Datenschutzerklärung

1. Allgemeine Hinweise und Pflichtinformationen

Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann.

Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zum Verantwortlichen
Verantwortlicher gemäß EU-Datenschutz-Grundverordnung (DS-GVO) ist:
Klaus Knapp - Forstweg 10 - 38889 Wienrode - +49 1577 104 8492 - Info@haus-am-wald.eu 

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Buchungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Auskunft, Sperrung, Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Eigener Widerspruch gegen Werbe-Mails

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

Verlinkungen

Auf unseren Webseiten bieten wir Ihnen Weiterleitungen (Links) auf für Sie möglicherweise interessante Webseiten an, auf deren Inhalte wir keinen Einfluss haben. Wir übernehmen für diese fremden Inhalte keine Gewähr. Die verlinkten Seiten wurden zum Zeitpunkt, zu dem der Link gesetzt wurde auf mögliche Rechtsverstöße überprüft. Solche waren zum Zeitpunkt zu, der der Link gesetzt wurde nicht erkennbar. Eine ständige inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Sobald Rechtsverletzungen der verlinkten Internetseiten bekannt werden, werden wir die betroffenen Links umgehend entfernen.

 2.    Datenerfassung auf unserer Website

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
•    Browsertyp und Browserversion
•    verwendetes Betriebssystem
•    Referrer URL
•    Hostname des zugreifenden Rechners
•    Uhrzeit der Serveranfrage
•    IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.

Cookies

Die Internetseiten verwenden teilweise so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browser aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Soweit andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

Verarbeiten von Daten (Kunden- und Vertragsdaten)

Wir erheben, verarbeiten und nutzen personenbezogene Daten nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Rechtsverhältnisses erforderlich sind (Bestandsdaten). Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet. Personenbezogene Daten über die Inanspruchnahme unserer Internetseiten (Nutzungsdaten) erheben, verarbeiten und nutzen wir nur, soweit dies erforderlich ist, um dem Nutzer die Inanspruchnahme des Dienstes zu ermöglichen oder abzurechnen. Die erhobenen Kundendaten werden nach Abschluss des Auftrags oder Beendigung der Geschäftsbeziehung gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

3.    Analyse Tools und Werbung

Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die Speicherung von Google-Analytics-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

IP Anonymisierung

Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren:

https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.

Auftragsdatenverarbeitung

Wir haben mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.

Demografische Merkmale bei Google Analytics

Diese Website nutzt die Funktion “demografische Merkmale” von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt “Widerspruch gegen Datenerfassung” dargestellt generell untersagen.

Matomo (ehemals Piwik)

Diese Website benutzt den Open Source Webanalysedienst Matomo. Matomo verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Dazu werden die durch den Cookie erzeugten Informationen über die Benutzung dieser Website auf unserem Server gespeichert. Die IP-Adresse wird vor der Speicherung anonymisiert.
Matomo-Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen.
Die Speicherung von Matomo-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der anonymisierten Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.
Die durch den Cookie erzeugten Informationen über die Benutzung dieser Website werden nicht an Dritte weitergegeben. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.
Wenn Sie mit der Speicherung und Nutzung Ihrer Daten nicht einverstanden sind, können Sie die Speicherung und Nutzung hier deaktivieren. In diesem Fall wird in Ihrem Browser ein Opt-Out-Cookie hinterlegt, der verhindert, dass Matomo Nutzungsdaten speichert. Wenn Sie Ihre Cookies löschen, hat dies zur Folge, dass auch das Matomo Opt-Out-Cookie gelöscht wird. Das Opt-Out muss bei einem erneuten Besuch unserer Seite wieder aktiviert werden.

4.    Plugins und Tools

Google Maps

Diese Seite nutzt über eine API den Kartendienst Google Maps. Anbieter ist die Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland.
Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Der Anbieter dieser Seite hat keinen Einfluss auf diese Datenübertragung.
Die Nutzung von Google Maps erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote und an einer leichten Auffindbarkeit der von uns auf der Website angegebenen Orte. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google:

https://www.google.de/intl/de/policies/privacy/

 5.    Social Media

Facebook Fanpage

Wir unterhalten derzeit keine sog. Fanpage. Sofern wir eine Fanpage erstellen, werden:

Bei Besuch unserer Fanpage unterschiedliche Daten erhoben und verarbeitet. Für einen Teil der auf www.facebook.com stattfindenden Verarbeitungen Ihrer Daten werden wir mit der Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Facebook Ireland“) datenschutzrechtlich gemeinsam verantwortlich, für andere Datenverarbeitungen sind allein wir oder ist allein Facebook Ireland verantwortlich.

Treten Sie mit uns auf der Fanpage in Kontakt, verarbeiten wir Ihren Namen sowie weitere Informationen, die uns direkt oder über die Kommentar-Funktion mitteilen. Allein verantwortlich für diese Verarbeitung Ihrer Daten sind wir. Die Verarbeitung dieser Daten, die Sie uns mitteilen, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO und verfolgt unsere berechtigten Interessen an einer angemessenen und interaktiven Unternehmenspräsentation.

Wir sind gemeinsam mit Facebook Ireland für die Facebook Funktion „Seiten-Insights“ verantwortlich, mit der wir in aggregierter und anonymisierter Form statistische Auswertungen über Ihre Nutzung und Interaktion mit unserer Fanpage erhalten. Die Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO können Sie unter dem folgenden Link einsehen: https://de-de.facebook.com/legal/terms/page_controller_addendum.

Für eine weitere, darüberhinausgehende einseitige Verarbeitung Ihrer Daten durch die Facebook Ireland, insbesondere bzgl. eines potentiellen Transfers Ihrer Daten in die USA, ist allein Facebook Ireland verantwortlich. Facebook Ireland setzt Cookies und andere Technologien ein, um Daten von Ihnen zu erheben. Zu welchen Zwecken und auf welcher Rechtsgrundlage diese Verarbeitungen erfolgen, können Sie der Facebook Datenrichtlinie (https://www.facebook.com/policy.php) entnehmen. Bitte beachten Sie, dass Facebook Ireland bei Besuch der Website www.facebook.com/ auch dann Daten über Sie erheben und verarbeiten kann, wenn Sie weder einen Facebook-Account haben noch bei Facebook eingeloggt sind. Wir wissen hingegen nicht, welche Daten Facebook Ireland von Ihnen erhebt und zu welchen Zwecken diese verarbeitet werden.
 DEFINITIONEN

Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten geregelt werden.

