Wenn Sie unsere Webseite besuchen, uns einen Auftrag (ein Mandat) erteilen, an einem unserer Webinare oder Präsenz-Veranstaltungen teilnehmen usw., werden durch uns verschiedene personenbezogene Daten von Ihnen erhoben, verarbeitet und gespeichert, z.B. Ihre IP-Adresse, Ihr Name, Ihre E-Mail-Adresse u.a. Daher verpflichtet uns die EU-Datenschutz-Grundverordnung (nachfolgend nur noch „DSGVO“) zu entsprechenden Maßnahmen zum Schutz dieser Daten, aber auch zur Information über diese Datenverarbeitungsvorgänge. Diese Informationen möchten wir Ihnen im Folgenden geben.
Inhaltsverzeichnis (klicken zum Springen):
A. Kontaktdaten
B.1 Datenverarbeitung bei Besuch der Webseite
B.2 Datenverarbeitung bei Formularen, E-Mail, Fax und Telefon
B.3 Datenverarbeitung bei Videokonferenz, Onlinebesprechung und Inhouse-Schulung
B.4 Datenverarbeitung bei Veranstaltungen (z.B. IT-Recht-Frühstück & Webinaren)
B.5 Datenverarbeitung bei Newsletter-Empfang
B.6 Cookies
B.7 Verwendung des Analyse-Tools Matomo
B.8 Datenverarbeitung, wenn Sie uns beauftragen bzw. mandatieren (möchten)
B.9 Übermittlung von Daten in ein Drittland
C. Ihre Betroffenenrechte
A. Unsere Kontaktdaten
A.1 Name und Kontaktdaten des Verantwortlichen
Verantwortlich im Sinne des Datenschutzrechts sind:
Timo Schutt und Thomas Waetke (jeweils Kriegsstraße 37, 76133 Karlsruhe) in ihren Zusammenschlüssen als Firmen
- Schutt, Waetke Rechtsanwälte Timo Schutt & Thomas Waetke GbR,
- EVENTFAQ Thomas Waetke & Timo Schutt GbR, sowie
- MeinDatenschutzPartner Timo Schutt & Thomas Waetke GbR,
jeweils:
Kriegsstraße 37
76133 Karlsruhe
Telefon 0721 120500
Telefax 0721 120505
E-Mail info@schutt-waetke.de
Weitere Informationen können Sie dem Impressum unserer Website unter https://schutt-waetke.de/impressum entnehmen.
Die beiden verantwortlichen Personen haben eine Vereinbarung nach Art. 26 DSGVO geschlossen, in der sie im Wesentlichen vereinbart haben, dass sie die Datenverarbeitung vollumfänglich gesamthänderisch durchführen, sodass jeder Verantwortliche gleichermaßen für die Datenverarbeitung und die Ausübung der Betroffenenrechte verantwortlich ist und in Anspruch genommen werden kann.
A.2 Kontaktdaten des Datenschutzbeauftragten
Einen Datenschutzbeauftragten haben wir nicht benannt und sind hierzu auch nicht verpflichtet. Sie erreichen uns über die in Abschnitt A.1 genannten Kontaktdaten.
B. Details zur Verarbeitung
B.1 Datenverarbeitung bei Besuch der Webseite
Wir erheben und verwenden personenbezogene Daten der Nutzer im Rahmen der Nutzung unserer Website grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt in der Regel nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und/oder die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Der Hostprovider, der die Website auf seinem Sever hostet, ist die Firma Internetagentur Kreativdenker GmbH in Speyer. Mit dem Hostprovider haben wir einen Auftragsverarbeitungsvertrag geschlossen.
B.1.a Allgemeines: Wenn Sie unsere Webseite besuchen, auch ohne dass Sie Daten in ein Webformular eingeben, erheben wir aus technischen Gründen folgende Daten:
- Datum und Uhrzeit des Zugriffs,
- URL (Adresse) der verweisenden Website (Referrer),
- Webseiten, die von Ihnen über unsere Website aufgerufen werden,
- Ihre Bildschirmauflösung,
- abgerufene Datei(en) und Meldung über den Erfolg des Abrufs,
- Menge der gesendeten Daten,
- Ihren Internet-Service Provider,
- Ihren Browser, Browsertyp und Browserversion, Browser-Engine und Engine-Version,
- Ihr Betriebssystem, Betriebssystem-Version, Betriebssystem-Typ,
- Ihre anonymisierte IP-Adresse und den Internet-Service-Provider.
Diese Daten werden getrennt von anderen Daten verarbeitet. Eine Verarbeitung dieser Daten zusammen mit anderen personenbezogenen Daten von Ihnen findet nicht statt. Eine Zuordnung dieser Daten zu einer bestimmten Person ist uns nicht möglich.
B.1.b Zweck der Datenverarbeitung: Die vorübergehende Verarbeitung der Daten durch das System ist notwendig, um eine Auslieferung der Inhalte unserer Website an Ihren Rechner zu ermöglichen. Hierfür muss Ihre IP-Adresse für die Dauer der Sitzung gespeichert bleiben. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung unseres Angebots und der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.
B.1.c Rechtsgrundlage der Datenverarbeitung: Die vorübergehende Speicherung der Daten und den Logfiles erfolgt auf Basis der Rechtsgrundlage des Art. 6 Absatz 1 Buchstabe f DSGVO. Unser überwiegendes berechtigtes Interesse an dieser Datenverarbeitung liegt in den zuvor genannten Zwecken. Mit unserem Host-Provider haben wir einen Auftragsverarbeitungsvertrag nach Art. 28 Absatz 3 DSGVO geschlossen.
B.1.d Weitergabe der Daten: Unser Hostprovider und IT-Dienstleister ist die Fa. Internetagentur Kreativdenker GmbH; sie hat einen Admin-Zugang zu unserer Webseite als Auftragsverarbeiter. Mit ihr haben wir einen Auftragsverarbeitungsvertrag geschlossen. Die Daten, die wir bei Ihrem Besuch unserer Webseite erheben, werden im Rahmen einer Auftragsverarbeitung (siehe Art. 28 DSGVO) durch unseren Hostprovider erhoben und gespeichert. Ansonsten erfolgt keine Weitergabe dieser Daten. Eine Ausnahme besteht dann, wenn eine gesetzliche Verpflichtung zur Weitergabe besteht.
B.1.e Dauer der Speicherung: Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies dann der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens 7 Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall wird Ihre IP-Adressen aber gelöscht oder verfremdet, so dass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
B.1.f Widerspruchs- und Beseitigungsmöglichkeit: Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich für Sie hier keine Widerspruchsmöglichkeit. Sie können jedoch jederzeit die Nutzung unserer Website beenden und damit die weitere Verarbeitung der genannten Daten verhindern.
B.2 Datenverarbeitung bei Web-Formularen und Kommunikation per E-Mail, Fax und Telefon
B.2.a Allgemeines: Wenn Sie das Kontaktformular oder andere Formulare auf der Webseite ausfüllen, erheben wir die in der Eingabemaske abgefragten Daten. Bei allen Einsendungen müssen Sie uns die als Pflichtfelder erkennbaren Daten bereitstellen, da mit wir Ihnen ggf. antworten können, da wir keine nur einseitige Anschreiben erhalten wollen. Alternativ können Sie mit uns Kontakt über die bereitgestellte E-Mail-Adresse, Faxnummer oder Telefonnummer aufnehmen. In diesem Fall werden Ihre mit der E-Mail, Fax oder Telefon übermittelten personenbezogenen Daten gespeichert.
