Datenschutzerklärung

1. Informationen zum Datenschutz

Die nachfolgende Erklärung klärt Sie gem. Art. 13 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen Ihrer Nutzung dieses Onlineangebotes sowie meiner externen Social Media Profile auf. Hinsichtlich der verwendeten Begrifflichkeiten verweise ich auf die gesetzlichen Definitionen in Art. 4 DSGVO. Informationen zur Datenverarbeitung im Zusammenhang mit Mandatsbearbeitungen bzw. -anfragen finden Sie dagegen hier: Download (PDF)

2. Verantwortlich i.S.d. DSR

Jan A. Strunk, Fritz-Reuter-Weg 17, 24939 Flensburg, datenschutz@rafas-law.de.

3. Rechtsgrundlagen

Die Rechtsgrundlagen meiner Datenverarbeitungen teile ich Ihnen nachfolgend jeweils im Zusammenhang mit den einzelnen Verarbeitungen mit. Sofern dort die Rechtsgrundlage im Einzelfall nicht genannt wird, gilt Folgendes:

Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, für die Verarbeitung zur Beantwortung von Anfragen Art. 6 Abs. 1 lit. b DSGVO und für die Verarbeitung zur Wahrung meiner berechtigten Interessen Art. 6 Abs. 1 lit. f DSGVO. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

4. Arten der verarbeiteten Daten

  • Bestandsdaten (z.B., Namen, Adressen).
  • Kontaktdaten (z.B., E-Mail, Telefonnummern).
  • Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
  • Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
  • Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen).

5. Zweck der Verarbeitung

  • Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte.
  • Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern.
  • Sicherheitsmaßnahmen.
  • Reichweitenmessung

6. Hosting

Die von mir in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Sicherheitsleistungen sowie technische Wartungsleistungen, die ich zum Zwecke des Betriebs dieses Onlineangebotes einsetze.

Hierbei verarbeiten ich, bzw. mein Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Besuchern dieses Onlineangebotes auf Grundlage meiner berechtigten Interessen an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag).

7. Erhebung von Zugriffsdaten und Logfiles

Ich, bzw. mein Hostinganbieter, erheben auf Grundlage meiner berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

8. Sicherheitsmaßnahmen

Ich treffe nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren habe ich Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisen. Ferner berücksichtige ich den Schutz personenbezogener Daten bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

9. Zusammenarbeit mit Auftragsverarbeitern und Dritten

Sofern ich im Rahmen meiner Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbare, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis, Ihrer Einwilligung, wenn eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage meiner berechtigten Interessen (z.B. beim Einsatz von Beauftragten, Webhostern, etc.). Sofern ich Dritte mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftrage, geschieht dies auf Grundlage des Art. 28 DSGVO.

10. Übermittlungen in Drittländer

Sofern ich Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeite oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, bzw. Übermittlung von Daten an Dritte geschieht, erfolgt dies nur, wenn es zur Erfüllung meiner (vor)vertraglichen Pflichten, auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage meines berechtigten Interessen geschieht. Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse, verarbeite oder lasse ich die Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeiten. D.h. die Verarbeitung erfolgt z.B. auf Grundlage besonderer Garantien, wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus oder Beachtung offiziell anerkannter spezieller vertraglicher Verpflichtungen (so genannte „Standardvertragsklauseln“).

11. Ihre Rechte

  • Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.
  • Sie haben entsprechend Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten erfolgt.
  • Sie haben das Recht zu verlangen, die Sie betreffenden Daten, die Sie mir bereitgestellt haben nach Maßgabe des Art. 20 DSGVO zu erhalten und deren Übermittlung an andere Verantwortliche zu fordern.
  • Sie haben ferner gem. Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

12. Widerrufsrecht

Sie haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen

13. Widerspruchsrecht

Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.

14. Cookies

Als ‚Cookies‘ werden kleine Textdateien bezeichnet, die auf dem Endgerät der Nutzer (z.B. Computer, Smartphone oder Tablet) gespeichert werden. Innerhalb von Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, Informationen zu einem Nutzer bzw. dessen Endgerät während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern.

Auf meinem Onlineangebot kommen ausschließlich solche Cookies zum Einsatz, die für den technischen Betrieb der Website erforderlich sind (z.B. zur stabilen Auslieferung der Seiteninhalte). Eine Auswertung Ihres Nutzungsverhaltens zu Zwecken des Trackings, der Reichweitenmessung oder für Marketingzwecke findet nicht statt, insbesondere werden keine Tracking- oder Marketing-Cookies von Drittanbietern eingesetzt.

Sie können die Speicherung von Cookies durch eine entsprechende Einstellung in Ihrem Browser verhindern. Bereits gespeicherte Cookies können Sie in den Systemeinstellungen Ihres Browsers jederzeit löschen. Der Ausschluss von Cookies kann in Einzelfällen zu Funktionseinschränkungen bei der Nutzung von Websites führen, meine rein informatorische Seite bleibt in der Regel jedoch weiterhin nutzbar.

Die Verwendung technisch erforderlicher Cookies erfolgt zur Wahrung meines berechtigten Interesses an der technisch fehlerfreien und optimierten Bereitstellung dieses Onlineangebotes (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG).

Weiterführende Informationen über den Einsatz von Cookies auf dieser Website finden Sie in der Cookie-Richtlinie.

15. Löschung von Daten

Die von mir verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei mir gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet.

