Datenschutzerklärung
(1) Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
(2) Diese Erklärung richtet sich an alle Personen, die diese Internetseite besuchen: https://sustentio.com/
Verantwortliche für die hiesige Verarbeitung ist:
sustentio GmbH
Ritterstraße 3
10969 Berlin
Telefon: +49 30 21 94 97 64
E-Mail: mail@sustentio.com
Sebastian Olényi, sebastian.olenyi@sustentio.com
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
(4) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
(5) Es findet eine automatisierte Entscheidungsfindung statt: Die Internetseite von sustentio GmbH erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert.
Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (anonymisierte IP-Adresse ohne das letzte Oktett), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.
Sofern eine betroffene Person per E-Mail oder über ein Kontaktformular den Kontakt mit dem für die Verarbeitung Verantwortlichen aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert.
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich die Verantwortliche in den nachfolgenden Datenschutzinformationen auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich die Verantwortliche in den nachfolgenden Datenschutzinformationen auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.
(4) Sofern sich die Verantwortliche in den nachfolgenden Datenschutzinformationen auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich die Verantwortliche in den nachfolgenden Datenschutzinformationen darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. Im Glossar, der dieser Erklärung angehängt ist, stellt der Verantwortliche verschiedene Länder mit ihren jeweiligen Risiken vor; dies unabhängig davon, ob tatsächlich Daten dorthin übermittelt werden oder nicht.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Darstellung der Internetseite:
Im Fall der rein informatorischen Nutzung der Internetseite ist es technisch erforderlich, dass einige Daten verarbeitet werden. Anders ist eine Darstellung der Internetseite nicht möglich. Dabei werden die folgenden Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware. Zweck ist die Darstellung der Internetseite. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.
Webhosting:
Der Verantwortliche setzt einen externen Webhoster ein, der die Internetseite darstellt und die dafür technisch erforderlichen Daten verarbeitet. Hierbei werden die folgenden Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware. Zweck ist die Darstellung der Internetseite. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.
Cookie-Consent:
Die Betroffenen haben die Wahl, ob sie dem Einsatz von Cookies zustimmen; dies über ein sog. Cookie-Consent-Tool. Hierbei werden die folgenden Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware, Status zur Einwilligung, Datum der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
Formular:
Auf der Internetseite befindet sich ein Formular, über das die Betroffenen Nachrichten versenden können. Hierbei werden die folgenden Daten verarbeitet: Daten über Inhalt, Art und Weise sowie Umfang der Eingaben in das jeweilige Formular. Zweck ist die Anbahnung und/oder Durchführung von Verträgen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Terminbuchung:
Die Betroffenen können über die Internetseite freie Termine einsehen und sich einfach einen aussuchen. Hierbei werden die folgenden Daten verarbeitet: alle Daten, die bei der Terminvereinbarung erhoben werden (i.d.R. Name, E-Mail-Adresse, Termin). Zweck ist die Anbahnung und/oder Durchführung von Verträgen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Recruiting:
Die Betroffenen können sich auf dieser Internetseite über einen Recruiting-Bereich und/oder einen anderen Kontaktkanal für eine Beschäftigung bewerben. Die Daten werden entgegengenommen, um das Bewerbungsverfahren durchzuführen. Hierbei werden die Daten verarbeitet, die die Betroffenen selbst preisgeben, sowie der Zeitpunkt der Datenerhebung. Der Verantwortliche sichtet die Daten und trifft eine Vorauswahl. Anschließend führt er in einigen Fällen das Bewerbungsverfahren fort (ggf. Bewerbungsgespräche, Probearbeitstage) und trifft eine Abschlussentscheidung. Zweck ist die Anbahnung eines Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Automation in der vertragsbezogenen Kommunikation:
Im Rahmen der Begründung, Durchführung und/oder Beendigung von Verträgen erfolgt die Kommunikation mit den Betroffenen teilweise automatisiert. Dabei werden die Daten im Rahmen Ersterfassung der Daten, zum Vertragsabschluss sowie zur Auslieferung der Produkte/Dienstleistungen verarbeitet, soweit dies zur Vertragserfüllung erforderlich ist. Hierbei werden die folgenden Daten verarbeitet: (1) sämtliche von den Betroffenen eingegebene Kontakt- und Bestelldaten, (2) ggf. Zahlungsdaten, (3) Daten über die Auslieferung sowie (4) Daten über die Geltendmachung von Rechten der Betroffenen und der Reaktion des hiesigen Verantwortlichen. Zweck ist die Anbahnung und/oder Durchführung von Verträgen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Analyse des Nutzungsverhaltens:
Zur Analyse des Nutzungsverhaltens der Betroffenen auf dieser Internetseite werden sog. Cookies eingesetzt. Das sind Textdateien, die auf dem Rechner der Betroffenen gespeichert werden und die eine Analyse der Benutzung der Internetseite ermöglichen. Aus den Informationen über das Nutzungsverhalten entstehen Berichte über die Aktivitäten und Interaktionen. Hierbei werden die folgenden Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware, cookie-basierte Daten über die Interaktionen (ins. Reihenfolge der Interaktionen, Verweildauer, Herkunft). Diese Daten werden genutzt, um das Nutzungserlebnis auf dieser Internetseite regelmäßig verbessern zu können. Über die gewonnenen Statistiken kann das Angebot verbessert werden, um das Interesse der Betroffenen zielgerichteter auf für sie passende Produkte und Leistungen zu lenken. Rechtsgrundlage ist die Einwilligung der Betroffenen (Artikel 6 Absatz 1 Satz 1 lit. a DSGVO).
