrageverwaltung

___________________

Beschreibung:

Bei der Kontaktaufnahme mit dem Verantwortlichen (z. B. per Post, Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen vom Verantwortlichen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Datenkategorien:

Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.

Betroffene:

Kommunikationspartner.

Zwecke/ Interesse:

Kommunikation; Organisations- und Verwaltungsverfahren; Feedback (z. B. Sammeln von Feedback via Online-Formular); Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.

Datenquellen:

Erhebung bei betroffenen Personen.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO.

4.1.

Kontaktformular

Beschreibung:

Bei Kontaktaufnahme über das Kontaktformular, per E-Mail oder anderen Kommunikationswegen, verarbeitet der Verantwortliche die ihm übermittelten personenbezogenen Daten zur Beantwortung und Bearbeitung des jeweiligen Anliegens. Dies umfasst in der Regel Angaben wie Name, Kontaktinformationen und gegebenenfalls weitere Informationen, die mitgeteilt werden und zur angemessenen Bearbeitung erforderlich sind. Diese Daten werden ausschließlich für den angegebenen Zweck der Kontaktaufnahme und Kommunikation genutzt.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Verarbeitete Datenarten: Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Kommunikation, Organisations- und Verwaltungsverfahren.

5.

Kommunikation via Messenger

___________________

Beschreibung:

Es werden Messenger zu Zwecken der Kommunikation eingesetzt. Kommunikationspartner können den Verantwortlichen auch auf alternativen Wegen, z. B. via Telefon oder E-Mail, kontaktieren.

Hinweise zu Rechtsgrundlagen: Sofern vor der Kommunikation mit den Kommunikationspartnern via Messenger um eine Erlaubnis gebeten wird, ist die Rechtsgrundlage für die Verarbeitung ihrer Daten deren Einwilligung. Im Übrigen, falls keine Einwilligung eingeholt wird und sie z. B. von sich aus Kontakt aufnehmen, werden Messenger im Verhältnis zu Vertragspartnern sowie im Rahmen der Vertragsanbahnung als eine vertragliche Maßnahme genutzt und im Fall anderer Interessenten und Kommunikationspartner auf Grundlage berechtigter Interessen an einer schnellen und effizienten Kommunikation sowie Erfüllung der Bedürfnisse unserer Kommunikationspartner an der Kommunikation via Messenger. Ferner wird darauf hingewiesen, dass ohne Ihre Einwilligung Kontaktdaten nicht erstmalig an die Messenger übermittelt werden.

Widerruf, Widerspruch und Löschung: Eine erteilte Einwilligung kann jederzeit widerrufen werden und dem Einsatz von Messengern für die Kommunikation kann jederzeit widersprochen werden. Im Fall der Nutzung von Messengern für die Kommunikation erfolgt das Löschen von Nachrichten entsprechend den generellen Löschrichtlinien des Verantwortlichen (d. h., wie oben beschrieben, nach Ende vertraglicher Beziehungen oder im Kontext von Archivierungsvorgaben etc.) bzw., sobald davon ausgegangen werden kann etwaige Auskünfte beantwortet zu haben wenn kein Rückbezug auf eine vorhergehende Konversation zu erwarten ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Vorbehalt des Verweises auf andere Kommunikationswege: Um Sicherheit gewährleisten zu können werden Nutzer informiert, dass Anfragen über Messenger möglicherweise nicht beantwortet werden können Dies betrifft Situationen in denen etwa Details besonders vertraulich behandelt müssen oder eine Antwort über Messenger den formellen Anforderungen nicht entspricht In diesen Fällen wird Nutzern empfohlen geeignetere Kommunikationswege zu nutzen

Datenkategorien:

Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.

Betroffene:

Kommunikationspartner.

Zwecke/ Interesse:

Kommunikation.

Datenquellen:

Erhebung bei betroffenen Personen.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

5.1.