Bitte beachten Sie, dass wir in manchen Fällen unsere kostenlosen Leistungen (z.B. Abruf von kostenlosen Checklisten oder der kostenlose AGB-Check) mit einer Werbeeinwilligung verknüpfen. Mit der Inanspruchnahme dieser Leistungen erklären Sie dann gleichzeitig Ihre Einwilligung, dass Timo Schutt und Thomas Waetke (insbesondere mit den Firmen Schutt, Waetke Rechtsanwälte, EVENTFAQ, MeinDatenschutzPartner) Ihnen Werbung (Informationen über Veranstaltungen, Gesetzesänderungen, rechtlichen Anpassungsbedarf, Angebote, Informationen zu unseren Leistungen u.a.) zum IT-Recht, Eventrecht und Datenschutzrecht per E-Mail oder auf anderem elektronischen Weg übermitteln dürfen. Die Einwilligung können Sie jederzeit formlos widerrufen. Diesbezüglich gilt Abschnitt B.5 zum Newsletter-Versand entsprechend.
Neben einer Verarbeitung Ihrer Daten in den von uns zur Bearbeitung von Kontakten genutzten Softwareprogrammen auf unserem lokalen IT-System, wie bspw. der Kanzleiverwaltungssoftware „Lecare“, kann die Datenverarbeitung auch in der von uns genutzten Cloud-Software zur Kunden- und Kontaktpflege „CentralStationCRM“ der Fa. 42he GmbH in Köln erfolgen. Wir haben mit dem Anbieter dieser Cloud-Lösung einen Auftragsverarbeitungsvertrag geschlossen und uns über die Sicherheitsmaßnahmen und Datenschutzkonformität der Lösung informiert.
Wir setzen für die E-Mail-Kommunikation Outlook im Rahmen des Softwarepakets Microsoft365 der Fa. Microsoft Corporation, USA, ein. Outlook wird von uns eingesetzt, um über diese Standardlösung schnell und übersichtlich eingehende E-Mails bearbeiten und beantworten zu können. Wir nutzen auch die weiteren im Softwarepaket Microsoft365 enthaltenen Office-Programme (Word, Excel, PowerPoint etc.). Wir nutzen auch den Cloud-Dienst OneDrive for Business der Fa. Microsoft Corporation, verarbeiten hier aber nur in Ausnahmefällen personenbezogene Daten.
Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag (englisch: Data Processing Addendum, DPA) geschlossen. Darin verpflichtet sich Microsoft Maßnahmen zu treffen, die den Anforderungen der DSGVO an Datensicherheit und Datenschutz gerecht werden. Den Inhalt dieser Vereinbarung können Sie hier anschauen: https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA. Diese Datenverarbeitung kann aufgrund einer von Ihnen erteilten Einwilligung (Art. 6 Absatz 1 Buchstabe a DSGVO), aufgrund eines zwischen Ihnen und uns geschlossenen oder noch zu schließenden Vertrages (Art. 6 Absatz 1 Buchstabe b DSGVO) oder aufgrund eines für uns bestehenden berechtigten Interesses an der Datenverarbeitung (Art. 6 Absatz 1 Buchstabe f DSGVO) erfolgen. Die E-Mail-Kommunikation mit Ihnen wird ggf. über Server von Microsoft geleitet. Dabei verspricht Microsoft, dass alle personenbezogenen Daten, die über Microsoft 365-Produkte verarbeitet werden, für in der EU ansässige Unternehmenskunden ausschließlich innerhalb der EU verarbeitet werden. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft, damit auch für Microsoft365 (vgl. hierzu das Statement von Microsoft: https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/). Damit liegt grundsätzlich kein Datentransfer außerhalb des EWR („Drittlandtransfer“) vor. Sollte dennoch ein Drittlandtransfer stattfinden, haben wir mit Microsoft die EU-Standardvertragsklauseln vereinbart. Darin verpflichtet sich Microsoft Maßnahmen zu treffen und einzuhalten, die einen dem EU-Datenschutzniveau nahezu gleichwertigen Datenschutz ermöglichen. Die Vereinbarung der EU-Standardvertragsklauseln stellt geeignete Garantien dar, um einen Drittlandtransfer durchzuführen (Art. 46 Absatz 1 i.V.m. Absatz 2 Buchstabe c DSGVO). Außerdem besteht zum Datentransfer aus der EU bzw. dem EWR in die USA ein Angemessenheitsbeschluss der EU-Kommission. Microsoft ist dem diesem Angemessenheitsbeschluss zugrundeliegenden EU-U.S.-Data-Privacy-Framework (DPF) beigetreten und ist unter dem DPF zertifiziert. Somit ist der Datentransfer in die USA ohne besondere Genehmigung zulässig (Art. 45 Absatz 1 DSGVO). Häufige Fragen zu Microsoft und Datenschutz werden Ihnen hier beantwortet: https://www.microsoft.com/de-de/trust-center/privacy/gdpr-faqs?market=de
Wir bedienen uns der Dienste eines Telefondienstleisters, der für uns außerhalb unserer Erreichbarkeit Anrufe entgegennimmt und Name, Telefonnummer, sowie das Anliegen des Anrufers erfragt. Diese Angaben sind für Sie rein freiwillig. Wenn Sie das nicht möchten, müssen Sie hier keine Angaben machen. Der Dienstleister übermittelt uns bei jedem Anruf eine E-Mail, in welcher zumindest der Umstand des Anrufes selbst und die über die Telefonanlage ggf. angezeigte Telefonnummer des Anrufers an uns zum Zwecke der Bearbeitung und ggf. des Rückrufs bei Ihnen übermittelt wird. Haben Sie die weiteren Angaben gemacht, so erhalten wir auch diese zum selben Zweck. Wir haben auch mit der Fa. BSAG Bueroservice24 AG in Berlin einen Auftragsverarbeitungsvertrag geschlossen, der uns Weisungsrechte sichert und den Auftragsverarbeiter zur rechtskonformen und sicheren Datenverarbeitung verpflichtet.
Im Übrigen wird unsere Telefonanlage und damit die geführten Telefonate verwaltet über unseren Telefonanbieter, die Fa. BroadSoft Germany GmbH („Placetel“) in Köln. Mit dieser haben wir einen Auftragsverarbeitungsvertrag geschlossen, den Sie hier einsehen können. Die Datenschutzerklärung und alle weiteren rechtlich relevanten Informationen zu Placetel können Sie hier einsehen.
Es kann sein, dass Sie für eine Terminvereinbarung mit uns einen Buchungslink von „Terminland“ zugeschickt bekommen oder ihn direkt über unsere Webseite nutzen, und dann darüber einen Besprechungstermin auswählen und buchen können. Der Anbieter dieses Tools ist die Fa. Terminland GmbH in Wiesbaden. Mit dieser haben wir einen Auftragsverarbeitungsvertrag (AVV) geschlossen. Terminland setzt bei der Datenkommunikation mit TLS auf dieselben Verschlüsselungsmechanismen, die auch beim Online-Banking zum Einsatz kommen. Die Terminland-Server werden von EQUINIX in Deutschland gehostet. Die Datenschutzerklärung von Terminland können Sie hier einsehen.
B.2.b Zwecke der Datenverarbeitung: Die Verarbeitung der personenbezogenen Daten im Rahmen Ihrer Kontaktaufnahme erfolgt zum Zweck der Bearbeitung Ihrer Kontaktaufnahme und Ihres Anliegens. Dasselbe gilt bei Ihrer Kontaktaufnahme auf anderem Wege, also insbesondere per E-Mail, Fax oder Telefon.
B.2.c Rechtsgrundlagen für die Datenverarbeitung: Bei Anfragen über das Kontaktformular, E-Mail, Fax oder Telefon ist Rechtsgrundlage für die Verarbeitung der Daten unser berechtigtes Interesse an der Datenverarbeitung gemäß Art. 6 Absatz 1 Buchstabe f DSGVO, um Ihr Anliegen überhaupt beantworten und bearbeiten zu können.
Soweit Sie proaktiv zum Zwecke der Kontaktaufnahme auf uns zukommen, ist das als Einwilligung in die damit zwingend verbundene Datenverarbeitung zu verstehen, so dass in diesem Fall Art. 6 Absatz 1 Buchstabe a DSGVO die Rechtsgrundlage für die Datenverarbeitung darstellt. Soweit Sie mit Ihrer Kontaktaufnahme eine Anfrage zur Beauftragung/Mandatierung bzw. zur Angebotserstellung u.a. verbinden, verarbeiten wir Ihre Daten als vorvertragliche Maßnahme nach Art. 6 Absatz 1 Buchstabe b DSGVO.
