1. Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

Initiative Offene Gesellschaft e.V.
Kärntener Str. 20
10827 Berlin
freunde@offenegesellschaft.org

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: Rechtsanwalt David Heimburger, dh@davidheimburger.de, 040 / 22863648

2. Hinweis zur geschlechtergerechten Sprache

Wir bemühen uns, eine geschlechtergerechte Sprache zu verwenden. Teilweise verwenden wir für die vereinfachte Leseführung nur die männliche Form von Begriffen wie Benutzer statt Benutzende, Benutzer:innen oder Benutzerinnen und Benutzer. Wenn wir nur die männliche Form verwenden, soll der Begriff dennoch alle Geschlechter miteinschließen.

3. Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

- Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).

- Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.

- Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).

- Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).

- Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).

- Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbaren Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).

- Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Berliner Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

4. Datenverarbeitungen bei uns im Allgemeinen

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.

Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social-Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer einwilligungsbedürftigen Onlineangebote an Personen unter 16 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) oder dem Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist. Eine solche Übertragung nach außerhalb des EWRs nennt man im Datenschutzrecht einen Drittstaatentransfer.

5. Allgemeiner Hinweis zu Cookies

Cookies sind eine bestimmte Form von Texteinträgen, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“) oder eine Landeskennung wie „de“ für deutsche Sprache; teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern primär nach § 25 TDDDG. Die Normunterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essenzielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (z.B. wenn ein berechtigtes Interesse als Rechtsgrundlage vorliegt oder die Daten nicht personenbezogen sind).

Bevor wir nicht-essenzielle Cookies auf Ihrem Endgerät speichern, fragen wir Sie entsprechend den Vorgaben des § 25 TDDDG nach Ihrem Einverständnis.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

- Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.

- Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).

- Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.

- Ein Spezialfall: Google bietet ein Browser-Plug-In an, das das Setzen der verschiedenen Cookies von Google unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

- Der Standardfall bei vielen Onlineangeboten ist, dass Sie beim Aufruf des Angebots über einen Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Da wir unsere Seiten ohne einwilligungspflichtige Cookies betreiben, verzichten wir auf einen für unsere Angebote unnötigen Einwilligungsmanager.

6. Konkrete Datenverarbeitungen

6.1. Besuch unserer Internetseiten

6.1.1 Bereitstellen unserer Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet hierdurch nicht statt.. Im Falle von Angriffen auf unsere Seiten Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Drittstaatentransfer findet hierbei nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.

Speicherdauer: 7 Tage

6.1.2 Analyse des Nutzungsverhaltens (Matomo)

Beschreibung: Auf unserer Internetseite setzen wir den Webanalysedienst Matomo ein. Matomo erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die regionale Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.

Wir haben Matomo so eingestellt, dass IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit einzuschränken. Durch die IP-Anonymisierung wird das Ende Ihre IP-Adresse direkt nach der Erfassung durch Nullen ersetzt.

Wir nutzen Matomo ohne Cookies. Matomo erstellt aber anhand technischer Parameter ihres Endgeräts und Ihres Browsers einen sogenannten digitalen Fingerabdruck Ihres Geräts als einen sogenannten Hash-Wert. Der digitale Fingerabdruck gibt uns die Möglichkeit, Nutzungspfade innerhalb unserer Internetseiten nachvollziehen zu können. Der Hash-Wert wird von Matomo mit einem zusätzlichen Wert versehen (Salt genannt) und anschließend nur für 24 Stunden gespeichert. Diese Kombination aus Hash-Wert mit Salt und kurzer Speicherzeit hat zur Folge, dass wir Ihr Gerät nur innerhalb von 24 Stunden wiedererkennen. Bei einer Rückkehr später als 24 Stunden ist das für uns ein vollkommen unbekannter und insoweit neuer Besuch.

Es ist uns auch nicht möglich, hinter dem Hashwert eine konkrete Person zu erkennen, wenn Sie uns nicht parallel informieren, wann exakt Sie in welcher Weise unsere Internetseiten genutzt haben.

Wir geben die Daten aus Matomo an keinen Dritten weiter. Insbesondere führen wir die Daten nicht mit den Daten von Werbenetzwerken zusammen oder setzen sie in anderer Weise für Marketingzwecke ein.

Neben den Aktivitäten auf unserer Internetseite dokumentieren wir über Matomo auch, welche Internetlinks Sie in unseren Newslettern aufrufen. Auch hier erkennen wir Sie nicht als konkrete Person wieder, sondern können nur nachvollziehen, welche Internetlinks unsere Newsletter-Empfänger zum Anklicken motivieren und welchen weiteren Weg Sie anschließend über unsere Internetseite nehmen.

Weitere Informationen zu Matomo finden Sie auf https://matomo.org/matomo-cloud-privacy-policy/.

Datenkategorien: IP-Adresse, über die das Gerät online geht, bis zu ihrer umgehenden Anonymisierung; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Internetseiten, die zuvor und als nächstes angeklickt werden; digitaler Fingerabdruck des Endgeräts mit ergänzendem Zufallswert (Salt)

Datenempfänger (ggf. Drittstaatentransfer): InnoCraft Ltd, 7 Waterloo Quay PO625, 6140 Wellington, New Zealand. Uns gegenüber ist InnoCraft (der Betreiber von Matomo Cloud) zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO verpflichtet. Die durch die Cookies gesammelten Informationen werden an Server im EWR übertragen und dort gespeichert, so dass technisch kein Drittstaatentransfer stattfindet. Rechtlich ist der Drittstaatentransfer an InnoCraft als neuseeländischem Unternehmen abgesichert über den Angemessenheitsbeschluss der EU für Neuseeland.

Zweck + Rechtsgrundlage: Der Zweck dieser Nutzungsanalyse ist es, dass wir unser Internetangebot anhand der Analyseerkenntnisse weiter verbessern können.

Rechtsgrundlage ist ein berechtigtes Interesse, das sich daraus ergibt, dass der Personenbezug der erfassten Daten durch das Anonymisieren der IP-Adressen und den Einsatz des Hashwerts mit Salt und kurzer Speicherzeit stark reduziert wird und die Daten von uns nicht mit weiteren Datensammlungen kombiniert werden.