16. Kontaktaufnahme

Bei der Kontaktaufnahme mit mir (z.B. via E-Mail oder sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Ich lösche die Angaben, sofern diese nicht mehr erforderlich sind.

17. Onlinepräsenzen in sozialen Medien

Ich unterhalte Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Nutzern kommunizieren zu können. Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber.
Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeite ich die Daten der Nutzer sofern diese mit mir innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf meinen Onlinepräsenzen verfassen oder mir Nachrichten zusenden.

18. Einbindung von Diensten und Inhalten Dritter

Ich setze innerhalb meines Onlineangebotes auf Grundlage meiner berechtigten Interessen an der Analyse und Optimierung meines Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Inhalts- oder Serviceangebote von Drittanbietern ein, um deren Inhalte und Services, wie z.B. Videos oder Schriftarten einzubinden (nachfolgend einheitlich bezeichnet als “Inhalte”).

Dies setzt immer voraus, dass die Drittanbieter dieser Inhalte, die IP-Adresse der Nutzer wahrnehmen, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich. Ich bemühe mich, nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner so genannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons“ bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die „Pixel-Tags“ können Informationen, wie der Besucherverkehr auf den Seiten dieser Website ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und Betriebssystem, verweisende Webseiten, Besuchszeit sowie weitere Angaben zur Nutzung meines Onlineangebotes enthalten, als auch mit solchen Informationen aus anderen Quellen verbunden werden.

a. Real Cookie Banner

Zur Verwaltung der eingesetzten Cookies und ähnlichen Technologien (Tracking-Pixel, Web-Beacons etc.) und der diesbezüglichen Einwilligungen setze ich das Consent-Management-Tool „Real Cookie Banner“ ein. Details zur Funktionsweise von „Real Cookie Banner“ finden Sie unter https://devowl.io/de/rcb/datenverarbeitung/ (https://devowl.io/de/rcb/datenverarbeitung/).

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in diesem Zusammenhang sind Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO erfolgt, soweit ich rechtlich verpflichtet bin, erteilte Einwilligungen zu dokumentieren und nachweisen zu können (Art. 7 Abs. 1 DSGVO). Die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt zur Wahrung meines berechtigten Interesses an der dokumentierten Verwaltung der eingesetzten Cookies und ähnlichen Technologien sowie der diesbezüglichen Einwilligungen.

Die Bereitstellung der personenbezogenen Daten im Zusammenhang mit „Real Cookie Banner“ ist für Sie weder gesetzlich noch vertraglich vorgeschrieben und auch für den Abschluss eines Vertrages nicht erforderlich. Sie sind nicht verpflichtet, personenbezogene Daten bereitzustellen oder eine Einwilligung zu erteilen. Ohne eine Einwilligung können jedoch bestimmte Funktionen meines Onlineangebots, die auf Cookies und ähnlichen Technologien beruhen, ganz oder teilweise nicht genutzt werden.

Soweit Sie eine Einwilligung erteilen, bin ich nach Art. 7 Abs. 1 DSGVO verpflichtet, diese Einwilligung nachweisen zu können, und dokumentiere sie daher unter Einsatz des Consent-Management-Tools (Art. 7 Abs. 1 DSGVO).

b. Google Meet

Ich nutze für Video‑ und Telefonkonferenzen die Konferenzsoftware Google Meet, die von Google entwickelt wurde und es den Teilnehmenden ermöglicht, Video‑ und Telefonkonferenzen durchzuführen. Bei der Nutzung dieser Software werden personenbezogene Daten verarbeitet.

Google Meet wird für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum durch die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, bereitgestellt. Google kann zur Erbringung der Dienste verbundene Unternehmen, insbesondere die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, einsetzen. Dabei kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Die USA sind ein Drittland außerhalb des unmittelbaren Geltungsbereichs der DSGVO. Für Übermittlungen personenbezogener Daten an bestimmte nach dem EU‑US Data Privacy Framework (DPF) zertifizierte Unternehmen in den USA liegt ein Angemessenheitsbeschluss der EU‑Kommission nach Artikel 45 DSGVO vor, der ein angemessenes Datenschutzniveau bestätigt. Soweit Google LLC für die von mir genutzten Dienste nach dem DPF zertifiziert ist, stützen sich Datenübermittlungen auf diesen Angemessenheitsbeschluss; im Übrigen kommen die von Google vorgesehenen geeigneten Garantien (insbesondere EU‑Standardvertragsklauseln) zum Einsatz. Soweit Google im Rahmen meiner Nutzung als Auftragsverarbeiter tätig wird, habe ich mit Google die erforderliche Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DSGVO einschließlich der aktuellen Datenverarbeitungsbedingungen geschlossen.