B.2.d Weitergabe der Daten: Von Ihnen eingetragene Formulardaten werden mit der Absendung an uns per E-Mail geschickt, wenn Sie auf den Senden-Button klicken, und nur auf dem E-Mail-Server unseres E-Mail-Providers Microsoft (siehe dazu oben in Abschnitt B.2.a datenschutzkonform gespeichert. Eine zusätzliche Speicherung in unserer WordPress-Datenbank findet nur für 3 Tage statt. Das gilt auch für E-Mails, die Sie uns schicken. Bei Telefonaten oder Faxen erfolgt eine datenschutzkonforme Speicherung über unseren Telefonanbieter Placetel (siehe dazu oben). Ansonsten erfolgt keine Weitergabe der Daten. Eine Ausnahme besteht dann, wenn eine gesetzliche Verpflichtung zur Weitergabe besteht.
B.2.e Dauer der Speicherung: Die Daten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Soweit es durch Ihre Kontaktaufnahme mit uns nur zu einer außervertraglichen Konversation gekommen ist, ist der Zweck erreicht, wenn die Konversation erkennbar endgültig bzw. auf absehbare Dauer beendet ist. Dann löschen wir die Daten, es sei denn, wir sind anderweitig zur Aufbewahrung/Speicherung verpflichtet (bspw. im Falle von steuerlichen, buchhalterischen, berufsrechtlichen oder handelsrechtlichen Archivierungspflichten) Ergibt sich aus Ihrer Kontaktaufnahme ein Vertragsschluss, also ein Mandat, verweisen wir auf unsere Datenschutz-Informationen für besondere Situationen, die wir Ihnen sodann spätestens mit Vertragsschluss zur Kenntnis geben (bspw. die besonderen Datenschutzhinweise für Mandanten, für Inhouse-Schulungen, Seminar- oder Webinar-Anmeldungen usw.).
Faxdaten werden im Gerätespeicher des Fax-Geräts aufbewahrt. Nach Ausdruck des Faxes wird der belegte Speicherplatz wieder freigegeben, damit das nächste Fax empfangen und dort abgelegt werden kann. Teile des Faxes können nach dem Ausdruck temporär im Speicher des Gerätes verbleiben, bis diese vom nächsten empfangenen Fax überschrieben werden. Im Regelfall führt dies zu einer automatischen Löschung der Daten nach 1 Woche. Beim von uns aktiviertem „Sendebericht mit Andruck der ersten Seite“ verbleibt dieser inklusive des Andrucks der ersten gesendeten Seite temporär im Speicher des Gerätes, bis dieser vom nächsten Sendebericht oder durch das mehrtägige Trennen des Gerätes von der Stromzufuhr bzw. Zurücksetzen überschrieben/gelöscht werden.
Bei einem eingehenden Telefonanruf oder bei einem ausgehenden Anruf bei uns wird Ihre Telefonnummer oder Ihr bei Ihrem Telefonanbieter hinterlegter Name/Firmenname sowie Datum und Uhrzeit des Anrufs bei unserem oben genannten Telefonananbieter Placetel datenschutzkonform gespeichert.
B.2.f Widerspruchs- und Beseitigungsmöglichkeit: Soweit wir uns auf das berechtigte Interesse berufen (Verarbeitung zu Werbezwecken), haben Sie das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung der sie betreffenden personenbezogenen Daten bei uns Widerspruch einzulegen. Wenn wir keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen, werden wir Ihre Daten dann nicht mehr verarbeiten (vgl. Art. 21 DSGVO). Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1). Mit dem Widerspruch endet aber auch unsere Konversation. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht, soweit ausgeschlossen ist, dass sich aus der Konversation für uns Anhaltspunkte für etwaige vertragsrechtliche Gewährleistungs- oder Haftungsansprüche ergeben können oder wir keine Ansprüche gegen Sie haben. In allen anderen Fällen erfolgt eine Sperrung der Daten, so dass nur noch unsere Geschäftsleitung Zugriff zu diesen Daten hat und auch nur zum Zweck der gesetzlichen Aufbewahrungsgründe oder zum Zweck der Abwehr oder Geltendmachung tatsächlicher oder möglicher Ansprüche bis zum Ablauf der Verjährungsfrist (siehe zuvor unsere Informationen zur Dauer der Speicherung).
B.3 Datenverarbeitung bei Videokonferenz, Onlinebesprechung und Inhouse-Schulung
B.3.a Allgemeines: Wir nutzen das Video-Konferenztool alfaview der Fa. alfaview GmbH in Karlsruhe („alfaview“), mit der wir einen entsprechenden Auftragsverarbeitungsvertrag geschlossen haben. Alle Server stehen in Deutschland, die Datenverarbeitung findet in Deutschland statt. Um an unseren Webinaren oder Besprechungen teilzunehmen, können die Teilnehmenden entweder den alfaview-Client herunterladen oder direkt über die Browser Microsoft Edge oder Google Chrome gehen. Es werden ausschließlich die für die Durchführung der Online-Veranstaltung (technisch) erforderlichen personenbezogenen Daten verarbeitet. Die Freigabe von Kamera, Ton und Bildschirminhalt erfolgt jeweils durch die Teilnehmenden selbst. Es werden dabei grundsätzlich folgende Daten verarbeitet: Namen (soweit Sie ihn bei der Anmeldung eingeben, was Ihnen freisteht), ein Zeitstempel, Video- und Audiodaten, ggfs. Bildschirminhalte und/oder hochgeladene Präsentationsdateien, Ihre IP-Adresse, Geräte-/Hardware-Informationen, ggf. sonstige Identifikationsdaten. Um die Sicherheit Ihrer personenbezogenen Daten bei der Übertragung zu gewährleisten, werden die Online-Veranstaltungen verschlüsselt durchgeführt. Im Übrigen verweisen wir auf die in Abschnitt B.2.a. beschriebene Datenverarbeitung.
B.3.b Zweck der Datenverarbeitung: Mit dieser Form der Besprechung/Veranstaltung kommen wir den Erwartungen und Gewohnheiten der Gesprächspartner, wie auch dem Erfordernis einer schnellen und dennoch persönlichen Besprechung von Sachverhalten und Vorgehensweisen nach. Nur durch persönliche Besprechungen ist es oftmals möglich die anwaltliche Arbeit, insbesondere im Beratungsbereich angemessen nachkommen zu können, da bei reinen Telefonbesprechungen die Möglichkeit des Teilens von Dateien bzw. des Bildschirms zur gemeinsamen Abstimmung nicht zur Verfügung steht.
B.3.c Rechtsgrundlage der Datenverarbeitung: Die Datenverarbeitung führen wir aufgrund des zwischen uns geschlossenen Vertrages durch (Art. 6 Absatz 1 Buchstabe b DSGVO). Im Übrigen hat unsere Abwägung ergeben, dass wir an dieser Datenverarbeitung ein berechtigtes Interesse haben (Art. 6 Absatz 1 Buchstabe f DSGVO). Das berechtigte Interesse liegt in dem Erfordernis und der Erwartungshaltung unserer Mandanten und Kontakte an schnellen Online-Besprechungsmöglichkeiten.
