Datenschutzinformationen nach Art. 13, 14 DS-GVO

Mit den folgenden Informationen möchten wir Ihnen als „betroffener Person“ einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Zusammenarbeit bzw. unserer Geschäftstätigkeit durch uns und Ihre Rechte aus den Datenschutzgesetzen geben. Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung unserer Homepage finden Sie in unserer allgemeinen Datenschutzerklärung.

Die Verarbeitung von personenbezogenen Daten, beispielsweise Ihres Namens, der Anschrift oder E-Mail-Adresse, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) und in Übereinstimmung mit den für die „ascon-Datenschutz GmbH & Co. KG“ geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchten wir Sie über Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren.

1. Verantwortliche Stelle der Datenverabeitung und Datenschutzbeauftragter

Verantwortlicher im Sinne der DS-GVO ist die ascon-Datenschutz GmbH & Co. KG.

Sie können sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an uns wenden. Einen eigenen Datenschutzbeauftragten haben wir aber nicht bestellt, da unser Unternehmen gesetzlich nicht dazu verpflichtet ist.

ascon-Datenschutz GmbH & Co. KG
Lina-Ammon-Straße 17
90471 Nürnberg

Telefon: 0911 / 148986-50
Telefax: 0911 / 148986-59
E-Mail: info@ascon-datenschutz.de

Leiter der verantwortlichen Stelle: Stefan Auer

2. Begriffsbestimmungen

Die Datenschutzerklärung beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen (unser Unternehmen) verarbeitet werden.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

3. Bearbeitung von Anfragen und Kontaktverwaltung

Die regelmäßige und effiziente Kommunikation mit Interessenten, unseren Kunden und auch externen Partner ist für unseren Betriebsalltag essenziell. Hierbei werden an verschiedenen Stellen personenbezogene Daten erhoben und verarbeitet. Zur Organisation der Abläufe und Pflege unserer Kontakte setzen wir außerdem ein CRM-System ein.

Folgende Verarbeitungstätigkeiten finden bei der Bearbeitung von Anfragen und der Kontaktverwaltung statt:

Im Rahmen der Kontaktaufnahme mit uns (z.B. per E-Mail oder Telefon) werden personenbezogene Daten erhoben, sowohl bei allgemeinen Anfragen als auch im Rahmen der Kundenbetreuung. Im Falle einer E-Mail werden Ihre E-Mail-Adresse und die im E-Mail-Text gemachten Angaben erhoben. Bei der telefonischen Kontaktaufnahme machen wir uns abhängig von Ihrem Anliegen Gesprächsnotizen und notieren ggf. Ihre Kontaktdaten. Bei der Betreuung unserer Datenschutzkunden werden außerdem je nach Inhalt der telefonischen Beratung zu Dokumentationszwecken Beratungsprotokolle erstellt und dem Datenschutzkoordinator des betreffenden Unternehmens sowie dessen Geschäftsleitung zur Verfügung gestellt. Die Daten bei anderen, allgemeinen Anfragen werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verwendet.

Rechtsgrundlage für die Verarbeitung der Daten bei allgemeinen Anfragen ist unser überwiegendes berechtigtes Interesse an der Beantwortung Ihres Anliegens bzw. an der ordnungsgemäßen Erfüllung unserer Beratungsverträge gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Zielt Ihre Kontaktierung auf den Abschluss eines Vertrags ab oder stellen Sie uns als Geschäftsführer Fragen zur Datenschutzbetreuung Ihres Unternehmens durch uns als Dienstleister, so ist zusätzliche Rechtsgrundlage für die Verarbeitung eine vorvertragliche Maßnahme bzw. die Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht, dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Etwaige Beratungsprotokolle und die darin enthaltenen Namen, Kontaktdaten und Gesprächsinhalte werden zu Nachweiszwecken für 10 Jahre aufbewahrt.

E-Mail-Archiv

Unsere E-Mail-Postfächer sind zudem an ein E-Mail-Archiv angebunden, das der Einhaltung der gesetzlichen Pflichten zur revisionssicheren Aufbewahrung von Geschäftsunterlagen nach der AO i. V. m. der GoBD und nach dem HGB dient. Über das Archiv als Backup wird außerdem die Verfügbarkeit der E-Mail-Kommunikation gewährleistet. Hierfür verwenden wir das Archivsystem „ecoMAILZ“ der ecoDMS GmbH mit Sitz in Aachen. Alle eingehenden und ausgehenden Nachrichten inkl. Namen und E-Mail-Adressen sowie den Inhalten der Kommunikation und etwaige Anhänge werden in diesem E-Mail-Archiv für 10 Jahre aufbewahrt, entsprechend der Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen und gem. § 257 Abs. 1 Nr. 1 + 4 HGB. Eine aktive Verwendung der Daten im Archiv findet nicht statt. Zugriff haben ausschließlich die Geschäftsleitung und der zuständige IT-Dienstleister (mmc-quadrat, Ihn. Mario Müller, Sitz: Nürnberg).

