Informationen zum Datenschutz

A. Grundlegende Angaben gem. Art. 13/14 DS-GVO

1.    Verantwortlichkeit für die Datenverarbeitung

Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

Heinrich-Böll-Ring 10

53119 Bonn

Tel.: 0228 - 96 96 75-00

Fax: 0228 - 96 96 75-25

E-Mail: info@gdd.de

2.    Datenschutzbeauftragter der GDD

Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

Datenschutzbeauftragter

Heinrich-Böll-Ring 10

53119 Bonn

Telefon: 0228 - 96 96 75-00

Fax:        0228 - 96 96 75-25

E-Mail:    dsb@gdd.de

3.    Aufsichtsbehörde

Sofern Sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten durch die GDD nicht rechtmäßig erfolgt, können Sie sich mit Ihrer Beschwerde an jede Datenschutz-Aufsichtsbehörde wenden. Die gem. Art. 55 DS-GVO zuständige Aufsichtsbehörde ist die

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Postfach 20 04 44

40102 Düsseldorf

Tel.: 0211/38424-0

Fax: 0211/38424-10

E-Mail: poststelle@ldi.nrw.de

4.    Ihre Rechte

Nach Maßgabe der gesetzlichen Vorschriften haben Sie als Betroffener das Recht, jederzeit unentgeltlich Auskunft über Ihre, bei der GDD gespeicherten Daten zu erhalten.

Darüber hinaus können Sie Ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder das Recht auf Widerspruch (s. unten Abschnitt B Nr. 10) jederzeit gegenüber der GDD geltend machen. Dies gilt auch für ein Recht auf Datenübertragbarkeit.

Sollten Sie uns Ihre personenbezogenen Daten auf Basis einer Einwilligung zur Verfügung gestellt haben, könnten Sie die Einwilligung jederzeit für die Zukunft widerrufen.

B. Zwecke und Umfang der Datenverarbeitung

1.    Internetauftritt

a) VERARBEITUNG VON KOMMUNIKATIONSDATEN

Bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot der GDD und bei jedem Abruf einer Datei werden Zugriffsdaten über diesen Vorgang in einer Protokolldatei auf unserem Server gespeichert.

Jeder Datensatz besteht aus:

• der Seite, von der aus die Datei angefordert wurde (sog. Referrer-URL)
• dem Namen der Datei
• dem Datum und Uhrzeit der Anforderung (sog. "time stamp")
• der übertragenen Datenmenge
• dem Zugriffsstatus (Datei übertragen, Datei nicht gefunden etc.)
• einer Beschreibung des Typs des verwendeten Internetbetrachtungsprogramms (z.B. Mozilla Firefox, Google Chrome oder Microsoft Internetexplorer, Apple Safari, Opera etc.)
• einem Cookie

IP-Adressen speichern wir über einen Zeitraum von einer Woche in Server-Logfiles. Die Speicherung erfolgt aus Gründen der Datensicherheit, um die Stabilität und die Betriebssicherheit unseres Internetauftritts zu gewährleisten. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DS-GVO.

b) VERARBEITUNG VON INHALTSDATEN

Sofern innerhalb des Internetangebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (E-Mail-Adressen, Namen, Anschriften) besteht, so beispielsweise über unser Kontaktformular, erfolgt die Preisgabe dieser Daten seitens des Nutzers auf ausdrücklich freiwilliger Basis gem. Art. 6 Abs. 1 lit. a DS-GVO oder auf Grundlage des mitgliedschaftlichen Vertragsverhältnisses gem. Art 6 Abs. 1 lit. b DS-GVO. Auch hier werden Ihre Daten vertraulich behandelt und ohne Ihre Einwilligung nicht an Dritte weitergegeben. Auch eine Verknüpfung mit oben genannten Kommunikationsdaten findet nicht statt.

c) EMPFÄNGER VON DATEN

Wir geben Ihre Daten grundsätzlich nicht an Dritte weiter, es sei denn Sie haben hierzu eingewilligt. Für das Hosting und die Wartung unserer Webseite und den Versand unseres Newsletters sind wir jedoch auf den Einsatz von Dienstleistern angewiesen, die wir über eine Auftragsverarbeitung auf die Einhaltung der gesetzlichen Vorgaben verpflichten.

d) COOKIES

Was sind Cookies und wie setzen wir sie ein?

Cookies sind kleine Textdateien, die zusammen mit den eigentlich angeforderten Daten aus dem Internet an Ihren Computer übermittelt werden. Dort werden diese Daten gespeichert und für einen späteren Abruf bereitgehalten.

Wir setzen in einigen Bereichen Cookies ein.

Insbesondere im Rahmen der Anmeldung werden sog. Sitzungs-Cookies benötigt, da wir aus Gründen der Benutzerfreundlichkeit bei der Authentifizierung und zur Zugriffssteuerung auf die verschiedenen Bereiche unseres Portals ein sog. Single-Sign-On Konzept verwenden.