B.3.d Dauer der Speicherung: Die Daten werden nur so lange verarbeitet, wie es zum Zweck der Online-Veranstaltung erforderlich ist. Hochgeladene Präsentationen und sonstige übermittelte Dokumente werden nach Abschluss der Online-Veranstaltung innerhalb von 7 Tagen gelöscht, es sei denn es bestehen andere Rechtsgrundlagen zur weiteren Verarbeitung (bspw. das bestehende Mandatsverhältnis). Die IP-Adresse und Hardwareinformationen der Endgeräte werden in der Regel für die Dauer von sieben Tagen im Access- und Error-Log des Servers für mögliche Fehleranalysen gespeichert. Wir können verschiedene Formen der Kommunikation, Abstimmung und Schulung durchführen. Wenn Sie die hier beschriebene Datenverarbeitung nicht wünschen, teilen Sie uns dies mit und wir besprechen gemeinsam eine andere Möglichkeit die Besprechung oder Schulung durchzuführen.
B.4 Datenverarbeitung bei Veranstaltungen (z.B. IT-Recht-Frühstück & Webinaren)
B.4.a Allgemeines: Wir veranstalten für Interessenten und/oder Mandanten gelegentlich Veranstaltungen in verschiedenen Formaten, beispielsweise unser „Karlsruher IT-Recht-Frühstück“ oder Webinare.
Wir nutzen für Webinare das Video-Konferenztool alfaview der Fa. alfaview GmbH in Karlsruhe („alfaview“), mit der wir einen entsprechenden Auftragsverarbeitungsvertrag geschlossen haben. Alle Server stehen in Deutschland, die Datenverarbeitung findet in Deutschland statt. Um an unseren Webinaren teilzunehmen, können die Teilnehmenden entweder den alfaview-Client herunterladen oder direkt über die Browser Edge oder Chrome gehen. Es werden ausschließlich die für die Durchführung der Online-Veranstaltung (technisch) erforderlichen personenbezogenen Daten verarbeitet. Die Freigabe von Kamera, Ton und Bildschirminhalt erfolgt jeweils durch die Teilnehmenden selbst. Es werden dabei grundsätzlich folgende Daten verarbeitet: Namen (soweit Sie ihn bei der Anmeldung eingeben, was Ihnen freisteht), ein Zeitstempel, Video- und Audiodaten, ggfs. Bildschirminhalte und/oder hochgeladene Präsentationsdateien, Ihre IP-Adresse, Geräte-/Hardware-Informationen, ggf. sonstige Identifikationsdaten. Um die Sicherheit Ihrer personenbezogenen Daten bei der Übertragung zu gewährleisten, werden die Online-Veranstaltungen verschlüsselt durchgeführt.
Die Datenverarbeitung erfolgt sodann in der Regel auch in der von uns genutzten Cloud-Software zur Kunden- und Kontaktpflege „CentralStationCRM“ der Fa. 42he GmbH in Köln. Mit dieser haben wir einen Auftragsverarbeitungsvertrag geschlossen.
Bitte beachten Sie, dass wir in der Regel mit der Anmeldung zu einer kostenfreien Veranstaltung eine so genannte Werbeeinwilligung verknüpfen. Mit Ihrer Anmeldung erklären Sie dann gleichzeitig Ihre Einwilligung, dass Timo Schutt und Thomas Waetke (insbesondere mit den Firmen Schutt, Waetke Rechtsanwälte, EVENTFAQ, MeinDatenschutzPartner) Ihnen Werbung (Informationen über Veranstaltungen, Gesetzesänderungen, rechtlichen Anpassungsbedarf, Angebote, Informationen zu unseren Leistungen u.a.) zum IT-Recht, Eventrecht und Datenschutzrecht per E-Mail oder auf anderem elektronischen Weg übermitteln dürfen. Diese Einwilligung und die damit verbundene Datenverarbeitung ist unabhängig von der hier beschriebenen Datenverarbeitung, die allein dem Zweck der Organisation und Durchführung der Veranstaltung dient. Die Einwilligung können Sie jederzeit formlos widerrufen. Diesbezüglich gilt der nachfolgende Abschnitt B.5 zum Newsletter-Versand entsprechend.
Wenn Sie sich im Ticketshop für Webinare anmelden, geschieht dies auf Servern der Fa. rami.io GmbH in Heidelberg, die das Shopsystem „pretix“ anbietet. Mit dieser haben wir einen Auftragsverarbeitungsvertrag geschlossen. Alle Server der rami.io GmbH stehen in Deutschland, die Datenverarbeitung findet in Deutschland statt. Im Ticketshop finden Sie auch den Link zur Datenschutzerklärung der Fa. rami.io GmbH, die Sie auch hier einsehen können.
B.4.b Zweck der Datenverarbeitung: Wir erheben diese Daten zur Ermöglichung der Organisation und Durchführung der Veranstaltung, also für das sog. Teilnehmermanagement. Das bedeutet, dass wir Ihnen eine Teilnahmebestätigung zusenden, ggf. ein Namensschild für Sie vorbereiten, Sie namentlich begrüßen möchten u.a.
B.4.c Rechtsgrundlage der Datenverarbeitung: Rechtsgrundlage für die Datenverarbeitung ist der zwischen Ihnen und uns bei Ihrer Anmeldung geschlossene Teilnahmevertrag bzw. die Vorbereitungshandlungen dafür (Art. 6 Absatz 1 Buchstabe b DSGVO).
B.4.d Dauer der Speicherung: Wir speichern die Daten bis die Veranstaltung endgültig abgeschlossen ist und wir ggf. im Nachgang Sie für eine Feedbackbitte oder die Übermittlung eines Handouts letztmals kontaktieren. Die Daten werden spätestens mit Verjährung aller Ansprüche aus dem Teilnahmevertrag gelöscht, was 3 Jahre nach Ende der Veranstaltung, beginnend mit dem Ende des betreffenden Jahres der Fall ist. Im Falle einer erteilten Werbeeinwilligung verarbeiten wir die diesbezüglichen Daten (Vorname, Nachname, E-Mail-Adresse, Firma) bis zum Widerruf dieser Einwilligung.
B.4.e Widerspruchs- und Beseitigungsmöglichkeit: Sie können diese Art der Datenverarbeitung vermeiden, indem Sie auf eine Anmeldung bzw. Teilnahme an unseren Veranstaltungen verzichten.
B.5 Datenverarbeitung bei Newsletter-Empfang
Einen Newsletter erhalten Sie, wenn Sie ihn selbst aktiv bei uns abonnieren oder uns erlauben, Sie in den Newsletter-Verteiler einzutragen. In beiden Fällen erhalten Sie eine Bestätigungs-E-Mail, in der Sie den dort hinterlegten Bestätigungslink anklicken müssen, damit Sie in den Verteiler eingetragen werden. Möglich ist auch, dass wir Ihnen im Falle einer Geschäftsbeziehung bei Erfüllung der Voraussetzungen des § 7 Absatz 3 UWG bis auf Widerruf unseren Newsletter oder Werbebotschaften per E-Mail zukommen lassen.
B.5.a Allgemeines: Sie können auf unserer Website unseren kostenfreien Newsletter abonnieren. Dabei wird bei der Anmeldung zum Newsletter Ihre E-Mailadresse aus der Eingabemaske an uns übermittelt. Die E-Mail-Adresse ist verpflichtend anzugeben. Tun Sie dies nicht, können Sie keinen Newsletter erhalten. Sie haben daneben optional die Möglichkeit, freiwillig Ihren Namen und Ihr Geschlecht anzugeben, so dass wir Sie persönlich per E-Mail ansprechen können. Diese Angabe ist für die Bestellung des Newsletters nicht erforderlich und kann ohne weiteres weggelassen werden. Wenn Sie Ihren Namen aber angeben, so erteilen Sie uns die (jederzeit widerrufliche) Einwilligung, dass wir Sie persönlich ansprechen dürfen. Bei der Anmeldung zum Newsletter werden außerdem folgende Daten erhoben:
- die IP-Adresse des Nutzers, sowie
- Datum und Uhrzeit der Registrierung.
Letzteres dient dazu, einen Missbrauch der Dienste oder der E-Mail-Adresse der betroffenen Person zu verhindern.
