Grundinformationen
Betroffene
Diese Datenschutzerklärung richtet sich an alle Personen, die als potenzielle, aktive und ehemalige Kunden einzuordnen sind. Dies gilt unabhängig davon, ob es sich um eine entgeltliche oder unentgeltliche Leistung handelt. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortlicher
Verantwortlicher für die hier beschriebene Verarbeitung ist: Adbaker GmbH, Kalscheurener Str. 19A, 50354 Hürth, mail@adbaker.de, T: +49 (0) 221 99983680, E-Mail: mail@adbaker.de, vertreten durch den Geschäftsführer Simon Mader.
Rechte
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.
(4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA, der Republik Indien und der Russischen Föderation ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Weitere Hinweise
(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
Verarbeitung der Daten in der Anbahnungsphase.
(1) Der Verantwortliche nimmt die Daten aus dem Erstkontakt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da sie der Anbahnung, Durchführung und/oder Beendigung eines Vertragsverhältnisses dient. In diesem Fall werden die Daten gelöscht, sobald der jeweilige Zweck erfüllt ist, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen.
(2) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Es wird eine externe Steuerberatungskanzlei mit der Buchhaltung betraut. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist.
- Es werden das Cloud-Tool „Google Workspace“ sowie das nachgelagerte Tool„Google Docs“ der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland) eingesetzt, wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projekt-Management-Tool „Asana“ der Aana Inc., 1550 Bryant St #200, San Francisco, CA 94103, 6399 (USA) eingesetzt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das CRM-Tool „HubSpot“ der HubSpot, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zapier.com/how-it-works. Kurz gesagt: Mit Zapier kann der hiesige Verantwortliche Applikationen verbinden, sodass zwischen den verschiedenen Applikationen Kunden- und Interessentendaten automatisiert ausgetauscht werden können. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Buchhaltungs-Tool „Lexoffice“ der Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg (BRD) eingesetzt. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt.
- Es wird das Kundenservice-Tool „Zendesk“ der Zendesk, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Videokommunikations-Tool „Loom“ der Loom, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projektmanagement-Tool „Slack“ der Slack Technologies Limited (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen werden kann, dass die Slack Technologies Inc. (USA) Zugriff auf die Daten erhält. Denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird der Online-Fax-Dienst sipgate der sipgate GmbH (BRD) eingesetzt, indem dort Telefax-Nachrichten im Rahmen der vertragsbezogenen Kommunikation empfangen und versendet werden.
- Es wird das Feedback-Tool „Leapsome“ der Leapsome GmbH (BRD) eingesetzt.
- Es wird das Signaturtool „PandaDoc“ der Pandadoc, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.pandadoc.com/de/electronic-signature-software/. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
- Es wird das Plattform-Tool „KAJABI“ der Kajabi LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird die Chat-Software „Miro“ der RealtimeBord, Inc. (USA) eingesetzt), die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es werden die nachfolgenden Zahlungsdienstleister eingesetzt:
- elopage GmbH (BRD).
- easybill GmbH (Deutschland) eingesetzt.
- Fino Data Services GmbH (BRD). Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen kann, dass auch die GetMyInvoices Inc. (USA) auf die Daten zugreifen kann. Denn die Anbieter sind als eigenständige Verantwortliche aktiv, sodass von uns keine Übermittlung i.S.v. Artikel 44 DSGVO stattfindet.
- Wir arbeiten mit Mark Becker IT-Dienstleistungen e. K. zusammen, um die Effizienz unserer Marketing- und Vertriebsaktivitäten zu steigern. Mark Becker IT-Dienstleistungen e. K. hilft uns bei der Analyse von Nutzerdaten, insbesondere wenn es Änderungen bei Kontakten in CRM-System gibt. Ihre persönlichen Daten werden dabei nicht auf den Servern von Mark Becker IT-Dienstleistungen e. K. gespeichert. Alle Datenübertragungen finden in verschlüsselter Form statt, um Ihre Privatsphäre zu schützen.
Verarbeitung der Daten in der Phase der aktiven Vertragsbeziehung.
(1) Der Verantwortliche verarbeitet alle Daten, die zur Durchführung des Vertragsverhältnisses, insbesondere zur Erfüllung seiner vertraglichen Pflichten erforderlich sind. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da sie der Anbahnung, Durchführung und/oder Beendigung eines Vertragsverhältnisses dient.
