Datenschutzerklärung

Datenschutz ist ein wichtiges Anliegen der DEGECO Deutsche Gesellschaft für Compliance mbH, Dornberger Str. 27, 33615 Bielefeld, (im Folgenden „DEGECO“, oder je nach Kontext auch „wir“, „uns“). Daher erfolgt die Verarbeitung der Daten unserer Kunden ausschließlich unter Beachtung der geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung („DSGVO“) sowie der jeweils geltenden nationalen Bestimmungen zum Datenschutz.

I. Einleitung, Geltungsbereich und Begriffsbestimmungen

Die nachfolgende Datenschutzerklärung gilt für die Website https://www.degeco.de (im Folgenden „Website“). Diese Datenschutzerklärung gilt insbesondere nicht, wenn Sie als Kunde eine vertragliche Beziehung mit DEGECO eingehen.

Mit dieser Datenschutzerklärung möchten wir Sie als Nutzer/in der Website darüber aufklären, wie wir personenbezogene Daten verarbeiten. Soweit Begriffe in der DSGVO, insbesondere in Art. 4 DSGVO definiert werden, verwenden wir diese in dieser Datenschutzerklärung mit dem gleichen Begriffsverständnis.

„Personenbezogene Daten“ (im Rahmen dieser Datenschutzerklärung zum Teil nur „Daten“ genannt) sind demnach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; beispielsweise sind E-Mail-Adressen oder Nutzer-IDs personenbezogene Daten, weil sie durch Zusatzinformationen auf die natürliche Person schließen lassen (siehe unten die Definition zur „Pseudonymisierung“).

„Verarbeitung“ ist jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; der Begriff der Verarbeitung ist daher umfassend zu verstehen, bei jeder Registrierung eines Nutzers verarbeiten wir demnach personenbezogene Daten.

„Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; sofern wir personenbezogene Daten im Zusammenhang mit einer User-ID verknüpfen, handelt es sich somit um pseudonymisierte Daten; die Pseudonymisierung dient dazu, die Rückschließbarkeit auf eine natürliche Person zu erschweren, wenngleich sie damit nicht verhindert werden kann; verhindert werden kann ein Rückschluss nur durch Anonymisierung, d.h. in dem nach aktuellem Stand der Technik ein solcher Rückschluss bestmöglich verhindert wird (z.B. durch Aggregierung, Löschen von wesentlichen Teilen eines Datensatzes).

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; siehe hierzu auch Abschnitt II. dieser Datenschutzerklärung.

„Auftragsverarbeiter“ (Art. 28 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; klassische Auftragsverarbeiter sind Dienstleister für Cloud-Speicher oder Hosting-Dienstleister, so auch E-Mail-Provier, auf deren Server E-Mails physisch gespeichert sind; Auftragsverarbeiter sind an die strengen Weisungen des Verantwortlichen in Bezug auf die Datenverarbeitung gebunden.

Die „Einwilligung“ (Art. 7 DGSVO) der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

II. Verantwortlicher für die Datenverarbeitung und Kontakt

Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften, insbesondere im Sinne der DSGVO, für die Website ist:

DEGECO Deutsche Gesellschaft für Compliance mbH
Dornberger Str. 27
33615 Bielefeld.

Die Verantwortliche kann entweder per Post über die o.g. Anschrift erreicht werden, oder per E-Mail an kontakt@degeco.de.

III. Zuständige Aufsichtsbehörde

Die nach Art. 55 DSGVO für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf

Telefon: +49 (0) 211 / 384240 E-Mail: poststelle@ldi.nrw.de.

IV. Zwecke und Rechtsgrundlagen für die Datenverarbeitung

Im Folgenden informieren wir Sie darüber, für welche Zwecke wir Ihre Daten verwenden und auf welche Rechtsgrundlagen wir uns dabei stützen. Soweit wir uns für einzelne Verarbeitungsvorgänge auf unser legitimes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO berufen, werden wir auch über das konkrete legitime Interesse informieren, das der Datenverarbeitung zu Grunde liegt.

1. Betrieb der Website

Wenn Sie unsere Website besuchen, verarbeiten wir einige Daten zum Zwecke der Bereitstellung unserer Website gegenüber der Allgemeinheit. Teile dieser Daten sind auch Personenbezogene Daten.

Diese Verarbeitung stützen wir auf unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Ein potenziell entgegenstehendes Interesse unserer Website-Nutzer überwiegt nicht unser Interesse an einer Bereitstellung, zumal ohne Einwilligung nur die technisch für die Bereitstellung der Website erforderlichen Daten verarbeitet werden.