Speicherdauer: 24 Stunden (anschließend entfällt die Wiedererkennbarkeit über den Hashwert mit Salt)

6.1.3 Spendeneinzug

Beschreibung: Wir nutzen den Dienstleister twingle, damit man uns über unsere Internetseite möglichst unkompliziert Spenden kann. Spenden, die uns auf diesem Weg erreichen, verwalten wir über die entsprechende Datenbankanwendung von twingle. Der Dienst bietet uns vor allem eine Möglichkeit zur sicheren Zahlungsabwicklung über etablierte und von der Finanzaufsicht regulierte Zahlungsdienstleister.

Datenkategorien: Name, Spendenbetrag, Zeitpunkt der Spende, Einordung Einzel- oder Dauerspende, Zahlungsmittel, ggf. Kontaktdaten für Spendenbelege

Datenempfänger (ggf. Drittstaatentransfer): twingle GmbH, Prinzenallee 74, 13357 Berlin, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Zahlungsabwicklung von Spenden an uns sowie anschließende Verwaltung der Spenden. Rechtsgrundlage ist die Vertragserfüllung Ihrer Spendentätigkeit sowie die Erfüllung gesetzlicher Vorschriften zum Umgang mit Spenden und Einnahmen.

Speicherdauer: Wir dokumentieren Spenden als Zahlungseingänge gemäß Steuerrecht acht Jahre lang. Dauerspendende oder wiederkehrende Spendende verbleiben in der Datenbank für acht Jahren nach ihrer letzten Spende.

6.1.4 Bot-Schutzmechanismus (Google reCAPTCHA)

Beschreibung: Mit Blick auf die Anmeldungen zu unserem Newsletter nutzen wir den Dienst reCAPTCHA von Google zur Überprüfung, ob Sie ein Mensch oder ein sogenannter Bot sind. reCAPTCHA ermöglicht eine Unterscheidung zwischen menschlichen und automatisierten, missbräuchlichen Eingaben. Durch die Nutzung des reCAPTCHA -Dienstes werden Daten über Sie an Google übertragen. Google setzt dazu die Cookies _GRECAPTCHA (Ablaufzeit: 6 Monate), AEC (Ablaufzeit: 6 Monate) und __Secure-ENID (Ablaufzeit: 1 Jahr) in den Speicher Ihres Browsers sowie Werte für die Schlüssel r::a und r::f in den lokalen Speicher ihres Browsers.

Die Datenverarbeitung durch reCAPTCHA erfolgt gemäß den Datenschutzinformationen von Google: https://policies.google.com/privacy

Wir erhalten von Google keine Daten über Ihr Nutzungsverhalten.

Datenkategorien: IP-Adresse, von der aus die Seite aufgerufen wird; Datum und Uhrzeit des Zugriffs; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; in Cookies und Local-Storage-Keys gespeicherte Google-IDs, aber auch die Mausbewegungen im Bereich der reCAPTCHA -Checkbox

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Absicherung unserer Newsletterregistrierung gegen Angriffe durch Bots. Rechtsgrundlage hinsichtlich der Datenweitergabe ist ein berechtigtes Interesse, da an der Sicherung unserer Infrastruktur ein hohes Interesse besteht.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von reCAPTCHA keine Daten von Ihnen erfassen.

6.1.5 Online-Schriften (Google Fonts)

Beschreibung: Um eine individuelle Gestaltung unserer Internetseiten zu ermöglichen, nutzen wir sogenannte Webfonts. Diese Schriften lädt Ihr Browser zur Darstellung unserer Seiten aus dem Internet, wenn die Schriften noch nicht von einem vorherigen Besuch einer Seite mit dieser Schrift im Speicher Ihres Browsers geladen sind.

Grundsätzlich stehen Schriften direkt auf unserem eigenem Server zur Verfügung. Insoweit handelt es sich nicht um eine eigenständige Verarbeitung, die über die Verarbeitung „Bereitstellen unserer Internetseiten“ hinausgeht. Teilweise greifen wir auf Schriften von externen Servern zu, in unserem Fall bei der Nutzung der Schutzmechanismen über Googles reCAPTCHA-Technologie, die Schriften von Google (Google Fonts) nachlädt.

Für den Download der Schriften von den Google-Schriftservern (gstatic.com) muss Ihre IP-Adresse an Google übertragen werden, da anders eine Übertragung des Datenpakets nicht möglich ist. Google erhält im unmittelbaren Zusammenhang mit dem Schriften-Download keine weiteren Daten von Ihnen.

Datenkategorien: IP-Adresse, von der aus Ihr Gerät ins Internet geht, Zeitpunkt

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Soweit Google Daten in Drittstaaten überträgt, garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Bereitstellung von Google Fonts als Teil der reCAPTCHA-Sicherheitsmechanismen. Rechtsgrundlage ist ein berechtigtes Interesse, da im Rahmen des Schriften-Downloads allein die IP-Adresse ihres Geräts übertragen wird ohne weitere Referenzen zu Ihrer Nutzung des Internets.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Fonts keine Daten von Ihnen erfassen.

6.1.6 Video-Streaming über YouTube

Beschreibung: Unsere Internetseiten zeigt teilweise Filme über einen Videoplayer von YouTube, einem Tochterunternehmen von Google. Wir nutzen den YouTube-Player möglichst im sogenannten Erweiterten Datenschutzmodus, so dass Google durch den Aufruf des Players in Ihrem Internetbrowser keine Cookies in Ihrem Browser setzt und auf allgemeine Trackingmaßnahmen verzichtet, die YouTube ansonsten nutzt, um Ihre YouTube-Historie zu erfassen und Ihnen zielgerichtet Werbung anzuzeigen.

Google verarbeitet als technischer Anbieter des Videohostings die typischen Weblog-Daten, die ein Endgerät beim Abruf des Streamingangebots an den technischen Anbieter überträgt wie zum Beispiel Ihre IP-Adresse.

Wir erhalten hinsichtlich dieser Datenerfassung von Google bzw. YouTube keinerlei Daten über Ihr Nutzungsverhalten. Die Verantwortung für diese Datenverarbeitung liegt allein bei Google. Wir informieren an dieser Stelle über diese externe Datenverarbeitung, weil unser Angebot über die Verlinkung zum YouTube-Player auf den Google-Dienst verweist.

Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy. Zur Nutzung von YouTube-Diensten siehe insbesondere die Übersicht auf: https://support.google.com/youtube/topic/2803240. Googles Angaben zum Erweiterten Datenschutzmodus finden Sie auf: https://support.google.com/youtube/answer/171780?hl=de#zippy=%2Cerweiterten-datenschutzmodus-aktivieren

Datenkategorien: IP-Adresse, von der aus der YouTube-Player aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystems; zu den Details siehe Googles Datenschutzinformationen

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für Betroffene und Kunden ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Die im Rahmen des YouTube-Einsatzes erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür haben die Google-Unternehmen unter sich und über Allgemeine Geschäftsbedingungen (Terms of Service) mit den Kunden beziehungswiese Benutzern von Google-Diensten wie YouTube EU-Standarddatenschutzklauseln abgeschlossen und garantieren damit einen Umgang mit den Daten auf EU-Datenschutzniveau. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Wir setzen den YouTube-Player ein, um Ihnen ein leistungsfähiges Videostreaming anbieten zu können. Rechtsgrundlage für die Verarbeitung der Weblog-/ Streamingdaten ist ein berechtigtes Interesse, da Internetdienste technisch nicht ohne Verarbeitung der Weblog-Daten angeboten werden können.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von YouTube keine Daten von Ihnen erfassen.

6.1.7 Video-Streaming über Ignite

Beschreibung: Unsere Internetseiten zeigt teilweise Filme über einen Videoplayer von Ignite, einen deutschen Hostinganbieter für Videostreaming. Ignite greift für das Hosting auf Infrastrukturen von Amazon Web Services EMEA SARL (AWS) zurück. Ignite und AWS nutzen die sogenannten Weblog-Daten, die beim Aufruf des Hostings über einen Internetbrowser automatisch anfallen, nicht zu eigenen Zwecken sondern allein für das Ausspielen der Videos.

Zum Datenschutz bei Ignite siehe: https://ignite.video/de/datenschutz

Datenkategorien: IP-Adresse, von der aus unsere Website mit dem Ignite-Videoplayer aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystems

Datenempfänger (ggf. Drittstaatentransfer): Ignite Video GmbH, Immermannstraße 59, 40210 Düsseldorf, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt. Soweit sich aus der Zugehörigkeit von AWS zu einem US-Konzern Drittstaatentransfer in die USA ergibt, greift der Angemessenheitsbeschluss der EU-Kommission für die USA, da AWS sich nach dem EU-US-Data-Privacy-Framework zertifiziert hat.

Zweck + Rechtsgrundlage: Streaming von Videoinhalten. Rechtsgrundlage für die Verarbeitung der Weblog-/ Streamingdaten ist ein berechtigtes Interesse, da Internetdienste technisch nicht ohne Verarbeitung der Weblog-Daten angeboten werden können.

Speicherdauer: 30 Tage

6.2 Newsletter und Kontaktemanagement

6.2.1 Newsletter-Anmeldung

Beschreibung: Sie können sich für unseren E-Mail-Newsletter anmelden. Dafür müssen Sie nur eine E-Mail-Adresse angeben.

Wenn Sie sich online für den Newsletter anmelden, erhalten Sie an die von Ihnen angegebene Adresse eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-in für doppelte Einwilligung.

Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.

Sie können Ihre Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich.

Wir erfassen die Nutzung unseres Newsletters über sogenannte Zähl-Pixel und Kampagnen-URLs für die Internetlinks im Newsletter. Das Zählpixel ruft unseren Newsletter-Server auf, wenn Sie die E-Mail öffnen. Der Aufruf der Internetlinks im Newsletter wird über die Kampagnenzuordnung in unserer Webanalyse (Matomo) erfasst.

Das Anmeldeformular auf unserer Seite setzt einen Session-Cookie (automatische Löschung, wenn Sie den Browser schließen) mit dem Namen __cfruid.

Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Nutzungsdaten (Öffnen der E-Mail + Klicken auf Internetlinks)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters und Optimierung unserer Newsletter-Inhalte. Rechtsgrundlage ist Ihre Einwilligung.

Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Daten unmittelbar gelöscht.

6.2.2 Kontaktedatenbank (CRM)

Beschreibung: Wir pflegen Ihre Daten in einer Kontaktedatenbank im Sinne eines Customer Relation Management (CRM). Im CRM speichern wir Ihre Kontaktdaten sowie die Historie Ihrer Kundenbeziehung mit uns. Aus dem CRM steuern wir auch die Kommunikation über Newsletter mit Ihnen.

Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Veranstaltungsteilnahmen, Newsletter-Einwilligungen

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Betrieb des CRM, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Nutzung eines CRM-Systems, das uns eine ganzheitliche Betreuung unserer Kontakte von der Kontaktaufnahme über das Veranstaltungsmanagement hinweg bis zum Newsletterversand ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, da die Nutzung des CRM das Serviceniveau steigert und Kosten senkt.

Speicherdauer: Bis zum Widerruf Ihrer Newsletter-Einwilligung oder Ihrem Widerspruch gegen die Speicherung Ihrer Daten.

6.3 Webshop

Beschreibung: Wir betreiben einen eigenen Webshop innerhalb der Plattform von Shopify. Sie können sich für den Shop anmelden über ein bestehendes Shopfiy-Konto oder über eine E-Mail-Adresse, an die Ihnen ein Code als Einmal-Passwort geschickt wird. Das Bezahlen ist sowohl möglich als Express-Checkout über Ihr Shopify-, PayPal- oder GooglePay-Konto (in diesen Fällen werden Ihre dort hinterlegten Kontaktdaten automatisch Ihrer Bestellung hinzugefügt) oder über Kreditkarte, PayPal oder Rechnung über den Finanzdienstleister Klarna.

Wir erhalten von Ihnen die Daten Ihrer Bestellung, Rechnung und Lieferadresse sowie die Information zum Zahlungsmittel und Erfolg der Zahlung. Details zu Ihrer Zahlungsmethode wie Ihre Kreditkartennummer erfahren wir nicht.

