DATENSCHUTZERKLÄRUNGEN – SWOPLO AG

Allgemeine Datenschutzerklärung – swoplo AG

Inhaltsübersicht
1. Präambel
2. Verantwortliche Stelle / Datenschutzbeauftragter / Aufsichtsbehörde
3. Allgemeine Grundsätze
4. Kategorien personenbezogener Daten, die verarbeitet werden sollen
5. Verarbeitung personenbezogener Daten
6. Begriffsbestimmungen
7. Betroffenenrechte

1. Präambel

Nachfolgend möchten wir Sie umfassend und im Detail informieren, wie wir Ihre Privatsphäre schützen und wie eine Verarbeitung von personenbezogenen Daten durch unser Unternehmen erfolgt. Personenbezogene Daten werden sobald wie möglich wieder gelöscht und niemals ohne Ihr Einverständnis – vorbehaltlich der nachfolgenden Regelungen – zu Werbezwecken verwendet oder weitergegeben.

Über unseren Umgang mit personenbezogenen Daten im Online-Bereich (z.B. auf unseren Homepages und/oder Internetauftritten) informieren wir Sie im Rahmen unserer Datenschutzerklärung Webseiten, die Sie unter dem Link „Datenschutz“ auf unserer Webseite abrufen können.

Soweit die nachfolgenden Informationen nicht ausreichend oder nicht verständlich sein sollten, zögern Sie nicht, unseren Datenschutzbeauftragten unter den in Ziffer II genannten Kontaktdetails zu kontaktieren.

2. Verantwortliche Stelle / Datenschutzbeauftragter / Aufsichtsbehörde

Nachfolgend finden Sie Informationen zu (i) Namen und Kontaktdaten der verantwortlichen Stelle, (ii) den Kontaktdaten des Datenschutzbeauftragten (soweit ein solcher zu bestellen ist) sowie (iii) die Kontaktdaten der für uns zuständige Aufsichtsbehörde, an die Sie sich im Fall von Beschwerden wenden können:

Verantwortliche Stelle
swoplo AG
Mergenthalerallee 73-75
65760 Eschborn

Tel.: +49 (0) 6196 – 78498 0
Fax: +49 (0) 6196 – 78498 99
E-Mail: info@swoplo.com
www.swoplo.com

Datenschutzbeauftragter
swoplo AG
Datenschutzbeauftragter
Mergenthalerallee 73-75
65760 Eschborn

Tel.: +49 (0)69 240030 000
Fax: +49 (0)69 240030 400
E-Mail: datenschutz@swoplo.com

Zuständige Aufsichtsbehörde
Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden
Tel.: +49 611 1408 – 0
Fax: +49 611 1408 – 611
https://datenschutz.hessen.de

3. Allgemeine Grundsätze

Im folgenden Kapitel möchten wir Sie zunächst mit unseren allgemeinen Grundsätzen für die Verarbeitung personenbezogener Daten vertraut machen, bevor wir Sie in den folgenden Kapiteln über den Umgang mit ihren personenbezogenen Daten informieren.

  1. Begriffsbestimmungen

    Die Begriffsbestimmungen und Definitionen in diesen Datenschutzhinweisen richten sich nach der Verordnung (EU) 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden „Datenschutz-Grundverordnung“ oder „DSGVO“). Die im Wesentlichen relevanten Begriffsbestimmungen haben wir zu Ihrer Information nachfolgend in Ziffer V. aufgeführt.

  2. Verarbeitung personenbezogener Daten

    Wir erheben und verwenden personenbezogene Daten im Regelfall nur, soweit dies zur Erbringung und Bereitstellung unserer Leistungen erforderlich ist sowie in den in dieser Datenschutzerklärung aufgeführten Fällen. Eine darüberhinausgehende Verarbeitung personenbezogener Daten erfolgt nur, soweit dies durch gesetzliche Vorschriften ausdrücklich gestattet ist und/oder wir – soweit erforderlich – Ihre Einwilligung hierzu haben.

  3. Mögliche Rechtsgrundlagen der Verarbeitung

    Soweit personenbezogene Daten auf Basis einer Einwilligung der betroffenen Person verarbeitet werden, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage für die Verarbeitung.

    Bei der Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ist Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage; dies gilt auch für Verarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

    Erfolgt eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen, ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, ist Art. 6 Abs. 1 lit. d DSGVO Rechtsgrundlage.

    Erfolgt eine Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage der Verarbeitung.

    Erfolgt eine Verarbeitung personenbezogener Daten im Rahmen einer sog. Zweckänderung, d.h. die Daten sollen zu anderen Zwecken als zu den Zwecken, zu den sie ursprünglich erhoben wurden, genutzt werden, ist Art. 6 Abs. 4 DSGVO Rechtsgrundlage.