Google Meet verarbeitet personenbezogene Daten, um den Dienst bereitzustellen, durchzuführen, abzusichern und zu verbessern. Dies umfasst insbesondere Verarbeitungen für folgende Zwecke:

  • Registrierung und Verwaltung von Konten (soweit Google‑Konten genutzt werden)
  • Planung und Durchführung von Konferenzen
  • Teilnahme an Konferenzen
  • Nutzung von Zusatzfunktionen (zum Beispiel Chat, Datei‑Uploads, Bildschirmfreigabe)
  • Analyse und Verbesserung des Dienstes (insbesondere zur Stabilität, Sicherheit und Fehlerbehebung)

Im Rahmen der Nutzung von Google Meet können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Kontaktdaten (zum Beispiel Name, E‑Mail‑Adresse, ggf. Telefonnummer)
  • Kontoinformationen (zum Beispiel Benutzername, Angaben zum Google‑Konto; Passwörter verbleiben im Verantwortungsbereich von Google)
  • Konferenzdetails (zum Beispiel Thema, Teilnehmer, Zeit und Datum, Einwahlinformationen)
  • Technische Informationen über Geräte und Netzwerkverbindungen (zum Beispiel IP‑Adresse, Zeitstempel, Geräte‑ und Browserinformationen, Verbindungs‑ und Qualitätsdaten)
  • Inhaltsdaten im Rahmen der Konferenz (zum Beispiel Bild‑ und Tondaten, Chatnachrichten, gemeinsam genutzte Dateien, ggf. weitere Inhalte, die während der Konferenz übermittelt werden)

Welche Daten im Einzelfall verarbeitet und gegebenenfalls gespeichert werden, hängt von der konkreten Nutzung des Dienstes und den von den Teilnehmenden genutzten Funktionen ab.

Google Meet kann personenbezogene Daten insbesondere mit folgenden Empfängern teilen:

  • anderen Teilnehmenden einer Konferenz (zum Beispiel Name, ggf. E‑Mail‑Adresse, Bild‑ und Tondaten, Chatbeiträge – abhängig von Konfiguration und eigenem Nutzungsverhalten)
  • anderen Google‑Diensten und internen Stellen innerhalb des Google‑Konzerns (zum Beispiel für Sicherheits‑, Analyse‑ und Verbesserungszwecke im Rahmen der jeweiligen Google‑Datenschutzbestimmungen)
  • ausgewählten externen Dienstleistern von Google (zum Beispiel technische Serviceanbieter, Support‑ und Analyse‑Dienstleister), soweit diese als Auftragsverarbeiter für Google tätig werden

Die Speicherdauer personenbezogener Daten im Zusammenhang mit Google Meet richtet sich im Wesentlichen nach den Zwecken der Verarbeitung und den einschlägigen gesetzlichen Aufbewahrungspflichten. Google speichert personenbezogene Daten grundsätzlich für die Dauer der Bereitstellung des Google‑Kontos bzw. der Nutzung der Dienste und darüber hinaus nur, soweit gesetzliche Pflichten oder berechtigte Interessen (zum Beispiel IT‑Sicherheit, Durchsetzung von Ansprüchen) eine weitere Speicherung erfordern. Danach werden personenbezogene Daten gelöscht oder in anonymisierter Form weiterverarbeitet.

Google hat nach eigenen Angaben technische und organisatorische Maßnahmen getroffen, um die Sicherheit und Integrität personenbezogener Daten zu gewährleisten. Hierzu gehören unter anderem:

  • Verschlüsselung von Daten während der Übertragung und – soweit angegeben – im Ruhezustand
  • regelmäßige Sicherheitsaudits und Bewertungen
  • Zugriffskontrollen und rollenbasierte Berechtigungskonzepte

Als betroffene Person stehen Ihnen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Google grundsätzlich die Rechte nach den Artikeln 12 ff. DSGVO zu (zum Beispiel Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit), soweit die jeweiligen gesetzlichen Voraussetzungen erfüllt sind. Die Ausübung dieser Rechte erfolgt gegenüber Google als (Mit‑)Verantwortlichem.

Zur Verwaltung Ihrer personenbezogenen Daten bei Google können Sie insbesondere:

  • sich in Ihrem Google‑Konto anmelden und dort über „Datenschutz“ bzw. „Einstellungen“ die vorgesehenen Datenschutz‑ und Kontooptionen nutzen,
  • die von Google angebotenen Lösch‑ und Verwaltungsmöglichkeiten (zum Beispiel für Aktivitätsdaten) verwenden,
  • Ihr Google‑Konto löschen. Dabei ist zu beachten, dass durch eine Löschung des Google‑Kontos der Zugang zu Google‑Diensten (einschließlich Google Meet) entfallen kann und personenbezogene Daten, die gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen unterliegen, nicht vollständig gelöscht werden.

Google kann seine Datenschutzbestimmungen und produktbezogenen Datenschutzhinweise jederzeit ändern und aktualisieren. Ich empfehle daher, die jeweils aktuellen Datenschutzhinweise von Google zu berücksichtigen. Diese finden Sie unter: https://policies.google.com/privacy?hl=de

c. LinkedIn

Innerhalb meines Onlineangebotes können Funktionen und Inhalte des Dienstes LinkedIn, angeboten durch die LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Irland, eingebunden werden. Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer ihr Gefallen an Inhalten kundtun, den Verfasser der Inhalte oder meine Beiträge abonnieren können. Sofern die Nutzer Mitglieder der Plattform LinkedIn sind, kann LinkedIn den Aufruf der o.g. Inhalte und Funktionen den dortigen Profilen der Nutzer zuordnen. Datenschutzerklärung von LinkedIn: https://www.linkedin.com/legal/privacy-policy.. LinkedIn ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000L0UZAA0&status=Active). Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy, Opt-Out: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.

d. Einsatz von DPMS

Ich setze das cloudbasierte „DPMS – Data Protection Management System“ der LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Grundlage ist ein Auftragsverarbeitungsvertrag, der insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die technischen und organisatorischen Maßnahmen regelt. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet nach dem Vertrag ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein Drittland bedarf meiner vorherigen Zustimmung und setzt die Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO voraus.

