Vertranium GmbH
Datenschutzerklärung
Für die Webseite www.blickwinkel-consulting.de
§ 1 Information über die Erhebung personenbezogener Daten
(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten innerhalb unserer Dienste. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
(2) Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO) ist:
Vertranium GmbH
Uhlbacher Str. 7
70329 Stuttgart
Handelsregister: Amtsgericht Stuttgart, HRB 24686
Geschäftsführer: Marcel Mankas, Kevin Fiawoo, Maurice Mankas
Telefon: 0711 96898992
E-Mail-Adresse: info@blickwinkel-consulting.com
Internetadresse: www.blickwinkel-consulting.com
Unseren Datenschutzbeauftragten erreichen Sie unter info@blickwinkel-consulting.com
(3) Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Formular werden die von Ihnen mitgeteilten Daten (Name, Vorname, E-Mail-Adresse, Alter, Anschrift, Angaben zu finanziellen Verhältnissen, Angaben zu beruflichen Zielen, Ihre Telefonnummer) von uns gespeichert, um Ihr Anliegen beziehungsweise Ihre Bewerbung bestmöglich zu beantworten und zu bearbeiten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Sofern Sie nach Bewerbung die Dienstleistungen unseres Unternehmens nicht in Anspruch nehmen und nicht Vertragspartner unseres Unternehmens werden, erfolgt die Löschung der von Ihnen über das Kontaktformular uns überlassenen Daten nach spätestens 4 Wochen. Rechtsgrundlage für die Verarbeitung Ihrer Daten sind Art. 6 Abs. 1 S. 1 lit. a, b und f DS-GVO.
(4) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.
§ 2 Ihre Rechte
(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
– Recht auf Auskunft,
– Recht auf Berichtigung oder Löschung,
– Recht auf Einschränkung der Verarbeitung,
– Recht auf Widerspruch gegen die Verarbeitung,
– Recht auf Datenübertragbarkeit.
(2) Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
§ 3 Erhebung personenbezogener Daten bei Nutzung unserer Dienste
(1) Bei der bloß informatorischen Nutzung unserer Webseiten, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO):
– IP-Adresse
– Datum und Uhrzeit der Anfrage
– Zeitzonendifferenz zur Greenwich Mean Time (GMT)
– Inhalt der Anforderung (konkrete Seite)
– Zugriffsstatus/HTTP-Statuscode
– jeweils übertragene Datenmenge
– Website, von der die Anforderung kommt
– Browser
– Betriebssystem und dessen Oberfläche
– Sprache und Version der Browsersoftware.
(2) Auf unseren Webseiten nutzen wir Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser durch eine charakteristische Zeichenfolge zugeordnet und gespeichert werden und durch welche der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen und daher keine Schäden anrichten. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver, also für Sie angenehmer zu machen. Cookies können Daten enthalten, die eine Wiedererkennung des genutzten Geräts möglich machen. Teilweise enthalten Cookies aber auch lediglich Informationen zu bestimmten Einstellungen, die nicht personenbeziehbar sind. Cookies können einen Nutzer aber nicht direkt identifizieren.
Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald Sie ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Hinsichtlich ihrer Funktion unterscheidet man bei Cookies wiederum zwischen:
– Technical Cookies: Diese sind zwingend erforderlich, um sich auf der Webseite zu bewegen, grundlegende Funktionen zu nutzen und die Sicherheit der Webseite zu gewährleisten; sie sammeln weder Informationen über Sie zu Marketingzwecken noch speichern sie, welche Webseiten Sie besucht haben;
– Performance Cookies: Diese sammeln Informationen darüber, wie Sie unsere Webseite nutzen, welche Seiten Sie besuchen und z. B. ob Fehler bei der Webseitennutzung auftreten; sie sammeln keine Informationen, die Sie identifizieren könnten – alle gesammelten Informationen sind anonym und werden nur verwendet, um unsere Webseite zu verbessern und herauszufinden, was unsere Nutzer interessiert;
– Advertising Cookies, Targeting Cookies: Diese dienen dazu, dem Webseitennutzer bedarfsgerechte Werbung auf der Webseite oder Angebote von Dritten anzubieten und die Effektivität dieser Angebote zu messen; Advertising und Targeting Cookies werden maximal 13 Monate lang gespeichert;
– Sharing Cookies: Diese dienen dazu, die Interaktivität unserer Webseite mit anderen Diensten (z. B. sozialen Netzwerken) zu verbessern; Sharing Cookies werden maximal 13 Monate lang gespeichert.
Jeder Einsatz von Cookies, der nicht zwingend technisch erforderlich ist, stellt eine Datenverarbeitung dar, die nur mit einer ausdrücklichen und aktiven Einwilligung Ihrerseits gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO erlaubt ist. Dies gilt insbesondere für die Verwendung von Advertising, Targeting oder Sharing Cookies.Darüber hinaus geben wir Ihre durch Cookies verarbeiteten personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.
(3) Von Ihnen auf dieser Webseite definierte Cookie-Einstellungen beziehungsweise erteilte Einwilligungen in die Speicherung von Cookies können jederzeit von Ihnen unter der URL https://blickwinkel-consulting.com/datenschutz/ widerrufen beziehungsweise neu definiert werden, indem Sie dem Hyperlink „Einstellungen“ in dem Cookie Popup Fenster folgen.
§ 4 Weitere Funktionen und Angebote
(1) Neben der rein informatorischen Nutzung unserer Website bieten wir verschiedene Leistungen an, die Sie bei Interesse nutzen können. Dazu müssen Sie in der Regel weitere personenbezogene Daten angeben, die wir zur Erbringung der jeweiligen Leistung nutzen und für die die zuvor genannten Grundsätze zur Datenverarbeitung gelten.
(2) Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert. Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt erhalten ggf. Zugriff auf Ihre personenbezogenen Daten:
– Dienstleister für den Betrieb unserer Webseite und die Verarbeitung der durch die Systeme gespeicherten oder übermittelten Daten (zB für Rechenzentrumsleistungen, Zahlungsabwicklungen, IT-Sicherheit). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO, soweit es sich nicht um Auftragsverarbeiter handelt;
– Staatliche Stellen/Behörden, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DS-GVO;
– Zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (zB Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO.
(3) Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.
§ 5 Widerspruch oder Widerruf gegen die Verarbeitung Ihrer Daten
(1) Falls Sie eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben. Bitte richten Sie Ihren Widerruf per E-Mail oder per Post an die oben hinterlegten Kontaktdaten unseres Unternehmens. Von Ihnen auf dieser Webseite definierte Cookie-Einstellungen beziehungsweise erteilte Einwilligungen in die Speicherung von Cookies können jederzeit von Ihnen unter der URL https://blickwinkel-consulting.com/datenschutz/ widerrufen beziehungsweise neu definiert werden, indem Sie dem Hyperlink „Einstellungen“ in dem Cookie Popup Fenster folgen.