  4. Verarbeitung zur Durchsetzung von Ansprüchen / Erfüllung rechtlicher Verpflichtungen

    Wir behalten uns vor, personenbezogene Daten zum Zwecke der Durchsetzung von Ansprüchen im Rahmen berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO zu verarbeiten; dies umfasst auch eine Übermittlung von Daten an die Schufa (siehe Ziffer V.1.2), Behörden und/oder Gerichte.

    Ebenso kann eine Verarbeitung und/oder Übermittlung von Daten zum Zwecke der Erfüllung gesetzlicher oder rechtlicher Verpflichtungen (z.B. Auskünften von Behörden etc.) erfolgen; Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit c DSGVO.

  5. Einholung von Einwilligungen / Widerrufsrecht

    Einwilligungen nach Art. 6 Abs. 1 lit a DSGVO werden in der Regel elektronisch eingeholt. Die Einwilligung erfolgt durch Setzen eines Häkchens in das entsprechende Feld zwecks Dokumentation der Einwilligungserteilung. Bei einer elektronischen Einwilligungserteilung kommt zum Zwecke der Identifizierung des Nutzers dabei das sog. double-opt-in-Verfahren zur Anwendung (z.B. bei der Registrierung für Newsletter). Der Inhalt der Einwilligungserklärung wird elektronisch protokolliert.

    Widerrufsrecht: Bitte beachten Sie, dass eine einmal erteilte Einwilligung – gleich, ob diese auf Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit a DSGVO beruht – jederzeit mit Wirkung für die Zukunft – vollständig oder teilweise – widerrufen werden kann; die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Einen etwaigen Widerruf richten Sie bitte an die in Ziffer II genannten Kontaktdaten (Verantwortliche Stelle oder Datenschutzbeauftragter).

  6. Etwaige Empfänger von personenbezogenen Daten

    Zunächst möchten wir darauf hinweisen, dass innerhalb unseres Unternehmens grundsätzlich nur diejenigen Personen und Stellen Zugriff auf personenbezogene Daten haben, die diesen Zugriff zur Erfüllung der nachfolgend beschriebenen Zwecke benötigen (sog. „need-to-know“-Prinzip).

    Zur Erbringung der mit der betroffenen Person vereinbarten Leistungen setzen wir zudem teilweise dritte Dienstleister ein, die im Rahmen der Leistungserbringung in unserem Auftrag und nach Weisung tätig werden (Auftragsverarbeiter). Diese Dienstleister können im Rahmen der Leistungserbringung personenbezogene Daten empfangen bzw. mit personenbezogenen Daten in Berührung kommen und stellen Dritte bzw. Empfänger i.S.d. DSGVO dar.

    In einem solchen Fall tragen wir dafür Sorge, dass unsere Dienstleister hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen vorhanden sind und Verarbeitungen so durchgeführt werden, dass sie im Einklang mit den Anforderungen der DSGVO stehen und den Schutz der Rechte der betroffenen Person gewährleisten (vgl. Art. 28 DSGVO).

    Soweit eine Übermittlung von personenbezogenen Daten außerhalb einer Auftragsverarbeitung an Dritte und/oder Empfänger erfolgt, stellen wir sicher, dass dies ausschließlich in Übereinstimmung mit den gesetzlichen Anforderungen (DSGVO, BDSG) und nur bei Vorliegen einer entsprechenden Rechtsgrundlage (z.B. Art. 6 Abs. 4 DSGVO) geschieht. Falls eine Übermittlung personenbezogener Daten an Dritte außerhalb einer Auftragsverarbeitung erfolgt oder beabsichtigt ist, wird hierauf nachfolgend ausdrücklich hingewiesen.

  7. Etwaige Verarbeitung von Daten in sog. Drittländern

    Die Verarbeitung Ihrer personenbezogenen Daten erfolgt grundsätzlich innerhalb der EU bzw. des Europäischen Wirtschaftsraums („EWR“).

    Lediglich in Ausnahmefällen (z.B. im Zusammenhang mit der Einschaltung von Dienstleistern) kann es zu einer Übermittlung von Informationen in sog. „Drittländern“ kommen. „Drittländer“ sind Länder außerhalb der Europäischen Union und/oder des Abkommens über den Europäischen Wirtschaftsraum, in denen nicht ohne weiteres von einem angemessenem Datenschutzniveau entsprechend der Standards der EU ausgegangen werden kann.