Personenbezogene Daten     Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.

Auftragsverarbeiter natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.  "wir” oder “unsere”  Das "Haus am Wald" Klaus Knapp und Sabine Marabet, die als Verantwortliche agieren, “Sie”, der Nutzer/ Besucher der Seite

1. WAS SIND COOKIES UND ÄHNLICHE TECHNOLOGIEN?

Cookies sind kleine Dateien, die mit dem Ziel, Ihr Gerät zu erkennen oder Informationen über Ihre Präferenzen oder vergangenen Aktionen zu speichern, auf Ihr Gerät heruntergeladen werden, wenn Sie auf unsere Webseite zugreifen. Sie werden verwendet, um Ihnen zu helfen, effizient auf unseren Seiten zu navigieren und bestimmte Funktionen zu nutzen.

Andere Tracking-Technologien wie Pixel-Tags oder Web-Beacons können ebenfalls auf Ihrem Gerät verwendet werden, um damit verbundene eindeutige Identifikatoren und andere Daten, wie Ihre IP-Adresse, zu sammeln. Pixel-Tags oder Web-Beacons sind kleine Bilder, die auf einer Webseite oder in einer E-Mail platziert werden. Ein Web-Beacon fungiert als Tag, der den Besuch eines Benutzers auf einer bestimmten Webseite oder das Ansehen einer bestimmten E-Mail aufzeichnet.

Einige Tracking-Technologien sind spezifisch für mobile Anwendungen bestimmt, so wie Software Development Kits (SDKs). SDKs sind Toolpakete mit denen dafür gesorgt wird, dass unsere Apps in einer iOS- oder Android-Umgebung funktionieren. SDKs helfen uns zu verstehen, wie Sie mit unserer Webseite interagieren und sammeln bestimmte Informationen über das Endgerät und das Netzwerk, das Sie für den Zugriff verwenden. Außerdem helfen sie unseren Anwendungen mit Dritten über eine sogenannte Anwendungsprogrammierschnittstelle (API) zu kommunizieren. Dies geschieht zum Beispiel, wenn Sie Inhalte auf Facebook teilen. SDKs können Daten sammeln und an den Drittanbieter, der die Schnittstelle bereitstellt, zurücksenden (zum Beispiel Google, Apple oder Facebook usw.). Diese Daten können verwendet werden, um ein Profil von Ihnen als Anwendungsbenutzer zu erstellen, welches wiederum für gezielte Anzeigen verwendet werden kann.

Diese Tracking-Technologien verwenden Daten auf die gleiche Weise wie Cookies, werden aus Gründen einer einheitlichen Begriffsgebung auch als Cookies bezeichnet und unterliegen dieser Richtlinie.

2. WELCHE COOKIES BENUTZEN WIR?

Wir verwenden folgende Arten von Cookies:

• Session Cookies: Ein Session Cookie speichert Informationen, die Onlineaktivitäten einer einzelnen Browser-Sitzung zuordnen. Der Session Cookie wird in der Regel beim Schließen des Browsers wieder gelöscht. Session Cookies sind in den meisten Fällen nicht von der Opt-In-Regelung betroffen.
• Permanente Cookies: Diese Cookies bleiben auf Ihrem Endgerät gespeichert, bis ein vorab definiertes Ablaufdatum erreicht ist. Sie können für eine Vielzahl von Zwecken verwendet werden, zum Beispiel können sie der Erinnerung an Ihre Präferenzen und Einstellungen bei der Nutzung unserer Webseite dienen oder zur Erstellung von gezielter Werbung.
• First Party Cookies: First Party Cookies stammen in der Regel von dem Webseitenbetreiber auf dessen Seite Sie unterwegs sind. Sie werden lokal auf Ihrem Gerät gespeichert und sollen die Onlineerfahrung verbessern.
• Third Party Cookies werden von einem von uns unabhängigen Technologieanbieter wie einem Analyseunternehmen, einem Werbenetzwerk oder einer Social-Media-Plattform gesetzt.

Die auf unserer Webseite verwendeten Cookies und Technologien werden wie folgt kategorisiert:

• Notwendige Cookies
• Funktions-Cookies
• Analyse-Cookies
• Targeting-Cookies

A. NOTWENDIGE COOKIES

Notwendige Cookies sind Cookies, die unbedingt notwendig sind, damit die grundlegenden Funktionen der Webseite ordnungsgemäß funktionieren.

Sie werden in der Regel als Reaktion auf von Ihnen vorgenommene Aktionen gesetzt, wie zum Beispiel aufgrund Ihrer Datenschutzeinstellungen, Einloggen oder Ausfüllen von Formularen (zum Beispiel um sich zu Veranstaltungen anzumelden, Anfragen zu stellen, oder um Feedback zu geben). Sie sorgen auch dafür, dass Ihre online Sitzung offengehalten wird, wenn Sie sich zuvor auf der Seite identifiziert haben.

Ihre Einwilligung ist für den Einsatz dieser Cookies gemäß den geltenden Vorschriften nicht erforderlich.

B. FUNKTIONS-COOKIES

Funktions-Cookies helfen unserer Webseite, sich an Einstellungen zu erinnern, die Sie ausgewählt haben, oder sie unterstützen Sie beim Verwenden unserer Seiten.

