Externe Datenschutz-Beauftragte

Datenschutz | Compliance | Meldestelle für Whistleblower

 

Datenschutz-Hinweise

Ihre personenbezogenen Daten verarbeiten wir ausschließlich im Rahmen der gesetzlichen Bestimmungen und unserer Tätigkeit als Berater oder Beauftragte für Datenschutz, Compliance, Meldestellen nach Hinweisgeberschutzgesetz und KI.

Folgende Kategorien personenbezogener Daten sind umfasst: Stammdaten (z.B. Firma; Behörde; Anschrift; Geschäftsführer, Vorstand, Behördenleiter; Ansprechpartner: Vorname, Name; Kommunikationsdaten), Vertragsdaten (z.B. Kundennummer), Daten laufender Beratungen und Auditierungen, Bankdaten, Steuerdaten (USt.-ID, Steuernummer, Finanzamt). 

Soweit wir als Berater und Datenschutzbeauftragte tätig sind, sind folgende Kategorien personenbezogener Daten umfasst: Stammdaten (z.B. Firma, Anschrift, Geschäftsführer, Vorstand, Ansprechpartner: Vorname, Name, Kommunikationsdaten), Vertragsdaten (z.B. Kundennummer) und Schriftverkehr (vgl. Art. 13 und Art. 14 DSGVO). Die Daten werden uns von Ihnen und/oder von unseren Auftraggebern im Rahmen der Tätigkeit als externe Datenschutzbeauftragte zur Verfügung gestellt.

Soweit wir im Bereich Meldestellebeauftragte tätig sind, sind folgende Kategorien personenbezogener Daten umfasst: Daten zu möglicherweise Beschuldigten, Zeugen oder direkt bzw. indirekt beteiligten/anwesenden Dritten, Personen, die die Ermittlung durchführen sowie fallbezogen deren Kommunikationsdaten; Daten zum Vorfall, Schriftverkehr, Untersuchungen, Gesprächsprotokolle, Interviewprotokolle, Gutachten.

Soweit wir im Bereich Compliance und KI tätig sind, sind folgende Kategorien personenbezogener Daten umfasst: Stammdaten (z.B. Firma; Behörde; Anschrift; Geschäftsführer, Vorstand, Behördenleiter; Ansprechpartner: Vorname, Name; Kommunikationsdaten), Vertragsdaten (z.B. Kundennummer), Daten laufender Beratungen und Auditierungen, Bankdaten, Steuerdaten (USt.-ID, Steuernummer, Finanzamt), Compliance-Daten (KYC, Daten aus Mitarbeitendenbefragungen, Geldwäschegesetz, Lieferkettensorgfaltspflichtengesetz etc.), KI-Daten (Daten für maschinelles Lernen, Trainingsdaten und Datenlösungen).

 

A. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist

PRIVACY ONE GmbH

Lyoner Straße 15

60528 Frankfurt am Main

vertreten durch den Geschäftsführer Dipl.-Jur. Karsten Böhm.

In Datenschutz-Fragen zur Verarbeitung personenbezogener Daten bei der PRIVACY ONE GmbH erreichen Sie uns unter: info@privacy.one

 

B. Zweck und Rechtsgrundlagen der Verarbeitung personenbezogener Daten 

1. Datenverarbeitung zum Zweck der Vertragsanbahnung und -abwicklung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO)

Für die Vertragsanbahnung (auf Anfrage hin), Durchführung und Abwicklung Ihres Vertrages sowie zur beidseitigen Erfüllung von Verpflichtungen aus dem Vertrag ist die Verarbeitung von personenbezogenen Daten erforderlich. Die Erhebung der Daten erfolgt weiter, um Sie als unsere Kunden identifizieren zu können, um Sie angemessen beraten und Ihnen die bestmöglichen Dienstleistungen und Produkte anbieten zu können, zur Korrespondenz mit Ihnen und zur Rechnungsstellung. Weitere Informationen zur Vertragsbeziehung finden Sie in den jeweiligen Vertragsunterlagen.

Weiter erfolgt die Verarbeitung der Daten zu den Zwecken der Bearbeitung von Vorgängen im Rahmen der Benennung als externe Datenschutzbeauftragte (z.B. Bearbeitung von Betroffenenrechten und Datenschutzverletzungen), anderer Beauftragungen und der Vertragsabwicklung. Im Rahmen der Benennung als externe Datenschutzbeauftragte oder anderen Beauftragungen ist die Verarbeitung der Daten gemäß Art. 6 Abs. 1 S. 1 lit. b) DSGVO für die Erfüllung des Vertrages mit unseren Auftraggebern erforderlich. 

