Mit dieser Erklärung kläre ich Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf, welche im Rahmen meines Unternehmens stattfindet.
Dies beinhaltet auch meine Internet-Präsenz, welche sich wie folgt zusammensetzt:
Für alle in dieser Erklärung verwendeten Begriffe im Kontext des Datenschutzes verweise ich
auf Art. 4 der Datenschutzgrundverordnung (DSGVO).
Verantwortliche im Sinne der DSGVO
Anja Nickel
Walter-Rodehack-Str.5
D-84347 Pfarrkirchen
Telefon: +49 8561 983275
Mail: info(AT)anja-nickel.net
Web-Seite: www.anja-nickel.net
Definitionen grundlegender Begriffe
Folgende Definitionen entstammen dem Art. 4 der DSGVO.
„Personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
„Verarbeitung“: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
„Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
„Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Arten verarbeiteter Daten (Kategorien)
Grundsätzlich verarbeite ich keine besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten, genetische Daten). Dies geschieht ausdrücklich nur dann, wenn es im Rahmen einer vertraglich vereinbarten Verarbeitung für Auftraggeber erfolgt.
Betroffene Personen (Kategorien)
Nutzerinnen und Nutzer meines Online-Auftrittes, meine Clienten, Geschäfts- und Kooperationspartner.
Verarbeitungszweck
Die Datenverarbeitung dient folgenden Zwecken:
Daten verarbeite ich ausschließlich nur zu dem jeweils zugrunde liegenden Zweck, welcher gesetzlich vorgeschrieben bzw. zulässig oder vertraglich festgelegt ist.
Analysen und Auswertungen personenbezogener Daten führe ich ausschließlich zur eigenen Nutzung durch. Eine Weitergabe von Analysen und Auswertungen an Externe oder eine Veröffentlichung erfolgt, wenn überhaupt, nur in anonymisierter Form und dergestalt, dass eine Zuordnung der Daten zu Personen unmöglich ist.
Rechtsgrundlage für die Verarbeitung
Sofern in dieser Erklärung keine Rechtsgrundlage ausdrücklich genannt wird, führen wir folgende Rechtsgrundlagen für die Verarbeitung personenbezogener Daten an:
Kooperationen mit weiteren Auftragsverarbeitern (Dritten)
Bei der Verarbeitung personenbezogener Daten kann ich die Dienste anderer Auftragsverarbeiter (Dritter) in Anspruch nehmen. Falls in diesem Zusammenhang eine Verarbeitung, Übermittlung oder Einsichtnahme von bzw. der Zugriff auf personenbezogene Daten erfolgt, geschieht dies nur unter mindestens einer der folgenden Bedingungen:
Sämtliche Kooperationen erfolgen nur auf Grundlage eines entsprechenden Vertrages zur Auftragsverarbeitung zwischen mir als Verantwortlicher und den Auftragsverarbeitern (Dritten) gem. Art. 28 DSGVO.
Übermittlung von Daten in Drittländer
In dieser Erklärung beschreibt die Bezeichnung „Drittland“ ein Land außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR).
Eine Verarbeitung von Daten in einem Drittland bzw. eine Übermittlung von Daten dorthin durch mich bzw. durch von mir beauftragte Dritte erfolgt nur unter mindestens einer der folgenden Bedingungen:
Zusätzlich müssen die besonderen Voraussetzungen der Art. 44 ff. DSGVO vorliegen. Dies bedeutet beispielsweise, dass für die Verarbeitung in einem Drittland besondere Voraussetzungen hinsichtlich des Datenschutzes gewährleistet sein müssen. Dies ist etwa dann gegeben, wenn offiziell anerkannt ist, dass der Datenschutz im Drittland dem Niveau der EU entspricht.
