Einleitung
Dieser Datenschutzhinweis soll Sie darüber informieren, welche Arten von personenbezogenen Daten (nachfolgend "Daten" genannt) wir verarbeiten, zu welchen Zwecken wir sie verarbeiten und in welchem Umfang dies geschieht. Dieser Hinweis gilt für alle Fälle, in denen wir personenbezogene Daten verarbeiten, sei es bei der Erbringung unserer Dienstleistungen oder auf unseren Websites, mobilen Anwendungen und externen Online-Präsenzen wie z.B. unseren Social-Media-Profilen (zusammenfassend als "Online-Dienste" bezeichnet).
Begriffserklärung
Die verwendeten Begriffe sind geschlechtsneutral.
Übersicht der Datenverarbeitung
Im Folgenden finden Sie eine Zusammenfassung der verarbeiteten Datenarten, der Verarbeitungszwecke und der betroffenen Personengruppen.
Arten der verarbeiteten Daten
Kategorien betroffener Personen
Verarbeitungszwecke
Relevante Rechtsgrundlagen
Wesentliche Rechtsgrundlagen nach der DSGVO
Im Folgenden finden Sie eine Zusammenfassung der rechtlichen Grundlagen gemäß der Datenschutz-Grundverordnung (DSGVO), auf denen unsere Verarbeitung personenbezogener Daten basiert. Beachten Sie bitte, dass neben den Regelungen der DSGVO auch nationale Datenschutzvorschriften in Ihrem oder unserem Wohn- oder Sitzland gelten können. Sollten in Einzelfällen speziellere Rechtsgrundlagen maßgeblich sein, werden wir Sie in diesem Datenschutzhinweis darüber informieren.
Nationale Datenschutzgesetze in Deutschland
Datenschutzrichtlinien in Deutschland
In Deutschland gelten neben der DSGVO auch weitere nationale Datenschutzgesetze. Dazu zählt vor allem das Bundesdatenschutzgesetz (BDSG), das insbesondere spezielle Regelungen zum Auskunftsrecht, Löschungsrecht, Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke sowie zur Übermittlung und automatisierten Entscheidungsfindung einschließlich Profiling enthält. Darüber hinaus können die Datenschutzgesetze der einzelnen Bundesländer Anwendung finden.
Sicherheitsvorkehrungen
Wir implementieren technische und organisatorische Maßnahmen, die den gesetzlichen Vorgaben entsprechen. Diese berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Datenverarbeitung. Dazu gehören Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs, der Dateneingabe, -weitergabe, -verfügbarkeit und -trennung. Wir haben auch Verfahren etabliert, um Betroffenenrechte zu gewährleisten, Daten zu löschen und auf Gefährdungen zu reagieren. Zudem integrieren wir Datenschutz bereits bei der Entwicklung und Auswahl von Hard- und Software sowie Verfahren gemäß dem Prinzip des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
Sicherung von Online-Verbindungen
Um die Daten der Nutzer bei der Übertragung über unsere Online-Dienste vor unbefugtem Zugriff zu schützen, nutzen wir die TLS-/SSL-Verschlüsselungstechnologie. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind entscheidende Technologien für die sichere Übertragung von Daten über das Internet. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers (oder zwischen zwei Servern) ausgetauscht werden, und schützen die Daten vor unautorisiertem Zugriff. TLS, als fortschrittlichere und sicherere Version von SSL, stellt sicher, dass alle Datenübertragungen den höchsten Sicherheitsstandards entsprechen. Eine durch ein SSL-/TLS-Zertifikat gesicherte Website zeigt dies durch HTTPS in der URL an, was den Nutzern signalisiert, dass ihre Daten sicher und verschlüsselt übertragen werden.