    Sofern die übermittelten Informationen auch personenbezogene Daten umfassen, stellen wir vor einer solchen Übermittlung sicher, dass in dem jeweiligen Drittland oder bei dem jeweiligen Empfänger in dem Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann sich aus einem sog. „Angemessenheitsbeschluss“ der Europäischen Kommission ergeben oder durch Verwendung der sog. „EU Standardvertragsklauseln“ sichergestellt werden. Im Falle von Empfängern in den USA kann auch die Einhaltung der Prinzipien des sog. „EU-US Privacy Shield“ ein angemessenes Datenschutzniveau sicherstellen. Weitere Informationen zu den geeigneten und angemessenen Garantien zur Einhaltung eines angemessenen Datenschutzniveaus stellen wir Ihnen auf Anfrage gerne zur Verfügung; die Kontaktdaten finden Sie am Anfang dieser Datenschutzinformation. Informationen zu den Teilnehmern des EU-US Privacy Shield finden Sie zudem hier www.privacyshield.gov/list. Eine Übermittlung personenbezogener Daten in ein Drittland kann daneben im Rahmen des Art. 49 DSGVO zulässig sein.

    Falls eine Verarbeitung personenbezogener Daten in sog. Drittländern erfolgt oder beabsichtigt ist, wird hierauf nachfolgend ausdrücklich hingewiesen.

  8. Grundsätze zur Datenlöschung und Speicherdauer

    Personenbezogene Daten betroffener Person werden gelöscht, soweit die Daten für die jeweiligen Verarbeitungszwecke nicht länger erforderlich sind. Anstelle der Löschung tritt dabei ggf. eine Speicherung unter Einschränkung der Verarbeitung, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen unser Unternehmen unterliegt, vorgesehen ist, insbesondere z.B.

    • zur Erfüllung von gesetzlichen Aufbewahrungspflichten (z.B. der Abgabenordnung (AO) oder dem Handelsgesetzbuch (HGB), zur Zeit zwischen 6 bis 10 Jahren), und/oder
    • bei Bestehen berechtigter Interessen an einer Speicherung (z.B. während des Laufs von Verjährungsfristen zum Zwecke einer etwaigen Rechtsverteidigung (§§ 195 ff BGB, zur Zeit zwischen 3 bis 30 Jahren).

    Eine Löschung der Daten erfolgt spätestens dann, wenn eine durch die vorgenannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder zu anderen Zwecken besteht.

  9. Betroffenenrechte

    Die DSGVO gewährt den betroffenen Personen umfangreiche Rechte (sog. Betroffenenrechte, insb. Art. 12 bis Art. 22 DSGVO). Die einzelnen Betroffenenrechte sind in Ziffer V näher erläutert. Möchten Sie eines oder mehrere dieser Rechte in Anspruch nehmen, können Sie uns jederzeit kontaktieren. Nutzen Sie hierzu bitte die unter Ziffer II angegebenen Kontaktmöglichkeiten.

4. Kategorien personenbezogener Daten, die verarbeitet werden sollen

Bei der Art der von verarbeiteten personenbezogenen Daten unterscheiden wir im Wesentlichen zwischen (i) Stammdaten, (ii) Vertragsdurchführungsdaten und (iii) Drittdaten. Hinzu kommen ggf. besondere personenbezogene Daten i.S.d. Art. 9 DSGVO.

  1. Stammdaten

    Stammdaten, sind Daten zu Ihrem Unternehmen und/oder Ihrer Person, die Sie im Rahmen der Vertragsanbahnung und/oder des Vertragsschlusses bereitstellen. Diese ergeben sich aus dem jeweils von uns verwendeten Vertragsformularen und enthalten insbesondere Angaben wie Firmenname, Name, Vorname, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Fax sowie zu Abrechnungszwecken Kontoverbindungsdaten. Darüber hinaus können Sie uns mit Ihrem Antrag auf freiwilliger Basis weitere Daten, z. B. eine Mobiltelefonnummer, Ihre bevorzugte Korrespondenzsprache oder weitere Interessen und Präferenzen, mitteilen. Diese von Ihnen angegebenen Daten bezeichnen wir insgesamt als „Stammdaten“.

  2. Vertragsdurchführungsdaten

    Vertragsdurchführungsdaten sind solche Daten, die im Rahmen der Vertragsdurchführung bzw. Vertragserfüllung anfallen und von uns zur Vertragsdurchführung, Abrechnung, Verwaltung, Weiterentwicklung oder Vermarktung unserer Angebote und Dienstleistungen verarbeitet werden. Diese Daten weisen häufig keinen direkten Bezug zu einer natürlichen Person auf, in der Regel kann ein solcher Personenbezug aber hergestellt werden. Zu den Vertragsdurchführungsdaten können – in Abhängigkeit des jeweils beauftragten Services – Angabe zum Ort eines Lade- oder Transportmittels, Angabe zum Zielort, Artikelbeschreibung des Kunden (Karton / Gitterbox), Menge- und Preisangaben gehören.