Wir nutzen „CleverReach“ für den Versand unserer Newsletter. Anbieter ist die Fa. CleverReach GmbH & Co. KG in Rastede, Deutschland. CleverReach ist ein Dienst, mit dem der Newsletter-Versand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletter-Bezug eingegebenen Daten werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Mit CleverReach haben wir einen Auftragsverarbeitungsvertrag geschlossen.
Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletter-Empfänger. Hierbei kann analysiert werden, wie viele Empfänger die Newsletter-Nachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Ein weitergehendes Tracking erfolgt nicht, auch haben wir keine Kenntnis darüber, welcher Empfänger die E-Mail geöffnet bzw. einen Link angeklickt hat. In allen Reports werden Daten der öffnenden und klickenden Empfänger anonymisiert dargestellt. Wir haben die Erhebung und Verarbeitung vollständiger IP-Adressen und Cookies durch entsprechende Einstellungen unterbunden. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter finden Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/.
Nach Ihrer Austragung aus der Newsletter-Verteilerliste wird Ihre E-Mail-Adresse bei uns bzw. bei CleverReach ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Absatz 1 Buchstabe f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen.
Weitere Informationen können Sie den Datenschutzbestimmungen von CleverReach entnehmen: https://www.cleverreach.com/de/datenschutz/.
Die Anmeldung zu unserem Newsletter erfolgt in einem sog. Double-Opt-In-Verfahren. Das heißt Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden E-Mailadressen anmelden kann. Der Klick auf den Link, mit dem Sie die Anmeldung bestätigen, führt zu einer Datenerhebung Ihrer IP-Adresse und des genauen Zeitpunkts (Datum und Uhrzeit) des Klicks. Diese Datenverarbeitung dient dazu unserer gesetzlichen Beweispflicht nachzukommen, dass von der E-Mail-Adresse tatsächlich ein Opt-In, also eine ausdrückliche Einwilligung in den Erhalt des Newsletters erfolgt ist.
B.5.b Zweck der Datenverarbeitung: Die Erhebung und Verarbeitung der E-Mail-Adresse des Nutzers dient dazu, den Newsletter zuzustellen. Wir nutzen also Ihre E-Mail-Adresse für den Newsletter. Die Verarbeitung Ihres Namens erfolgt zum Zwecke der persönlichen Anrede in unserem Newsletter. Die Erhebung von IP-Adresse und Zeitpunkt bei Klick auf den Bestätigungslink in der Double-Opt-In-Mail dient dazu unserer gesetzlichen Beweispflicht zur Einholung einer ausdrücklichen Einwilligung nachkommen zu können. Die Erhebung sonstiger personenbezogener Daten im Rahmen des Anmeldevorgangs dient dazu, einen Missbrauch der Dienste oder der verwendeten E-Mail-Adresse zu verhindern. Eine mögliche Speicherung über die Abbestellung des Newsletters hinaus für bis zu 3 Jahre dient dem Zweck des Nachweises einer ehemals erteilten Einwilligung und einer möglichen Abwehr von Ansprüchen.
B.5.c Rechtsgrundlage der Datenverarbeitung: Rechtsgrundlage für die Verarbeitung Ihrer Daten nach Anmeldung zum Newsletter ist Art. 6 Absatz 1 Buchstabe a DSGVO (Einwilligung). Das gilt für den Fall, dass Sie uns freiwillig auch Ihren Namen angeben, dann auch für die Namensangabe. Rechtsgrundlage für die Speicherung von IP-Adresse und Zeitpunkt bei Klick auf den Bestätigungslink in der Double-Opt-In-Mail und für eine mögliche weitere Speicherung für bis zu drei Jahre nach Ihrer Abbestellung des Newsletters ist unser berechtigtes Interesse nach Art. 6 Absatz 1 Buchstabe f DSGVO. Das berechtigte Interesse besteht in diesem Falle darin, eine ehemals von Ihnen gegebene Einwilligung nachweisen und daraus abgeleitete Ansprüche abwehren zu können.
B.5.d Weitergabe der Daten: Eine Weitergabe der Daten an Dritte außerhalb der oben beschriebenen Auftragsverarbeitung erfolgt nicht. Eine Ausnahme besteht dann, wenn eine gesetzliche Verpflichtung zur Weitergabe besteht. Die Daten werden ausschließlich für den Versand des Newsletters verwendet.
B.5.e Dauer der Speicherung: Nach der Anmeldung erhält der Anmelder an die angegebene E-Mail-Adresse eine E-Mail von uns mit einem Bestätigungslink. Wird dieser nicht angeklickt, löschen wir die Daten in angemessener Frist nach der Anmeldung. Ihre Daten werden im Übrigen gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Wir werden aber Ihre Daten für die Dauer von bis zu 3 Jahren gerechnet ab dem 31.12. des Jahres, in dem Sie die Einwilligung erteilt hatten, auf Grundlage unserer berechtigten Interessen speichern, bevor wir sie endgültig löschen, soweit wir damit die von Ihnen erteilte (und widerrufene) Einwilligung beweisen können. Eine anderweitige Verarbeitung dieser Daten erfolgt nicht. Ihre E-Mail-Adresse (und ggf. der freiwillig von Ihnen angegebene Name) wird demnach solange gespeichert, wie das Abonnement des Newsletters aktiv ist und die Dreijahresfrist für die Speicherung zu Beweiszwecken abgelaufen ist. Die sonstigen im Rahmen des Anmeldevorgangs erhobenen personenbezogenen Daten werden in der Regel nach einer Frist von sieben Tagen gelöscht.
B.5.f Widerspruchs- und Beseitigungsmöglichkeit: Das Abonnement des Newsletters können Sie jederzeit kostenlos und formfrei kündigen. Zu diesem Zweck findet sich in jedem Newsletter ganz unten im sog. Footer ein entsprechender Link. Sie können uns auch anderweitig kontaktieren (siehe A.1). Hierdurch wird ebenfalls ein Widerruf der Einwilligung der Speicherung der während des Anmeldevorgangs erhobenen personenbezogenen Daten ermöglicht.
B.6 Cookies auf der Website
B.6.a Allgemeines: Beim Aufruf einzelner Seiten können ggf. so genannte Cookies verwendet werden. Das sind kleine Textdateien, die auf Ihrem Endgerät (PC, Smartphone, Tablet etc.) abgelegt werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.
Wenn wir Cookies einsetzen, dann nur, um unsere Website funktionsfähig anbieten zu können. Es handelt sich dann dabei grundsätzlich um notwendige Cookies, also solche, die zur fehlerfreien Funktion unserer Website erforderlich sind.
B.6.b Zweck der Datenverarbeitung: Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Websites für Sie zu ermöglichen. Einige Funktionen unserer Website können ggf. ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es bspw. erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird. Durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.
B.6.c Rechtsgrundlage der Datenverarbeitung: Sofern auf der Webseite Cookies eingesetzt werden, basiert die Datenverarbeitung regelmäßig auf Ihrer Einwilligung nach § 25 Absatz 1 TTDSG in Verbindung mit Art. 6 Absatz 1 Buchstabe a DSGVO. Diese holen wir zuvor entsprechend ein. Falls wir die Cookie-Nutzung als unbedingt erforderlich erachten, erfolgt diese auf Grundlage von § 25 Absatz 2 Nr. 2 TTDSG. Die weitere Verarbeitung erfolgt jeweils nach Art. 6 Absatz 1 DSGVO.
B.6.d Dauer der Speicherung: Die von uns verwendeten Cookies werden nach dem Ende der Browser-Sitzung, also nach dem Schließen Ihres Browsers, wieder gelöscht (sog. Session-Cookies).
B.6.e Widerspruchs- und Beseitigungsmöglichkeit: Grundsätzlich gilt, dass Sie die volle Kontrolle über die Verwendung von Cookies haben. Denn durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Das kann auch automatisiert erfolgen.
B.7 Verwendung des Analyse-Tools Matomo auf der Website
B.7.a Allgemeines: Auf dieser Website werden mit „Matomo“, einem Open-Source Web-Analyse-Tool der Fa. InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand (https://matomo.org), Daten zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Die mit Matomo erhobenen Daten werden von uns nicht dazu genutzt, den Besucher der Website persönlich zu identifizieren und auch nicht mit personenbezogenen Daten zusammengeführt.