Weitergabe personenbezogener Daten
Während der Verarbeitung personenbezogener Daten kann es erforderlich sein, diese an verschiedene Stellen, Unternehmen, eigenständige Organisationseinheiten oder Einzelpersonen weiterzugeben oder offenzulegen. Zu den Empfängern dieser Daten können beispielsweise IT-Dienstleister oder Anbieter von in eine Website eingebundenen Diensten und Inhalten gehören. In solchen Fällen halten wir die gesetzlichen Vorschriften ein und schließen insbesondere Verträge oder Vereinbarungen mit den Empfängern Ihrer Daten ab, um deren Schutz sicherzustellen.
Globale Datenübermittlungen
Datenverarbeitung in Drittstaaten
Wenn wir Ihre Daten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) verarbeiten oder wenn die Datenübermittlung im Zusammenhang mit der Nutzung von Drittanbietern oder der Weitergabe an externe Stellen, Personen oder Unternehmen erfolgt, geschieht dies stets im Einklang mit den rechtlichen Vorgaben. Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO kann die Grundlage für solche Übermittlungen sein, wenn das betreffende Drittland ein anerkanntes Datenschutzniveau aufweist. Andernfalls werden Datenübermittlungen nur durchgeführt, wenn der Datenschutz anderweitig gewährleistet ist, z. B. durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO), ausdrückliche Zustimmung oder wenn eine Übermittlung gesetzlich oder vertraglich erforderlich ist (Art. 49 Abs. 1 DSGVO). Die spezifischen Grundlagen der Drittlandübermittlung teilen wir Ihnen für die jeweiligen Anbieter aus Drittstaaten mit, wobei Angemessenheitsbeschlüsse Vorrang haben. Weitere Informationen zu Drittlandtransfers und den vorhandenen Angemessenheitsbeschlüssen finden Sie auf der Website der EU-Kommission: EU-Kommission: Internationale Dimension des Datenschutzes.
EU-US Datenschutzrahmenabkommen
Im Rahmen des "Data Privacy Framework" (DPF) hat die EU-Kommission das Datenschutzniveau für bestimmte US-Unternehmen am 10.07.2023 als sicher anerkannt. Eine Liste der zertifizierten Unternehmen sowie zusätzliche Informationen zum Data Privacy Framework (DPF) finden Sie auf der Website des US-Handelsministeriums (in Englisch). Wir informieren Sie in unseren Datenschutzhinweisen darüber, welche von uns genutzten Dienstleister nach dem Data Privacy Framework zertifiziert sind.
Allgemeine Hinweise zur Datenspeicherung und Datenlöschung
Wir löschen personenbezogene Daten gemäß den gesetzlichen Vorgaben, sobald die zugrundeliegende Einwilligung widerrufen wird oder keine weiteren rechtlichen Grundlagen für die Verarbeitung vorliegen. Dies tritt ein, wenn der ursprüngliche Zweck der Datenverarbeitung entfällt oder die Daten nicht mehr benötigt werden. Ausnahmen gelten, wenn gesetzliche Verpflichtungen oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erforderlich machen.
Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder die zur Rechtsverfolgung oder zum Schutz der Rechte Dritter gespeichert werden müssen, werden entsprechend gesichert.
Unsere Datenschutzhinweise enthalten spezifische Informationen zur Aufbewahrung und Löschung von Daten für bestimmte Verarbeitungsprozesse.
Bei mehreren Aufbewahrungs- oder Löschfristen für eine Datenkategorie gilt immer die längste Frist. Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, beginnt sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Im Falle laufender Vertragsverhältnisse, bei denen Daten gespeichert werden, ist das fristauslösende Ereignis der Zeitpunkt des Wirksamwerdens der Kündigung oder sonstigen Beendigung des Rechtsverhältnisses.
Daten, die nicht mehr für den ursprünglich vorgesehenen Zweck benötigt werden, aber aufgrund gesetzlicher Vorgaben oder anderer Gründe weiterhin aufbewahrt werden, verarbeiten wir ausschließlich für die Gründe, die ihre Aufbewahrung rechtfertigen.
Falls Sie Fragen zu unserer Datenschutzrichtlinie haben, können Sie uns jederzeit unter [email protected] erreichen.