Dies umfasst das Einrichten einer „Sitzung“ zwischen dem Client und Server, welche Ihnen die Bewegung im gesamten Portal ermöglicht, ohne dass Sie sich für jeden Bereich erneut anmelden zu müssen. Diese Sitzung wird dabei durch ein Cookie dargestellt, in welchem eine zufällig generierte Nummer abgelegt wird.

Ferner werden in einem weiteren Cookie die Ihnen zugeordneten Login-Informationen (Benutzername, Benutzerrechte und die Gültigkeit der Sitzung) zur Zugriffssteuerung gespeichert. Sie können sich dies als Ersatzanmeldeinformationen vorstellen. Anstatt Sie ggf. zur erneuten Eingabe Ihrer Anmeldeinformationen aufzufordern, wird das Cookie an den Server gesendet und als Identitätsbeweis akzeptiert.

Darüber hinaus verwendet auch unser Online-Umfrage-Tool (z.B. GDD-Datenschutzquiz) funktionale Cookies, ohne die diese nicht die vorher gegebenen Antworten vor dem finalen Abspeichern zwischenspeichern kann.

Gültigkeit von Cookies

Die Gültigkeit funktionaler Cookies ist auf die Dauer Ihres Besuches auf unserem Portal bzw. unseres Online-Umfragen-Tools beschränkt (= sog. Session-Cookies). D.h. sie werden beim Beenden des Browsers automatisch gelöscht. Eine Verknüpfung mit personenbezogenen Daten findet nicht statt und es lassen sich keine Rückschlüsse auf die Aktivitäten eines Benutzers ziehen.

Auf ausdrücklichen Wunsch können Sie optional auswählen, dass bei der Anmeldung auf unserer Website Ihr Benutzername in einem dritten Cookie dauerhaft gespeichert wird. Dies erleichtert Ihnen bei häufiger Benutzung des Portals die Anmeldung, da Ihr Benutzernamen bereits vorausgefüllt im Anmeldeformular steht und Sie nur noch Ihr Passwort eingeben müssen. Wir weisen ausdrücklich auf die Risiken dieses Verfahrens hin, da hierbei die Gefahr einer missbräuchlichen Verwendung Ihrer Anmeldedaten durch Dritte gegeben ist.

Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. Sie können das Speichern von Cookies jedoch deaktivieren oder Ihren Browser so einstellen, dass er Sie benachrichtigt, sobald Cookies gesetzt werden.

e) TWITTER

Der auf unserer Seite eingebundene Twitter-Link ist nicht über ein sog. Twitter Social Plugin eingebunden. Die eingebundene Twitter-Grafik enthält lediglich eine HTTP-Verknüpfung zu unserer Twitter-Seite. Bei dem Aufruf unserer Seite wird also keine direkte Verbindung mit den Servern von Twitter hergestellt.

2.    Mitgliederberatung und -betreuung

Die GDD betreut und berät Ihre Mitglieder im Rahmen der satzungsgemäßen Aufgaben.

Zu diesem Zweck benötigt und verarbeitet die GDD personenbezogene Daten von Mitgliedern. Dies betrifft in der Regel Kontaktdaten zur Klärung Ihres Anliegens. Die Rechtsgrundlage für diese Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO.

Bitte übermitteln Sie uns keine Daten Dritter. Sollen Dokumente aus Ihrem Unternehmen zur Grundlage der Beratung gemacht werden, müssen diese zuvor geschwärzt werden.

a) Empfänger der Daten

Wir geben Ihre Daten grundsätzlich nicht an Dritte weiter, es sei denn Sie haben hierin eingewilligt. Für die Bereitstellung und Wartung unserer Hard- und Software sowie die Datenträgervernichtung sind wir jedoch auf den Einsatz von Dienstleistern angewiesen, die wir über eine Auftragsverarbeitung auf die Einhaltung der gesetzlichen Vorgaben verpflichten (vgl. z.B. unten Pkt. 8 Umfrage).

b) Speicherung der Daten

Die GDD speichert personenbezogenen Daten für die Dauer der Mitgliedschaft, um eine konsistente Beratung gewährleisten zu können. Personenbezogene Daten von ausgeschiedenen Mitgliedern werden grundsätzlich gelöscht, es sei denn wir sind aufgrund gesetzlicher Aufbewahrungspflichten (z.B. gem. § 257 HGB sowie § 147 AO) zu einer Speicherung verpflichtet.