 

2. Datenverarbeitung aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO)

Soweit wir von Ihnen eine Einwilligung zur Verarbeitung von personenbezogenen Daten für Informationen über Produkte, Dienstleistungen sowie Zufriedenheitsumfragen per E-Mail eingeholt haben, ist die Verarbeitung dieser Daten rechtmäßig. Die Einwilligung ist freiwillig. Eine erteilte Einwilligung kann jederzeit Ihrerseits widerrufen werden. Der Widerruf der Einwilligung erfolgt für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

 

3. Datenverarbeitung aus berechtigtem Interesse (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)  

Ihre Daten verarbeiten wir in zulässiger Weise zur Wahrung unserer berechtigten Interessen.

Das umfasst auch die Nutzung Ihrer personenbezogenen Daten, um

·        Ihre allgemeinen Anfragen zu beantworten

·        Beilegung von Rechtsstreitigkeiten und Geltendmachung von rechtlichen Ansprüchen

·        Straftaten aufzuklären oder zu verhindern (z.B. Betrug)

·        Adressermittlungen durchzuführen (z.B. bei Umzügen)

·        Ihre Daten anonymisiert zu Analysezwecken zu verwenden

·        Meldungen an die Aufsichtsbehörde bei Verletzung datenschutzrechtlicher Vorschriften

·        Maßnahmen zur Verbesserung und Entwicklung unseres Service und unserer Produkte durchzuführen, um Ihnen eine kundenspezifische Ansprache mit maßgeschneiderten Angeboten und Produkten anbieten zu können

·        Ihnen Informationen über unsere Produkte und Dienstleistungen zukommen zu lassen. Wir verarbeiten Ihre Daten als Bestandskunde, um Ihnen Werbung über ähnliche Produkte oder Dienstleistungen, wie die von Ihnen bereits in Anspruch genommenen, per Post zukommen zu lassen.

·        Soweit Sie uns im Zusammenhang mit einem Produkt- bzw. Dienstleistungskauf bzw. zu Beginn einer bestehenden Kundenbeziehung (Bestandskunden) Ihre E-Mail-Adresse mitgeteilt haben, verwenden wir diese E-Mail-Adresse für E-Mail-Werbung für eigene ähnliche Produkte und Dienstleistungen (§ 7 Abs. 3 UWG, Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Wir verwenden die E-Mail-Adresse nur für Werbung, soweit Sie dieser Verwendung nicht widersprochen haben. Sie können der Verwendung auch später jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Die Erreichbarkeiten finden Sie im Impressum.

Sollten wir Ihre personenbezogenen Daten für einen zuvor nicht genannten Zweck verarbeiten wollen, werden wir Sie im Rahmen der gesetzlichen Bestimmungen vorher darüber informieren.

Soweit Unternehmen oder Kommunen/Gemeinden eine Meldestelle nach HinSchG betreiben, ohne dazu verpflichtet zu sein, stützt sich die Verarbeitung personenbezogener Daten auf deren berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

 

4. Datenverarbeitung aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 S. 1 lit. c) DSGVO)

Wir als Unternehmen unterliegen diversen gesetzlichen Verpflichtungen (z.B. Abgabenordnung, weitere Steuergesetze, Handelsgesetzbuch), die eine Verarbeitung Ihrer Daten zur Gesetzeserfüllung notwendig und erforderlich machen. Beispielsweise befolgen wir gesetzliche Aufbewahrungsfristen.

Darüber hinaus, soweit beauftragt, implementieren wir für unsere Kundenunternehmen, Kommunen und Gemeinden sowie Verbände eine Hinweisgeber-Meldestelle (Whistleblowing-Stelle) nach dem Hinweisgeberschutzgesetz (HinSchG). Es können Meldungen über relevante Compliance-Verstöße entweder per E-Mail oder über das Hinweisgeberportal abgegeben werden. Die Meldungen/Hinweise können anonym und personenbezogen abgegeben werden.

Die Verarbeitung personenbezogener Daten findet auf der Grundlage des Art. 6 Abs. 1 S. 1 lit. c) DSGVO in Verbindung mit den entsprechenden rechtlichen Verpflichtungen nach dem anwendbaren nationalen Recht unserer Auftraggeber statt. Es besteht eine gesetzliche Verpflichtung zur Einführung und dem Betreiben einer Meldestelle nach dem HinSchG.