2. Statistische Auswertung von Nutzungsdaten

Wir nutzen verschiedene Technologien auf unserer Website zur Messung der Performance und um das Nutzungserlebnis für unsere Nutzer zu verbessern. Solche Auswertungen werden wir nur nach Abgabe Ihrer ausdrücklichen Einwilligungserklärung durchführen, die wir durch unser Consent-Management-Tool einholen. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a, Art. 7 DSGVO, § 25 Abs. 1 TTDSG. Einzelheiten zu den von uns verwendeten Technologien zur statistischen Auswertung von Nutungsdaten Daten (auch soweit diese pseudonymisiert wurden) finden Sie in unserem Consent Management Tool sowie in den Informationen über Empfänger von personenbezogenen Daten in diesem Zusammenhang (siehe Ziff. VI. Nr. 2). Außerdem analysieren wir Website-Nutzungsdaten, um Cyberangriffe (z.B. Distributed Denial-of-Service Attacken) zu erkennen. Diese Verarbeitung stützen wir auf unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Das Interesse unserer Nutzer daran, dass ihre Daten nicht analysiert werden, überwiegt nicht unser Interesse an einem unterbrechungsfreien und sicheren Betrieb unserer Website.

3. Auswertung und Verwendung von Nutzungsdaten für Marketingzwecke

Wir nutzen verschiedene Technologien auf unserer Website, um Nutzungsdaten auszuwerten und für Marketingzwecke zu verwenden, also den hinter den Nutzungsdaten stehenden Besuchern Werbung zukommen zu lassen. Solche Auswertungen werden wir nur nach Abgabe Ihrer ausdrücklichen Einwilligungserklärung durchführen, die wir durch unser Consent-Management-Tool einholen. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a, Art. 7 DSGVO, § 25 TTDSG. Einzelheiten zu den von uns verwendeten Technologien zur Auswertung und Verwendung von Nutzungsdaten (auch soweit diese pseudonymisiert wurden) finden Sie in unserem Consent Management Tool sowie in den Informationen über Empfänger von personenbezogenen Daten in diesem Zusammenhang (siehe Ziff. VI. Nr. 2).

4. Kontaktaufnahme durch unser Online-Kontaktformular

Wenn Sie unser Kontaktformular nutzen und hierüber mit uns in Kontakt treten, werden wir die von Ihnen angegebenen Daten verwenden, um Ihr Anliegen bearbeiten zu können. Hierbei stützen wir uns auf Ihre ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO), die wir im Zusammenhang mit dem Absenden des Kontaktformulars einholen.

V. Kategorien der von uns verarbeiteten personenbezogenen Daten

Die personenbezogenen Daten, die wir von Betroffenen im Sinne der in Ziff. IV. genannten Zwecke verarbeiten, lassen sich in die folgenden Kategorien einteilen:

1. Nutzungsdaten beim Besuch der Website

Zu den Nutzungsdaten gehören insbesondere die IP-Adresse sowie Daten zu Ihrem Browser, Ihres Betriebssystems, Ihrer im Endgerät eingestellten Sprache, der Zeitpunkt des Website-Aufrufs, soweit diese Daten durch Ihren Browser an unsere Webserver übertragen werden. Diese Daten werden für begrenzte Zeit in sog. Logfiles gespeichert.

2. Kontaktdaten

Kontaktdaten sind die personenbezogenen Daten, die wir benötigen, um mit Ihnen in Kontakt zu treten oder zu bleiben. Je nach Kontaktweg kann sich dies auf Ihre E-Mail-Adresse beschränken (z.B. wenn Sie uns eine E-Mail senden und ansonsten keine Daten über Sie mitteilen) oder auch beispielsweise Ihren Klarnamen enthalten, sofern Sie diesen wahrheitsgemäß angeben (z.B. wenn Sie über unser Kontaktformular mit uns in Kontakt treten.

VI. Empfänger von personenbezogenen Daten

Grundsätzlich legen wir Wert darauf, so viele Verarbeitungstätigkeiten wie möglich selbst durchzuführen. Die von uns verarbeiteten personenbezogenen Daten übermitteln wir unter Umständen in den verbleibenden Fällen auch, je nach Verarbeitungszweck und Verarbeitungstätigkeit, an verschiedene Empfänger. Eine Übermittlung kommt in den Fallgestaltungen in Betracht, die wir im Folgenden darstellen. Da sich die Empfänger von personenbezogenen Daten je nach Nutzer und Verarbeitungssituation voneinander unterscheiden, stellen wir im Folgenden lediglich die Kategorien von Empfängern dar.