(2) Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, was von uns jeweils bei der nachfolgenden Beschreibung der Funktionen dargestellt wird. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.
§ 6 Newsletter / Mailings
(1) Mit Ihrer Einwilligung können Sie unseren Newsletter/Mailing abonnieren, mit welchem wir Sie fortlaufend über unsere Dienstleistungen und einzelnen Programme informieren.
(2) Für die Anmeldung zu unserem Newsletter / Mailing verwenden wir das sog. Double-opt-in-Verfahren. Das heißt, dass wir Ihnen nach Ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Wenn Sie Ihre Anmeldung nicht bestätigen, werden Ihre Informationen gesperrt und automatisch gelöscht werden. Darüber hinaus speichern wir jeweils Ihre eingesetzten IP-Adressen und Zeitpunkte der Anmeldung und Bestätigung. Zweck des Verfahrens ist, Ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch Ihrer persönlichen Daten aufklären zu können.
(3) Pflichtangabe für die Übersendung des Newsletters / Mailings ist allein Ihre E-Mail-Adresse und Ihr Vorname. Die Angabe weiterer, gesondert markierter Daten ist freiwillig und wird verwendet, um Sie persönlich ansprechen zu können. Nach Ihrer Bestätigung speichern wir Ihre E-Mail-Adresse zum Zweck der Zusendung des Newsletters / Mailings. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO.
(4) Ihre Einwilligung in die Übersendung des Newsletters können Sie jederzeit widerrufen und den Newsletter abbestellen. Den Widerruf können Sie durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link oder per E-Mail an info@blickwinkel-consulting.com oder durch eine Nachricht an die im Impressum angegebenen Kontaktdaten erklären.
(5) Die mit Anmeldung zum Newsletter von Ihnen hinterlegten Daten werden von uns bis zu Ihrem Widerruf und ausschließlich zum Zwecke des Newsletterversands gespeichert.
§ 7 Einsatz von Social-Media-Plug-ins
(1) Wir setzen derzeit folgende Social-Media-Plug-ins ein:
Es werden die unter § 3 dieser Erklärung genannten Daten an Facebook übermittelt. Facebook speichert diese Daten für einen Zeitraum von 90 Tagen. Facebook wird Ihre IP-Adresse sofort nach Erhebung anonymisieren. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten von Ihnen an den jeweiligen Plug-in-Anbieter übermittelt und dort (bei US-amerikanischen Anbietern in den USA) gespeichert. Da der Plug-in-Anbieter die Datenerhebung insbesondere über Cookies vornimmt, empfehlen wir Ihnen, vor dem Klick auf den ausgegrauten Kasten über die Sicherheitseinstellungen Ihres Browsers alle Cookies zu löschen.
(2) Wir haben weder Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge, noch sind uns der volle Umfang der Datenerhebung, die Zwecke der Verarbeitung, die Speicherfristen bekannt. Auch zur Löschung der erhobenen Daten durch den Plug-in-Anbieter liegen uns keine Informationen vor.
(3) Facebook speichert die über Sie erhobenen Daten als Nutzungsprofile und nutzt diese für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung seiner Website. Eine solche Auswertung erfolgt insbesondere (auch für nicht eingeloggte Nutzer) zur Darstellung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Website zu informieren. Ihnen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei Sie sich zur Ausübung dessen an den jeweiligen Plug-in-Anbieter wenden müssen. Über die Plug-ins bietet wir Ihnen die Möglichkeit, mit den sozialen Netzwerken und anderen Nutzern zu interagieren, so dass wir unser Angebot verbessern und für Sie als Nutzer interessanter ausgestalten können. Rechtsgrundlage für die Nutzung der Plug-ins ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO.
(4) Die Datenweitergabe erfolgt unabhängig davon, ob Sie ein Konto bei dem Plug-in-Anbieter besitzen und dort eingeloggt sind. Wenn Sie bei dem Plug-in-Anbieter eingeloggt sind, werden Ihre bei uns erhobenen Daten direkt Ihrem beim Plug-in-Anbieter bestehenden Konto zugeordnet. Wenn Sie den aktivierten Button betätigen und z. B. die Seite verlinken, speichert der Plug-in-Anbieter auch diese Information in Ihrem Nutzerkonto und teilt sie Ihren Kontakten öffentlich mit. Wir empfehlen Ihnen, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da Sie so eine Zuordnung zu Ihrem Profil bei dem Plug-in-Anbieter vermeiden können.
(5) Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch Facebook erhalten Sie in den im Folgenden mitgeteilten Datenschutzerklärungen. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre.
(6) Adresse von Facebook und URL mit Datenschutzhinweisen:
Facebook Inc., 1601 S California Ave, Palo Alto, California 94304, USA; http://www.facebook.com/policy.php; weitere Informationen zur Datenerhebung: http://www.facebook.com/help/186325668085084, http://www.facebook.com/about/privacy/your-info-on-other#applications sowie http://www.facebook.com/about/privacy/your-info#everyoneinfo. Facebook hat sich dem EU-US-Privacy-Shield unterworfen, https://www.privacyshield.gov/EU-US-Framework.
§ 8 Einbindung von Wistia-Videos
Auf unserer Seite verwenden wir Videos von Vimeo. Technisch bedingt kommt es durch die Einbindung von Vimeo Videos zu Aufrufen der Server von Vimeo. An den Vimeo-Server werden dabei Daten Ihres Browsers bzw. Ihres Endgerätes übermittelt. Es wird dabei auch übermittelt, welche unserer Internetseiten Sie besucht haben.
Für die mit dem Abspielen eines Videos verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes verweisen wir auf die Datenschutzhinweise des Anbieters. Weitere Informationen zur Datenverarbeitung und Hinweise zum Datenschutz durch Vimeo finden Sie unter https://vimeo.com/privacy.10
§ 9 Einsatz von Google Adwords Conversion
(1) Wir nutzen das Angebot von Google Adwords, um mit Hilfe von Werbemitteln (sogenannten Google Adwords) auf externen Webseiten auf unsere Dienstleistungen aufmerksam zu machen. Wir können in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Wir verfolgen damit das Interesse, Ihnen Werbung anzuzeigen, die für Sie von Interesse ist, unsere Website für Sie interessanter zu gestalten und eine faire Berechnung von Werbe-Kosten zu erreichen.
