Verarbeitung personenbezogener Daten durch die für das Online-Bewerbungsverfahren verantwortliche Stelle
Allgemeine Bestimmungen über Datenverarbeitung im Auftrag
1 Geltungsbereich
1.1 Die nachfolgenden Bestimmungen gelten für alle Vertragsbeziehungen, vertragsähnlichen Beziehungen und vorvertraglichen Verhandlungen der LACON GmbH,
Moltkestraße 4, 77654 Offenburg (im Folgenden insgesamt: „Auftragnehmer“) mit
ihren Kunden (im Folgenden: „Kunde“ oder „Auftraggeber“), wenn und soweit der
Auftragnehmer personenbezogene gemäß Art. 28 Verordnung (EU) 2016/679 des
Europäischen Parlaments und des Rates vom 27.04.2016 (DSGVO) im Auftrag
verarbeitet.
1.2 Die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und
des Rates vom 27.04.2016 (DSGVO), des Bundesdatenschutzgesetzes (BDSG),
insbesondere jeweils der Vorschriften über die Datenverarbeitung im Auftrag, finden Anwendung.
1.3 Der Vertragsgegenstand im Einzelnen richtet sich nach dem zugrundeliegenden
Auftragsverhältnis.
2 Datenverarbeitung im Auftrag
2.1 Der Auftragnehmer gewährleistet den Schutz der Rechte der betroffenen Person
durch geeignete technische und organisatorische Maßnahmen, so dass die Datenverarbeitung im Einklang mit den gesetzlichen Anforderungen der DSGVO und
des BDSG erfolgt.
2.2 Die nachfolgenden Bestimmungen regeln die datenschutzrechtlichen Maßnahmen
sowie die Rechte und Pflichten des Auftraggebers und des Auftragnehmers zur
Erfüllung der vorstehend genannten Regelungen.
2.3 Der Auftragnehmer verarbeitet die vom Auftraggeber überlassenen Daten ausschließlich für den Auftraggeber und nur im Rahmen des zugrundeliegenden Auftrags sowie gemäß den Weisungen des Auftraggebers, soweit sich nicht aus zwingenden gesetzlichen Vorgaben oder Anordnungen der zuständigen Aufsichtsbehörde etwas anderes ergibt. In einem solchen Fall teilt der Auftragnehmer dem
Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das
betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen
Interesses verbietet.
3 Datenarten
3.1 Die Datenverarbeitung können folgende Personenkreise betreffen:
Mitarbeiter
Kunden
Auftragnehmer
3.2 Gegenstand der Verarbeitung können folgende Datenarten sein:
Personenstammdaten
Kommunikationsdaten (z. B. Email, Telefon)
Vertragsstammdaten (z. B. Vertragsbeziehung)
Kommunikationsdaten
Kundenhistorie
Planungs- und Steuerungsdaten
4 Technische und organisatorische Maßnahmen
4.1 Der Auftragnehmer sichert ein dem Risiko für die Rechte und Freiheiten der Betroffenen adäquates Schutzniveau der personenbezogenen Daten zu. Zu diesem
Zweck verpflichtet sich der Auftragnehmer, seine innerbetriebliche Organisation
und die erforderlichen technischen und organisatorischen Maßnahmen unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten
und der Art, des Umfangs sowie der Umstände und Zwecke der Verarbeitung und
der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die
Rechte und Freiheiten der Betroffenen so zu gestalten und laufend zu aktualisieren, dass diese den besonderen Anforderungen des Datenschutzes nach der
DSGVO entsprechen und den Schutz der Rechte der betroffenen Personen gewährleisten.
4.2 Die technischen und organisatorischen Maßnahmen umfassen insbesondere
die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit
und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der
Verarbeitung der Daten,
die rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten
und den Zugang zu ihnen im Fall eines physischen oder technischen Zwischenfalls und
die Einführung und das Vorhalten von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
4.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen
Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4.4 Der Auftragnehmer kann die Eignung der nach Art. 32 DSGVO zu treffenden technisch-organisatorischen Maßnahmen durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder ein Datenschutzsiegel oder Prüfzeichen
nach Art. 42 DSGVO nachweisen, das für die vertragsgegenständlichen Verarbeitungsverfahren und Orte erteilt und für die unter diese Vereinbarung fallenden Verarbeitungsverfahren relevant ist. Der Auftragnehmer hat Veränderungen am Zertifikat oder dessen Ablauf dem Auftraggeber unverzüglich mitzuteilen. Die Kontrollund Auditrechte des Auftraggebers bleiben unberührt.
4.5 Die in der Anlage 1 aufgeführten technisch-organisatorischen Maßnahmen werden
verbindlich festgelegt.
5 Berichtigung, Löschung und Sperrung von Daten
Die zu verarbeitenden Daten dürfen nur nach Anweisung bzw. nach vorheriger
Zustimmung des Auftraggebers berichtigt, gelöscht oder gesperrt werden. Soweit
sich ein Betroffener wegen einer Berichtigung, Löschung oder Sperrung von Daten
unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer dieses
Ersuchen unverzüglich an den Auftraggeber weiterleiten.
6 Pflichten des Auftragnehmers
6.1 Verarbeitungspflichten
Der Auftragnehmer führt den Auftrag ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisungen des Auftraggebers durch. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht
berechtigt, sie an Dritte weiterzugeben.
Auszüge, Kopien oder Duplikate von Daten oder Datenträgern dürfen ohne Wissen
des Auftraggebers nur hergestellt und verwendet werden, soweit dies für die Ausführung des Auftrages oder zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich ist oder eine gesetzliche oder sonstige Aufbewahrungspflicht besteht. Eventuell hergestellte Auszüge, Kopien oder Duplikate sind nach
Abschluss der Verarbeitung oder Nutzung vom Auftragnehmer unverzüglich sicher
zu löschen bzw. datenschutzgerecht zu vernichten oder dem Auftraggeber auszuhändigen.
Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.
Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nicht oder nur
nach Weisung des Auftraggebers erteilen. Auskünfte an Mitarbeiter des Auftraggebers darf der Auftragnehmer nur gegenüber den autorisierten Personen erteilen.
Der Auftragnehmer verpflichtet sich, nur solche Software, Daten oder Datenträger
einzusetzen, die zuverlässig auf Freiheit von schädlicher Software geprüft sind,
um ein Einschleusen von Viren etc. zu vermeiden.
Der Auftragnehmer verpflichtet sich, bei Wartungs- und Servicetätigkeiten den Datenzugriff auf das unverzichtbare Mindestmaß zu beschränken und personenbezogene Daten ausschließlich für Zwecke der Leistungserbringung zur Kenntnis zu
nehmen und keinesfalls anderweitig zu verarbeiten oder zu nutzen. Ein Zugriff auf
personenbezogene Daten oder eine Kenntnisnahme von personenbezogenen Daten über das zur Erfüllung des Auftrages hinausgehende Maß ist streng untersagt.
Beim Zugriff auf personenbezogene Daten dürfen keine Veränderungen vorgenommen werden. Versehentlich vorgenommene Veränderungen sind dem Auftraggeber bekannt zu geben. Auf Verlangen des Auftraggebers sind solche Veränderungen nach Abschluss der Arbeiten rückgängig zu machen.
Nach Erfüllung des Auftrages sind ggf. vom Auftragnehmer auf seinem System
gespeicherte Daten aller Art des Auftraggebers sicher zu löschen.
6.2 Duldungspflichten bei Kontrollen
Der Auftragnehmer verpflichtet sich, in Prüfungen durch den Auftraggeber die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nachzuweisen, Auskünfte zu erteilen und die entsprechenden Unterlagen vorzulegen bzw.
Einsicht in die erforderlichen Unterlagen und Systeme zu gewähren und nach vorheriger Abstimmung entsprechende Prüfungen des Auftraggebers vor Ort zu dulden und zu unterstützen. Er verpflichtet sich, bei datenschutz- und datensicherheitsrelevanten Vorfällen alle erforderlichen Auskünfte zu erteilen und die Aufklärung derartiger Vorfälle nach Möglichkeit zu unterstützen.
