Datenschutzinformationen
für Lieferant*innen
Betroffene
Diese Erklärung richtet sich an alle Personen, die Lieferant*innen der Verantwortlichen sind, wozu auch potenzielle und ehemalige Lieferant*innen gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortliche
Verantwortliche für die hier beschriebene Verarbeitung ist die STANHOPE Rechtsanwaltsgesellschaft mbH, die durch Geschäftsführer Ulf Castelle, LL.M. und Dr. Stephan Gärtner vertreten wird. Beide Geschäftsführer sind auch als Rechtsanwälte bei der Verantwortlichen tätig.
Weitere Informationen zur Verantwortlichen
Hauptsitz: Heinrich-Mann-Straße 11, 18435 Hansestadt Stralsund
Zweigstelle (Berlin): Bartningallee 27, 10557 Berlin
E-Mail (gültig für Hauptsitz und Zweigniederlassung): request@thenextstanhope.de
Telefon (gültig für Hauptsitz und Zweigniederlassung): +49 3831 2356740
Lediglich vorsorglich werden auch die weiteren Erreichbarkeitsdaten der bei der Verantwortlichen tätigen Rechtsanwälte mitgeteilt:
Weitere Informationen zu Rechtsund Fachanwalt für Strafrecht Ulf Castelle, LL.M.
Kanzlei: Bartningallee 27, 10557 Berlin
E-Mail: castelle@thenextstanhope.de
Weitere Informationen zu Rechtsanwalt Dr. Stephan Gärtner
Kanzlei: Bartningallee 27, 10557 Berlin
Zweigstelle: Heinrich-Mann-Straße 11, 18435 Hansestadt Stralsund
E-Mail: gaertner@thenextstanhope.de
Rechte der Betroffenen und sonstige Hinweise
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 46 DSGVO.
(4) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. Etwaige Risikohinweise befinden sich im Glossar.
Erwartbare Standarddatenverarbeitung
Vertragsanbahnung:
Erstkontakt
Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit der Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Die Verantwortliche prüft auf dieser Grundlage das Angebot des Betroffenen und speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Geltendmachung von Rechten
Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.
Löschung:
Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Vertragsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Aktives Vertragsverhältnis:
Durchführung des Vertrages
Nach Zustandekommen des Vertrages erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Veränderungen bei der Datenverarbeitung
Sofern die Verantwortliche die Verarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen per E-Mail übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.
Geltendmachung von Rechten
Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.
Konflikte im Vertragsverhältnis
Im Fall eines rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärungen abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem rechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, rechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt. Soweit Daten extern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Löschung:
Nach Ablauf der Aufbewahrungszeiträume (vgl. unten „Nach Ende des aktiven Vertragsverhältnisses“) werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Nach Ende des aktiven Vertragsverhältnisses
Aufbewahrung nach deutschem Recht und zusätzliche, anwaltliche Aufbewahrungspflichten
(1) Nach Ende des Vertragsverhältnisses werden alle vorgenannten Daten, die noch gespeichert werden, aufbewahrt. Hinsichtlich der Aufbewahrung ergeben sich Zweck und Rechtsgrundlage aus der untenstehenden Auflistung der Aufbewahrungszeiträume (Absatz 2)
(2) Es gelten folgende Aufbewahrungszeiten:
a. Aufbewahrungszeitraum 1: Interne Aufzeichnungen (z.B. Jahresabschlüsse, Buchungsbelege) sind 10 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
b. Aufbewahrungszeitraum 2: Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
c. Aufbewahrungszeitraum 3: Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
d. Aufbewahrungszeitraum 4: Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
e. Aufbewahrungszeitraum 5: Daten, die auf einer Einwilligung beruhen, sind bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufzubewahren, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
f. Aufbewahrungszeitraum 6: Daten, die die Erteilung der Einwilligung beweisen, sind 3 Jahre aufzubewahren, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).
g. Aufbewahrungszeitraum 7: Es werden Handakten geführt, in der sich die Bearbeitungsergebnisse befinden. Die Handakten werden für die Dauer von sechs Jahren aufbewahrt Die Frist beginnt mit Ablauf des Kalenderjahres, in dem das jeweilige Mandats- und/oder Vertragsverhältnis beendet wurde. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 50 BRAO.
Löschung der Daten
Nach Ablauf der Aufbewahrungszeiträume werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.
Außergewöhnliche Datenverarbeitung
Videokonferenzen
(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz.
(2) Falls die Betroffenen sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Die Verantwortliche führt Gespräche per Videokonferenz durch. Hierbei verarbeitet sie die hierbei anfallenden Bild- und Tondaten sowie etwaige Mitschriften. Zweck ist die vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Sicherheitsüberprüfung von E-Mails ohne KI
Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.