(2) Diese Werbemittel werden durch Google über sogenannte „Ad Server“ ausgeliefert. Dazu nutzen wir Ad Server Cookies, durch die bestimmte Parameter zur Erfolgsmessung, wie Einblendung der Anzeigen oder Klicks durch die Nutzer, gemessen werden können. Sofern Sie über eine Google-Anzeige auf unsere Website gelangen, wird von Google Adwords ein Cookie in ihrem PC gespeichert. Diese Cookies verlieren in der Regel nach 30 Tagen ihre Gültigkeit und sollen nicht dazu dienen, Sie persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert.
(3) Diese Cookies ermöglichen Google, Ihren Internetbrowser wiederzuerkennen. Sofern ein Nutzer bestimmte Seiten der Webseite eines Adwords-Kunden besucht und das auf seinem Computer gespeicherte Cookie noch nicht abgelaufen ist, können Google und der Kunde erkennen, dass der Nutzer auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurde. Jedem Adwords-Kunden wird ein anderes Cookie zugeordnet. Cookies können somit nicht über die Webseiten von Adwords-Kunden nachverfolgt werden. Wir selbst erheben und verarbeiten in den genannten Werbemaßnahmen keine personenbezogenen Daten. Wir erhalten von Google lediglich statistische Auswertungen zur Verfügung gestellt. Anhand dieser Auswertungen können wir erkennen, welche der eingesetzten Werbemaßnahmen besonders effektiv sind. Weitergehende Daten aus dem Einsatz der Werbemittel erhalten wir nicht, insbesondere können wir die Nutzer nicht anhand dieser Informationen identifizieren.
(4) Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Google auf. Wir haben keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools durch Google erhoben werden und informieren Sie daher entsprechend unserem Kenntnisstand: Durch die Einbindung von AdWords Conversion erhält Google die Information, dass Sie den entsprechenden Teil unseres Internetauftritts aufgerufen oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Google registriert sind, kann Google den Besuch Ihrem Account zuordnen. Selbst wenn Sie nicht bei Google registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter Ihre IP-Adresse in Erfahrung bringt und speichert.
(5) Sie können die Teilnahme an diesem Tracking-Verfahren auf verschiedene Weise verhindern: a) durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass Sie keine Anzeigen von Drittanbietern erhalten; b) durch Deaktivierung der Cookies für Conversion-Tracking, indem Sie Ihren Browser so einstellen, dass Cookies von der Domain „www.googleadservices.com“ blockiert werden, https://www.google.de/settings/ads, wobei diese Einstellung gelöscht werden, wenn Sie Ihre Cookies löschen; c) durch Deaktivierung der interessenbezogenen Anzeigen der Anbieter, die Teil der Selbstregulierungs-Kampagne „About Ads“ sind, über den Link http://www.aboutads.info/choices, wobei diese Einstellung gelöscht wird, wenn Sie Ihre Cookies löschen; d) durch dauerhafte Deaktivierung in Ihren Browsern Firefox, Internetexplorer oder Google Chrome unter dem Link http://www.google.com/settings/ads/plugin. Wir weisen Sie darauf hin, dass Sie in diesem Fall gegebenenfalls nicht alle Funktionen dieses Angebots vollumfänglich nutzen können.
(6) Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Weitere Informationen zum Datenschutz bei Google finden Sie hier: http://www.google.com/intl/de/policies/privacy und https://services.google.com/sitestats/de.html. Alternativ können Sie die Webseite der Network Advertising Initiative (NAI) unter http://www.networkadvertising.org besuchen. Google hat sich dem EU-US Privacy Shield unterworfen, https://www.privacyshield.gov/EU-US-Framework.
§ 10 Google Remarketing
Neben Google Adwords Conversion nutzen wir die Anwendung Google Remarketing. Hierbei handelt es sich um ein Verfahren, mit dem wir Sie erneut ansprechen möchten. Durch diese Anwendung können Ihnen nach Besuch unserer Website bei Ihrer weiteren Internetnutzung unsere Werbeanzeigen eingeblendet werden. Dies erfolgt mittels in Ihrem Browser gespeicherter Cookies, über die Ihr Nutzungsverhalten bei Besuch verschiedener Websites durch Google erfasst und ausgewertet wird. So kann von Google Ihr vorheriger Besuch unserer Website festgestellt werden. Eine Zusammenführung der im Rahmen des Remarketings erhobenen Daten mit Ihren personenbezogenen Daten, die ggf. von Google gespeichert werden, findet durch Google laut eigenen Aussagen nicht statt. Insbesondere wird laut Google beim Remarketing eine Pseudonymisierung eingesetzt. Cookies im Rahmen von Google Remarketing werden für einen Zeitraum von 24 Monaten gespeichert. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO.
§ 11 DoubleClick by Google
(1) Diese Webseite nutzt weiterhin das Online Marketing Tool DoubleClick by Google. DoubleClick setzt Cookies ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Über eine Cookie-ID erfasst Google, welche Anzeigen in welchem Browser geschaltet werden und kann so verhindern, dass diese mehrfach angezeigt werden. Darüber hinaus kann DoubleClick mithilfe von Cookie-IDs sog. Conversions erfassen, die Bezug zu Anzeigenanfragen haben. Das ist etwa der Fall, wenn ein Nutzer eine DoubleClick-Anzeige sieht und später mit demselben Browser die Website des Werbetreibenden aufruft und dort etwas kauft. Laut Google enthalten DoubleClick-Cookies keine personenbezogenen Informationen.
(2) Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Google auf. Wir haben keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools durch Google erhoben werden und informieren Sie daher entsprechend unserem Kenntnisstand: Durch die Einbindung von DoubleClick erhält Google die Information, dass Sie den entsprechenden Teil unseres Internetauftritts aufgerufen oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Google registriert sind, kann Google den Besuch Ihrem Account zuordnen. Selbst wenn Sie nicht bei Google registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter Ihre IP-Adresse in Erfahrung bringt und speichert.
(3) Sie können die Teilnahme an diesem Tracking-Verfahren auf verschiedene Weise verhindern: a) durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass Sie keine Anzeigen von Drittanbietern erhalten; b) durch Deaktivierung der Cookies für Conversion-Tracking, indem Sie Ihren Browser so einstellen, dass Cookies von der Domain „www.googleadservices.com“ blockiert werden, https://www.google.de/settings/ads, wobei diese Einstellung gelöscht wird, wenn Sie Ihre Cookies löschen; c) durch Deaktivierung der interessenbezogenen Anzeigen der Anbieter, die Teil der Selbstregulierungs-Kampagne „About Ads“ sind, über den Link http://www.aboutads.info/choices, wobei diese Einstellung gelöscht wird, wenn Sie Ihre Cookies löschen; d) durch dauerhafte Deaktivierung in Ihren Browsern Firefox, Internetexplorer oder Google Chrome unter dem Link http://www.google.com/settings/ads/plugin. Wir weisen Sie darauf hin, dass Sie in diesem Fall gegebenenfalls nicht alle Funktionen dieses Angebots vollumfänglich nutzen können.
