1 Ansprechpartner
Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:
von Knebel-Ludwig Steuerberater und Wirtschaftsprüfer
Bahnstraße 6, 65205 Wiesbaden
info@knebel-ludwig.de, 0611 / 74055-0
Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: Rechtsanwalt David Heimburger, dh@davidheimburger.de, 040 / 22863648
2 Ihre Rechte im Allgemeinen
Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.
(1) Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).
(2) Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
(3) Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).
(4) Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).
(5) Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).
(6) Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).
(7) Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. dem Hessischen Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.
3 Datenverarbeitungen bei uns im Allgemeinen
Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.
Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.
Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).
Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 16 Jahren richtet.
Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie von 2002 (oft „Cookie-Richtlinie“ genannt). Die Vorschriften dieser Richtlinie gelten in Deutschland über das Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.
Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.
4 Hinweis zu Cookies und Inhalten Dritter
Viele Internetseiten verwenden sogenannte Cookies, über die eine Wiedererkennung von Besuchern bzw. der von den Besuchern genutzten Geräten möglich ist. Unsere Internetseiten nutzen keine Cookies, so dass wir Sie an dieser Stelle nicht weiter zu diesem Thema informieren.
Die nachfolgende Darstellung bietet eine Übersicht von Drittanbietern sowie ihrer Inhalte, nebst Links zu deren Datenschutzerklärungen, welche weitere Hinweise zur Verarbeitung von Daten und, z.T. bereits hier genannt, Widerspruchsmöglichkeiten (sog. Opt-Out) enthalten:
- Externe Fonts des Drittanbieters Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, https://www.google.com/fonts („Google Fonts“). Die Einbindung erfolgt durch einen Abruf bei Google. Datenschutzerklärung: https://policies.google.com/privacy, Opt-Out: https://adssettings.google.com/authenticated.
5 Konkrete Datenverarbeitungen bei uns
5.1 Mandanten
5.1.1 Mandantenakte
Beschreibung: Als Steuerberater und Wirtschaftsprüfer verarbeiten wir sowohl die personenbezogenen Daten von Mandanten, wenn sie Selbstständige oder Personengesellschaften sind, wie von Gesellschaftern und Beschäftigten unserer Mandanten. Wir verarbeiten die Daten unserer Mandanten fast ausschließlich über Datev, eine führende deutsche Steuerberateranwendung. Die Datenbank betreiben wir auf eigenen Servern in eigener Verantwortung. Der Hersteller erhält auf unsere Daten nur im Rahmen von Wartungsarbeiten Zugriff und ist hierzu auf die strafbewehrte Vertraulichkeit eines Berufsgeheimnisträgers verpflichtet.
Teilweise drucken wir Daten aus. Diese Unterlagen verwahren wir entsprechend ihrem jeweiligen Inhalt nach unterschiedlichen Sicherheitsstufen, um sie bestmöglich gegen Zugriff durch Unberechtigte zu schützen.
Datenkategorien: Die Kategorien der von uns verarbeiteten Daten entsprechen den Leistungen, die Sie bei uns in Auftrag geben. Beauftragen Sie uns mit der Erstellung Ihrer Einkommenssteuererklärung, umfasst die Verarbeitung neben umfassenden Informationen zu Ihrem Einkommen, Ihren Ausgaben und Ihrer Vermögenslage auch Angaben zu Ihrem Familienstatus bzw. zu Ihren Kindern sowie zu Ihrer Religionszugehörigkeit. Beauftragen Sie uns mit der Entgeltabrechnung für Ihre Beschäftigten, verarbeiten wir auch zu Ihren Beschäftigten neben den Informationen zum Einkommen Angaben zum Familienstand, zu Kindern und zur Religionszugehörigkeit wie auch zu Bankverbindung, Sozialversicherungen, Krankentagen und den vereinbarten und genommenen Urlaubstagen. Beauftragen Sie uns mit Ihrer Buchhaltung, verarbeiten wir Daten von Rechnungsstellern und Rechnungsempfängern wie deren Namen, Anschrift, Kontaktdaten, Bankverbindung und Steuernummern. Ähnlich verarbeiten wir für die Bearbeitung von anderen steuerrelevanten Themen wie z.B. Gewerbe-, Körperschafts- oder Kapitalerstragssteuer jeweils die Datenkategorien, die für die Erfüllung unseres Auftrags erforderlich sind.
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Die Verarbeitung der uns überlassenen Daten dient der Erfüllung unserer Beauftragung. Rechtsgrundlage ist entsprechend Erfüllung unserer Vertragspflichten Ihnen gegenüber.
Speicherdauer: Wir speichern Ihre Daten für Sie, bis Sie uns auffordern diese zu löschen. Eine darüber hinausgehende Speicherung zu eigenen Zwecken behalten wir uns vor, soweit und solange wir mit Gewährleistungsansprüchen von Ihnen rechnen müssen.