Übermittlung von Daten an Steuerberatungskanzlei
Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten (Rechnungen, Zahlungseingänge usw.) an eine externe Steuerberatungskanzlei. Hiervon sind folgende Daten umfasst: Name, Kontaktdaten, sämtliche für die Besteuerung relevanten Daten, die die Betroffenen freiwillig mitteilen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Wahrnehmung externer, steuerrechtlicher Unterstützung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Soweit Daten in der externen Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Übermittlung von Daten an Buchhaltungsdienstleisterin
Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten der Betroffenen an eine externe Buchhaltungssoftware. Hierfür verarbeitet sie den Namen und sämtliche Daten, die sich auch Rechnungen und Zahlungszugängen ergeben. Zweck ist die Inanspruchnahme der Unterstützung einer externen Software bei der Buchhaltung. Soweit hier keine Auftragsverarbeitungsvereinbarung greift, ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage, wobei sich die rechtlichen Verpflichtungen aus den maßgeblichen, steuerrechtlichen Normen ergeben.
Bewertungen/Testimonials
(1) Die Verantwortliche holt Testimonials der Betroffenen ein.
(2) Zunächst erfragt sie die Einwilligung dafür und dokumentiert die Antwort. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Falls die Einwilligung erteilt wird, geschieht folgendes: Die Verantwortliche erhebt die Testimonials und veröffentlicht sie, soweit die erteilte Einwilligung dies erlaubt. Hierbei werden folgende Daten verarbeitet: Name, Status zur Einwilligung, Datum der Entscheidung. Die Verarbeitung bezweckt die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
werbliche Ansprache per E-Mail (berechtigtes Interesse)
Die Verantwortliche nutzt die E-Mail-Adressen der Betroffenen, um diese werblich anzusprechen. Hierbei verarbeitet sie die folgenden Daten: Name, E-Mail-Adresse. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.
werbliche Ansprache per Post (berechtigtes Interesse)
Die Verantwortliche nutzt die Anschriften der Betroffenen, um diese werblich per Post anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.
Sonderkonstellation: Veranstaltungen
Die Verantwortliche führt Veranstaltungen durch und verarbeitet die Daten der Betroffenen bei der Anmeldung zur sowie Durchführung der Veranstaltung. Hierbei verarbeitet sie grundsätzlich folgende Daten: Name, Kontaktdaten, Teilnahmestatus. Zweck ist die Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Zur Veranstaltung ist folgendes zu ergänzen:
Anmeldung über Einladung bestehender Kontakte
Die Verantwortliche nutzt die Kontaktdaten der Betroffenen, die sie bereits speichert und die sie gemäß Artikel 5 Absatz 1 lit. a DSGVO für diese Zwecke auch verwenden darf, und lädt diese Betroffenen proaktiv zur Veranstaltung ein. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten. Die Verarbeitung dient der Einladung zur Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Anmeldung über offene Registrierungsmöglichkeit
Die Verantwortliche ermöglicht eine offene Registrierung zur Veranstaltung und dokumentiert die Anmeldungen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Anmeldestatus. Die Verarbeitung dient der Anmeldung zur Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Veranstaltung kostenpflichtig
Soweit die Veranstaltung kostenpflichtig ist, werden Rechnungen erstellt, versendet und der Zahlungsstatus geprüft. Hierbei werden folgende Daten verarbeitet: Name, Rechnungsanschrift, Zahlungsstatus. Zweck ist die Durchsetzung des eigenen Vergütungsanspruches, soweit es der Durchführung des Veranstaltungsvertrages dient. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Veranstaltung kostenfrei
Soweit die Veranstaltung kostenfrei ist, werden Einladungen erstellt und versendet. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Zahlungsstatus. Zweck ist die Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Format Präsenzveranstaltung
Soweit die Veranstaltung eine Präsenzveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Status Zutritt. Die Verarbeitung dient der Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
Format Onlineveranstaltung
Soweit die Veranstaltung eine Onlineveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert und ggf. Ton-, Bild- und Filmdaten verarbeitet; dies jedoch nur wenn die Betroffenen freiwillig teilnehmen und ihre Kamera bzw. ihr Mikrofon aktivieren. Hierbei werden folgende Daten verarbeitet: (1) Name, Kontaktdaten, Status Zutritt, (2) Ton-, Bild- und Filmdaten. Die Verarbeitung dient der Durchführung der Veranstaltung. Bei den Daten der Kategorie (1) ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage. Bei den Daten der Kategorie (2) ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Format Hybridveranstaltung
(1) Für Hybridveranstaltungen gilt folgendes:
(2) Soweit die Veranstaltung eine Präsenzveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, Status Zutritt. Die Verarbeitung dient der Durchführung der Veranstaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
(3) Soweit die Veranstaltung eine Onlineveranstaltung ist, wird am Zugang zur Veranstaltung der Zutritt dokumentiert und ggf. Ton-, Bild- und Filmdaten verarbeitet; dies jedoch nur wenn die Betroffenen freiwillig teilnehmen und ihre Kamera bzw. ihr Mikrofon aktivieren. Hierbei werden folgende Daten verarbeitet: (1) Name, Kontaktdaten, Status Zutritt, (2) Ton-, Bild- und Filmdaten. Die Verarbeitung dient der Durchführung der Veranstaltung. Bei den Daten der Kategorie (1) ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage. Bei den Daten der Kategorie (2) ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Akquise bei und/oder nach der Veranstaltung
Die Verantwortliche nutzt die E-Mail- und Postadressen der Betroffenen, die an der Veranstaltung teilnehmen, um diese werblich anzusprechen. Hierbei werden folgende Daten verarbeitet: Name, E-Mail-Adresse, Anschrift Vertragsstatus. Die Verarbeitung dient der werblichen Ansprache und dem Direktmarketing. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.
