Datenschutzinformationen
für Beschäftigte
Betroffene
Diese Erklärung richtet sich an alle Personen, die Beschäftigte der Verantwortlichen sind, wozu auch Bewerber*innen und ehemalige Beschäftigte gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortliche
Verantwortliche für die hier beschriebene Verarbeitung ist die STANHOPE Rechtsanwaltsgesellschaft mbH, die durch Geschäftsführer Ulf Castelle, LL.M. und Dr. Stephan Gärtner vertreten wird. Beide Geschäftsführer sind auch als Rechtsanwälte bei der Verantwortlichen tätig.
Weitere Informationen zur Verantwortlichen
Hauptsitz: Heinrich-Mann-Straße 11, 18435 Hansestadt Stralsund
Zweigstelle (Berlin): Bartningallee 27, 10557 Berlin
E-Mail (gültig für Hauptsitz und Zweigniederlassung): request@thenextstanhope.de
Telefon (gültig für Hauptsitz und Zweigniederlassung): +49 3831 2356740
Lediglich vorsorglich werden auch die weiteren Erreichbarkeitsdaten der bei der Verantwortlichen tätigen Rechtsanwälte mitgeteilt:
Weitere Informationen zu Rechtsund Fachanwalt für Strafrecht Ulf Castelle, LL.M.
Kanzlei: Bartningallee 27, 10557 Berlin
E-Mail: castelle@thenextstanhope.de
Weitere Informationen zu Rechtsanwalt Dr. Stephan Gärtner
Kanzlei: Bartningallee 27, 10557 Berlin
Zweigstelle: Heinrich-Mann-Straße 11, 18435 Hansestadt Stralsund
E-Mail: gaertner@thenextstanhope.de
Rechte der Betroffenen und sonstige Hinweise
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 46 DSGVO.
(4) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. Etwaige Risikohinweise befinden sich im Glossar.
Erwartbare Standarddatenverarbeitung
Bewerbungsverfahren:
Erstkontakt im Bewerbungsverfahren
Im Bewerbungsverfahren werden die Bewerbungsunterlagen entgegengenommen und geprüft. Hierbei fallen alle Daten an, die die Betroffenen von sich preisgeben. Im Fall eines fortwährenden Interesses folgt darauf ein Bewerbungsgespräch, wobei Daten (Kontaktdaten, i.d.R. Name, Telefonnummer, E-Mail-Adresse) zur Terminvereinbarung erhoben, gespeichert und genutzt werden. Im Fall eines weiterhin bestehenden Interesses unterbreitet die Verantwortliche ein Angebot für ein Beschäftigungsverhältnisses, wobei die Kontaktdaten (i.d.R. Name, Telefonnummer, E-Mail-Adresse) und die Daten aus dem Arbeitsvertrag (i.d.R. Tätigkeit, Urlaubszeiten, Gehalt) verarbeitet werden. In jedem, der vorgenannten Verarbeitungsschritte ist auch möglich, dass eine Absage erfolgt. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Bewerbungsverfahrens. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Geltendmachung von Rechten
Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.
Löschung:
Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Beschäftigungsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Aktives Beschäftigungsverhältnis:
Durchführung des Beschäftigungsverhältnisses
Im aktiven Beschäftigungsverhältnis werden alle Zugangs- und/oder Kommunikationsdaten im Zusammenhang mit der Erfüllung des Beschäftigungsvertrages (z.B. E-Mails) verarbeitet. Zweck der vorgenannten Verarbeitungsvorgänge ist die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Erfüllung rechtlicher Verpflichtungen
Ferner und zur Erfüllung gesetzlicher Pflichten werden im aktiven Beschäftigungsverhältnis zudem folgende Daten verarbeitet: Daten, die für die Besteuerung relevant sind (§ 147 AO, § 257 HGB), Krankenversicherungs- und Krankschreibungsdaten (§ 198 SGB V, ‚§ 165 SGB VII), Lohnkontodaten (§ 41 EStG), Arbeitszeitdaten (§ 17 MiLoG, § 16 ArbG). Zweck ist die Erfüllung der in den Klammerzusätzen genannten rechtlichen Pflichten. Rechtsgrundlage ist dann Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.