Wir haben alle Datenschutz-Einstellungen vorgenommen, um eine möglichst weitreichende Pseudonymisierung und Anonymisierung der Daten zu erreichen. Denn uns interessiert nicht, wer hinter einem Webseitenbesuch steckt, sondern ausschließlich wie die Webseite genutzt wird. Daher werden alle IP-Adressen nur so gespeichert, dass die letzten 6 Ziffern durch ein „X“ ersetzt werden (bspw. 192.168.xxx.xxx) und eine Benutzer-ID wird automatisch vom System mit einem Pseudonym ersetzt. Nur die so verfremdeten / pseudonymisierten / anonymisierten Daten werden gespeichert und für die Statistik genutzt. Im Übrigen haben wir Matomo so eingestellt, dass jegliche Cookies unterbunden werden. Es findet mithin keine Speicherung in Ihrem Endgerät statt. Und: Wir haben Matomo so eingerichtet, dass eine „Do-not-Track“-Meldung Ihres Browsers automatisch beachtet wird.
Alle Daten zu Matomo werden von uns ausschließlich auf unserem eigenen Webserver verarbeitet. Kein Dritter erhält diese Daten. Es handelt sich hier also um Daten die ausschließlich von uns ausgewertet werden. Durch alle diese Maßnahmen sind wir der Überzeugung, dass hier keine Einwilligung erforderlich ist und wir diese Datenverarbeitung auf ein berechtigtes Interesse stützen können.
B.7.b Zweck der Datenverarbeitung: Die Verwendung des Analyse-Tools erfolgt zu dem Zweck, die Qualität unserer Website und ihre Inhalte zu verbessern, indem wir über das Nutzerverhalten feststellen, wie die Website genutzt wird. So können wir unser Internet-Angebot stetig optimieren, was auch im Sinne der Nutzer ist.
B.7.c Rechtsgrundlage der Datenverarbeitung: Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist Art. 6 Absatz 1 Buchstabe f DSGVO, also ein berechtigtes Interesse unsererseits. Unser berechtigtes Interesse liegt in den oben genannten Zwecken. Unsere Abwägung hat ergeben, dass wir mit der Analyse des Nutzerverhaltens zur Verbesserung und Optimierung unserer Webseiten legitime Zwecke verfolgen und die vernünftigen Erwartungen von Webseitenbesuchern heutzutage auch auf eine Analyse des Nutzerverhaltens gerichtet sind. Auch gehen wir davon aus, dass durch die hier gegebenen Informationen die Erwartungen der Nutzer unserer Webseite dahin lenken, dass eine Analyse vorgenommen wird. Schließlich ermöglichen die oben aufgeführten datenschutzfreundlichen Maßnahmen dazu, dass eine Einwilligung zu der Analyse nicht als erforderlich anzusehen ist.
B.7.d Dauer der Speicherung: Die IP-Adresse wird vor deren Speicherung anonymisiert (siehe oben). Cookies werden keine gesetzt. Wir speichern nur Daten, die keinen Personenbezug mehr haben. Im Übrigen speichern wir auf Grundlage eines berechtigten Interesses erhobenen Daten bis das berechtigte Interesse nicht mehr besteht, die Abwägung zu einem anderen Ergebnis kommt oder Sie nach Art. 21 DSGVO wirksam Widerspruch eingelegt haben (vgl. hierzu unten unter Abschnitt C.4 die Hinweise auf Ihr besonderes Widerspruchsrecht). Es wird regelmäßig, mindestens jährlich überprüft, ob das berechtigte Interesse noch besteht. Unser Interesse besteht insbesondere dann nicht mehr, wenn die Daten durch Zeitablauf keine ausreichende Relevanz im Hinblick auf Auswertung und Statistik der Webseitennutzung mehr für uns haben, was wir spätestens nach drei Jahren annehmen und die Daten dann unwiederbringlich löschen.
B.7.e Widerspruchs- und Beseitigungsmöglichkeit: Wir setzen keine Cookies und verarbeiten keine personenbezogenen Daten bei der Nutzung von Matomo. Grundsätzlich gilt für Cookies: Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Eine solche „Do-Not-Track“-Einstellung Ihres Browsers wird von uns als Widerspruch zur weiteren Erhebung und Nutzung Ihrer personenbezogenen Daten verstanden und selbstverständlich beachtet.
B.8 Datenverarbeitung, wenn Sie uns beauftragen bzw. mandatieren (möchten)
B.8.a Allgemeines: Wenn Sie uns beauftragen/mandatieren (auch schon, wenn Sie eine Beauftragung/Mandatierung bezwecken, bspw. ein Angebot von uns erfragen oder ein konkretes Interesse an unseren Leistungen, unserer Expertise und Angeboten zeigen), erheben wir in der Regel folgende Informationen von Ihnen bzw. Ihren Mitarbeitern, die als unsere Ansprechpartner fungieren bzw., die im Laufe des Auftrags mit uns auftragsbezogen in Kontakt treten:
• Anrede, Vorname, Nachname,
• mindestens eine gültige E-Mail-Adresse,
• geschäftliche Anschrift,
• Telefonnummer (Festnetz und/oder Mobilfunk),
• alle Informationen und Daten, die für die Geltendmachung und Verteidigung Ihrer Rechte bzw. für die Ermöglichung und Erbringung unserer Rechtsberatung für Sie im Rahmen des Auftrags/Mandats erforderlich sind.
Dazu gehören ggf. auch buchhalterische Informationen, wie Ihre Bankverbindung, wenn in Betracht kommt, Ihnen Gelder auszukehren.
Eine Weitergabe von solchen Informationen erfolgt im Falle der Rechnungsstellung bzw. bei Geldtransfers an unseren Steuerberater Hubert Nowatzki in Karlsruhe zum Zwecke der Buchführung und Steuererklärung sowie an das Finanzamt, sowie an unser Buchführungsbüro Datac, Wolfgang Vogel, in Karlsbad.
Im Übrigen kann es sein, dass personenbezogene Daten an Gegner Gerichte, Behörden, Gerichtsvollzieher, amtliche oder private Stellen weitergegeben werden, wenn und soweit dies zur ordnungsgemäßen Mandatsbearbeitung erforderlich und nützlich sein sollte.
B.8.b Zweck der Datenverarbeitung: Die Erhebung dieser Daten erfolgt,
• um Sie als Interessenten, Anfragenden bzw. unseren Mandanten identifizieren zu können,
• um Sie angemessen informieren, anwaltlich beraten und vertreten zu können,
• zur Korrespondenz mit Ihnen,
• zur Rechnungsstellung, sowie
• insgesamt zur Abwicklung und Erfüllung des zwischen Ihnen und uns geschlossenen Vertrages.
B.8.c Rechtsgrundlage der Datenverarbeitung: Wir verarbeiten diese Daten als vorvertragliche Maßnahme (bei Anfragen, Interesse) im Hinblick auf einen eventuellen Vertragsschluss oder zur Vertragserfüllung (bei Beauftragung, Annahme eines Angebots) jeweils nach Art. 6 Absatz 1 Buchstabe b DSGVO.
