Informationen zur Datenverarbeitung

Informationen nach Artikel 13 und 14 DSGVO

Hier erfahren Sie, welche personenbezogenen Daten von Ihnen zu welchem Zweck von Dr. Nolte Datenschutz & QM verarbeitet werden. Die Information zur verantwortlichen Stelle finden Sie im Impressum.

1. Verarbeitungszwecke & Rechtsgrundlagen

Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

  • Beantwortung von Datenschutzanfragen, Beratung von Unternehmen zum Datenschutz, Begleitung von Unternehmen als externer Datenschutzbeauftragter
  • Vertragsdurchführung und Abrechnung, Kommunikation
  • Kontaktstelle zu den Aufsichtsbehörden
  • Beantwortung von Datenschutzanfragen von Betroffenen im Rahmen der Aufträge als externer Datenschutzbeauftragter
  • Herstellung von Kontakten auf Wunsch oder Anfrage in Netzwerkaktivitäten.

Je nach Einzelfall werden Ihre Dabei aufgrund folgender Rechtmäßigkeiten verarbeitet:

  • Art. 37 – 39 DSGVO, § 38 BDSG (DSB, Aufgaben des DSB)
  • Art. 6 Abs. 1 a – c DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtungen)
  • Art. 6 Abs. 1 f DSGVO (Website, Netzwerkaktivitäten, Marketingzwecke)

Außer durch persönlichen Kontakt erhalte ich Ihre Daten auch von anderen durch Empfehlung. Sollten Sie mit der Speicherung und Verarbeitung nicht einverstanden sein, ist eine (vertragliche) Zusammenarbeit leider nicht möglich.

1.1. Empfänger der Daten

Alle Leistungen werden von mir persönlich erbracht, eine Übermittlung personenbezogener Daten erfolgt im Rahmen rechtlicher Anforderungen (z.B. an die Aufsichtsbehörden oder das Finanzamt) oder durch Zusammenarbeit mit anderen Dienstleistern, auch im Rahmen von Empfehlungen oder Kontaktanfragen. Eine Übermittlung Ihrer Daten in Drittländer ist nicht geplant und wird auch nicht durchgeführt. Ich führe mir überlassene personenbezogene Daten auch nicht mit anderen Daten zusammen und führe keine automatisierten Bewertungen (Profiling) durch.

1.2. Speicherdauer bzw. Kriterien für die Festlegung dieser Dauer

Ich lösche personenbezogene Daten in der Regel dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können.

Beispielsweise speichere ich Ihre Daten für die Dauer der Geschäftsbeziehung und für längstens 4 Jahre nach Beendigung der Geschäftsbeziehung in Anlehnung an §195 BGB (Verjährung). Diese Speicherfrist beginnt mit jeder neuen vertraglichen Beziehung. Einzelne Daten können aus gesetzlichen, steuerlichen und handelsrechtlichen Gründen längeren Speicherpflichten unterliegen und dürfen erst nach Ablauf dieser gesetzlichen Pflichten gelöscht werden (z.B. Zahlungsdaten 10 Jahre).

2. Office 365 und Teams

Ich nutze Office 365 und Teams von Microsoft zur Durchführung von Büroarbeiten sowie zur Kommunikation und zur Online-Zusammenarbeit. Office 365 ist ein Service der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland. Bei der Nutzung von Office 365 werden verschiedene Datenarten und dabei auch personenbezogene Daten verarbeitet. Microsoft ist datenschutzrechtlich für mich ein Auftragsverarbeiter. Dafür habe ich einen Auftragsverarbeitungsvertrag mit Microsoft geschlossen. Ein entsprechender Auftragsverarbeitungsvertrag ist in den Online Service Terms (OST) enthalten.
https://www.microsoft.com/de-de/servicesagreement
https://www.microsoft.com/en-us/licensing/product-licensing/products

2.1. Kategorien der verarbeiteten Daten und Rechtsgrundlagen

Bei der Nutzung von Office 365 verarbeitet Microsoft eine Vielzahl von Daten:

  • Daten zur Funktionalität
  • Lizenzdaten
  • Diagnosedaten (Telemetrie)
  • technischer Support
  • kontinuierlichen Verbesserung
  • Verarbeitung für legitime Geschäftstätigkeiten von Microsoft

Welche Ihrer personenbezogenen Daten genau verarbeitet werden, hängt vom Einzelfall ab. Ich nutze die on-Premise-Installationen von Word, Excel und Powerpoint; Outlook und OneDrive nutze ich nicht. Ich lege auch keine Kontakte/User in Azure an. Dateien, in denen personenbezogene Daten betroffen sein können (z.B. mit Word erstellte Rechnungen), speichere ich auf meinem Rechner, die Autospeicherfunktion von Office 365 ist deaktiviert.