Soziale Medien / Netzwerke:
Die Verantwortliche unterhält Konten in sozialen Medien/Netzwerken. Soweit dort auf diese Datenschutzinformationen verlinkt wird, gelten diese auch, wenn die Betroffenen nur die dortigen Seiten aufsuchen. Weder hat die Verantwortliche Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge noch sind ihr der volle Umfang der Datenerhebung, die Zwecke der Verarbeitung, die Speicherfristen und der Umstände der Löschung personenbezogener Daten bekannt. Wenn die Betroffenen die Unternehmens- und Produktseiten des Verantwortlichen in den sozialen Medien oder Anzeigen (sog. Ads) aufsuchen, besteht die Möglichkeit, dass die Anbieterinnen der sozialen Medien und Netzwerke die über die Betroffenen erhobenen Daten als Nutzungsprofile speichern und diese für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseiten nutzen. Hierbei werden folgende Daten verarbeitet: Cookie- bzw. pixelbasierte Daten über die Interaktionen mit der Internetseite sowie den Unternehmens- und/oder Produktseiten des Verantwortlichen, ggf. die E-Mail-Adresse, der Name und die Kommunikationsdaten. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dessen an die jeweiligen Anbieterin wenden müssen. Soweit die hiesige Verantwortliche Art und Umfang der hiermit verbundenen Verarbeitung personenbezogener Daten beeinflussen kann, besteht der Zweck der Datenverarbeitung darin, sich zu präsentieren, das Nutzungsverhaltens der Betroffenen in Bezug auf die Interaktion mit der dort unterhaltenen Unternehmens- und/oder Produktseite zu analysieren sowie über dieses soziale Netzwerk (ggf. werblich) mit den Betroffenen zu kommunizieren. Wenn und soweit die Verantwortliche die Besucherinteraktionen mit ihrer Unternehmensseite analysiert, sind sowohl sie als auch der jeweilige Anbieter des sozialen Netzwerks oder Mediums insoweit datenschutzrechtlich gemeinsam verantwortlich; dies gemäß Artikel 26 DSGVO. In allen anderen Fällen wird die jeweilige Anbieterin des sozialen Netzwerks oder Mediums gemäß Artikel 28 DSGVO beauftragt. Rechtsgrundlage für die hier beschriebene Verarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Sofern die Betroffenen bei dem jeweiligen sozialen Netzwerk oder Medium selbst ein Profil unterhalten, ist die Rechtsgrundlage auch die Einwilligung i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, die sie gegenüber der Anbieterin des jeweiligen sozialen Netzwerks erteilt haben.
Externe Schriftarten:
Im Zusammenhang mit der Internetseite wird auf externe Verzeichnisse zu Schriftarten zugegriffen. Hierbei werden keine Daten an externe Anbieter übermittelt, da sie lokal eingebunden werden.Zweck ist die Darstellung der Internetseite in einer ansprechenden Schrift. Soweit dabei überhaupt personenbezogene Daten verarbeitet werden, ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.