Speicherung (Aufbewahrung) und Löschung von Daten
Ich verarbeite und speichere personenbezogene Daten in digitaler (z.B. IT-Systeme für Warenwirtschaft) und analoger Form (z.B. Rechnungen auf Papier). Grundsätzlich bewahre ich personenbezogene Daten nur solange auf, wie zur Erfüllung des jeweiligen Zwecks erforderlich. Entfällt der Zweck für die Datenverarbeitung, werden die Daten gelöscht, sofern dem nicht gesetzliche Aufbewahrungsfristen (z.B. gem. § 147 Abs. 1 Abgabenordnung) bzw. Gewährleistungs- oder vergleichbare Pflichten entgegenstehen. Für den Fall, dass gesetzliche Vorgaben eine weitere Speicherung vorschreiben und die Daten für keinen anderen gesetzlich zulässigen Zweck notwendig sind, werden die Daten in ihrer Verarbeitung eingeschränkt, d.h. gesperrt. Maßgeblich dafür sind Art. 17 und Art. 18 DSGVO.
Eine Prüfung, ob Daten nach Ablauf gesetzlicher Aufbewahrungsfristen bzw. nach Wegfall von Gewährleistungs- oder vergleichbaren Pflichten gelöscht werden können, erfolgt alle zwei Jahre.
Eine Prüfung, ob Daten aufgrund des Wegfalls eines Verarbeitungszwecks gelöscht werden können, erfolgt jährlich.
Daten, welche ich im Auftrag eines Kunden verarbeite, löschen ich gem. den vertraglichen Vereinbarungen, grundsätzlich jedoch am Ende des Auftrages.
Folgende Beispiele sollen dies verdeutlichen:
Cookies
„Cookies“ sind Dateien, welche während der Nutzung eines Online-Angebots im Internet Browser zugreifender Nutzer gespeichert werden. Sie dienen u.a. dazu, Angaben über zugreifende Nutzer und Geräte zu speichern. Cookies können temporär und dauerhaft gespeichert werden. Temporäre Cookies werden bei Ende der Nutzung des Online-Angebotes oder beim Beenden des Internet Browsers gelöscht und werden in der Regel verwendet, um notwendige Sitzungs-Informationen zur Nutzung des Online-Angebotes zu speichern (z.B. Warenkorb bei einem Online-Shop). Dauerhafte Cookies können beispielsweise verwendet werden, um Einstellungen für die Nutzung eines Online-Angebotes für zukünftige Besuche zu speichern. Grundsätzlich können alle Arten von Cookies für Marketing-Zwecke und Verhaltens-Analysen verwendet werden. Als Cookies von Drittanbietern bezeichnet man Cookies, welche von anderen Anbietern als dem Verantwortlichen für den Betrieb des jeweiligen Online-Angebotes implementiert werden.
Falls Sie auf technischer Basis die Verwendung von Cookies einschränken möchten, können Sie dies in den entsprechenden Einstellungen Ihres Internet Browsers festlegen. Bitte beachten Sie, dass bei Einschränkungen das entsprechende Online-Angebot eventuell nicht mehr uneingeschränkt genutzt werden kann. Bereits gespeicherte Cookies im Internet Browser können in der Regel über die entsprechenden Funktionen jederzeit gelöscht werden.
Auch in meinem Online-Auftritt können Cookies verwendet werden, mit dieser Datenschutzerklärung klären wir Sie hierüber auf. Zusätzlich werde ich Sie entsprechend den gesetzlichen Vorgaben auf den Einsatz von Cookies im Anzeigefenster Ihres Internet Browsers aufmerksam machen.
Hosting und Logfiles
Zur Bereitstellung unserer Internet-Präsenz bediene ich mich der Dienste von Hosting-Anbietern. Die Anbieter stellen mir dazu eine technische Infrastruktur zur Verfügung (z.B. Rechen- und Speicherkapazitäten, Datenbankdienste, Mail-Dienste, Webserver-Dienste, IT-Sicherheitssysteme) und warten diese.
Der Umfang der verarbeiteten Daten ergibt sich dem Abschnitt „Arten verarbeiteter Daten (Kategorien)“ dieser Erklärung.