B.8.d Dauer der Speicherung: Bleibt es bei Ihrer Anfrage, kommt ein Auftrag also nicht zustande, löschen wir die Daten eine angemessene Zeit nachdem wir davon ausgehen dürfen, dass Sie auch in Zukunft kein Interesse an unseren Leistungen und Angeboten haben, was in der Regel drei Jahre nach Ablauf des Kalenderjahres, in dem die Ablehnung/Absage erfolgt ist, anzunehmen ist. Die weitere Speicherung erfolgt dann aufgrund unserer berechtigten werblichen Interessen nach Art. 6 Absatz 1 Buchstabe f DSGVO. Ist die Korrespondenz als Handelsbrief anzuordnen, unterliegen wir diesbezüglich einer Aufbewahrungspflicht von 6 Jahren. Gibt es Grund zu der Annahme, dass im Nachgang zu einer Korrespondenz ein Beweis hierüber von uns geführt werden muss, speichern wir die Daten bis zur regelmäßigen Verjährung von Ansprüchen, in der Regel also über drei Jahre nach Ablauf des Kalenderjahres, in dem die Korrespondenz geführt wurde. Die für die Mandatierung/Beauftragung von uns erhobenen personenbezogenen Daten werden mindestens bis zum Ablauf der gesetzlichen Aufbewahrungspflicht für Anwälte (6 Jahre nach Ablauf des Kalenderjahres, in dem das Mandat beendet wurde) gespeichert.
Anderes kann jeweils gelten, wenn wir nach Artikel 6 Absatz 1 Buchstabe c DSGVO aufgrund von steuer- und handelsrechtlichen Aufbewahrungs- und Dokumentationspflichten (aus HGB, StGB, AO o.ä.) zu einer längeren Speicherung verpflichtet sind (in der Regel 6 oder 10 Jahre) oder Sie in eine darüberhinausgehende Speicherung nach Art. 6 Absatz 1 Buchstabe a DSGVO eingewilligt haben.
Wir speichern die Daten jedenfalls so lange, bis keine Ansprüche mehr aus dem Mandatsvertrag, der Beratung, der Korrespondenz bzw. der Kundenbeziehung geltend gemacht werden können, also bis zum Eintritt der Verjährung. Die allgemeine Verjährungsfrist nach § 195 BGB beträgt drei (3) Jahre. Bestimmte Ansprüche, wie beispielsweise Schadensersatzansprüche, verjähren jedoch erst in 30 Jahren (vgl. § 197 BGB). Besteht berechtigter Anlass anzunehmen, dass dies im Einzelfall relevant ist, speichern wir die personenbezogenen Daten über diesen Zeitraum. Die genannten Verjährungsfristen beginnen mit dem Ende des Jahres (also am 31.12.) in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste.
B.8.e Gegebenenfalls Verarbeitung weiterer personenbezogenen Daten: Wir erheben und verarbeiten darüber hinaus ggf. Ihr Geburtsdatum und weitere Informationen zu Ihrer Person, die im Rahmen der Mandantenbetreuung und Mandantenbindung von Interesse sind. Es kann sein, dass wir diese Daten nicht direkt bei Ihnen erheben, sondern aus dritten Quellen erhalten, wie beispielsweise aus dem Handelsregister. Dabei kommt es auch vor, dass wir im Laufe einer Mandats- oder Kundenbeziehung nach und nach weitere personenbezogenen Daten von unseren Mandanten und deren Beschäftigten (unseren Ansprechpartnern) erhalten. Wir speichern solche neu hinzukommenden Daten zu denselben, oben genannten Zwecken zu dem Mandanten hinzu, was in dem unten näher erläuterten CRM-System unserer Kanzlei und ggf. auch in der ebendort näher erläuterten Kanzleisoftware erfolgt.
Das Geburtsdatum verarbeiten wir zu dem weiteren Zweck, Ihnen zum Geburtstag gratulieren zu können bzw. Ihnen anderweitig Aufmerksamkeiten innerhalb der Mandatsbeziehung zukommen zu lassen.
Diese Datenverarbeitung erfolgt aufgrund unseres berechtigten Interesses gemäß Art. 6 Absatz 1 Buchstabe f DSGVO. Das berechtigte Interesse besteht in der Aufrechterhaltung einer guten Kunden-/Mandantenbeziehung zwischen Ihnen und uns. Soweit Sie uns eine Einwilligung erteilt haben, ist Rechtsgrundlage diese Einwilligung (Art. 6 Absatz 1 Buchstabe a DSGVO).
Die auf Grundlage eines berechtigten Interesses erhobenen Daten speichern wir, bis das berechtigte Interesse nicht mehr besteht, die Abwägung zu einem anderen Ergebnis kommt oder Sie nach Art. 21 DSGVO wirksam Widerspruch eingelegt haben (vgl. zu Ihrem Widerspruchsrecht die Ausführungen zu den Betroffenenrechten unter C.). Unser berechtigtes Interesse besteht spätesten dann nicht mehr, wenn die Mandatsbeziehung endgültig beendet ist, was wir unter anderem dann annehmen, wenn das letzte Mandat, das Sie uns erteilt haben, sechs Jahre zurückliegt und damit die anwaltliche Aufbewahrungspflicht abläuft. Auf Grundlage einer Einwilligung verarbeitete Daten werden von uns bis zum Widerruf der Einwilligung gespeichert.
B.8.f Datenverarbeitung zu Werbezwecken: Wir verarbeiten Ihre personenbezogenen Daten zum Zwecke der Werbung, um Ihnen Informationen über Gesetzesänderungen, erforderliche Maßnahmen oder unsere Leistungen und Angebote zukommen zu lassen. Wir senden Ihnen bspw. auch Erinnerungen an den Zeitablauf seit der Erstellung von Verträgen, AGB oder sonstigen Tätigkeiten, die wir für Sie vorgenommen haben, um auf die Möglichkeit der Aktualisierung und Überarbeitung hinzuweisen. Soweit die gesetzlichen Voraussetzungen vorliegen, senden wir Ihnen ggf. auch solche Informationen per E-Mail zu.
Dies tun wir zum Zwecke der Werbung, Akquise und des Marketings auf Basis unserer berechtigten Interessen nach Art. 6 Absatz 1 Buchstabe f DSGVO (ggf. im Falle von E-Mails i.V.m. § 7 Absatz 3 UWG). Unser berechtigtes Interesse besteht in der Aufrechterhaltung und Pflege einer dauerhaften Kunden-/Mandantenbeziehung und in der Information über unsere Angebote und Expertise. Soweit Sie uns eine Einwilligung erteilt haben, ist Rechtsgrundlage diese Einwilligung (Art. 6 Absatz 1 Buchstabe a DSGVO).
Die auf Grundlage eines berechtigten Interesses erhobenen Daten speichern wir, bis das berechtigte Interesse nicht mehr besteht, die Abwägung zu einem anderen Ergebnis kommt oder Sie nach Art. 21 DSGVO wirksam Widerspruch eingelegt haben (vgl. zu Ihrem Widerspruchsrecht die Ausführungen zu Ihren Betroffenenrechten unten unter C.). Unser berechtigtes Interesse besteht spätesten dann nicht mehr, wenn das Mandatsverhältnis beendet ist, was wir unter anderem dann annehmen, wenn das letzte Mandat, das Sie uns erteilt haben, sechs Jahre zurückliegt und damit die anwaltliche Aufbewahrungspflicht abläuft. Auf Grundlage einer Einwilligung verarbeitete Daten werden von uns bis zum Widerruf der Einwilligung gespeichert.
B.8.g Software und Systeme, die wir ggf. für die Datenverarbeitung einsetzen: Neben einer Verarbeitung Ihrer Daten in den von uns zur Mandatsbearbeitung genutzten Softwareprogrammen auf unserem lokalen IT-System, wie bspw. unserer Kanzlei- und Aktenverwaltungssoftware, auf die ausschließlich wir selbst Zugriff haben, kann die Datenverarbeitung auch in der von uns genutzten Cloud-Software zur Kunden- und Kontaktpflege (CRM namens CentralStationCRM der 42he GmbH in Köln) erfolgen. Natürlich haben wir mit dem Anbieter dieser Cloud-Lösung einen Auftragsverarbeitungsvertrag geschlossen und uns über die Sicherheitsmaßnahmen und Datenschutzkonformität der Lösung informiert. Diese Daten bleiben ausschließlich in der EU bzw. dem EWR und werden datenschutzkonform verarbeitet.