(4) Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Weitere Informationen zu DoubleClick by Google erhalten Sie unter https://www.google.de/doubleclick und http://support.google.com/adsense/answer/2839090, sowie zum Datenschutz bei Google allgemein: https://www.google. de/intl/de/policies/privacy. Alternativ können Sie die Webseite der Network Advertising Initiative (NAI) unter http://www.networkadvertising.org besuchen. Google hat sich dem EU-US Privacy Shield unterworfen, https://www.privacyshield.gov/EU-US-Framework.
(5) Cookies im Rahmen von Doubleclick by Google werden für einen Zeitraum von 24 Monaten gespeichert.
§ 12 Nutzung von Microsoft Clarity
Diese Webseite verwendet den Dienst „Clarity“ der Microsoft Corporation. Clarity ermöglicht eine Analyse der Benutzung unserer Webseite. So entsteht ein Protokoll der Mausbewegungen und Klicks mit der Absicht potenzielle Verbesserungen für die Website daraus abzuleiten. Die erhobenen Informationen werden an Clarity übermittelt und dort gespeichert. Diese können laut Microsoft auch zu Werbezwecken genutzt werden.
Informationen: https://clarity.microsoft.com
Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement
Widerspruchsmöglichkeit und Opt-Out: https://choice.microsoft.com/de-DE/opt-out
§ 13 Weiteres
(1) Weiterhin verwenden unsere Webseiten die Remarketing-Funktion „Custom Audiences“ der Facebook Inc. („Facebook“). Dadurch können Nutzern der Website im Rahmen des Besuchs des sozialen Netzwerkes Facebook oder anderer das Verfahren ebenfalls nutzende Websites interessenbezogene Werbeanzeigen („Facebook-Ads“) dargestellt werden. Wir verfolgen damit das Interesse, Ihnen Werbung anzuzeigen, die für Sie von Interesse ist, um unsere Angebote für Sie interessanter zu gestalten.
(2) Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Facebook auf. Wir haben keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools durch Facebook erhoben werden und informieren Sie daher entsprechend unserem Kenntnisstand: Durch die Einbindung von Facebook Custom Audiences erhält Facebook die Information, dass Sie die entsprechende Webseite unseres Internetauftritts aufgerufen haben, oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Facebook registriert sind, kann Facebook den Besuch Ihrem Account zuordnen. Selbst wenn Sie nicht bei Facebook registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter Ihre IP-Adresse und weitere Identifizierungsmerkmale in Erfahrung bringt und speichert.
(3) Die Deaktivierung der Funktion „Facebook Custom Audiences“ ist für eingeloggte Nutzer unter https://www.facebook.com/settings/?tab=ads#_möglich.
(4) Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Weitere Informationen zur Datenverarbeitung durch Facebook erhalten Sie unter https://www.facebook.com/about/privacy.
Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO
Präambel
Vertranium verarbeitet personenbezogene Daten des Kunden im Rahmen der Nutzung von Vertranium-Leistungen durch den Kunden auf Grundlage der Allgemeinen Geschäftsbedingungen der Vertranium GmbH sowie weiterer Vereinbarungen der Parteien – insgesamt als „Hauptvertrag“ bezeichnet. Der Hauptvertrag bezieht eine Reihe von Informationen und Anlagen ein, die unter anderem unter https://www.blickwinkel-consulting.com/ abgerufen werden können und die die von Vertranium im Rahmen der Nutzung von Vertranium-Leistungen für den Kunden zu erbringenden Leistungen im Einzelnen spezifizieren. Bei der Erbringung dieser Leistungen werden personenbezogene Daten im Auftrag des Kunden durch Vertranium verarbeitet.
Die Parteien wollen ihren wechselseitigen datenschutzrechtlichen Verpflichtungen nach Art. 28 DSGVO im Rahmen des Hauptvertrags Rechnung tragen und schließen deswegen nachstehende Vereinbarung zur Auftragsverarbeitung:
1. Gegenstand und Dauer
- Diese Vereinbarung zur Auftragsverarbeitung ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem Hauptvertrag. Diese Vereinbarung zur Auftragsverarbeitung gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen Beschäftigte und/oder Subunternehmer von Vertranium personenbezogene Daten im Auftrag des Kunden verarbeiten.
- Im Falle von Widersprüchen geht diese Vereinbarung zur Auftragsverarbeitung dem Hauptvertrag vor.
- Diese Vereinbarung tritt mit Unterzeichnung durch beide Parteien in Kraft und endet mit der Beendigung des Hauptvertrages.
- Beide Parteien sind berechtigt, diese Vereinbarung jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt für Vertranium insbesondere vor, wenn
- der Kunde Vertranium nicht oder nicht rechtzeitig über Änderungen in den Datenverarbeitungsvorgängen informiert;
- der Kunde Vertranium entgegen Ziffer 6 trotz nochmaliger Aufforderung von Vertranium nicht anweist, personenbezogene Daten einer betroffenen Person zu löschen, ihre Verarbeitung einzuschränken, zu berichtigen oder hiervon abzusehen oder bei Geltendmachung des Rechts auf Datenübertragbarkeit nach Art. 20 Abs. 1 DSGVO einer betroffenen Person ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen.
- Beide Parteien sind berechtigt, diese Vereinbarung jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt für Vertranium insbesondere vor, wenn
2. Kommunikation
- Zu Themen im Zusammenhang mit dem Hauptvertrag und dieser Vereinbarung zur Auftragsverarbeitung kommuniziert Vertranium im Regelfall per E-Mail.
- Der Kunde ist verpflichtet, sicherzustellen, dass die bei Vertranium angegebene E-Mail-Adresse für Kommunikation zu vertragsbezogenen Themen aktuell ist und dass E-Mails an diese Adresse empfangen und in angemessenen Intervallen regelmäßig abgerufen und gelesen werden. Dabei handelt es sich um eine echte vertragliche Verpflichtung gegenüber Vertranium und nicht nur eine Obliegenheit.
3. Verantwortungsbereiche
- Beide Parteien verpflichten sich, die zur Anwendung kommenden Datenschutzgesetze (insbesondere die Bestimmungen der DSGVO und des BDSG) einzuhalten. Die Parteien gehen davon aus, dass Vertranium als Auftragsverarbeiter im Sinne des Art. 28 DSGVO für den Kunden tätig wird. Wenn und so weit Vertranium jetzt oder künftig Leistungen erbringen soll, die nicht nach dieser Vereinbarung privilegiert sind, werden die Parteien schriftlich ergänzende Bestimmungen zum Datenschutz treffen, insbesondere diese Vereinbarung ergänzen oder eine neue Vereinbarung zur Auftragsverarbeitung abschließen.