Diese Cookies verbessern die Funktionalität der Webseite und unterstützen die Personalisierung. Sie können von uns oder von Drittanbietern gesetzt werden, deren Dienste wir unseren Seiten hinzugefügt haben. Sie können Ihren Browser oder die Cookie Einstellungen so konfigurieren, dass diese Cookies blockiert werden.  Beachten Sie jedoch, dass dies  die Funktionalität einiger Teilbereiche unserer Seiten beeinträchtigen kann.

C. ANALYSE-COOKIES

Analyse-Cookies, oder Cookies zur Zielgruppenmessung, helfen uns bei der Leistung und Gestaltung unserer Webseite. Wir setzen sie ein, um festzustellen, wie oft eine Seite besucht wurde, welche Seiten am beliebtesten sind und wie sich Besucher sich auf der Webseite bewegen.

Diese Funktion ermöglicht es uns, zu messen, wie oft eine Seite besucht wurde, zu wissen, welche Seiten am beliebtesten und welche am unbeliebtesten sind, und zu sehen, wie sich die Besucher auf der Webseite bewegen. Zweck dieser Messung ist es, die Surferfahrung auf unserer Webseite durch das Angebot von für den Nutzer interessanten Inhalten zu verbessern.
Diese Cookies können auch Besucher zählen, die auf unsere Webseite gekommen sind, nachdem sie eine Sodexo-Banneranzeige auf einer Drittanbieter- Webseite gesehen haben. Wenn Sie diese Cookies nicht akzeptieren oder Ihre Einwilligung widerrufen, haben wir keine unterstützenden Informationen zur Verbesserung unserer Seiten oder zur Feststellung, wie gut sie von unseren Endbenutzern angenommen wird. Diese Cookies ermöglichen es Ihnen im Wesentlichen, uns mitzuteilen, wie gut unsere Webseite funktioniert. Die von diesen Cookies gesammelten Informationen können auch aggregiert werden.
Die Messgrößen unserer Site Analyse, Berichte und Statistiken ermöglichen es uns oder unseren Anbietern, wenn sie allein verwendet werden, nicht, einen einzelnen Benutzer zu identifizieren. In diesem Fall unterliegt das Cookie möglicherweise nicht Ihrer Einwilligung.

D. TARGETING-COOKIES

Targeting- und/oder „Werbe“-Cookies werden von uns und unseren Werbepartnern auf unseren Seiten installiert, um Werbung zu präsentieren, die für Sie relevant ist und Ihre Interessen besser widerspiegelt als allgemeine Werbung, die Sie möglicherweise nicht interessiert. Zu diesen Cookies können Cookies von sozialen Netzwerken gehören, die es Ihnen ermöglichen, Inhalte in sozialen Netzwerken zu teilen und die Benutzerfreundlichkeit unserer Inhalte mit Schaltflächen zum Teilen verbessern, insbesondere gilt dies für Facebook, Twitter und LinkedIn. Die sozialen Netzwerke, die Sharing-Buttons bereitstellen, können Sie durch diesen Vorgang nur dann identifizieren, wenn Ihr Konto bei dem entsprechenden Netzwerk auf Ihrem Endgerät aktiviert wurde. Sodexo hat keine Kontrolle über den Prozess, der von sozialen Netzwerken verwendet wird, um Informationen über Sie zu sammeln. Targeting-Cookies identifizieren Ihren Browser und/oder Ihr Gerät eindeutig. Wenn Sie diese Cookies nicht zulassen, werden Sie auf den verschiedenen Plattformen keine unserer zielgerichteten Werbung erleben. Es ist jedoch möglich, dass Sie auf diesen Plattformen weiterhin andere, nicht zielgerichtete Werbung von uns sehen. Diese Cookies sammeln Informationen über den Ursprung Ihres Besuchs, wo Ihnen Sodexo-Werbung angezeigt wurde, welche Werbefunktion Sie gesehen haben, ob Sie direkt oder indirekt auf unsere Webseite gelangt sind, mit welchem Endgerät Sie unsere Webseite besucht haben und welche Downloads Sie durchgeführt haben.Darüber hinaus verwenden wir in bestimmten Teilen unserer Webseite auch Cookies, die mit Drittanbietern kommunizieren, um Aufschlüsse über Ihr digitales Verhalten zu erlangen. 

3. INTERNATIONALE ÜBERMITTLUNG PERSONENBEZOGENER DATEN

Die Verwendung einiger dieser Cookies kann zu internationalen Übermittlungen Ihrer personenbezogenen Daten an Dritte führen, die in Drittländern ansässig sind, die nicht das gleiche Schutzniveau für personenbezogene Daten bieten wie die Europäische Union, insbesondere in den Vereinigten Staaten von Amerika. Mit diesen Dritten wurden formelle Datenverarbeitungsverträge geschlossen, die jedoch von den Aufsichtsbehörden nicht als angemessene Garantien gemäß Artikel 46 der Datenschutz-Grundverordnung angesehen werden.

Die Risiken, die mit diesen internationalen Übermittlungen personenbezogener Daten verbunden sind, bestehen darin, dass, die betreffenden Dritten als Anbieter elektronischer Kommunikationsdienste eingestuft werden können und lokale Verwaltungs- und Regierungsbehörden in Übereinstimmung mit den geltenden nationalen Überwachungsgesetzen Zugang zu Ihren personenbezogenen Daten haben könnten.

Nach der Datenschutz-Grundverordnung sind diese Arten der internationalen Übermittlung personenbezogener Daten jedoch möglich, wenn Sie der vorgeschlagenen Übermittlung ausdrücklich zustimmen, nachdem Sie über die möglichen Risiken solcher Übermittlungen und das Fehlen eines Angemessenheitsbeschlusses oder anderer geeigneter Garantien informiert wurden.

Wenn Sie also über das Cookie-Banner oder die Cookie-Einstellungen Ihre Zustimmung zu Cookies erteilen, sollten Sie sich darüber im Klaren sein, dass Sie auch den internationalen Übermittlungen zustimmen und die oben beschriebenen Risiken akzeptieren. Wenn Sie die Zustimmung zu diesen Cookies verweigern, hat dies keine Auswirkungen auf die sonstige Nutzung der Website.