Veränderungen bei der Datenverarbeitung
Sofern die Verantwortliche die Verarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen per E-Mail übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.
Geltendmachung von Rechten
Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.
Konflikte im Arbeitsverhältnis
Im Fall eines (arbeits-)rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärung abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem arbeitsrechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, arbeitsrechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt. Soweit Daten extern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Löschung
Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Beschäftigungsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Nach Ende des aktiven Beschäftigungsverhältnisses:
Aufbewahrung nach deutschem Recht und Bewerbungen für sechs Monate
(1) Nach Ende des Beschäftigungsverhältnisses werden alle vorgenannten Daten, die noch gespeichert werden, aufbewahrt. Hinsichtlich der Aufbewahrung ergeben sich Zweck und Rechtsgrundlage aus der untenstehenden Auflistung der Aufbewahrungszeiträume (Absatz 2)
(2) Es gelten folgende Aufbewahrungszeiten:
1. Aufbewahrungszeitraum 1: Interne Aufzeichnungen (z.B. Jahresabschlüsse, Buchungsbelege) sind 10 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
2. Aufbewahrungszeitraum 2: Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
3. Aufbewahrungszeitraum 3: Daten aus der Dokumentation der Arbeitszeit sind 2 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 16 ArbZG, § 17 MiLoG.
4. Aufbewahrungszeitraum 4: Daten aus dem Lohnkonto sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem die letzte eingetragene Lohnzahlung erfolgt. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 41 EstG.
5. Aufbewahrungszeitraum 5: Daten über den Krankenversicherungsstatus und Krankschreibungen werden 5 Jahre aufbewahrt. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 198 SGB V und § 165 SGB VII.
6. Aufbewahrungszeitraum 6: Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
7. Aufbewahrungszeitraum 7: Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
8. Aufbewahrungszeitraum 8: Daten, die auf einer Einwilligung beruhen, sind bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufzubewahren, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
9. Aufbewahrungszeitraum 9: Daten, die die Erteilung der Einwilligung beweisen, sind 3 Jahre aufzubewahren, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
10. Aufbewahrungszeitraum 10: Daten aus einer Bewerbung werden 6 Monate aufbewahrt, beginnend mit dem Zeitraum des Zugangs der Absage. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche aus dem AGG zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus der Fristenregelung in § 15 Absatz 4 UWG zzgl. der Zeit, nach der der Eingang einer Beschwerde nicht mehr erwartet werden kann.
Löschung der Daten
Nach Ablauf der Aufbewahrungszeiträume werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Außergewöhnliche Datenverarbeitung
Abfrage Zeugnisse und Nachweise
Die Verantwortliche fragt besondere Zeugnisse und Qualifikationen ab, die für die Berufsausübung unerlässlich sind. Hierbei verarbeitet sie die Daten, die aus den Zeugnissen und sonstigen, hierbei anfallenden Dokumenten hervorgehen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Anbahnung des Bewerbungsverfahrens bzw. später die Durchführung des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Videokonferenzen
(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz.
(2) Falls die Betroffenen sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Die Verantwortliche führt Gespräche per Videokonferenz durch. Hierbei verarbeitet sie die hierbei anfallenden Bild- und Tondaten sowie etwaige Mitschriften. Zweck ist die vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Bildung Bewerbungspool
(1) In Ausnahmefällen ermöglicht die Verantwortliche den Betroffenen die Aufnahme in einen Bewerbungspool.
(2) Falls die Betroffenen sich auf Nachfrage der Verantwortlichen für die Aufnahme entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Die Verantwortliche speichert die Bewerbungsdaten, auch über die gesetzlichen Höchstspeicherfrist hinaus. Sie nutzt die Daten, um zu einem späteren Zeitpunkt zu prüfen, ob sie den Betroffenen ein weiteres Angebot für ein Beschäftigungsverhältnis unterbreiten will und ggf. nimmt sie zu diesem Zweck Kontakt mit ihnen auf.