Telefonanlage und Faxe

Bei einer telefonischen Kontaktaufnahme werden im Rahmen der Nutzung und Bereitstellung der Telefonanlage ebenfalls personenbezogene Daten erhoben und verarbeitet. Wir verwenden die IP-Telefonanlage der sipgate GmbH mit Sitz in Düsseldorf, bei der es sich um einen Cloud-Dienst handelt, sowie zugehörige digitale Tools. Verarbeitet werden im Falle einer telefonischen Kontaktaufnahme die Telefonnummer und ggf. die Namen sowie Verbindungsdaten (Datum, Zeit und Dauer der Verbindung) der Verbindungsteilnehmer sowie ggf. Inhalte von Benachrichtigungen auf dem Anrufbeantworter. Zugriff auf die Informationen haben ausschließlich die internen und freien Mitarbeiter, die jeweils an dem Telefonat teilgenommen haben, die Geschäftsleitung sowie der Internet-Telefonie-Anbieter und der zuständige IT-Dienstleister (mmc-quadrat, Ihn. Mario Müller, Sitz: Nürnberg). Faxe werden ebenfalls in sipgate digitalisiert und angezeigt, wobei die Informationen zum Absender, Zeit und Datum des Eingangs sowie der Inhalt des Dokuments bei eingehenden Faxen für alle Mitarbeiter und Freiberufler der ascon-Datenschutz sichtbar sind.

Um unserer Tätigkeiten und Leistungen strukturiert organisieren zu können, verwenden wir zum internen Aufgabenmanagement sowie zur Pflege und Verwaltung der Stammdaten von Kunden, Interessenten und Partnern ein Costumer-Relationship-Management-System (CRM-System). Wir nutzen hierfür die Webanwendung „SharePoint“ in Microsoft 365. In dem CRM-System sind überwiegend berufliche Kontaktdaten der Ansprechpartner unserer Kunden, Interessenten und Partner gespeichert, das heißt, Name, Telefonnummer, E-Mail-Adresse, Betriebszugehörigkeit und Position. Die Kontaktdaten wurden uns bei der Beauftragung bzw. dem Beginn der Akquisekommunikation von Ihnen bzw. der Geschäftsführung Ihres Arbeitgebers zur Verfügung gestellt. Das Aufgabenmanagement betrifft ausschließlich interne Mitarbeiter unseres Unternehmens. Zugriff auf das CRM-System haben in unserem Unternehmen alle Mitarbeiter des Bereichs Datenschutz sowie freie Mitarbeiter, die mit der Akquise und der Kundenbetreuung befasst sind.

Als Unternehmen haben wir ein Interesse daran, Kundenbeziehungen, Akquisetätigkeiten und Geschäftsbeziehungen sowie Aufgaben systematisch zu pflegen, um einen reibungslosen Ablauf in der Kommunikation und unserem Betriebsablauf zu gewährleisten. Insoweit basiert die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Die Kontaktdaten der Ansprechpartner werden über die Dauer der Geschäftsbeziehung bzw. der Akquisegespräche hinweg im CRM-System gespeichert. Die Daten werden nach Ende der Geschäftsbeziehung bzw. dem Scheitern der Akquise gelöscht. Bei einem Wechsel der Ansprechpartner werden die Kontaktdaten des alten Ansprechpartners entsprechend gelöscht, sobald die Übergabe vollständig abgewickelt wurde.

Für die Abwicklung aktueller oder späterer Bestellungen sowie für die Beauftragung aktueller oder späterer Leistungen speichern wir die Kontaktdaten von Lieferanten und externen Dienstleistern. Hierzu zählen insbesondere Firma, Name, berufliche Telefonnummer und berufliche E-Mail-Adresse. In der Regel handelt es sich ausschließlich um Unternehmensdaten, nur in wenigen Fällen gibt es einen konkreten Ansprechpartner, dessen Name und berufliche Kontaktdaten gespeichert werden. Die Daten werden uns im Rahmen der Auftragsbestätigung, des Vertrages oder der folgenden Kommunikation (z. B. Anfragen beim Kundenservice) zur Verfügung gestellt und manuell in eine Tabelle eingepflegt. Zugriff auf diese Tabelle haben alle Mitarbeiter, die für den Einkauf/ die Beauftragung zuständig sind, sowie die Geschäftsleitung. Als Unternehmen haben wir ein Interesse an der Erleichterung des Einkaufs bzw. der Beauftragung von Dienstleistungen sowie der in diesem Zusammenhang stehenden Kommunikation mit den Lieferenten/ Dienstleistern. Insoweit ist die Verarbeitung zur Wahrung unseres berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DS-GVO erforderlich. Die Daten werden nach Widerspruch gegen die Verarbeitung, spätestens aber nach Ende der Geschäftsbeziehung gelöscht.