Siehe hierzu auch die Datenschutzinformation von Shopify: https://www.shopify.com/de/legal/privacy/consumers

Datenkategorien: E-Mail-Adresse, Bestellung, Versanddaten (Name, Adresse), Zahlungsmittel, Zahlungsergebnis

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Betrieb des Webshops (Shopify International Limited, Victoria Buildings, 2. Etage, 1-2 Haddington Road, Dublin 4, D04 XB32, Irland), der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Unser Dienstleister ist das Tochterunternehmen eines kanadischen Unternehmens. Soweit Datenübertragungen an die Konzernmutter erfolgen, sind Transfers nach Kanada abgedeckt durch den entsprechende Angemessenheitsbeschluss der EU-Kommission für das kanadische Datenschutzniveau.

Der Versand erfolgt über Unternehmen, die unter das Postrecht fallen, das die Einhaltung des Datenschutzes absichert.

Zweck + Rechtsgrundlage: Nutzung eines Webshop-Systems, das uns eine professionelle Bestell- und Zahlungsabwicklung ermöglicht. Rechtsgrundlage ist die Vertragserfüllung Ihrer Onlinebestellung.

Speicherdauer: Die Buchungsbelege sind gemäß aktuellem Steuerrecht acht Jahre lang aufzubewahren.

6.4 Veranstaltungen

6.4.1 Veranstaltungsbuchung (direkt über unsere Internetseite)

Beschreibung: Sie können sich auf unserer Internetseite für Veranstaltungen anmelden, zumindest für die kostenlosen. Je nach Art der Veranstaltung und deren organisatorischer Bedürfnisse erheben wir über das Anmeldeformular die jeweils erforderlichen Daten. Die Veranstaltungsteilnahme verwalten wir über unsere Kontaktedatenbank (CRM) oder unsere Projektmanagementanwendung.

Die Bestätigung Ihrer Buchung und je nach Bedarf weitere Informationen zu der Veranstaltung erhalten Sie per E-Mail.

Datenkategorien: gebuchte Veranstaltung, Name der teilnehmenden Person, Name der buchenden Person, E-Mail-Adresse, Ihre Anmerkungen im Freitextfeld; ergänzend Daten, die für die Durchführung der Veranstaltung von Bedeutung sind wie z.B. Angaben zu Lebensmittelunverträglichkeiten bei Veranstaltungen mit Bewirtung

Zweck + Rechtsgrundlage: Anmeldung zu Veranstaltungen. Rechtsgrundlage ist die Vertragserfüllung Ihrer Veranstaltungsteilnahme.

Speicherdauer: Die Speicherzeiten sind abhängig von der Art der Finanzierung der Veranstaltung. Für kostenpflichtige Veranstaltungen sind die Buchungsunterlagen gemäß Steuerrecht acht Jahre aufzubewahren. Bei geförderten Veranstaltungen ergibt sich die Dokumentationspflicht aus den jeweiligen Vorgaben des Fördermittelgebers.

6.4.2 Veranstaltungsbuchung (über pretix)

Beschreibung: Für einige unserer Veranstaltungen können Sie sich über den Dienstleister pretix Tickets erwerben. Dazu leiten wir Sie auf die Internetseiten von pretix weiter. Die Verantwortung für die Daten, die Sie innerhalb Ihrer Ticketbestellung angeben, liegt bei uns; pretix handelt insoweit als ein sogenannter Auftragsverarbeiter. Die allgemeinen Nutzungsdaten, die durch Aufruf der pretix-Seiten anfallen (Weblog), liegen in der Verantwortung von pretix.

Nachdem pretix Ihre Ticketbuchung an uns übertragen hat, übernehmen wir Ihre Daten in unsere Kontaktedatenbank (CRM) oder unsere Projektmanagementanwendung.

Die Bestätigung Ihrer Buchung und je nach Bedarf weitere Informationen zu der Veranstaltung erhalten Sie per E-Mail. Die Buchungsbestätigung wird dabei von pretix über deren E-Mail-Dienstleister verschickt, weitere Informationen zur Veranstaltung erhalten Sie über die Versandtechnologie unserer Kontaktedatenbank.

Informationen zum Datenschutz bei pretix finden Sie hier: https://pretix.eu/about/de/privacy

Datenempfänger (ggf. Drittstaatentransfer): pretix GmbH, Berthold-Mogel-Straße 1, 69126 Heidelberg, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Anmeldung bzw. Ticketverkauf zu Veranstaltungen. Rechtsgrundlage ist die Vertragserfüllung Ihrer Veranstaltungsteilnahme.

6.4.3 Onlineveranstaltungen

Beschreibung: Für Onlineveranstaltungen nutzen wir den Anbieter Zoom. Den Link (URL) zur Zoom-Videokonferenz stellen wir Ihnen mit den Informationen zur Veranstaltung zur Verfügung.

Um an einem Onlineevent teilzunehmen, können Sie die Zoom-App für Mobilgeräte oder Desktop/Laptop nutzen oder einen Internetbrowser. Auf Mobilgeräten wird Ihnen die Zoom-App automatisch zum Download angeboten, wenn Sie den Teilnahme-Link öffnen und die App noch nicht installiert haben. Nutzen Sie die App bereits, wird sie automatisch geöffnet.

Als Teilnehmer*in müssen Sie kein Nutzendenkonto bei Zoom anlegen. Wenn Sie aber bereits über ein Zoom-Konto verfügen, das auf Ihrem Gerät in der Zoom-App oder in ihrem Browser hinterlegt ist, wird Zoom auf dieses Konto zurückgreifen. Sie können das unterbinden, indem Sie sich vorab aus Ihrem Zoom-Konto abmelden.

Soweit Zoom nicht auf Ihr Zoom-Konto zugreift, werden Sie bei der Einwahl in das Webinar gebeten, sich einen Teilnehmendennamen für das Webinar zu geben, um z.B. Wortmeldungen im Chat während des Webinars Ihrer Person zuordnen zu können. Hier können Sie auch Fantasienamen verwenden.

Die Zoom-App oder der von Ihnen genutzte Browser fragt nach Ihrem Einverständnis, auf Ihr Mikrofon und Ihre Kamera zuzugreifen. Jede dieser Berechtigungen können Sie erteilen, müssen Sie aber nicht, wenn Sie z.B. einem Webinar ohne aktive Teilnahme bzw. eigene Aktivitäten ausschließlich über den Chat folgen wollen.