 

C. Kategorien von Empfängern / Weitergabe personenbezogener Daten

Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen (siehe B. Zweck und Rechtsgrundlagen der Verarbeitung personenbezogener Daten).

Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister im Rahmen einer Auftragsverarbeitung (Art. 28 DSGVO) und Erfüllungsgehilfen. Dienstleister wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig im Hinblick auf die vorzuhaltenden technischen und organisatorischen Maßnahmen kontrolliert. Auftragsverarbeiter dürfen folglich Ihre personenbezogenen Daten nur in der Weise verarbeiten, wie wir sie explizit angewiesen haben. Technische und organisatorische Maßnahmen muss der Auftragsverarbeiter vorhalten, um Ihre Daten sicher zu verarbeiten. Soweit bei der Auslagerung der internen Meldestelle Teile der Tätigkeiten eine Auftragsverarbeitung darstellen, wird eine Auftragsverarbeitung vereinbart; soweit Teile der Tätigkeiten der Verarbeitung eine gemeinsame Verantwortlichkeit darstellen, ein Joint Controller Agreement vereinbart.

Personenbezogene Daten werden von uns an Dritte nur übermittelt, wenn dies für die vorgenannten Zwecke erforderlich ist oder Sie zuvor eingewilligt haben. Die weitergegebenen Daten dürfen von dem Dritten ausschließlich zu den genannten Zwecken verwendet werden. Empfänger personenbezogener Daten können z.B. sein: Newsletter-Service, Callcenter, Druckdienstleister, IT-Dienstleister, Steuerberater/ Wirtschaftsprüfer, Rechtsanwälte, Behörden, Gerichte.

Im Rahmen unserer Tätigkeit als externe Datenschutzbeauftragte und andere werden wir Ihre Daten an unseren Auftraggeber sowie ggf. an folgende Empfänger übermitteln: Datenschutz-Aufsichtsbehörden, Rechtsanwälte, Strafverfolgungsbehörden und Gerichte.

 

D. Übermittlung von personenbezogenen Daten in ein Drittland

Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumen (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in diesem Datenschutz-Hinweis oder der Beschreibung des Angebotes. Soweit wir personenbezogene Daten an Dritte oder an Auftragsverarbeiter vergeben, die nicht zum europäischen Wirtschaftsraum gehören, wird vorab sichergestellt, dass auf Seiten des Empfängers ein angemessenes Datenschutzniveau vorliegt. Hierzu werden EU-Standardvertragsklauseln der Europäischen Kommission vereinbart oder der Empfänger hat seinen Sitz in einem Land in dem aufgrund einer Angemessenheitsentscheidung der Kommission ein angemessenes Datenschutzniveau vorliegt (Art. 45 f. DSGVO).

Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für die Datenübermittlungen aus der EU an, unter dem sog. „EU-U.S. Data Privacy Framework“ (EU-U.S. DPF) zertifizierte, Datenempfänger in den USA erlassen. Nach der DSGVO ist er eine Garantie dafür, dass in diesen zertifizierten US-Unternehmen ein nach DSGVO-Standards angemessenes Datenschutzniveau besteht. Sofern eine Organisation, an die personenbezogene Daten übermittelt werden, unter dem EU-U.S. Data Privacy Framework zertifiziert ist, können personenbezogene Daten aus der EU an die USA wieder übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind.

Wir nutzen Produkte von Microsoft und weisen darauf hin, dass die Microsoft Corporation ("Microsoft") dem EU-U.S. Data Privacy Framework unterliegt. Microsoft hat sich gegenüber dem Handelsministerium der USA entsprechend zertifiziert. Microsoft hält die Grundsätze des EU-U.S. Data Privacy Framework in Bezug auf die Verarbeitung personenbezogener Daten ein.

Weitere Information für die Zertifizierung, ihre Frist und die Möglichkeiten eine Beschwerde zu erheben, finden Sie unter: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000KzNaAAK&status=Active

Weitere Informationen über den Datenschutz bei Microsoft, einschließlich zusätzlicher Informationen darüber, was, warum und wie Microsoft personenbezogene Daten verarbeitet, finden Sie unter dem unten stehenden Link: https://privacy.microsoft.com/de-de/data-privacy-notice .