Facebook-Messenger

Beschreibung:

Textnachrichten senden und empfangen, Sprach- und Videoanrufe durchführen, Gruppenchats erstellen, Dateien und Medien teilen, Standortinformationen übermitteln, Kontakte synchronisieren, Nachrichten verschlüsseln.

  • Diensteanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Website: https://www.facebook.com;
  • Datenschutzerklärung: https://www.facebook.com/privacy/policy/;
  • Auftragsverarbeitungsvertrag: https://www.facebook.com/legal/terms/dataprocessing;
  • Grundlage für Drittlandtransfers: Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln (https://www.facebook.com/legal/EU_data_transfer_addendum);
  • Verarbeitete Datenarten: Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern), Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Kommunikation.

6.

Cloud-Dienste

___________________

Beschreibung:

Es werden über das Internet zugängliche und auf den Servern ihrer Anbieter ausgeführte Softwaredienste (sogenannte "Cloud-Dienste", auch bezeichnet als "Software as a Service") für die Speicherung und Verwaltung von Inhalten (z. B. Dokumentenspeicherung und -verwaltung, Austausch von Dokumenten, Inhalten und Informationen mit bestimmten Empfängern oder Veröffentlichung von Inhalten und Informationen) genutzt.

In diesem Rahmen können personenbezogene Daten verarbeitet und auf den Servern der Anbieter gespeichert werden, soweit diese Bestandteil von Kommunikationsvorgängen mit dem Verantwortlichen sind oder vom Verantwortlichen sonst, wie im Rahmen dieses Verzeichnisses von Verarbeitungstätigkeiten dargelegt, verarbeitet werden. Zu diesen Daten können insbesondere Stammdaten und Kontaktdaten der Nutzer, Daten zu Vorgängen, Verträgen, sonstigen Prozessen und deren Inhalte gehören. Die Anbieter der Cloud-Dienste verarbeiten ferner Nutzungsdaten und Metadaten, die sie zu Sicherheitszwecken und zur Serviceoptimierung verwenden.

Sofern mit Hilfe der Cloud-Dienste für andere Nutzer oder öffentlich zugängliche Webseiten Formulare oder andere Dokumente und Inhalte bereitgestellt werden, können die Anbieter Cookies auf den Geräten der Nutzer für Zwecke der Webanalyse oder zum Speichern von Einstellungen der Nutzer (z. B. im Fall der Mediensteuerung) speichern.

Datenkategorien:

Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen.

Betroffene:

Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner.

Zwecke/ Interesse:

Büro- und Organisationsverfahren; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.

Datenquellen:

Erhebung bei betroffenen Personen.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

6.1.

Microsoft 365 und Microsoft Clouddienste

Beschreibung:

Bereitstellung von Anwendungen, Schutz von Daten und IT-Systemen sowie Nutzung systemgenerierter Protokoll-, Diagnose- und Metadaten zur Vertragsdurchführung durch Microsoft. Verarbeitet werden Kontaktdaten (Name, E-Mail-Adresse), Inhaltsdaten (Dateien, Kommentare, Profile), Software-Setup- und Inventardaten, Gerätekonnektivitäts- und Konfigurationsdaten, Arbeitsinteraktionen (Badge Swipe) sowie Protokoll- und Metadaten. Die Verarbeitung erfolgt zu Zwecken der Effizienz- und Produktivitätssteigerungen, Kosteneffizienz, Flexibilität, Mobilität, verbesserter Kommunikation, Integration von Microsoft-Diensten, IT-Sicherheit und Geschäftsabwicklung von Microsoft. Die Aufbewahrung von Daten richtet sich nach den jeweiligen Dokumenten und Unternehmensrichtlinien, beim Defender (Schutz von Daten und IT-Systemen ) bis zu 12 Monate, beim Druckmanagement 10 Tage. Zusätzlich werden Diagnosedaten zur Produktstabilität und Verbesserung erhoben.

  • Diensteanbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland; Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Website: https://microsoft.com/de-de;
  • Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement, Sicherheitshinweise: https://www.microsoft.com/de-de/trustcenter;
  • Auftragsverarbeitungsvertrag: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA;
  • Grundlage für Drittlandtransfers: Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA);

7.