4. Werbemaßnahmen

Um unsere Dienstleistungen in der Datenschutzberatung zu bewerben und auf spezielle Angebote aufmerksam zu machen, führen wir verschiedene Werbeaktionen durch. Die verschiedenen Werbemaßnahmen richten sich einerseits an unsere Bestandskunden und dienen andererseits auch der Neukunden-Akquise.

Die Werbemaßnahmen umfassen folgende Verarbeitungstätigkeiten:

Wenn Sie uns Ihre E-Mailadresse bei der Buchung von Seminaren, der Beauftragung mit einer Datenschutzbetreuung oder anderen einzelnen Dienstleistungen zur Verfügung gestellt haben, behalten wir uns vor, Ihnen regelmäßig Angebote zu ähnlichen Dienstleistungen, wie den bereits gekauften, aus unserem Angebot per E-Mail oder oder berufliche soziale Netzwerke zuzusenden. Hierfür müssen wir gemäß § 7 Abs. 3 UWG keine gesonderte Einwilligung von Ihnen einholen. Die Datenverarbeitung erfolgt insoweit allein auf Basis unseres berechtigten Interesses an personalisierter Direktwerbung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Zugriff auf Ihre Daten haben im Rahmen des Werbeversand ausschließlich die Geschäftsleitung sowie die Mitarbeiter der Neukundengewinnung.

Neben dem Versand des Newsletters führen wir außerdem Postwerbeaktionen an Bestandskunden durch, die direkt an die jeweiligen Ansprechpartner im Unternehmen bzw. die Geschäftsleitung adressiert sind. Die Kontaktdaten stammen aus dem hinterlegten Datensatz in unserem CRM-System, der uns bei der Beauftragung von Ihnen bzw. der Geschäftsführung Ihres Arbeitgebers zur Verfügung gestellt wurden. Die Datenverarbeitung erfolgt ebenfalls allein auf Basis unseres berechtigten Interesses an personalisierter Direktwerbung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.

Haben Sie der Nutzung Ihrer Kontaktdaten zu diesem Zweck anfänglich widersprochen, findet ein Werbeversand unsererseits nicht statt. Sie sind berechtigt, der Nutzung Ihrer E-Mailadresse bzw. Ihrer Kontaktdaten zu dem vorbezeichneten Werbezweck jederzeit mit Wirkung für die Zukunft durch eine Mitteilung an uns zu widersprechen. Nach Eingang Ihres Widerspruchs wird die Nutzung Ihrer Kontaktdaten zu Werbezwecken unverzüglich eingestellt.

Um unsere Leistungen zu bewerben, Neukunden zu gewinnen sowie die Beziehung zu Bestandskunden und Geschäftspartnern zu pflegen, versenden wir personalisierte Werbeanschreiben und Grußkarten auf dem Postweg. Bei der Direktwerbung werden der Name des Ansprechpartners, die Firma des Einzelunternehmers, Informationen zur Firmenzugehörigkeit sowie die Firmenanschrift verwendet, um die Postsendungen verschicken zu können. Die Werbeaktionen richten sich an Interessenten, Geschäftspartner sowie Kunden aller Mitglieder der ascon-Gruppe (ascon-Datenschutz GmbH & Co. KG, ascon Business Akademie (Ihn. Stefan Auer), ascon-Systemhaus-Börse GmbH & Co. KG). Neben der Geschäftsleitung haben unsere internen Marketingverantwortlichen Zugriff auf die Empfängerlisten und pflegen diese.

Die Datenverarbeitung erfolgt auf Basis unseres berechtigten Interesses an personalisierter Direktwerbung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Die Empfängerlisten werden aus den hinterlegten Datensätzen in unserem CRM-System generiert und an einen Postdienstleister für den Druck und Versand der Werbeaktion übermittelt.

Haben Sie der Nutzung Ihrer Kontaktdaten zu diesem Zweck anfänglich widersprochen, findet ein Werbeversand unsererseits nicht statt. Sie sind berechtigt, der Nutzung Ihrer Kontaktdaten zu dem vorbezeichneten Werbezweck jederzeit mit Wirkung für die Zukunft durch eine Mitteilung an uns zu widersprechen. Hierfür fallen für Sie lediglich Übermittlungskosten nach den Basistarifen an. Nach Eingang Ihres Widerspruchs wird die Nutzung Ihrer Kontaktdaten zu Werbezwecken unverzüglich eingestellt.

