Personenbezogene Daten

Folgend wird viel von personenbezogenen Daten gesprochen, doch was verbirgt sich hinter diesem Begriff?

Der Begriff der personenbezogenen Daten wird in Art. 4 Nr. 1 DS-GVO wie folgt legal definiert:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“

Verarbeitung

Unter dem Begriff der Verarbeitung versteht Art. 4 Nr. 2 DS-GVO:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Welche Daten werden verarbeitet?

Im Folgenden erläutern wir, welche Daten wir zu welchem Zweck und aufgrund welcher Rechtsgrundlage verarbeiten.

Verarbeitete Daten

Hinweisgeberschutzgesetz

Wir verarbeiten Ihre Daten zur Erfüllung unserer Pflichten nach dem Hinweisgeberschutzgesetz (HinSchG). Demnach sind wir dazu verpflichtet, Meldungen von (vermuteten) Gesetzesverstößen entgegenzunehmen und zu prüfen. Im Rahmen der Aufklärung der gemeldeten Fälle können meldende oder genannte Personen von uns befragt werden. Informationen und Aussagen können an andere betroffene Stellen oder Behörden weiteregegeben oder gerichtlich verwendet werden­. Ob eine Weitergabe erforderlich und gesetzlich erlaubt ist, wird in jedem Einzelfall gesondert geprüft.

Wir erhalten die Meldung vom jeweiligen Hinweisgeber. Ggf. wird die Meldung durch die entgegennehmende Meldestelle ergänzt.

Die Verarbeitung Ihrer Daten zum Zweck der Aufklärung eines gemeldeten Falls erfolgt zur Wahrung unseres berechtigten Interesses, Verstöße gegen Rechtsvorschriften oder interne Vorschriften aufzuklären.

Sonstige Verarbeitungswecke

Zusätzlich zu den bis hierhin beschriebenen Zwecken werden die oben genannten personenbezogenen Daten zu folgenden Zwecken zur Wahrung unserer berechtigten Interessen im Rahmen von Interessensabwägungen (Art. 6 Abs. 1 lit. f) DS-GVO) verarbeitet. Die Interessen werden im Folgenden benannt:

1. Da es in unserem Interesse liegt, die Sicherheit unserer Systeme zu gewährleisten, führen wir regelmäßig Sicherheits- und Wirksamkeitstests durch, in deren Rahmen Ihre oben genannten Daten verarbeitet werden können.
2. Sollte es in unserem Unternehmen zu einem Sicherheitsvorfall kommen, bei dem Ihre Daten betroffen sind, sind wir ggf. dazu verpflichtet, den Fall an die für uns zuständige Datenschutz-Aufsichtsbehörde zu melden (Art. 33 DS-GVO). Da es unser berechtigtes Interesse ist, dieser gesetzlichen Meldepflicht schnellstmöglich nachzukommen, kann es vorkommen, dass im Rahmen der Aufklärung des entsprechenden Sicherheitsvorfalls Daten zu Ihrer Person verarbeitet werden. Die Meldungen dieser Sicherheitsvorfälle an Datenschutz-Aufsichtsbehörden beinhalten keine Ihrer personenbezogenen Daten.
3. Wir führen Audits, interne Revisionen und andere Kontrollmaßnahmen durch (bspw. Überwachung durch den Datenschutzbeauftragten), da es unser berechtigtes Interesse ist, gesetzliche Vorschriften einzuhalten, Transparenz über unsere Geschäftsprozesse zu schaffen, diese Prozesse stets zu optimieren und geschäftsschädigenden Handlungen vorzubeugen sowie diese zu erkennen. Dabei kann es vorkommen, dass Dokumente oder Dateien verarbeitet werden, die Ihre personenbezogenen Daten enthalten.
4. Wir führen interne und externe Audits zum Erwerb und zur Aufrechterhaltung von Zertifizierungen sowie zur Erfüllung von Kundenanforderungen und Qualitätsstandards durch. Weiterhin führen unsere Kunden oder Mittelgeber eigene Audits durch. Auch dabei können Dokumente und Dateien mit personenbezogenen Daten verarbeitet werden.
5. Wir verarbeiten Ihre Daten zu Zwecken der Steuerung unseres Unternehmens, für die Identifikation und Verfolgung finanzieller Risiken, zur Bündelung vertrieblicher Aktivitäten und zur Erfüllung (vertraglicher) Verpflichtungen gegenüber unseren Kunden. Dazu werden die verarbeiteten Daten zu Reports ausgewertet. Die Verarbeitung erfolgt zur Wahrung unserer berechtigten Interessen an der Unternehmens- und Vertriebssteuerung sowie der Erfüllung unserer Verpflichtungen gegenüber unseren Kunden.
6. Um unseren steuerrechtlichen Pflichten nachzukommen, setzen wir Steuerberater ein. Außerdem setzen wir Wirtschaftsprüfer ein, um unserer handelsrechtlichen Pflicht der Prüfung des Jahresabschlusses gemäß § 316 Abs. 1 HGB nachkommen zu können. Ferner liegt es in unserem Interesse mit Betriebsprüfern der Finanzbehörden zu kooperieren und die ordnungsgemäße Rechnungsstellung und den Jahresabschluss nachzuweisen. Dabei betrachtete Dokumente wie Belege und Rechnungen können Ihre personenbezogenen Daten enthalten.
7. Da es in unserem Interesse liegt, rechtliche Auseinandersetzungen zu lösen, verarbeiten wir in einem solchen Fall zweckgebunden Ihre Daten. Es liegt außerdem in unserem Interesse, im Fall von Rechtsstreitigkeiten solange Beweismittel aufzubewahren, bis alle relevanten gesetzlichen Verjährungsfristen gemäß §§ 195ff. BGB abgelaufen sind. Zu dem Zweck bewahren wir die entsprechenden Daten über Ihre Person gemäß diesen Verjährungsfristen auf. Die Löschfristen können pauschal nicht vorausgesagt werden, da sie sich aus dem jeweiligen Streitgegenstand und der entsprechenden gesetzlichen Verjährungsfrist ergeben, welche bis zu 30 Jahre betragen können. Die regelmäßige Verjährungsfrist beträgt 3 Jahre.
8. Darüber hinaus liegt es in unserem Interesse, Verdachtsfällen nachzugehen und bei einem konkreten Strafverdacht relevante Informationen an Strafverfolgungsbehörden zu übergeben.
9. Fehler können jedem passieren und in jedem betrieblichen Prozess vorkommen. Damit wir diese Prozesse optimieren und unsere Fehlerquote senken können, verarbeiten wir die in unserem Unternehmen vorhandenen Daten, um Fehlerquellen zu identifizieren. Diese Verarbeitung erfolgt zur Wahrung unseres berechtigten Interessens an der Verbesserung unserer Prozesse.
10. Wir verarbeiten Ihre Daten zum Testen von IT-Systemen und Software-Produkten sowie zur Durchführung von Migrationen. Die Verarbeitung erfolgt zur Erfüllung unseres berechtigten Interesses an der Überprüfung der Korrektheit neuer Produkte bzw. der Korrektheit und Vollständigkeit von Migrationen.

Löschfristen (bzw. Speicherdauer)

Ist ein Vertrag bzw. Lieferantenverhältnis zustande gekommen, werden abrechnungsrelevante Daten gemäß der gesetzlichen Aufbewahrungsfristen der Abgabenordnung (AO) und des Handelsgesetzbuches (HGB) nach 10 Jahren gelöscht. Die Frist beginnt mit dem Jahresabschluss des Kalenderjahres, dem die jeweilige Buchung zuzuordnen ist.

Im Übrigen werden Ihre Daten 24 Monate nach Beendigung des Vertrags bzw. Lieferantenverhältnisses gelöscht. Die Frist beginnt dann am Ende des Kalenderjahres, in dem der Vertrag endete, also bspw. am 31.12.2022, wenn der Vertrag am 27.07.2022 endete.

Wenn kein Vertrag bzw. Lieferantenverhältnis zustande kam, werden Ihre Daten 12 Monate nach der entsprechenden Absage gelöscht.

Hiervon abweichend werden für das Besuchermanagement verarbeitete Daten 2 Wochen nach dem Besuch gelöscht.

Von Meldungen nach dem HinSchG und deren Aufklärung abgeleitete Maßnahmen enthalten keinen Personenbezug, weshalb sie keiner Löschfrist unterliegen. Die Dokumentation einer Meldung wird 3 Jahre nach Abschluss des Verfahrens bei der Meldestelle gelöscht. Im Übrigen wird die Löschung Ihrer Daten ausgesetzt, wenn sie zur Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen oder im Rahmen eines behördlichen oder gerichtlichen Verfahrens benötigt werden.