Newsletter und elektronische Benachrichtigungen

___________________

Beschreibung:

Newsletter, E-Mails und weitere elektronische Benachrichtigungen (nachfolgend „Newsletter") werden ausschließlich mit der Einwilligung der Empfänger oder aufgrund einer gesetzlichen Grundlage versendet. Sofern bei der Anmeldung zum Newsletter dessen Inhalte genannt werden, sind diese Inhalte für die Einwilligung der Nutzer maßgeblich. Für die Anmeldung zum Newsletter des Verantwortlichen ist normalerweise die Angabe einer E-Mail-Adresse ausreichend. Um jedoch einen personalisierten Service bieten zu können, kann gegebenenfalls um die Angabe des Namens für eine persönliche Ansprache im Newsletter oder um weitere Informationen gebeten werden, falls diese für den Zweck des Newsletters notwendig sind.

Ausgetragene E-Mail-Adressen können bis zu drei Jahren auf Grundlage berechtigter Interessen des Verantwortlichen gespeichert werden, bevor sie gelöscht werden, um eine ehemals gegebene Einwilligung nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer potenziellen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird. Im Fall von Pflichten zur dauerhaften Beachtung von Widersprüchen behält sich der Verantwortliche die Speicherung der E-Mail-Adresse alleine zu diesem Zweck in einer Sperrliste (sogenannte „Blocklist") vor.

Die Protokollierung des Anmeldeverfahrens basiert auf den berechtigten Interessen des Verantwortlichen zum Nachweis seines ordnungsgemäßen Ablaufs. Die Beauftragung eines Dienstleisters mit dem Versand von E-Mails erfolgt auf Grundlage berechtigter Interessen an einem effizienten und sicheren Versandsystem durch den Verantwortlichen.

Datenkategorien:

Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen.

Betroffene:

Kommunikationspartner.

Zwecke/ Interesse:

Direktmarketing (z. B. per E-Mail oder postalisch.

Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

Inhalte:

Informationen zu uns, unseren Leistungen, Aktionen und Angeboten.

7.1.

Messung von Öffnungs- und Klickraten

Beschreibung:

Der Verantwortliche nutzt Newsletter, die einen sogenannten „Web Beacon" enthalten. Dies ist eine pixelgroße Datei, die beim Öffnen des Newsletters vom Server des Verantwortlichen oder Server eines Versanddienstleisters, sofern ein Versanddienstleister eingesetzt wird, abgerufen wird. Während dieses Abrufs werden technische Informationen wie Browserdetails und Systeminformationen sowie die IP-Adresse und der Zeitpunkt des Abrufs erhoben. Diese Daten dienen zur technischen Optimierung des Newsletters anhand von technischen Daten oder Zielgruppenanalysen basierend auf den Orten des Abrufs (die durch die IP-Adresse identifizierbar sind) oder den Zugriffszeiten. Die Analyse umfasst auch die Ermittlung, ob und wann die Newsletter geöffnet werden und welche Links angeklickt werden. Die gesammelten Informationen werden einzelnen Empfängern zugeordnet und in ihren Profilen bis zur Löschung gespeichert. Diese Auswertungen helfen dabei, das Leseverhalten der Nutzer zu verstehen und unsere Inhalte entsprechend anzupassen oder unterschiedliche Inhalte basierend auf den Interessen der Nutzer zu versenden. Die Messung der Öffnungs- und Klickraten sowie die Speicherung dieser Messergebnisse in den Nutzerprofilen erfolgen auf Grundlage einer Einwilligung der Nutzer.

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO.
  • Verarbeitete Datenarten: Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen), Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen.
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Direktmarketing (z. B. per E-Mail oder postalisch.

8.

