Informationspflichten bei einer Erhebung von Daten bei der betroffenen Person nach Art. 13 DSGVO

Verantwortlichkeit

Für sämtliche hier beschriebene Datenverarbeitung ist verantwortlich:

DataCo GmbH
Dachauer Str. 65
80335 München
info@dataguard.de

Der Datenschutzbeauftragte kann unter derselben Anschrift oder unter dsb@dataguard.de erreicht werden.

Rechtsgrundlagen

Verarbeitung von Bewerberdaten:

• 88 DSGVO i. V. m. § 26 BDSG-neu
• 6 Abs. 1 lit. a DSGVO
• 6 Abs. 1 lit. b DSGVO

Verarbeitung von Interessentendaten:

• 6 Abs. 1 lit. a DSGVO
• 6 Abs. 1 lit. b DSGVO
• 6 Abs. 1 lit. f DSGVO

Verarbeitung von Kundendaten:

• 6 Abs. 1 lit. b DSGVO
• 6 Abs. 1 lit. f DSGVO

Verarbeitung von Lieferantendaten/Dienstleisterdaten:

• 6 Abs. 1 lit. b DSGVO
• 6 Abs. 1 lit. f DSGVO

• Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft seitens des Verantwortlichen über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
• Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
• Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
• Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
• Wenn Sie der Verarbeitung durch den Verantwortlichen durch eine entsprechende Erklärung eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt
• Weiterhin besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO).

DataGuard erhebt im Rahmen des Bewerberprozesses an DataGuard über die auf der Karriereseite zur Verfügung gestellte Upload-Funktion folgende personenbezogene Daten:

• Vor- und Nachname
• Anrede
• E-Mail-Adresse
• Telefonnummer
• Verfügbarkeit
• Gehaltsvorstellung
• Sämtliche personenbezogene Daten, die in der Bewerbung enthalten sind (Lebenslauf, Anschreiben, Zeugnisse, etc.)

Auf folgende Art und Weise erhebt DataGuard Daten von interessierten Personen:

• Direktbewerbung über die DataGuard Karriereseite
• Bewerbung per E-Mail direkt an einen DataGuard Mitarbeiter gerichtet
• Postalische Bewerbung
• Linkedin Sofortbewerbung

Diese personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

• Durchführung des Bewerbungsverfahrens und Entscheidung über die Begründung eines Beschäftigungsverhältnisses
• Kommunikation (Telefon, E-Mail, Videotelefonie) 
• Durchführung von vorvertraglichen Maßnahmen (Anbahnung des Beschäftigungsverhältnisses) 
• Aufnahme der Bewerberdaten in einen Bewerberpool 
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen aus dem Bewerbungsprozess 

Intern erhalten nur berechtigte Mitarbeiter über ein Berechtigungskonzept Zugriff auf die Daten eines Bewerbers.

Folgende Dienstleister sind in unsere Verarbeitung personenbezogener Daten im Bewerbungsprozess als Auftragsverarbeiter involviert:

Personio GmbH – München, Deutschland: DataGuard nutzt das HR-System Personio als zentrales Bewerber-Lifecycle-Managementtool für die Durchführung des Bewerberprozess. Dies dient als zentraler Speicherort für Bewerberdaten. Personio ist in unsere Karriereseite integriert. Die oben genannten personenbezogene Daten und weitere von Ihnen hochgeladene Daten werden auf unserer Instanz bei Personio gespeichert und verarbeitet. Daten werden ausschließlich in deutschen Rechenzentren verarbeitet. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag geschlossen. Im Falle einer Absage durch Sie oder DataGuard werden Ihre personenbezogenen Daten innerhalb von 10 Wochen gelöscht. Auf Basis einer Einwilligung kann ein Bewerber in einen Bewerberpool aufgenommen werden, die übermittelten Bewerberdaten werden für diesen Zweck weiter gespeichert. Jährlich wird die Einwilligung per E-Mail erneut eingeholt. Kommt es zu einer Anstellung werden die personenbezogenen Daten innerhalb von Personio weiterverarbeitet im Rahmen des Angestelltenverhältnisses.

eTermin GmbH – Wallisellen, Schweiz: DataGuard nutzt das Online-Terminbuchungstool eTermin, um eine einfachere Terminfindung zwischen einem Bewerber und in den Bewerbungsprozess involvierten DataGuard-Mitarbeitern zu gewährleisten. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag geschlossen. Für die Übermittlung von personenbezogenen Daten in das Drittland Schweiz gilt ein Angemessenheitsbeschluss der Europäischen Union. Ihre personenbezogenen Daten, die durch die eTermin GmbH verarbeitet werden, werden nach Durchführung des jeweiligen Termins innerhalb von drei Wochen gelöscht.

Microsoft Inc. – Redmond, USA: DataGuard nutzt den Dienst Office 365, inkl. Microsoft Teams, um Vorstellungsgespräche per Videotelefonie durchführen zu können und Outlook zur Kommunikation per E-Mail. Mit dem Dienstleister wurden im Rahmen der OnlineServicesTerms ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) geschlossen. Ihre personenbezogenen Daten, die für die Durchführung der Planung und des eigentlichen Videotelefonats an den Auftragsverarbeiter weitergegeben werden, werden innerhalb von 3 Wochen gelöscht.

Linkedin Inc. Sunnyvale, USA: Genutzt wird der Dienst Sofortbewerbung. Über diesen können Bewerbungen direkt an DataGuard geschickt werden. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) geschlossen. Die über Linkedin Sofortbewerbung erhaltenen Bewerbungen werden nach dem Erhalt in Personio weiterverarbeitet. Wir haben keinen Einfluss darauf, wie lange LinkedIn selbst die von Ihnen eingegebenen Daten speichert.

Bei DataGuard werden Interessentendaten auf verschiedenen Kanälen erhoben und verarbeitet. Interessentendaten sind alle personenbezogenen Daten von Interessenten an einer Dienstleistung von DataGuard. Folgende Daten werden für eine Kontaktaufnahme verarbeitet:

• Vor- und Nachname
• Anrede
• E-Mail-Adresse
• Position im Unternehmen
• Telefonnummer

Auf folgende Art und Weise erhebt DataGuard Daten von interessierten Personen:

• Anfragen über das Kontaktformular auf der DataGuard Webseite
• Anfragen per Nachricht an DataGuard Mitarbeiter, z.B. per E-Mail, Linkedin Messages, Xing Messages oder andere Kommunikationskanäle.
• Anfragen auf Messen oder anderen Veranstaltungen, an denen Daten an Mitarbeitern von DataGuard mit dem Ziel der Kontaktaufnahme weitergegeben werden.
• Eigene Recherchen über potenzielle Interessenten auf Branchenverzeichnissen, Kontaktangaben auf Webseiten oder berufliche Netzwerke.
• Eigenständige Buchung eines Termins einer interessierten Person.

Ihre personenbezogenen Daten verarbeiten wir zu folgenden Zwecken:

• Information über Dienstleistungen der Marke Dataguard 
• Angebotserstellung 
• Bearbeitung von Interessentenanfragen 
• Vorbereitung und Durchführung von vorvertraglichen Maßnahmen, insb. Übermittlung und Vereinbarung von Vertragskonditionen mit dem Ziel eines Vertragsabschlusses 
• Begründung, Durchführung des Vertragsverhältnisses 
• Aufnahme in unsere Kontaktdatenbank 
• Kontaktaufnahme (E-Mail, Telefon)

Die Datenerhebung findet im ersten Schritt auf Basis des berechtigten Interesses statt. Hierbei findet immer eine Abwägung der Interessen statt. Hierbei wägen wir die Rechte und Freiheiten der betroffenen Person gegenüber den Interessen von DataGuard ab. In der weiteren Kommunikation wird mündlich eine Einwilligung eingeholt, diese wird in unserem CRM-Tool gespeichert.

Folgende Dienstleister sind in unsere Verarbeitung personenbezogener Daten im Interessentenprozess als Auftragsverarbeiter involviert:

PipeDrive OÜ – Tallin, Estland: DataGuard nutzt PipeDrive zur Verwaltung des Interessentenprozesses. Dies dient zur vereinfachten Verarbeitung von Anfragen und Zuweisung von internen Aufgaben. Mit dem Auftragsverarbeiter wurde ein Auftragsverarbeitungsvertrag geschlossen. Personenbezogene Daten von Interessenten, die einer Verarbeitung durch DataGuard widersprochen haben, bzw. Ihre Einwilligung widerrufen haben, werden sofort gelöscht. Es sei denn, es ist gewünscht, auf eine Blacklist aufgenommen zu werden, um nicht mehr kontaktiert zu werden. In diesem Falle speichern wir für diesen Zweck Nachname, Vorname und E-Mail-Adresse. Sollte innerhalb von 12 Monaten keine Interaktion zwischen dem Interessenten und DataGuard erfolgen, werden die personenbezogenen Daten gelöscht.

HubSpot Inc. – Cambridge, USA, mit Niederlassung in Irland: DataGuard nutzt HubSpot als zentrales Marketingtool, in diesem werden zunächst alle Interessentendaten aus allen Kanälen gesammelt und dort qualifiziert. Ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) wurde geschlossen. Personenbezogene Daten von Interessenten, die einer Verarbeitung durch DataGuard widersprochen haben, bzw. Ihre Einwilligung widerrufen haben, werden sofort gelöscht. Es sei denn, es ist gewünscht, auf eine Blacklist aufgenommen zu werden, um nicht mehr kontaktiert zu werden. In diesem Falle speichern wir für diesen Zweck Nachname, Vorname und E-Mail-Adresse. Sollte innerhalb von 12 Monaten keine Interaktion zwischen dem Interessenten und DataGuard erfolgen, werden die personenbezogenen Daten gelöscht

DemoDesk GmbH – München, Deutschland: DataGuard nutzt den Dienst DemoDesk für die Durchführung von Präsentationen über die angebotenen Dienstleistungen. Die Daten werden innerhalb von 2 Wochen gelöscht. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag geschlossen.

Bei DataGuard werden die personenbezogenen Daten primär in der den Kunden zur Verfügung gestellten Datenschutzmanagement Plattform verarbeitet. Diese Plattform ist eine Eigenentwicklung von DataGuard. Folgende personenbezogene Daten von Mitarbeiter, die bei Kunden von DataGuard beschäftigt sind, werden verarbeitet:

• Vor- und Nachname
• Titel und akademische Grade
• Geschlecht
• E-Mail-Adresse
• Position im Unternehmen
• Telefonnummer
• Zugeordnete Rolle innerhalb der Plattform und der daran angelehnten Berechtigungen
• Sämtliche personenbezogene Daten, die uns im Rahmen der Kundenkommunikation zur Verfügung gestellt werden

Auf folgende Art und Weise erhebt DataGuard Daten von Personen:

• Abfrage der personenbezogenen Daten nach Vertragsabschluss mit DataGuard bei der Person selbst oder Erhalt personenbezogener Daten durch einen Mitarbeiter des Kundenunternehmens. Dies kann auch Mitarbeiter von Dienstleister des Kundenunternehmens betreffen.
• Eingabe von personenbezogenen Daten von Mitarbeitern durch einen Administrationsmitarbeiter des Kunden in der Datenschutz Plattform.

Ihre Daten verarbeiten wir zu folgenden Zwecken:

• Kundenverwaltung und Kundenbetreuung – insb. die Bearbeitung von Kundenanfragen 
• Direktwerbung in Form von Telefonanrufen und E-Mails  
• Erstellung von Rechnungen 
• Erfüllung nachvertraglicher Maßnahmen 
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen 
• Begründung, Durchführung und Beendigung des Vertragsverhältnisses

Die Datenverarbeitung findet auf Basis des Vertragsverhältnisses, sowie auf Basis des berechtigten Interesses statt. Hierbei findet immer eine Abwägung der Interessen statt. Hierbei wägen wir die Rechte und Freiheiten der betroffenen Person gegenüber den Interessen von DataGuard, in Form der Vertragserfüllung gegenüber unseren Kunden, ab.

Datenschutzmanagement-Plattform: DataGuard betreibt eine Datenschutzmanagement-Plattform. Auf diese Plattform werden Mitarbeiter von Kunden durch die zuständigen DataGuard Mitarbeiter eingeladen. Es können auch Daten von Personen verarbeitet werden, die Ihre Betroffenenrechte gegenüber den Kunden von DataGuard geltend machen. Für die Plattform gilt die dort bereitgestellte Datenschutzerklärung in der jeweilig gültigen Fassung.

Folgende Dienstleister sind in unsere Verarbeitung personenbezogener Daten von Kundendaten als Auftragsverarbeiter involviert:

Deutsche Telekom AG - Bonn, Deutschland: DataGuard nutzt für das Hosting der Datenschutzplattform dedizierte Server der Open Telekom Cloud (OTC). Diese wird von der deutschen Telekom AG betrieben. Die Open Telekom Cloud hat ein Trusted Cloud Siegel des Bundesministeriums für Wirtschaft und Energie und zahlreiche Zertifizierungen, wie z.B. ISO 27001:2013, die das hohe Sicherheitsniveau der OTC belegen. Mit der deutschen Telekom hat DataGuard einen Auftragsverarbeitungsvertrag geschlossen.

Iversity GmbH – Berlin, Deutschland: Zur Durchführung von Schulungen der Mitarbeiter der Kunden von DataGuard nutzen wir eine Schulungsplattform des Dienstleisters Iversity. Durch den Dienst werden Namen und E-Mail-Adressen verarbeitet. Dies ist nötig, um die entsprechenden Teilnahmezertifikate erstellen zu können. Mit dem Dienstleister hat DataGuard einen Auftragsverarbeitungsvertrag abgeschlossen.

LogMeIn Ireland Limited – Dublin, Irland: Wir nutzen die Telefonkonferenzmöglichkeit von GoToMeeting für die Durchführung von Audits mit Kunden. An LogMeIn werden keine Daten von Kunden weitergegeben. Kunden wählen sich selbstständig über Ihre eigene Telefoniesysteme in die Konferenz ein. Es findet keinerlei Aufzeichnung statt. Mit LogMeIn hat DataGuard einen Auftragsverarbeitungsvertrag abgeschlossen.

SevDesk GmbH – Offenburg, Deutschland: Zur Erstellung von Rechnungen und Mahnungen verwendet DataGuard das Tool SevDesk. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.

Nexenio GmbH – Berlin, Deutschland: Zur Übermittlung von Dateien nutzen wir den Datenaustauschdienst BDrive. Dies ist ein hochsicherer, von der Bundesdruckerei entwickelter Austauschdienst von Daten und Dateien. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.

Datev GmbH – Nürnberg, Deutschland: Zur Erfüllung der GoBD nutzen wir für die Buchhaltung den Dienst von DATEV. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.

DemoDesk GmbH – München, Deutschland: DataGuard nutzt den Dienst DemoDesk für die Durchführung von Willkommensgespräche im Rahmen des On-Boarding Prozesses von Kunden. Die an Demodesk übergebenen Daten werden dort innerhalb von 2 Wochen gelöscht. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag geschlossen.

GSG Inkasso GmbH – München, Deutschland: Wenn offene Forderungen beglichen werden, geben wir auch soweit notwendig personenbezogene Daten an unsere Inkassodienstleister GSG weiter. DataGuard versendet zunächst 2 Mahnung und versucht die genannten Ansprechpartner der Kunden zu erreichen, um eine Lösung zur Begleichung offener Forderungen zu finden. Ist dies nicht erfolgreich wird die GSG per Vollmacht beauftragt, offene Forderungen im Namen von DataGuard einzutreiben.

Microsoft Inc. – Redmond, USA: DataGuard nutzt den Dienst Office 365, inkl. Microsoft Teams, um Audittelefonate per Videotelefonie durchführen zu können und Outlook zur Kommunikation der Termine per E-Mail. Mit dem Dienstleister wurden im Rahmen der OnlineServicesTerms ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) geschlossen. Ihre personenbezogenen Daten, die für die Durchführung der Planung und des eigentlichen Videotelefonats an den Auftragsverarbeiter weitergegeben werden, werden gelöscht sobald der Zweck der Speicherung entfällt.

Wir löschen bzw. sperren Ihre personenbezogenen Daten im Bereich der Verarbeitung von Kundendaten und deren Dienstleister grundsätzlich immer dann, wenn der Zweck der Speicherung entfällt. Darüber hinaus kann eine Speicherung erfolgen, wenn dies durch rechtliche Vorgaben, denen wir unterliegen, vorgesehen ist, zum Beispiel im Hinblick auf gesetzliche Aufbewahrungs- und Dokumentationspflichten. In einem solchen Fall löschen bzw. sperren wir Ihre personenbezogenen Daten nach dem Ende der entsprechenden Vorgaben. 

DataGuard verarbeitet personenbezogene Daten von Lieferanten und Dienstleistern. Dies ist notwendig für den Geschäftsbetrieb. Folgende Daten werden von Lieferanten verarbeitet:

• Vor- und Nachname
• Titel
• Geschlecht
• E-Mail-Adresse
• Telefonnummer

Auf folgende Art und Weise erhebt DataGuard Daten von Personen:

• Erhalt von personenbezogenen Daten direkt bei der betroffenen Person durch Kontaktaufnahme durch Lieferanten
• Erhalt von personenbezogenen Daten direkt bei der betroffenen Person durch Kontaktaufnahme durch DataGuard
• Recherche in Branchenverzeichnis oder Webseiten
• Erhalt von personenbezogenen Daten durch Dritte

Ihre Daten verarbeiten wir zu folgenden Zwecken:

• Durchführung von Bestellungen
• Prüfung und Optimierung von Verfahren zur Bedarfsanalyse 
• Konsultation von und Datenaustausch mit Auskunfteien zur Ermittlung von Bonitäts- bzw. Ausfallrisiken 
• Markt- und Meinungsforschung, soweit Sie der Nutzung dieser Daten für diese Zwecke nicht widersprochen haben 
• Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen 
• Maßnahmen zur Geschäftssteuerung und weiteren Entwicklung unserer Produkte  

Die Datenverarbeitung findet zur Anbahnung oder zur Durchführung eines Vertragsverhältnisses, sowie auf Basis der berechtigten Interessen von DataGuard statt.

Folgende Dienstleister sind in unsere Verarbeitung personenbezogener Daten von Lieferanten/Dienstleister als Auftragsverarbeiter involviert:

Microsoft Inc. – Redmond, USA: Zur Übermittlung von Emails und Speicherung von Kontakten von Lieferanten und Dienstleistern nutzt DataGuard Dienste wie Outlook, um Kontaktdaten zu speichern. Diese werden ausschließlich zur Kommunikation mit Dienstleistern/Lieferanten verwendet. Mit dem Dienstleister wurden im Rahmen der OnlineServicesTerms ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) geschlossen.

Datev GmbH – Nürnberg, Deutschland: Zur Erfüllung der GoBD nutzen wir für die Buchhaltung die Dienste von DATEV. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.

Candis GmbH – Berlin, Deutschland: Zur Belegerfassung nutzen wir den Dienst Candis. Dies dient zur Erleichterung der Buchhaltung. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.