2.2. Microsoft Teams

Ihre personenbezogenen Daten sind auch dann betroffen, wenn wir gemeinsam Teams oder ZOOM (siehe unten) nutzen, um Präsentationen, Besprechungen, Gemeinsame Projektbearbeitung, Schulungen und Seminare durchzuführen. Meistens nutzen wir zur Kommunikation Ihre eigenen Instanzen. Wenn eine Einladung zur Online-Zusammenarbeit von meiner Seite ausgeht, lade ich Sie als Gast ein. Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

  • Aktivitätsdaten
  • Benutzerdaten (Benutzername, ggfs. Kontaktdaten, ggfs. Profilbild)
  • Tele-, und Videodaten
  • Meeting Daten (Thema, Teilnehmer IP-Adressen, Geräte-/Hardware-Informationen)
  • Nutzerdaten (Dateien zur gemeinsamen Bearbeitung, Chatdaten)
  • In der Projektzusammenarbeit können Office-Dateien in Teams abgelegt werden, um gemeinsam darauf zugreifen zu können. Hier können personenbezogene Daten von Ihnen enthalten sein.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 (1) b DSGVO, wenn die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 (1) f DSGVO. Unser gemeinsames berechtigtes Interesse besteht an der effektiven Durchführung von Online-Meetings.

Meinerseits erfolgt in der Regel keine Aufzeichnung von Audio- oder Videoinhalten. Wenn, dann nur mit Ihrem Einverständnis. Ich weise Sie darauf im Vorfeld explizit hin. Die Rechtsgrundlage füe eine Aufzeichnung wäre Ihre Einwilligung nach Art. 6 (1) a DSGVO.

2.3. Empfänger von Daten

Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fällen lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist

2.4. Datenübermittlungen in Drittländer

Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt im Allgemeinen nicht, da Microsoft den Speicherort auf Rechenzentren in der Europäischen Union beschränkt hat. Ausgenommen hiervon sind jedoch Telemetrie- oder Diagnosedaten, die Supporthotline und mögliche weitere Daten, die Microsoft außerhalb der EU verarbeitet.

Weiterhin kann auf Grund rechtlicher Verpflichtungen eine Weitergabe oder Offenlegung personenbezogener Daten an Dritte (insbesondere Behörden), auch in Drittländer (USA) mit einem abweichenden Datenschutzniveau erfolgen.

Zur Erreichung des erforderlichen sicheren Datenschutzniveaus wurde, neben internen organisatorischen Maßnahmen, mit Microsoft die sogenannten Standardvertragsklauseln (SCC) abgeschlossen, welche Bestandteil des Data Protection Addendum (DPA) als Anhang der oben genannten OST sind.

2.5. Verschlüsselung

Daten werden von Microsoft bei der Übertragung und im Ruhezustand verschlüsselt. Dies umfasst Nachrichten, Dateien (Video, Audio etc.), Besprechungen und andere Inhalte. Teams verwendet darüber hinaus TLS und MTLS zum Verschlüsseln von Chatnachrichten.

2.6. Speicherdauer bzw. Kriterien für die Festlegung dieser Dauer

Falls ein Benutzer (oder ein Administrator im Namen des Benutzers) die Daten löscht, sorgt Microsoft dafür, dass alle Kopien der persönlichen Daten innerhalb von 60 Tagen gelöscht werden.

Wird ein Microsoft-Dienst gekündigt, werden die entsprechenden persönlichen Daten zwischen 60 und 180 Tagen nach Einstellung des Dienstes gelöscht. Vorher sollten die aufbewahrungsrelevanten Daten heruntergeladen werden. Ich lösche personenbezogene Daten in der Regel dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Weitere Informationen zur Verarbeitung von personenbezogenen Daten in Microsoft Teams finden Sie oben oder hier: https://docs.microsoft.com/de-de/microsoftteams/teams-privacy.

3. Nutzung von ZOOM

Ab und zu nutze ich das Online-Konferenz-Tool „ZOOM“, um, Besprechungen, Schulungen oder Seminare durchzuführen. Anbieter ist ZOOM Video Communications, 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113. Zoom ist datenschutzrechtlich für mich ein Auftragsverarbeiter, ein Auftragsverarbeitungsvertrag liegt vor. Weitere Informationen zur Datenverarbeitung bei ZOOM finden Sie hier: https://zoom.us/docs/de-de/privacy-and-legal.html und hier https://zoom.us/de-de/gdpr

3.1. Kategorien der verarbeiteten Daten und Rechtsgrundlagen

Bei der Nutzung von ZOOM werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Daten Sie vor bzw. bei der Teilnahme an einer Online-Konferenz machen. Um an einem ZOOM-Meeting teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen bzw. Alias machen. In Ausnahmefällen kann mit Ihrem Einverständnis eine Aufzeichnung stattfinden; ich weise Sie darauf jeweils im Vorfeld hin.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

  • Angaben zum Benutzer: Vorname, Nachname, oder Alias
  • Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
  • Text-, Audio- und Videodaten: Sie haben die Möglichkeit, bei ZOOM die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Daher werden die von Ihnen gemachten Texteingaben verarbeitet, um diese anzuzeigen und zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die ZOOM-App abschalten bzw. stummstellen.
  • Aufzeichnungen: MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.