Präsenzen in sozialen Netzwerken (Social Media)

___________________

Beschreibung:

Der Verantwortliche unterhält Onlinepräsenzen innerhalb sozialer Netzwerke und verarbeitet in diesem Rahmen Nutzerdaten, um mit den dort aktiven Nutzern zu kommunizieren oder Informationen über sich anzubieten.

Der Verantwortliche weist die betroffenen Personen im Rahmen der Datenschutzhinweise darauf hin, dass Nutzerdaten außerhalb des Raumes der Europäischen Union verarbeitet werden können. Hierdurch können sich Risiken für die Nutzer ergeben, weil dies beispielsweise die Durchsetzung ihrer Rechte erschweren könnte.

Weiterhin verarbeitet der Verantwortliche Daten der Nutzer innerhalb sozialer Netzwerke üblicherweise für Marktforschungs- und Werbezwecke. Anhand des Nutzungsverhaltens und daraus resultierender Interessen der Nutzer können Nutzungprofile erstellt werden. Diese Profile können verwendet werden, um Werbeanzeigen innerhalb und außerhalb der Netzwerke zu schalten, die den Interessen der Nutzer entsprechen könnten. Infolgedessen werden in der Regel Cookies auf den Rechnern der Nutzer gespeichert, welche das Nutzungsverhalten und die Interessen speichern. Darüber hinaus können Daten in den Nutzungprofilen unabhängig von den Geräten, die von den Nutzern verwendet werden, gespeichert werden (insbesondere wenn sie Mitglieder der jeweiligen Plattformen sind und dort eingeloggt sind).

Für eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und der Widerspruchsmöglichkeiten (Opt-out) verweist der Verantwortliche die Nutzer auf die Datenschutzerklärungen und Angaben der Betreiber der jeweiligen Netzwerke.

Bezüglich Auskunftsanfragen und Geltendmachung von Betroffenenrechten weist der Verantwortliche Nutzer darauf hin, dass diese am effektivsten direkt bei den Anbietern geltend gemacht werden können. Nur diese haben Zugriff auf die Daten der Nutzer und können direkt Maßnahmen ergreifen sowie Auskünfte erteilen. Sollten betroffene Personen dennoch Hilfe benötigen, steht ihnen der Verantwortliche zur Verfügung.

Datenkategorien:

Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung); Nutzungsdaten (z. B. Seitenaufrufe und Verweildauer, Klickpfade, Nutzungsintensität und -frequenz, verwendete Gerätetypen und Betriebssysteme, Interaktionen mit Inhalten und Funktionen.

Betroffene:

Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten.

Zwecke/ Interesse:

Kommunikation; Feedback (z. B. Sammeln von Feedback via Online-Formular); Öffentlichkeitsarbeit.

Datenquellen:

Erhebung bei betroffenen Personen; Erhebung über Schnittstellen zu Diensten anderer Anbieter.

Aufbewahrung und Löschung:

Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".

Rechtsgrundlagen:

Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

8.1.

Instagram

Beschreibung:

Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Profilen und Seiten.

  • Diensteanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Website: https://www.instagram.com;
  • Datenschutzerklärung: https://privacycenter.instagram.com/policy/;
  • Grundlage für Drittlandtransfers: Grundlage Drittlandtransfers: Data Privacy Framework (DPF);

8.2.

Facebook-Seiten

Beschreibung:

Profile innerhalb des sozialen Netzwerks Facebook - Der Verantwortliche ist gemeinsam mit Meta Platforms Ireland Limited für die Erhebung und Übermittlung von Daten der Besucher der Facebook-Seite („Fanpage") des Verantwortlichen verantwortlich. Dazu gehören insbesondere Informationen über das Nutzerverhalten (z. B. angesehene oder interagierte Inhalte, durchgeführte Handlungen) sowie Geräteinformationen (z. B. IP-Adresse, Betriebssystem, Browsertyp, Spracheinstellungen, Cookie-Daten). Näheres hierzu findet sich in der Facebook-Datenrichtlinie: https://www.facebook.com/privacy/policy/. Facebook verwendet diese Daten auch, um dem Verantwortlichen über den Dienst „Seiten-Insights" statistische Auswertungen bereitzustellen, die Aufschluss darüber geben, wie Personen mit der Seite und deren Inhalten des Verantwortlichen interagieren. Grundlage hierfür ist eine Vereinbarung mit Facebook („Informationen zu Seiten-Insights": https://www.facebook.com/legal/terms/page_controller_addendum), in der unter anderem Sicherheitsmaßnahmen sowie die Wahrnehmung der Betroffenenrechte geregelt sind. Weitere Hinweise finden sich hier: https://www.facebook.com/legal/terms/information_about_page_insights_data. Betroffene Personen können Auskunfts- oder Löschungsanfragen daher direkt an Facebook richten. Die Rechte der betroffenen Personen (insbesondere Auskunft, Löschung, Widerspruch, Beschwerde bei einer Aufsichtsbehörde) bleiben hiervon unberührt. Die gemeinsame Verantwortlichkeit beschränkt sich ausschließlich auf die Erhebung der Daten durch Meta Platforms Ireland Limited (EU). Für die weitere Verarbeitung, einschließlich einer möglichen Übermittlung an Meta Platforms Inc. in den USA, ist allein Meta Platforms Ireland Limited verantwortlich.;

  • Diensteanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
  • Website: https://www.facebook.com;
  • Datenschutzerklärung: https://www.facebook.com/privacy/policy/;
  • Grundlage für Drittlandtransfers: Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln (https://www.facebook.com/legal/EU_data_transfer_addendum);

III. Anhang: Technisch-organisatorische Maßnahmen (TOMs)

Technisch-organisatorische Maßnahmen

___________________

Beschreibung:

Es wird für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau Gewähr geleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

1.

Organisatorische Maßnahmen

___________________

Beschreibung:

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.

1.1.

Datenschutz-management-system, bzw. Datenschutz-konzept

Beschreibung:

Der Auftragsverarbeiter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung.

1.2.

Organisationsstruktur für die Datensicherheit und Datenschutz

Beschreibung:

Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist integriert in unternehmensweite Prozesse und Verfahren integriert.

1.3.

Es existieren interne Sicherheitsricht- bzw. Leitlinien

Beschreibung:

Es sind interne Sicherheitsricht- bzw. -leitlinien definiert, die unternehmensintern gegenüber Mittarbeitern als verbindliche Regeln kommuniziert werden.

1.4.

Regelmäßige und anlassloses System- und Sicherheitstests

Beschreibung:

Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, durchgeführt.

1.5.

Beobachtung Stand der Technik und erforderliche Umsetzung

Beschreibung:

Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet.

1.6.

Konzept zur Wahrung von Betroffenenrechten

Beschreibung:

Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Auftraggeber gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.

1.7.

Notfallkonzept

Beschreibung:

Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.

1.8.

Dokumentation bei Sicherheitsvorkommnissen (Security Reporting)

Beschreibung:

Sicherheitsvorkommnisse werden konsequent dokumentiert, auch wenn sie nicht zu einer externen Meldung (z. B. an die Aufsichtsbehörde, betroffene Personen) führen (sogenanntes "Security Reporting").

1.9.

Sorgfältige Auswahl Dienstleister/ freie Mitarbeiter und ggf. Verpflichtung auf Vertraulichkeit

Beschreibung:

Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Wartungs-, Wach-, Transport- und Reinigungsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern die Dienstleister im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Auftraggebers erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet.

1.10.

Beachtung Vorgaben Datenschutz durch Technik

Beschreibung:

Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt.

1.11.

Aktueller Stand von Hardware und Software

Beschreibung:

Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme).

1.12.

Bezug Standardsoftware und Updates aus vertrauenswürdigen Quellen

Beschreibung:

Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.

1.13.

Angemessenes Lösch- und Entsorgungskonzept

Beschreibung:

Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und Datenträgern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und soweit zuständig, über Vorgaben für die Datenvernichtung oder Gerätevernichtung durch Dienstleister unterrichtet.