Übermittlung von Daten an Steuerberatungskanzlei
Die Daten zur steuerlichen Erfassung sowie spätere Lohnbuchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Hiervon sind folgende Daten umfasst: Name, Kontaktdaten, sämtliche für die Besteuerung relevanten Daten, die die Betroffenen freiwillig mitteilen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Wahrnehmung externer, steuerrechtlicher Unterstützung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Soweit Daten in der externen Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Herausgabe Schlüssel (nebst Protokollierung)
Die Betroffenen erhalten in einigen Fällen Schlüssel, Transponder und/oder Chipkarten für den Zugang zu Betriebsräumen, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der o.g. Gegenstände. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.
Herausgabe Zugangsdaten (nebst Protokollierung)
Die Betroffenen erhalten in einigen Fällen Zugangsdaten für betriebliche Soft- und Hardware, wobei die sowohl diese Zugangsdaten als auch die Zuordnung zu den jeweils Betroffenen erfasst und gespeichert werden. Die Vergabe selbst wird zudem protokolliert. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Zugangsdaten, Status der Vergabe der Zugangsdaten. Zweck der vorgenannten Verarbeitungsvorgänge ist die Erfüllung einer datenschutzrechtlichen Pflicht, nämlich jene zur Ergreifung hinreichender organisatorischer Sicherheitsmaßnahmen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 32 DSGVO.
Herausgabe Betriebsgeräte (nebst Protokollierung)
Die Betroffenen erhalten in einigen Fällen betriebliche Hardware, wobei die Herausgabe protokolliert wird. Hierbei verarbeitet die Verantwortliche die folgenden Daten: Name, Status der Vergabe der Hardware. Zweck der vorgenannten Verarbeitungsvorgänge ist die innerbetriebliche Organisation der arbeitsvertraglich geschuldeten Leistung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.
Anfertigung von Medienaufnahmen
(1) Die Verantwortliche ermöglicht den Betroffenen in einigen, ausgewählten Fällen Medienaufnahmen (Foto, Film, Ton) anfertigen zu lassen.
(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Von den Betroffenen werden Medienaufnahmen angefertigt und, soweit die Einwilligung reicht, in einigen, von der Verantwortlichen zu bestimmenden Fällen auch veröffentlicht. Hierbei verarbeitet sie die Bild-, Film- und Tondaten. Zweck ist die Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Zeiterfassung
Die Arbeitszeit der Betroffenen wird erfasst. Hierbei werden folgende Daten verarbeitet: Name, Arbeitszeiten (Datum, Beginn und Ende). Die Verarbeitung dient einerseits (1) der Erfüllung einer gesetzlichen Pflicht nach § 3 ArbSchG und andererseits (2) der innerbetrieblichen Organisation. Hinsichtlich Zweck (1) ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 3 ArbSchG die Rechtsgrundlage. Hinsichtlich Zweck (2) ist es Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt.
Outsourcing: Empfängerinnen, Auftragsverarbeiterinnen
Folgende Empfänger*innen und sonstige externe Stellen erhalten in diesem Zusammenhang Daten der Betroffenen:
Microsoft (Suite):
Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:
Microsoft-365 (Cloud, Software)
Microsoft-Teams (Projektmanagement)
Microsoft-Teams (Videokonferenz)
Microsoft-Bookings
Microsoft-Forms
Microsoft-Sharepoint
Klick-Tipp:
Es wird das Automatisierungs-Tool „KlickTipp“ der KLICK-TIPP LIMITED (Vereinigte Königreich Großbritannien und Nordirland), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier das Vereinigte Königreich Großbritannien und Nordirland) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Lexware Office:
Es wird das Buchhaltungs-Tool „Lexware Office“ der Haufe Service Center GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
externe Steuerberatungskanzlei:
Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Strato:
Es wird der Clouddienst „Strato/HiDrive“ der STRATO AG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
OpenAI-ChatGPT:
Im Zusammenhang mit dem Einsatz künstlicher Intelligenz wird das API-Tool „OpenAI APO“ der OpenAI, LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
externe Videograf*innen:
Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
externe Tondienstleister*innen:
Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
externe Fotograf*innen:
Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
slack:
Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
all-inkl:
Es wird der Web- und E-Mail „all-inkl“ der ALL-INKL.COM – Neue Medien Münnich (Deutschland – EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
Zoom:
Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.