Als Gastgebende (Moderierende) des Events verfügen wir über die technischen Möglichkeiten, Sie ohne Ihr Mitwirken stumm bzw. bildlos/schwarz zu schalten, Ihren Nutzendennamen zu ändern und andere Moderationsfunktionen auszuüben. Solche Möglichkeiten nutzen wir nur, wenn eine Notwendigkeit dafür besteht. Auch die Kommunikation über den Chat kann von uns so eingestellt werden, dass Sie Nachrichten nur an den Veranstalter schicken können, aber nicht an andere Teilnehmende. Über die konkreten Einstellungen informieren wir Sie nach Bedarf in den einzelnen Veranstaltungen.

Videokonferenzen können aufgezeichnet werden. Soll ein Event aufgezeichnet werden, beschränken wir die Aufnahme auf den sogenannten Aktiven Sprecher. Sollten Sie sich nicht zu Wort melden, wird Ihre Teilnahme am Event über die Aufzeichnung nicht dokumentiert. Unsere Vortragenden weisen regelmäßig zu Beginn einer Aufzeichnung auf deren Start hin und informieren die Teilnehmenden, dass aktive Teilnahme durch Wortmeldungen ebenfalls aufgezeichnet wird. Soweit Sie sich im Rahmen einer Aufzeichnung aktiv am Event teilnehmen, verstehen wir Ihre Aktivität als Einwilligung in die entsprechende Aufzeichnung.

Audioaufzeichnungen können von Zoom für uns in eine Textdatei transkribiert werden.

Jedem Teilnehmenden ist es technisch möglich, mit Mitteln außerhalb der Zoom-App Screenshots oder eine Aufzeichnung des Webinars im Ganzen oder in Teilen herzustellen. Ein solches Verhalten ohne entsprechende Abstimmung mit allen Teilnehmenden stellt einen Datenschutzverstoß der handelnden Person dar und liegt, wenn es sich dabei nicht um einen unserer Beschäftigten handelt, außerhalb unserer Verantwortung. Heimliche Aufzeichnungen des gesprochenen Worts können eine Straftat nach § 201 StGB darstellen. Wir behalten uns rechtliche Schritte jeder Art gegenüber Personen vor, die ihre Teilnahme an einem Webinar zu datenschutzfeindlichem Verhalten nutzen.

Soweit es um Datenverarbeitungen geht, die nicht im unmittelbaren Zusammenhang mit dem konkreten Webinar stehen, liegt die Verantwortung nicht bei uns sondern unmittelbar bei Zoom. Das gilt z.B. für den Download der Zoom-App oder die Nutzung eines eigenen Zoom-Benutzerkontos. Indem Sie die Zoom-App auf Ihr Endgerät laden, begründen Sie insoweit eine eigenständige Rechtsbeziehung zwischen sich und Zoom.

Der Datentransfer zwischen Ihrem Endgerät und dem Zoom-Server setzt voraus, dass Zoom die IP-Adresse zur Kenntnis nimmt, über die Sie während der Videokonferenz online sind. Die Server erfassen darüber hinaus alle Arten von Daten, die bei der Nutzung von Telemediendiensten regelmäßig anfallen.

Informationen zum Datenschutz bei Zoom finden Sie hier: https://zoom.us/docs/de-de/privacy-and-legal.html und https://zoom.us/privacy

Datenkategorien: Benutzername, Teilnahmezeiten, Video- bzw. Audiosignal, Video- bzw. Audioaufzeichnung (aktiv Teilnehmender), Audiotranskript (in Einzelfällen), Aktionen im Chat, Status Wortmeldung, Profildaten (Profilbild, Hintergrundbild); weitere Datenkategorien wie IP-Adresse oder Ihre E-Mail-Adresse in Ihrem Zoom-Konto werden von Zoom in eigener Verantwortung verarbeitet.

Datenempfänger (ggf. Drittstaatentransfer): Zoom Video Communications Inc., 55 Almaden Blvd, Suite 600, San Jose, CA 95113, USA, ist als Auftragsverarbeiter auf den Datenschutz verpflichtet. Zoom hat mit uns für den Datentransfer in die USA Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau. Zudem hat das Unternehmen sich nach den Standards des US-EU-Data-Privacy-Frameworks zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA abgedeckt sind.

Zweck + Rechtsgrundlage: Nutzung einer leistungsfähigen Videokonferenz-Technologie. Rechtsgrundlage ist Erfüllung eines Vertrags, da das Webinar-Angebot eine Hauptleistung unseres Leistungsangebots ist. Für Aufzeichnungen ist Einwilligung die Rechtsgrundlage.

Speicherdauer: Soweit keine Aufzeichnung stattfindet, sind alle in unserem Verantwortungsbereich verarbeiteten Daten mit Abschluss des Webinars gelöscht. Wurde die Konferenz aufgezeichnet, wird die Aufzeichnung gelöscht, sobald der letzte Zweck erreicht wurde, zu dem die Aufzeichnung erstellt wurde.

6.4.4 Foto-, Ton- und Filmaufnahmen

Beschreibung: Bei Veranstaltungen erstellen wir je nach Bedarf Foto-, Ton- und Filmaufnahmen. Die Aufnahmen dienen zum einen der Dokumentation unserer Arbeit sowohl für Organisationen, die unsere Arbeit finanziell fördern, wie für die wissenschaftliche Begleitung unserer Arbeit. Zum anderen nutzen wir Aufnahmen für unsere Öffentlichkeitsarbeit über unsere Internetseite, unsere Newsletter, unsere Publikationen, für Presseveröffentlichungen und über unsere Social-Media-Kanäle.

Bei der Rechtsgrundlage ist je nach Rolle der betroffenen Person zu unterschieden zwischen Vertragserfüllung (greift für vortragende und moderierende Personen), berechtigtem Interesse (greift für Konstellationen nach § 23 Kunsturhebergesetz, KUG) und Einwilligung.

Bei Menschen, deren Aufgabe das öffentliche Auftreten für uns ist, wie z.B. von uns engagierten Vortragenden oder Moderierenden, umfasst der Auftrag auch die Dokumentation ihrer Arbeit für uns durch entsprechende Aufnahmen.