- Im Rahmen der Durchführung dieser Vereinbarung gelten nachfolgende Verantwortungsbereiche des Kunden:
- Der Kunde bestimmt die Zwecke und die Ziele der Verarbeitung der personenbezogenen Daten durch den Hauptvertrag sowie ergänzend durch die nach Ziffer 12 durch den Kunden Vertranium zu erteilenden Weisungen.
- Der Kunde ist im Hinblick auf den Hauptvertrag und die in dessen Durchführung von Vertranium im Auftrag zu verarbeitenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften, insbesondere der DSGVO und des BDSG, verantwortlich. Der Kunde ist insbesondere für die Rechtmäßigkeit der Datenweitergabe an Vertranium sowie für die Rechtmäßigkeit der Datenverarbeitung und die Zulässigkeit der Datenverarbeitung nach Art. 6 DSGVO sowie die Wahrung der Rechte der betroffenen Personen nach Art. 12–22 DSGVO verantwortlich.
- Der Kunde behält die volle Kontrolle über die von Vertranium nach dieser Vereinbarung zu verarbeitenden Daten. Sämtliche verarbeiteten Daten stehen ausschließlich dem Kunden zu.
- Im Rahmen der Durchführung dieser Vereinbarung gelten nachfolgende Verantwortungsbereiche von Blickwinkel:
- Vertranium wird personenbezogene Daten, die Vertranium im Rahmen dieser Vereinbarung im Auftrag für den Kunden verarbeitet, ausschließlich zur Erfüllung des im Vertrag sowie in etwaigen nach Maßgabe dieser Vereinbarung zu erteilenden Weisungen beschriebenen Zwecken verarbeiten.
- Verlangt der Kunde seine Daten – egal aus welchem Grund – heraus, ist Vertranium verpflichtet, dem Kunden sämtliche Daten in einem strukturierten, gängigen und maschinenlesbaren Format für die automatisierte Übernahme oder direkte Einspielung herauszugeben. Zurückbehaltungsrechte – egal welcher Art – stehen Vertranium an diesen Daten nicht zu.
4. Art, Ziel und Zweck der Verarbeitung personenbezogener Daten
- Art, Ziel und Zweck der Datenverarbeitung sind im Einzelnen im Hauptvertrag beschrieben und spezifiziert. Die Parteien sind sich einig, dass ausschließlich der Kunde die Zwecke und Ziele der Verarbeitung bestimmt. Dies geschieht durch den Hauptvertrag und die nach Maßgabe dieser Vereinbarung zur Auftragsverarbeitung durch den Kunden Vertranium zu erteilenden Weisungen nach Ziffer 12.
- Gegenstand der Verarbeitung personenbezogener Daten unter dem Hauptvertrag und dieser Vereinbarung zur Auftragsverarbeitung sind folgende Verarbeitungsvorgänge:
- das Erheben
- das Erfassen
- die Organisation
- das Ordnen
- die Speicherung
- das Auslesen
- das Abfragen
- die Verwendung
- die Offenlegung durch Übermittlung
- die Verbreitung oder eine andere Form der Bereitstellung
- den Abgleich oder die Verknüpfung
- die Einschränkung der Verarbeitung
- Im Rahmen des Hauptvertrags verarbeitet Vertranium abhängig von der konkreten Nutzung durch den Kunden folgende Arten von Daten:
- Personenstammdaten (Name und Vorname, Firma, Geschlecht, Geburtsdatum, Nationalität, Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes)
- Kommunikationsdaten (zum Beispiel Telefon, E-Mail)
- Vertragsdaten (von den Kunden der Kunden zur Leistungserbringung übermittelte sonsitge Arten personenbezogener Daten)
- Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
- Der Kreis der durch die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:
- Kunden des Kunden
- Kunden
- Beschäftigte des Kunden im Sinne von § 26 Abs. 8 BDSG
- Dienstleister des Kunden
5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Vertranium wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleisten. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Maßnahmen das Risiko auf Dauer eingedämmt wird. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
- Zur Gewährleistung einer dem Risiko der Datenverarbeitung nach dem Hauptvertrag angemessenen Schutzniveau hat Vertranium entsprechende technische und organisatorische Maßnahmen gem. Art. 24, 32 DSGVO („TOM“) getroffen. Vor Abschluss dieser Vereinbarung zur Auftragsverarbeitung und vor Beginn der Verarbeitung personenbezogener Daten durch Vertranium hat Vertranium die Dokumentation der TOM, insbesondere hinsichtlich der konkreten Auftragsdurchführung nach Maßgabe dieser Vereinbarung, dem Kunden zur Prüfung zur Verfügung gestellt und diesem Vertrag als Anlage 1 beigefügt. Der Kunde hat diese Maßnahmen geprüft und akzeptiert.
- Die TOM werden als verbindlich festgelegt, gelten als Anlage zu dieser Vereinbarung und sind Grundlage dieses Auftrags. Die darin beschriebenen Maßnahmen sind passend zum ermittelten Risiko der Verarbeitung zur Erbringung von Vertranium-Leistungen unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse spezifiziert. Die TOM beinhalten im Wesentlichen folgende technische und organisatorische Maßnahmen:
- Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO).
- Maßnahmen zur Gewährleistung der Fähigkeit, die Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO), Integrität (Art. 32 Abs. 1 lit. b DSGVO), Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO) im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO).
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d, Art. 25 Abs. 1 DSGVO).
- Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Vertranium ist es deshalb gestattet, alternative adäquate Maßnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Vertranium wird dem Kunden auf Anforderung die jeweils aktuellen TOM sowie sämtliche Änderungen zur Verfügung stellen, damit dieser seiner Dokumentations- und Nachweisverpflichtung nach Art. 5 Abs. 2 DSGVO nachkommen kann.
6. Berichtigung, Löschung und Sperrung von Daten
- Die im Auftrag des Kunden verarbeiteten Daten darf Vertranium nur nach Weisung des Kunden berichtigen, löschen, übertragen oder ihre Verarbeitung einschränken. Wenn sich eine betroffene Person zu diesem Zweck direkt an Vertranium wendet, hat Vertranium ein solches Ersuchen unverzüglich und im Regelfall per E-Mail an den Kunden weiterzuleiten.
- Der Kunde wird das Ersuchen prüfen und Vertranium unverzüglich mitteilen, ob es berechtigt war oder nicht und Vertranium anweisen, die Berichtigung, Löschung, Übertragung oder Einschränkung der Verarbeitung vorzunehmen. Die Weisung ist von beiden Parteien zu dokumentieren.