DPMS wird von mir insbesondere zur Unterstützung meines Datenschutz-Managements, zur Dokumentation und Organisation datenschutzrechtlicher Prozesse sowie zur Durchführung von Online-Besprechungen, einschließlich Video- und Audiokonferenzen genutzt. Dabei werden – abhängig vom konkreten Einsatzzweck – insbesondere folgende Kategorien personenbezogener Daten verarbeitet: Kundenstammdaten, Mitarbeiter- und Dienstleisterdaten, Mandanten- und Betroffenendaten, Inhaltsdaten (z.B. im Rahmen von Videokonferenzen oder hinterlegten Dokumenten) sowie Meta- und Kommunikationsdaten. Die Kategorien betroffener Personen umfassen insbesondere Mandanten und deren Mitarbeiter, sonstige Betroffene im Mandatszusammenhang, eigene Mitarbeiter sowie externe Dienstleister.

LegalInnovate Technologies GmbH setzt zur Erbringung der DPMS-Leistungen Unterauftragsverarbeiter mit Sitz in Deutschland ein, u.a. Hetzner Online GmbH, netcup GmbH, 1blu AG, DeepL SE und AnyDesk Software GmbH. Die technischen und organisatorischen Maßnahmen sowie die Einbindung der Unterauftragsverarbeiter wurden durch die Datenschutz Pöllinger GmbH im Rahmen eines Audits überprüft. Der Prüfbericht bestätigt die Implementierung der vertraglich zugesicherten Maßnahmen sowie das Bestehen einer logischen Mandantentrennung und weiterer Sicherheitsmechanismen. Ein ergänzend durchgeführter Penetrationstest durch die BreakinLabs GmbH hat nach dem Prüfbericht keine Schwachstellen in der Sicherheitsarchitektur der Webanwendung DPMS ergeben.

Soweit ich das Videokonferenzmodul von DPMS für Besprechungen einsetze, werden zur Teilnahme erforderliche Stammdaten (z.B. Name, E‑Mail‑Adresse), Metadaten zur Sitzung (z.B. Zeitpunkt, Dauer, Teilnehmer) sowie die von den Beteiligten bereitgestellten Kommunikations- und Inhaltsdaten (Audio/Video, Chat, Bildschirmfreigaben, hochgeladene Dateien) verarbeitet. Aufzeichnungen von Videokonferenzen erstelle ich nur in Ausnahmefällen und ausschließlich nach vorheriger Information und – soweit erforderlich – auf Grundlage einer Einwilligung der Teilnehmer. Im Übrigen gelten die allgemeinen Grundsätze zur Löschung und Einschränkung der Verarbeitung nach dieser Datenschutzerklärung.

Ergänzende spezifische Informationen zum Einsatz von DPMS finden Sie unter Ziff. 20. (Hinweisgeberschutzsystem) sowie Ziff. 21. (Datenschutz-Managementsystem).

19. Einsatz des KI‑Telefonassistenten „Hallo Kira“

a. Einsatzbereich

Zur Entgegennahme und ersten Bearbeitung telefonischer Anfragen setze ich den KI‑gestützten Telefon- und Kommunikationsdienst „Hallo Kira“ ein. Der Dienst nimmt Anrufe entgegen, erfasst Ihr Anliegen, strukturiert die Informationen und organisiert gegebenenfalls einen Rückruf- oder Gesprächstermin mit mir.

b. Kategorien von Daten

Es werden insbesondere verarbeitet:

  • Stammdaten: Name, ggf. Firma, Funktion / Position
  • Kontaktdaten (Telefonnummer, E-Mail-Adresse, ggf. Anschrift)
  • Kommunikations- und Inhaltsdaten: Verbindungsdaten (Rufnummer, angerufene Nummer, Datum, Uhrzeit, Dauer), Gesprächsnotizen und Transkripte zu Ihrem Anliegen, Audioaufzeichnung des Gesprächs, sofern Sie diese nicht zu Beginn ablehnen, Kommunikationsdaten inkl. Aufzeichnung / Transkription
  • Nutzungs- und Protokolldaten: Technische Log- und Systemdaten, soweit für Betrieb, Sicherheit und Fehleranalyse erforderlich.

c. Zwecke und Rechtsgrundlagen

  • Bearbeitung von Anfragen und Mandaten: Entgegennahme und Strukturierung Ihrer Anfrage, Organisation von Rückrufen und Gesprächsterminen, Kommunikation im Rahmen der Mandatsanbahnung und -durchführung
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung).
  • Kanzleiorganisation, Qualität und Sicherheit: Sicherstellung der Erreichbarkeit, Priorisierung und Organisation von Anfragen, Qualitätssicherung und Verbesserung der telefonischen Kommunikation und Abläufe, Vermeidung von Missverständnissen bei der Bearbeitung von Anfragen, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Einzelfällen, Gewährleistung eines sicheren und störungsfreien Betriebs des Systems.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Audioaufzeichnung mit Opt-out: Das Gespräch wird zu Beginn standardmäßig aufgezeichnet, um die Qualität der telefonischen Kommunikation zu verbessern, die Bearbeitung von Anfragen zu optimieren und Missverständnisse zu vermeiden. Sie werden darauf hingewiesen und können die Aufzeichnung zu Beginn durch eine entsprechende Äußerung ablehnen. In diesem Fall erfolgt das Gespräch ohne Aufzeichnung.
    Die Audioaufzeichnung stütze ich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer qualitätsgesicherten, nachvollziehbaren und effizient organisierten telefonischen Kommunikation). Für die Mandatsdokumentation als solche genügen die durch den Assistenten erstellten Gesprächsnotizen und Transkripte. Eine Nutzung der Aufzeichnung für darüber hinausgehende Zwecke erfolgt nur mit gesonderter Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