1.14.

Sperrvermerke/ Aussonderung von Daten, wenn keine Löschung

Beschreibung:

Die Verarbeitung der Daten des Auftraggebers, die nicht entsprechend den Vereinbarungen dieses Auftragsverarbeitungsvertrages gelöscht wurden (z. B. in Folge der gesetzlichen Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt.

2.

Datenschutz auf Mitarbeiterebene

___________________

Beschreibung:

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter, über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen.

2.1.

Verpflichtung Mitarbeiter auf Datenschutzgeheimnis

Beschreibung:

Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet.

2.2.

Schulung und Sensibilisierung von Mitarbeitern

Beschreibung:

Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung wird in angemessenen Zeitabständen oder wenn es die Umstände erfordern wiederholt.

2.3.

Entzug von Zutritts- und Zugangsberechtigungen ausscheidender Mitarbeiter

Beschreibung:

Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.

2.4.

Clean-Desk-Richtlinie

Beschreibung:

Mitarbeiter werden verpflichtet, ihre Arbeitsumgebung aufgeräumt zu hinterlassen und so insbesondere den Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten zu verhindern (Clean Desk Policy).

3.

Zutrittskontrolle

___________________

Beschreibung:

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern, mit denen personenbezogene Daten verarbeitet werden.

3.1.

Personenkontrolle beim Pförtner oder am Empfang

Beschreibung:

Es findet eine Personenkontrolle beim Pförtner oder am Empfang statt.

3.2.

Protokollierung Ausgabe Schlüssel und/oder Zugangskarten

Beschreibung:

Die Ausgabe und Rückgabe von Schlüsseln und/ oder Zugangskarten wird protokolliert.

3.3.

Sperrung von Geräten und Sicherung der Arbeitsumgebung beim Verlassen

Beschreibung:

Mitarbeiter werden verpflichtet, Geräte zu sperren oder sie besonders zu sichern, wenn sie ihre Arbeitsumgebung oder die Geräte verlassen.

3.4.

Akten und Dokumente werden sicher aufbewahrt

Beschreibung:

Unterlagen (Akten, Dokumente, etc.) werden sicher, z. B. in Aktenschränken oder sonstigen angemessen gesicherten Containern aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

3.5.

Datenträger werden sicher aufbewahrt

Beschreibung:

Datenträger werden sicher aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

4.

Zugangskontrolle

___________________

Beschreibung:

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird.

4.1.

Passwortkonzept entsprechend Stand der Technik

Beschreibung:

Ein Passwortkonzept legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen.

4.2.

Passwortschutz aller Datenverarbeitungsanlagen

Beschreibung:

Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.

4.3.

Passwörter werden nicht im Klartext gespeichert oder übertragen

Beschreibung:

Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt übertragen.

4.4.

Löschung von Zugangsinformationen ausgeschiedener Mitarbeiter

Beschreibung:

Zugangsdaten werden, wenn deren Benutzer das Unternehmen oder Organisation des Auftragsverarbeiters verlassen haben, gelöscht oder deaktiviert.

4.5.

Einsatz aktueller Anti-Viren-Software

Beschreibung:

Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt.

4.6.

Einsatz Software-Firewall

Beschreibung:

Einsatz von Software-Firewall(s).

5.

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)

___________________

Beschreibung:

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind.

5.1.

Angemessenes Berechtigungskonzept

Beschreibung:

Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist.

5.2.

Regelmäßige Prüfung des Berechtigungskonzeptes

Beschreibung:

Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert.

5.3.

Kontrolle der Administratoren

Beschreibung:

Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert.

5.4.

Generelle Nachvollziehbarkeit von Datenzugriffen

Beschreibung:

Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z. B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept).

6.

Weitergabekontrolle

___________________

Beschreibung:

Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

6.1.