3.     Erfa-Kreise

Die GDD hat zur Durchführung ihrer Aufgaben regionale Erfahrungsaustauschkreise (Erfa-Kreise) gebildet. In den über das ganze Bundesgebiet verteilten, z.Z. 30 Erfa-Kreisen werden aktuelle Datenschutz- und Datensicherheitsprobleme diskutiert. Zur Durchführung der Veranstaltungen werden personenbezogene Daten von Teilnehmern über die Webseite der GDD („eForen“) sowie über Teilnehmerlisten beim Veranstalter selbst verarbeitet. Die Rechtsgrundlage für diese Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. a DS-GVO.

a) Empfänger der Daten

Die personenbezogenen Daten von Teilnehmern an den Erfa-Kreisen werden grundsätzlich nicht weitergegeben. Für die Bereitstellung und Wartung der eForen sind wir jedoch auf den Einsatz von Dienstleistern angewiesen, die wir über eine Auftragsverarbeitung auf die Einhaltung der gesetzlichen Vorgaben verpflichten.

Darüber hinaus werden Ihre personenbezogenen Daten bei einzelnen Erfa-Kreisen an Kooperationspartner (z.B. Industrie- und Handelskammern) übermittelt, damit diese die Veranstaltung in den eigenen Räumlichkeiten durchführen und eine angemessene Zutrittskontrolle gewährleisten können.

b) Speicherung der Daten

Die GDD speichert personenbezogenen Daten zu den Erfa-Kreisen so lange und in dem Umfang, wie das jeweilige Mitglied im eForum des Erfa-Kreises registriert ist. Für den Umgang mit den Teilnehmerlisten ist der jeweilige Kooperationspartner verantwortlich.

4.     Mitgliedergewinnung

Für das Gewinnen neuer Mitglieder erhält die GDD von der DATAKONTEXT GmbH, Frechen, personenbezogene Daten von Teilnehmern der Basisschulungen zum Datenschutz (Teil 1-3). Sollten Teilnehmer noch kein Mitglied der GDD sein, werden sie postalisch hinsichtlich des Angebots einer Mitgliedschaft angeschrieben. Die Rechtsgrundlage für diese Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. f DS-GVO.

a) Empfänger der Daten

Die personenbezogenen Daten zu Teilnehmern der Basisschulungen werden durch die GDD nicht ohne Einwilligung an Dritte übermittelt.

b) Speicherung der Daten

Die GDD speichert die von der DATAKONTEXT GmbH, Frechen, erhaltenen personenbezogenen Daten solange und soweit es für die Mitgliedergewinnung notwendig ist.

5.    GDDcert. EU

Die GDD hat bietet über das GDDcert. EU eine zertifizierte Aus- und Weiterbildung von Datenschutzbeauftragten in Unternehmen und Behörden an. Hierzu müssen Kandidaten eine Prüfung bestehend aus einem schriftlichen und einem mündlichen Teil durchlaufen. Die GDD verarbeitet die personenbezogenen Daten der Prüfungsteilnehmer zur Durchführung der Zertifizierung.

Hierzu erhält die GDD von der DATAKONTEXT GmbH, Frechen, als organisatorischem Veranstalter der Zertifizierung die Teilnehmerlisten übermittelt. Datakontext GmbH und GDD sind jeweils Verantwortliche für die Zertifizierung personenbezogenen Daten und informieren jeweils über den Datenumgang. Betroffenenrechte können gegenüber jeder Stelle geltend gemacht werden.

Die Rechtsgrundlage für diese Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO.

a) Empfänger der Daten

Die personenbezogenen Daten zu Teilnehmern der Basisschulungen werden nicht ohne Einwilligung an Dritte übermittelt.

b) Speicherung der Daten

Die GDD speichert die personenbezogenen Daten von Teilnehmern am GDDcert. EU für den Nachweis der Durchführung der Prüfung. Der Nachweis einer abgelegten Prüfung wird für 10 Jahre aufbewahrt.

6.    Öffentlichkeitsarbeit 

Zur Verfolgung der satzungsmäßigen Ziele pflegt die GDD eine intensive Zusammenarbeit mit Wirtschaft, Verwaltung, Wissenschaft und Politik sowie anderen Organisationen und Stellen mit Bezug zum Datenschutz. In diesem Zusammenhang verarbeitet die GDD Kontaktdaten von Ansprechpartner im Rahmen einer notwendigen Kommunikation. Die Rechtsgrundlagen für diese Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 lit. e DS-GVO.

a) Empfänger der Daten

Die personenbezogenen Daten werden nicht ohne Einwilligung an Dritte übermittelt.

b) Speicherung der Daten 

Die GDD speichert die personenbezogenen Daten so lange, bis der Zweck der Öffentlichkeitsarbeit erfüllt ist.

7.    Bewerbungsverfahren / Beschäftigtendaten

a) Wie verarbeitet die GDD die Daten von Beschäftigten/Bewerber*innen?