7. Weitere Pflichten von Blickwinkel
- Neben den Regelungen dieser Vereinbarung zur Auftragsverarbeitung muss Vertranium zusätzlich folgende gesetzliche Pflichten nach Art. 28–33 DSGVO befolgen:
- die bei Vertranium zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b DSGVO zu verpflichten;
- angesichts der Art der Verarbeitung den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) nachzukommen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO);
- für Zwecke der Auswahl durch den Kunden und der Kontrollen und Überprüfungen seines Verhaltens, nachzuweisen, dass er die von dem Kunden geforderten hinreichenden Garantien (Art. 28 Abs. 1 DSGVO) bieten kann, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt und dass der Schutz der Rechte der betroffenen Person gewährleistet wird (Art. 28 Abs. 3 lit. h DSGVO);
- mit der Aufsichtsbehörde auf deren Anfrage hin bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
8. Verarbeitung von Daten in Drittländern durch Blickwinkel
- Nach dieser Vereinbarung zur Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch Vertranium grundsätzlich nur im Gebiet der Bundesrepublik Deutschland sowie der Europäischen Union und des Europäischen Wirtschaftsraumes zulässig.
- Personenbezogene Daten dürfen nur in Drittländern verarbeitet werden, wenn der Kunde zuvor schriftlich oder in einem dokumentierten elektronischen Format zugestimmt hat und wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
- Vor Abschluss dieser Vereinbarung zur Auftragsverarbeitung und vor Beginn der Verarbeitung personenbezogener Daten durch Vertranium hat der Kunde die Möglichkeit gehabt, die durch Vertranium vorgesehenen Verarbeitungsvorgänge sowie die vorgesehenen Maßnahmen gemäß Art. 44 ff. DSGVO zu prüfen und zu akzeptieren. Der Kunde gestattet mit Abschluss dieser Vereinbarung eine Datenverarbeitung in einem Drittland durch Subunternehmer auf dieser Liste.
- Wenn und soweit Vertranium künftig beabsichtigt, die Verarbeitung personenbezogener Daten des Kunden erstmals oder über die bei Abschluss dieser Vereinbarung durch den Kunden gestatteten Verarbeitungsvorgänge hinaus ganz oder teilweise in ein Drittland zu verlagern, hat Vertranium den Kunden mindestens einen Monat vor der geplanten Verlagerung zu unterrichten.
- Vertranium kann den Kunden dazu auffordern, innerhalb einer Frist von einem Monat der beabsichtigten Verlagerung zuzustimmen. Falls der Kunde innerhalb dieser Frist nicht zustimmt, ist Vertranium berechtigt, sowohl den Hauptvertrag als auch diese Vereinbarung zur Auftragsverarbeitung mit einer Frist von einem Monat zum Monatsende zu kündigen.
9. Einschaltung von Subunternehmern
- Die Auslagerung auf Subunternehmer, der Wechsel eines bestehenden Subunternehmers oder die Änderung eines Unterauftragsverhältnisses sind zulässig, wenn und soweit eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2–4 DSGVO mit dem Subunternehmer zugrunde gelegt wird, von der Vertranium dem Kunden auf Verlangen eine Kopie vorlegt, und der Kunde keinen Einspruch gegen die Änderungen erhebt. Vertranium hat eine Auslagerung auf einen Subunternehmer, einen Wechsel von Subunternehmern oder eine Änderung eines Unterauftragsverhältnisses dem Kunden eine angemessene Zeit, spätestens vier Wochen vorab, in Textform anzuzeigen. Der Kunde kann innerhalb von vier Wochen ab der Anzeige oder bis zum Zeitpunkt der Übergabe der Daten, je nachdem, welcher Termin früher eintritt, gegenüber Vertranium in Textform Einspruch gegen die geplante Auslagerung erheben.
- Der Kunde wird einen solchen Einspruch nicht unbillig erheben.
- Im Falle eines Einspruchs ist Vertranium berechtigt, sowohl den Hauptvertrag als auch diese Vereinbarung zur Auftragsverarbeitung mit einer Frist von einem Monat zum Monatsende zu kündigen.
- Die Liste der bei Abschluss dieser Vereinbarung für Vertranium tätigen Subunternehmer ist diesem Vertrag als Anlage 2 beigefügt. Vor Abschluss dieser Vereinbarung zur Auftragsverarbeitung und vor Beginn der Verarbeitung personenbezogener Daten durch Vertranium hat der Kunde Möglichkeit gehabt, die diese Liste zu prüfen und zu akzeptieren. Die Subunternehmer auf dieser Liste gelten deshalb mit Abschluss dieser Vereinbarung als genehmigt.
- Schaltet Vertranium mit Zustimmung des Kunden oder aufgrund der allgemeinen Genehmigung des Kunden Subunternehmer ein, so wird Vertranium seine vertraglichen Vereinbarungen mit den Subunternehmern so gestalten und entsprechend dokumentieren, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit wie sie im Verhältnis zwischen Vertranium und dem Kunden bestehen, entsprechen (Art. 28 Abs. 4 DSGVO). Zudem sind Subunternehmern zumindest die gleichen Pflichten aufzuerlegen, die Vertranium nach den Regelungen dieser Vereinbarung zur Auftragsverarbeitung treffen.
- Dem Kunden sind Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung zur Auftragsverarbeitung einzuräumen, um festzustellen, ob der Subunternehmer geeignete technische und organisatorische Maßnahmen ergriffen hat, die sicherstellen, dass die Datenverarbeitung durch ihn den Anforderungen der DSGVO entspricht. Der Kunde ist zu diesem Zweck berechtigt, Auskunft über den Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Vertranium kann dem Kunden die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Erfüllung der Anforderungen der DSGVO auch durch Einhaltung von genehmigten Verhaltensregeln im Sinne von Art. 40 DSGVO und/oder Zertifizierungen im Sinne von Art. 42 DSGVO nachweisen.
- Die Weitergabe von personenbezogenen Daten des Kunden an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
- Erbringt der Subunternehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt Vertranium die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen gemäß Ziffer 8 sicher.
10. Kontroll- und Zutrittsrechte des Kunden, Mitwirkungspflichten von Blickwinkel
- Im Hinblick auf die Nachweispflichten des Kunden nach Art. 5 Abs. 2 DSGVO und dessen Überprüfungsrechte nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit dieser Vereinbarung zur Auftragsverarbeitung stellt Vertranium sicher, dass sich der Kunde überzeugen kann, dass die getroffenen technischen und organisatorischen Maßnahmen eingehalten werden.