Der Nachweis angemessener technischer und organisatorischer Maßnahmen
kann auch durch Vorlage von Testaten oder Zertifikaten oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung bzw. eines autorisierten Sachverständigen geführt werden. Unabhängig von diesen Nachweisen
ist der Auftragnehmer verpflichtet, Kontrollen durch den Auftraggeber nach dieser
Vereinbarung zu dulden.
6.3 Informationspflichten
Der Auftragnehmer ist verpflichtet, wesentliche Änderungen in den technischen
und organisatorischen Verhältnissen, die die Sicherheit und Ordnungsmäßigkeit
der Durchführung der Auftragsleistungen herabsetzen, unaufgefordert dem Auftraggeber zu melden.
Der Auftragnehmer unterrichtet den Auftraggeber über Kontrollen der Aufsichtsbehörde für den Datenschutz, insbesondere gem. Art. 58 DSGVO, und über eventuelle Maßnahmen und Auflagen zum Schutz der personenbezogenen Daten.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur
Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu
geben und die entsprechenden Nachweise verfügbar zu machen. Er informiert den
Auftraggeber unverzüglich über das Erlöschen oder den Widerruf von Zertifikaten
oder von Maßnahmen gem. Art. 41 Abs. 4 DSGVO.
Der Auftragnehmer teilt dem Auftraggeber Name und Kontaktdaten und Änderungen in der Person des betrieblichen Datenschutzbeauftragten oder, wenn keine
Bestellpflicht besteht, den Namen und die Kontaktdaten der sonstigen zuständigen
Stelle mit.
6.4 Mitwirkungs- und Unterstützungspflichten
Der Auftragnehmer verpflichtet sich, im Rahmen des Art. 28 Abs. 3 lit. e und f
DSGVO, die für das Verzeichnis von Verarbeitungstätigkeiten sowie für die
Risikoermittlung und eventuelle Datenschutzfolgenabschätzung erforderlichen
Informationen unverzüglich zur Verfügung zu stellen und, soweit es seinen
Verantwortungsbereich betrifft, im erforderlichen Umfang bei der Ermittlung der
Risiken und einer eventuellen Datenschutzfolgenabschätzung mitzuwirken sowie
den Auftraggeber bei der Erfüllung der Rechte der Betroffenen zu unterstützen.
6.5 Organisationspflichten
Der Auftragnehmer verpflichtet sich zur Einrichtung von Maßnahmen und Dokumentationen, die eine Kontrolle und Nachvollziehbarkeit aller mit der Auftragsverarbeitung zusammenhängenden Tätigkeiten und Verarbeitungsprozesse im Sinne
einer Auftragskontrolle und der Ordnungsmäßigkeit der Datenverarbeitung ermöglichen. Datenschutzvorfälle und sonstige sicherheitsrelevante Störungen bei der
Verarbeitung der Daten des Auftraggebers sind einschließlich ihrer Auswirkungen
und der ergriffenen Abhilfemaßnahmen zu dokumentieren und dem Auftraggeber
zu melden.
Wird die Verarbeitung von Privatwohnungen oder von einem dritten Ort aus durchgeführt, ist der Auftraggeber darüber zu informieren. Der Auftragnehmer verpflichtet sich, durch geeignete Regelungen und Sicherheitsvorkehrungen die Wahrung
der Vertraulichkeit der Daten sowie die Sicherheit und Kontrollierbarkeit der Verarbeitung im gleichen Maße zu gewährleisten, wie dies bei einer Durchführung der
Serviceleistung vom Ort des Auftragnehmers aus der Fall ist. Soll davon abgewichen werden, bedarf dies einer gesonderten schriftlichen Zustimmung des Auftraggebers.
Der Auftragnehmer sichert zu, dass ein Datenschutzbeauftragter bestellt ist und
der Datenschutzbeauftragte die Einhaltung der datenschutzrechtlichen Vorschriften in geeigneter Weise überwacht.
7 Durchführung der Fernwartung
Werden Auftragsleistungen im Wege der Fernwartung durchgeführt, gelten zusätzlich folgende Vereinbarungen:
7.1 Der Auftragnehmer führt die Fernwartung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Die Fernwartung erfolgt, soweit möglich, ohne gleichzeitige Speicherung von Daten.
7.2 Der Auftragnehmer muss personenbezogene Daten, die er bei der Fernwartung
erhalten oder gewonnen hat, unverzüglich sicher löschen oder dem Auftraggeber
zurückgeben, wenn sie für die Durchführung der Fernwartungsarbeiten nicht mehr
erforderlich sind. Etwaige dem Auftragnehmer übergebene Daten oder Datenträger mit personenbezogenen oder sonstigen vertraulichen Daten sind dem Auftragnehmer nach Abschluss der Fernwartungsarbeiten unverzüglich zurückzugeben
oder sicher zu vernichten.
7.3 Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen.
7.4 Der Beginn der Fernwartung ist vom Auftragnehmer anzukündigen, um dem Auftraggeber die Möglichkeit zu geben, die Maßnahmen der Fernwartung zu verfolgen. Die Mitarbeiter des Auftragnehmers verwenden nach dem Stand der Technik
hinreichend sichere Identifizierungs- und Einwahlverfahren. Die Fernwartung darf
nur über nach dem Stand der Technik sichere Leitungen abgewickelt werden.
7.5 Der Auftragnehmer verpflichtet sich, nur aufgrund von Störungsmeldungen des
Auftraggebers per Fernwartung oder aufgrund sonstiger ausdrücklicher Anforderungen des Auftraggebers mittels Remote-Zugriff auf Software und Daten zuzugreifen und nach Beseitigung der Störung per Fernwartung oder bei Beendigung
des Remote-Zugriffs dem Auftraggeber Serviceberichte zu erstellen.
7.6 Der Auftraggeber ist berechtigt, die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen. Soweit der Auftragnehmer daran mitwirken muss, gewährleistet er, dass dies möglich ist. Der Auftraggeber ist ferner berechtigt, die
Fernwartungsaktivitäten des Auftragnehmers zu protokollieren, die Protokolle zu
überprüfen und eine angemessene Zeit aufzubewahren.
7.7 Wird die Fernwartung von Privatwohnungen oder von einem dritten Ort aus durchgeführt, verpflichtet sich der Auftragnehmer, durch geeignete Regelungen und Sicherheitsvorkehrungen die Wahrung der Vertraulichkeit der Daten sowie die Sicherheit und Kontrollierbarkeit der Serviceleistung im gleichen Maße zu gewährleisten, wie dies bei einer Durchführung der Serviceleistung von der Wartungszentrale aus der Fall ist. Soll davon abgewichen werden, bedarf dies einer gesonderten
schriftlichen Zustimmung des Auftraggebers.
7.8 Der Auftraggeber hat das Recht, die Fernwartung zu unterbrechen, wenn der Auftragnehmer von den vereinbarten Sicherheitsmaßnahmen abweicht oder die Fernwartung mit nicht vereinbarten Hard- und Softwarekomponenten durchgeführt
wird.
8 Unterauftragnehmer
Die Einschaltung von Unterauftragnehmern ist nur zulässig, wenn der Auftraggeber vor der Vergabe der Auftragsleistung schriftlich zugestimmt hat. Der Auftraggeber kann bei Vorliegen eines wichtigen Grundes, insbesondere bei einer Gesetzes- oder Vertragsverletzung, seine Zustimmung zur Unterbeauftragung widerrufen. Die Unterbeauftragung ist dann unverzüglich einzustellen. Der Auftragnehmer
hat die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so zu gestalten, dass sie den Datenschutzbestimmungen dieses Vertrages entsprechen. Er
hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung
von Daten an den Unterauftragnehmer ist erst zulässig, wenn ein Vertrag nach
diesen Auflagen abgeschlossen worden ist und der Unterauftragnehmer alle Anforderungen dieses Vertrages erfüllt hat.
