Bohrinsel Guide - Nordic Offshore

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung („DSGVO“) ist:

Paul Böcher
Anschrift: [Straße, Hausnummer, PLZ, Ort, Land] (ladungsfähige Anschrift)
E-Mail: [E-Mail-Adresse]
Website: [Domain]

Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Die vorstehenden Angaben erfolgen zugleich zur Erfüllung der Informationspflichten gemäß Art. 13 Abs. 1 lit. a DSGVO (Name und Kontaktdaten des Verantwortlichen).

Hinweis zum Datenschutzbeauftragten

Sofern für diese Website / dieses Unternehmen ein Datenschutzbeauftragter zu benennen ist oder freiwillig benannt wurde, werden dessen Kontaktdaten hier bzw. an geeigneter Stelle in dieser Datenschutzerklärung angegeben (Art. 13 Abs. 1 lit. b DSGVO). Andernfalls besteht keine Benennung.

Transparenz- und Verständlichkeitsgebot

Diese Datenschutzerklärung ist so gestaltet, dass sie präzise, transparent, verständlich und leicht zugänglich ist und in klarer und einfacher Sprache bereitgestellt wird (Art. 12 DSGVO; Erwägungsgrund 58 DSGVO).

2. Allgemeine Hinweise zur Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Vorschriften der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) in der jeweils geltenden Fassung. Maßgeblich sind insbesondere die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO, wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden müssen (Art. 5 Abs. 1 lit. a DSGVO), nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen (Art. 5 Abs. 1 lit. b DSGVO), dem Zweck angemessen und auf das notwendige Maß beschränkt sein müssen (Art. 5 Abs. 1 lit. c DSGVO), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen (Art. 5 Abs. 1 lit. d DSGVO), nur so lange gespeichert werden dürfen, wie es für die Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO), und durch geeignete technische und organisatorische Maßnahmen gegen unbefugte oder unrechtmäßige Verarbeitung sowie gegen unbeabsichtigten Verlust zu schützen sind (Art. 5 Abs. 1 lit. f DSGVO).

Personenbezogene Daten im Sinne dieser Datenschutzerklärung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Die Verarbeitung personenbezogener Daten umfasst gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Eine Verarbeitung personenbezogener Daten erfolgt, wenn Sie diese Website aufrufen, mit dem Verantwortlichen in Kontakt treten, digitale Produkte erwerben, sich für einen Newsletter anmelden oder in sonstiger Weise mit dem Angebot interagieren. Dabei können insbesondere Identifikations- und Kontaktdaten, Kommunikationsinhalte, Vertrags- und Abrechnungsdaten, Nutzungsdaten sowie technische Verbindungsdaten verarbeitet werden, soweit dies im jeweiligen Einzelfall erforderlich ist.

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich, wenn eine gesetzliche Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO gegeben ist. Soweit eine Einwilligung der betroffenen Person vorliegt, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Ist die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, beruht sie auf Art. 6 Abs. 1 lit. c DSGVO. Soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; hierbei sind insbesondere die in Erwägungsgrund 47 DSGVO niedergelegten Maßstäbe zur Interessenabwägung zu berücksichtigen.

Die Informationspflichten gegenüber betroffenen Personen ergeben sich aus Art. 13 und Art. 14 DSGVO. Diese Datenschutzerklärung dient der Erfüllung dieser gesetzlichen Transparenzanforderungen. Sie ist entsprechend Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form abgefasst und verwendet eine klare und einfache Sprache, ohne den juristisch gebotenen Inhalt zu verkürzen.

Der Verantwortliche trifft gemäß Art. 24 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten im Einklang mit den Vorschriften der DSGVO erfolgt. Dabei werden die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade der Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt. Soweit erforderlich, werden diese Maßnahmen gemäß Art. 25 DSGVO unter Beachtung der Grundsätze „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ umgesetzt.

3. Hosting

Die Bereitstellung dieser Website erfolgt über einen externen Hosting-Dienstleister. Personenbezogene Daten, die im Rahmen der Nutzung dieser Website verarbeitet werden, werden auf den Servern des Hosting-Anbieters verarbeitet. Hierbei kann es sich insbesondere um IP-Adressen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Inhaltsdaten sowie um sonstige Daten handeln, die über eine Website generiert werden.

Die Inanspruchnahme eines Hosting-Dienstleisters stellt eine Verarbeitung personenbezogener Daten im Auftrag dar, sofern der Dienstleister personenbezogene Daten nicht zu eigenen Zwecken, sondern ausschließlich nach Weisung des Verantwortlichen verarbeitet. Maßgeblich hierfür ist Art. 4 Nr. 8 DSGVO, wonach „Auftragsverarbeiter“ eine natürliche oder juristische Person ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die rechtlichen Anforderungen an eine solche Auftragsverarbeitung ergeben sich aus Art. 28 DSGVO. Danach darf ein Verantwortlicher nur solche Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Mit dem Hosting-Dienstleister wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO geschlossen. Dieser Vertrag regelt insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Der Auftragsverarbeiter ist dabei insbesondere verpflichtet, personenbezogene Daten nur auf dokumentierte Weisung zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen (Art. 28 Abs. 3 lit. c DSGVO) und die Vertraulichkeit sicherzustellen (Art. 28 Abs. 3 lit. b DSGVO).

Die Verarbeitung der im Rahmen des Hostings anfallenden personenbezogenen Daten erfolgt zum Zweck der technischen Bereitstellung der Website sowie zur Gewährleistung von Stabilität und Sicherheit der informationstechnischen Systeme. Die Gewährleistung der Netz- und Informationssicherheit stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar. Erwägungsgrund 49 DSGVO konkretisiert, dass die Verarbeitung personenbezogener Daten im unbedingt erforderlichen und verhältnismäßigen Umfang zur Gewährleistung der Netz- und Informationssicherheit ein berechtigtes Interesse darstellen kann, insbesondere zur Verhinderung unbefugter Zugriffe und zur Abwehr von Angriffen auf elektronische Kommunikationsnetze und -systeme.

Soweit die Verarbeitung personenbezogener Daten im Rahmen des Hostings zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, erfolgt sie ergänzend auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Die Speicherung der Daten erfolgt nur für den Zeitraum, der zur Erreichung des jeweiligen Zwecks erforderlich ist, unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO. Log- und Protokolldaten werden regelmäßig gelöscht oder anonymisiert, sobald sie für die Sicherstellung des Betriebs und der Sicherheit nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Eine Übermittlung personenbezogener Daten in ein Drittland im Zusammenhang mit dem Hosting erfolgt grundsätzlich nicht, sofern der Hosting-Dienstleister seine Leistungen ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erbringt. Sollte eine Übermittlung in ein Drittland erfolgen, richtet sich diese nach den Voraussetzungen der Art. 44 ff. DSGVO.

Die Einbindung eines Hosting-Dienstleisters erfolgt somit unter Beachtung der Vorgaben der Art. 4 Nr. 8, Art. 6 Abs. 1, Art. 24, Art. 28, Art. 32 sowie Art. 44 ff. DSGVO und unter Berücksichtigung des Erwägungsgrundes 49 DSGVO.

4. Server-Logfiles

Beim Aufruf dieser Website werden durch das vom Verantwortlichen beauftragte Hosting-System automatisiert Informationen erfasst und in sogenannten Server-Logfiles gespeichert. Diese Daten werden durch den Browser des jeweiligen Endgeräts übermittelt. Hierbei handelt es sich insbesondere um die IP-Adresse des anfragenden Endgeräts, Datum und Uhrzeit des Zugriffs, die aufgerufene Seite beziehungsweise Datei, den HTTP-Statuscode, die jeweils übertragene Datenmenge, die Referrer-URL (zuvor besuchte Seite), Angaben zum verwendeten Browsertyp und zur Browserversion sowie zum Betriebssystem des Nutzers.

IP-Adressen stellen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO dar, sofern sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Gerichtshof der Europäischen Union hat mit Urteil vom 19. Oktober 2016 (Rs. C-582/14 – Breyer) klargestellt, dass dynamische IP-Adressen für einen Websitebetreiber personenbezogene Daten darstellen können, wenn rechtliche Mittel bestehen, die es ermöglichen, die betroffene Person mithilfe zusätzlicher Informationen identifizieren zu lassen. Vor diesem Hintergrund erfolgt die Verarbeitung von IP-Adressen unter Beachtung der Vorgaben der DSGVO.

Die Verarbeitung der Server-Logfiles erfolgt zu dem Zweck, die Funktionsfähigkeit und Stabilität der Website sicherzustellen, die Sicherheit der informationstechnischen Systeme zu gewährleisten, Angriffe auf die Netzinfrastruktur zu erkennen und abzuwehren sowie Missbrauch zu verhindern. Diese Zwecke stehen im Einklang mit dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO.

Rechtsgrundlage für die Verarbeitung der genannten Daten ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Verantwortlichen liegt in der Gewährleistung der Sicherheit und Funktionsfähigkeit der Website sowie in der Abwehr unbefugter Zugriffe und sonstiger rechtswidriger Handlungen. Erwägungsgrund 49 DSGVO stellt ausdrücklich klar, dass die Verarbeitung personenbezogener Daten im unbedingt erforderlichen und verhältnismäßigen Umfang zur Gewährleistung der Netz- und Informationssicherheit ein berechtigtes Interesse darstellen kann, einschließlich der Verhinderung unbefugter Zugriffe auf elektronische Kommunikationsnetze und der Verhinderung von Schäden an Computersystemen.

Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt grundsätzlich nicht. Die Logfile-Daten werden ausschließlich zu den genannten Zwecken verarbeitet und nicht zur Erstellung personenbezogener Nutzungsprofile verwendet.

Die Speicherung der Server-Logfiles erfolgt nur für den Zeitraum, der zur Erreichung der genannten Zwecke erforderlich ist. Danach werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Dies entspricht dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Verarbeitung der Server-Logfiles erfolgt unter Berücksichtigung der Vorgaben der Art. 4 Nr. 1 und Nr. 2, Art. 5 Abs. 1 lit. a, e und f, Art. 6 Abs. 1 lit. f sowie unter Beachtung von Erwägungsgrund 49 DSGVO und der Rechtsprechung des Gerichtshofs der Europäischen Union zur Einordnung von IP-Adressen als personenbezogene Daten.

5. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Gründen der Datensicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- beziehungsweise TLS-Verschlüsselung (Secure Sockets Layer / Transport Layer Security). Eine verschlüsselte Verbindung ist daran zu erkennen, dass die Adresszeile des Browsers mit „https://“ beginnt sowie an dem Schloss-Symbol in der Browserzeile.

Durch die Aktivierung der SSL-/TLS-Verschlüsselung werden die Daten, die zwischen dem Endgerät des Nutzers und dem Server dieser Website übertragen werden, vor unbefugtem Zugriff Dritter geschützt. Dies betrifft insbesondere personenbezogene Daten, die im Rahmen von Kontaktanfragen, Bestellvorgängen oder sonstigen Eingaben übermittelt werden.

Die Implementierung einer Transportverschlüsselung dient der Gewährleistung der Integrität und Vertraulichkeit personenbezogener Daten im Sinne von Art. 5 Abs. 1 lit. f DSGVO. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.

Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als Beispiel nennt Art. 32 Abs. 1 lit. a DSGVO ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Die Nutzung von SSL-/TLS-Verschlüsselung entspricht dem anerkannten Stand der Technik zur Sicherung von Datenübertragungen im Internet und stellt eine solche geeignete Maßnahme dar.

Die konkrete Ausgestaltung der technischen und organisatorischen Maßnahmen erfolgt unter Berücksichtigung der Risikobewertung gemäß Art. 32 Abs. 2 DSGVO, wonach bei der Bewertung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen sind, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung personenbezogener Daten.

Durch die Verwendung der SSL-/TLS-Verschlüsselung wird somit den gesetzlichen Anforderungen aus Art. 5 Abs. 1 lit. f DSGVO sowie Art. 32 DSGVO Rechnung getragen.

6. Cookies und vergleichbare Technologien

Diese Website verwendet Cookies sowie gegebenenfalls vergleichbare Technologien zur Speicherung und zum Abruf von Informationen auf dem Endgerät des Nutzers. Cookies sind kleine Textdateien, die auf dem Endgerät gespeichert werden und bestimmte Informationen enthalten. Der Einsatz solcher Technologien unterliegt neben der Datenschutz-Grundverordnung insbesondere den Vorgaben des § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG).

Nach § 25 Abs. 1 TTDSG ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Eine Ausnahme hiervon besteht gemäß § 25 Abs. 2 TTDSG nur dann, wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann oder wenn die Speicherung oder der Zugriff allein dem Zweck dient, die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz durchzuführen.

Soweit Cookies oder vergleichbare Technologien technisch unbedingt erforderlich sind, um die Funktionsfähigkeit und Sicherheit der Website zu gewährleisten, erfolgt deren Einsatz auf Grundlage von § 25 Abs. 2 TTDSG. Die anschließende Verarbeitung personenbezogener Daten, die in diesem Zusammenhang erfolgt, stützt sich auf Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der technisch fehlerfreien und sicheren Bereitstellung des Onlineangebots sowie in der Gewährleistung der IT-Sicherheit. Dabei werden die Grundsätze der Datenminimierung und Zweckbindung gemäß Art. 5 Abs. 1 lit. b und lit. c DSGVO beachtet.

Soweit Cookies zu Analyse-, Marketing- oder sonstigen nicht zwingend erforderlichen Zwecken eingesetzt werden, erfolgt die Speicherung oder der Zugriff auf Informationen im Endgerät ausschließlich auf Grundlage einer vorherigen Einwilligung gemäß § 25 Abs. 1 TTDSG. Die anschließende Verarbeitung personenbezogener Daten stützt sich in diesen Fällen auf Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erfolgt freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO).

Die durch Cookies verarbeiteten personenbezogenen Daten können insbesondere Online-Kennungen im Sinne von Art. 4 Nr. 1 DSGVO umfassen, wie etwa IP-Adressen oder eindeutige Kennungen, die eine Wiedererkennung eines Endgeräts ermöglichen. Erwägungsgrund 30 DSGVO stellt klar, dass natürliche Personen mit Online-Kennungen wie IP-Adressen oder Cookie-Kennungen identifiziert werden können und diese daher als personenbezogene Daten zu qualifizieren sind, sofern ein Personenbezug hergestellt werden kann.

Die Speicherdauer von Cookies richtet sich nach deren jeweiligem Zweck. Technisch notwendige Cookies werden in der Regel nach Beendigung der Sitzung gelöscht oder nur so lange gespeichert, wie dies zur Bereitstellung der jeweiligen Funktion erforderlich ist. Analyse- oder Marketing-Cookies können darüber hinaus für einen definierten Zeitraum gespeichert werden, der im Rahmen des eingesetzten Einwilligungsmanagement-Systems transparent ausgewiesen wird. Die Speicherung erfolgt unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Verarbeitung im Zusammenhang mit Cookies erfolgt unter Berücksichtigung der Vorgaben des § 25 TTDSG sowie der Art. 4 Nr. 1 und Nr. 11, Art. 5 Abs. 1, Art. 6 Abs. 1, Art. 7 und Erwägungsgrund 30 DSGVO.

7. Einsatz von Google Analytics (GA4)

Diese Website nutzt Google Analytics in der Version Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Ireland Limited ist eine Tochtergesellschaft der Google LLC mit Sitz in 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google Analytics ermöglicht die Analyse der Benutzung dieser Website durch Nutzer. In diesem Zusammenhang werden personenbezogene Daten verarbeitet, insbesondere Online-Kennungen einschließlich IP-Adresse, Gerätekennungen, Client-IDs, Interaktionsdaten, Nutzungsdaten, Informationen zum verwendeten Endgerät, ungefähre Standortdaten sowie technische Informationen zum Browser und Betriebssystem. Diese Daten können nach Maßgabe der eingesetzten Konfiguration auch serverseitig oder clientseitig verarbeitet werden.

Online-Kennungen wie IP-Adressen oder Cookie-Kennungen können personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen, da sie eine Identifizierung natürlicher Personen ermöglichen oder zumindest mittelbar erlauben. Erwägungsgrund 30 DSGVO stellt ausdrücklich klar, dass natürlichen Personen Online-Kennungen zugeordnet sein können, die Spuren hinterlassen und in Kombination mit anderen Informationen zur Identifizierung genutzt werden können.

Der Einsatz von Google Analytics erfolgt ausschließlich auf Grundlage einer vorherigen Einwilligung des Nutzers. Rechtsgrundlage für die Speicherung von Informationen im Endgerät oder den Zugriff auf solche Informationen ist § 25 Abs. 1 TTDSG. Die anschließende Verarbeitung personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung wird über ein Einwilligungsmanagement-Tool eingeholt und entspricht den Anforderungen des Art. 4 Nr. 11 DSGVO sowie Art. 7 DSGVO. Sie ist freiwillig, informiert und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Die Verarbeitung dient dem Zweck der Analyse des Nutzerverhaltens, der statistischen Auswertung der Nutzung dieser Website, der Reichweitenmessung sowie der Optimierung des Onlineangebots. Diese Zwecke stehen im Einklang mit dem Transparenzgebot gemäß Art. 12 DSGVO sowie den Informationspflichten nach Art. 13 DSGVO.

Google Analytics kann eine Übermittlung personenbezogener Daten in ein Drittland im Sinne von Art. 44 DSGVO, insbesondere in die Vereinigten Staaten von Amerika, nicht ausschließen. Eine Drittlandübermittlung ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO, sofern der Datenempfänger unter dem EU-US Data Privacy Framework zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere durch den Abschluss von Standardvertragsklauseln der Europäischen Kommission. Ergänzend sind gemäß Art. 44 DSGVO sämtliche Bestimmungen des Kapitels V DSGVO zu beachten.

Die Verarbeitung erfolgt unter Beachtung der Grundsätze des Art. 5 DSGVO, insbesondere der Datenminimierung und Zweckbindung. Soweit möglich, wird die IP-Adresse durch Google innerhalb der Europäischen Union gekürzt oder anderweitig anonymisiert, bevor eine weitere Verarbeitung erfolgt. Eine Zusammenführung der im Rahmen von Google Analytics erhobenen Daten mit anderen Datenquellen erfolgt nicht durch den Verantwortlichen.

Die Daten werden nur so lange gespeichert, wie es für die Erreichung der genannten Zwecke erforderlich ist. Die Speicherdauer richtet sich nach den in Google Analytics konfigurierten Aufbewahrungsfristen und unterliegt dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Einbindung von Google Analytics erfolgt somit unter Beachtung der §§ 25 TTDSG sowie der Art. 4 Nr. 1 und Nr. 11, Art. 5, Art. 6 Abs. 1 lit. a, Art. 7, Art. 12, Art. 13 sowie Art. 44 ff. DSGVO.

8. Einsatz eines Sicherheitsplugins

Zur Gewährleistung der Sicherheit und Funktionsfähigkeit dieser Website wird ein Sicherheitsplugin eingesetzt. Dieses dient insbesondere der Erkennung, Analyse und Abwehr von unbefugten Zugriffsversuchen, automatisierten Angriffen (z. B. Brute-Force-Angriffe), Schadcode-Integrationen sowie sonstigen sicherheitsrelevanten Ereignissen.

Im Rahmen des Einsatzes eines Sicherheitsplugins können personenbezogene Daten verarbeitet werden. Hierzu gehören insbesondere IP-Adressen, Zeitstempel von Zugriffs- und Login-Versuchen, Angaben zum verwendeten Browser und Betriebssystem, aufgerufene URLs sowie weitere technische Protokolldaten, soweit diese zur Angriffserkennung oder Missbrauchsverhinderung erforderlich sind.

IP-Adressen stellen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO dar, sofern ein Personenbezug hergestellt werden kann. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (Urteil vom 19. Oktober 2016, Rs. C-582/14 – Breyer) können dynamische IP-Adressen für den Betreiber einer Website personenbezogene Daten darstellen, wenn rechtliche Mittel bestehen, die betroffene Person mithilfe zusätzlicher Informationen identifizieren zu lassen. Die Verarbeitung solcher Daten erfolgt daher unter Beachtung der datenschutzrechtlichen Vorgaben.

Zweck der Verarbeitung ist die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit der informationstechnischen Systeme. Dies entspricht dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO. Darüber hinaus ist der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO verpflichtet, unter Berücksichtigung des Stands der Technik sowie der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Der Einsatz eines Sicherheitsplugins stellt eine solche technische Maßnahme dar.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen des Sicherheitsplugins ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Verantwortlichen liegt in der Abwehr von Angriffen auf die IT-Infrastruktur, der Verhinderung missbräuchlicher Nutzung sowie dem Schutz personenbezogener Daten vor unbefugtem Zugriff. Erwägungsgrund 49 DSGVO stellt ausdrücklich klar, dass die Verarbeitung personenbezogener Daten im unbedingt erforderlichen und verhältnismäßigen Umfang zur Gewährleistung der Netz- und Informationssicherheit ein berechtigtes Interesse darstellen kann. Hierzu zählt insbesondere die Verhinderung unbefugter Zugriffe auf elektronische Kommunikationsnetze und die Verhinderung von Schäden an Computersystemen.

Soweit das Sicherheitsplugin durch einen externen Anbieter bereitgestellt wird und dieser Zugriff auf personenbezogene Daten erhält, erfolgt die Verarbeitung im Rahmen einer Auftragsverarbeitung gemäß Art. 4 Nr. 8 und Art. 28 DSGVO. In diesem Fall besteht ein Vertrag zur Auftragsverarbeitung, der die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt. Eine eigenständige Verarbeitung zu eigenen Zwecken durch den Anbieter erfolgt nicht.

Die Speicherung der im Rahmen der Sicherheitsmaßnahmen erhobenen Daten erfolgt nur so lange, wie dies zur Aufklärung und Abwehr konkreter sicherheitsrelevanter Vorfälle erforderlich ist. Danach werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Dies erfolgt unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Verarbeitung im Zusammenhang mit dem Sicherheitsplugin erfolgt somit unter Beachtung der Art. 4 Nr. 1 und Nr. 8, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. f, Art. 28, Art. 32 DSGVO sowie unter Berücksichtigung von Erwägungsgrund 49 DSGVO und der Rechtsprechung des Gerichtshofs der Europäischen Union zur Einordnung von IP-Adressen als personenbezogene Daten.

Wenn du möchtest, können wir nun Abschnitt 9 (Digitale Produkte und Vertragsabwicklung) ausarbeiten, einschließlich der präzisen Subsumtion unter Art. 6 Abs. 1 lit. b DSGVO sowie steuerrechtlicher Aufbewahrungspflichten.

9. Digitale Produkte und Vertragsabwicklung

Sofern über diese Website digitale Produkte angeboten und erworben werden, erfolgt die Verarbeitung personenbezogener Daten zum Zwecke der Anbahnung, des Abschlusses und der Durchführung von Verträgen. Die Verarbeitung umfasst insbesondere die Erhebung und Verarbeitung von Identifikations- und Kontaktdaten wie Name und E-Mail-Adresse, Rechnungs- und Zahlungsdaten, Bestell- und Transaktionsdaten sowie gegebenenfalls Kommunikationsdaten im Zusammenhang mit der Vertragsabwicklung.

Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 lit. b DSGVO rechtmäßig, wenn sie zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Der Abschluss eines Kaufvertrages über digitale Inhalte setzt die Verarbeitung der zur Vertragsdurchführung notwendigen Daten voraus. Ohne Bereitstellung dieser Daten ist ein Vertragsschluss regelmäßig nicht möglich.

Die Verarbeitung dient insbesondere folgenden Zwecken: Identifizierung des Vertragspartners, Durchführung des Bestellvorgangs, Bereitstellung des erworbenen digitalen Inhalts, Rechnungsstellung, Zahlungsabwicklung, Kommunikation im Zusammenhang mit der Bestellung sowie gegebenenfalls Durchsetzung vertraglicher Ansprüche. Diese Zwecke stehen im Einklang mit dem Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO.

Soweit im Rahmen der Vertragsabwicklung gesetzliche Pflichten zu erfüllen sind, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Hierzu zählen insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten nach § 147 Abgabenordnung (AO) sowie § 257 Handelsgesetzbuch (HGB), wonach bestimmte Geschäftsunterlagen für einen gesetzlich festgelegten Zeitraum aufzubewahren sind.

Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Grundsätze des Art. 5 DSGVO, insbesondere der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO. Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Durchführung des Vertrags erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Ablauf dieser Fristen werden die Daten gelöscht, sofern keine weiteren gesetzlichen oder vertraglichen Verpflichtungen entgegenstehen.

Soweit zur Vertragsdurchführung externe Dienstleister, insbesondere Zahlungsdienstleister oder technische Plattformanbieter, eingebunden werden, erfolgt die Weitergabe personenbezogener Daten nur, soweit dies zur Erfüllung des Vertrags erforderlich ist. Die Weitergabe erfolgt unter Beachtung der Vorgaben der Art. 28 DSGVO, sofern eine Auftragsverarbeitung vorliegt, oder im Rahmen einer eigenständigen Verantwortlichkeit des jeweiligen Dienstleisters.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Erwerb digitaler Produkte erfolgt somit unter Beachtung der Art. 4 Nr. 1 und Nr. 2, Art. 5 Abs. 1, Art. 6 Abs. 1 lit. b und lit. c DSGVO sowie der einschlägigen handels- und steuerrechtlichen Vorschriften.

Wenn du möchtest, können wir nun Abschnitt 10 (Zahlungsdienstleister – Stripe und PayPal) mit vollständiger Analyse der datenschutzrechtlichen Rollenverteilung und Drittlandübermittlung ausarbeiten.

10. Zahlungsdienstleister (Stripe und PayPal)

Zur Abwicklung von Zahlungen im Rahmen des Erwerbs digitaler Produkte werden externe Zahlungsdienstleister eingebunden. Die Einbindung erfolgt ausschließlich zum Zweck der ordnungsgemäßen Durchführung des Zahlungsverkehrs.

10.1 Stripe

Für die Zahlungsabwicklung kann der Dienst „Stripe“ eingesetzt werden. Anbieter für Kunden innerhalb des Europäischen Wirtschaftsraums ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe Payments Europe Ltd. ist ein reguliertes Zahlungsinstitut im Sinne der europäischen Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366 – PSD2).

Wählt der Nutzer eine Zahlung über Stripe, werden die zur Zahlungsabwicklung erforderlichen personenbezogenen Daten an Stripe übermittelt. Hierzu gehören insbesondere Name, Rechnungsadresse, E-Mail-Adresse, Zahlungsbetrag, Transaktionsinformationen sowie Zahlungsdaten (z. B. Kreditkarteninformationen oder Bankverbindungsdaten). Die Übermittlung erfolgt ausschließlich, soweit dies zur Durchführung der Zahlung erforderlich ist.

Rechtsgrundlage für die Übermittlung personenbezogener Daten an Stripe ist Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung zur Erfüllung des mit der betroffenen Person geschlossenen Vertrags erforderlich ist. Ohne Weitergabe der Zahlungsdaten kann die Transaktion nicht durchgeführt werden.

Stripe verarbeitet die übermittelten Daten im Rahmen eigener datenschutzrechtlicher Verantwortlichkeit, soweit dies für die Durchführung der Zahlung sowie zur Erfüllung gesetzlicher Verpflichtungen, insbesondere geldwäscherechtlicher Vorschriften, erforderlich ist. In diesem Umfang ist Stripe nicht Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO, sondern eigenständig Verantwortlicher.

Soweit eine Übermittlung personenbezogener Daten in ein Drittland im Sinne von Art. 44 DSGVO erfolgt, insbesondere an die Stripe, Inc. mit Sitz in den Vereinigten Staaten von Amerika, erfolgt diese Übermittlung nur unter Beachtung der Art. 44 ff. DSGVO. Eine solche Übermittlung kann auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO erfolgen, sofern der jeweilige Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist. Alternativ erfolgt die Übermittlung auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere durch Abschluss von Standardvertragsklauseln der Europäischen Kommission.

10.2 PayPal

Alternativ kann eine Zahlung über PayPal erfolgen. Anbieter für Nutzer im Europäischen Wirtschaftsraum ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg, Luxemburg. PayPal ist ein zugelassenes Kreditinstitut im Sinne des luxemburgischen Rechts und unterliegt der Aufsicht der Commission de Surveillance du Secteur Financier (CSSF).

Bei Auswahl der Zahlungsart PayPal werden personenbezogene Daten, die zur Zahlungsabwicklung erforderlich sind, an PayPal übermittelt. Hierzu zählen insbesondere Name, E-Mail-Adresse, Rechnungs- und Lieferdaten, Zahlungsbetrag sowie Transaktionsdaten. Die Übermittlung erfolgt ausschließlich zum Zweck der Durchführung der Zahlung.

Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung zur Erfüllung des Vertrags erforderlich ist. PayPal verarbeitet die Daten eigenverantwortlich zur Zahlungsabwicklung sowie zur Erfüllung gesetzlicher Verpflichtungen, insbesondere nach geldwäscherechtlichen und bankaufsichtsrechtlichen Vorschriften.

Soweit PayPal personenbezogene Daten an verbundene Unternehmen oder Dienstleister in Drittländern übermittelt, erfolgt dies ausschließlich unter Beachtung der Art. 44 ff. DSGVO. Eine Übermittlung kann insbesondere auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO oder unter Verwendung von Standardvertragsklauseln gemäß Art. 46 DSGVO erfolgen.

10.3 Grundsätze der Verarbeitung

Die Verarbeitung personenbezogener Daten im Rahmen der Zahlungsabwicklung erfolgt unter Beachtung der Grundsätze des Art. 5 DSGVO, insbesondere der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Speicherbegrenzung. Es werden nur solche Daten übermittelt, die zur Durchführung der jeweiligen Transaktion erforderlich sind.

Die Einbindung externer Zahlungsdienstleister erfolgt somit unter Beachtung der Art. 4 Nr. 1, Art. 5 Abs. 1, Art. 6 Abs. 1 lit. b, Art. 44 ff. DSGVO sowie der einschlägigen unionsrechtlichen Vorgaben für Zahlungsdienstleister.

Wenn du möchtest, können wir nun Abschnitt 11 (Steuerliche Aufbewahrung) in derselben juristischen Präzision ausarbeiten.

11. Steuerliche Aufbewahrung und gesetzliche Speicherpflichten

Im Rahmen der Vertragsabwicklung sowie der unternehmerischen Tätigkeit werden personenbezogene Daten verarbeitet, die handels- und steuerrechtlichen Aufbewahrungspflichten unterliegen. Hierzu zählen insbesondere Rechnungsdaten, Zahlungsnachweise, Buchungsbelege, Vertragsunterlagen sowie sonstige geschäftliche Korrespondenz mit steuerlicher Relevanz.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit gesetzlichen Aufbewahrungspflichten ist Art. 6 Abs. 1 lit. c DSGVO. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die maßgeblichen gesetzlichen Verpflichtungen ergeben sich insbesondere aus § 147 Abs. 1 Abgabenordnung (AO) sowie § 257 Abs. 1 Handelsgesetzbuch (HGB). Nach § 147 AO sind unter anderem Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Buchungsbelege sowie empfangene und abgesandte Handels- oder Geschäftsbriefe aufzubewahren. Die Aufbewahrungsfrist beträgt gemäß § 147 Abs. 3 AO grundsätzlich zehn Jahre für Buchungsbelege und sechs Jahre für empfangene oder abgesandte Handels- und Geschäftsbriefe. Entsprechende Regelungen enthält § 257 Abs. 4 HGB.

Soweit personenbezogene Daten Bestandteil dieser Unterlagen sind, erfolgt deren Speicherung für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen. Während dieses Zeitraums ist eine Löschung regelmäßig ausgeschlossen, da die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich bleibt.

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden die betroffenen personenbezogenen Daten gelöscht, sofern keine weiteren gesetzlichen oder vertraglichen Verpflichtungen einer Löschung entgegenstehen. Die Verarbeitung erfolgt unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Soweit im Rahmen der Buchhaltung oder steuerlichen Beratung externe Dienstleister, insbesondere Steuerberater oder Buchhaltungsdienstleister, eingebunden werden, erfolgt die Weitergabe personenbezogener Daten ausschließlich im erforderlichen Umfang. Je nach Ausgestaltung kann dies im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO oder im Rahmen einer eigenständigen Verantwortlichkeit des jeweiligen Berufsträgers erfolgen. Berufsrechtliche Verschwiegenheitspflichten bleiben hiervon unberührt.

Die Verarbeitung personenbezogener Daten zu steuerlichen und handelsrechtlichen Zwecken erfolgt somit unter Beachtung der Art. 5 Abs. 1, Art. 6 Abs. 1 lit. c DSGVO sowie der §§ 147 AO und 257 HGB.

12. Kontaktformular und E-Mail-Kommunikation

Bei einer Kontaktaufnahme mit dem Verantwortlichen, insbesondere über ein auf dieser Website bereitgestelltes Kontaktformular oder per E-Mail, werden die von der anfragenden Person mitgeteilten personenbezogenen Daten verarbeitet. Hierzu gehören regelmäßig der Name, die E-Mail-Adresse, der Inhalt der Nachricht sowie gegebenenfalls weitere freiwillig übermittelte Angaben.

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Verarbeitung umfasst gemäß Art. 4 Nr. 2 DSGVO insbesondere das Erheben, Speichern, Verwenden und gegebenenfalls Übermitteln solcher Daten.

Die Verarbeitung der im Rahmen der Kontaktaufnahme übermittelten personenbezogenen Daten dient ausschließlich dem Zweck der Bearbeitung und Beantwortung der jeweiligen Anfrage sowie gegebenenfalls der Anbahnung oder Durchführung eines Vertragsverhältnisses. Sie erfolgt unter Beachtung des Grundsatzes der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, sofern die Kontaktaufnahme im Zusammenhang mit einem bestehenden oder beabsichtigten Vertragsverhältnis erfolgt oder auf vorvertragliche Maßnahmen gerichtet ist. In allen übrigen Fällen beruht die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Verantwortlichen liegt in der sachgerechten Bearbeitung von Anfragen, der Aufrechterhaltung der Kommunikation mit Nutzern sowie der Organisation des Geschäftsbetriebs. Die Interessenabwägung erfolgt unter Berücksichtigung der berechtigten Erwartungen der betroffenen Person gemäß Erwägungsgrund 47 DSGVO.

Eine Weitergabe der im Rahmen der Kontaktaufnahme erhobenen Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, dies ist zur Bearbeitung der Anfrage erforderlich oder gesetzlich vorgeschrieben. Soweit zur technischen Bereitstellung des Kontaktformulars oder zur Verwaltung der E-Mail-Kommunikation externe Dienstleister eingesetzt werden, erfolgt die Verarbeitung im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.

Die im Zusammenhang mit der Kontaktaufnahme erhobenen personenbezogenen Daten werden nur so lange gespeichert, wie dies zur Bearbeitung der Anfrage erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Wegfall des Verarbeitungszwecks und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die Daten gelöscht. Dies erfolgt unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Verarbeitung personenbezogener Daten im Rahmen der Kontaktaufnahme erfolgt somit unter Beachtung der Art. 4 Nr. 1 und Nr. 2, Art. 5 Abs. 1, Art. 6 Abs. 1 lit. b und lit. f, Art. 28 DSGVO sowie unter Berücksichtigung von Erwägungsgrund 47 DSGVO.

13. Newsletter

Sofern auf dieser Website ein Newsletter angeboten wird, erfolgt der Versand elektronischer Newsletter ausschließlich auf Grundlage einer vorherigen ausdrücklichen Einwilligung der betroffenen Person.

Die Verarbeitung der im Rahmen der Newsletter-Anmeldung erhobenen personenbezogenen Daten – regelmäßig E-Mail-Adresse sowie gegebenenfalls Name – dient dem Zweck der regelmäßigen Übersendung von Informationen über eigene Angebote, Produkte oder Dienstleistungen. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO. Danach ist die Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die Einwilligung muss gemäß Art. 4 Nr. 11 DSGVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die Anforderungen an die Wirksamkeit der Einwilligung ergeben sich ergänzend aus Art. 7 DSGVO. Danach hat der Verantwortliche insbesondere nachzuweisen, dass die betroffene Person in die Verarbeitung eingewilligt hat (Art. 7 Abs. 1 DSGVO), und die Einwilligung ist jederzeit widerruflich (Art. 7 Abs. 3 DSGVO).

Die Anmeldung zum Newsletter erfolgt im sogenannten Double-Opt-In-Verfahren. Nach der Anmeldung erhält die betroffene Person eine Bestätigungs-E-Mail, in der sie durch einen gesonderten Bestätigungslink die Anmeldung verifizieren muss. Erst nach dieser Bestätigung wird die E-Mail-Adresse in den Verteiler aufgenommen. Dieses Verfahren dient dem Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO sowie dem Schutz vor missbräuchlichen Anmeldungen.

Der Versand von Newslettern per elektronischer Post unterliegt zudem den Vorgaben des § 7 Abs. 2 Nr. 3 Gesetz gegen den unlauteren Wettbewerb (UWG). Danach stellt die Versendung von Werbung unter Verwendung elektronischer Post ohne vorherige ausdrückliche Einwilligung des Adressaten grundsätzlich eine unzumutbare Belästigung dar. Die Einholung einer wirksamen Einwilligung dient daher zugleich der Einhaltung wettbewerbsrechtlicher Anforderungen.

Im Rahmen der Newsletter-Versendung können Nutzungsdaten, insbesondere Informationen darüber, ob und wann eine E-Mail geöffnet wurde und welche Links angeklickt wurden, verarbeitet werden, sofern dies technisch vorgesehen ist. Eine solche Verarbeitung erfolgt ebenfalls ausschließlich auf Grundlage der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Verarbeitung dient der statistischen Auswertung und Optimierung des Newsletter-Angebots.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO). Der Widerruf kann insbesondere über einen in jeder Newsletter-E-Mail enthaltenen Abmeldelink oder durch Mitteilung an den Verantwortlichen erfolgen.

Die personenbezogenen Daten werden für die Dauer des Newsletter-Abonnements gespeichert. Nach Abmeldung vom Newsletter werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder eine weitere Verarbeitung auf einer anderen Rechtsgrundlage zulässig ist. Die Verarbeitung erfolgt unter Beachtung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO.

Die Verarbeitung im Zusammenhang mit dem Newsletter erfolgt somit unter Beachtung der Art. 4 Nr. 1 und Nr. 11, Art. 5 Abs. 1, Art. 6 Abs. 1 lit. a, Art. 7 DSGVO sowie § 7 Abs. 2 Nr. 3 UWG.

14. E-Mail-Werbung an Bestandskunden

Sofern im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen die E-Mail-Adresse eines Kunden erhoben wurde, kann diese zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet werden.

Die Zulässigkeit der Verwendung der E-Mail-Adresse zu diesem Zweck richtet sich nach § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG). Danach ist eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG ausnahmsweise nicht anzunehmen, wenn ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat, die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet wird, der Kunde der Verwendung nicht widersprochen hat und der Kunde bei Erhebung der Adresse sowie bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Die Verarbeitung der E-Mail-Adresse für Zwecke der Direktwerbung an Bestandskunden erfolgt datenschutzrechtlich auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Erwägungsgrund 47 DSGVO stellt ausdrücklich klar, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.

Das berechtigte Interesse des Verantwortlichen liegt in der wirtschaftlichen Förderung eigener Angebote sowie in der Pflege bestehender Kundenbeziehungen. Die Interessenabwägung berücksichtigt, dass die betroffene Person bereits Kunde ist und die E-Mail-Adresse im Zusammenhang mit einem Vertragsverhältnis übermittelt hat. Zudem wird der betroffenen Person jederzeit die Möglichkeit eingeräumt, der Verwendung ihrer E-Mail-Adresse zu Werbezwecken zu widersprechen.

Der Widerspruch gegen die Verwendung der E-Mail-Adresse zu Werbezwecken ist jederzeit möglich. Hierauf wird bei Erhebung der E-Mail-Adresse sowie in jeder Werbe-E-Mail gesondert hingewiesen. Der Widerspruch kann formfrei erfolgen und führt dazu, dass die E-Mail-Adresse nicht mehr für Zwecke der Direktwerbung verwendet wird. Das Widerspruchsrecht ergibt sich zusätzlich aus Art. 21 Abs. 2 DSGVO, wonach die betroffene Person das Recht hat, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke der Direktwerbung einzulegen.

Die Verarbeitung der E-Mail-Adresse zu Zwecken der Bestandskundenwerbung erfolgt somit unter Beachtung der §§ 7 Abs. 3 UWG sowie Art. 5 Abs. 1, Art. 6 Abs. 1 lit. f und Art. 21 Abs. 2 DSGVO sowie unter Berücksichtigung von Erwägungsgrund 47 DSGVO.

15. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten an Empfänger in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) – sogenannte Drittländer – erfolgt nur, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Nach Art. 44 DSGVO ist jede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur zulässig, wenn die in Kapitel V der DSGVO niedergelegten Bedingungen eingehalten werden. Die Vorschriften der Art. 44 ff. DSGVO gewährleisten, dass das durch die DSGVO garantierte Schutzniveau für natürliche Personen auch bei einer Übermittlung in Drittländer nicht untergraben wird.

Eine Datenübermittlung in ein Drittland kann insbesondere im Zusammenhang mit der Nutzung bestimmter Dienstleister erfolgen, etwa bei der Einbindung von Analyse- oder Zahlungsdiensten mit Sitz oder Muttergesellschaft in den Vereinigten Staaten von Amerika.

15.1 Übermittlung auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO)

Eine Übermittlung personenbezogener Daten in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die Europäische Kommission entschieden hat, dass das betreffende Drittland, ein Gebiet oder ein bestimmter Sektor in diesem Drittland ein angemessenes Schutzniveau bietet. In diesem Fall bedarf die Übermittlung keiner besonderen Genehmigung.

Für die Vereinigten Staaten von Amerika hat die Europäische Kommission mit Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023 festgestellt, dass Organisationen, die unter dem EU-US Data Privacy Framework zertifiziert sind, ein angemessenes Schutzniveau gewährleisten. Soweit Empfänger personenbezogener Daten unter diesem Rahmen zertifiziert sind, erfolgt eine Datenübermittlung auf Grundlage von Art. 45 DSGVO in Verbindung mit dem genannten Angemessenheitsbeschluss.

15.2 Übermittlung auf Grundlage geeigneter Garantien (Art. 46 DSGVO)

Soweit kein Angemessenheitsbeschluss gemäß Art. 45 DSGVO besteht oder ein Empfänger nicht unter einem solchen Beschluss zertifiziert ist, erfolgt eine Übermittlung personenbezogener Daten nur unter Bereitstellung geeigneter Garantien gemäß Art. 46 DSGVO. Hierzu zählen insbesondere die von der Europäischen Kommission erlassenen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Die Standardvertragsklauseln verpflichten den Datenempfänger im Drittland vertraglich zur Einhaltung eines im Wesentlichen gleichwertigen Datenschutzniveaus. Ergänzend sind gegebenenfalls zusätzliche Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau sicherzustellen, wie es sich aus der Rechtsprechung des Gerichtshofs der Europäischen Union, insbesondere dem Urteil vom 16. Juli 2020 (Rs. C-311/18 – „Schrems II“), ergibt.

15.3 Übermittlung auf Grundlage besonderer Ausnahmetatbestände (Art. 49 DSGVO)

Eine Datenübermittlung kann ausnahmsweise auch unter den Voraussetzungen des Art. 49 DSGVO zulässig sein, etwa wenn die betroffene Person ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat oder wenn die Übermittlung zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Solche Übermittlungen erfolgen nur in eng begrenzten Ausnahmefällen und unter Beachtung der gesetzlichen Voraussetzungen.

15.4 Wahrung der Grundsätze des Art. 5 DSGVO

Unabhängig von der gewählten Übermittlungsgrundlage erfolgt jede Drittlandübermittlung unter Beachtung der Grundsätze des Art. 5 DSGVO, insbesondere der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Integrität sowie Vertraulichkeit. Es werden nur solche personenbezogenen Daten übermittelt, die für den jeweiligen Zweck erforderlich sind.

Die Drittlandübermittlung erfolgt somit unter Beachtung der Art. 44 bis 49 DSGVO, des Durchführungsbeschlusses (EU) 2023/1795 der Europäischen Kommission zum EU-US Data Privacy Framework sowie der einschlägigen Rechtsprechung des Gerichtshofs der Europäischen Union.

16. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten durch die betroffene Person kann gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich sein. Die Informationspflicht hierüber ergibt sich aus Art. 13 Abs. 2 lit. e DSGVO. Danach hat der Verantwortliche die betroffene Person darüber zu unterrichten, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.

Soweit personenbezogene Daten zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich sind, beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. In diesen Fällen ist die Bereitstellung der jeweils als Pflichtangaben gekennzeichneten Daten notwendig, um den Vertrag ordnungsgemäß durchführen zu können. Ohne die Angabe dieser Daten kann ein Vertragsschluss nicht erfolgen oder eine vertragliche Leistung nicht erbracht werden.

Soweit personenbezogene Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, beruht die Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO. Dies betrifft insbesondere handels- und steuerrechtliche Pflichten nach § 147 Abgabenordnung (AO) sowie § 257 Handelsgesetzbuch (HGB). In diesen Fällen ist der Verantwortliche gesetzlich verpflichtet, bestimmte personenbezogene Daten zu erheben und zu speichern.

In allen übrigen Fällen erfolgt die Bereitstellung personenbezogener Daten freiwillig. Eine Nichtbereitstellung kann jedoch dazu führen, dass bestimmte Funktionen der Website nicht genutzt werden können oder eine Bearbeitung von Anfragen nicht möglich ist.

Die Verarbeitung erfolgt stets unter Beachtung der Grundsätze des Art. 5 Abs. 1 DSGVO, insbesondere der Datenminimierung und Zweckbindung. Es werden nur solche personenbezogenen Daten erhoben, die für den jeweiligen Zweck erforderlich sind.

Die vorstehenden Ausführungen erfolgen zur Erfüllung der Transparenz- und Informationspflichten gemäß Art. 13 Abs. 2 lit. e DSGVO in Verbindung mit Art. 12 Abs. 1 DSGVO.

17. Automatisierte Entscheidungsfindung einschließlich Profiling

Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO findet nicht statt.

Art. 22 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine solche Entscheidung liegt insbesondere dann vor, wenn personenbezogene Daten automatisiert ausgewertet werden und das Ergebnis ohne menschliches Eingreifen zu einer Entscheidung führt, die erhebliche Auswirkungen auf die betroffene Person hat.

Profiling ist gemäß Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren oder vorherzusagen.

Soweit im Rahmen dieser Website technische Analyse- oder Auswertungsverfahren eingesetzt werden (z. B. statistische Auswertungen zur Optimierung des Angebots), führen diese nicht zu Entscheidungen mit rechtlicher Wirkung oder vergleichbar erheblichen Auswirkungen im Sinne von Art. 22 Abs. 1 DSGVO.

Die vorstehenden Angaben erfolgen zur Erfüllung der Informationspflicht gemäß Art. 13 Abs. 2 lit. f DSGVO. Danach hat der Verantwortliche die betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie – zumindest in diesen Fällen – über aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung zu informieren.

Sollte künftig eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO eingeführt werden, würde diese nur unter Beachtung der gesetzlichen Voraussetzungen erfolgen. Dies umfasst insbesondere das Vorliegen einer der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen sowie geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person gemäß Art. 22 Abs. 3 DSGVO.

18. Speicherdauer und Löschung personenbezogener Daten

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, erforderlich ist. Dies entspricht dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO. Danach müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist.

Die konkrete Speicherdauer richtet sich nach dem jeweiligen Verarbeitungszweck sowie nach etwaigen gesetzlichen Aufbewahrungspflichten. Soweit personenbezogene Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, erfolgt die Speicherung grundsätzlich für die Dauer des Vertragsverhältnisses sowie darüber hinaus, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesem Zusammenhang sind insbesondere die zivilrechtlichen Verjährungsvorschriften der §§ 195 ff. Bürgerliches Gesetzbuch (BGB) zu berücksichtigen.

Soweit personenbezogene Daten gesetzlichen Aufbewahrungspflichten unterliegen, erfolgt die Speicherung für die jeweils gesetzlich vorgeschriebene Dauer. Maßgeblich sind insbesondere die handels- und steuerrechtlichen Aufbewahrungspflichten gemäß § 147 Abgabenordnung (AO) sowie § 257 Handelsgesetzbuch (HGB). Nach § 147 Abs. 3 AO und § 257 Abs. 4 HGB betragen die Aufbewahrungsfristen regelmäßig sechs oder zehn Jahre, abhängig von der Art der Unterlagen.

Personenbezogene Daten, die auf Grundlage einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO verarbeitet werden, werden gespeichert, bis die betroffene Person ihre Einwilligung widerruft, sofern keine andere Rechtsgrundlage eine weitere Verarbeitung rechtfertigt. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).

Daten, die auf Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, werden gespeichert, solange das berechtigte Interesse fortbesteht und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen. Im Falle eines wirksamen Widerspruchs gemäß Art. 21 DSGVO werden die personenbezogenen Daten nicht weiterverarbeitet, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Nach Wegfall des jeweiligen Verarbeitungszwecks und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die personenbezogenen Daten gelöscht oder anonymisiert, sofern keine sonstigen gesetzlichen Pflichten einer Löschung entgegenstehen. Die Löschung erfolgt unter Beachtung der technischen und organisatorischen Maßnahmen gemäß Art. 24 und Art. 32 DSGVO.

Die vorstehenden Regelungen dienen der Erfüllung der Informationspflichten gemäß Art. 13 Abs. 2 lit. a DSGVO in Verbindung mit Art. 5 Abs. 1 lit. e DSGVO.

19. Rechte der betroffenen Personen

Betroffene Personen haben gegenüber dem Verantwortlichen die nachfolgend dargestellten Rechte hinsichtlich der sie betreffenden personenbezogenen Daten. Diese Rechte ergeben sich insbesondere aus Kapitel III der Datenschutz-Grundverordnung (Art. 12 bis 23 DSGVO).

Der Verantwortliche stellt der betroffenen Person gemäß Art. 12 Abs. 1 DSGVO alle Informationen gemäß Art. 13 und 14 DSGVO sowie alle Mitteilungen gemäß Art. 15 bis 22 und Art. 34 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung. Die Erteilung der Auskunft erfolgt grundsätzlich unentgeltlich gemäß Art. 12 Abs. 5 DSGVO, es sei denn, Anträge sind offenkundig unbegründet oder exzessiv.

19.1 Recht auf Auskunft (Art. 15 DSGVO)

Die betroffene Person hat gemäß Art. 15 Abs. 1 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, besteht ein Anspruch auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen, insbesondere über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer beziehungsweise die Kriterien für deren Festlegung, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung oder Widerspruch, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Gemäß Art. 15 Abs. 3 DSGVO hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten zu erhalten, die Gegenstand der Verarbeitung sind.

19.2 Recht auf Berichtigung (Art. 16 DSGVO)

Gemäß Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat sie zudem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

19.3 Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)

Die betroffene Person hat gemäß Art. 17 Abs. 1 DSGVO das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der dort genannten Gründe vorliegt, insbesondere wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage fehlt.

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung gemäß Art. 17 Abs. 3 DSGVO erforderlich ist, insbesondere zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

19.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Gemäß Art. 18 DSGVO hat die betroffene Person das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der dort genannten Voraussetzungen vorliegt, insbesondere wenn die Richtigkeit der personenbezogenen Daten bestritten wird oder die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung ablehnt.

19.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Die betroffene Person hat gemäß Art. 20 Abs. 1 DSGVO das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und mithilfe automatisierter Verfahren erfolgt.

19.6 Recht auf Widerspruch (Art. 21 DSGVO)

Gemäß Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht.

Werden personenbezogene Daten zum Zwecke der Direktwerbung verarbeitet, hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Im Falle eines Widerspruchs gegen Direktwerbung werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

19.7 Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO beruht, hat die betroffene Person das Recht, ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

19.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Gemäß Art. 77 Abs. 1 DSGVO hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Wahrnehmung der vorgenannten Rechte kann formfrei gegenüber dem Verantwortlichen erfolgen.

Die vorstehenden Ausführungen erfolgen zur Erfüllung der Informationspflichten gemäß Art. 13 Abs. 2 lit. b bis d DSGVO in Verbindung mit den Art. 15 bis 22 sowie Art. 77 DSGVO.

20. Widerspruchsrecht gemäß Art. 21 DSGVO

Soweit die Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt, hat die betroffene Person gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

Im Falle eines Widerspruchs verarbeitet der Verantwortliche die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Voraussetzungen ergeben sich unmittelbar aus Art. 21 Abs. 1 Satz 2 DSGVO.

Werden personenbezogene Daten zum Zwecke der Direktwerbung verarbeitet, so hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Im Falle eines Widerspruchs gegen die Verarbeitung zum Zwecke der Direktwerbung werden die personenbezogenen Daten gemäß Art. 21 Abs. 3 DSGVO nicht mehr für diese Zwecke verarbeitet. Eine weitere Interessenabwägung findet in diesem Fall nicht statt.

Der Verantwortliche weist gemäß Art. 21 Abs. 4 DSGVO ausdrücklich auf dieses Widerspruchsrecht hin. Der Widerspruch kann formfrei erfolgen und ist an die in Abschnitt 1 dieser Datenschutzerklärung genannten Kontaktdaten zu richten.

Die vorstehenden Ausführungen erfolgen zur Erfüllung der Informationspflicht gemäß Art. 13 Abs. 2 lit. b DSGVO in Verbindung mit Art. 21 DSGVO.

21. Datensicherheit und technische sowie organisatorische Maßnahmen

Der Verantwortliche trifft gemäß Art. 24 Abs. 1 DSGVO unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt.

Darüber hinaus ist der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der genannten Risikofaktoren ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 32 Abs. 2 DSGVO).

Zu den getroffenen Maßnahmen können insbesondere die Verschlüsselung personenbezogener Daten, Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen sowie Maßnahmen zur Zugangskontrolle und Zugriffsbeschränkung gehören. Die Verschlüsselung von Datenübertragungen über SSL-/TLS-Verfahren stellt hierbei eine Maßnahme im Sinne von Art. 32 Abs. 1 lit. a DSGVO dar.

Die Verarbeitung personenbezogener Daten erfolgt ferner unter Beachtung des Grundsatzes „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gemäß Art. 25 DSGVO. Danach sind geeignete technische und organisatorische Maßnahmen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung zu implementieren, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung zu integrieren.

Soweit externe Dienstleister eingesetzt werden, wird deren Einbindung unter Beachtung der Anforderungen des Art. 28 DSGVO vorgenommen. Der Verantwortliche stellt sicher, dass diese Dienstleister geeignete technische und organisatorische Maßnahmen treffen, die den gesetzlichen Anforderungen entsprechen.

Die vorstehenden Maßnahmen dienen der Umsetzung der Verpflichtungen aus Art. 5 Abs. 1 lit. f DSGVO, wonach personenbezogene Daten in einer Weise zu verarbeiten sind, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.

Die Datensicherheitsmaßnahmen werden regelmäßig überprüft und an den Stand der Technik sowie an veränderte Risikolagen angepasst.