Auf Ihre Person bezogene Daten werden grundsätzlich im Wege der Direkterhebung unmittelbar bei Ihnen - bspw. im Rahmen des Bewerbungsprozesses - auf Grundlage von § 26 Absatz 1 BDSG in der Fassung ab dem 25.5.2018 erhoben.

Darüber hinaus können wir Daten auch von Dritten (z.B. Jobbörsen wie Indeed, Stellenvermittlung) erhalten haben.

Außerdem verarbeiten wir ggf. personenbezogene Daten, die wir aus öffentlich zugänglichen  Quellen (z.B. beruflichen sozialen Netzwerken) zulässigerweise gewonnen haben. Sollten wir Daten aus solchen Quellen erheben, informieren wir Sie unverzüglich nach Art. 14 DS-GVO über den Umstand der Datenerhebung und welchen Zwecke wir mit ihr verfolgen und wie wir Ihre Daten zu verarbeiten gedenken.

Zu den verarbeiteten Kategorien personenbezogener Daten von Beschäftigten gehören insbesondere Ihre Stammdaten (wie Vorname,  Nachname, Namenszusätze, Staatsangehörigkeit,  Personalnummer), Kontaktdaten (etwa private Anschrift,  (Mobil-)Telefonnummer,  E-Mail-Adresse)  sowie die  Daten  des  gesamten Bewerbungsverfahrens (Anschreiben, Lebenslauf, (Arbeits-)Zeugnisse, Qualifikationsnachweise). 

Sofern  Sie  im  Bewerbungsschreiben  oder  im  Laufe  des  Bewerbungsverfahrens  auch besondere  Kategorien  personenbezogener  Daten  (wie  Gesundheitsdaten,  Religionszugehörigkeit, Grad einer Behinderung) freiwillig mitgeteilt haben, findet eine Verarbeitung nur statt, wenn Sie hierin eingewilligt haben.

Die GDD verarbeitet die personenbezogenen Beschäftigten- und Bewerberdaten auf Grundlage und und unter Beachtung der Europäischen Datenschutz-Grundverordnung (EU DS-GVO), des Bundesdatenschutzgesetzes (BDSG) sowie aller weiteren im deutschen Arbeitsrecht maßgeblichen Vorschriften (z.B. AGG, BetrVG, SGB etc.).

Dabei dient die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Bewerbungsprozesses primär der Durchführung des Bewerbungsverfahrens, insbesondere der Feststellung inwieweit eine Eignung für die ausgeschriebene Position gegeben ist. Die Verarbeitung Ihrer Bewerberdaten ist dabei für Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich. Die vorrangige Rechtsgrundlage hierfür ist Art. 88 DSGVO i.V.m. § 26 Absatz 1 BDSG.

Bitte beachten Sie auch die Hinweise zum Einsatz von Videokonferenzsoftware, bspw. falls Bewerbungsgespräche online geführt werden (s. in diesem Abschnitt (B) unten unter Punkt Nr. 9).

b) Wer erhält Ihre Daten?

Innerhalb der GDD erhalten nur die Personen und Stellen Ihre personenbezogenen Daten, die jene für die Entscheidung über Ihre Anstellung und zur Erfüllung unserer gesetzlichen und vertraglichen Verpflichtungen benötigen.

Abweichend davon übermitteln wir Ihre personenbezogene Daten nur dann - bspw. an Ermittlungsbehörden - wenn wir dazu gesetzlich verpflichtet sind.

Bitte beachten Sie auch den Hinweis unten zu den Bewerber-/Karriereportalen LinkedIn bzw. Xing.

c) Wie lange speichert die GDD meine Daten?

An die GDD übermittelte personenbezogene Bewerberdaten werden gelöscht, sobald diese für die oben genannten Zwecke nicht mehr erforderlich sind; spätestens nach 6 Monaten. Dies gilt nicht, wenn Sie einer längeren Speicherdauer zugestimmt haben, die Speicherung zu Beweiszwecken erforderlich ist, oder gesetzliche Regelungen einer Löschung entgegenstehen. Zum Beispiel bewahren wir Ihre Bewerberdaten so lange auf, wie die Möglichkeit besteht, dass Sie gegenüber der GDD rechtliche Ansprüche geltend machen, z.B. wegen Verstoßes gegen Bestimmungen des AGG.

Führt Ihre Bewerbung hingegen zu einer Begründung eines Arbeitsvertragsverhältnisses mit Ihnen, werden Ihre Daten für Zwecke der üblichen Verwaltungs- und Organisationsprozesse und zur Durchführung des Beschäftigungsverhältnisses unter Beachtung der geltenden rechtlichen Vorschriften weiter gespeichert und genutzt.

d) Welche Rechte kann ich als Betroffener geltend machen?