Bei der Unterbeauftragung sind dem Unterauftragnehmer die gleichen vertraglichen Regelungen aufzuerlegen, wie sie für den Auftragnehmer gelten. Dem Auftraggeber sind gegenüber dem Unterauftragnehmer die gleichen Weisungs-, Kontroll- und Überprüfungsrechte entsprechend diesen Regelungen und dem Art. 28
DSGVO einzuräumen, wie sie gegenüber dem Auftragnehmer gelten. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der
datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur
Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B.
Telekommunikationsleistungen, rein technische Wartung oder Reinigungskräfte.
Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und
der Sicherheit der Daten des Auftraggebers auch bei fremdvergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
Eine Beauftragung von Unterauftragnehmern außerhalb des Gebiets der Bundesrepublik Deutschland oder der Europäischen Union bzw. der Staaten des Europäischen Wirtschaftsraumes ist nur mit vorheriger Zustimmung des Auftraggebers
zulässig und nur soweit ein Angemessenheitsbeschluss der EU-Kommission gem.
Art. 45 Abs. 3 DSGVO vorliegt oder durch andere geeignete Garantien i. S. v. Art.
46 Abs. 2 DSGVO ein angemessenes Datenschutzniveau sichergestellt ist.
9 Weisungsbefugnisse des Auftraggebers
9.1 Die Verarbeitung der Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich
im Rahmen der getroffenen Auftragsbeschreibung ein Weisungsrecht in Form von
Einzelanweisungen über Art, Umfang und Verfahren der Datenverarbeitung sowie
über Änderungen der Verarbeitung vor. Die Weisungen betreffen insbesondere,
aber nicht ausschließlich, die datenschutzkonforme Auftragsabwicklung und sonstige Handlungen zur Sicherstellung einer gesetzmäßigen Auftragsabwicklung. LACON-Allgemeine Bestimmungen über Datenverarbeitung im Auftrag, Juni 2019 Seite 7 von 14
Weisungen werden schriftlich oder in einem geeigneten elektronischen Format erteilt. Mündliche Weisungen sind unverzüglich schriftlich oder in einem elektronischen Format zu bestätigen.
9.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzvorschriften verstößt. Der Auftragnehmer kann die Ausführung der Anweisung bis
zu einer Bestätigung durch den Auftraggeber aussetzen. Der Auftraggeber haftet
für rechtswidrige Weisungen und stellt den Auftragnehmer insoweit von Schadensersatzansprüchen und sonstigen Forderungen frei.
9.3 Auf erstes Anfordern benennt der Auftraggeber dem Auftragnehmer weisungsberechtigte Personen des Auftraggebers und teilt danach dem Auftragnehmer Änderungen der weisungsberechtigten Person unaufgefordert unverzüglich mit.
9.4 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.
10 Kontroll- und Auditrechte des Auftraggebers
10.1 Der Auftraggeber ist befugt, vor Beginn der Datenverarbeitung und nach seinem
Ermessen auch wiederholt nach vorheriger Abstimmung während der üblichen Geschäftszeiten im erforderlichen Umfang die Einhaltung der Vorschriften über den
Datenschutz und der vertraglichen Vereinbarungen, insbesondere der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, zu kontrollieren. Hierzu ist der Auftraggeber befugt, schriftliche Auskünfte und die Vorlage
von Nachweisen über die eingerichteten Datenschutzmaßnahmen sowie über die
Art und Weise ihrer technischen und organisatorischen Umsetzung zu verlangen,
das Grundstück und die Betriebsstätten des Auftragnehmers zu betreten, nach
seinem Ermessen Prüfungen und Besichtigungen vorzunehmen und im erforderlichen Umfang in verarbeitungsrelevante Unterlagen, Verarbeitungs- und Ablaufprotokolle, Systeme und gespeicherte Daten und in Regelungen, Richtlinien und
Handbücher zur Regelung der beauftragten Datenverarbeitung einzusehen.
10.2 Dazu gehören auch Nachweise über die Bestellung eines Datenschutzbeauftragten, die Verpflichtung der Mitarbeiter auf die Wahrung der Vertraulichkeit und technische und organisatorische Konzepte, z. B. Datenschutzhandbuch, einschlägige
Verfahrensanweisungen und auch Verträge mit Unterauftragnehmern. Die gleichen Rechte besitzen auch Beauftragte des Auftraggebers, z. B. Gutachter oder
Sachverständige, soweit sie besonders zur Verschwiegenheit verpflichtet sind oder strafbewehrten berufsständischen Schweigepflichten unterliegen.
10.3 Die Prüfung erfolgt nach vorheriger Anmeldung. In besonderen Fällen, insbesondere wenn Verarbeitungsprobleme bestehen, meldepflichtige Vorfälle aufgetreten
sind oder aufsichtsrechtliche Maßnahmen anstehen oder eingeleitet worden sind,
kann die Prüfung auch ohne vorherige Anmeldung erfolgen.
10.4 Der Auftraggeber hat das Recht, die Auftragsausführung zu unterbrechen, wenn
er den Eindruck gewinnt, dass der Auftrag nicht weisungsgemäß ausgeführt oder
unbefugt auf Dateien zugegriffen wird oder Daten unbefugt oder nicht weisungsgemäß übertragen oder verarbeitet oder genutzt werden.
10.5 Die Rechte des Auftraggebers bestehen während der Laufzeit dieser Vereinbarung
und darüber hinaus bis zum Eintritt der Verjährung von Ansprüchen aus diesem LACON-Allgemeine Bestimmungen über Datenverarbeitung im Auftrag, Juni 2019 Seite 8 von 14
Vertrag, mindestens jedoch solange der Auftraggeber personenbezogene Daten
aus den beauftragten Verarbeitungen speichert.
10.6 Die vorstehenden Überprüfungsrechte unterliegen folgenden Regelungen:
10.6.1 Prüfungen dürfen nur zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden. Der Auftragnehmer darf die Prüfung von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer
Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen.
10.6.2 Keine der vorstehenden Regelungen gibt dem Auftraggeber oder einem mit der
Prüfung beauftragten Dritten das Recht, Materialien, Informationen oder Tätigkeiten in Augenschein zu nehmen, die keinen Bezug zur Verarbeitung der Daten des
Auftraggebers haben oder wenn dies zu einem Gesetzesverstoß durch den Auftragnehmer führen würde.
10.6.3 Der Auftraggeber und von diesem mit der Prüfung beauftragte Dritte ist verpflichtet,
alle Informationen und Materialien, die ihnen im Rahmen der Prüfung bekannt werden, als vertrauliche Informationen des Auftragnehmers zu behandeln. Der Auftraggeber ist verpflichtet, mit den bei der Prüfung eingesetzten Dritten vor deren
Einsatz eine entsprechende Vertraulichkeitsvereinbarung abzuschließen.
10.6.4 Der Auftragnehmer kann der Prüfung durch einen vom Auftraggeber mit der Vornahme der Prüfung beauftragten Mitarbeiter oder Dritten widersprechen, wenn der
mit der Prüfung beauftragte Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer steht oder gegen die Person sachlich begründete Einwände bestehen.
Das Kontrollrecht des Auftraggebers wird hierdurch nicht berührt.
11 Pflichten des Auftraggebers
11.1 Soweit die Verarbeitungstätigkeiten im Auftrag des Auftraggebers erfolgen, obliegt
diesem die Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30
Abs. 1 DSGVO.
11.2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
11.3 Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich der Auftraggeber den Auftragnehmer bei der Abwehr des Anspruches zu unterstützen.
12 Meldung von Datenschutzverstößen
12.1 Bei einer Störung der Verarbeitung oder einer Datenschutzverletzung leitet der
Auftragnehmer umgehend alle geeigneten und erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung eines eventuellen Schadens für die Betroffenen und für den Auftraggeber ein.