 

E. Dauer der Speicherung bzw. Löschung personenbezogener Daten

Wir speichern Ihre personenbezogenen Daten für die o.g. Zwecke (vgl. Punkt B. Zweck und Rechtsgrundlagen der Verarbeitung personenbezogener Daten). Ihre Daten werden erstmals ab dem Zeitpunkt der Erhebung, soweit Sie oder ein Dritter uns diese mitteilen, verarbeitet. Wir löschen Ihre personenbezogenen Daten, wenn das Vertragsverhältnis mit Ihnen beendet ist, sämtliche gegenseitigen Ansprüche erfüllt sind und keine anderweitigen gesetzlichen Aufbewahrungspflichten oder gesetzlichen Rechtfertigungsgründe für die Speicherung bestehen. Datensätze mit personenbezogenen Daten werden teilweise zu unterschiedlichen Zwecken, wie oben benannt, gespeichert. Je nach Zweck können unterschiedliche Aufbewahrungsfristen gelten. Soweit ein Zweck wegfällt, dürfen die Daten hierfür nicht mehr verarbeitet werden. Soweit diese Daten für einen weiteren Zweck zur Verfügung stehen müssen, werden die Daten bezüglich des weggefallenen Zwecks nicht mehr genutzt und gesperrt. Sie stehen dann nur noch für den zulässigen Zweck zur Verfügung.

Personenbezogene Daten, die den Vorschriften des Handelsgesetzbuches (§ 257 HGB) unterliegen, wie Geschäftsbriefe, werden nach 6 Jahren vernichtet bzw. gelöscht.

Personenbezogene Daten, die den Vorschriften der Abgabenordnung (§ 147 AO) unterliegen, wie Abrechnungen und Buchhaltungsunterlagen, werden nach 10 Jahren vernichtet bzw. gelöscht.

 

F. Betroffenenrechte / Ihre Rechte

Bei Fragen oder Beschwerden zum Datenschutz können Sie sich an unser Unternehmen unter den o. g. Kontaktdaten wenden. Sofern die gesetzlichen Voraussetzungen vorliegen, habe Sie folgende Rechte:

·        gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;

·        gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu Verlangen gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;

·        gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;

·        gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen und

·        gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. Sie erreichen die für uns zuständige Aufsichtsbehörde unter:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Presse- und Öffentlichkeitsarbeit
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Telefon: 0611-1408 0
Telefax: 0611-1408 611

E-Mail: poststelle@datenschutz.hessen.de

 

Links zu den weiteren deutschen Aufsichtsbehörden finden Sie hier:

https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html        

 

Widerspruchsrecht

Sofern wir eine Verarbeitung von Daten zur Wahrung unserer berechtigten Interessen (siehe B.3. Datenverarbeitung aus berechtigtem Interesse) vornehmen, haben Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit das Recht, gegen diese Verarbeitung Widerspruch einzulegen. Das umfasst auch das Recht Widerspruch gegen die Verarbeitung zur Werbezwecken einzulegen.   

 

Widerrufsrecht bei einer Einwilligung

Eine erteilte Einwilligung kann jederzeit widerrufen werden (siehe B 2. Datenverarbeitung aufgrund Ihrer Einwilligung), Art. 7 Abs. 3 DSGVO. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.

Nutzen Sie bitten für Ihren Widerspruch die oben unter Punkt A. angegebenen Kontaktdaten.

  

G. Bereitstellung personenbezogener Daten

Sie müssen im Rahmen unserer Geschäftsbeziehung diejenigen personenbezogenen Daten (siehe Kategorien personenbezogene Daten) bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung und der Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten kann ein Vertrag nicht abgeschlossen werden.

 

H. Datenquellen

Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von unseren Kunden erhalten. Wir verarbeiten auch personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen, z.B. aus Handels- und Vereinsregistern, Schuldnerverzeichnissen, Grundbüchern, der Presse und dem Internet zulässigerweise gewinnen dürfen. Wir benutzen zudem personenbezogene Daten, die wir zulässigerweise von Dritten, z.B. Auskunfteien erhalten.

Daten im Rahmen aktueller Prüfungen von Betroffenenanfragen gegenüber unseren Auftraggebern, erhalten wir von unseren Auftraggebern.

 

I. Änderungsklausel

Unsere Datenverarbeitung unterliegt Änderungen, so dass wir unsere Datenschutz-Hinweise von Zeit zu Zeit anpassen werden.

 

Stand 2024-02