d. Aufzeichnung / Transkript

„Hallo Kira“ erstellt aus dem Gespräch strukturierte Notizen bzw. Transkripte. Wenn Sie der Aufzeichnung widersprechen, erfolgt nur eine textliche Erfassung der wesentlichen Inhalte, soweit dies für die Bearbeitung Ihres Anliegens erforderlich ist. Personenbezogene Daten werden in die jeweilige Akte übernommen und nur solange gespeichert, wie sie für die Bearbeitung des Mandats und die Erfüllung anwaltlicher sowie gesetzlicher Pflichten erforderlich sind: Nach Wegfall dieser Zwecke – insbesondere nach Beendigung des Mandats und Ablauf der gesetzlichen Aufbewahrungsfristen – werden die Daten nach Maßgabe der datenschutzrechtlichen Vorgaben gelöscht oder anonymisiert.

e. Empfänger / Auftragsverarbeiter

Für „Hallo Kira“ setze ich folgende Auftragsverarbeiterin ein: Pfeiffer Software GmbH, Emy-Roeder-Str. 69, 68163 Mannheim, Deutschland – info@pfeiffer-software.com

Mit der Pfeiffer Software GmbH besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich nach meinen Weisungen und unter angemessenen technischen und organisatorischen Maßnahmen. Hierzu gehören insbesondere Zugriffs- und Zugriffskontrollkonzepte, die sicherstellen sollen, dass nur weisungsgebundene, zur Vertraulichkeit verpflichtete Personen Zugriff auf die im Rahmen des Dienstes verarbeiteten (auch mandatsbezogenen) Daten erhalten und dass diese Daten vor unbefugter Kenntnisnahme geschützt sind.

Die berufsrechtliche Verschwiegenheitspflicht als Rechtsanwalt bleibt durch den Einsatz von „Hallo Kira“ unberührt. „Hallo Kira“ ist ausdrücklich für Berufsgeheimnisträger konzipiert. Die Pfeiffer Software GmbH verpflichtet sich in der mit mir geschlossenen Vertraulichkeits- und Auftragsverarbeitungsvereinbarung selbst sowie ihre Mitarbeitenden vertraglich zur Wahrung der anwaltlichen Verschwiegenheit in einem Umfang, der den Anforderungen des § 43e BRAO entspricht, und weist dabei ausdrücklich auf die Strafbarkeit einer unbefugten Offenbarung von Geheimnissen nach § 203 StGB hin. Durch diese ausdrückliche Einbeziehung der strafbewehrten Geheimhaltungspflichten (§ 203 StGB) in das Vertragsverhältnis werden die Mitarbeitenden des Dienstleisters in die strafrechtlich geschützte Verschwiegenheitssphäre einbezogen. Die Geheimhaltungspflicht gilt zudem zeitlich unbegrenzt und erstreckt sich auch auf etwaige Unterauftragsverarbeiter. Innerhalb meiner Kanzlei haben nur diejenigen Personen Zugriff auf Ihre Daten, die diese zur Bearbeitung Ihres Anliegens benötigen.

Bei der Nutzung von „Hallo Kira“ zur Entgegennahme, Transkription und Strukturierung von Telefonanrufen sowie zur Terminorganisation werden Ihre personenbezogenen Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet und gespeichert. Die hierfür eingesetzten Unterauftragsverarbeiter betreiben ihre Infrastruktur insbesondere in Rechenzentren in Frankfurt (DE) und Dublin. Eine Übermittlung in Drittländer, insbesondere in die USA, findet im Rahmen dieser normalen Telefonbearbeitung nicht statt.

e. Speicherdauer

Kommunikations- und Inhaltsdaten werden nur so lange gespeichert, wie dies zur Bearbeitung Ihrer Anfrage und zur Erfüllung der genannten Zwecke erforderlich ist. Kommt es zu einem Mandat, werden relevante Informationen (Transkripte und – soweit erforderlich – relevante Auszüge aus Aufzeichnungen) in die Mandatsakten überführt und nach den hierfür geltenden gesetzlichen Aufbewahrungsfristen gespeichert.

Audioaufnahmen, die nicht mehr für die Qualitätssicherung, die Bearbeitung der Anfrage oder in Einzelfällen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, werden gelöscht, sobald sie hierfür nicht mehr erforderlich sind. Technische Log- und Protokolldaten werden nur so lange vorgehalten, wie dies für Betrieb, Sicherheit und Fehleranalyse notwendig ist, und anschließend gelöscht oder anonymisiert.

f. Freiwilligkeit / Alternative Kommunikationswege

Sie sind nicht verpflichtet, „Hallo Kira“ zu nutzen. Alternativ können Sie mich über die im Impressum genannten weiteren Kontaktwege (z.B. E-Mail, Post) erreichen. Sie können zudem jederzeit verlangen, dass sich eine natürliche Person Ihres Anliegens annimmt. In diesem Fall organisiert der Telefonassistent einen persönlichen Rückruf- bzw. Gesprächstermin mit mir. Je nach Auslastung kann es zu Wartezeiten kommen.