5.1.2 Entgeltbuchhaltung
Beschreibung: Übernehmen wir für Mandaten die Entgeltbuchhaltung, verarbeiten wir die dafür erforderlichen Daten der Beschäftigten. Die Berechnung der Gehälter sowie die Übermittlung nach dem Steuer- und Sozialversicherungsrecht erforderlicher Meldungen erfolgt über Datev, eine führende deutsche Steuerberateranwendung. Die Datenbank betreiben wir auf eigenen Servern in eigener Verantwortung. Der Hersteller erhält auf unsere Daten nur im Rahmen von Wartungsarbeiten Zugriff und ist hierzu auf die strafbewehrte Vertraulichkeit eines Berufsgeheimnisträgers verpflichtet.
Die mit den Entgeltberechnungen einhergehenden persönlichen Gehaltsabrechnungen für die Beschäftigten stellen wir unseren Mandanten entweder digital oder in adressierten und verschlossenen Briefumschlägen zur Verfügung. Für Druck und Versand nutzen wir den entsprechenden Service der Datev eG.
Gesetzlich vorgeschriebene Meldungen an Finanzbehörden und Sozialversicherungen übertragen wir digital über die entsprechenden Schnittstellen, die von den Empfängern zur Verfügung gestellt werden.
Soweit wir beauftragt sind, auch Zahlungen für unsere Mandanten auszuführen, übertragen wir die Zahlungsaufträge digital über die entsprechenden Schnittstellen, die von den kontoführenden Finanzinstituten für ihr Onlinebanking zur Verfügung gestellt werden.
Datenkategorien: Neben den Informationen zum Einkommen Angaben zum Familienstand, zu Kindern und zur Religionszugehörigkeit, Bankverbindung, Sozialversicherungen, Krankentage und vereinbarte und genommene Urlaubstage
Datenempfänger (ggf. Drittstaatentransfer): Finanzbehörden und Sozialversicherungen. Kontoführende Finanzinstitute. Für den Druck und Versand der Gehaltsabrechnungen die Datev eG in Deutschland, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Eine Datenübertragung nach außerhalb des EWR findet nicht statt.
Zweck + Rechtsgrundlage: Entgeltbuchhaltung teilweise inklusive Versand von Gehaltsabrechnungen und Zahlungsanweisung. Rechtsgrundlage gegenüber unseren Mandanten ist Vertragserfüllung; gegenüber den Beschäftigten unserer Mandanten ist es ein berechtigtes Interesse, da die Ausführung einer externen Entgeltbuchhaltung durch einen Steuerberater sie in ihren Rechten nicht einschränkt.
Speicherdauer: Wir speichern die Daten, bis unsere Mandanten uns auffordern diese zu löschen. Eine darüber hinausgehende Speicherung zu eigenen Zwecken behalten wir uns vor, soweit und solange wir mit Gewährleistungsansprüchen durch unsere Mandanten rechnen müssen.
5.1.3 Übertragung digitaler Belege
Beschreibung: Mandanten müssen uns regelmäßig eine Vielzahl von Belegen für Finanzbuchhaltung und Entgeltbuchhaltung sowie weitere Aufgaben zur Verfügung stellen. Belege werden nur noch in digitaler Form benötigt. Daher scannen sowohl unsere Mandanten eigenständig wie wir in deren Auftrag alle Papierbelege und wandeln sie in digitale Dokumente um.
Scans, die unsere Mandanten erstellen, sowie alle Belege, die sie bereits digital erhalten oder erstellen, können sie an uns zur Verfügung stellen über den Cloud-Dienst Datev Unternehmen Online der Datev eG. Für die Übertragung haben wir für unsere Mandanten entsprechende Konten bei Datev Unternehmen Online eingerichtet. Nachdem digitale Belege dort hochgeladen werden, leitet die Datev sie an unsere Datenbank weiter, wo sie entsprechend dem Upload-Zugang der passenden Mandantenakte zugeordnet werden.
Die Nutzung der Zugangskonten wird von Datev Unternehmen Online in Logfiles dokumentiert. Das Logfile dient der Nachweisbarkeit, welcher Anwender zu welcher Zeit welche Aktionen auf dem Server ausgeführt hat. Diese Nachweisbarkeit dient der Informationssicherheit, insbesondere der Nachforschung falls in irgendeiner Form Missbrauch auf oder über den Cloud-Servers festgestellt wird.