1. Verarbeitungen im Rahmen von Auftragsverarbeitungsverhältnissen

Die DSGVO privilegiert sog. Auftragsverarbeitungsverhältnisse, d.h. Verarbeitung personenbezogener Daten durch solche (natürlichen oder juristischen) Personen, die ausschließlich in unserem Auftrag und nach unserer Weisung handeln (Art. 28 DSGVO). Wir bedienen uns ebenfalls Auftragsverarbeiter, die wir sorgfältig ausgewählt und uns davon überzeugt haben, dass sie personenbezogene Daten, die wir ihnen anvertrauen, in einem risikoadäquaten Umfang durch geeignete technische und organisatorische Maßnahmen schützen. Im Rahmen von Auftragsverarbeitungen arbeiten wir insbesondere mit Cloud-Speicherdienstleistern, E-Mail-Versanddienstleistern und Anbietern von Software-as-a-Service-Tools zur Effizienzsteigerung unserer Produktivität zusammen.

2. Third-Party Cookies und Pixel

Wie bereits unter Ziff. III. Nr. 2 und 3 dargestellt, verwenden wir verschiedene Technologien zur Auswertung und Verwendung von Nutzungsdaten aus statistischen und Marketingzwecken, soweit uns eine Einwilligung vorliegt. Teilweise werden diese Technologien über Third-Party Cookies und Pixel dargestellt, bei denen personenbezogene Daten an die entsprechenden Dienstleister übermittelt werden. Die Bezeichnung der Anbieter erfolgt in dem von uns verwendeten Consent-Tool.

VII. Datenübermittlung an Empfänger außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraumes (EWR)

Soweit wir Daten an Dritte weiterleiten – beispielsweise im Rahmen von Vertragsverhältnissen, achten wir regelmäßig darauf, mit Vertragspartnern innerhalb der EU/des EWR zusammenzuarbeiten.

Sollten wir personenbezogene Daten an Länder außerhalb der EU/des EWR weiterleiten (sog. „Drittstaaten“) werden wir darauf achten, dass es sich entweder um Drittstaaten handelt, für die ein sog. Angemessenheitsbeschluss der Europäischen Kommission vorliegt, sodass davon ausgegangen werden kann, dass das Datenschutzniveau dem der Mitgliedsstaaten der EU gleicht. In allen anderen Fällen ist grundsätzlich davon auszugehen, dass das Datenschutzniveau des Drittstaates hinter dem der Mitgliedsstaaten der EU zurückbleibt. Wenn wir Daten an Empfänger in solchen Staaten übermitteln (z.B. im Rahmen des Imports von Facebook-Profilfotos), werden wir auf das Vorliegen geeigneter Garantien i.S.d. Art. 46 DSGVO achten. In erster Linie werden wir die von der EU-Kommission herausgegebenen Standardvertragsklauseln abschließen. Allgemeine Informationen zu den Standardvertragsklauseln erhalten Sie auf der Website der Europäischen Kommission unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de.

VIII. Datensicherheit

Wir wissen, dass unsere Kunden besonderen Wert auf auf Datenschutz und Datensicherheit legen. Wir ergreifen daher die nach dem Verarbeitungsrisiko adäquaten technischen und organisatorischen Maßnahmen, um ein entsprechendes Datenschutzniveau sicherzustellen.

Zu den Maßnahmen gehören insbesondere Segregieren von Daten, Pseudonymisierung, Verschlüsselung und stetige Implementierung neuer und verbesserter Verschlüsselungsmaßnahmen sowie regelmäßige Sicherheitstests (Penetration Tests) und Audits. Unsere Mitarbeiter werden im Hinblick auf Datenschutz und Datensicherheit geschult. Hinsichtlich des grundsätzlichen Zugriffs auf Kundendaten durch unsere Mitarbeiter und des Umfangs eines Zugriffs orientieren wir uns nach dem Need-to-Know-Prinzip und dem Prinzip der Datenminimierung.

IX. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die Verarbeitungszwecke erforderlich ist. Da wir eine Vielzahl personenbezogener Daten auf Grundlage unerschiedlicher Rechtsgrundlagen verarbeiten, können wir im Rahmen dieser Datenschutzerklärung keine konkreten Fristen angeben, sondern lediglich abstrakte Maßstäbe, anhand derer sich die Speicherdauer orientiert:

  • Wenn wir Daten auf Grundlage einer Einwilligung verarbeiten, dürfen wir die Daten so lange vorhalten, wie die Einwilligung besteht. Auch nach Widerruf einer Einwilligung können wir die personenbezogenen Daten noch für eine gewisse Zeit speichern, um uns im Falle von Auseinandersetzungen gegen etwaige Vorwürfe verteidigen zu können. Die Grundlage der Einwilligung, also die Dokumentation der Einwilligungserklärungen, dürfen wir jedenfalls für die Dauer gesetzlicher Verjährungsfristen der zugrundeliegenden Bußgeldvorschriften speichern, zuzüglich einer geeigneten Auslauffrist (z.B. zur Berücksichtigung einer etwaigen Hemmung der Verjährung).