12.2 Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über Verstöße
gegen Vorschriften zum Schutz der personenbezogenen Daten oder gegen die in
dieser Vereinbarung getroffenen Festlegungen zu unterrichten. Dies gilt auch bei
schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen von Vorschriften zum Schutz personenbezogener Daten oder andere
Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers, die Auswirkungen auf die betroffenen Personen oder den Auftraggeber nach
sich ziehen oder Schaden verursachen können. Zu den Datenschutzverstößen gehören insbesondere der Verlust der Vertraulichkeit und der Verlust oder die Zerstörung oder Verfälschung von Daten des Auftraggebers oder sonstiger vertraulicher Informationen im Sinne dieses Vertrages.
12.3 Die Meldung an den Auftraggeber umfasst alle Informationen, die für den Auftraggeber erforderlich sind, um den Vorfall und seine Meldepflicht an die Aufsichtsbehörde und die Informationspflicht der Betroffenen gem. Art. 33 und 34 DSGVO
beurteilen und ggf. fristgerecht die Meldung an die Aufsichtsbehörde und ggf. die
Information der Betroffenen vornehmen zu können. Die Meldung an den Auftraggeber umfasst insbesondere Angaben zur Art des Vorfalls und der Verletzung des
Schutzes von personenbezogenen Daten, eine Beschreibung der wahrscheinlichen Risiken für die Interessen, Grundrechte und Grundfreiheiten der betroffenen
Personen und eine Beschreibung der bereits eingeleiteten Maßnahmen zur Behebung bzw. Reduzierung eines möglichen Schadens oder sonstiger Risiken für die
Betroffenen und den Auftraggeber.
12.4 Der Auftragnehmer dokumentiert den Vorfall und unterstützt den Auftraggeber bei
der Erfüllung seiner Melde- und Informationspflicht gem. Art. 33 und 34 DSGVO.
13 Haftung
Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer,
seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei
der Erbringung der vertraglichen Leistung fahrlässig oder schuldhaft verursachen.
14 Verfahren nach Beendigung des Auftrages
14.1 Nach Abschluss der Verarbeitung, spätestens nach Beendigung dieses Vertrages,
hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse oder zur Leistungserfüllung hergestellten oder kopierten personenbezogenen oder sonstige vertrauliche Daten,
die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder in Abstimmung mit dem Auftraggeber datenschutzgerecht zu vernichten oder sicher zu löschen. Test- und Ausschussmaterial ist unverzüglich datenschutzgerecht zu vernichten oder dem Auftraggeber auszuhändigen. Diese
Verpflichtung gilt in gleichem Maße auch für eventuell beauftragte Unterauftragnehmer. Unberührt bleiben Daten, deren Löschung aus technischen Gründen nicht
möglich ist oder einen unverhältnismäßig hohen Aufwand verursachen würde, sowie Kopien, die zum Nachweis der Ordnungsmäßigkeit der Datenverarbeitung oder zur Erfüllung von Haftungs- und Gewährleistungsansprüchen erforderlich sind.
14.2 Für diese Daten ist die Verarbeitung gem. Art. 18 DSGVO einzuschränken. Die
Daten dürfen durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden und sind nach Ablauf der Aufbewahrungsfrist unverzüglich sicher zu löschen. Der Auftraggeber ist LACON-Allgemeine Bestimmungen über Datenverarbeitung im Auftrag, Juni 2019 Seite 10 von 14
über Art und Umfang dieser gespeicherten Daten zu unterrichten. Der Auftragnehmer kann diese Daten zu seiner Entlastung bei Vertragsende dem Auftraggeber
übergeben.
14.3 Der Auftraggeber kann verlangen, dass der Auftragnehmer die sichere Löschung
bzw. die sichere Vernichtung aller in seinem Besitz befindlichen Unterlagen schriftlich bestätigt.
15 Geheimhaltung
15.1 Die Parteien versichern, dass sie vertrauliche Informationen der anderen Partei
nicht verwenden oder veröffentlichen und stets sorgsam behandeln werden.
15.2 Als vertrauliche Informationen gelten seitens des Auftragnehmers alle Informationen einschließlich Abbildungen, Systemspezifikationen, Zeichnungen, Muster,
Kalkulationen und sonstige Unterlagen, sowohl in schriftlicher als auch in jeder
anderen Form, die als vertraulich gekennzeichnet sind oder nach ihrer Art als vertraulich zu bewerten sind.
15.3 Als vertrauliche Informationen gelten seitens Auftraggebers alle mit einer Software
des Auftragnehmers erstellten oder verwalteten Daten. Vor diesem Hintergrund
verpflichtet sich der Auftragnehmer über die nach diesen Bestimmungen getroffenen Regelungen hinaus keinerlei Gebrauch von diesen Daten zu machen und
auch die mit der Erbringung der vertragsgegenständlichen Leistungen betrauten
Personen entsprechend zu verpflichten.
15.4 Die Parteien werden alle angemessenen vorsorglichen Maßnahmen ergreifen, um
ihre Geheimhaltungspflicht zu erfüllen. Die Parteien werden dabei die Sorgfalt walten lassen, die sie auch in eigenen Angelegenheiten ansetzen, mindestens aber
die in Bezug auf solche Daten verkehrsübliche und üblicherweise vorauszusetzende Sorgfalt.
15.5 Eine Geheimhaltungspflicht besteht nicht, wenn die betreffenden Informationen/Daten bereits vor ihrer Entgegennahme rechtmäßiges Eigentum der empfangenden Partei gewesen sind, von der empfangenden Partei unabhängig selbst
entwickelt wurden, allgemein bekannt sind oder werden oder allgemein zugänglich
gemacht werden, es sei denn, dies geschieht durch eine Unterlassung der empfangenden Partei, oder der empfangenden Partei von Dritten mitgeteilt werden,
ohne dass hierin gegenüber der offenbarenden Partei eine Geheimhaltungspflicht
verletzt wird.
15.6 Die Geheimhaltungspflicht entfällt, wenn vertrauliche Informationen der anderen
Partei aufgrund eines Gesetzes, einer Verordnung, einer gerichtlichen Anordnung
oder der Anordnung einer anderen Behörde offenbart werden müssen.
15.7 Die Offenlegung ist sowohl hinsichtlich des Umfangs als auch hinsichtlich des Adressatenkreises auf das rechtlich zwingende Mindestmaß zu beschränken.
15.8 Diese Geheimhaltungspflicht gilt sinngemäß für sämtliche Mitarbeiter der Parteien.
Die Parteien haben sicherzustellen und fortlaufend zu überwachen, dass alle Personen, die von ihnen mit der Bearbeitung und Erfüllung dieses Vertrages betraut
sind, diese Geheimhaltungs- und Sorgfaltspflichten beachten.
16 Anwendbares Recht und Gerichtsstand
16.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
16.2 Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser
Vereinbarung und datenschutzrelevante Streitigkeiten ist Nürnberg.
Anlage 1: Technische und organisatorische Maßnahmen
1 Vertraulichkeit
1.1 Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen durch Legitimation der Berechtigten durch Schlüsselvergabe, Schlüssel und elektrischen
Türöffnern an den Außentüren sowie Schlüsselvergabe und Schlüssel an den Innentüren zu besonders gesicherten Bereichen (z. B. Serverraum);
1.2 Zugangskontrolle: Keine unbefugte Systembenutzung durch Benutzeridentifikation
und Authentifizierung durch Verwendung von sicheren Kennwörtern nach aktuellem Stand der Technik festgelegten Mindestanforderungen an die Passwortlänge,
Verwendung von Sonderzeichen und Änderungsfristen, automatischer Sperrung,
Einrichtung eines Benutzerstammsatzes für jeden Benutzer, Verschlüsselung von
Datenträgern;
1.3 Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung
durch differenzierte Berechtigungen, Protokollierung und Auswertung von Zugriffen;
1.4 Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen
Zwecken erhoben wurden durch interne Mandantenfähigkeit, Zweckbindung,
Funktionstrennung nach Produktions- und Testbetrieb;
1.5 Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, dass
die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, wobei diese zusätzlichen
Informationen gesondert aufbewahrt werden und entsprechenden technischen
und organisatorischen Maßnahmen unterliegen.