Datenkategorien: Personenbezogene Daten auf den Belegen, also z.B Namen, Adresse, Kontaktdaten, Bankverbindung, Kundennummer, Rechnungsnummer, Rechnungsinhalte, Zahlungsfristen; Logfiles zu den Aktionen der Anwender
Datenempfänger (ggf. Drittstaatentransfer): Datev eG, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Im Falle von Angriffen auf den Cloud-Dienst Weitergabe an von der Datev eG oder uns beauftragte Forensiker und Ermittlungsbehörden. Eine Datenübertragung nach außerhalb des EWR findet nicht statt.
Zweck + Rechtsgrundlage: Übertragung digitaler Belege. Rechtsgrundlage gegenüber unseren Mandanten ist Vertragserfüllung; gegenüber in den Belegen genannten Personen ist es ein berechtigtes Interesse, da die digitale Übertragung der Belege über das sichere System der Datev sie in ihren Rechten nicht einschränkt.
Speicherdauer: Nach Abschluss der Übertragung in unsere Mandantenakte findet bezogen auf den Übertragungsweg keine eigenständige Speicherung statt.
5.1.4 Onlineserver
Beschreibung: Mandanten müssen uns regelmäßig eine Vielzahl von Belegen für Finanzbuchhaltung und Entgeltbuchhaltung sowie weitere Aufgaben zur Verfügung stellen. Belege werden nur noch in digitaler Form benötigt. Als sicheren Übertragungsweg stellen wir unseren Mandanten einen Onlineserver (Cloud-Server) zur Verfügung, auf dem wir unseren Mandanten eigenständige Bereiche für den Datei- und Kommunikationsaustausch mit uns einrichten.
Die Nutzung der Zugangskonten wird von unserem Cloud-Server im Rahmen seines Logfiles dokumentiert. Das Logfile dient der Nachweisbarkeit, welcher Anwender zu welcher Zeit welche Aktionen auf unserem Cloud-Server ausgeführt hat. Diese Nachweisbarkeit dient der Informationssicherheit, insbesondere der Nachforschung falls in irgendeiner Form Missbrauch unseres Cloud-Servers festgestellt wird.
Datenkategorien: Personenbezogene Daten soweit sie in den zur Verfügung gestellten Dokumenten enthalten sind (siehe hierzu die verschiedenen Dienste, die wir für Mandanten übernehmen); Logfiles zu den Aktionen der Anwender
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das Cloud-Hosting, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Im Falle von Angriffen auf unseren Cloud-Server Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt.
Zweck + Rechtsgrundlage: Datei- und Kommunikationsaustausch sowie Informationssicherheit. Rechtsgrundlage gegenüber unseren Mandanten ist Vertragserfüllung; gegenüber in den Belegen genannten Personen ist es ein berechtigtes Interesse, da die digitale Übertragung der Belege über das sichere System unserer Cloud-Anwendung sie in ihren Rechten nicht einschränkt.
Speicherdauer: Wir speichern die Daten, bis unsere Mandanten uns auffordern diese zu löschen. Eine darüber hinausgehende Speicherung zu eigenen Zwecken behalten wir uns vor, soweit und solange wir mit Gewährleistungsansprüchen durch unsere Mandanten rechnen müssen.
5.1.5 Rechnungsstellung
Beschreibung: Soweit unsere Mandanten selbstständig sind oder Teil einer Personengesellschaft, verarbeiten wir personenbezogene Daten von Ihnen, wenn wir Ihnen unsere Rechnungen schicken. Wir erstellen unsere Rechnungen intern und speichern sie in unserer eigenen Buchhaltung wie regelmäßig direkt als Beleg in Ihrer Buchhaltung, wenn diese von uns geführt wird.
Datenkategorien: Name, Anschrift, Datum, Mandanten- und Rechnungsnummer, Rechnungsbetrag und Rechnungsinhalt
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Rechnungsstellung. Rechtsgrundlage ist für uns Vertragserfüllung.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.
5.1.6 Informationsrundschreiben
Beschreibung: Als Steuerberater sind wir verpflichtet, unsere Mandanten regelmäßig zu aktuellen Entwicklungen des Steuerrechts und den damit verbundenen Themen zu informieren. Um dieser Informationspflicht nachzukommen, schicken wir Rundschreiben an unsere Mandanten. Das erfolgt sowohl per Post wie auf Wunsch per E-Mail.
Datenkategorien: Name, Anschrift bzw. E-Mail-Adresse
Datenempfänger (ggf. Drittstaatentransfer): siehe die Verarbeitungen „Briefpost“ bzw. „E-Mail-Kommunikation“
Zweck + Rechtsgrundlage: Bereitstellen steuerberaterlicher Informationen. Rechtsgrundlage ist Vertragserfüllung und für den Versand per E-Mail ergänzend Ihre Einwilligung.