Die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „ZOOM-Meetings“ ist Art. 6 (1) b DSGVO, wenn die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 (1) f DSGVO. Unser gemeinsames berechtigtes Interesse besteht an der effektiven Durchführung von „Online-Meetings“. Als weitere Rechtsgrundlage kann auch die Einwilligung gemäß Art. 6 (1) a DSGVO zum Tragen kommen.

Wenn „Online-Meetings“ aufgezeichnet werden sollen, werde ich Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der „ZOOM“-App angezeigt. Die Rechtsgrundlage dafür ist die Einwilligung gemäß Art. 6 (1) a DSGVO.

3.2. Empfänger von Daten

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

3.3. Datenverarbeitung außerhalb der Europäischen Union

„ZOOM“ ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Aktuell ist es noch nicht möglich, ZOOM so zu konfigurieren, dass alle Daten ausschließlich in Rechenzentren innerhalb der EU / des EWR verarbeitet werden. Die Meeting-Metadaten werden weiterhin in Rechenzentren in den USA verarbeitet. Die Übermittlung der Meeting-Metadaten in die USA erfolgt auf Grundlage der zwischen ZOOM und uns geschlossenen Standard-Vertragsklauseln (SCC) der EU-Kommission.

Nach den Angaben von ZOOM ist die Übermittlung der Daten notwendig, um die Auslastung der ZOOM-Server zu kontrollieren. Ohne diese Kontrolle kann der Service nicht zuverlässig zur Verfügung gestellt werden. In Europa konnte die dafür erforderliche Infrastruktur bisher nicht aufgebaut werden, was perspektivisch aber geplant ist. Wenn Sie die Übermittlung der Meeting-Metadaten einschränken möchten, empfehlen wir Ihnen, sich bei ZOOM-Meetings mit einem Pseudonym anzumelden, das keine Rückschlüsse auf Ihren Namen oder Ihre Person zulässt und über eine VPN-Verbindung teilzunehmen.

3.4. Löschen von Daten

Die oben angegebenen Daten werden so lange verarbeitet, wie es für die Durchführung der Online-Meetings und damit zusammenhängender Services erforderlich ist. Das gilt nicht, sofern abweichend davon ein längerer Speicher- oder Aufbewahrungszeitraum gesetzlich vorgeschrieben ist.

Wird ein Online-Meeting aufgezeichnet, erfahren Sie dies über eine Vorankündigung und über eine technische Signalisierung. Sie können Ihre Kamera und ihr Mikrofon selbstständig deaktivieren und das Meeting jederzeit verlassen. Mit der Aufzeichnung werden die Daten des Audio- und Videostreams sowie optional die Nachrichten in der Chat-, Fragen- oder Umfragefunktion gespeichert und bleiben über die Dauer des Meetings hinaus gespeichert. Die auf den Cloudserver des Anbieters von ZOOM gespeicherten Daten werden nach spätestens 30 Tagen automatisch gelöscht. Soweit Online-Meetings nicht aufgezeichnet werden, speichert der Anbieter die Meeting-Inhalte nach eigenen Angaben nach Abschluss des Meetings nicht.

Wenn Sie mit einem ZOOM-Account angemeldet sind, können Berichte über „Online-Meetings“ (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei ZOOM gespeichert werden.

4. Ihre Datenschutzrechte

Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Sperrung, Löschung oder auf Einschränkung der Verarbeitung Ihrer Daten. Sie können Ihr mir gegenüber gegebenes Einverständnis zur Verarbeitung Ihrer Daten jederzeit widerrufen. Sie können Ihre bei mir gespeicherten personenbezogenen Daten zur Datenübertragung in elektronischer Form erhalten, soweit sinnvoll. Bitte kontaktieren Sie mich entweder postalisch (Adresse siehe oben) per E-Mail: (geschützte Mailadresse, funktioniert aber).

5. Widerspruchsrecht gegen Direktwerbung

Sie haben das Recht, einer Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung ohne Angabe von Gründen zu widersprechen. Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (Art. 21 DSGVO).

6. Beschwerderecht

Bei Fragen zum Datenschutz oder für den Fall, dass Sie Grund zum Vorbringen einer Datenschutzbeschwerde sehen, können Sie sich jederzeit an mich über die eben genannten Kommunikationswege wenden. Zudem steht Ihnen die Aufsichtsbehörde des Bundeslandes Hamburg als Ansprechpartner zur Verfügung.

Der vollständige Text der DSGVO, des BDSG steht Ihnen auf der Homepage der Hamburger Aufsichtsbehörde unter www.datenschutz-hamburg.de zur Verfügung. Dort finden Sie u.a. auch die Kurzpapiere Nr. 10 (Informationspflichten zu  Dritt- und Direkterhebung), Nr. 11 (Recht auf Löschung) und Nr. 13 (Auftragsverarbeitung) der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK).