+49 261 - 88 44 699  /  info@cdv-consulting.de

Datenschutzhinweis Kunden nach Art. 13, 14 DS-GVO

A. Allgemeines

I. Verantwortlicher

Mit dieser Datenschutzerklärung wird von der

CDV Consulting GmbH, Ferdinand-Sauerbruch-Str. 28, 56073 Koblenz, Telefon: +49 261 88 44 699, E-Mail: info@cdv-consulting.de, Handelsregister: HRB 27660, Registergericht Amtsgericht Koblenz

ihre bestehende gesetzliche Informationspflicht gemäß Art. 13 Datenschutz-Grundverordnung („DS-GVO“) im Hinblick auf eine Verarbeitung von personenbezogenen Daten von Kunden erfüllt. Im Folgenden erläutern wir Ihnen daher, welche personenbezogenen Daten wir von Ihnen in welcher Weise verarbeiten.

II. Personenbezogene Daten

Personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Darunter fallen beispielsweise Informationen wie Ihr Name, Ihre Anschrift, Ihre Telefonnummer, Ihre Sprache, Ihre E-Mail-Adresse, Ihre Bankverbindungen und Ihr Geburtsdatum.

III. Verarbeitung personenbezogener Daten

Eine Verarbeitung von personenbezogenen Daten gemäß Art. 4 Nr. 2 DS-GVO liegt in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten vor. Eine Datenverarbeitung ist insbesondere in dem Erheben, dem Erfassen, der Organisation, dem Ordnen, der Speicherung, der Anpassung, der Veränderung, dem Auslesen, dem Abfragen, der Verwendung, der Offenlegung durch Übermittlung, der Verbreitung oder in einer anderen Form der Bereitstellung, dem Abgleich oder der Verknüpfung, der Einschränkung, dem Löschen oder der Vernichtung personenbezogener Daten zu sehen.

Wir verarbeiten personenbezogene Daten im Sinne des Art. 4 Nr. 2 DS-GVO nach den nachstehend dargestellten Vorgaben und Voraussetzungen im Rahmen einer automatisierten Verarbeitung basierend auf einer einschlägigen gesetzlichen Ermächtigungsgrundlage.

Im Hinblick auf die Erfüllung gesetzlicher Verpflichtungen ist Art. 6 Abs. 1 S. 1 lit. c DS-GVO die entsprechende Rechtsgrundlage. Wir verarbeiten Ihre personenbezogenen Daten abhängig von der jeweiligen gesetzlichen Pflicht.

Entsprechende Rechtsgrundlagen für anderweitige Datenverarbeitungen stellen wir Ihnen nachstehend vor.

Eine in Art. 13 Abs. 2 lit. e DS-GVO aufgeführte Variante liegt nicht vor, insbesondere sind Sie nicht gesetzlich oder vertraglich verpflichtet, personenbezogene Daten bereitzustellen.

Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling gemäß Art. 22 DS-GVO findet nicht statt.

B. Allgemeine Verarbeitungsvorgänge

I. Verarbeitung personenbezogener Daten, Zwecke der Datenverarbeitung und Rechtsgrundlagen

Gegenstand des Unternehmens ist die Erbringung beratender sowie unterstützender Dienstleistungen für Unternehmen und öffentliche Institutionen, die Unterstützung bei der Problemanalyse und -lösung sowie bei der Planung und Ausführung von Entscheidungen. Die Dienstleistungen erstrecken sich insbesondere auf das Angebot von Schulungsveranstaltungen, die Bestellung externer Beauftragter (u.a. Datenschutz, Compliance, Geldwäsche) und die Mediation.

Der Schutz personenbezogener Daten ist der CDV hierbei ein besonderes Anliegen.

Die Verarbeitung personenbezogener Daten erfolgt zur Begründung, ordnungsgemäßen Durchführung sowie Beendigung und Abrechnung der Kundenbeziehung (einschließlich Abwicklung von eventuell bestehenden Haftungsansprüchen sowie Geltendmachung etwaiger Ansprüche gegen Sie). Wenn Sie uns beauftragen, erheben wir von Ihnen Informationen, die für Ihre Beratung sowie die Erfüllung unserer Aufgaben im Rahmen der Vertragsbeziehung notwendig sind, insbesondere personenbezogene Daten wie: Name, Vorname, Anschrift, Telefon, Telefax, gültige Email- Adresse. Die Verarbeitung ist somit im Wesentlichen für die Erfüllung eines Vertrags nötig, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 S. 1 lit. b DS-GVO). Ohne die Bereitstellung der Daten durch Sie wäre eine Kundenbeziehung und Bearbeitung Ihrer Anliegen nicht möglich und wären Sie für uns als Kunde nicht identifizierbar.

Rechtsgrundlagen der Verarbeitung sind zudem:

  • Ihre Einwilligung zu der Verarbeitung der Sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke (Art. 6 Abs. 1 S. 1 lit. a DS-GVO; Verarbeitungsvorgänge, bei denen die CDV eine Einwilligung für einen bestimmten Verarbeitungszweck einholt);
  • die Erforderlichkeit der Erfüllung einer rechtlichen Verpflichtung, der die CDV unterliegt (Art. 6 Abs. 1 S. 1 lit. c DS-GVO; z.B. Erfüllung steuerlicher Pflichten); sowie
  • Art. 6 Abs. 1 S. 1 lit. f DS-GVO: Wenn die Verarbeitung zur Wahrung der berechtigten Interessen der CDV oder eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen. Ein berechtigtes Interesse kann zum Beispiel vorliegen, wenn Sie Kunde der CDV sind, Ansprechpartner eines Kunden, oder im Fall von Direktwerbung (u.a. Zusendung von Einladungen zu Seminarveranstaltungen, s.u.).

Die personenbezogenen Daten von Ansprechpartnern (Name und Kontaktdaten wie z.B. E-Mail-Adresse) in Kunden-Unternehmen erhalten wir für o.g. Zwecke entweder vom Kunden- Unternehmen bzw. dessen Homepage oder vom jeweiligen Ansprechpartner selbst.

Im Einzelfall verarbeiten wir personenbezogene Daten aus öffentlich zugänglichen Quellen wie dem Internet und Telefonbüchern (z.B. Adressdaten), außerdem aus Registern (u.a. Handelsregister, Melderegister) sowie öffentlichen Bekanntmachungen und holen über externe Dienstleister Auskünfte (z.B. Bonitätsauskünfte) ein.

II. Ergänzende Hinweise zu Werbung und Seminarangeboten der CDV

Wir möchten bestehende und potentielle Kunden mit Schreiben auf die Leistungen und Veranstaltungen wie z.B. Seminare der CDV hinweisen, die möglicherweise für den Empfänger interessant sind. Es handelt sich um Direktwerbung durch uns.

a) Sie erhalten solche Schreiben zum einen, wenn Sie bereits Bestandskunde sind und wir annehmen, dass Sie Interesse an der von uns beworbenen Leistung und/oder Veranstaltung haben könnten.

Außerdem erwerben wir sog. „Listendaten“ aus folgender Quelle: Deutsche Post Direkt GmbH. Diese Datensätze beinhalten die folgenden Datenkategorien: Berufs-, Branchen-, oder Geschäftsbezeichnung, Titel, Name, akademischer Grad, Anschrift.

Für diese Schreiben erfolgt die Verarbeitung Ihrer Daten auf der Grundlage des Art. 6 Abs. 1 S. 1 lit. f DS-GVO: Wenn die Verarbeitung zur Wahrung der berechtigten Interessen der CDV oder eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen. Ein berechtigtes Interesse liegt z.B. im Fall von Direktwerbung durch uns vor (u.a. postalische Zusendung von Hinweisen auf unsere Leistungen und Einladungen zu Veranstaltungen wie z.B. Seminare). Unsere Seminare und Veranstaltungen dienen der Information unserer Kunden sowie interessierter Dritter und zugleich der Werbung für die Leistungen der CDV.

b) Wenn Sie sich für eines unserer Veranstaltungen wie z.B. Seminare anmelden, verarbeiten wir die von Ihnen in unserem Anfrageformular erhobenen personenbezogenen Daten Name, Firma, Adresse, Telefonnummer und E-Mail-Adresse zum Zweck der Organisation, Durchführung und Abrechnung der Seminarveranstaltung (einschließlich etwaiger Rückfragen), auf der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DS-GVO. Ohne diese Angaben ist eine Seminaranmeldung nicht möglich.

C. Kommunikation per Microsoft Teams

Wir verwenden Microsoft Teams, um Online-Meetings durchzuführen.

Mit diesen ergänzenden Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen unserer Online-Meetings unter Verwendung der Videokonferenzlösung Microsoft Teams. Microsoft Teams ist Teil von Microsoft Office 365.

Falls Sie nicht mit uns über Microsoft Teams kommunizieren möchten, können Sie uns über alle unsere übrigen Kommunikationswege erreichen. Außerdem können Sie uns stattdessen Ihrerseits über Ihr eigenes Meeting-Tool zu einem Online-Meeting einladen.

Falls Sie die Microsoft Teams-App nicht nutzen können oder wollen, ist es möglich, Microsoft Teams über Ihren Browser zu nutzten. Der Dienst wird dann insoweit über die Website von Microsoft Teams erbracht.

Im Rahmen unserer Online-Meetings unter Nutzung von Microsoft Teams verarbeiten wir folgende personenbezogenen Daten:

-    Kommunikationsdaten (z. B. Ihre Emailadresse, wenn Sie diese personenbezogen angeben)

-    Audio- und Videodaten (um die Wiedergabe von Videos und Audio zu ermöglichen, werden während der Dauer des Meetings die Daten von Videokamera und Mikrofon Ihres Endgeräts verarbeitet)

-    Logfiles, Protokolldaten

-    Metadaten (z. B. IP-Adresse, Zeitpunkt der Teilnahme, Meeting-ID, Telefonnummern usw.)

-    Profildaten (z. B. Ihr Nutzername, wenn Sie diesen von sich aus angeben)

Der Umfang der Datenverarbeitung hängt allerdings auch davon ab, welche Angaben Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen. So ist etwa ein Profilbild optional. Auch haben Sie ggf. die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. Machen Sie davon Gebrauch, werden Ihre Texteingaben verarbeitet, um sie im Online-Meeting anzuzeigen. Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren.

Sie können die Kamera und/oder das Mikrofon jederzeit selbst über die Microsoft Teams Anwendung abschalten bzw. stummstellen. Auch können Sie die Nutzung der Chatfunktion jederzeit einstellen.

Die Datenverarbeitungen führen wir zu den oben genannten Zwecken sowie für Veranstaltungen wie z.B. Online-Seminare der Kanzlei durch, Rechtsgrundlagen: Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO. Wir haben ein berechtigtes Interesse an der effektiven Durchführung von Online-Meetings.

Es erfolgt grundsätzlich keine Aufzeichnung der Meetings. Nur in Ausnahmefällen kann eine Aufzeichnung stattfinden, wenn die Teilnehmenden zuvor ausdrücklich und transparent auf die geplante Aufzeichnung hingewiesen wurden, sie soweit erforderlich zugestimmt haben, und ergänzende Datenschutzinformationen erhalten haben u.a. zum konkreten Zweck der Aufzeichnung und den Adressaten, denen die Aufzeichnung zur Verfügung gestellt werden soll. Rechtsgrundlage ist, falls erforderlich, die Einwilligung des Betroffenen, Art. 6 Abs. 1 S. 1 lit. a DS-GVO.

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Online-Meetings verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben.

Als Empfänger kommen im Einzelfall in Betracht:

•           Öffentliche Stellen, sofern vorrangige Rechtsvorschriften dies erfordern, stets im Rahmen der berufsrechtlichen Verschwiegenheitspflichten;

•           Dienstleister/Auftragsverarbeiter (Art. 28 DS-GVO), die zur ordnungsgemäßen Geschäftsabwicklung eingeschaltet werden;

•           Verfahrensgegner und deren Vertreter (insbesondere deren Rechtsanwälte) sowie Gerichte und öffentliche Behörden zum Zwecke der Korrespondenz sowie zur Geltendmachung und Verteidigung Ihrer Rechte.

•           Kommt es aus dem Mandatsverhältnis zwischen Ihnen und uns zu einer rechtlichen Auseinandersetzung, werden die für die zweckentsprechende Rechtsverfolgung (Geltendmachung und Verteidigung von Rechten) notwendigen Daten ggf. an Rechtsvertreter sowie die zuständigen Gerichte und Behörden übermittelt.

Microsoft Teams ist Teil der Cloud-Anwendung Office 365. Microsoft Office 365 ist eine Software des Unternehmens Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland.

Die Datenverarbeitung mit Office 365 erfolgt auf Servern in Rechenzentren in der EU. Einen Auftragsverarbeitungsvertrag haben wir mit Microsoft abgeschlossen. Dabei sind auch umfangreiche technische und organisatorische Maßnahmen vereinbart, wie etwa die Verschlüsselung von Daten.

Im Ausnahmefall kann Microsoft zum Zweck der Fernwartung einen Zugriff beantragen. Dieser Zugriff wird sodann von uns geprüft und bei Genehmigung erteilt. Der Zugriff kann ggf. verbundenen Unternehmen von Microsoft von außerhalb der EU aus erfolgen. Wir haben für diesen Fall Maßnahmen getroffen, um ein angemessenes Datenschutzniveau sicherzustellen.

Eine Datenübermittlung an Unternehmen in den USA erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission im Sinne von Art. 45 Abs. 3 DS-GVO, worin festgelegt wurde, dass in den USA ein angemessenes Schutzniveau vorhanden ist.

Wir können nicht ausschließen, dass das Routing von Daten über Server erfolgt, die sich außerhalb der EU befinden.

Microsoft behält sich vor, Kundendaten zu eigenen Geschäftszwecken zu verarbeiten. Auf diese Datenverarbeitungen von Microsoft haben wir keinen Einfluss. Für diese Datenverarbeitungstätigkeiten ist Microsoft eigenständig Verantwortlicher, sodass Sie sich für weitere Informationen an Microsoft wenden können.

Weitere Informationen: privacy.microsoft.com/de-de/privacystatement und docs.microsoft.com/de-de/microsoftteams/teams-privacy

D. Dauer der Verarbeitung

Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Dazu gehören steuerrechtliche/handelsrechtliche Aufbewahrungspflichten. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht.

Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn die oben genannten Zwecke wegfallen oder Sie der Direktwerbung widersprechen.

Aus möglichen Haftungsgründen oder aufgrund Ihrer Einwilligung in eine längere Speicherung können die Daten im Einzelfall länger aufbewahrt werden.

Bei Vorliegen der gesetzlichen Voraussetzungen tritt an die Stelle einer Löschung eine Einschränkung der Verarbeitung.

Die von uns über das Videokonferenz-Tool Microsoft Teams erfassten Daten werden von uns gelöscht, sobald Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenverarbeitung entfällt. Zwingende gesetzliche Aufbewahrungsfristen bleiben unberührt.

E. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, soweit zur Abwicklung der Kundenbeziehung erforderlich

 

  • Öffentliche Stellen, sofern vorrangige Rechtsvorschriften dies erfordern, stets im Rahmen bestehender Verschwiegenheitspflichten;
  • interne Stellen, soweit diese Daten im Rahmen ordnungsgemäßer Aufgabenerfüllung dort benötigt werden;
  • Dienstleister/Auftragsverarbeiter (Art. 28 DS-GVO), die zur ordnungsgemäßen Geschäftsabwicklung eingeschaltet werden;
  • ggf. Banken, Sozialversicherungsträger, Finanzämter, Versicherer;
  • Behörden (z.B. Datenschutzaufsicht) zum Zwecke der Korrespondenz;
  • kommt es aus der Kundenbeziehung zwischen Ihnen und uns zu einer rechtlichen Auseinandersetzung, werden die für die zweckentsprechende Rechtsverfolgung (Geltendmachung und Verteidigung von Rechten) notwendigen Daten ggf. an Rechtsvertreter sowie die zuständigen Gerichte und Behörden übermittelt.

Bestehende Verschwiegenheitspflichten bleiben unberührt.

Die CDV beauftragt u.a. folgende Dienstleister, die jedoch keinen originären Zugriff auf die Daten erhalten: Reinigungsunternehmen und Lieferanten von Büromaterial.

Ihre personenbezogenen Daten werden durch Mitarbeiter innerhalb der Unternehmensgebäude, an den Standorten Koblenz und Bonn sowie an etwaigen vorhandenen Heimarbeitsplätzen bearbeitet. Es handelt sich dabei um interne Stellen, die an der Ausführung des jeweiligen Geschäftsprozesses beteiligt sind.

F. Ort der Datenverarbeitungsmaßnahmen

Sofern ausnahmsweise für die Vertragserfüllung eine Datenübermittlung in Drittstaaten und/oder an internationale Organisationen erforderlich sein sollte, erfolgt diese nur nach Maßgabe der gesetzlichen Zulässigkeitsvorschriften. Im Einzelfall wird Ihre Einwilligungserklärung eingeholt.

G. Sicherheit / Technische und organisatorische Maßnahmen

Wir treffen alle notwendigen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben der Art. 24, 25 und 32 DS-GVO, um Ihre personenbezogenen Daten vor Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen und Missbrauch zu schützen.

So beachten wir die rechtlichen Vorgaben zur Pseudonymisierung und Verschlüsselung personenbezogener Daten, zur Vertraulichkeit, Integrität, Verfügbarkeit und der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, zur Verfügbarkeit der personenbezogenen Daten und der Möglichkeit, diese bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen sowie zur Einrichtung von Verfahren zur regelmäßigen Überprüfung, Bewertung und zur Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Des Weiteren beachten wir auch die Vorgaben des Art. 25 DS-GVO im Hinblick auf die Grundsätze des „privacy by design“ (Datenschutz durch Technikgestaltung) und des „privacy by default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen).

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Wir verwenden innerhalb unserer Webseite das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. In der Regel handelt es sich dabei um eine 256 Bit Verschlüsselung. Falls Ihr Browser keine 256-Bit Verschlüsselung unterstützt, greifen wir stattdessen auf 128-Bit v3 Technologie zurück. Ob eine einzelne Seite unseres Internetauftrittes verschlüsselt übertragen wird, erkennen Sie an der geschlossenen Darstellung des Schüssel- beziehungsweise Schloss-Symbols in der Statusleiste Ihres Browsers.

Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

H. Ihre Rechte gemäß Art. 15 ff. DS-GVO / Kontaktdaten

Sie haben ein Recht auf unentgeltliche Auskunft über Ihre personenbezogenen Daten sowie, bei dem Vorliegen der gesetzlichen Voraussetzungen, ein Recht auf Berichtigung, Sperrung und Löschung Ihrer Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie ein Widerspruchsrecht.

Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung, Art. 6 Abs. 1 S. 1 lit. f DS-GVO, stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.

Sie haben zudem die Möglichkeit, sich bei einer zuständigen Aufsichtsbehörde zu beschweren (z.B. Landesbeauftragter für den Datenschutz und Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz).

Bei Fragen zum Datenschutz können Sie sich an den Geschäftsführer der CDV Consulting GmbH unter o.g. Kontaktdaten wenden.

Version: 3, gültig ab November 2023

Es gilt jeweils unsere aktuelle Version dieses Dokuments.