Bewerber/innen wie auch Beschäftigten stehen - wie allen anderen Betroffenen - bei einer Verarbeitung ihrer personenbezogenen Daten durch die GDD selbstverständlich die Betroffenenrechte gemäß Art. 15 bis 22 DS-GVO zu. Details hierzu siehe oben im Abschnitt A unter Punkt 4 bzw. unten Abschnitt B Nr. 10 (Widerspruchsrecht).

Sie haben das Recht sich mit einer Beschwerde an den o.g. Datenschutzbeauftragten (siehe Punkt 2) oder an eine Datenschutzaufsichtsbehörde zu wenden (vgl. oben Punkt 3).

Karriernetzwerk LinkedIn

Sofern Sie sich über die Social-Media-Plattform LinkedIn, abrufbar über https://linkedin.com bewerben, gelten ergänzend die folgenden Informationen:

Wir haben die Stellenausschreibung bei LinkedIn maximal datenschutzfreundlich justiert. D.h. es findet weder eine automatisierte Bewerbervorauswahl statt (vgl. Art. 22 DS-GVO), noch verwenden wir angebotene Funktionalitäten wie sog. LinkedIn-Kenntnisevaluierungen (Einstellungstests, die von LinkedIn angeboten und von LinkedIn durchgeführt werden) oder Eignungsfragen (diese würden je nach Antwortverhalten Bewerber/innen mit einem Label "geeignet", "ungeeignet", "vielleicht" versehen).

Sofern Sie sich - entgegen unserer Bitte - über die "Bewerben"-Schaltfläche bei LinkedIn auf unsere Stellenanzeige beworben haben sollten, übernehmen wir Ihre Daten aus LinkedIn und informieren Sie unverzüglich nach Art. 13/14 DS-GVO über die Datenübernahme. Anschließend löschen wir Ihre Bewerbung aus LinkedIn. Im weiteren Verlauf gelten für Ihre Bewerbung dann dieselben Datenschutzhinweise wie für das "klassische" Bewerbungsverfahren.

Karriernetzwerk XING

Sofern Sie sich über die Social-Media-Plattform XING, abrufbar über https://xing.com bewerben, gelten ergänzend die folgenden Informationen:

Wir haben die Stellenausschreibung bei XING maximal datenschutzfreundlich justiert. D.h. es findet weder eine automatisierte Bewerbervorauswahl statt (vgl. Art. 22 DS-GVO), noch verwenden wir angebotene Funktionalitäten wie Einstellungstests oder Eignungsfragen.

Sofern Sie die "Bewerben"-Schaltfläche bei XING anklicken, um sich auf unsere Stellenanzeige zu bewerben, öffnet sich ein Kontaktformular.

Wenn Sie sich wie von uns erbeten "klassisch" mit Anschreiben, Lebenslauf und Zeugnissen per E-Mail bewerben, gelten für Ihre Bewerbung dann dieselben Datenschutzhinweise wie für das "klassische" Bewerbungsverfahren.

 Ergänzend erlauben wir uns Sie auf die Datenschutzhinweise von XING hinzuweisen, die Sie hier abrufen können

https://privacy.xing.com/de

8.    Online-Umfragen

Die GDD setzt zur Einholung von Meinungsbildern unter ihren Mitgliedern (Fallvariante 1) und/oder (Fallvariante 2) im Rahmen der Tätigkeit der GDD-Erfahrungsaustauschkreise (Erfa-Kreise) ein Online-Umfrage-Tool ein.

Dieses Online-Umfrage-Tool wird auf den Computersystemen eines Auftragsverarbeiters betrieben (externes Hosting). Im Rahmen der Umfragen verarbeiten wir personenbezogenen Daten jedoch nur dann, wenn es für die Durchführung der Umfrage absolut notwendig ist (z.B. um die Berechtigung zur Teilnahme an einer Umfrage für einen geschlossenen Nutzerkreis zu überprüfen). D.h. IP-Adresse, Referrer-URL, Timing bzgl. des Abstimmungsverhaltens etc. werden im Rahmen der Umfragen nicht erhoben. Sofern wir nicht gesondert darauf hinweisen, erfolgt die Abstimmung anonym.

Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Rahmen der beschriebenen Online-Umfragen sind zum einen (Fallvariante 1) die Durchführung der Mitgliedschaft bzw. des Mitgliedschaftsvertrags (Art. 6 Abs. 1 Buchstabe b DS-GVO) und zum anderen (Fallvariante 2) unsere berechtigten Interessen an der Optimierung der Tätigkeit der Erfa-Kreise (Art. 6 Absatz 1 Buchstabe f DS-GVO).

9. Virtuelle Sitzungen (Videokonferenzen)

Die GDD richtet zur Virtualisierung von Vorstands-, Erfa-Kreis- oder Arbeitskreis-Treffen oder Besprechungen Web-Konferenzen aus, bei denen die Sprache der Teilnehmer*Innen per Mikrofon und ggf. auch ihr Bild per Webcam an alle anderen Teilnehmer*Innen übertragen werden (nachfolgend kurz: „Videokonferenzen“).