2 Integrität
2.1 Weitergabekontrolle: Maßnahmen bei Transport, Übertragung und Übermittlung
oder Speicherung auf Datenträger (manuell oder elektronisch), um unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder
Transport zu verhindern durch Verschlüsselung, Virtual Private Networks (VPN),
elektronische Signatur, Protokollierung, Transportsicherung;
2.2 Eingabekontrolle: Maßnahmen zur nachträglichen Überprüfung, ob und von wem
Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, durch Protokollierungs- und Protokollauswertungssysteme.
3 Verfügbarkeit
3.1 Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw.
Verlust durch Backup-Verfahren, Spiegeln von Festplatten, z.B. RAID-Verfahren,
unterbrechungsfreie Stromversorgung (USV), getrennte Aufbewahrung, Virenschutz / Firewall, Notfallplan; LACON-Allgemeine Bestimmungen über Datenverarbeitung im Auftrag, Juni 2019 Seite 13 von 14
3.2 Rasche Wiederherstellbarkeit: Regelmäßige Prüfung, ob die erstellen Datensicherungen (Backups) zur Wiederherstellung verlorener Daten genutzt werden können.
4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management inkl. Durchführung regelmäßiger Penetrationstests zur
Prüfung der Sicherheit der Systeme gemäß dem jeweils aktuellen Stand der Technik;
4.2 Datenschutzfreundliche Voreinstellungen
5 Auftragskontrolle
Keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende
Weisung des Auftraggebers durch eindeutige Vertragsgestaltung, formalisierte
Auftragserteilung (Auftragsformular), Kriterien zur Auswahl des Auftragnehmers,
Kontrolle der Vertragsausführung. LACON-Allgemeine Bestimmungen über Datenverarbeitung im Auftrag, Juni 2019 Seite 14 von 14
Anlage 2: Datenschutzbeauftragter
6 Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers
Rechtsanwalt Dr. Markus Lintner
Äußere-Sulzbacher Straße 155a, 90491 Nürnberg
Tel.: 0911 4775 213 0
Fax: 0911 4775 213 39
E-Mail: info@lintner-rechtsanwaelte.de
Datenschutzerklärung
1 Einleitung
Mit diesen Hinweisen informieren wir Besucher und Nutzer der Internetseite über Art, Umfang
und Zweck der Verarbeitung personenbezogener Daten beim Besuch der Internetseite oder
der Nutzung der darauf bereitgestellten Dienste. Wir informieren ferner über die Rechte, die
Betroffenen aufgrund der Datenverarbeitung zustehen.
Der Besuch der Internetseiten ist möglich, ohne dass personenbezogene Daten erhoben
werden. Für die Nutzung einiger Dienste, die auf der Internetseite angeboten werden, kann es
aber erforderlich sein, personenbezogene Daten zu verarbeiten. Die Verarbeitung erfolgt dabei
entweder auf Grundlage einer gesetzlichen Erlaubnisnorm, oder, für den Fall, dass eine
gesetzliche Erlaubnisnorm nicht existiert, auf Grundlage einer Einwilligung, die vom
Betroffenen zuvor eingeholt worden ist.
2 Begriffsbestimmungen
Die vorliegenden Hinweise und Erklärungen basieren auf den Begrifflichkeiten der
Datenschutz-Grundverordnung (DS-GVO):
2.1 Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere
mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert
werden kann.
2.2 Verarbeitung
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder
jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das
Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch
Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die
Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
2.3 Einschränkung der Verarbeitung
Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten
mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
2.4 Profiling
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte
bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben,
Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen
Person zu analysieren oder vorherzusagen.
2.5 Pseudonymisierung
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche
die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen
Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
2.6 Verantwortlicher oder für die Verarbeitung Verantwortlicher
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische
Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über
die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die
Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der
Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die
bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten vorgesehen werden.
2.7 Auftragsverarbeiter
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
2.8 Empfänger
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um
einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten
möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
2.9 Dritter
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle
außer des Besuchers der Internetseite, dem Verantwortlichen, dem Auftragsverarbeiter und
den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des
Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
2.10 Einwilligung
Einwilligung ist jede freiwillig für den bestimmten Fall in informierter Weise und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der die betreffende Person zu verstehen
gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.
3 Für den Datenschutz Verantwortlicher
Für den Datenschutz verantwortlich ist die nachfolgende Stelle:
LACON GmbH, Moltkestraße 4, 77654 Offenburg, lacon@lacon-institut.org
Datenschutzbeauftragter:
Markus Lintner, Lintner Rechtsanwälte, Äußere-Sulzbacher Straße 155a, 90491 Nürnberg,
info@lintner-rechtsanwaelte.de
4 Cookies
Auf der Internetseite kommen sog. Cookies zum Einsatz. Cookies sind Textdateien, die auf
dem Computersystem gespeichert werden,
Viele Cookies enthalten eine eindeutige Kennung, die aus einer Zeichenfolge besteht, anhand
derer Nutzer vom System wiedererkannt werden können. Dies dient dazu, um das
Internetangebot individuell und benutzerfreundlich auf den jeweiligen Besucher anzupassen.
Es gibt dabei unterschiedliche Arten von Cookies. Die meisten Cookies werden nach Ende der
Browser-Sitzung wieder von der Festplatte gelöscht (sog. Sitzungs-Cookies). Andere Cookies
verbleiben auf dem Rechner und ermöglichen es, den Rechner beim nächsten Besuch wieder
zu erkennen (sog. dauerhafte Cookies). Diese Cookies dienen zum Beispiel der Begrüßung
mit dem individuellen Benutzernamen und erübrigen zum Beispiel die erneute Eingabe von
Benutzernamen und Passwörtern oder das Ausfüllen von Formularen
Ist der Einsatz von Cookies nicht gewünscht, kann der Besucher den Einsatz von Cookies
dadurch verhindern, dass er in den Einstellungen seines Browsers die Setzung und
Speicherung von Cookies unterbindet. In den Einstellungen können auch bereits vorhandene
Cookies jederzeit gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich.
Für den Fall, dass der Besucher der Internetseite in den Einstellungen die Setzung von Cookies
unterbunden hat, sind unter Umständen nicht alle Funktionen der Internetseite vollumfänglich
nutzbar.
Cookies von Drittanbietern kommen grundsätzlich nicht zum Einsatz.
5 Erfassung von Daten und Informationen
Beim Aufruf der Internetseite werden allgemeine Daten und Informationen erhoben, die in
Logfiles auf dem Server abgelegt werden.
Dabei werden Daten zum verwendeten Browsertyp und der Version des Browsers, zum
Betriebssystem, mit dem auf die Internetseite zugegriffen wird, zur Internetseite, von der der
Besucher auf die Internetseite gelangt, zu den Unterseiten, die der Besucher aufruft, zum
Datum und die Uhrzeit des Zugriffs, zur IP-Adresse, zum Internet-Service-Provider und
sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf
das IT-System dienen, erhoben.
In keinem Fall werden Rückschlüsse auf die Person des Besuchers gezogen. Die
Informationen werden vielmehr benötigt, damit die Inhalte der Internetseite korrekt angezeigt
werden können. Die Erhebung der Daten erfolgt auch dazu, um im Falle eines Cyberangriffes
diejenigen Informationen verfügbar zu haben, die zur Strafverfolgung durch die zuständigen
Strafverfolgungsbehörden benötigt werden.
In jedem Falle werden die Daten anonym erhobenen und getrennt von anderen
personenbezogenen Daten gespeichert, die womöglich an anderer Stelle unter Beachtung der
gesetzlichen Datenschutzvorgaben erhoben werden.