  3. Drittdaten

    Drittdaten sind solche personenbezogenen Daten, die wir nicht direkt bei Ihnen erheben bzw. die von Ihnen zur Verfügung gestellt wurden, sondern die wir von dritten Unternehmen und/oder Vertragspartnern, z.B. im Rahmen separater Vertragsbeziehungen erhalten. Bei derartigen Drittdaten zu Ihrem Unternehmen / Ihrer Person kann es sich z.B. um Adressdaten Dritter, Abrechnungsdaten Dritter, Bonitätsauskünften oder Ähnliches handeln.

5. Verarbeitung personenbezogener Daten

Personenbezogene Daten werden von uns nach den einschlägigen datenschutzrechtlichen Bestimmungen insbesondere der DSGVO und des Bundesdatenschutzgesetzes zum Zwecke der Erbringung unserer Leistungen gegenüber Kunden wie folgt verarbeitet:

  1. Zwecke und Rechtsgrundlagen der Verarbeitung

    Personenbezogene Daten erheben und verarbeiten wir zu den nachfolgenden Zwecken und Rechtsgrundlagen:

    1.1. Bereitstellung / Vermittlung von Lade- und Transportmitteln
    Stammdaten, Vertragsdurchführungsdaten und Drittdaten werden von uns zum Zwecke der Angebotserstellung, und/oder Durchführung unserer Vermittlungsleistungen zwischen unseren Kunden in Bezug auf den kurzfristigen Verkauf bzw. die Bereitstellung von Transport- und/oder Lademitteln erbracht., soweit dies zur Vertragsanbahnung und Vertragsdurchführung erforderlich sind. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO.

    1.2. Schufa-Anfrage / Bonitätsprüfung
    Wir behalten uns vor, bei der SCHUFA HOLDING AG, Kormoranweg 5, 65201 Wiesbaden bzw. bei den angegliederten Regionalgesellschaften Bonitätsauskünfte über Kunden auf Basis der im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten einzuholen und zu verarbeiten. Die Abfrage und Verarbeitung erfolgt im Rahmen berechtigter Interessen unseres Unternehmens (Art. 6 Abs. 1 lit f. DSGVO) zum Schutz vor Forderungsausfällen.

    Darüber hinaus behalten wir uns vor, Daten an Auskunfteien und Bonitätsdienstleistern zur Ermittlung von Bonitäts- bzw. Ausfallrisiken in den in § 31 Abs. 2 BDSG genannten Fällen im Rahmen berechtigter Interessen unseres Unternehmens sowie dritter Unternehmen zum Schutz vor Forderungsausfällen zu übermitteln; dies ist z.B. möglich, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht wurde.

    Datenabfragen und -übermittlungen auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen nur, soweit dies zur Wahrung unserer berechtigten Interessen oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Datenaustausch mit der SCHUFA dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen von Kunden (§§ 505a und 506 BGB).

    Wir weisen Sie darauf hin, dass die SCHUFA die erhaltenen Daten auch zum Zwecke der Profilbildung (Scoring) verarbeitet und verwendet, um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Für diese Datenverarbeitung ist die Schufa Verantwortliche Stelle iSd DSGVO. Nähere Informationen zur Tätigkeit der SCHUFA können Sie dem SCHUFA-Informationsblatt nach Art. 14 DS-GVO entnehmen: schufa.de/datenschutz

    1.3. Verarbeitung von Lieferantendaten / Dienstleisterdaten
    Personenbezogene Daten von Lieferanten und/oder Dienstleistern (im Folgenden einheitlich „Lieferanten“), die natürliche Personen sind und deren Leistungen wir auf vertraglicher Grundlage nachfragen und/oder in Anspruch nehmen, verarbeiten wir ausschließlich zum Zwecke der Vertragserfüllung oder -durchführung. Hiervon können Stammdaten und Vertragsdurchführungsdaten betroffen sein. Rechtsgrundlage für eine solche Datenverarbeitung ist Art. 6 Abs. 1 lit b DSGVO (Vertragserfüllung/ Durchführung vorvertraglicher Maßnahmen).Auch behalten wir uns vor, bei der SCHUFA HOLDING AG, Kormoranweg 5, 65201 Wiesbaden bzw. bei den angegliederten Regionalgesellschaften, Bonitätsauskünfte über Lieferanten / Dienstleister auf Basis der im Rahmen des Vertragsverhältnisses erhobenen personenbezogenen Daten einzuholen und zu verarbeiten sowie Daten an die Schufa zu melden; hierfür gelten die Ausführungen unter Ziffer V1.2 entsprechend. Ebenso gilt Ziffer III.4 (Datenverarbeitung zur Durchsetzung von Ansprüchen / Erfüllung rechtlicher Vorschriften) entsprechend.