Wenn Sie der Verarbeitung Ihrer Daten zu Werbezwecken durch uns widersprechen und/ oder um die Löschung Ihrer Daten bitten, speichern wir Ihre personenbezogenen Daten zur Erfüllung des Werbewiderspruchs bzw. des Löschersuchens. Um Ihre Anfragen datenschutzkonform bearbeiten zu können und die datenschutzrechtliche Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu erfüllen, werden Ihr Name, Ihre E-Mail Adresse, die berufliche Postanschrift und der Inhalt der in diesem Zusammenhang stehenden Kommunikation in einem digitalen Datenschutzmanager (Softwareanbieter/Auftragsverarbeiter: audatis® Services GmbH, Sitz: Herford) erfasst und gespeichert. Zugriff auf die Dokumentation haben die Geschäftsleitung, die (freien) Mitarbeiter des Datenschutzbereichs sowie der Anbieter der Software im Rahmen von Wartung und Support. Eine aktive Verwendung der Daten zu anderen Zwecken als der Bearbeitung Ihrer Anfrage und der sich anschließenden gesetzlich vorgeschriebenen Dokumentation findet nicht statt. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. c) DS-GVO i. V. m. Art. 12, 17, 21 DS-GVO und Art. 5 Abs. 2 DS-GVO. Die Speicherdauer der Dokumentation im digitalen Datenschutzmanager orientiert sich mangels gesetzlicher Vorgaben an der üblichen handelsrechtlichen Aufbewahrungsfrist für Geschäftsunterlagen von sechs Jahren. Nach Ablauf dieser Frist werden die Daten gelöscht.

Außerdem werden Ihr Name, Ihre E-Mail-Adresse und die berufliche Postanschrift in unserer internen Sperrliste erfasst und gespeichert, um das Recht auf Werbewiderspruch zu gewährleisten. Die Führung der internen Sperrliste sowie ein entsprechender Datenabgleich stellen sicher, dass keine Werbung an Personen versendet wird, die deren Erhalt widersprochen haben. Eine Verarbeitung Ihrer personenbezogenen Daten zu anderen Zwecken findet nicht statt. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. c) DS-GVO i. V. m. Art. 12, 21 DS-GVO. Die Pflege der Sperrliste erfolgt innerhalb der ascon-Gruppe einheitlich über die zuständigen Mitarbeiter der ascon-Systemhaus-Börse GmbH & Co. KG im Rahmen einer Auftragsverarbeitung. Zugriff auf die Sperrliste haben die Geschäftsleitung sowie interne Mitarbeiter, die mit Marketingaufgaben betraut sind. Außerdem setzen wir über den Anbieter MARKETING2win mit Sitz in Bolgen das Tool „ZoHo“ zum Führen der Sperrliste ein, eine Datenübermittlung in ein Drittland findet dabei nicht statt. Die Verarbeitung der Daten zum Führen der Sperrliste erfolgt solange, wie der Verantwortliche in dieser oder einer anderen Rechtsform am Markt tätig ist.

5. Mitarbeiterschulungen und Seminare

Für unsere Datenschutzkunden bieten wir verschiedene Datenschutzschulungen für Mitarbeiter an. Parallel dazu veranstalten wir unabhängig von der Datenschutzbetreuung verschiedene Seminare und eine Datenschutz-Sprechstunde. Im Rahmen der Organisation und Durchführung dieser Veranstaltungen werden personenbezogene Daten der Teilnehmer erhoben und verarbeitet.

Folgende Verarbeitungstätigkeiten erfolgen im Rahmen der Schulungen und Seminare:

Im Rahmen der datenschutzrechtlichen Betreuung unserer Kunden mit und ohne Mandat als Datenschutzbeauftragter führen wir Datenschutzschulungen für Mitarbeiter in verschiedenen Formaten durch, die der Sensibilisierung der Mitarbeiter im Umgang mit personenbezogenen Daten dienen. Bei der Organisation, Durchführung und der anschließenden Dokumentation der Schulung werden personenbezogene Daten der Teilnehmer verarbeitet. Für jede Schulung wird eine Teilnehmerliste geführt, die sortiert nach Unternehmenszugehörigkeit die Namen der angemeldeten Teilnehmer enthält. Bei Online-Schulung ist außerdem die E-Mail-Adresse gelistet, an die der Link mit der Einladung versendet werden soll.