4. WIE LANGE SPEICHERN WIR COOKIES?

Session Cookies werden automatisch gelöscht, wenn Sie Ihre Sitzung schließen. Permanente Cookies werden für eine maximale Dauer von 13 Monaten auf Ihrem Gerät gespeichert, es sei denn, Sie löschen die Cookies über Ihre Browsereinstellungen oder Ihren Browsercache.

5. COOKIE EINSTELLUNGEN

Wenn Sie unsere Webseite zum ersten Mal besuchen, wird ein Banner angezeigt, mit dem wir Ihre Einwilligung zur Verwendung von Cookies einholen möchten.

Solange Sie Ihre Präferenzen nicht eingestellt haben, bleibt dieses Banner gemäß den geltenden Vorschriften sichtbar und es werden keine Cookies, außer den unbedingt notwendigen, auf Ihrem Gerät installiert.

Wenn Sie Cookies ablehnen, wird ein Opt-Out-Cookie auf Ihrem Gerät abgelegt, damit wir die Information erfassen können, dass Sie der Verwendung von Cookies widersprochen haben. Alle sechs (6) Monate werden wir Sie  durch das erneute Einblenden des Cookie-Banners bitten, Ihre Entscheidung bestätigen.

Wenn Sie das Opt-Out-Cookie löschen (zum Beispiel durch Löschen Ihres Browser-Cache oder Nutzung des Datenschutzmodus), ist es nicht mehr möglich, ihren Widerspruch zu identifizieren. Folglich wird Ihnen beim nächsten Besuch unserer Seite erneut das Cookie Banner eingeblendet.

Notwendige Cookies erfordern keine Einwilligung.

Für Funktions-, Analyse- und Targeting-Cookies können Sie Ihre Einwilligung erteilen oder jederzeit widerrufen, indem Sie Ihre Geräte- oder Browsereinstellungen so einrichten, dass Sie Cookies akzeptieren oder ablehnen können. Bitte beachten Sie jedoch, dass Sie einige der Funktionen unserer Webseite nicht vollständig nutzen können, wenn Sie Cookies deaktivieren. Sie können beispielsweise nicht von der automatischen Anmeldung und anderen Personalisierungsfunktionen profitieren. Bitte beachten Sie auch, dass Sie alle Browser Ihrer verschiedenen Endgeräte (Tablets, Smartphones, Computer) einzeln einrichten müssen, um Cookies immer abzulehnen. Es gibt verschiedene Möglichkeiten, Browser zu konfigurieren. Bitte lesen Sie den Abschnitt „Hilfe“ Ihres Browsers, um zu erfahren, wie Sie ihn konfigurieren und Ihre Optionen ausüben können:

• Verwendung von Google Chrome ^TM;
• Verwenden von Mozilla Firefox ^TM;
• Verwenden von Microsoft Edge ^TM;
• Verwendung von Opera ^TM;
• Verwenden von Internet Explorer ^TM;
• Verwenden von Apple Safari ^TM

Sie haben auch die Möglichkeit, die folgenden Cookies zur Reichweitenmessung zu deaktivieren:

• Sie können „Google Analytics“-Cookies deaktivieren, indem Sie das Modul herunterladen, das über die folgende Adresse zugänglich ist: https://tools.google.com/dlpage/gaoptout/
• Sie können das Insight Tag von LinkedIn deaktivieren, indem Sie Ihre Benutzereinstellungen auf LinkedIn ändern: https://www.linkedin.com/psettings/

In Bezug auf Cookies von sozialen Netzwerken konsultieren Sie bitte die entsprechenden Richtlinien des betreffenden Anbieters, um mehr über die Zwecke zu erfahren, für die diese die über die Freigabeschaltflächen gesammelten Informationen verwenden und um zu erfahren, wie Sie Ihre Präferenzen einstellen können.

5. ÄNDERUNGEN

Wir können diese Cookie-Richtlinie nach Bedarf ändern.

Bitte beachten Sie, dass sich diese Richtlinie wahrscheinlich mit dem zukünftigen Inkrafttreten einer neuen geltenden Verordnung oder eines neuen Gesetzes ändern wird. Dies gilt insbesondere in der Europäischen Union für die e-Privacy-Verordnung. Wenn Änderungen an der Richtlinie vorgenommen werden, kann es bis zu 30 Werktage dauern, bis neue Datenschutzpraktiken implementiert werden. Überprüfen Sie diese Seite regelmäßig, wenn Sie Änderungen überwachen möchten. Änderungen dieser Richtlinie können auch dazu führen, dass das Cookie-Banner erneut angezeigt wird.

6. KONTAKT

Wenn Sie Fragen haben oder der Meinung sind, dass Ihre Bedenken in dieser Cookie-Richtlinie nicht ausreichend berücksichtigt wurden, kontaktieren Sie uns.

Haftung und Disclaimer

Wer eine Webseite (Unternehmensseite, Onlineshop, Forum, Blog etc.) betreibt, ist grundsätzlich für alle Inhalte auf seiner Seite verantwortlich.

Haftungs-Faustregeln:

• Eigene Inhalte:
  Immer volle Haftung
• Fremde Inhalte:
  Nicht „zu eigen machen“! Sofortige Pflicht zur Löschung des Inhalts oder der Verlinkung bei Kenntnis/Hinweis auf möglichen Rechtsverstoß.
• Disclaimer:
  Häufig findet man im Internet, besonders unter dem Impressum, einen sog. Disclaimer (Haftungsausschluss). WICHTIG: Ein Disclaimer ist kein offizieller Bestandteil des Impressums und auch nicht verpflichtend!
  Über den Sinn solcher Disclaimer lässt sich grundsätzlich streiten, denn die Haftung lässt sich nicht pauschal ausschließen, ein Disclaimer kann nur die Gesetzeslage wiedergeben. In der Praxis bietet sich ein Disclaimer am ehesten an, wenn man auf fremde Seiten verlinkt oder fremde Inhalte auf der Seite einstellt. Darüber hinaus kann ein fehlerhafter Disclaimer auch ein rechtliches Risiko bergen!
• Portale, Blogs, Foren:
  Wenn der Seitenbetreiber keinen Einfluss auf die Inhalte hat, weil fremde Nutzer diese selbst auf der Webseite einstellen, ist ein Haftungsausschluss sinnvoll. Dieser sollte vor allem klarstellen, dass der Seitenbetreiber keinerlei Einfluss auf die fremden Inhalte hat und daher die einzelnen Nutzer selbst verantwortlich sind. Dennoch ist der Seitenbetreiber verpflichtet, bei Hinweis auf einen Rechtsverstoß unverzüglich tätig zu werden (z.B. Löschung des Beitrags). Deshalb empfiehlt es sich auf solchen Seiten auch, einige „Spielregeln“ gegenüber den Nutzern schon auf der Startseite zu formulieren (z.B. die Nutzer müssen gesetzliche Vorschriften einhalten, welche Inhalte sind nicht erwünscht, wann darf der Betreiber Inhalte löschen etc.).

Um welches Unternehmen geht es: Einzelhändlerin Claudia Muster

Die EU-Datenschutz-Grundverordnung (DSGVO) erhöht zwar die Anforderungen an den Datenschutz, vieles ist aber bisher schon geltende Rechtslage in Deutschland nach dem Bundesdatenschutzgesetz (BDSG). Nachfolgend soll an einem praktischen Beispiel des Muster-Unternehmens „Textiltraum“, Inh.: Claudia Muster, Geschäftszweig: Einzelhandel mit selbst genähter Kleidung, Angebot von Selbstnähkursen und Einrichtungsberatung; MitarbeiterInnen: 2 [ab 10 Beschäftigte: Bestellung eines betrieblichen Datenschutzbeauftragten] dargestellt werden, welche Anforderungen sich (neu) aus der DSGVO ergeben.

Datenerhebung: Wo werden welche Daten erhoben?

Vertrag

Wenn Frau Muster ihren Kunden etwas verkaufen will oder eine Dienstleistung erbringen will, handelt es sich um die Anbahnung bzw. Erfüllung eines Vertragsverhältnisses. Hierzu benötigt sie entsprechende Angaben ihrer Kunden (z. B. Name, Anschrift, Telefonnummer). Darüber hinausgehende Angaben wie E-Mail-Adresse, Geburtsdatum (für Glückwunschbriefe), Kaufinteressen, Teilnahme(interesse) an Kursen, Kontodaten und Fotos von TeilnehmernInnen) sind hingegen nicht erforderlich für die Erfüllung des Vertrags. Für die Grunddaten zur Abwicklung des Vertrags benötigt Frau Muster im Sinne des Datenschutzes keine gesonderte Einwilligung ihrer Kunden, für darüber hinausgehende Daten aber schon. Falls der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (z. B. steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

Einwilligung

Neu: In der Einwilligungserklärung muss Frau Muster auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen. Sie sollte hier nach obligatorischen und freiwilligen Daten trennen. Auch muss sie ihre Kunden darüber informieren, zu welchem Zweck sie diese Daten verarbeiten will. Frau Muster kann hierzu eine elektronische Einwilligung einholen, darf aber nach der Datenschutz-Grundverordnung keine voreingestellte Einwilligung in Form eines bereits gesetzten Häkchens verwenden, sondern muss die Kunden das Häckchen selbst setzen lassen. Zudem müssen die Kunden ihr Einverständnis z.B. durch das Anklicken eines entsprechenden Links in der E-Mail bestätigen („double-opt-in“).

Sie muss prüfen, ob die bisherigen Einwilligungen, die sie eingeholt hat, den Anforderungen des Datenschutzes entsprechen. Falls nicht, wenn also der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden. Sie muss die Einwilligungen dokumentieren.

Sie muss Informationspflichten erfüllen (teilweise neu):

• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
• Kontaktdaten des Datenschutzbeauftragten,
• Zwecke der Verarbeitung und Rechtsgrundlage,
• wenn die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f DSGVO beruht: berechtigtes Interesse des Verantwortlichen,
• ggf. Empfänger oder Kategorien von Empfängern,
• Absicht der Übermittlung in ein Drittland / internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
• Dauer der Datenspeicherung,
• Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
• Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO),
• Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
• Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO).

Diese Informationspflichten müssen zum Zeitpunkt der Erhebung gegenüber dem – zukünftigen – Kunden erfüllt werden. Falls die Daten nicht bei der betroffenen Person erhoben wurden, muss die Quelle angegeben werden. Für die Nutzer ihrer Internetseite muss Frau Muster nach der Datenschutz-Grundverordnung bekannt geben, ob und welche Cookies sie verwendet und ob sie die Nutzer der Seiten trackt. Nutzt sie hierfür einen Dienstleister, muss sie dazu eine Vereinbarung über die Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, z. B. den USA, muss sie prüfen, ob die Weitergabe der Daten über EU-Standardvertragsklauseln oder über Privacy Shield abgesichert ist. Dabei handelt es sich um eine Vereinbarung zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus bei denjenigen Unternehmen, die die Anforderungen von Privacy Shield erfüllen.

Daten und Dienstleister: Was ist zu beachten?

Auftragsverarbeitung

• Wo verarbeitet Frau Muster diese Daten? Auf ihrem eigenen Server oder bei einem Dritten? Bei letzterem muss sie, so erfordert es der Datenschutz, eine schriftliche (oder elektronische) Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach ihrer Weisung verarbeiten. Liegen die Daten auf ihrem eigenen Server, nutzt sie aber eine Cloud-Anwendung, muss sie klären, ob die Daten in Deutschland, in Europa oder in den USA gespeichert sind. Im letzteren Fall handelt es sich um einen Datentransfer in Drittländer, so dass Sie hierfür eine besondere Grundlage benötigen, wenn die Daten in die USA übermittelt werden.
• Frau Muster hat einen Internetauftritt, der von einer Webdesignagentur gestaltet wird. Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die ihre Interessenten/Kunden dort angeben? Falls ja, muss sie auch hier eine Vereinbarung über die Auftragsverarbeitung schließen. Zudem ist sie nach dem Telemediengesetz verpflichtet, ein sogenanntes Impressum mit folgenden Angaben zu haben: Name, Anschrift, Rechtsform, E-Mail-Adresse, Umsatzsteuer-Identnummer usw. [Bei mehr als 10 Beschäftigten muss Frau Muster zusätzlich angeben, inwieweit sie bereit oder verpflichtet ist, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§§ 36, 37 Verbraucherstreitbeilegungsgesetz).] Bei Online-Verträgen muss sie ihrer Informationspflicht nach Art. 14 der sog. ODR-Verordnung nachkommen.
• Frau Muster lässt ihre Buchführung, insbesondere auch die Gehaltsabrechnung ihrer Mitarbeiter, über einen Steuerberater abwickeln. Hierfür muss sie einen entsprechenden Dienstvertrag schließen.
• Frau Muster schaltet ein Inkassounternehmen ein, um säumige Kunden zur Zahlung auffordern zu lassen. Hierfür benötigt sie ebenfalls nach den Datenschutzvorgaben einen Dienstvertrag. Sie muss ihre Kunden zudem darauf aufmerksam machen, dass sie im Falle ausstehender Zahlungen ein Inkassounternehmen mit der Wahrnehmung ihrer Interessen beauftragt.
• Frau Muster nutzt einen elektronischen Bezahldienst, mit dem sie auch einen Dienstvertrag schließen muss.

Was ist bei den Daten von Lieferanten zu beachten?

Frau Muster hat Lieferanten, von denen sie ebenfalls Daten (wie Name, Anschrift, Telefonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen) gespeichert hat.

• Diese Angaben fallen entweder unter das Vertragsverhältnis, soweit diese für die Begründung und Durchführung erforderlich sind,
• oder Frau Muster benötigt für bestimmte Angaben die Einwilligung der Person zur Speicherung ihrer Daten unter Angabe des Zweckes der Speicherung.

Mitarbeiter

Wenn Frau Mustera ihren Mitarbeitern die private Nutzung von E-Mails und des Internets in der Arbeitszeit gestattet, sollte sie vereinbaren, welchen Umfang diese Nutzung umfassen darf und dass die Nutzung bestimmte Inhalte nicht betreffen darf. Die Erlaubnis kann Frau Muster mit einer Einwilligung verbinden, dass die Mitarbeiter ihr Kontrollen gestatten. Damit soll ausgeschlossen werden, dass weder Inhalt noch Umfang der Nutzung gegen Gesetze und die arbeitsrechtlichen Pflichten verstoßen. Diese Einwilligung muss in Schriftform (d. h. Unterschrift im Original) erfolgen.

Datenschutzrechtliche Anforderungen an kleine Unternehmen

Frau Muster muss ihre Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeiten (neu) mit folgenden Angaben dokumentieren:

• Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
• Zweck der Verarbeitung
• Rechtsgrundlage
• Kategorie der betroffenen Personen und personenbezogenen Daten
• Kategorie von Empfängern der Daten
• Übermittlung in Drittstaaten
• Löschfristen
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung

Sie muss ihre Mitarbeiter auf die Vertraulichkeit von Daten verpflichten und sie auf den Datenschutz hinweisen bzw. angemessen schulen und dies dokumentieren. Sie sollte überlegen, wie sie mit einem Auskunftsersuchen umgeht, wenn jemand erfahren möchte, welche Daten sie über ihn gespeichert hat. Sie sollte zusätzlich prüfen, ob sie einen Prozess aufsetzt, falls es zu Datenverstößen kommt und sie dies der Aufsicht binnen 72 Stunden (neu) melden muss. Bei einem hohen Risiko für die betroffene Person muss zudem (aber auch nur dann) diese unverzüglich über den Datenverstoß informiert werden.

Praxistipp:
Sollte unklar sein, ob eine Datenpanne ein hohes Risiko für Betroffene darstellt, raten wir zur Abstimmung dieser Frage mit der zuständigen Datenschutzaufsicht.

Frau Muster muss ein Löschkonzept vorsehen (geregelt für: 6 Jahre Geschäftsbriefe, 10 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen). Alle anderen Daten bzw. Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, wenn sie nicht mehr benötigt werden. Daran schließt sich die Frage an, wie datenschutzkonform Unterlagen vernichtet werden können und müssen (Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).

Technisch-organisatorische Maßnahmen für den Datenschutz

Diese betreffen die Frage, wie die Informationssicherheit (IT, Sicherheit im Büro/Geschäft) gewährleistet wird; auch die hierzu ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten müssen dokumentiert werden. Frau Muster muss insbesondere mit ihrem Steuerberater klären, wie die sensiblen Daten ihrer Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit) gut geschützt sind. Hierzu müssen bestimmte Maßnahmen ergriffen werden (neu: Risikobewertung/Datenschutz-Folgenabschätzung). Eine Übermittlung per E‑Mail ohne weitere Sicherheitsmaßnahmen ist datenschutzrechtlich nicht zulässig. Nachstehende Punkte geben einen groben Anhaltspunkt für solche Maßnahmen:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1.1 Zutrittskontrolle, Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

1.2 Zugangskontrolle, Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

1.3 Zugriffskontrolle, Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

1.4 Trennungskontrolle, Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

2.1 Weitergabekontrolle, Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

2.2 Eingabekontrolle/Verarbeitungskontrolle, Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

2.3 Dokumentationskontrolle, Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.

2.4 Auftragskontrolle, Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

3. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

3.1 Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten), Maßnahmen die gewährleisten, dass technische Systeme bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden.

Frau Muster muss ihre Daten so sichern, dass sie sie bei einem eventuellen Verlust wiederherstellen kann.