Nützliche Informationen per E-Mail:
Sofern die Betroffenen über die Internetseite zu Kund*innen der Verantwortlichen werden, spricht sie die Betroffenen werblich per E-Mail an, dies in Form eines Newsletters. Hierbei handelt es sich um ein regelmäßig und unregelmäßig erscheinendes elektronisches Rundschreiben. Dabei nutzt die Verantwortliche den Namen, die E-Mail-Adresse sowie die Information über den Kundenstatus. Zweck ist die werbliche Ansprache. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Bedürfnis an Direktmarketing folgt.
Nützliche Informationen per E-Mail:
Die Betroffenen haben auf der Internetseite die Möglichkeit, sich zu einem Newsletter anzumelden. Hierbei handelt es sich um ein regelmäßig und unregelmäßig erscheinendes elektronisches Rundschreiben. Hierbei erhebt der Verantwortliche die zur Anmeldung erforderlichen Daten und nutzt diese um den Betroffenen werblich per E-Mail anzusprechen. Dazu gehören die E-Mail-Adresse und alle anderen Daten, die die Betroffenen hier freiwillig angeben. Zweck ist die werbliche Ansprache. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
Double-Opt-In:
Zur Einholung der Einwilligung für die werbliche Ansprache per E-Mail bedient sich die Verantwortliche des sog. Double-Opt-In-Verfahrens. Das heißt, dass sie den Betroffenen nach ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse sendet, in welcher sie die Betroffenen um Bestätigung ihrer Einwilligung bittet. Nach der Bestätigung gilt die Identität der einwilligenden Betroffenen als bestätigt. Hierbei werden folgende Daten verarbeitet: IP-Adressen und Zeitpunkte der Anmeldung und Bestätigung. Zweck des Verfahrens ist, ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch personenbezogener Daten aufklären zu können. Die rechtliche Verpflichtung folgt aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften ist die hiesige Verantwortliche rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Das geht nur, wenn sie die Daten der Betroffenen dafür zu Nachweiszwecken erhebt. Wenn die Betroffenen ihre Anmeldung nicht innerhalb des nachfolgend näher bezeichneten Zeitraums bestätigen, werden ihre Informationen automatisch gelöscht (Angabe in Tagen): 30
Es werden die folgenden externen Tools/Anbieter eingesetzt:
all-inkl: Es wird der Webhoster „all-inkl“ der ALL-INKL.COM – Neue Medien Münnich (Deutschland – EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
Contact-Form 7: Zur Erstellung und Verwaltung von Formularen wird das Wordpress-Plugin Contact Form 7 ein. Einzelheiten zur Datenverarbeitung durch dieses Plugin sind hier zu finden: https://de.wordpress.org/plugins/contact-form-7/.
Calendly: Es wird das Terminbuchung-Tool „Calendly“ der Calendly LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
Personio Recruiting: Es wird das Recruiting-Tool „Personio – Recruiting“ der Personio GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
MailChimp (Automation): Es wird das Automatisierungs-Tool „MailChimp“ der Rocket Science Group LLC (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Google Analytics: Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das Analyse-Tool „Google Analytics“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Hierzu sei ergänzt: Die IP-Adresse wird durch die Drittanbieterin innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server der Drittanbieterin in den USA übertragen und dort gekürzt. Die im Rahmen des Einsatzes dieses Tools vom Browser übermittelte IP-Adresse wird nicht mit anderen Daten durch die Drittanbieterin zusammengeführt. Das Tool wird zudem für eine geräteübergreifende Analyse von Besucher*innenströmen eingesetzt, die über eine User-ID durchgeführt wird. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Facebook: Es wird das soziale Netzwerk „Facebook“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Soweit die Verantwortliche und die Drittanbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die Drittanbieterin nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Ergänzend gilt: Die Verantwortliche unterhält bei diesem sozialen Netzwerk eine Unternehmensseite.
Die Verantwortliche lädt Daten in die Custom Audience dieser Drittanbieterin hoch (vgl. Glossar).
Die Verantwortliche setzt sog. „Pixel“ bei dieser Drittanbieterin ein (vgl. Glossar).
Die Verantwortliche setzt sog. „Ads“ bei dieser Drittanbieterin ein (vgl. Glossar).
Instagram: Es wird das soziale Netzwerk „Instagram“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Soweit die Verantwortliche und die Drittanbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die Drittanbieterin nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Ergänzend gilt: Die Verantwortliche unterhält bei diesem sozialen Netzwerk eine Unternehmensseite.
Die Verantwortliche setzt sog. „Ads“ bei dieser Drittanbieterin ein (vgl. Glossar).