Medienaufnahmen während der Veranstaltung
(1) Die Verantwortliche dokumentiert die Veranstaltung mit Medienaufnahmen (Foto, Ton, Film).
(2) Falls die Betroffenen sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.
(3) Von den Betroffenen fertigt sie die Aufnahmen an und veröffentlicht sie, soweit die erteilte Einwilligung dies erlaubt. Hierbei werden folgende Daten verarbeitet: Name, Ton- und Bilddaten. Zweck ist die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
Bearbeitung der Aufträge mithilfe von KI-Anwendungen
(1) Nur sofern die Betroffenen vorab ausdrücklich einwilligen, etwa über die Unterzeichnung der „Vereinbarung über die Verwendung ‚großer Sprachmodelle‘“, findet die nachfolgende Verarbeitung statt:
(2) Bei der Ordnung von Dokumenten und Entwurf von Arbeitsergebnissen lässt sich die Verantwortliche von KI-Anwendungen unterstützen, jedoch stets unter maßgeblicher Beteiligung der bei ihr tätigen, menschlichen Berufsträger*innen. Die Verantwortliche setzt hierbei sowohl ein lokal betriebenes, großes Sprachmodels (ollama) als auch ein externes großes Sprachmodell ein (ChatGPT).
(3) Ollama ist eine kostenlose Software, die es der Verantwortlichen ermöglicht, verschiedene Large Language Models (LLMs) auf einem nur dafür eingesetzten Apple Mac mini zu installieren und zu hosten. Das vortrainierte LLM arbeitet, ohne mit dem Internet verbunden zu sein, es sei denn ein konkreter Prompt ist darauf gerichtet. Die Verantwortliche hat dieses Modell trainiert, um bestimmte Arbeitsschritte durch das LLM durchführen zu lassen. Die Verantwortliche nutzt das LLM als Chatbot über die Plattform WEBUI.
(4) CHAT GPT ist ein Chatbot des US-amerikanischen Unternehmens OpenAI, der in der Lage ist, mit Nutzern über textbasierte Nachrichten und Bilder zu kommunizieren. Die Grundlage von ChatGPT ist ein Large Language Model. Dabei handelt es sich um ein sehr leistungsfähiges Sprachmodell, das mit einer Vielzahl von Textdokumenten trainiert wurde. Selbst wenn die Betroffenen oder ihre Arbeitgeber*innen die hiesige Vereinbarung unterzeichnen, darf die Verantwortliche ChatGPT nur einsetzen, wenn und solange die folgenden Voraussetzungen erfüllt sind:
1. Die Verantwortliche verfügt mindestens über ChatGPT-Tarif „Plus“.
2. Die Verantwortliche nutzt ChatGPT nur, wenn vorher unter Einstellungen – Datenkontrollen der Menüpunkt „Das Modell für alle verbessern“ deaktiviert wird.
3. Die Prompts der Verantwortlichen enthalten keine Daten, die unmittelbare Rückschlüsse auf die Identität der Betroffenen zulassen.
Outsourcing: Empfängerinnen, Auftragsverarbeiterinnen
Folgende Empfänger*innen und sonstige externe Stellen erhalten in diesem Zusammenhang Daten der Betroffenen:
Microsoft (Suite):
Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:
Microsoft-365 (Cloud, Software)
Microsoft-Teams (Projektmanagement)
Microsoft-Teams (Videokonferenz)
Microsoft-Bookings
Microsoft-Forms
Microsoft-Sharepoint
Klick-Tipp:
Es wird das Automatisierungs-Tool „KlickTipp“ der KLICK-TIPP LIMITED (Vereinigte Königreich Großbritannien und Nordirland), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier das Vereinigte Königreich Großbritannien und Nordirland) ist gemäß Artikel 45 DSGVO gerechtfertigt.
Lexware Office:
Es wird das Buchhaltungs-Tool „Lexware Office“ der Haufe Service Center GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
externe Steuerberatungskanzlei:
Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
Strato:
Es wird der Clouddienst „Strato/HiDrive“ der STRATO AG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.
OpenAI-ChatGPT:
Im Zusammenhang mit dem Einsatz künstlicher Intelligenz wird das API-Tool „OpenAI APO“ der OpenAI, LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.
externe Videograf*innen:
Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
externe Tondienstleister*innen:
Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
externe Fotograf*innen:
Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.
slack:
Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.
all-inkl:
Es wird der Web- und E-Mail „all-inkl“ der ALL-INKL.COM – Neue Medien Münnich (Deutschland – EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.
Zoom:
Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.