Die Software, Systeme und Anbieter die wir für die Abwicklung der Kommunikation mit unseren Interessenten, Kunden und Mandanten nutzen, nennen und beschreiben wir oben in Abschnitt B.2.a.
Für alle automatisiert versendeten E-Mails verwenden wir das Tool „CleverReach„, das wir oben in Abschnitt B.5.a genauer beschreiben.
Für Videokonferenzen, Onlinebesprechungen, Webinare und Schulungen („Online-Veranstaltung“) nutzen wir das Videokonferenz-Tool „alfaview„, das wir oben in Abschnitt B.3.a näher beschreiben.
Wir nutzen für die Angebotserstellung und die Erstellung, Verwaltung und Archivierung unserer Rechnungen und Belege die Cloud-Software „SevDesk„. SevDesk wird betrieben von der Firma sevDesk GmbH, Hauptstraße 115, 77652 Offenburg. Mit dem Anbieter haben wir einen Auftragsverarbeitungsvertrag geschlossen. Die Datenverarbeitung erfolgt zur Erfüllung unserer (vor-)vertraglichen Verpflichtungen nach Art. 6 Absatz 1 Buchstabe b DSGVO sowie hinsichtlich der Speicherung der Belege und Rechnungen zur Erfüllung der gesetzlichen Aufbewahrungspflichten nach Art. 6 Absatz 1 Buchstabe c DSGVO.
B.8.h Art und Weise der Datenverarbeitung: Ihre Daten werden unter Beachtung unserer technischen und organisatorischen Maßnahmen auf unseren internen IT-Systemen oder in von uns zu diesem Zwecke genutzten datenschutzkonformen Onlinediensten in einer Datenbank gespeichert, verarbeitet und verwaltet. Die Daten sind nach dem Stand der Technik vor dem Zugriff Unbefugter sowie vor Löschung und Zerstörung geschützt. Die Maßnahmen zum Schutz der Daten werden dabei regelmäßig evaluiert und dem Stand der Technik angepasst.
B.9 Übermittlung von Daten in ein Drittland
Es besteht nicht die Absicht, personenbezogenen Daten in ein Drittland, also ein Land außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) zu übermitteln. Es ist unwahrscheinlich (Microsoft verspricht EU-Daten ausschließlich innerhalb der EU zu verarbeiten), jedoch ist theoretisch eine Datenverarbeitung in den USA aufgrund des Einsatzes von Microsoft365 nicht ausgeschlossen. Für diesen Fall haben wir mit Microsoft die aktuellen EU-Standardvertragsklauseln mit zusätzlichen Maßnahmen zur Datensicherheit vereinbart (siehe dazu oben in Abschnitt B.2.a).
Grundsätzlich gilt: Sie können in Teil B. dieser Datenschutzerklärung bei den jeweiligen Tools genau ersehen, welche Anbieter ggf. Daten in Drittstaaten transferieren könnten. Dabei kann es sich grundsätzlich auch um ein Land handeln, für welches zurzeit kein Angemessenheitsbeschluss der EU besteht, in welchem das Datenschutzniveau also nicht als dem der EU gleichwertig anerkannt ist, wobei wir stets anstreben Daten nur in sichere Drittstaaten zu transferieren.
Für die USA besteht ein Angemessenheitsbeschluss der EU gemäß Art. 45 Absatz 1 DSGVO, der den USA ein ausreichendes Datenschutzniveau bescheinigt, womit Datentransfers in die USA grundsätzlich zulässig sind. Voraussetzung dafür ist, dass die Drittanbieter aus den USA sich jeweils unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert haben. Dies ist bei den von uns ausgewählten U.S.-Anbietern grundsätzlich der Fall. Dadurch sind Datentransfers an diese Drittanbieter ohne Weiteres zulässig.
Alle Unternehmen, für die ein Drittstaatentransfer in Betracht kommt und die ggf. personenbezogene Daten in ein Drittland transferieren (könnten), für welches kein Angemessenheitsbeschluss der EU vorliegt bzw. U.S.-Unternehmen, die sich nicht unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert haben, haben durch verbindliche Vereinbarung der EU-Standarddatenschutzklauseln (englisch: EU Standard Contractual Clauses, SCC, vgl. Artikel 46 Absatz 2 c DSGVO) mit uns und durch Vereinbarung zusätzlicher Maßnahmen zur Datensicherheit ausreichende Garantien für die Datenübermittlung im Sinne der DSGVO und des Europäischen Gerichtshofs (EuGH) gegeben und sich einem dem EU-Datenschutzniveau grundsätzlich vergleichbaren Regularium unterworfen. Die Datenübermittlung diese Unternehmen ist daher grundsätzlich zulässig (vgl. Art. 44 ff. DSGVO).
Überdies wurden im Falle von Auftragsverarbeitungen mit diesen Unternehmen entsprechende Auftragsverarbeitungsverträge zur Sicherung der Daten und unserer Weisungsrechte geschlossen.
C. Ihre Betroffenenrechte
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie „Betroffener“ und es stehen Ihnen folgende Rechte uns gegenüber als Verantwortlichen zu (unsere Kontaktdaten finden Sie oben in Abschnitt A.1):
C.1 Recht auf Auskunft
Sie haben das Recht, von uns unentgeltlich eine Bestätigung darüber zu erhalten, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, dann haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen, die Sie Art. 15 DSGVO entnehmen können. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1).
C.2 Recht auf Berichtigung
Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso haben Sie das Recht – unter Berücksichtigung der oben genannten Zwecke der Verarbeitung – die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1).
C.3 Recht auf Löschung
Sie haben das Recht, die unverzügliche Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, wenn eine der Voraussetzungen des Art. 17 DSGVO vorliegt. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1). Die Rechtsfolgen haben wir unter B. bei den jeweiligen Verarbeitungsvorgängen beschrieben.
C.4 Widerspruchsrecht bei Verarbeitung wegen berechtigten Interesses
Soweit wir personenbezogene Daten auf der Basis des Art. 6 Absatz 1 Buchstabe f DSGVO verarbeiten (also wegen berechtigter Interessen), haben Sie das Recht jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung der sie betreffenden personenbezogenen Daten bei uns Widerspruch einzulegen. Wenn wir keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen oder aber, wenn wir die betreffenden Daten von Ihnen zum Zwecke der Direktwerbung verarbeiten, so werden wir Ihre Daten dann nicht mehr verarbeiten (vgl. Art. 21 DSGVO). Sie können sich hierfür per Post oder per E-Mail an uns wenden.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
C.5 Widerrufsrecht bei erteilter Einwilligung
Sie haben das Recht, eine erteilte Einwilligung in die Erhebung und Verwendung personenbezogener Daten mit Wirkung für die Zukunft jederzeit zu widerrufen. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
C.6 Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der Voraussetzungen des Art. 18 DSGVO vorliegt. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1).
C.7 Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber uns geltend gemacht, sind wir verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber uns das Recht zu, über diese Empfänger unterrichtet zu werden.
C.8 Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, wenn die Voraussetzungen des Art. 20 DSGVO vorliegen. Sie können sich hierfür per Post oder per E-Mail an uns wenden (siehe oben in Abschnitt A.1).
C.9 Automatisierte Entscheidungsfindung einschließlich Profiling
Eine automatisierte Entscheidungsfindung findet durch uns nicht statt.
C.10 Freiwilligkeit der Bereitstellung der Daten
Bei unseren verschiedenen Angeboten haben wir genauer beschrieben, welche Daten freiwillig sind und welche Daten verpflichtend angegeben werden müssen.
Grundsätzlich gilt, dass Sie uns keine personenbezogenen Daten bereitstellen müssen. In diesem Fall können wir jedoch ggf. die gewünschte oder erbetene Leistung Ihnen gegenüber nicht erbringen.
C.11 Beschwerderecht bei einer Aufsichtsbehörde
Sie haben jederzeit unbeschadet anderweitiger Rechte das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen das Datenschutzrecht verstößt.
Stand der Datenschutzerklärung: 02.04.2024