Die Daten werden uns jeweils vom Vorgesetzten der Teilnehmer bzw. von den zuständigen Ansprechpartnern für den Datenschutz im betreffenden Unternehmen mitgeteilt. Bei Präsenzveranstaltungen wird die Teilnahme auf Unterschriftslisten dokumentiert, wobei sich die Teilnehmer teilweise selbst mit Namen eintragen und die Daten nicht im Vorfeld bei uns erhoben werden. Außerdem erhalten die Teilnehmer bei jeder Schulung ein Schulungszertifikat, das auf ihren Namen ausgestellt ist. Die Organisation und Durchführung der Schulung erfolgen durch (freie) Mitarbeiter unseres Datenschutzbereichs. Die erstellten Zertifikate und ggf. die Unterschriftenliste stellen wir zudem nach der Schulung dem Vorgesetzten der Teilnehmer bzw. dem zuständigen Ansprechpartner für den Datenschutz im betreffenden Unternehmen zur Verfügung.

Für Mitarbeiter von Unternehmen, die eine Mitarbeiterschulung bei uns gebucht haben, ist die Datenverarbeitung erforderlich, um die gesetzlich bestehenden Schulungs- und Sensibilisierungspflichten im Datenschutz zu erfüllen und basiert damit auf Art. 6 Abs. 1 S. 1 lit. c) DS-GVO i.V.m. Art. 32 DS-GVO. Da die Datenschutzdokumentation für unsere Kunden Teil der Datenschutzbetreuung mit und ohne Mandat als Datenschutzbeauftragter ist, orientiert sich die Löschung der Daten an den Fristen für die Datenschutzdokumentation. Die Teilnehmerlisten werden nach Abrechnung der gebuchten Seminare gelöscht.

Sie können sich über unsere Homepage direkt für verschiedene Datenschutzseminare anmelden. Hierzu werden von Ihnen bzw. Ihren Mitarbeitern personenbezogene Daten erhoben. Welche Daten erhoben werden, ist aus dem jeweiligen Buchungsformular ersichtlich. Hierbei handelt es sich nicht nur um die klassischen Kontaktdaten, sondern es werden alle für die Seminardurchführung benötigten Daten erhoben. Hierzu gehören auch der Geburtstag und -ort, die für die Erstellung der Zertifikate und Teilnahmebescheinigungen benötigt werden. Diese Daten werden ausschließlich zum Zweck der Buchung, Durchführung und Nachbereitung des jeweiligen Seminars verarbeitet.

Die Verarbeitung der Daten ist für die Erfüllung des Seminarvertrags gem. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO bzw. für die Zwecke des Beschäftigungsverhältnisses gem. Art. 88 DS-GVO i. V. m. § 26 Abs. 1 BDSG im Rahmen der Weiterbildung von Arbeitnehmern erforderlich. Die Datenverarbeitung erfolgt größtenteils durch interne Mitarbeiter der Datenschutzabteilung, der Buchhaltung sowie der Geschäftsführer. Sofern die Daten nicht zur Erfüllung gesetzlicher Aufbewahrungsfristen benötigt werden, werden sie sechs Monate nach Durchführung des Seminars gelöscht. Andernfalls erfolgt die Löschung nach Ablauf der einschlägigen gesetzlichen Aufbewahrungspflicht.

Sie können sich über unsere Homepage direkt für die Sprechstunde Datenschutz anmelden. Hierzu werden von Ihnen bzw. Ihren Mitarbeitern personenbezogene Daten erhoben. Welche Daten erhoben werden, ist aus dem zugehörigen Buchungsformular ersichtlich. Hierbei handelt es sich überwiegend um die klassischen Kontaktdaten, wie Anrede, Name, Firmenzugehörigkeit, berufliche E-Mail-Adresse sowie ggf. weitere Angaben, die Sie freiwillig als Anmerkung gemacht haben. Diese Daten werden ausschließlich zum Zweck der Buchung, Durchführung und Nachbereitung der jeweiligen Sprechstunde verarbeitet.

Die Verarbeitung der Daten ist für die Erfüllung des Vertrags gem. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich. Die Datenverarbeitung erfolgt größtenteils durch Mitarbeiter der Datenschutzabteilung, der Buchhaltung sowie der Geschäftsführung. Sofern die Daten nicht zur Erfüllung gesetzlicher Aufbewahrungsfristen benötigt werden, werden sie sechs Monate nach Durchführung der Sprechstunde gelöscht. Andernfalls erfolgt die Löschung nach Ablauf der einschlägigen gesetzlichen Aufbewahrungspflicht.

Neben Präsenzveranstaltungen bieten wir auch Online-Mitarbeiterschulungen im Rahmen Videokonferenzen sowie andere Online-Veranstaltungen an.