6 Kontakt über die Internetseite
Die Internetseite enthält aufgrund von gesetzlichen Vorschriften Informationen, die eine
schnelle elektronische Kontaktaufnahme oder die unmittelbare Kommunikation mit dem
Betreiber der Internetseite ermöglichen.
Im Falle einer Kontaktaufnahme z. B. mittels E-Mail oder über ein Kontaktformular, werden die
übermittelten personenbezogenen Daten automatisch gespeichert.
In jedem Fall werden die Daten nur für den sich aus der Kontaktaufnahme ergebenden Zweck
verarbeitet und grundsätzlich nicht an Dritte weitergegen, es sei denn, dass die Weitergabe für
die Bearbeitung der Kontaktaufnahme erforderlich ist.
7 Routinemäßige Löschung und Sperrung von personenbezogenen Daten
Personenbezogene Daten werden nur für den Zeitraum gespeichert, solange dies für den
jeweiligen Zweck der Verarbeitung oder aufgrund von gesetzlichen Vorgaben erforderlich ist.
Nach Zweckerreichung oder Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfrist
werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen
Vorschriften gelöscht. Soweit der jeweils vorgesehene Zweck der Verarbeitung erreicht ist, die
Daten aufgrund von gesetzlichen Vorgaben aber noch nicht gelöscht werden dürfen, werden
die Daten gesperrt.
8 Rechtsgrundlage der Verarbeitung
8.1 Die Datenverarbeitung basiert auf Art. 6 Abs. 1 DS-GVO. Danach ist die
Datenverarbeitung zulässig, wenn diese:
mit Einwilligung des Betroffenen erfolgt;
für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist;
zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;
erforderlich ist, um lebenswichtige Interessen des Besuchers der Internetseite oder
einer anderen natürlichen Person zu schützen;
zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten
des Besuchers der Internetseite, die den Schutz personenbezogener Daten
erfordern, überwiegen, insbesondere dann, wenn es sich um ein Kind handelt.
8.2 Soweit die Datenverarbeitung danach nicht auf eine sonstige Rechtsgrundlage gestützt
werden kann, erfolgt die Datenverarbeitung grundsätzlich nur mit Einwilligung des
Betroffenen, die von diesem vor dem Beginn der Verarbeitung eingeholt und
dokumentiert wird.
8.3 Soweit die Datenverarbeitung auf ein berechtigtes Interesse gestützt wird, bedarf es vor
Beginn der Verarbeitung zusätzlich einer Abwägung mit den Interessen des
Betroffenen, die eine Datenverarbeitung trotzdem ausschließen können, auch wenn die
Datenverarbeitung für unternehmerische Zwecke zweckmäßig erscheint.
Zweckmäßigkeit reicht in diesem Fall regelmäßig noch nicht aus. Erforderlich ist
vielmehr, dass erhebliche Interessen des Unternehmens, seiner Mitarbeiter oder
Anteilseigner bzw. Inhaber von der Datenverarbeitung unmittelbar betroffen sind.
9 Recht auf Auskunft und Berichtigung
Personen, deren Daten verarbeitet werden, haben einen gesetzlichen Anspruch auf Auskunft,
Berichtigung und Löschung ihrer Daten. Die Rechte können jederzeit in Anspruch genommen
werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den
Datenschutz oder die Geschäftsleitung richtet.
Im Falle des Auskunftsverlangens ist über folgende Inhalte Auskunft zu erteilen:
Verarbeitungszwecke;
Kategorien personenbezogener Daten, die verarbeitet werden;
Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen
Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei
Empfängern in Drittländern oder bei internationalen Organisationen;
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert
werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
wenn die personenbezogenen Daten nicht beim Betroffenen erhoben werden: Alle
verfügbaren Informationen über die Herkunft der Daten;
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß
Artikel 22 Abs.1 und 4 DS-GVO und — zumindest in diesen Fällen — aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person; Übermittlung von
Daten in ein Drittland oder an eine internationale Organisation sowie über die geeigneten
Garantien im Zusammenhang mit der Übermittlung.
Im Falle des Berichtigungsverlangens sind unrichtige Daten zu berichtigen oder zu
vervollständigen.
10 Recht auf Löschung
Im Falle des Löschungsverlangens sind die betreffenden personenbezogenen Daten
unverzüglich zu löschen,
wenn die personenbezogenen Daten für Zwecke erhoben oder auf sonstige Weise
verarbeitet wurden, für die sie nicht mehr benötigt werden;
die Daten ausschließlich aufgrund einer Einwilligung des Betroffenen erhoben wurden, die
der Betroffene widerrufen hat;
der Betroffene gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung einlegt und
im Falle des Widerrufs nach Art. 21 Abs. 1 DS-GVO keine vorrangigen berechtigten
Gründe für die Verarbeitung existieren;
die personenbezogenen Daten unrechtmäßig verarbeitet wurden;
die Löschung gesetzlich vorgeschrieben ist.
Für den Fall, dass die zu löschenden Daten öffentlich gemacht wurden, werden gemäß Art. 17
Abs. 1 DS-GVO unter Berücksichtigung der verfügbaren Technologie und der
Implementierungskosten angemessene Maßnahmen ergriffen, um Dritte, welche die
veröffentlichten personenbezogenen Daten verarbeiten, über das Löschungsverlangen in
Kenntnis zu setzen.
11 Recht auf Einschränkung der Verarbeitung
Der Betroffene hat einen gesetzlichen Anspruch, die Einschränkung der Verarbeitung seiner
Daten zu verlangen, wenn er die Richtigkeit der personenbezogenen Daten bestreitet oder
nach Art. 21 Abs. 1 DS-GVO Widerspruch eingelegt hat. Die Verarbeitung ist für diesen Fall für
eine Dauer einzuschränken, die erforderlich ist, um die Richtigkeit der personenbezogenen
Daten zu überprüfen oder festzustellen, ob Gründe für die Datenverarbeitung existieren, die
das Interesse des Betroffenen überwiegen. Ist die Verarbeitung danach unrechtmäßig und
lehnt der Betroffene die Löschung seiner Daten aber ab, kann er stattdessen auch die
Einschränkung der Verarbeitung seiner Daten verlangen.
Die Verarbeitung der Daten ist auch dann einzuschränken, wenn diese für den Zweck, für den
die Daten erhoben wurden, nicht mehr benötigt werden, die Daten aber zur Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen noch vorgehalten werden müssen.
Die vorstehenden Rechte können jederzeit in Anspruch genommen werden, indem der
Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder
die Geschäftsleitung richtet.
12 Recht auf Datenübertragbarkeit
Personen, deren Daten verarbeitet werden, haben einen gesetzlichen Anspruch darauf, dass
die Daten in einem strukturierten, gängigen und maschinenlesbaren Format übergeben werden
oder einem Dritten ohne Behinderung übermittelt werden, wenn die Verarbeitung auf der
Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die
Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein
entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die
Geschäftsleitung richtet.
13 Recht auf Widerspruch
Betroffene haben einen gesetzlichen Anspruch, der Datenverarbeitung jederzeit zu
widersprechen.
Im Falle des Widerspruchs findet eine Verarbeitung der Daten nicht mehr statt, es sei denn,
dass nachweislich zwingende schutzwürdige Gründe für die Fortsetzung der
Datenverarbeitung bestehen, die den Interessen, Rechten und Freiheiten des Besuchers der
Internetseite überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen dient.
Im Falle des Widerspruchs gegen die Verarbeitung für Werbezwecke hat der Widerspruch
grundsätzlich Vorrang. Die Daten werden dann für Werbezwecke nicht mehr verwendet.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein
entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die
Geschäftsleitung richtet.