Einwilligung zur Werbung

Bei der Einholung einer Einwilligung zur Werbung muss sie neben den datenschutzrechtlichen auch die wettbewerbsrechtlichen Anforderungen an eine Einwilligung nach dem Gesetz gegen unlauteren Wettbewerb (UWG) beachten.

 Beispiel: Ich bin damit einverstanden, von "Haus am Wald", Inh. Klaus Knapp per E-Mail-Werbung zu Produkten aus dem Bereich Unterhaltungselektronik zu erhalten. Diese Einwilligung kann jederzeit widerrufen werden.

 Hinweise und Einwilligungserklärung zum Newsletterversand

Hintergrundinformationen
1. Der Newsletterversand oder das sichere E-Mail-Marketing. Dieser Text soll Ihnen einen Überblick über die Möglichkeiten des sicheren E-Mail-Marketings
bieten. Bei der Gestaltung und Einbindung des Newsletters müssen mehrere Punkte beachtetet werden:
1. Korrekte und dokumentierte Einwilligung
2. Double-Opt-in-Verfahren (sofern notwendig)
3. Analyse des Newsletters nur mit Einwilligung
4. Widerrufsmöglichkeit der Einwilligung schaffen
5. Impressum
6. Datenschutzerklärung bzw. Transparenzhinweise
7. Abmeldelink bzw. Hinweis, wie die Abmeldung zu geschehen hat (Widerrufsmöglichkeit)
8. Speicherdauer bestimmen bzw. wann erlischt eine erteilte Einwilligung; bei Bestandskund*innen: wann darf nicht mehr beworben werden

2. Die Einwilligung und andere Möglichkeiten E-Mail-Marketing zu betreiben
Sie müssen in diesem Kontext zwei Situationen unterschieden:
1. Neukund*innen
2. Bestandskund*innen
Bei Neukund*innen kann eine Bewerbung per Mail nicht auf einem irgendwie gearteten berechtigten Interesse gem. Art 6 Abs. lit. f DSGVO gestützt werden. Zwar sieht der Erwägungsgrund 47 vor, dass Werbung ein berechtigtes Interesse sein kann und man sich trefflich darüber streiten kann, ob dieses auch das E-Mail-Marketing betrifft. Jedoch hat der deutsche Gesetzgeber das UWG geschaffen. In § 7 UWG wird das E-Mail-Marketing als sehr problematisch dargestellt, - ob dieses zutrifft sei einmal dahingestellt - so dass immer eine Einwilligung des Beworbenen erforderlich ist. Nutzen Sie daher unser Formular.
Bei Bestandskund*innen ist eine Werbung unter den Voraussetzungen des § 7 Abs. 3 UWG und der DSGVO möglich. Hier dürfen wir einmal die Datenschutzkonferenz zitieren:
„E-Mail-Adressen, die unmittelbar von den betroffenen Personen im Rahmen einer Geschäftsbeziehung (Bestandskunden) erhoben wurden, können grundsätzlich für E-Mail-Werbung genutzt werden, wenn dieser Zweck der E-Mail-Werbung entsprechend Art. 13 Abs. 1 lit. c DS-GVO den betroffenen Personen bei der Datenerhebung transparent dargelegt worden ist. Überwiegende schutzwürdige Interessen der betroffenen Person nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.“
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2018-OH-Werbung.pdf (Punkt 1.4.1)