Folgende Daten werden im Rahmen der Videokonferenz verarbeitet:

  • Benutzerdaten: Name, Vorname, E-Mail-Adresse
  • Meeting-Metadaten: Teilnehmer-IP-Adressen, Geräte-/Hardwareinformationen
  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden/ausgehenden Rufnummer, Land, Start- und Endzeit, ggf. weitere Verbindungsdaten (z. B. IP-Adresse des Geräts)
  • Text-, Audio- und Videodaten: Daten von Mikrofon und der ggf. der Videokamera des Endgeräts während der Dauer des Webmeetings zur Wiedergabe des Audios bzw. Anzeige des Videos; ggf. Texteingaben bei der Nutzung der Chat-Funktion

Sie können grundsätzlich die Kamera sowie das Mikrofon selbst jederzeit über das Tool deaktivieren, diese sind für die Veranstaltung nicht zwingend erforderlich. Fragen können ggf. auch über die Chat-Funktion gestellt werden. Eine Aufzeichnung und damit eine Speicherung der Meetingdaten über die Videokonferenz hinaus findet nicht statt.

Eingesetzte Videokonferenz-Tools

Abhängig vom Inhalt des Meetings und den Präferenzen der Teilnehmer setzen wir verschiedene Videokonferenz-Tools ein. Die Anbieter des Tools erhalten jeweils Kenntnis von den o. g. Daten, soweit dies im Rahmen der Auftragsverarbeitung erforderlich ist.

  • RED connect: Anbieter des Tools ist die RED Medical Systems GmbH mit Sitz in München, eine Datenübermittlung in ein Drittland findet nicht statt. Die erforderliche Vereinbarung über die Auftragsverarbeitung gem. Art 28-DS-GVO wurde mit dem Anbieter abgeschlossen.
  • MS Teams: Anbieter ist die Microsoft Ireland Operations Ltd mit Sitz in den USA. Zur Sicherstellung eines angemessenen Datenschutzniveaus stellt der Anbieter ein Data Protection Addendum (DPA) zur Verfügung. Informationen und weiterführende Links finden Sie unter https://privacy.microsoft.com/de-de/privacystatement. Da es sich um einen Anbieter aus einem Drittland handelt, haben wir zur Gewährleistung eines angemessenen Datenschutzniveaus mit dem Anbieter eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DS-GVO unter Einbeziehung der EU-Standardvertragsklauseln abgeschlossen. Da es sich bei den USA um ein „unsicheres Drittland“ im Sinne der DS-GVO handelt, kann trotz dieser Maßnahmen die Vertraulichkeit der Meetingdaten nicht vollständig gewährleistet werden. Bitte achten Sie deshalb im Rahmen der Videokonferenz darauf, keine besonders sensiblen Informationen preiszugeben.

6. Datenverarbeitung bei der Datenschutzbetreuung

Unser Tätigkeitsbereich in der Datenschutzbetreuung umfasst sowohl die Tätigkeit als externer Datenschutzbeauftragter (mit DSB-Mandat) als auch die datenschutzrechtliche Beratung ohne DSB-Mandat. In beiden Fällen unterstützen wir unsere Kunden in unterschiedlichem Umfang bei der Pflege des Datenschutz-Management-Systems, wobei hier an verschiedenen Stellen personenbezogene Daten von unseren zuständigen Mitarbeitern eingesehen werden können oder verarbeitet werden.

Folgende Verarbeitungstätigkeiten sind hiervon betroffen:

Zur Erfüllung unserer Aufgaben als Datenschutzbeauftragter stellen wir unseren DSB-Kunden einen digitalen Datenschutzmanager zur Verfügung und unterstützen sie bei der Pflege des Datenschutzmanagement-Systems. Wir verwenden hierfür den audatis MANAGER des Anbieters audatis® Services GmbH mit Sitz in Herford (Deutschland). Im Rahmen der Datenschutzdokumentation werden personenbezogene Daten verschiedener Kategorien von betroffenen Personen verarbeitet:

  • Registrierte Benutzer: Internetnutzungsdaten (IP-Adresse, Loginzeit und -datum), Nutzungsdaten der webbasierten Software ((Benutzer-)Name; Art, Zeit und Datum der Bearbeitung)
  • Arbeitnehmer unserer Kunden: Mitarbeiterdaten (Name, berufliche E-Mail-Adresse, Telefonnummer, Zuständigkeiten, Schulungs- und Verpflichtungsnachweise)
  • Mitarbeiter von Geschäftspartnern, Dienstleistern, Kunden oder Lieferanten unserer Kunden: Kontaktdaten (Name, Telefon, Fax, E-Mail, Unternehmenszugehörigkeit und Position)
  • Betroffene Personen i. S. d. DS-GVO, die gegenüber unseren Kunden Datenschutzrechte geltend gemacht haben: Personenstammdaten (Name, E-Mail-Adresse, Anschrift, Geburtstag, Ausweisdaten, Inhalt der Betroffenenanfrage)
  • Rechtsanwälte: Personenstammdaten (Name, Telefon, Fax, E-Mail, Kanzleizugehörigkeit, Fachgebiet, Berufsbezeichnung)