Die Verantwortliche setzt sog. „Pixel“ bei dieser Drittanbieterin ein (vgl. Glossar).
Die Verantwortliche lädt Daten in die Custom Audience dieser Drittanbieterin hoch (vgl. Glossar).
LinkedIn: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Ergänzend gilt: Die Verantwortliche unterhält bei diesem sozialen Netzwerk eine Unternehmensseite.
Die Verantwortliche setzt sog. „Ads“ bei dieser Drittanbieterin ein (vgl. Glossar).
X: Es wird das soziale Netzwerk „X“ der Twitter International Company (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur X Corporation, USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Ergänzend gilt: Die Verantwortliche unterhält bei diesem sozialen Netzwerk eine Unternehmensseite.
Die Verantwortliche setzt sog. „Ads“ bei dieser Drittanbieterin ein (vgl. Glossar).
Google Fonts: Im Zusammenhang mit der Bereitstellung der externen Schriftart wird das Verzeichnis „Google Fonts“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Hierzu sei ergänzt: IP-Adressen werden weder auf Google-Servern protokolliert noch gespeichert und sie werden nicht analysiert. Die Google Fonts Web API protokolliert Details der HTTP-Anfragen (angeforderte URL, User-Agent und Verweis-URL). Der Zugriff auf diese Daten ist eingeschränkt und streng kontrolliert. Google verwendet keine der von Google Fonts erfassten Informationen, um Profile von Endnutzern zu erstellen. Es werden lediglich die Schriftarten (ein Jahr) und die zugehörigen CSS-Dateien (ein Tag) auf dem Endgerät der Betroffenen gespeichert. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
MailChimp (Newsletter mit Einwilligung): Es wird das Automatisierungs-Tool „MailChimp“ der Rocket Science Group LLC (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
MailChimp (Newsletter, Bestandskund*innen, berechtigtes Interesse): Es wird das Automatisierungs-Tool „MailChimp“ der Rocket Science Group LLC (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Es folgt ein Glossar. Nicht alle Sachverhalte, die im Glossar erläutert werden, spielen notwendigerweise eine Rolle bei den hier beschrieben Datenverarbeitungsvorgängen. Sie dienen nur dem allgemeinen Verständnis und damit der Transparenz.
Thema: Grundbegriffe Personenbezogene Daten:
Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.
Verarbeitung personenbezogener Daten:
Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.
Einwilligung:
Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.
Thema: Soziale Medien Unternehmens- und/oder Produktseite:
Diese Formulierung bedeutet, dass die Verantwortliche eine Unternehmens- bzw. Produktseite bei einem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.
Plugin:
Diese Formulierung bedeutet, dass die Verantwortliche auf der Internetseite ein Plugin einer Drittanbieterin eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil der Verantwortlichen. Die Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an die jeweilige Drittanbieterin des Plug-ins weitergegeben werden. Die Drittanbieterin ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Die Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit der Drittanbieterin des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält die Drittanbieterin die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an die jeweilige Drittanbieterin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei der jeweiligen Drittanbieterin besitzen und dort eingeloggt sind. Wenn sie bei der Drittanbieterin eingeloggt sind, werden ihre durch die hiesige Verantwortliche erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei der jeweiligen Drittanbieterin unterhalten.
Ads:
Diese Formulierung bedeutet, dass die Verantwortliche sog. „Ads“ (Anzeigen) in einem sozialen Medium einsetzt. Mithilfe der „Ads“ kann die hiesige Verantwortliche im Rahmen des jeweiligen sozialen Netzwerks bzw. Mediums auf ihre Angebote aufmerksam machen. Sie kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Damit wird das Interesse verfolgt, den Betroffenen „Ads“ anzuzeigen, die für sie von Interesse sind, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbekosten durchzuführen. Diese „Ads“ werden durch die jeweilige Drittanbieterin ausgeliefert. Sofern die Betroffenen über „Ads“, die die jeweilige Drittanbieterin ihnen präsentiert, auf die Internetseite der hiesigen Verantwortlichen gelangen, wird ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen in der Regel nicht dazu dienen, die Betroffenen persönlich zu identifizieren.
Pixel:
Diese Formulierung bedeutet, dass die Verantwortliche sog. Pixel einsetzt. Das ist ein Analysetool, mit dem die Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Internetseite zu verstehen und nachzuvollziehen. Die Verantwortliche hat den Pixel auf ihrer Internetseite implementiert, indem sie den Pixel-Code im Header platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt die Verantwortliche, wenn die Betroffenen eine Handlung vornehmen und kann dies auswerten.