Der Zweck zur Verarbeitung ergibt sich aus dem Abschnitt „Verarbeitungszweck“ dieser Erklärung.
Die Rechtsgrundlage für die Verarbeitung ergibt sich aus dem Abschnitt „Rechtsgrundlage für die Verarbeitung“ dieser Erklärung.
Die betroffenen Personen, deren Daten verarbeitet werden“ ergeben sich aus dem Abschnitt „Betroffene Personen (Kategorien)“ dieser Erklärung.
Zum Umfang der verarbeiteten Daten gehören auch Protokolldateien (Logfiles), welche ich bzw. mein Hosting-Anbieter erheben. Diese verarbeiteten Daten möchte ich hier noch genauer beschreiben. Die Protokolldateien verzeichnen die Zugriffe auf unsere Internet-Präsenz. Sie enthalten dazu folgende Informationen:
IP-Adresse des Nutzers
Benutzernamen, falls eine Authentifizierung von Nutzern für den Zugriff erforderlich ist
Zeitpunkt des Zugriffs
Anfrage des Nutzers bzw. der abgerufene Inhalt
Statuscodes zur Fehleranalyse
sog. HTTP-Referrer = Web-Seite, über welche ein Nutzer auf unsere Web-Seite bzw. den Inhalt gekommen ist
User-Agent = Kennzeichen des verwendeten Internet Browsers bzw. des zugreifenden Programms
Größenangaben zu übertragenen Datenmengen
Die Protokolldateien werden maximal sieben Tage gespeichert und nach Ablauf gelöscht. Sie dienen zur Aufklärung von Straftaten (z.B. Hacker-Angriffe), zur Fehlerbehebung und zur Erhebung von Zugriffs-Statistiken (z.B. welche Inhalte werden wie oft abgerufen).
Ich weise darauf hin, dass ich momentan die IP-Adressen der Nutzer anonymisiere, da ich zum jetzigen Zeitpunkt keine Notwendigkeit sehe, diese Art von personenbezogenen Daten in den Logfiles zu erheben.
Rechte betroffener Personen
Betroffene Personen haben gem. Art. 15 DSGVO das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden. Falls dies der Fall ist, hat die betroffene Person das Recht auf weitere Auskunft über die personenbezogenen Daten (z.B. über Verarbeitungszweck, Kategorie der Daten, Empfänger der Daten, etc.). Weiterhin hat die betroffene Person ein Recht auf eine kostenlose Kopie der sie betreffenden Daten. Für alle weiteren Kopien kann der Verantwortliche ein angemessenes Entgelt verlangen.
Betroffene Personen haben gem. Art. 16 DSGVO das Recht, vom Verantwortlichen eine Vervollständigung unvollständiger oder unverzügliche Berichtigung unrichtiger sie betreffender Daten zu verlangen.
Betroffene Personen haben das Recht, vom Verantwortlichen gem. Art. 17 DSGVO die unverzügliche Löschung bzw. gem. Art. 18 DSGVO eine Einschränkung der Verarbeitung sie betreffender Daten zu verlangen.
Betroffene Personen haben gem. Art. 20 DSGVO das Recht, sie betreffende Daten, welche sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Weiterhin haben sie das Recht, vom Verantwortlichen zu fordern, diese Daten an einen anderen Verantwortlichen zu übermitteln.
Betroffene Personen haben gem. Art. 77 DSGVO das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
Widerrufsrecht
Betroffene Personen haben gem. Art. 7 Abs. 3 DSGVO das Recht, erteilte Einwilligungen beim Verantwortlichen mit zukünftiger Wirkung zu widerrufen.
Widerspruchsrecht
Betroffene Personen haben gem. Art. 21 DSGVO das Recht, jederzeit gegen die weitere Verarbeitung sie betreffender personenbezogener Daten, welche aufgrund Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt insbesondere für den Widerspruch gegen die Verarbeitung von Daten, welche der Direktwerbung und dem Profiling dient (s. Art. 21 Abs. 1, 2 und 3 DSGVO).