Datenschutzerklärung zur Erhebung personenbezogener Daten gemäß DSGVO

Zweck und Umfang der Datenerhebung

Im Rahmen des Vertragsverhältnisses werden von der Fa. Laempe Risk Management (im nachfolgenden „Auftragnehmer“ genannt) zum Zweck der administrativen Abarbeitung von gegebenen Aufträgen personenbezogene Daten erhoben.

Dies sind insbesondere

  • Name
  • Anschrift
  • Kommunikationsdaten wie Email, Fax- und Telefonnummer
  • Daten des Zahlungsverkehrs (z.B. Kontonummern)
  • Daten des Zahlungsverhaltens
  • Bestellhistorie der bereits erteilten Aufträge
  • Sonstige, zur Abarbeitung einer Bestellung benötigte Daten

In bestimmten Fällen zusätzlich

  • Geburtsort, Geburtstag
  • Kopie des Personalausweises

Es werden keinerlei in Artikel 9 der DSGVO genannten Daten erhoben oder verarbeitet:

Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, (…) genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Zulässigkeit der Datenerhebung / Datenverarbeitung

Die Zulässigkeit der vorgenannten Datenerhebung / Datenverarbeitung ergibt sich aus Artikel 6 Absatz 1 der DSGVO

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Im vorliegenden Fall zutreffend sind die Sätze b (Erfüllung des erteilten Auftrages), c (Pflicht zur ordnungsgemäßen Buchführung) und f (Aufbewahrung der Daten zum Zweck der Garantieerfüllung), womit keine gesonderte Erlaubnis erforderlich ist.

Ort der Datenhaltung

Als Auftrags(daten)verarbeiter bieten wir unseren Kunden folgende Dienste an:

  • Datensicherung SAVIA 3000
  • Emailhosting
  • Webhosting
  • YPROCloud (Clouddienst zum sicheren Dokumentenaustausch)

Die physikalische Datenhaltung dieser Dienste erfolgt auschließlich in deutschen Rechenzentren, welche somit der DSGVO / dem BDSG (neu) unterliegen und nach DIN ISO/IEC 27001 zertifiziert sind. Auf Anfrage teilen wir Ihnen gerne den genauen Standort der Datenhaltung der von Ihnen in Anspruch genommenen Dienste mit.

SAVIA 3000 Datenhaltung

Im Rahmen der SAVIA 3000 Installation wird / wurde ein Verschlüsselungskennwort vergeben, welches ausschließlich dem jeweiligen Kunden bekannt ist. Sämtliche gesicherten Kundendaten werden in verschlüsselter Form übertragen und in verschlüsselter Form gespeichert.

Ein Zugriff auf diese Daten ohne Kenntnis des Verschlüsselungskennwortes ist nicht möglich.

Mailserver

Der von uns betriebene Mailserver speichert folgende Daten:
An- und Abmeldungen (Datum + Uhrzeit inkl. IP-Adresse)
Erhaltene und abgewiesene Emails (IP-Adresse, Absender-Adresse, Empfänger-Adresse, Angabe des sendenden Mailservers)
Die Daten werden ausschließlich zur technischen Sicherstellung des Betriebes verwendet.
Die protokollierten Daten werden nach 6 Tagen gelöscht.

YPROcloud

Der von uns betriebene YPROCloud Server speichert folgende Daten:
Die aufgerufene Webadresse, die aufrufende IP-Adresse, Browser, Betriebssystem und Rückmeldestatus. Entsprechende Daten werden nach 6 Tagen gelöscht.
Die Daten werden ausschließlich zur technischen Sicherstellung des Betriebes verwendet.

Aufbewahrungsfrist

Nach Ablauf der gesetzlichen Aufbewahrungsfrist gemäß GoBD sowie Ablauf der gesetzlichen Gewährleistungsfrist werden die erhoben personenbezogenen Daten gelöscht bzw. bei in Schriftform vorliegenden Daten physisch zerstört.

Weitergabe

Eine Weitergabe der erhobenen personenbezogenen Daten erfolgt, soweit erforderlich, ausschließlich zum Zwecke der Abrechnung und der Buchhaltung.

Sämtliche empfangenen Unternehmen (z.B. Steuerberater) werden ausdrücklich auf die Einhaltung der DSGVO Richtlinie verpflichtet.

Rechte

Gemäß der DSGVO Artikel 15 bis 21 stehen dem Betroffenen folgende Rechte zu:

  • Auskunftsrecht über die gespeicherten personenbezogenen Daten sowie deren Verwendung
  • Recht auf Berichtigung fehlerhaft vorhandener personenbezogener Daten
  • Recht auf Löschung nicht mehr benötigter personenbezogener Daten, solange diese nicht auf Basis eines Gesetzes (beispielsweise sich aus dem Steuerrecht ergebene gesetzliche Aufbewahrungsfristen) verhindert wird
  • Recht auf Einschränkung der Verarbeitung, so dass eine Verarbeitung nur noch auf Basis rechtlicher Anforderungen erfolgt
  • Mitteilungspflicht über erteilte Einschränkungen oder Änderungen an sämtliche Firmen / Personen, an welche die personenbezogenen Daten weitergegeben wurden
  • Recht auf Datenübertragbarkeit. Auf Anfrage stellt der Auftragnehmer dem Auftraggeber sämtliche über ihn vorhandenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu Verfügung
  • Jederzeitiges Widerspruchsrecht. Der Betroffene kann seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten jederzeit widerrufen.

Bei Verstößen gegen die beschriebenen Regelungen können Sie sich jederzeit an den Landesbeauftragten für Datenschutz des Landes Baden-Württemberg wenden: https://www.bad en-wuerttemberg.datenschutz.de/