    1.4. Newsletter / Werbung / Marketing

    1.4.1. Newsletter-Registrierung
    Wenn Sie den von uns angebotenen Newsletter in Anspruch nehmen möchten, benötigen wir von Ihnen eine gültige E-Mail-Adresse. Um prüfen zu können, ob Sie der Inhaber der angegebenen E-Mail-Adresse sind bzw. deren Inhaber mit dem Empfang des Newsletters einverstanden ist, versenden wir nach dem ersten Registrierungsschritt eine automatisierte E-Mail an die angegebene E-Mail-Adresse (sog. Double opt-in). Erst nach Bestätigung der Newsletter-Registrierung über einen Link in der Bestätigungs-E-Mail nehmen wir die angegebene E-Mail-Adresse in unseren Verteiler auf. Über die E-Mail-Adresse und die Angaben zur Bestätigung der Registrierung hinaus erheben wir keine weiteren Daten.Die Verarbeitung Ihrer Daten erfolgt ausschließlich zum Zwecke der Versendung des von Ihnen beauftragten Newsletters. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit b DSGVO. Sie können den Newsletter jederzeit abbestellen; es gelten ergänzend die Ausführungen zum Widerrufsrecht der Einwilligung unter Ziffer III.4.

    1.4.2. Werbung / Marketing
    Eine Nutzung personenbezogener Daten zum Zwecke der Werbe- und/oder Marketingansprache (z.B. Newsletter) sowie zur Durchführung von Kundenzufriedenheitsbefragungen (im Folgenden insgesamt „Marketing“) erfolgt nur bei Vorliegen einer entsprechenden Einwilligung oder einer anderweitigen Rechtsgrundlage, die eine Werbe- und/oder Marketingansprache auch ohne Vorliegen einer Einwilligung erlaubt:

    • Rechtsgrundlage für eine Verwendung von Stammdaten zur Versendung von bestellten Prospektmaterial und/oder der Versendung von bestellten Newslettern ist Art. 6 Abs. 1 lit b DSGVO.
    • Rechtsgrundlage für eine Verwendung von Stammdaten und Drittdaten (z.B. Adressdaten Dritter) zum Zwecke der Direktwerbung per Briefpost ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
    • Für Marketing per E-Mail zum Zwecke der Direktwerbung für eigene ähnliche Waren oder Dienstleistungen ist Rechtsgrundlage § 7 Abs. 3 UWG; dies setzt voraus, dass wir (i) Ihre E-Mail-Adresse im Zusammenhang mit Ihrer Registrierung oder Ihres Vertragsverhältnisses erhalten haben, (ii) Sie der Verwendung Ihrer E-Mail-Adresse zum Zwecke der Direktwerbung nicht widersprochen und (iii) wir Sie bei Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hinweisen, dass sie einer solchen Verwendung Ihrer E-Mail jederzeit widersprechen können (zum Widerspruchsrecht siehe Ziffer VII.6).

    1.5. Analyse von Daten
    Vertragsdurchführungsdaten und Drittdaten können zum Zwecke der Analyse, Evaluierung und/oder Verbesserung unserer Services und Dienstleistungen im Rahmen berechtigter Interessen nach Art. 6 Abs. 1 lit f. DSGVO verarbeitet werden. Soweit möglich, erfolgt eine solche Verarbeitung in pseudonymer und/oder anonymer Form, so dass datenschutzrechtliche Belange dann nicht mehr betroffen sind.

  2. Etwaige Empfänger von Daten / Zugriffsberechtigte auf Daten

    Im Rahmen der Erbringung unserer Leistungen und der damit verbundenen Verarbeitung personenbezogener Daten, haben unsere Mitarbeiter zur Erfüllung der in Ziffer V genannten Zwecke Zugriff auf Daten nach dem sog. „need-to-know-Prinzip“. Dies bedeutet, dass der Kreis der Zugriffsberechtigten auf diejenigen Mitarbeiter beschränkt ist, die zur Erfüllung des jeweiligen Verarbeitungszwecks unbedingt erforderlich ist.

    Ihre Daten können zudem im Rahmen der Erfüllung der in Ziffer V1 genannten Zwecke an z.B. (technische) Dienstleister, Service-Provider und/oder Subunternehmer übermittelt werden, die für uns im Rahmen der Erfüllung der vorgenannten Zwecke tätig werden. Eine Übermittlung von Daten erfolgt ferner im Rahmen des Zahlungsverkehrs (z.B. an Banken, Zahlungsdienstleister).

    Darüber hinaus kann eine Übermittlung an die Schufa (siehe Ziffer V1.2) Gerichte und/oder öffentliche Stellen erfolgen zum Zwecke der Durchsetzung von Ansprüchen und/oder Erfüllung rechtlicher Verpflichtungen (siehe Ziffer III.4). Hinsichtlich etwaiger weiterer Empfänger von Daten und zur generellen Organisation von Zugriffsberechtigungen auf Daten in unserem Unternehmen verweisen wir im Übrigen auf die Ausführungen in Ziffer III.6.