Alle Inhalte wurden sorgfältig und nach bestem Gewissen erarbeitet. Irrtümer bleiben vorbehalten, eine Haftung ist ausgeschlossen. Stand: Dezember 2022
§ 7 Abs. 3 UWG fordert:
1. Erhebung der E-Mail-Adresse im Zusammenhang mit einem Produktverkauf (nur bei Bestandskund*innen, nicht bei Anbahnung) und
2. Verwendung für eigene ähnliche Produkte und
3. Kein Widerspruch der*des Empfänger*in (Stichwort Blacklist) und
4. Information über die Widerspruchsmöglichkeit der*des Empfänger*in.
Exkurs Werbung: Telefonische Werbung bei Unternehmern ist leichter möglich. Bei Verbraucher*innen ist die Werbung per Brief möglich. Nur achten Sie drauf, wenn jemand der Bewerbung widerspricht, müssen Sie sofort alle Werbemaßnahmen einstellen und dafür Sorge tragen, dass keine weitere Werbung erfolgt (Stichwort Backlist). Gute Informationen zur Werbung allgemein und zur Sicht der Aufsichtsbehörden finden Sie in der Orientierungshilfe der Datenschutzkonferenz unter https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2018-OH-Werbung.pdf
Hinweis: Die meisten Newsletter-Anbieter*innen nutzen Trackingsysteme mit sogenannten Webbeacons, (sog. Zähl-Pixel, um das Navigationsverhalten von Nutzer*innen nachzuvollziehen). Nutzen Sie nur solche Systeme, bei denen Sie das unterbinden können. Hinweis: Offene Verteiler kosten Geld. Was bedeutet das? Wenn Sie keine*n Newsletter-Anbieter*in nutzen, achten Sie darauf, dass Sie die Betroffenen nicht ins Cc, sondern ins Bcc setzen. Wenn Sie einen offenen E-Mail-Verteiler nutzen, dann können erhebliche Strafen auf Sie zukommen. Dass dies nicht nur graue Theorie ist, hat das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) klar gemacht. Bereits am 28.06.2013 wurde dort eine Pressemitteilung darüber herausgegeben, dass gegen eine Mitarbeiterin eines Unternehmens ein
Bußgeld verhängt wurde, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfänger*innenkreis übermittelt hat (Pressemitteilung BayLDA). Aktueller ist ein Fall aus Sachsen-Anhalt: So wurde gegen einen Mann ein Bußgeld in Höhe von etwa 2.600 Euro verhängt, weil er eine Vielzahl von E-Mails an jeweils über 100 Empfänger*innen versandte und dabei für jede*n Empfänger*in die anderen E-Mail- Adressen sichtbar waren.
3. Das Double-Opt-In-Verfahen
Oder auch zweifache Einwilligung. Sie müssen nachweisen können, dass eine korrekte Einwilligung durch die*den zu Bewerbende*n erteilt wurde. Dazu versendet man eine automatische E-Mail, um die eingetragene E-Mail-Adresse sowie das Erteilen der Zustimmung zum Versenden von Werbe-Mails zu bestätigen. Das Double-Opt-In-Verfahren gilt als Best Practice für das E-Mail-Marketing, besonders, wenn digitale Anmeldewege gewählt werden. Hierzu sind auch einige Urteile ergangen. Wenn Sie eine schriftliche Einwilligung vorliegen haben, sollte dieses den Nachweiserfordernissen genügen.
4. Impressum und Telemediengesetz (TMG)
Gem. § 6 Abs. 1 Nr. 2 TMG muss „die natürliche oder juristische Person, in deren Auftrag die kommerzielle Kommunikation erfolgt, klar identifizierbar sein“. Der werbliche Charakter des Newsletters darf damit nicht verschleiert werden. Alle Inhalte wurden sorgfältig und nach bestem Gewissen erarbeitet. Irrtümer bleiben vorbehalten, eine Haftung ist ausgeschlossen. Stand: Dezember 2022. Bei Newslettern handelt es sich um Telemedien, so dass Sie ein Impressum, wie Sie es auch
auf Ihrer Homepage haben, in den Newsletter einbinden müssen. Wir raten dazu dieses nicht nur zu verlinken, sondern es vollständig aufzunehmen.
5. Transparenzinformation gem. Art. 13 DSGVO
Sie müssen natürlich wie immer über die Datenverarbeitung informieren. Hierzu können Sie unseren Musterhinweis auf der letzten Seite dieses Dokuments verwenden, sofern Sie eine gestufte Information anstreben, wie wir es vorschlagen. Also nicht direkt über alles informieren, sondern auf Ihre Datenschutzerklärung verweisen. Dort müssen natürlich die entsprechenden Hinweise in der Datenschutzerklärung vorhanden sein.
Hierzu können Sie Generatoren im Netz nutzen oder auf die Datenschutzerklärung von Prof. Thomas Hoeren https://www.itm.nrw/lehre/materialien/musterdatenschutzerklaerung/ als Muster zurückgreifen.
6. Widerrufsmöglichkeit schaffen
Best Practice: Link im Newsletter schaffen, der die Abmeldung ermöglicht. Wenn das nicht möglich ist, dann geben Sie einen Hinweis auf die Widerrufsmöglichkeit.
Speicherdauer bestimmen bzw. wann erlischt eine erteilte Einwilligung; bei Bestandskund*innen: wann darf nicht mehr beworben werden Die Datenschutz-konferenz fasst dieses recht treffend zusammen: „Nicht eindeutig zu beantworten ist die Frage, wie lange Kontaktdaten nach dem letzten aktiven Geschäfts- oder Direktwerbekontakt zu einer betroffenen Person für die werblichen Zwecke der Reaktivierung, Rückgewinnung etc. noch genutzt werden dürfen, bzw. ab wann nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO überwiegende schutzwürdige Interessen der betroffenen Person einer länger währenden werblichen Nutzung entgegenstehen.
Eine konkrete Frist hat der Gesetzgeber nicht vorgesehen. Entscheidend ist, ob aufgrund der Art der Geschäftsbeziehung noch eine Erforderlichkeit
zur weiteren Nutzung der Daten für Zwecke der Direktwerbung von dem Verantwortlichen nachvollziehbar dargelegt werden kann. Wenn nach der Rechtsprechung eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist [...], kann dieser zeitliche Maßstab auch bei der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. fDS-GVO zu den vernünftigen Erwartungen der betroffenen Person eine Orientierung bieten, wenn nach einer langen „Werbepause“ die Kontaktdaten der Person plötzlich wieder für eine Werbezusendung verarbeitet werden. Auch dürfen keine überwiegenden schutzwürdigen Interessen der betroffenen Personen einer werblichen Nutzung entgegenstehen.
So kann z. B. die Konditionenabfrage bei einem Bestattungsunternehmen keine längerfristige Datennutzung für werbliche Zwecke rechtfertigen.“
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2018-OH-Werbung.pdf

Alle Inhalte wurden sorgfältig und nach bestem Gewissen erarbeitet. Irrtümer bleiben vorbehalten, eine Haftung ist ausgeschlossen. Stand: Dezember 2022
Firma XY
Adresse
Verantwortliche*r
Datenschutzbeauftrage*r
(falls vorhanden)
Kontaktdaten
Einwilligungserklärung
In unserem monatlichen elektronischen Newsletter informieren wir [Firmenname] Sie per E-Mail über aktuelle Leistungen und Neuigkeiten. Dies ist ein kostenloser Service für Sie als unsere*n Kund*in.
Ja, ich bin damit einverstanden, dass meine Kontaktdaten (Name und E-Mail-Adresse) zum Zweck der Werbung und Information zum Leistungsspektrum der Firma
[Firmenname] gespeichert und zur Kontaktaufnahme genutzt werden.
Die Datenverarbeitung ist für die Werbe-Zusendungen per E-Mail erforderlich und beruht auf Art. 6 Abs. 1 lit. a DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind. Sie sind berechtigt, Auskunft der bei uns über Sie gespeicherten personenbezogenen Daten zu beantragen sowie bei Unrichtigkeit der Daten die Berichtigung oder bei unzulässiger Datenspeicherung die Löschung der Daten zu fordern. Ferner können Sie jederzeit und ohne Angabe von Gründen von Ihrem Widerspruchsrecht Gebrauch machen und die erteilte
Einwilligungserklärung mit Wirkung für die Zukunft abändern oder gänzlich widerrufen. Sie erreichen die verantwortliche Person unter [datenschutz@firma.de].
Ihnen steht des Weiteren ein Beschwerderecht bei der verantwortlichen Aufsichts-behörde zu.