20. Einsatz von DPMS als Hinweisgeberschutzsystem

a. Einsatzbereich

Ich setze das „DPMS – Data Protection Management System“ der LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland, als cloudbasiertes Meldesystem zur Entgegennahme und Bearbeitung von Hinweisen nach dem Hinweisgeberschutzgesetz (HinSchG) sowie sonstiger Compliance‑Hinweise ein. LegalInnovate Technologies GmbH wird insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags tätig. Die Datenverarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.

b. Zwecke und Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems erfolgt insbesondere zu folgenden Zwecken:

  • Entgegennahme, Dokumentation und Bearbeitung von Hinweisen über mögliche Verstöße gegen gesetzliche Vorschriften, interne Richtlinien oder sonstige Compliance‑Vorgaben sowie
  • Durchführung und Dokumentation von Prüfungen, Untersuchungen und Folgemaßnahmen (einschließlich der Kommunikation mit hinweisgebenden und betroffenen Personen sowie ggf. mit Behörden).

Rechtsgrundlagen sind je nach Konstellation insbesondere Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den einschlägigen gesetzlichen Verpflichtungen, insbesondere nach dem Hinweisgeberschutzgesetz, Art. 6 Abs. 1 lit. e DSGVO, soweit ich bei Betrieb der Meldestelle in Wahrnehmung einer Aufgabe im öffentlichen Interesse tätig werde, sowie Art. 6 Abs. 1 lit. f DSGVO. Mein berechtigtes Interesse besteht in der Aufdeckung und Aufklärung von Rechtsverstößen und schwerwiegenden Regelverstößen, der Verhinderung von Schäden sowie in der Wahrung und Durchsetzung meiner Rechte.

Soweit im Einzelfall besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten, Angaben zur Religionszugehörigkeit oder Gewerkschaftszugehörigkeit) betroffen sind, stützt sich die Verarbeitung, soweit erforderlich, auf Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit den einschlägigen gesetzlichen Vorgaben oder Art. 9 Abs. 2 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

c. Kategorien der verarbeiteten personenbezogenen Daten

Je nach Inhalt der Meldung und Verlauf des Verfahrens können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Daten der hinweisgebenden Person:
    Name, Kontaktdaten und sonstige Identitätsangaben, soweit freiwillig angegeben, sowie die im Rahmen der Meldung oder späterer Kommunikation bereitgestellten Informationen (einschließlich ggf. hochgeladener Dateien).
  • Daten der von einer Meldung betroffenen Personen:
    Identitäts- und Kontaktdaten (z.B. Name, Funktion, Organisationseinheit) sowie Angaben zum gemeldeten Sachverhalt.
  • Daten sonstiger in einer Meldung genannter Personen:
    Identitäts- und sonstige Angaben, soweit diese in der Meldung benannt oder im Rahmen der Sachverhaltsaufklärung bekannt werden.
  • Verfahrens- und Bearbeitungsdaten:
    Vorgangs- bzw. Aktenkennzeichen, Zeitpunkte und Inhalte von Bearbeitungsschritten, interne Vermerke, Ergebnisse von Prüfungen und ergriffene Maßnahmen.

Soweit technisch vorgesehen, können Meldungen auch anonym erfolgen. Rückschlüsse auf Ihre Identität sind dann nur möglich, wenn Sie selbst Angaben erlauben, aus denen auf Ihre Person geschlossen werden kann.

d. Empfänger der Daten

Im Rahmen der Bearbeitung von Hinweisen werden personenbezogene Daten nur an solche internen oder externen Stellen weitergegeben, die diese zur Prüfung und Bearbeitung des gemeldeten Sachverhalts oder zur Durchführung von Folgemaßnahmen benötigen und zu Vertraulichkeit verpflichtet sind. Hierzu können insbesondere gehören:

  • Intern: die für die Bearbeitung von Hinweisen zuständigen Personen sowie – soweit erforderlich – die in die Prüfung oder Entscheidung eingebundenen Stellen,
  • Extern: LegalInnovate Technologies GmbH als technischer Dienstleister im Rahmen der Auftragsverarbeitung sowie in Einzelfällen weitere IT‑ oder Beratungsdienstleister als Auftragsverarbeiter,
  • Im Bedarfsfall und soweit rechtlich zulässig: Zuständige Behörden (z.B. Strafverfolgungsbehörden, Aufsichtsbehörden), Gerichte sowie Rechtsanwälte oder sonstige professionelle Berater.

Eine Offenlegung erfolgt nur, soweit sie für die Aufklärung des Sachverhalts, die Durchführung von Maßnahmen oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder gesetzlich vorgeschrieben ist.

e. Dauer der Speicherung

Personenbezogene Daten im Zusammenhang mit Hinweisen werden nur so lange gespeichert, wie dies für die Entgegennahme, Prüfung und Bearbeitung des Hinweises, für etwaige Untersuchungen und Folgemaßnahmen sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Anschließend werden die Daten nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt; soweit möglich, können Daten zu Dokumentationszwecken in anonymisierter Form fortgeführt werden.

f. Vertraulichkeit und besondere Hinweise zu Betroffenenrechten

Die Vertraulichkeit der Identität hinweisgebender Personen sowie der in einer Meldung genannten Personen wird im Rahmen der gesetzlichen Vorgaben, insbesondere des Hinweisgeberschutzgesetzes, gewahrt. Die Identität der hinweisgebenden Person wird grundsätzlich nur denjenigen Personen offengelegt, die für die Entgegennahme und Bearbeitung der Meldung oder für Folgemaßnahmen zuständig sind oder denen die Offenlegung aufgrund einer gesetzlichen Verpflichtung obliegt.