Die GDD bedient sich hierbei Dienstleistern, die der GDD ihre Software und ggf. Ihre Technologie zur Verfügung stellen (fortan: Videokonferenzsysteme). Mit diesen Dienstleistern hat die GDD eine Auftragsverarbeitung gem. Art. 28 DSGVO vereinbart.

a)    Verarbeitung von Daten im Rahmen von Videokonferenzen durch die GDD

Zur Nutzung von „Videokonferenzen“ müssen wir verschiedene Datenarten verarbeiten. Das Gesamtvolumen der verarbeiteten Daten im Rahmen von Videokonferenzen ist abhängig von dem Funktionsumfang des vom Videokonferenzdienstleister bereitgestellten Videokonferenzsystem, welche Datenangaben der jeweilige Nutzer vor, während und nach einer Teilnahme an einer „Videokonferenz“ macht.

Nachfolgende personenbezogene Daten können grundsätzlich Gegenstand der Verarbeitung zur Durchführung Videokonferenz sein:

Angaben zum Benutzer selbst: z. B. Anzeigename („Display name“), Onlinestatus (optional), Statusmeldungen, Profilbild (optional), ggf. E-Mail-Adresse, bevorzugte Sprache.

Meeting-Metadaten: z. B. Datum, Uhrzeit, Dauer, Meeting-ID, ggf. Telefonnummer und der Ort.

Text-, Audio-, Video sowie weitere Multimediadaten: Für die Anzeige von Videosignalen sowie die Wiedergabe von Audiosignalen sowie Multimediadateien, werden während der Dauer des Meetings Daten vom Mikrofon, einer Webcam/Videokamera oder einer Bildschirmanzeige Ihres Endgeräts (mittels Bildschirme-/Inhalte-Teilen-funktion) verarbeitet. Letzteres ist bspw. dann notwendig, wenn sie eine Bildschirmpräsentation halten müssen. Eine Datenübertragung von Kamera und Mikrofon können zu jederzeit und von jedem Nutzer selbstständig an- und abgeschaltet werden. Die Bildschirme-/Inhalte-Teilen-Funktion muss aktiv vom Nutzer betätigt werden und kann auch jederzeit wieder beendet werden.

In einer Videokonferenz haben Sie zudem die Möglichkeit parallel, die Chatfunktion der eingesetzten Videokonferenzplattform zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben, das Teilen von Links oder Inhalten, soziale Interaktionen (wie bspw.: Emoticons, Piktogramme, Like-Button bei Kommentaren oder das Versenden von sogenannten GIFs - Graphics Interchange Format) verarbeitet, um diese in „Videokonferenzen“ den Teilnehmern anzuzeigen.

Diese Tastatureingaben (fortan: "Chats") werden gespeichert um wertvolle Informationen wie bspw. URL zu hilfreichen Dokumenten, Tätigkeitsberichten der Aufsichtsbehörden, Dienstleistern ect. im Nachgang zur Veranstaltung allen Teilnehmenden per E-Mail übersenden zu können. Nach Versand der Informationen werden diese Chatprotokolle gelöscht.

b)    Rechtsgrundlagen der Datenverarbeitung

Die Rechtsgrundlage unterscheidet sich, je nachdem, ob GDD-Mitglieder, Nicht-Mitglieder oder Beschäftigte der GDD an der von der GDD ausgerichteten Videokonferenz teilnehmen:

Sofern GDD-Mitglieder an Virtuellen Sitzungen (z.B. Vorstands-, Erfa-Beirats-, Erfa-Kreis- oder Arbeitskreis-Sitzungen) teilnehmen, ist die Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. b) DS-GVO, da die Verarbeitung der personenbezogenen Mitgliederdaten „zur Durchführung der Mitgliedschaft“ in der GDD erfolgt.

Nehmen Dritte (Nicht-GDD-Mitglieder) an virtuellen Sitzungen von GDD-Erfa-Kreisen oder GDD-Arbeitskreisen teil, dann bildet Art. 6 Abs. 1 lit. f) DS-GVO die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Videokonferenzen“ gegenüber Nichtmitgliedern der GDD.

Werden personenbezogene Daten von Beschäftigten der GDD verarbeitet, dann bildet § 26 BDSG iVm. Art. 88 DS-GVO die Rechtsgrundlage der Datenverarbeitung zur Begründung, Durchführung (betriebliche Organisation) und Beendigung des Beschäftigungsverhältnisses.