  3. Datenverarbeitung in sog. Drittländern

    Datenübermittlungen in sogenannte Drittländer, also Länder außerhalb der Europäischen Union (EU) und/oder des Europäischen Wirtschaftsraums (EWR) bzw. an internationale Organisationen, erfolgt in unserem Unternehmen derzeit nicht. Soweit dies in Zukunft möglicherweise erfolgen sollte, werden wir zur Sicherstellung eines angemessenen Datenschutzniveaus die in Ziffer III.6 genannten Maßnahmen ergreifen.

  4. Datenlöschung, Speicherdauer, Widerruf- und Widerspruchsmöglichkeit

    Erfolgt die Verarbeitung personenbezogener Daten im Zusammenhang mit einer Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), werden die Daten für die Dauer des jeweiligen Auftrags- oder Vertragsverhältnisses gespeichert und nach Ablauf der jeweiligen Vertragsdauer bzw. Kündigungsfrist unter Berücksichtigung von Ziffer III.7 gelöscht respektive gesperrt.

    Eine Speicherung und Verwendung von personenbezogenen Daten zum Zwecke der Werbung erfolgt, abhängig von der jeweiligen Rechtsgrundlage für die Werbemaßnahme (Einwilligung oder berechtigte Interessen) auf unbestimmte Zeit, bis Sie der Verwendung Ihrer Daten zum Zwecke der Werbung widersprochen oder Sie Ihre entsprechende Einwilligung widerrufen haben.

    Die Einwilligung in eine Verarbeitung personenbezogener Daten können Sie jederzeit mit Wirkung für die Zukunft widerrufen, einer Verarbeitung auf Basis berechtigter Interessen können Sie jederzeit widersprechen; ein Widerspruchsrecht besteht insbesondere im Fall eines Profiling nach Art. 21 DSGVO. Erfolgt ein Widerruf und/oder ein Widerspruch werden die personenbezogenen Daten nicht mehr für die jeweils betroffenen Zwecke verarbeitet; hiervon ausgenommen ist in jedem Fall eine Verarbeitung von Daten, die noch für den Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO) einschließlich gesetzlicher Aufbewahrungspflichten erforderlich ist.

  5. Pflicht zur Angabe personenbezogener Daten (sog. Pflichtangaben)

    Daten, die für die Aufnahme, den Abschluss oder die Durchführung einer Geschäftsbeziehung einschließlich der Erfüllung damit verbundener vertraglichen Pflichten erforderlich und/oder zu deren Erhebung wir gesetzlich verpflichtet sind, sind Pflichtangaben. Pflichtangaben sind in unseren Auftragsformularen mit einem Sternchenhinweis gekennzeichnet. Ohne Angabe dieser Daten kann es nicht zum Vertragsschluss oder zur Durchführung eines Vertrages kommen bzw. müssen wir bei einer Nichtangabe den Vertragsschluss ggf. ablehnen.

  6. Automatisierte Entscheidungsfindung / Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO

    Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen in Zukunft einsetzen, werden wir Sie hierüber gesondert informieren, soweit dies gesetzlich vorgeschrieben ist. Eine Profilbildung aufgrund der von uns erhobenen und verarbeiteten Daten findet zu diesem Zweck nicht statt.

6. Begriffsbestimmungen

Es gelten insbesondere die Begriffsbestimmungen des Art. 4 und Art. 9 DSGVO. Im Rahmen dieser Datenschutzerklärung können insbesondere folgende in Art. 4 DSGVO definierten Begrifflichkeiten von Relevanz sein:

  1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
  2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken bzw. zu sperren;
  4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
  6. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
  7. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
  8. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
  9. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
  10. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

7. Betroffenenrechte

Betroffenen Personen stehen nach der DSGVO insbesondere folgende Rechte zu:

  1. Auskunftsrecht (Art. 15 DSGVO)

    Betroffene Personen haben das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten zu ihrer Person verarbeitet werden oder nicht. Erfolgt eine Verarbeitung personenbezogener Daten durch unser Unternehmen, besteht Anspruch auf Auskunft über:

    • die Verarbeitungszwecke;
    • die Kategorien personenbezogener Daten (Art von Daten), die verarbeitet werden;
    • die Empfänger oder Kategorien von Empfängern, denen ihre Daten offengelegt worden sind oder noch offengelegt werden sollen; dies gilt insbesondere, wenn Daten an Empfänger in Drittländern außerhalb der Geltung der DSGVO offengelegt wurden oder offengelegt werden sollen;
    • die geplante Speicherdauer, soweit möglich sind; falls eine Angabe zur Speicherdauer nicht möglich ist, sind jedenfalls die Kriterien zur Festlegung der Speicherdauer (z.B. gesetzliche Aufbewahrungsfristen o.Ä.) mitzuteilen;
    • Ihr Recht auf Berichtigung und Löschung der Sie betreffenden Daten einschließlich des Rechts auf Einschränkung der Bearbeitung und/oder der Möglichkeit zum Widerspruch (siehe hierzu auch die nachfolgenden Ziffern);
    • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    • die Herkunft der Daten, falls personenbezogene Daten nicht bei betroffenen Person direkt erhoben wurden.