Für bestimmte Lebenssachverhalte definiert § 23 KUG, dass Personen Foto- und Filmaufnahmen zu dulden haben. Das betrifft Personen der Zeitgeschichte; Personen, die nur Beiwerk zu einer größeren Szene sind; Personen, die an Versammlungen und Aufmärschen teilnehmen, und Fälle, in denen die Aufnahmen in Kunstwerke integriert werden. Die durch § 23 KUG rechtmäßigen Aufnahmen sind für uns Aufnahmen, die unter ein berechtigtes Interesse nach der DSGVO fallen. Mit Blick auf diese Aufnahmen steht den Betroffenen ein Widerspruchsrecht nach Art. 21 DSGVO zu.

Da uns die Rücksicht auf die Interessen der Teilnehmenden an unseren Veranstaltungen wichtig ist, weisen wir bei Veranstaltungen mit Aufnahmen darauf hin, in welcher Weise und in welchem Umfang Aufnahmen erfolgen. Zusätzlich bemühen wir uns, ausdrückliche Einwilligungen von den Anwesenden einzuholen. Wir bemühen uns je nach den tatsächlichen Gegebenheiten der Veranstaltung einen Modus einzurichten, der den für uns Aufnehmenden deutlich macht, welche Personen in Aufnahmen und deren Nutzung eingewilligt haben und welche nicht. Solche Maßnahmen können farblich markierte Namensschilder, Bänder oder andere Arten von Markierungen sein. Zu den Maßnahmen zählt bei Onlineveranstaltungen auch der Hinweis vor Aufnahmen, die eigene Kamera oder das eigene Mikrofon zu deaktivieren.

Soweit Sie feststellen, dass wir Aufnahmen mit Ihnen verwenden, die Ihren Interessen widersprechen, sprechen Sie uns direkt an. Wir bemühen uns dann umgehend um Lösungen, um einen Zustand mit Rücksicht auf Ihre Interessen herzustellen.

Datenkategorien: Foto; ggf. Name der Person im Rahmen des Dateinamens bzw. der Fotobeschreibung

Datenempfänger (ggf. Drittstaatentransfer): Abhängig von den genutzten Kommunikationswegen können Aufnahmen an externe Medien weitergegeben werden. Die Nutzung durch Externe erfolgt dann im Rahmen von deren eigener presse- und datenschutzrechtlicher Verantwortung. Bei einer Veröffentlichung über unsere Internetseite oder unseren Newsletter erhalten unsere entsprechenden Hosting-Dienstleister Zugang zu den Aufnahmen, dies jedoch im geschützten Rahmen einer Auftragsverarbeitung.

Wenn wir Aufnahmen über unsere Social-Media-Kanäle sowie über Videohosting-Plattformen für die Einbindung in unsere Internetseite veröffentlichen, erhalten die jeweiligen Betreiber Zugang zu den Aufnahmen. Zum Umgang mit den Aufnahmen greifen je nach Plattform teilweise Auftragsverarbeitungsverträge und teilweise deren Nutzungsbedingungen. Auch mit Blick auf einen ständigen technischen, wirtschaftlichen und rechtlichen Wandel, können wir nicht zuverlässig prognostizieren, wie die Plattformen im Rahmen ihrer eigenen Nutzung der Aufnahmen mit diesen umgehen und in welchem Umfang die Aufnahmen zum Training von KI-Modellen genutzt werden. Hierzu stehen die Plattformen aus dem KI-Recht der Europäischen Union in der Pflicht zu informieren.

Ein Drittstaatentransfer ist denkbar bei der Nutzung internationaler Social-Media- und Streaming-Plattformen. Meist geht es hierbei um Transfers in die USA, die unter den entsprechenden Angemessenheitsbeschluss der EU-Kommission fallen. Wir verweisen insoweit auf die Angaben zu unseren Social-Media-Profilen und dem Videohosting an anderer Stelle dieser Datenschutzinformation.

Zweck + Rechtsgrundlage: Die Erstellung, Speicherung und Veröffentlichung von Foto-, Ton- und Videoaufnahmen dient sowohl der Dokumentation unserer Arbeit für Geldgeber und Forschung wie der für unsere Art von Arbeit wesentlichen Öffentlichkeitsarbeit.

Die Rechtsgrundlage ist abhängig von der Rolle der aufgenommenen Person und der Art der Aufnahme Vertragserfüllung, berechtigtes Interesse oder Einwilligung. Siehe hierzu die Erklärungen in der Beschreibung der Verarbeitungstätigkeit.

Speicherdauer:

Aufnahmen, für die uns eine Einwilligung vorliegt, speichern wir bis zum Widerruf der Einwilligung oder bis zum Wegfall der Wirkung der Einwilligung durch Zeitablauf. Für Aufnahmen, die unter ein berechtigtes Interesse oder Vertragserfüllung fallen, prüfen wir regelmäßig, ob das Interesse an einer Veröffentlichung noch gegeben ist. Aufnahmen, die wir bei Plattformen hochgeladen haben, löschen wir nach Bedarf soweit die Plattformen uns das Löschen ermöglichen.

6.4.5 Projektmanagement

Beschreibung: Für einige unserer Veranstaltungen verwalten wir die Teilnehmenden (inklusive Vortragenden und in anderer Weise Aktiven) über eine Projektmanagementanwendung, die wir als eine sogenannte Cloud-Lösung nutzen.

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Betrieb der Projektmanagementanwendung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Unser Dienstleister sitzt in einem Land außerhalb des EWR, für das die EU-Kommission in einem Angemessenheitsbeschluss ein adäquates Datenschutzniveau festgestellt hat.

Zweck + Rechtsgrundlage: Anmeldung bzw. Ticketverkauf zu Veranstaltungen. Rechtsgrundlage ist die Vertragserfüllung Ihrer Veranstaltungsteilnahme.

6.5 Unsere Social-Media-Profile

6.5.1 Facebook und Instagram

Beschreibung: Wir betreiben bei Facebook und Instagram Unternehmensprofile (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook bzw. Instagram vorzustellen, mit Ihnen auf dieser Social-Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Meta stellt uns über die Nutzung unserer Fanpage Analysedaten zur Verfügung (Page Insights oder Seiten-Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Meta gilt die Datenschutzinformation von Meta: https://www.facebook.com/about/privacy

Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Meta nach Artikel 26 DSGVO. Meta hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Meta hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Meta-Konto an Meta wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Meta weiterreichen.

Datenkategorien: Meta-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook bzw. Instagram sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): Meta Platforms Inc., für uns als europäische Organisation ansprechbar über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Meta garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage bzw. unserem Instagram-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Meta-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Meta.