- Der Kunde hat das Recht, im Benehmen mit Vertranium Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen während der im Hauptvertrag für den Support durch Vertranium festgelegten Zeiten, die Vertranium rechtzeitig anzukündigen sind, von der Einhaltung dieser Vereinbarung zur Auftragsverarbeitung durch Vertranium im Geschäftsbetrieb von Vertranium zu überzeugen.
- Der Auftraggeber verpflichtet sich, die durch eine Vor-Ort-Kontrolle bei Vertranium oder durch Kontrollen bei einem Subunternehmer verursachten Kosten zu tragen. Die Höhe der angefallenen Kosten hat Vertranium nachzuweisen. Soweit zwischen den Parteien nichts anderes vereinbart wurde, wird für die Vergütung der Tätigkeit von Vertranium oder Mitarbeitern von Vertranium der in den „Kunden-Nutzungsbedingungen für Vertranium-Leistungen“ vereinbarte Stundensatz für sonstige Leistungen zugrunde gelegt.
- Vertranium stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten von Vertranium nach Art. 28 DSGVO überzeugen kann. Vertranium verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
- Der Nachweis solcher Maßnahmen, die nicht nur die konkrete Auftragsverarbeitung betreffen, kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (zum Beispiel Wirtschaftsprüfer, Revision, Datenschutzbeauftragter);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (zum Beispiel nach BSI-Grundschutz, ISO 27001 und SOC 2).
11. Mitzuteilende Verstöße
- Vertranium unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch Vertranium-Leistungen und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung der betroffenen Personen (Art. 34 DSGVO).
- Vertranium meldet gemäß Art. 33 Abs. 2 DSGVO Verletzungen des Schutzes personenbezogener Daten ohne Ansehen der Verursachung unverzüglich dem Kunden, sobald diese Vertranium bekannt werden. Entsprechend stellen solche Mitteilungen auch kein Eingeständnis eines Verschuldens durch Vertranium dar. Im Regelfall erfolgen solche Meldungen per E-Mail.
- Vertranium hat im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Insbesondere ist Vertranium verpflichtet, unverzüglich die Ursache für die Verletzung des Schutzes personenbezogener Daten zu beseitigen. Soweit den Kunden Melde- und Benachrichtigungspflichten nach Art. 33 Abs. 1 oder 34 Abs. 1 DSGVO gegenüber der Aufsichtsbehörde und den betroffenen Personen treffen, wird Vertranium ihn hierbei im Sinne des Art. 28 Abs. 3 Satz 2 lit. f DSGVO unterstützen.
- Der Kunde als Verantwortlicher bleibt allein im Sinne der Art. 33, 34 DSGVO verantwortlich. Er entscheidet deswegen allein, ob aufgrund der ihm von Vertranium über einen Vorfall zur Verfügung gestellten Informationen die Aufsichtsbehörde und ggf. die Betroffenen benachrichtigt werden müssen oder ob darauf im Ausnahmefall verzichtet werden kann. Er ist allein für die Einhaltung der 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO verantwortlich. Der Kunde haftet allein und vollumfänglich, sollte er eine erforderliche Meldung im vorgenannten Sinne trotz unverzüglicher Information durch Vertranium unterlassen oder die 72-Stunden-Frist versäumt haben.
12. Datenschutzfolgeabschätzung
- Vertranium unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch Vertranium-Leistungen und der ihm zur Verfügung stehenden Informationen bei der Datenschutzfolgenabschätzung gemäß Art. 35, 36 DSGVO.
- Sollte diese Unterstützung darüber hinaus gehen, dem Kunden alle Vertranium vorliegenden relevanten Informationen zur Verfügung zu stellen, verpflichtet sich der Auftraggeber, die durch die Datenschutzfolgeabschätzung bei Vertranium oder bei einem Subunternehmer verursachten Kosten zu tragen. Die Höhe der angefallenen Kosten hat Vertranium nachzuweisen. Soweit zwischen den Parteien nichts anderes vereinbart wurde, wird für die Vergütung der Tätigkeit von Vertranium oder Mitarbeitern von Vertranium der in den „Allgemeinen Geschäftsbedingungen der Vertranium GmbH“ vereinbarte Stundensatz für sonstige Leistungen zugrunde gelegt.
13. Weisungsbefugnisse
- Vertranium wird Weisungen des Kunden, die sich auf die Beachtung der einschlägigen datenschutzrechtlichen Bestimmungen sowie Zweck und Ziel der Verarbeitung beziehen, beachten. Vertranium und jede Vertranium unterstellte Person wird die personenbezogenen Daten ausschließlich nach den Weisungen des Kunden, einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, verarbeiten und nutzen. Etwas anderes gilt nur dann, wenn Vertranium durch das Recht der Union oder des Mitgliedsstaates, in dem er seinen Sitz hat, hierzu verpflichtet ist (Art. 28 Abs. 3 Satz 2 lit. a, Art. 29 DSGVO). In diesem Fall wird Vertranium dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mitteilen, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet, Art. 28 Abs. 3 Satz 2 lit. a DSGVO.
- Mit Abschluss des Hauptvertrags weist der Kunde Vertranium an, im Rahmen der im Hauptvertrag getroffenen Auftragsbeschreibung personenbezogene Daten zu verarbeiten. Der Kunde behält sich im Rahmen der im Hauptvertrag getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang, Ziele und Zweck der Datenverarbeitung vor. Dieses kann der Kunde durch Einzelweisungen konkretisieren. Weisungen, Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich oder in einem elektronischen Format zu dokumentieren (Art. 28 Abs. 3 Satz 2 lit. a, Art. 29 DSGVO). Auskünfte an Dritte oder betroffene Personen darf Vertranium nur nach vorheriger schriftlicher Zustimmung oder elektronischer Zustimmung des Kunden erteilen. Die Zustimmung ist zu dokumentieren.
- Mündliche Weisungen wird der Kunde unverzüglich in Textform bestätigen. Im Übrigen erteilt der Kunde alle Aufträge, Teilaufträge und Weisungen grundsätzlich in Textform. Vertranium hat die Weisungen des Kunden zu dokumentieren und in geeigneter Weise festzuhalten. Vertranium verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
- Vertranium ist bekannt, dass Vertranium selbst als Verantwortlicher gilt, wenn von der vertraglichen Vereinbarung oder den Weisungen des Verantwortlichen abgewichen wird. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
- Sofern Vertranium der Auffassung ist, dass die Ausführung von Weisungen des Kunden, auch von solchen in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, zu einer Verletzung von Datenschutzbestimmungen führen könnte oder rechtswidrig ist, ist Vertranium verpflichtet, den Kunden hierauf unverzüglich, vor der Verarbeitung bzw. Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation hinzuweisen, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Vertranium ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird. Die Weisung des Kunden und die Ablehnung von Vertranium sind zu dokumentieren.