Speicherdauer: Beim Postversand werden zu diesem Vorgang keine Daten gespeichert; beim E-Mail-Versand wird die gesendete E-Mail im Postausgang gespeichert bis zur nächsten turnusmäßigen Löschung.
5.2 Kommunikation mit uns
5.2.1 E-Mail-Kommunikation
Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absender, Zeitpunkt des Versands etc.) werden auf den E-Mail-Servern unseres Hosting-Anbieters gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets). Gleiches gilt für E-Mails, die wir an Sie schicken.
Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail. Naheliegend ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.
Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für das E-Mail-Hosting, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet insoweit nicht statt. Soweit Sie für Ihr Postfach einen Hosting-Dienstleister außerhalb des EWR nutzen oder unsere E-Mails von außerhalb des EWR abrufen, liegt das nicht in unserer Verantwortung.
Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; so verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre, aber aus anderen Dokumentationspflichten können sich auch längere Aufbewahrungszeiten ergeben.
5.2.2 Telefonate
Beschreibung: Telefonieren wir miteinander, erfassen unsere Telefonanlage bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs. Diese Daten in den Anruflisten werden fortlaufend von nachfolgenden Gesprächen gelöscht.
Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.
Tonaufzeichnungen von Gesprächen finden nur im Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.
Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte
Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.
5.2.3 Briefpost
Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.
Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen
Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.
Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.
5.2.4 Faxen
Beschreibung: Wir verwenden ein Faxgerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, wird das Dokument von unserem Empfangsgerät als Ausdruck zur Verfügung gestellt. Das Gerät erfasst die von Ihnen übertragenen Absenderdaten und dokumentiert sie zusammen mit dem Empfangszeitpunkt sowohl auf dem Ausdruck wie im Journal des Geräts. Senden wir Ihnen ein Fax, erfasst das Journal die Empfängernummer, Sendezeitpunkt, Seitenzahl und Übertragungserfolg.
Die Sicherheit der Übertragung entspricht der Sicherheit moderner Telefonnetze, die auch Faxdaten als sogenanntes Voice/ Fax over IP übertragen. Innerhalb des Netzes eines einzelnen Netzanbieters (z.B. Deutsche Telekom) sind die Daten verschlüsselt, an den Netzübergabestellen erfolgt eine unverschlüsselte Übertragung.
Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang, Seitenzahl, Übertragungserfolg; ggf. personenbezogene Inhalte des gesendeten Dokuments
Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt bzw. fällt unter internationale Gesetze zum Fernmeldegeheimnis.
Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.
5.2.5 Visitenkarten
Beschreibung: Wenn Sie uns Ihre Visitenkarte übergeben, übernehmen wir Ihre Daten in unser Kontaktverzeichnis.
Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.
Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.
5.3 Besuch unserer Internetseiten
Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.
Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Eine Datenübertragung nach außerhalb des EWR findet nicht statt. Im Falle von Angriffen auf unsere Seiten Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Transfer in Drittstaaten findet hierbei nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.
Speicherdauer: 7 Tage
5.4 Lieferanten und Dienstleister
5.4.1 Geschäftsbeziehung
Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.
Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen zur „Kommunikation mit uns“ (siehe dort).
Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten
Datenempfänger (ggf. Drittstaatentransfer): ggf. Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.
Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.
Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.
5.4.2 Nennung in Publikationen
Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt. Bei einigen Publikationen werden als Service für die Leserinnen und Leser auch berufliche Kontaktdaten der Autorinnen und Autoren veröffentlicht.
Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten
Datenempfänger (ggf. Drittstaatentransfer): keine
Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags. Für die Kontaktdaten ist die Rechtsgrundlage ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.
Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.
5.5 Stellenbesetzungen
5.5.1 Bewerbungen
Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen. Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.
Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens
5.5.2 Kandidatenpool
Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.
Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung
5.6 Allgemeine Infrastruktur
5.6.1 Finanzbuchhaltung
Beschreibung: Alle Zahlungen von oder an uns werden in unserer Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang. Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z.B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)
Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Buchhaltungsdatenbank, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).
Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf.
5.6.2 Zahlungstransfers
Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.
Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)
Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.
Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf.
5.6.3 IT-Administration
Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.
Speicherdauer: Eine eigenständige Speicherung findet nicht statt.
5.6.4 Dateispeicherung (Metadaten)
Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.
Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.
Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.
Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei
5.6.5 Entsorgung von Datenträgern und Dokumenten
Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns über die verschlossenen Tonnen eines professionellen Aktenvernichters entsorgt. Das Niveau der mit dem Dienstleister vereinbarten Dokumentenvernichtung entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen eines Berufsgeheimnisträgers.
Speichermedien (Festplatten z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer IT-Administration durch mehrfaches, vollständiges Überschreiben sicher gelöscht. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:
Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.
Letzte Aktualisierung: November 2020