  • Wenn wir Daten auf vertraglicher Grundlage verarbeiten, können wir auch nach Abschluss des Vertrags die Daten regelmäßig für die Dauer der gesetzlichen Verjährungsfrist verarbeiten, um uns gegen etwaige Rechtsansprüche zu verteidigen oder sie selbst geltend machen zu können.

  • Soweit Daten handels- oder steuerrechtlich relevant sind und den dortigen Aufbewahrungsfristen unterliegen, dürfen wir die diesbezüglichen personenbezogenen Daten (insbesondere Buchhaltungsunterlagen) für diese Dauer speichern.

Im Übrigen prüfen wir in regelmäßigen Abständen, ob von uns vorgehaltene personenbezogene Daten noch gespeichert werden müssen. Ist dies nicht der Fall, werden wir diese anonymisieren oder löschen. Wir löschen auch solche personenbezogenen Daten, hinsichtlich derer wir Löschanfragen von Betroffenen erhalten und nach Prüfung der Voraussetzungen zu dem Ergebnis kommen, dass keine Rechtsgrundlage für eine weitere Verarbeitung vorliegt.

X. Pflicht zur Bereitstellung personenbezogener Daten

Sie haben grundsätzlich keine Pflicht, uns personenbezogene Daten zur Verfügung zu stellen. Wenn Sie uns jedoch einige personenbezogene Daten nicht zur Verfügung stellen, können wir manche Datenverarbeitungen nicht ausführen und dementsprechend Leistungen gegebenenfalls nicht erbringen. Insbesondere können wir ohne Angabe einer gültigen E-Mail-Adresse keine Anfragen via E-Mail beantworten.

XI. Automatisierte Entscheidungsfindung/Profiling

Wir benutzen im Zusammenhang mit der Zurverfügungstellung unserer Website keine Datenverarbeitungen der automatisierten Entscheidungsfindung bzw. des Profiling.

XII. Rechte der Betroffenen

Als Betroffener stehen Ihnen die folgenden Rechte zu, sobald die Voraussetzungen für die Ausübung des jeweiligen Rechts im Einzelnen vorliegen:

  • Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden und wenn ja, die näheren Umstände der Datenverarbeitung (Art. 15 Abs. 1 DSGVO: Auskunftsrecht der betroffenen Person); ferner haben Sie das Recht auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 DSGVO: Recht auf Kopie);

  • Sie haben das Recht, von uns unverzüglich die Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten zu verlangen. Dabei haben Sie unter Berücksichtigung der Zwecke der Verarbeitung auch das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen (Art. 16 DSGVO: Recht auf Berichtigung);

  • Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, soweit keine Aufbewahrungsrechte unsererseits bestehen (Art. 17 DSGVO: Recht auf Löschung);

  • Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, soweit keine Rechte unsererseits bestehen, die personenbezogenen Daten im gleichen Umfang weiter zu verarbeiten (Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung);

  • Sie haben das Recht, im Falle der Verarbeitung aufgrund einer Einwilligung oder zur Erfüllung eines Vertrags, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln oder die Daten direkt an den anderen Verantwortlichen zu übermitteln, soweit dies technisch machbar ist (Art. 20 DSGVO: Recht auf Datenübertragbarkeit);

  • Sie haben das Recht, jederzeit Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (d.h. am Sitz unserer Gesellschaft), einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen geltendes Recht verstößt (Art. 77 DSGVO i. V. m. § 19 BDSG: Recht auf Beschwerde bei einer Aufsichtsbehörde). Die für uns zuständige Aufsichtsbehörde finden Sie in Abschnitt XIII. dieser Datenschutzerklärung. Die für Sie zuständige Datenschutzbehörde ist für gewöhnlich die Ihres Staates bzw. Bundeslandes.

  • Außerdem haben Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die (i) für die Wahrung einer Aufgabe im öffentlichen Interesse erforderlich ist, (ii) die in Ausübung öffentlicher Gewalt erfolgt und uns übertragen wurde, oder (iii) die wir auf Grund unseres berechtigten Interesses verarbeiten, Widerspruch einzulegen (Art. 21 DSGVO: Widerspruchsrecht). In diesem Fall verarbeiten wir die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

  • Soweit personenbezogene Daten verarbeitet werden, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. In diesem Fall werden die personenbezogenen Daten nicht mehr für Zwecke der Direktwerbung verarbeitet.

Wenn Sie uns eine Einwilligung erteilt haben, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, d.h. alle Datenverarbeitungen, die wir bis zu Ihrem Widerruf vorgenommen haben, bleiben hierbei rechtmäßig. Die o.g. Rechte können Sie uns gegenüber unter den in Ziff. II. genannten Kontaktdaten geltend machen.