Für sonstige Videokonferenzen (bspw. außerhalb von GDD-Erfa-Kreissitzungen) und wenn gegenüber Teilnehmern keine (arbeits-)vertraglichen Beziehungen bestehen, dann basiert unsere Durchführung von Videokonferenzen auf der Rechtsgrundlage Art. 6 Abs. 1 lit. f) DS-GVO. Auch hier besteht unser berechtigtes Interesse an der effektiven Durchführung von „Videokonferenzen“ gegenüber Dritten, Mitgliedern, Interessenten und Nichtmitgliedern.

c)    Speicherung der Daten

Eine Aufzeichnung von „Videokonferenzen“ der Bild- und/oder Ton-Datenströme findet generell nicht statt. Sollte ausnahmshalber - was derzeit nicht angedacht ist - eine Aufzeichnung geplant werden, dann wird die GDD dies im Vorfeld transparent mitteilen und – soweit erforderlich – die Zustimmung aller Teilnehmenden einholen.

Die Inhalte der Chats werden bei der Nutzung vom jeweiligen Dienstleister der Videokonferenzplattform (z.B. Edudip, Microsoft Teams) in sog. Chatprotokollen protokolliert. In Chats freigegebene Dateien der Nutzer werden im OneDrive for Business-Konto des Benutzers gespeichert, der die Datei freigegeben hat. Dateien, die Teammitglieder in einem Kanal freigeben, werden auf der SharePoint-Website des jeweiligen Teams gespeichert.

Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

d)    Empfänger der Daten

Personenbezogene Daten, welche im Zusammenhang mit der Teilnahme an „Videokonferenzen“ verarbeitet werden, werden grundsätzlich ausschließlich an unsere Auftragsverarbeiter, also die Dienstleister, die uns bei der Durchführung der Videokonferenzen unterstützen, weitergegeben.

Eine Weitergabe an Dritte findet abgesehen davon nur statt, sofern die GDD gesetzlich dazu verpflichtet ist (z.B. durch richterlichen Beschluss), oder die Betroffenen ausdrücklich in die Weitergabe ihrer Daten eingewilligt haben.

e)    Datenverarbeitung außerhalb der Europäischen Union

Im Rahmen unserer Möglichkeiten hat die GDD die Speicherorte auf Rechenzentren in Deutschland bzw. innerhalb der Europäischen Union beschränkt. Daher erfolgt die Datenverarbeitung grundsätzlich nicht außerhalb der Europäischen Union (EU).

Sofern wir die Videokonferenzsoftware „sichere-videokonferenz.de“ unseres Dienstleisters horizon44 GmbH einsetzen, beachten Sie bitte darüber hinaus auch die Hinweise, die Sie hier abrufen können:

https://sichere-videokonferenz.de/datenschutz/ 

Sofern wir die Videokonferenzsoftware „Microsoft Teams“ einsetzen, beachten Sie bitte darüber hinaus auch die nachfolgenden Hinweise:  

 „Microsoft Teams“ ist eine Dienstleistung der Microsoft Corporation:

Microsoft Corporation

One Microsoft Way

Redmond, WA 98052-6399

USA

(https://teams.microsoft.com/)

a)    Notwendige Einwilligung in die Datenschutz- und Nutzungsbedingungen gegenüber „Microsoft“ und „Microsoft Teams“

Die Verwendung von MS-Teams unterliegt generell den Nutzungs- und Datenschutzbestimmungen von „Microsoft“, worauf die GDD selbst keinen Einfluss hat. Zur Nutzung von MS-Teams müssen sie zwingend die Nutzungs- und Datenschutzbestimmungen von „Microsoft“ akzeptieren, anderenfalls können Sie MS-Teams nicht nutzen.

Datenschutzbestimmungen: https://www.microsoft.com/en-us/microsoft-365/microsoft-teams/download-app sowie https://privacy.microsoft.com/de-de/privacystatement

Nutzungsbestimmungen: https://www.microsoft.com/de-de/servicesagreement/

Weitere Empfänger: Die Microsoft Corporation als Anbieter von MS-Teams erhält Kenntnis von den oben genannten Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit MS-Teams vorgesehen ist. Über die mit MS-Teams abgeschlossene Auftragsverarbeitung, auf der Basis von EU-Standardvertragsklauseln, verpflichten wir Microsoft zur Einhaltung der gesetzlichen Vorgaben des geltenden Datenschutzrechts. Eine aktuell gültige Fassung kann unter folgendem Link eingesehen werden: https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=18030.