    Sie haben ferner Anspruch auf Auskunft, ob Ihre personenbezogen Daten Gegenstand einer automatisierte Entscheidungen i.S.d. Art 22 DSGVO sind und falls dies der Fall ist, welche Entscheidungskriterien einer solch automatisierten Entscheidung zu Grunde liegen (Logik) bzw. welche Auswirkungen und Tragweite die automatisierte Entscheidung für Sie haben kann.

    Werden personenbezogene Daten in ein Drittland außerhalb des Anwendungsbereichs der DSGVO übermittelt, haben Sie Anspruch auf Auskunft, ob und falls ja aufgrund welcher Garantien ein angemessenes Schutzniveau i.S.d. Art. 45, 46 DSGVO beim Datenempfänger in dem Drittland sichergestellt ist.

    Sie haben das Recht, eine Kopie Ihrer personenbezogenen Daten zu verlangen. Datenkopien stellen wir grundsätzlich in elektronischer Form zur Verfügung stellen, sofern Sie nichts anderes angegeben haben. Die erste Kopie ist kostenfrei, für weitere Kopien kann ein angemessenes Entgelt verlangt werden. Die Bereitstellung erfolgt vorbehaltlich der Rechte und Freiheiten anderer Personen, die durch die Übermittlung der Datenkopie beeinträchtigt sein können.

  2. Recht auf Berichtigung (Art. 16 DSGVO)

    Sie haben das Recht, von uns die Berichtigung Ihrer Daten zu verlangen, sofern diese unrichtig, unzutreffend und/oder unvollständig sein sollten; das Recht auf Berichtigung umfasst das Recht auf Vervollständigung durch ergänzende Erklärungen oder Mitteilungen. Eine Berichtigung und/oder Ergänzung hat unverzüglich – d.h. ohne schuldhaftes Zögern – zu erfolgen.

  3. Recht auf Löschung (Art. 17 DSGVO)

    Sie haben das Recht, von uns die Löschung Ihrer personenbezogenen Daten zu verlangen, soweit

    • die personenbezogene Daten für die Zwecke, für die sie erhoben und verarbeitet wurden, nicht länger erforderlich sind;
    • die Datenverarbeitung aufgrund einer von Ihnen erteilten Einwilligung erfolgt und Sie die Einwilligung widerrufen haben, sofern nicht eine anderweitige Rechtsgrundlage für die Datenverarbeitung besteht;
    • Sie Widerspruch gegen eine Datenverarbeitung gem. Art. 21 DSGVO eingelegt haben und keine vorrangigen berechtigten Gründe für eine weitere Verarbeitung vorliegen,
    • Sie Widerspruch gegen eine Datenverarbeitung zum Zwecke der Direktwerbung gem. Art. 21 Abs. 2 DSGVO eingelegt haben;
    • Ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden;
    • es sich um Daten eines Kindes handelt, die in Bezug auf Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO erhoben wurden.

    Ein Recht zur Löschung personenbezogener Daten besteht nicht, soweit

    • das Recht zur freien Meinungsäußerung und Information dem Löschungsverlangen entgegensteht;
    • die Verarbeitung personenbezogenen Daten (i) zur Erfüllung einer rechtlichen Verpflichtung (z.B. gesetzliche Aufbewahrungspflichten), (ii) zur Wahrnehmung öffentlicher Aufgaben und Interessen nach Unionsrecht und/oder dem Recht der Mitgliedsstaaten (hierzu gehören auch Interessen im Bereich öffentliche Gesundheit) oder (iii) zu Archivierungs- und/oder Forschungszwecken erforderlich ist;
    • die personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

    Die Löschung hat unverzüglich – d.h. ohne schuldhaftes Zögern – zu erfolgen. Sind personenbezogene Daten von uns öffentlich gemacht worden (z.B. im Internet), haben wir im Rahmen des technisch Möglichen und Zumutbaren dafür Sorge zu tragen, dass auch dritte Datenverarbeiter über das Löschungsverlangen einschließlich der Löschung von Links, Kopien und/oder Replikationen informiert werden.