Die Daten werden uns jeweils von dem betreffenden Kunden zur Verfügung gestellt und in den Datenschutzmanager eingepflegt. Eine Direkterhebung bei uns findet nur statt, wenn sich die betroffene Person direkt an uns wendet, beispielsweise um Betroffenenrechte nach der DS-GVO geltend zu machen. Zugriff auf die Datenschutzdokumentation haben die Geschäftsführung, der Datenschutzkoordinator und der IT-Dienstleister des betreffenden Kunden sowie die Mitarbeiter der Kundenbetreuung des Datenschutzbeauftragten. Die Verarbeitung ist zur Erfüllung der gesetzlichen Pflichten eines Datenschutzbeauftragten gem. Art. 6 Abs. 1 S. 1 lit. c) DS-GVO i. V. m. Art. 39 DS-GVO, § 7 BDSG erforderlich. Die gespeicherten Daten werden nach dem Löschkonzept des jeweiligen Kunden zu den dort benannten Zeitpunkten entsprechend des Zwecks der einzelnen Datenschutzmodule gelöscht. Die Löschung wird vom Datenschutzkoordinator übernommen.

Zur Erfüllung des abgeschlossenen Vertrages über die Unterstützung unserer Kunden in Datenschutzangelegenheiten ohne Übernahme des Mandats als Datenschutzbeauftragter, stellen wir unseren Kunden einen digitalen Datenschutzmanager zur Verfügung und unterstützen sie bei der Pflege des Datenschutzmanagement-Systems. Wir verwenden hierfür den audatis MANAGER des Anbieters audatis® Services GmbH mit Sitz in Herford (Deutschland). Im Rahmen der Datenschutzdokumentation werden personenbezogene Daten verschiedener Kategorien von betroffenen Personen verarbeitet:

  • Registrierte Benutzer: Internetnutzungsdaten (IP-Adresse, Loginzeit und -datum), Nutzungsdaten der webbasierten Software ((Benutzer-)Name; Art, Zeit und Datum der Bearbeitung)
  • Arbeitnehmer unserer Kunden: Mitarbeiterdaten (Name, berufliche E-Mail-Adresse, Telefonnummer, Zuständigkeiten, Schulungs- und Verpflichtungsnachweise)
  • Mitarbeiter von Geschäftspartnern, Dienstleistern, Kunden oder Lieferanten unserer Kunden: Kontaktdaten (Name, Telefon, Fax, E-Mail, Unternehmenszugehörigkeit und Position)
  • Betroffene Personen i. S. d. DS-GVO, die gegenüber unseren Kunden Datenschutzrechte geltend gemacht haben: Personenstammdaten (Name, E-Mail-Adresse, Anschrift, Geburtstag, Ausweisdaten, Inhalt der Betroffenenanfrage)
  • Rechtsanwälte: Personenstammdaten (Name, Telefon, Fax, E-Mail, Kanzleizugehörigkeit, Fachgebiet, Berufsbezeichnung)

Die Daten werden uns jeweils von dem betreffenden Kunden zur Verfügung gestellt und in den Datenschutzmanager eingepflegt. Zugriff auf die Datenschutzdokumentation haben die Geschäftsführung, der Datenschutzkoordinator und der IT-Dienstleister des betreffenden Kunden sowie die Mitarbeiter unserer Kundenbetreuung bei der ascon-Datenschutz GmbH & Co. KG. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO, da wir ein berechtigtes Interesse daran haben, die beauftragten Leistungen unserer Kunden ordnungsgemäß zu erfüllen. Die gespeicherten Daten werden nach dem Löschkonzept des jeweiligen Kunden zu den dort benannten Zeitpunkten entsprechend des Zwecks der einzelnen Datenschutzmodule gelöscht. Die Löschung wird vom Datenschutzkoordinator übernommen.

Bei der Abrechnung von Leistungen gegenüber unseren Kunden erstellen wir Rechnungen, überwachen Zahlungen, Fristen und Zahlungsziele und mahnen ggf. ausstehende Rechnungsbeträge an. Parallel dazu führen wir im arbeitsteiligen Einsatz mit unserem Steuerberater eine systematische Dokumentation zur Entstehung und Abwicklung der Geschäftsvorfälle inklusive Darstellung der Vermögenslage (Buchführung). Auch wenn wir ausschließlich im B2B-Bereich tätig sind, werden im Rahmen des Rechnungs- und Mahnwesens sowie bei der Buchführung teilweise personenbezogene Daten von Kunden (insb. bei Einzelunternehmern), Lieferanten, Dienstleistern bzw. der dortigen Ansprechpartner/ Bearbeiter verarbeitet. Hierzu zählen Abrechnungsdaten (Informationen über erstelle Leistungen), Kontaktdaten (Firma des Einzelunternehmers, Firmenanschrift, Name des Ansprechpartners sowie des Bearbeiters, berufliche E-Mail-Adresse, berufliche Telefon-/ Faxnummer), Teilnehmerdaten (Name, Firmenzugehörigkeit, Informationen zur Veranstaltung), Zahlungsdaten (Zahlungsziele, Kontoinformationen, ggf. Kreditkartendaten).