6.5.2 LinkedIn

Beschreibung: Wir betreiben bei LinkedIn ein Unternehmensprofil. So ein LinkedIn-Profil ermöglicht es uns, unsere Organisation bei LinkedIn vorzustellen, mit Ihnen auf dieser Social-Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattformen auf unsere Leistungen und Angebote hinzuweisen.

LinkedIn stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei LinkedIn gilt die Datenschutzinformation von LinkedIn: https://www.linkedin.com/legal/privacy-policy

Datenkategorien: LinkedIn-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von LinkedIn sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. LinkedIn garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem LinkedIn-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre LinkedIn-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn.

6.5.3 Bluesky

Beschreibung: Wir betreiben bei Bluesky ein Profil. So ein Profil ermöglicht es uns, unsere Arbeit über Bluesky vorzustellen und mit Ihnen auf dieser Social-Media-Plattform in Kontakt zu treten. Bluesky bietet uns keine besonderen Organisationsrechte, die sich von den Rechten anderer Nutzenden unterscheidet. Wir informieren zwar an dieser Stelle über unseren Auftritt bei Bluesky, verstehen uns aber insoweit nicht als ein Verantwortlicher im Sinne der DSGVO für die Datenverarbeitungen auf der Plattform.

Zu den Details der Datenverarbeitung bei Bluesky gilt die Datenschutzinformation von Bluesky: https://bsky.social/about/support/privacy-policy

Datenkategorien: Bluesky-Benutzername; Kommentare und Likes innerhalb von Bluesky sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): Bluesky Social PBC., 113 Cherry Street #24821, Seattle, WA, 98104-2205, USA.

Zweck + Rechtsgrundlage: Präsenz und Öffentlichkeitsarbeit auf der Plattform. Rechtsgrundlage mit Blick auf Ihre Daten ist ein berechtigtes Interesse, da wir keinen besonderen Zugriff auf Ihre Daten haben und Sie Bluesky eigenverantwortlich nutzen.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Bluesky.

6.6 Lieferanten und Dienstleister

6.6.1 Geschäftsbeziehung

Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.

Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen unserer „Allgemeinen Infrastruktur“ (siehe dort).

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

6.6.2 Nennung in Publikationen

Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt. Bei einigen Publikationen werden als Service für die Leserinnen und Leser auch berufliche Kontaktdaten der Autorinnen und Autoren veröffentlicht.

Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten

Datenempfänger (ggf. Drittstaatentransfer): keine

Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags. Für die Kontaktdaten ist die Rechtsgrundlage ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.

Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.

6.7 Stellenbesetzungen

6.7.1 Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvollerweise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. LinkedIn); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Microsoft als unser Dienstleister für das Hosting unserer E-Mail-Postfächer und Dateispeicher. Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. oder andere Microsoft-Gesellschaften überträgt, garantiert Microsoft einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

6.7.2 Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzenden Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

6.8 Allgemeine Infrastruktur

6.8.1 E-Mail-Postfach, Kontaktverzeichnis, Kalender

Beschreibung: Für E-Mail, Kontaktverzeichnis und Kalender nutzen wir Exchange-Konten, die diese Datengruppen gebündelt erfassen. E-Mails, die Sie uns schicken oder von uns erhalten, Ihre Kontaktdaten und Termine mit Ihnen werden sowohl auf den Servern unseres Hostinganbieters gespeichert wie als lokale Kopie auf den Endgeräten, die mit wir mit unseren entsprechenden Konten verbunden haben.

Datenkategorien: Name, Kontaktdaten (E-Mail, Telefon, Adresse, Fax), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen; Zeitpunkt des Versands bzw. Empfangs einer E-Mail; Inhalt der E-Mail (Texte, Dokumente, Bilder, sonstige Dateien); sonstige typische Metadaten einer E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. oder andere Microsoft-Gesellschaften überträgt, garantiert Microsoft einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln. Zudem hat das Unternehmen sich nach den Standards des US-EU-Privacy-Shields zertifiziert, so dass die Datenübertragungen vom Adäquanzbeschluss der EU-Kommission zu Datentransfers in die USA aus Juli 2023 abgedeckt sind.

Zweck + Rechtsgrundlage: Nutzung von miteinander synchronisiertem E-Mail-Postfach, Kalender und Kontaktverzeichnis. Die Rechtsgrundlage ist berechtigtes Interesse, da ohne eine solche digitale Infrastruktur die Teilhabe am modernen Geschäftsleben nicht in vertretbar effizienter Weise möglich wäre.

Speicherdauer: Wir speichern die E-Mails und Einträge so lange, wie es zur Erfüllung eines Zwecks notwendig ist. Je nach Inhalt einer E-Mail, Geschäftsbeziehung zu einem Kontakt oder Hintergrund zu einem Termin können das sehr unterschiedliche Zwecke sein; dementsprechend vielfältig sind die Aufbewahrungsfristen.

Ein Beispiel: Wenn Ihre E-Mail der Vorbereitung eines Vertragsabschlusses dient, greift die Pflicht aus dem Handelsgesetzbuch (HGB) Geschäftsbriefe sechs Jahre lang aufzubewahren.

6.8.2 Videokonferenz (Teams)

Beschreibung: Nehmen Sie an einer Videokonferenz mit uns teil, zu der wir (technisch) eingeladen haben, liegt die Verantwortung für die Datenverarbeitung durch diese Kommunikation bei uns. Wir nutzen für Videokonferenzen mit unserem Team primär Microsoft Teams. Wenn wir zu einer Konferenz einladen, verschicken wir mit dem Termin eine auf die konkrete Konferenz bezogene Teams-URL.

Sie können an einer Teams-Videokonferenz teilnehmen über die Teams-App für Mobilgeräte oder Desktop/Laptop oder über Ihren Internetbrowser.

Eine Teilnahme als Gast ist möglich, so dass Sie kein eigenes Microsoft-Benutzerkonto benötigen. Sie werden bei der Einwahl in die Konferenz gebeten, sich einen Teilnehmernamen für die Konferenz zu geben, um z.B. Wortmeldungen im Chat während der Konferenz Ihrer Person zuordnen zu können. Hier können Sie auch Fantasienamen verwenden.