14. Rückgabe von Datenträgern und Löschung von Daten
- Mit Beendigung des Auftrags oder vorher auf Verlangen des Kunden ist Vertranium verpflichtet, dem Kunden die Bestände personenbezogener Daten, die Gegenstand der Auftragsverarbeitung sind, nach Wahl des Kunden zu löschen oder dem Kunden zurückzugeben (Art. 28 Abs. 3 Satz 2 lit. g DSGVO), wobei zu löschende Daten nach Wahl von Vertranium auch vernichtet werden können. Vertranium wird die personenbezogenen Daten unverzüglich nach einem entsprechenden Verlangen des Kunden oder nach der Übergabe an den Kunden löschen.
- Nach Beendigung des Auftragsverhältnisses dürfen keinerlei personenbezogene Daten, die Vertranium durch den Kunden zur Verarbeitung überlassen worden sind oder Ergebnis der Verarbeitung sind, bei Vertranium verbleiben.
- Die Verpflichtung gilt nicht, sofern Vertranium nach dem Unionsrecht oder dem Recht des Mitgliedstaates, in dem er seinen Sitz hat, zur Aufbewahrung personenbezogener Daten verpflichtet ist. Das Protokoll der Löschung bzw. Vernichtung ist dem Kunden vorzulegen. Entsprechendes gilt für die Versicherung der vollständigen Aushändigung sämtlicher in Zusammenhang mit dem Hauptvertrag und dieser Vereinbarung zur Auftragsverarbeitung stehenden Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse.
- Vertranium ist berechtigt, Dokumentationen, die benötigt werden, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gemäß den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Vertranium kann sie dem Kunden zur Entlastung bei Vertragsende übergeben.
15. Haftung
- Wird eine der Parteien von einer betroffenen Person wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen auf Schadensersatz in Anspruch genommen, wird die andere Partei von der in Anspruch genommenen Partei unverzüglich informiert.
- Die Haftung der Parteien für solche Schadensersatzansprüche im Innenverhältnis der Parteien sowie im Außenverhältnis zu der betroffenen Person richtet sich nach Art. 82 DSGVO.
- Soweit dies die rechtliche Position der Parteien gegenüber Dritten, gegenüber Aufsichtsbehörden und/oder im Verhältnis zueinander nicht beeinträchtigt, werden sich die Parteien gegenseitig dabei unterstützen, Schadensersatzansprüche einer betroffenen Person abzuwehren.
- Ansprüche der Parteien gemäß Art. 82 Abs. 5 DSGVO verjähren innerhalb von einem Jahr nach Kenntnis oder grob fahrlässiger Unkenntnis der den Anspruch begründenden Umstände.
- Für die Haftung von Vertranium aufgrund anderer Rechtsgrundlagen gelten, soweit die Parteien nichts Abweichendes vereinbart haben, die Regelungen der „Allgemeinen Geschäftsbedingungen der Vertranium GmbH“.
Anlage 1 – Technische und organisatorische Maßnahmen
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle
Der Zutritt zu den Räumlichkeiten der Vertranium GmbH und den dort betriebenen Datenverarbeitungsanlagen ist nur mit dem passenden Schlüssel möglich. - Zugangskontrolle
Die IT-Systeme der Vertranium GmbH sind gegen unbefugte Systembenutzung durch sichere Kennwörter, automatische Sperrmechanismen und Verschlüsselung von Datenträgern gesichert. - Zugriffskontrolle
Vertranium-Leistungen sind gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems durch Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte sowie Protokollierung von Zugriffen geschützt. - Trennungskontrolle
Daten, die für die Verarbeitung mit Vertranium-Leistungen wurden, werden getrennt von Daten verarbeitet, die zu anderen Zwecken erhoben wurden. Die Systeme für Vertranium-Leistungen sind mandantenfähig. Ein Zugriff auf Daten anderer Kunden ist innerhalb des Systems nicht möglich.
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
Gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten bei elektronischer Übertragung oder Transport ist Vertranium-Leistungen durch Verwendung verschlüsselter Verbindungen, Virtual Private Networks (VPN) und elektronische Signaturen geschützt. - Eingabekontrolle
Für die Vertranium-Leistungen werden Eingaben, Löschung und Änderung von personenbezogenen Daten protokolliert, Berechtigungen zur Dateneingabe werden über ein Rollenkonzept beschränkt.
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Die mit Vertranium-Leistungen verarbeiteten und gespeicherten Daten sind in Rechenzentren gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch ausreichende Backups, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne geschützt.
- Die rasche Wiederherstellbarkeit der Daten ist gewährleistet (Art. 32 Abs. 1 lit. c DS-GVO);
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Im Rahmen des Datenschutz-Managements der Vertranium GmbH wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig geprüft und evaluiert.
- Durch datenschutzfreundliche Voreinstellungen wird sichergestellt, dass personenbezogene Daten nur in der Menge, der Dauer und dem Umfang erhoben und verarbeitet werden, die für die mit Vertranium-Leistungen verfolgten Zwecke erforderlich sind.
- Auftragskontrolle
Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO erfolgt nicht ohne entsprechende Weisung der Vertranium GmbH als Auftraggeber. Die Verträge mit den Auftragsverarbeitern sind entsprechend ausgestaltet. Vor dem Abschluss eines Vertrages mit einem Auftragsverarbeiter und während der Vertragslaufzeit wird geprüft, ob die Voraussetzungen für die Verarbeitung von personenbezogenen Daten für Vertranium-Leistungen erfüllt werden.
Anlage 2 – Unterauftragnehmer
Firma Unterauftragnehmer | Adresse/Land | Leistung | Geeignete Garantien bei Übermittlung in Drittländer |
---|---|---|---|
Hetzner Online GmbH | Industriestr. 25 91710 Gunzenhausen Deutschland Tel.: +49 (0)9831 505-0* Fax: +49 (0)9831 505-3 E-Mail: info@hetzner.com | Serverhosting | - |
MeisterLabs GmbH | Zugspitzstrasse 2 85591 Vaterstetten Deutschland Tel.: +49 89 1213 5359 Email: info@meisterlabs.com | Dienstleister zur Bereitstellung der IT-Infrastruktur für das Blickwinkel-Prozessmanagement | Standardvertrags-klauseln (Beschluss 2021/914/EU) |
Microsoft Corporation | One Microsoft Way, Redmond, WA 98052, USA | Dienstleister zur Bereitstellung der IT-Infrastruktur für Datenaustausch, Office-Software und Nutzerverwaltung | Standardvertrags-klauseln (Beschluss 2021/914/EU) |