Upload in die Custom Audience:
Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.
Veröffentlichung von Medienaufnahmen:
Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk hochlädt und sie dort veröffentlicht.
Thema: Videoeinbettungen Plugin:
Diese Bezeichnung bedeutet, dass auf der Internetseite der Verantwortlichen Plugins eines Videoportals eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem Server der jeweiligen Drittanbieterin hergestellt. Die jeweilige Drittanbieterin speichert die Daten der Betroffenen als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseite. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Betroffene) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer *innen über die Aktivitäten der Betroffenen auf der Internetseite der Verantwortlichen zu informieren. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dieses Rechts an die jeweilige Drittanbieterin richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die jeweilige Drittanbieterin erhalten die Betroffenen in der Datenschutzerklärung.
Eigener Kanal:
Diese Bezeichnung bedeutet, dass die Verantwortliche im Videoportal einen eigenen Kanal anbietet. Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.
Thema: Risikohinweise Drittländer
Die nachfolgenden Hinweise werden nur vorsorglich erteilt. Sie kommen für die hiesige Erklärung nur zur Anwendung, wenn und soweit oben darauf Bezug genommen wird.
USA:
Grundsätzlich hat die Europäische Kommission den USA attestiert, dass sie ein sicheres Drittland sind. Daher wird nur vorsorglich und nur für den Fall, dass ausnahmsweise eine Einwilligung für die Datenübermittlung in die USA eingeholt wird, folgendes mitgeteilt: Die rechtsstaatlichen Prinzipien in den USA sind nicht mit denen aus der Europäischen Union vergleichbar. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können Betroffene ihre Rechte nur eingeschränkt geltend machen.
Indien:
In der Republik Indien ist das Recht auf Privatsphäre und informationelle Selbstbestimmung zwar bekannt, jedoch nur eingeschränkt gewährleistet. Die Einführung eines neuen Datenschutzgesetzes ist noch immer nicht abgeschlossen. Ferner haben. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können Betroffene ihre Rechte nur eingeschränkt geltend machen.
Hong-Kong:
Hong-Kong ist eine Sonderverwaltungszone der Volksrepublik China, die auf Grundlage von Artikel 31 der Verfassung der Volksrepublik China eingerichtet ist. Hierbei ist es wichtig, zu verstehen, dass Hong-Kong kein souveräner Staat ist, sondern zur Volksrepublik China gehört. Die Autonomie beschränkt sich weitestgehend auf die Zollverwaltung und die Handelspolitik. In diesem hat die Sonderverwaltungszone Hong-Kong zwar ein lokales Datenschutzgesetz verabschiedet, nämlich das Personal Data (Privacy) Ordinance (PDPO), das auch grundlegende Datenschutzprinzipien kennt (z.B. Zweckbindung, Datenminimierung usw.). Jedoch ist mit Blick darauf, dass die Volksrepublik China außerhalb der Handels- und Zollpolitik, häufig Einfluss auf Hong-Kong nimmt, ist davon auszugehen, dass v.a. die chinesischen Ermittlungsbehörden Zugriff auf personenbezogene Daten nehmen, sofern sie in Hong-Kong verarbeitet werden. Mit Blick darauf, dass die Volksrepublik China im Demokratie-Index des Economists den Rang 156 belegt, wird deutlich, dass hier weder dieselben rechtstaatlichen noch dieselben demokratischen Grundsätze gelten, die in der Europäischen Union verankert sind. Eine Datenübermittlung nach Hong-Kong ist daher sehr riskant.
China:
Mit Blick darauf, dass die Volksrepublik China im Demokratie-Index des Economists den Rang 156 belegt, wird deutlich, dass hier weder dieselben rechtstaatlichen noch dieselben demokratischen Grundsätze gelten, die in der Europäischen Union verankert sind. Zwar gilt in der Volksrepublik China das Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL), jedoch sind staatliche Stellen hiervon ausgenommen. Hinzukommt, dass datenschutzrechtliche Betroffenenrechte selbst gegen privatwirtschaftlich organisierte Unternehmen mit Sitz in China nur schwer durchsetzbar sein werden. Eine Datenübermittlung in die Volksrepublik China ist daher hoch riskant.