Ihre Rechte als betroffene Person (insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch) bestehen auch im Zusammenhang mit dem Hinweisgebersystem. Im Einzelfall können diese Rechte jedoch beschränkt sein, soweit und solange dies erforderlich ist, um die Vertraulichkeit der Identität hinweisgebender Personen zu schützen, interne Untersuchungen nicht zu gefährden, gesetzliche Pflichten zu erfüllen oder Rechte und Freiheiten anderer Personen zu wahren. In diesen Fällen informiere ich Sie im Rahmen der gesetzlichen Vorgaben über die Gründe der Einschränkung.

21. Einsatz von DPMS als Datenschutz-Managementsystem

a. Einsatzbereich und Verantwortlichkeit

Ich nutze das cloudbasierte „DPMS – Data Protection Management System“ der LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland, zur Erfüllung meiner Aufgaben als externer Datenschutzbeauftragter für meine Mandanten. Die LegalInnovate Technologies GmbH verarbeitet personenbezogene Daten hierbei als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags und nach meinen Weisungen. Die Verarbeitung erfolgt nach den vertraglichen Regelungen ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.

Je nach Mandatsverhältnis bin ich in Bezug auf die in DPMS verarbeiteten Daten entweder selbst Verantwortlicher (Art. 4 Nr. 7 DSGVO) oder als externer Datenschutzbeauftragter in die Datenverarbeitung des jeweiligen Mandanten eingebunden. In letzterem Fall bleibt der jeweilige Mandant Verantwortlicher. Meine Tätigkeit erfolgt dann auf Grundlage der mit dem Mandanten getroffenen Vereinbarungen zur Einbindung des externen Datenschutzbeauftragten.

b. Zwecke der Verarbeitung

DPMS wird insbesondere zu folgenden Zwecken eingesetzt:

  • Organisation und Dokumentation der gesetzlichen Aufgaben als (externer) Datenschutzbeauftragter, insbesondere nach Art. 39 DSGVO,
  • Aufbau, Pflege und Dokumentation eines Datenschutz-Managementsystems (z.B. Verzeichnis von Verarbeitungstätigkeiten, TOM‑Dokumentation, Datenschutz‑Folgenabschätzungen, Schulungsnachweise),
  • Verwaltung und Bearbeitung von Betroffenenanfragen, Datenschutzvorfällen und Meldungen an Aufsichtsbehörden,
  • Planung, Durchführung und Dokumentation von Datenschutzaudits sowie laufender Prüf- und Kontrollprozesse,
  • Kommunikation mit Mandanten, deren Mitarbeitenden und ggf. betroffenen Personen im Rahmen der datenschutzrechtlichen Beratung.

Die Nutzung von DPMS dient damit der strukturierten, nachvollziehbaren und revisionssicheren Erfüllung der datenschutzrechtlichen Organisations‑, Dokumentations- und Nachweispflichten.

c. Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlage der Verarbeitung personenbezogener Daten in DPMS bestimmt sich nach der jeweiligen Rolle:

  • Soweit ich selbst Verantwortlicher bin (z.B. bei Verwaltung meiner eigenen Kanzleiprozesse), erfolgt die Verarbeitung insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen mit Mandanten und Dienstleistern) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten, sicheren und dokumentierten Organisation der eigenen Datenschutz‑ und Kanzleiprozesse).
  • Soweit ich als externer Datenschutzbeauftragter für einen Mandanten tätig werde, richtet sich die Rechtsgrundlage nach den Vorgaben und Verarbeitungszwecken des jeweiligen Mandanten; diese beruhen typischerweise auf Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten des Mandanten nach DSGVO und BDSG) und – ergänzend – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Mandanten an einer wirksamen Organisation des Datenschutzes und an der Wahrung von Nachweis‑ und Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO).

Soweit im Rahmen der Beratung oder Dokumentation besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen sind (z.B. Gesundheitsdaten, Daten zur Religionszugehörigkeit, Gewerkschaftszugehörigkeit), erfolgt die Verarbeitung aufgrund der jeweils einschlägigen Erlaubnistatbestände, insbesondere Art. 9 Abs. 2 lit. b, g oder lit. f DSGVO, abhängig von der konkreten Verarbeitung und dem zugrunde liegenden Mandat.

d. Kategorien personenbezogener Daten und betroffene Personen

Die konkret verarbeiteten Daten hängen vom jeweiligen Mandat und den beim Mandanten implementierten Prozessen ab. Typischerweise werden in DPMS insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