14 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Betroffene haben einen gesetzlichen Anspruch, dass eine sie betreffende Entscheidung, die
rechtliche Wirkung entfaltet, nicht ausschließlich auf einer automatisierten Verarbeitung
getroffen wird, oder in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht für
Entscheidungen, die für den Abschluss oder die Erfüllung eines Vertrags mit dem Betroffenen
erforderlich ist, oder dies aufgrund von Rechtsvorschriften zulässig ist und angemessene
Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen des
Besuchers der Internetseite enthalten sind oder dies mit ausdrücklicher Einwilligung des
Besuchers der Internetseite erfolgt.
Ist die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich oder
erfolgt die automatisierte Entscheidung mit ausdrücklicher Einwilligung des Betroffenen,
werden angemessene Maßnahmen ergriffen, um die Rechte und Freiheiten sowie die
berechtigten Interessen des Besuchers der Internetseite zu wahren, wie z. B. Maßnahmen,
nach denen der Betroffene auf das Verfahren einwirken und eingreifen und seinen Standpunkt
darlegen kann.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend
machen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder einen
anderen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein
entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die
Geschäftsleitung richtet. Eine automatisierte Entscheidung im Einzelfall und Profiling findet
vorliegend ungeachtet dessen nicht statt.
15 Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Betroffene können eine erteilte Einwilligung in die Datenverarbeitung jederzeit widerrufen.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein
entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die
Geschäftsleitung richtet.
16 Einsatz von Analyse-Tools und sonstigen Diensten
Auf der Internetseite können Komponenten unterschiedlicher Drittunternehmen zum Einsatz
kommen, mit denen Informationen zu den Besuchern der Internetseiten und deren SurfVerhalten zum Teil in Echtzeit erfasst und analysiert werden kann. Dabei werden Interaktionen
statistisch erfasst und aufbereitet, um einen Überblick über die Onlineaktivitäten der Besucher
und Nutzer der Internetseite zu erhalten.
Der Einsatz dieser Komponenten dient zum einen dem Zweck, das Marketing für das
Internetangebot auf die Besucher und Nutzer abzustimmen und damit die Werbewirksamkeit
der Internetseiten zu erhöhen. Zum anderen dient dies dazu, Fehler technischer oder anderer
Art festzustellen und beheben zu können.
Bei den Komponenten handelt es sich um Software-Komponenten von Drittunternehmen.
Soweit solche Komponenten zum Einsatz kommen, wird die Art, der Inhalt und Umfang sowie
der Zweck der Datenverarbeitung nachfolgend erläutert sowie darauf hingewiesen.
Die Komponenten setzten verschiedene Arten von Cookies ein. Diese werden nachfolgen
ebenfalls erläutert. Wie oben bereits unter Ziffer 4 dargestellt, kann in den Einstellungen im
Internetbrowser verhindert werden, dass Cookies gesetzt werden. Hierdurch wird verhindert,
dass durch die eingesetzten Komponenten personenbezogene Daten erhoben werden.
Zusätzlich stellen Anbieterunternehmen häuft eine Möglichkeit zur Verfügung, der Erhebung
von Daten durch deren Komponenten zentral zu widersprechen. Soweit hierzu die Möglichkeit
besteht, wird dies nachfolgend ebenfalls erläutert.
16.1 Datenschutzbestimmungen zu Einsatz und Verwendung von Google Analytics
(mit Anonymisierungsfunktion)
Betreibergesellschaft der Google-Analytics-Komponente ist die Google Inc., 1600
Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA. Weitere Informationen und die
geltenden Datenschutzbestimmungen von Google können unter
https://www.google.de/intl/de/policies/privacy/ und unter
http://www.google.com/analytics/terms/de.html abgerufen werden. Google Analytics wird unter
diesem Link https://www.google.com/intl/de_de/analytics/ genauer erläutert.
Google Analytics ist ein Web-Analyse-Dienst. Web-Analyse ist die Erhebung, Sammlung und
Auswertung von Daten über das Verhalten von Besuchern von Internetseiten. Ein WebAnalyse-Dienst erfasst unter anderem Daten darüber, von welcher Internetseite eine betroffene
Person auf eine Internetseite gekommen ist (sogenannte Referrer), auf welche Unterseiten der
Internetseite zugegriffen oder wie oft und für welche Verweildauer eine Unterseite betrachtet
wurde. Eine Web-Analyse wird überwiegend zur Optimierung einer Internetseite und zur
Kosten-Nutzen-Analyse von Internetwerbung eingesetzt.
Die IP-Adresse des Internetanschlusses des Besuchers der Internetseite wird von Google
gekürzt und anonymisiert, wenn der Zugriff auf die Internetseiten aus einem Mitgliedstaat der
Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum erfolgt.
Der Zweck der Google-Analytics-Komponente ist die Analyse der Besucherströme auf unserer
Internetseite. Google nutzt die gewonnenen Daten und Informationen unter anderem dazu, die
Nutzung unserer Internetseite auszuwerten, um für uns Online-Reports, welche die Aktivitäten
auf unseren Internetseiten aufzeigen, zusammenzustellen, und um weitere mit der Nutzung
unserer Internetseite in Verbindung stehende Dienstleistungen zu erbringen.
Google Analytics setzt ein Cookie auf dem System des Besuchers der Internetseite, um eine
Analyse der Benutzung der Internetseite zu ermöglichen. Beim Aufruf der Internetseite werden
Daten zum Zwecke der Online-Analyse an Google zu übermitteln. Im Rahmen dieses
technischen Verfahrens erhält Google Kenntnis über personenbezogene Daten, wie der IPAdresse des Besuchers der Internetseite, die Google unter anderem dazu dienen, die Herkunft
der Besucher und Klicks nachzuvollziehen und in der Folge Provisionsabrechnungen zu
ermöglichen.
Mittels des Cookies werden personenbezogene Informationen, beispielsweise die Zugriffszeit,
der Ort, von welchem ein Zugriff ausging und die Häufigkeit der Besuche unserer Internetseite
durch die betroffene Person, gespeichert. Bei jedem Besuch der Internetseiten werden diese
personenbezogenen Daten, einschließlich der IP-Adresse des von des Besuchers der
Internetseite genutzten Internetanschlusses, an Google in den Vereinigten Staaten von
Amerika übertragen. Diese personenbezogenen Daten werden durch Google in den
Vereinigten Staaten von Amerika gespeichert. Google gibt diese über das technische
Verfahren erhobenen personenbezogenen Daten unter Umständen an Dritte weiter.
Neben den bereits beschriebenen Möglichkeiten, die Setzung von Cookies zu verhindern, hat
der Besucher der Internetseite auch die Möglichkeit, einer Erfassung der durch Google
Analytics erzeugten, auf eine Nutzung dieser Internetseite bezogenen Daten sowie der
Verarbeitung dieser Daten durch Google zu widersprechen und eine solche zu verhindern.
Hierzu muss die betroffene Person ein Browser-Add-On unter dem Link
https://tools.google.com/dlpage/gaoptout herunterladen und installieren. Dieses Browser-AddOn teilt Google Analytics über JavaScript mit, dass keine Daten und Informationen zu den
Besuchen von Internetseiten an Google Analytics übermittelt werden dürfen. Die Installation
des Browser-Add-Ons wird von Google als Widerspruch gewertet.
16.2 Datenschutzbestimmungen zu Einsatz und Verwendung von YouTube
Betreibergesellschaft von YouTube ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA
94066, USA. Die YouTube, LLC ist einer Tochtergesellschaft der Google Inc., 1600
Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA. Die von YouTube veröffentlichten
Datenschutzbestimmungen, die unter https://www.google.de/intl/de/policies/privacy/ abrufbar
sind, geben Aufschluss über die Erhebung, Verarbeitung und Nutzung personenbezogener
Daten durch YouTube und Google.
YouTube ist ein Internet-Videoportal, über das registrierte Nutzer Videoclips veröffentlichen
können.
Bei Besuch der Internetseite, auf der das YouTube-Plug-In enthalten ist, lädt der Browser eine
Darstellung der Twitter-Komponente herunter. YouTube erhält auf diese Weise Kenntnis
darüber, welche Seiten besucht werden.