Teams fragt nach Ihrem Einverständnis, auf Ihr Mikrofon und Ihre Kamera zuzugreifen. Jede dieser Berechtigungen können Sie erteilen, müssen Sie aber nicht, wenn Sie z.B. einer Konferenz ohne aktive Teilnahme folgen wollen.

Teams bietet Ihnen neben Audio und Video ergänzende Funktionen: ein begleitender Chat für den Austausch in Textform, Wortmeldungen über Symbolicons, Profilpflege (Profilbild, weitere Kontaktdaten), künstliches Hintergrundbild. Konferenzen können aufgezeichnet werden. Soll eine Konferenz aufgenommen werden, informieren wir zuvor alle Teilnehmenden darüber und starten die Aufnahme erst, wenn alle Teilnehmenden ihr Einverständnis mit der Aufzeichnung erklärt haben. Audioaufzeichnungen können von Microsoft für uns in eine Textdatei transkribiert werden.

Soweit keine ausdrücklich vereinbarte Aufzeichnung stattfindet, wird die Konferenz von uns in keiner Weise gespeichert. Nach Beendigung der Konferenz kann auf die Inhalte einer nicht aufgezeichneten Konferenz nicht mehr zugegriffen werden. Das entspricht insoweit Telefongesprächen, die nicht aufgezeichnet wurden.

Jedem Teilnehmer ist es technisch möglich, mit Mitteln außerhalb von Teams Screenshots oder eine Aufzeichnung der Konferenz im Ganzen oder in Teilen herzustellen. Ein solches Verhalten ohne entsprechende Abstimmung mit allen Teilnehmenden stellt einen Datenschutzverstoß der handelnden Person dar und liegt, wenn es sich dabei nicht um einen unserer Beschäftigten handelt, außerhalb unserer Verantwortung. Heimliche Aufzeichnungen des gesprochenen Worts können eine Straftat nach § 201 StGB darstellen. Wir behalten uns rechtliche Schritte jeder Art gegenüber Personen vor, die ihre Teilnahme an einer Videokonferenz zu datenschutzfeindlichem Verhalten nutzen.

Soweit es um Datenverarbeitungen geht, die nicht im unmittelbaren Zusammenhang mit der konkreten Konferenz stehen, liegt die Verantwortung nicht bei uns sondern direkt bei Microsoft. Das gilt z.B. für den Download der Teams-App. Indem Sie die Teams-App auf Ihr Endgerät laden, begründen Sie insoweit eine eigenständige Rechtsbeziehung zwischen sich und Microsoft. Teilweise liegt Verantwortung auch bei Ihnen bzw. der Organisation, die Ihnen Ihr persönliches Teams-Benutzerkonto zur Verfügung stellt.

Der Datentransfer zwischen Ihrem Endgerät und dem Teams-Server setzt voraus, dass Microsoft die IP-Adresse zur Kenntnis nimmt, über die Sie während der Videokonferenz online sind. Die Server erfassen darüber hinaus alle Arten von Daten, die bei der Nutzung von Telemediendiensten regelmäßig anfallen.

Informationen zum Datenschutz bei Microsoft finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement

Datenkategorien: Benutzername, Teilnahmezeiten, Video- bzw. Audiosignal, Video- bzw. Audioaufzeichnung (nur mit Einwilligung), Audiotranskript (nur nach Aufzeichnung), Aktionen im Chat, Status Wortmeldung, Profildaten (Profilbild, Kontaktdaten, Hintergrundbild), Telefonnummer (bei Teilnahme per Telefon); weitere Datenkategorien wie IP-Adresse oder E-Mail-Adresse werden von Microsoft in eigener Verantwortung verarbeitet.

Zweck + Rechtsgrundlage: Nutzung einer Videokonferenz. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Für Aufzeichnungen ist Einwilligung die Rechtsgrundlage.

Speicherdauer: Soweit keine Aufzeichnung stattfindet, werden alle Daten mit Abschluss der Konferenz gelöscht. Wurde die Konferenz aufgezeichnet, wird die Aufzeichnung gelöscht sobald der letzte Zweck erreicht wurde, zu dem die Aufzeichnung erstellt wurde.

6.8.3 IT-Administration

Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

6.8.4 Dateispeicherung

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischerweise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsoft 365 als Cloud-Lösung für die Dateispeicherung (in Teams, Sharepoint bzw. OneDrive). Umfassende Informationen über die Verwendung der von Microsoft erfassten Daten finden Sie in den Datenschutzinformationen von Microsoft (https://privacy.microsoft.com/de-de/privacystatement).

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

6.8.5 Rechtsverfolgung

Beschreibung: Für den Fall, dass wir in eine rechtliche Auseinandersetzung mit Ihnen geraten, geben wir Daten zu Ihrer Person und den Umständen der Auseinandersetzung an Rechtsanwälte und ggf. an Behörden oder Gerichte weiter.

Datenkategorien: Name, Kontaktdaten, Angaben zum Streitgegenstand

Datenempfänger (ggf. Drittstaatentransfer): Rechtsanwälte, Behörden, Gerichte, Gerichtsvollzieher. Alle Empfänger sind als staatliche Einrichtung oder als Berufsgeheimnisträger auf die Vertraulichkeit verpflichtet. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Rechtsverfolgung. Rechtsgrundlage ist das berechtigte Interesse daran, bei Bedarf Rechtsbeistand bei Anwälten und ggf. Behörden oder Gerichten zu suchen.

Speicherdauer: Die genannten Empfänger Ihrer Daten verarbeiten diese nach ihren eigenen Vorgaben in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

6.8.6 Datenschutzmanagement

Beschreibung: Machen Sie uns gegenüber Ihre Rechte aus dem Datenschutz geltend, dokumentieren wir die damit einhergehende Kommunikation und Prozesse in unserer Datenschutzmanagementanwendung.

Datenkategorien: Name, Kontaktdaten, Angaben zum Datenschutzbegehren

Datenempfänger (ggf. Drittstaatentransfer): Unser Datenschutzbeauftragter, der gesetzlich auf die Vertraulichkeit verpflichtet ist, sitzt im EWR. Unser Dienstleister für die Cloud-Anwendung für das Datenschutzmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Datenschutzmanagement. Rechtsgrundlage ist die gesetzliche Rechenschaftspflicht aus der DSGVO.

Speicherdauer: Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

Letzte Aktualisierung: Oktober 2025