Für die Wahrung unserer Rechtspositionen und den damit verbundenen Erhalt von Beweismitteln kann eine Aufbewahrung bis zum Ablauf von Verjährungsfristen gemäß §§ 195ff. BGB erforderlich sein, die darin enthaltenen Aufbewahrungsfristen können bis zu dreißig Jahre betragen. Die regelmäßige Verjährungsfrist liegt bei drei Jahren.

Herkunft der Daten

Sofern wir Sie direkt beauftragt haben, erheben wir die Daten direkt bei Ihnen. Bei einer Beauftragung Ihres Arbeitgebers/Auftraggebers erhalten wir die Daten entweder direkt von Ihnen oder von Ihrem Arbeitgeber/Auftraggeber.

Welche Stellen erhalten Ihre Daten?

Die folgende Liste stellt dar, welche Stellen in welchen Fällen Ihre Daten erhalten („Datenempfänger“). Um welche Daten es sich dabei konkret handelt, können Sie in den entsprechenden Kapiteln dieser Erklärung nachlesen. Eine Weitergabe Ihrer Daten erfolgt teilweise aufgrund von gesetzlichen oder vertraglichen Pflichten. In anderen Fällen setzen wir ausgewählte Erfüllungsgehilfen und Dienstleister ein, die als Auftragsverarbeiter (gemäß Art. 28 DS-GVO) für uns tätig werden und im jeweils erforderlichen Umfang Zugriff auf Ihre Daten erhalten können. Auftragsverarbeiter unterliegen zahlreichen vertraglichen Pflichten und dürfen insbesondere Ihre personenbezogenen Daten nur auf unserer Weisung und ausschließlich für die Erfüllung der von uns erhaltenen Aufträge verarbeiten.

• Auditoren
• Banken, Zahlungsdienstleister
• Datenschutzbeauftragter
• Dienstleister für die Vernichtung von Akten und Datenträgern
• Dienstleister für Druck, Lettershops
• Dienstleister für Sanktionslistenchecks
• E-Mail-Provider des Empfängers
• Finanzbehörden
• Fördermittelgeber
• Gerichte, Rechtsanwälte, Vertragspartner, Berater, Geschäftspartner, Strafverfolgungsbehörden, gegnerische Anwälte, Landes- oder Bundeskriminalamt, Behörden (im Rahmen rechtlicher Streitigkeiten oder bei konkretem Strafverdacht)
• IT-Dienstleister
• Steuerberater
• Telekommunikationsdienstleister
• Versanddienstleister
• Wirtschaftsprüfer

Weitergabe Ihrer Daten in ein Drittland außerhalb der EU

Unsere IT-Dienstleister in der EU verfügen über verbundene Unternehmen oder Unterauftragnehmer außerhalb der EU, die auf deine Daten zugreifen können. Die EU-Kommission bestimmt, welche Nicht-EU/EWR-Länder (Drittländer) über ein angemessenes Datenschutz-Niveau verfügen. Die verbundenen Unternehmen bzw. Unterauftragnehmer unserer IT-Dienstleister haben sich entweder dem sogenannten Data Privacy Framework (Beschluss Nr. C(. final vom 10.07.2023) unterworfen, sofern diese Ihren Sitz in den USA haben; andernfalls sind unsere IT-Dienstleister für den Einsatz von EU-Standardvertragsklauseln gemäß des Kommissionsbeschlusses Nr. (EU) 2021/914 verantwortlich. Ein Muster dieser EU-Standardvertragsklauseln findest du auf den Webseiten des EU-Kommissars für Justiz und im Amtsblatt der EU.

Ihre Rechte

Sie verfügen über das gesetzliche Recht auf:

• Auskunft der über Sie gespeicherten personenbezogenen Daten (Art. 15 DS-GVO)
• Berichtigung und Vervollständigung Ihrer uns vorliegenden Daten (Art. 16 DS-GVO)
• Löschung (Art. 17 DS-GVO)
• Einschränkung der Verarbeitung (Art. 18 DS-GVO)
• Datenübertragbarkeit (Art. 20 DS-GVO)
• Widerruf erteilter Einwilligungen (Art. 7 DS-GVO) mit Wirkung für die Zukunft. Die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung der Daten bleibt davon unberührt.
• Sie haben darüber hinaus das Recht auf Darlegung des eigenen Standpunktes und Anfechtung einer auf einer automatisierten Verarbeitung beruhenden Entscheidung (Art. 22 DS-GVO).