b)    Datenverarbeitung außerhalb der Europäischen Union

Wir haben unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt, daher erfolgt eine Datenverarbeitung grundsätzlich nicht außerhalb der Europäischen Union (EU). Ein Routing oder eine Speicherung auf Servern außerhalb der Europäischen Union beim Auftragsverarbeiter Microsoft können wir aber technisch nicht gänzlich ausschließen. Ein sicheren Datenschutzniveau wird durch den Abschluss von Abschluss von ergänzten EU-Standarddatenschutzklauseln und technisch-organisatorischer Maßnahmen gewährleistet. Unter anderem, dadurch dass Daten während des Transports über das Internet transportverschlüsselt sind und vor einer Offenlegung gegenüber Dritter generell geschützt sind. Im Hinblick auf personenbezogene Daten, die durch Microsoft in den USA und Europa gespeichert werden und ggf. behördlichen Auskunftsersuchen von Behörden in den USA unterliegen können, garantiert Microsoft in einer Stellungnahme vom 20. Juli 2020, dass solche Verfügungen vor Gericht angefochten werden, mit denen der Zugang zu personenbezogenen Daten möglich wäre. Darüber hinaus hat Microsoft im Rahmen eines rechtlichen Vergleichs das Recht erworben, transparente Berichte über die Anzahl der an Microsoft gerichteten amerikanischen Anweisungen zur nationalen Sicherheit offen zu legen, des Weiteren wurden neue Richtlinien innerhalb der US-Regierung eingeführt, welche die Verwendung von Geheimhaltungsanweisungen eingeschränkt haben (Vgl. https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/). Das Datenschutzniveau wird gemessen an den voraussichtlichen Inhalten der GDD-Videokonferenzen, die in der Regel abseits der Namen der an der Videokonferenz teilnehmenden Personen keine personenbezogenen Daten beinhalten, als ausreichend angesehen.

c)    Weitere Informationen zum Datenschutz der Microsoft Corporation und bei MS-Teams

Bitte beachten Sie den Datenschutzhinweis von Microsoft unter https://privacy.microsoft.com/de-de/privacystatement  dort unter dem Abschnitt „Onlinedienste für Unternehmen“;

sowie: https://www.microsoft.com/de-de/trust-center/privacy/customer-data-definitions

in Verbindung mit dem Microsoft DPA, abrufbar unter: https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=18030.

10.    Information über Ihr Widerspruchsrecht nach Artikel 21 Datenschutz-                            Grundverordnung (DS-GVO)

a. Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DS-GVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DS-GVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DS-GVO, ein Profiling findet nicht statt..

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

b. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

Heinrich-Böll-Ring 10

53119 Bonn

Tel.: 0228 - 96 96 75-00

Fax: 0228 - 96 96 75-25

E-Mail: info@gdd.de

11. Gewinnspiele (z.B. GDD-Datenschutz-Quiz)

Sofern Sie an einem GDD-Gewinnspiel (z.B. GDD-Datenschutz-Quiz) teilnehmen (im Folgenden: Gewinnspiel) verwendet die GDD die von Ihnen angegebenen personenbezogenen Daten ausschließlich zur Abwicklung des Gewinnspiels. Für das Gewinnspiel gelten die jeweiligen Teilnahmebedingungen, welche die GDD im Rahmen des Gewinnspiels bereitstellt. Daten der Gewinner*Innen werden von uns nur mit deren ausdrücklicher vorheriger Zustimmung bzw. auf deren ausdrücklichen Wunsch veröffentlicht.

Bei der Durchführung des Gewinnspiels setzt die GDD u.a. auch die Dienste unseres Dienstleisters LimeSurvey ein, der personenbezogene Daten in unserem Auftrag verarbeitet (Auftragsverarbeiter gem. Art. 28 DSGVO).

Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Gewinnspielteilnehmer*Innen ist Art. 6 Abs. I Buchst. b DS-GVO, da die Verarbeitung zur Begründung und Durchführung eines Gewinnspielvertrags erforderlich ist.

Nach Beendigung des Gewinnspiels und Abwicklung des Gewinnspielvertrag zwischen der GDD und den Gewinnern werden die Daten umgehend gelöscht, wenn diese für den Vertragszweck nicht mehr erforderlich sind, spätestens aber nach Ablauf von drei Monaten nach Beendigung des Gewinnspiels.

Im Rahmen des Gewinnspiels werden folgende Daten erhoben :

• E-Mail-Adresse der Teilnehmer*Innen (zur Benachrichtigung im Gewinnfall)
• Browser-Cookies (z.B. um ggf. wiederholte Teilnahme auszuschließen)
• Datumstempel
• Zeitangaben z.B. Dauer zur Bearbeitung einer Umfrageseite

Soweit wir darauf Einfluss nehmen können, konfigurieren wir die Dienste jeweils so datensparsam wie möglich.   

Über das Befragungsformular hinaus werden außerdem vom Umfragesystem LimeSurvey Log-Daten verarbeitet. Bitte beachten Sie insoweit auch dessen Datenschutzhinweise und Nutzungsbedingungen: https://www.limesurvey.org/de/datenschutzhinweise.

Ergänzend verweisen wir auf die obigen Informationen (Punkte 1-10).

Stand: April 2022