Das Rechnungs- und Mahnwesen erfolgt durch interne Mitarbeiter, die für die Abrechnung zuständig sind sowie ggf. die Geschäftsleitung. Die Buchführung erfolgt innerhalb der ascon-Gruppe einheitlich im Rahmen einer Auftragsverarbeitung bei der ascon Business Akademie (Inh. Stefan Auer). Die zuständigen Mitarbeiter des Auftragsverarbeiters erhalten entsprechend auch die erstellten Belege und haben Zugriff auf den Zahlungsverkehr (Onlinebanking). Die Buchführung erfolgt in der Online-Anwendung „DATEV Unternehmen online“ der DATEV eG mit Sitz in Nürnberg, auf das auch unsere Steuerkanzlei Zugriff hat. Soweit zum Begleichen von Eingangsrechnungen erforderlich, werden die Daten zudem an Zahlungsdienstleister weitergegeben.

Die Verarbeitung erfolgt auf Basis des bestehenden Vertrages gem. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO bzw. zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 S. 1 lit. c) DS-GVO (Buchführungspflicht gemäß § 238 Abs. 1 HGB). Aufgrund der Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen werden die Daten für 10 Jahre aufbewahrt und anschließend gelöscht.

Zur revisionssicheren Ablage von Dokumenten aller Art und zur Nachvollziehbarkeit von deren Erstellung, Veränderung und Löschung (Integrität), setzen wir ein Dokumentenmanagementsystem (DMS) ein. Hierfür verwenden wir das Tool „ecoDMS“ der ecoDMS GmbH mit Sitz in Aachen. Im DMS werden alle Vertragsunterlagen, Termin- und Beratungsprotokolle sowie zugehörige E-Mails und ähnliche Dokumente gespeichert. Die Dateien enthalten unter anderem auch Namen, Kontaktdaten, Informationen zur Unternehmenszugehörigkeit und der Position von Ansprechpartnern unserer Kunden sowie im Falle von Beratungsprotokollen Gesprächsinhalte von Telefonaten mit dem betreffenden Ansprechpartner.

Auf die Dokumente im ecoDMS haben alle internen Mitarbeiter des Datenschutzbereichs und die Geschäftsleitung Zugriff. Die Speicherdauer ist abhängig von dem Inhalt des Dokuments. Verträge und zugehörige Unterlagen werden bis drei Jahre nach Vertragsende aufbewahrt, Datenschutzberatungen zu Nachweiszwecken für 10 Jahre.

7. Ihre Rechte als betroffene Person

Als betroffene Person der Datenverarbeitung stehen Ihnen nach der DS-GVO bei der Verarbeitung Ihrer personenbezogenen Daten eine Reihe unterschiedlicher Rechte zu. Um diese Rechte geltend zu machen können Sie sich jederzeit an uns wenden. Unsere Kontaktdaten finden Sie oben am Anfang unserer Datenschutzerkärung. Sie können hierzu aber auch gern unser Kontaktformular verwenden.

Bei der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende Rechte:

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden.

Sie haben das Recht, jederzeit von uns unentgeltliche Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten sowie eine Kopie dieser Daten zu erhalten.

Sie haben das Recht, die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Sie haben das Recht, von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der gesetzlich vorgesehenen Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist.

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der gesetzlichen Voraussetzungen gegeben ist.

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, welche uns durch Sie bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außer-dem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, dem die per-sonenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO oder Art. 9 Abs. 2 lit. a) DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbei-tung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche uns übertragen wurde.

Ferner haben Sie bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit.  f) DS-GVO erfolgt, Widerspruch einzulegen.

Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Art. 4 Nr. 4 DS-GVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

In Einzelfällen verarbeiten wir personenbezogene Daten, um Direktwerbung zu betreiben. Sie können je-derzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einlegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie gegenüber uns der Verarbeitung für Zwecke der Direktwerbung, so werden wir die per-sonenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Sie haben das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit mit Wirkung für die Zukunft zu widerrufen.

Sie haben das Recht, sich bei einer für Datenschutz zuständigen Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren.

8. Aktualität und Änderung der Datenschutzinformationen

Diese Datenschutzinformationen sind aktuell gültig und haben den Stand Oktober 2021.