Fernzugriff/ Fernwartung per VPN

Beschreibung:

Beim Zugriff auf betriebsinterne Systeme von außen (z. B. bei Fernwartung), werden verschlüsselte Übertragungstechnologien verwendet (z. B. VPN).

6.2.

Transportverschlüsselung von E-Mails

Beschreibung:

E-Mails werden während der Übertragung verschlüsselt, was bedeutet, dass die E-Mails auf dem Weg vom Absender zum Empfänger davor geschützt sind, von jemandem gelesen zu werden, der Zugang zu den Netzwerken hat, durch die die E-Mail gesendet wird.

6.3.

Verschlüsselte Übermittlung Daten via Webseiten (TLS)

Beschreibung:

Die Übermittlung und Verarbeitung von personenbezogenen Daten des Auftraggebers über Onlineangebote (Webseiten, Apps, etc.), erfolgt geschützt mittels einer TLS oder einer gleichwertig sicheren Verschlüsselung.

7.

Auftragskontrolle, Zweckbindung und Trennungskontrolle

___________________

Beschreibung:

Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verarbeitung dieser Daten erfolgt.

7.1.

Gesonderte Dokumentation der Auftragsverarbeitung

Beschreibung:

Die für den Auftraggeber durchgeführten Verarbeitungsprozesse werden in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert.

7.2.

Sorgfältige Auswahl von Unterauftragsverarbeitern und Dienstleistern

Beschreibung:

Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.

7.3.

Weitergabe von Weisungen an Mitarbeiter und Unterauftragsverarbeiter

Beschreibung:

Mitarbeiter und Beauftragte werden verständlich und deutlich über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen informiert und entsprechend instruiert. Eine gesonderte Information und Instruktion sind nicht erforderlich, wenn die Einhaltung des zulässigen Rahmens ohnehin, z. B. aufgrund anderweitiger Vereinbarungen oder betrieblicher Übung, verlässlich zu erwarten ist.

7.4.

Überprüfung der Einhaltung von Weisungen

Beschreibung:

Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft.

7.5.

Besondere Beachtung der Löschfristen für Auftragsdaten

Beschreibung:

Die für die Verarbeitung der personenbezogenen Daten des Auftraggebers geltenden Löschfristen werden innerhalb des Löschkonzepts des Auftragsverarbeiters, sofern erforderlich gesondert, dokumentiert.

7.6.

Logische Trennung der Daten des Auftraggebers

Beschreibung:

Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z. B. in unterschiedlichen Datenbanken oder durch angemessene Attribute).

7.7.

Trennung Produktiv-, Test- und Entwicklungsumgebung

Beschreibung:

Produktiv- und Testdaten werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrieben.

8.

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen

___________________

Beschreibung:

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.

8.1.

Einsatz ausfallsicherer, redundanter Serversysteme und Dienste

Beschreibung:

Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.

8.2.

Speicherung von Daten bei externen und zuverlässigen Hostinganbietern

Beschreibung:

Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung.

8.3.

Regelmäßiges und dokumentiertes Patch-Management

Beschreibung:

Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden.

8.4.

Ausfallsichere Stromversorgung von Serversystemen

Beschreibung:

Die zur Verarbeitung eingesetzten Serversysteme verfügen über eine unterbrechungsfreie Stromversorgung (USV), die gegen Ausfälle angemessen gesichert ist und ein geregeltes Herunterfahren in Notfällen ohne Datenverlust sicherstellt.

8.5.

Brandschutz der Serversysteme

Beschreibung:

Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen angemessenen Brandschutz (Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder Feuerlöschgeräte).

8.6.

Schutz der Serversysteme vor Feuchtigkeitsschaden

Beschreibung:

Es werden Serversysteme eingesetzt, die über einen Schutz vor Feuchtigkeitsschaden (z. B. Feuchtigkeitsmelder) verfügen.

8.7.

Schutz von Datensätzen vor versehentlicher Veränderung oder Löschung

Beschreibung:

Die Datensätze des Auftraggebers werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups).

8.8.

Angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept

Beschreibung:

Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.