  4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

    Sie haben das Recht, die Verarbeitung ihrer personenbezogenen Daten in folgenden Fällen einschränken zu lassen:

    • Haben Sie die Richtigkeit ihrer personenbezogenen Daten bestritten, können Sie von uns verlangen, dass ihre Daten für die Dauer der Richtigkeitsprüfung für andere Zwecke nicht genutzt und insoweit eingeschränkt werden.
    • Bei unrechtmäßiger Datenverarbeitung können Sie anstelle der Datenlöschung nach Art. 17 Abs. 1 lit. d DSGVO die Einschränkung der Datennutzung nach Art. 18 DSGVO verlangen;
    • Benötigen Sie Ihre personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, werden Ihre personenbezogenen Daten im Übrigen aber nicht mehr benötigt, können Sie von uns die Einschränkung der Verarbeitung auf die vorgenannten Rechtsverfolgungszwecke verlangen;
    • Haben Sie gegen eine Datenverarbeitung Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt und steht noch nicht fest, ob unsere Interessen an einer Verarbeitung Ihre Interessen überwiegen, können Sie verlangen, dass Ihre Daten für die Dauer der Prüfung für andere Zwecke nicht genutzt und insoweit eingeschränkt werden.

    Personenbezogenen Daten, deren Verarbeitung auf Ihr Verlangen eingeschränkt wurde, dürfen – vorbehaltlich der Speicherung – nur noch (i) mit Ihrer Einwilligung, (ii) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, (iii) zum Schutz der Rechte anderer natürlicher oder juristischer Person, oder (iv) aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden. Sollte eine Verarbeitungseinschränkung aufgehoben werden, werden Sie hierüber vorab unterrichtet.

  5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

    Sie haben – vorbehaltlich der nachfolgenden Regelungen – das Recht, die Herausgabe der Sie betreffenden Daten in einem gängigen elektronischen, maschinenlesbaren Datenformat zu verlangen. Das Recht auf Datenübertragung beinhaltet das Recht zur Übermittlung der Daten an einen anderen Verantwortlichen; auf Verlangen werden wir – soweit technisch möglich – Daten daher direkt an einen von Ihnen benannten oder noch zu benennenden Verantwortlichen übermitteln. Das Recht zur Datenübertragung besteht nur für von Ihnen bereitgestellte Daten und setzt voraus, dass die Verarbeitung auf Grundlage einer Einwilligung oder zur Durchführung eines Vertrages erfolgt und mithilfe automatisierter Verfahren durchgeführt wird. Das Recht zur Datenübertragung nach Art. 20 DSGVO lässt das Recht zur Datenlöschung nach Art. 17 DSGVO unberührt. Die Datenübertragung erfolgt vorbehaltlich der Rechte und Freiheiten anderer Personen, deren Rechte durch die Datenübertragung beeinträchtigt sein können.

  6. Widerspruchsrecht (Art. 21 DSGVO)

    Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 lit e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit f DSGVO), können Sie der Verarbeitung der Sie betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruch haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,

    • es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder
    • die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

    Einer Verwendung ihrer Daten zum Zwecke der Direktwerbung können Sie jederzeit mit Wirkung für die Zukunft widersprechen; dies gilt auch für ein Profiling, soweit es mit der Direktwerbung in Verbindung steht. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung zu unterlassen.

  7. Verbot automatisierter Entscheidungen / Profiling (Art. 22 DSGVO)

    Entscheidungen, die für Sie rechtliche Folge nach sich ziehen oder Sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten – einschließlich eines Profiling – gestützt werden. Dies gilt nicht, soweit die automatisierte Entscheidung

    • für den Abschluss oder die Erfüllung eines Vertrages mit Ihnen erforderlich ist,
    • aufgrund von Rechtsvorschriften der Union oder der Mitgliedsstaaten zulässig ist, sofern diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen Ihrer Person enthalten, oder
    • mit Ihrer ausdrücklichen Einwilligung erfolgt.

    Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung besondere Kategorien personenbezogener Daten beruhen, sind grundsätzlich unzulässig, es sei denn Art. 22 Abs. 4 iVm Art. 9 Abs. 2 lit a oder lit. g DSGVO findet Anwendung und es wurden angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen Ihrer Person getroffen.

    Soweit wir eine automatisierte Entscheidungsfindung i.S.d Art. 22 DSGVO vornehmen sollten, weisen hierauf ausdrücklich hin.

  8. Rechtsschutzmöglichkeiten / Beschwerderecht bei einer Aufsichtsbehörde

    Im Fall von Beschwerden können Sie sich jederzeit an die zuständige Aufsichtsbehörde der Union oder der Mitgliedsstaaten wenden. Für unser Unternehmen ist die in Ziffer II genannte Aufsichtsbehörde zuständig.

Stand: Mai 2018