Betätigt der Nutzer einen der integrierten Buttons, werden die übertragenen Daten und
Informationen dem persönlichen YouTube-Benutzerkonto des Besuchers der Internetseite
zugeordnet und von YouTube gespeichert und verarbeitet.
LinkedIn erhält darüber hinaus auch immer dann die Information über den Besuch der
Internetseite, wenn der Besucher der Internetseite gleichzeitig bei LinkedIn eingeloggt ist. Dies
gilt unabhängig davon, ob der Button anklickt wird. Um dies zu verhindern, muss sich der
Nutzer in dieser Zeit aus dem Account ausloggen.
16.3 Nutzung von Google Web Fonts
Betreibergesellschaft der Dienste von Google Web Fonts ist die Google Inc., 1600
Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA. Weitere Informationen und die
geltenden Datenschutzbestimmungen von Google können unter
https://www.google.de/intl/de/policies/privacy/ abgerufen werden.
Google Web Fonts ist ein Dienst, über den Schriftarten auf einer Internetseite eingebunden
werden. Bei Besuch der Internetseite, auf der Google Web Fonts eingebunden ist, lädt der
Browser die Schriftart herunter. Google Web Fonts erhält auf diese Weise Kenntnis darüber,
welche Seiten besucht werden.
16.4 Nutzung von Google Maps
Betreibergesellschaft der Dienste von Google Maps ist die Google Inc., 1600 Amphitheatre
Pkwy, Mountain View, CA 94043-1351, USA. Weitere Informationen und die geltenden
Datenschutzbestimmungen von Google können unter
https://www.google.de/intl/de/policies/privacy/ abgerufen werden.
Google Maps ist ein Kartendienst, über den interaktive geografische Karten auf einer
Internetseite eingebunden werden und verschiedene Funktionen, wie z. B. die
Standortbestimmung, Anfahrtsbeschreibung etc. zur Verfügung gestellt werden. Bei Besuch
der Internetseite, auf der Google Maps eingebunden ist, lädt der Browser das Kartenmaterial
von einer externen Quelle herunter. Google Maps erhält auf diese Weise Kenntnis darüber,
welche Seiten besucht werden.
Datenschutzinformation für Bewerber
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir verarbeiten Ihre personenbezogenen Daten
ausschließlich im Rahmen der geltenden Datenschutzbestimmungen, insbesondere der
Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes
2017 (BDSG (neu)).
Nachfolgend teilen wir Ihnen die nach Art. 13 und 14 DSGVO vorgeschriebenen Informationen
bei der Erhebung von personenbezogenen Daten mit:
1. Verantwortliche Stelle
LACON GmbH, Moltkestraße 4, 77654 Offenburg
Datenschutzbeauftragter:
Markus Lintner, Lintner Rechtsanwälte
Äußere-Sulzbacher Straße 155a
90491 Nürnberg
2. Zweck, Herkunft und Umfang der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten erfolgt zum Zwecke der Durchführung des
Bewerbungsverfahrens und nur, soweit dies erforderlich ist.
Rechtsgrundlage für die Datenverarbeitung ist Art. 88 DSGVO in Verbindung mit § 26 BDSG.
Die Verarbeitung besonderer Kategorien von personenbezogenen Daten (z.B.
Gesundheitsdaten) erfolgt auf Grundlage von Art. 9 DSGVO ausschließlich, wenn sie für einen
oder mehrere festgelegte Zwecke ausdrücklich eingewilligt haben oder sofern dies für die
Ausübung von Rechten oder die Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der
sozialen Sicherheit und des Sozialschutzes erforderlich ist.
Im Rahmen der Bewerbungsverfahren werden folgende Datenkategorien verarbeitet: Name,
Anschrift, Kontaktdaten, Geburtsdatum, Ausbildung, berufliche Erfahrung, Ergebnisse des
Personalauswahlverfahrens und vergleichbare Daten.
Die personenbezogenen Daten, die im Rahmen des Bewerbungsverfahrens verarbeitet
werden, werden grundsätzlich nur bei Ihnen selbst erhoben.
Die personenbezogenen Daten werden grundsätzlich nur für die Dauer des
Bewerbungsverfahrens sowie für weitere sechs Monate gespeichert.
Für den Fall, dass aufgrund der Bewerbung ein Beschäftigungsverhältnis zustande kommt,
werden die Bewerbungsdaten anschließend zum Zwecke der Begründung, Durchführung und
Beendigung des Beschäftigungsverhältnisses gespeichert und verarbeitet. Über diese
Zweckänderung werden Sie in diesem Falle gesondert informiert.
Im Rahmen des Bewerbungsverfahrens werden die Daten ausschließlich intern an die
zuständigen Stellen weitergegeben. Dies sind die Personalabteilung und die Geschäftsleitung.
Eine Übermittlung der Daten an Stellen außerhalb der Europäischen Union findet nicht statt.
3. Rechte der betroffenen Person
a) Recht auf Bestätigung
Jede betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine
Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet
werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann
sie sich hierzu jederzeit an uns wenden.
b) Recht auf Auskunft
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht,
jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu
seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu
erhalten, insbesondere in Bezug auf folgende Informationen:
die Verarbeitungszwecke
die Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern, gegenüber denen die
personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert
werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle
verfügbaren Informationen über die Herkunft der Daten
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß
Artikel 22 Abs.1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene
Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies
der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die
geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich
hierzu jederzeit an uns wenden.
c) Recht auf Berichtigung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die
unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu
verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der
Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten —
auch mittels einer ergänzenden Erklärung — zu verlangen.
Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich
hierzu jederzeit an uns wenden.
d) Recht auf Löschung (Recht auf Vergessen werden)
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von
dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten
unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die
Verarbeitung nicht erforderlich ist:
Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise
verarbeitet, für welche sie nicht mehr notwendig sind.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art.
6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO stützte, und es fehlt
an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die
Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung
vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die
Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen
Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem
der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der
Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von
personenbezogenen Daten, die bei uns gespeichert sind, veranlassen möchte, kann sie sich
hierzu jederzeit an uns wenden. Wir werden dem Löschverlangen dann unverzüglich
nachgekommen.
Wurden die personenbezogenen Daten von uns öffentlich gemacht und ist unser Unternehmen
als Verantwortlicher gemäß Art. 17 Abs. 1 DSGVO zur Löschung der personenbezogenen
Daten verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der
Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die
Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten
verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen
für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen
Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Wir werden das Notwendige
veranlassen.
e) Recht auf Einschränkung der Verarbeitung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von
dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der
folgenden Voraussetzungen gegeben ist:
Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und
zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der
personenbezogenen Daten zu überprüfen.
Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der
personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der
personenbezogenen Daten.
Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung
nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen. Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DSGVO
eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen
gegenüber denen der betroffenen Person überwiegen.
Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person
die Einschränkung von personenbezogenen Daten, die bei uns gespeichert sind, verlangen
möchte, kann sie sich hierzu jederzeit an uns wenden.
f) Recht auf Datenübertragbarkeit
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die
sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem
Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem
anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die
personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf
der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a
DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DSGVO beruht und die
Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit
gemäß Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten
direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden,
soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer
Personen beeinträchtigt werden.
Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person
jederzeit an uns wenden.
g) Recht auf Widerspruch
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus
Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung
sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder
f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen
gestütztes Profiling.
Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei
denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den
Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung
dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt an uns
wenden.
h) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, nicht
einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling —
beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung
entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht
für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem
Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der
Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie
der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher
Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der
betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit
ausdrücklicher Einwilligung der betroffenen Person, treffen wir angemessene Maßnahmen,
um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu
wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des
Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der
Entscheidung gehört.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend
machen, kann sie sich hierzu jederzeit an uns wenden.
i) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, eine
Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann
sie sich hierzu jederzeit an uns wenden.