  • Mandanten- und Ansprechpartnerdaten (z.B. Name, Funktion, Kontaktdaten von Verantwortlichen, Datenschutzkoordinatoren und sonstigen Ansprechpartnern),
  • Mitarbeiterdaten des Mandanten (z.B. Angaben zu Rollen/Funktionen in Verarbeitungsverzeichnissen, Schulungsnachweise, Teilnahme an Audits, ggf. Protokolle von Interviews im Rahmen von Prüfungen),
  • Daten von Betroffenen im Mandatszusammenhang (z.B. Angaben aus Betroffenenanfragen, Meldungen von Datenschutzverletzungen, Dokumentation von Verarbeitungstätigkeiten, die die jeweiligen Personengruppen betreffen),
  • Daten von Auftragsverarbeitern und sonstigen Dienstleistern des Mandanten (z.B. Ansprechpartner, Vertragsdaten, Prüfnachweise),
  • Inhalts- und Dokumentationsdaten (z.B. Auditberichte, Risikoanalysen, TOM‑Dokumentation, Datenschutzrichtlinien, Protokolle aus Besprechungen, Notizen zur Beratung),
  • Meta- und Systemdaten (z.B. Zeitpunkte von Einträgen und Änderungen, Zuordnung zu Bearbeitern, Protokolle von Bearbeitungsschritten, soweit für Nachweiszwecke erforderlich).

Betroffene Personen können insbesondere sein: Mitarbeitende meiner Mandanten, Ansprechpartner bei Dienstleistern, sonstige Betroffene der vom Mandanten durchgeführten Verarbeitungen (z.B. Kunden, Nutzer, Patienten, Mitglieder), Mitarbeitende von Aufsichtsbehörden sowie weitere am jeweiligen Mandat beteiligte Personen.

e. Empfänger und Zugriffskreise

Innerhalb meiner Kanzlei haben nur diejenigen Personen Zugriff auf in DPMS verarbeitete Daten, die diese zur Erfüllung ihrer Aufgaben im Rahmen der Mandatsbearbeitung bzw. der Tätigkeit als externer Datenschutzbeauftragter benötigen und einer beruflichen bzw. vertraglichen Verschwiegenheitspflicht unterliegen.

Externe Empfänger können – abhängig vom Mandat – insbesondere sein:

  • LegalInnovate Technologies GmbH als technischer Dienstleister im Rahmen der Auftragsverarbeitung,
  • Unterauftragsverarbeiter der LegalInnovate Technologies GmbH mit Sitz in Deutschland bzw. im EWR (z.B. Rechenzentrumsbetreiber, Infrastruktur- und Softwaredienstleister),
  • im Einzelfall weitere IT‑Dienstleister, Berater oder Prüfer, soweit diese auf Grundlage eines Auftragsverarbeitungsvertrags oder geeigneter Vertraulichkeitsvereinbarungen eingebunden werden,
  • Aufsichtsbehörden, Gerichte oder sonstige öffentliche Stellen, soweit die Weitergabe zur Erfüllung gesetzlicher Pflichten oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Eine Weitergabe an Dritte zu eigenen Zwecken dieser Dritten erfolgt nicht, es sei denn, hierfür besteht eine eigenständige Rechtsgrundlage (z.B. gesetzliche Pflicht, ausdrückliche Einwilligung).

f. Speicherdauer

Die Speicherdauer richtet sich nach dem jeweiligen Mandat und den gesetzlichen bzw. berufsrechtlichen Aufbewahrungsfristen:

  • Mandatsbezogene Unterlagen und Dokumentationen im Zusammenhang mit meiner Tätigkeit als externer Datenschutzbeauftragter werden grundsätzlich für die Dauer des Mandatsverhältnisses und darüber hinaus für die gesetzlich vorgeschriebenen oder berufsrechtlich gebotenen Fristen aufbewahrt (insbesondere handels‑ und steuerrechtliche Aufbewahrungsfristen, anwaltliche Dokumentationspflichten).
  • Nach Ablauf dieser Fristen werden personenbezogene Daten nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Soweit eine weitere Aufbewahrung ausschließlich zu Nachweis‑ und Dokumentationszwecken erforderlich ist, erfolgt eine entsprechende Einschränkung der Verarbeitung.
  • Soweit Daten nur für Zwecke der allgemeinen Systemdokumentation oder Statistik benötigt werden, erfolgt nach Möglichkeit eine Anonymisierung.

g. Vertraulichkeit, Berufsgeheimnis und Betroffenenrechte

Bei meiner Tätigkeit als Rechtsanwalt und externer Datenschutzbeauftragter unterliege ich der anwaltlichen Verschwiegenheit (§ 43a Abs. 2 BRAO, § 2 BORA) und den strafrechtlichen Geheimhaltungspflichten (§ 203 StGB). Diese Verpflichtungen gelten auch für mein Personal sowie – soweit erforderlich – für eingesetzte Dienstleister, die ausdrücklich in die geschützte Verschwiegenheitssphäre einbezogen werden.

Ihre Rechte als betroffene Person (insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie Datenübertragbarkeit) bestehen auch in Bezug auf die über DPMS verarbeiteten Daten, jeweils im Rahmen der gesetzlichen Voraussetzungen und etwaiger berufs- oder datenschutzrechtlicher Beschränkungen (z.B. Schutz von Geschäftsgeheimnissen, Rechten Dritter, anwaltlicher Verschwiegenheit). Soweit ich im konkreten Fall nicht selbst Verantwortlicher bin, ist für die Ausübung dieser Rechte grundsätzlich der jeweilige Mandant als Verantwortlicher zuständig. Ich unterstütze diesen bei der Beantwortung von Betroffenenanfragen nach Maßgabe der vertraglichen Vereinbarungen und der gesetzlichen Vorgaben.