(2) Ferner speichert der Verantwortliche alle steuer- und handelsrechtlichen Informationen (das sind hier die Rechnungs- und Lieferungsdaten), die aus dem Verhalten der Betroffenen hervorgehen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB. Danach ist die Verarbeitung auch ohne Ihre Einwilligung zulässig, da der Verantwortliche in diesem Fall seine rechtliche Verpflichtung erfüllt, die Daten gemäß steuer- und handelsrechtlichen Vorschriften aufzubewahren. Hiernach besteht die Pflicht,
- Daten über die Betroffenen, die sich aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Einzelabschlüssen nach § 325 Abs. 2a HGB, Konzernabschlüssen, Lageberichten und Konzernlageberichten, Eröffnungsbilanzen, Buchungsbelegen, Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, Handelsbüchern sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen ergeben, für zehn Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB),
- Daten über die Betroffenen, die sich aus empfangenen Handels- oder Geschäftsbriefen, aus der Wiedergabe der empfangenen Handels- oder Geschäftsbriefe sowie aus sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind, für sechs Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB).
Nach Ablauf der Fristen werden sämtliche Daten gelöscht, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen. Daten, die auf Grundlage einer Einwilligung verarbeitet werden, löscht der Verantwortliche, sobald die Einwilligung widerrufen wird (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 lit. e DSGVO).
(3) Der Verantwortliche wird den Namen, die E-Mail-Adresse sowie auftragsbezogene Kommunikationsinhalte sowie Informationen zum Lese- und Klickverhalten dazu verwenden, die Betroffenen werblich anzusprechen. Die werbliche Ansprache per E-Mail. Inhaltlich umfasst die werbliche Ansprache jede Äußerung des Verantwortlichen, bei der Ausübung seines konkreten Gewerbes mit dem Ziel, den Absatz seiner Waren oder die Erbringung seiner Dienstleistungen zu fördern. Dazu zählen insbesondere, aber nicht abschließend regelmäßige und unregelmäßige Newsletter, Einladungen, Kundenzufriedenheitsbefragungen und Angebote für konkrete Produkte und Leistungen. Ferner umfasst die werbliche Ansprache, dass der Verantwortliche die Betroffenen per E-Mail, auf die kostenfreien und kostenpflichtigen Produkte und Dienstleistungen aufmerksam machen darf, die seine Kooperationspartner anbieten. Hierbei werden die Daten nicht an diese Kooperationspartner übermittelt. Vielmehr empfiehlt der Verantwortliche den Betroffenen lediglich deren Produkte, wobei er diese Nachrichten selbst editieren kann. Hier ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage. Danach darf der Verantwortliche die Daten der Betroffenen zur werblichen Ansprache auch ohne Ihre Einwilligung verarbeiten. Sein berechtigtes Interesse folgt daraus, dass zwischen ihm und den Betroffenen eine Vertragsbeziehung besteht und daraus, dass er die Betroffenen vorab darüber informiert hat und daraus, dass die Betroffenen jederzeit und ohne Begründung der Verarbeitung zu werblichen Zwecken widersprechen können. In diesem Zusammenhang werden die Betroffenen darauf hingewiesen, dass sie der Verwendung jederzeit widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
(4) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Es wird eine externe Steuerberatungskanzlei mit der Buchhaltung betraut. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist.
- Es werden das Cloud-Tool „Google Workspace“ sowie das nachgelagerte Tool„Google Docs“ der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland) eingesetzt, wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projekt-Management-Tool „Asana“ der Aana Inc., 1550 Bryant St #200, San Francisco, CA 94103, 6399 (USA) eingesetzt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das CRM-Tool „HubSpot“ der HubSpot, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zapier.com/how-it-works. Kurz gesagt: Mit Zapier kann der hiesige Verantwortliche Applikationen verbinden, sodass zwischen den verschiedenen Applikationen Kunden- und Interessentendaten automatisiert ausgetauscht werden können. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Buchhaltungs-Tool „Lexoffice“ der Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg (BRD) eingesetzt. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt.
- Es wird das Kundenservice-Tool „Zendesk“ der Zendesk, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Videokommunikations-Tool „Loom“ der Loom, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projektmanagement-Tool „Slack“ der Slack Technologies Limited (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen werden kann, dass die Slack Technologies Inc. (USA) Zugriff auf die Daten erhält. Denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird der Online-Fax-Dienst sipgate der sipgate GmbH (BRD) eingesetzt, indem dort Telefax-Nachrichten im Rahmen der vertragsbezogenen Kommunikation empfangen und versendet werden.
- Es wird das Feedback-Tool „Leapsome“ der Leapsome GmbH (BRD) eingesetzt.
- Es wird das Signaturtool „PandaDoc“ der Pandadoc, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.pandadoc.com/de/electronic-signature-software/. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
- Es wird das Plattform-Tool „KAJABI“ der Kajabi LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird die Chat-Software „Miro“ der RealtimeBord, Inc. (USA) eingesetzt), die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es werden die nachfolgenden Zahlungsdienstleister eingesetzt:
- elopage GmbH (BRD).
- easybill GmbH (Deutschland) eingesetzt.
- Fino Data Services GmbH (BRD). Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen kann, dass auch die GetMyInvoices Inc. (USA) auf die Daten zugreifen kann. Denn die Anbieter sind als eigenständige Verantwortliche aktiv, sodass von uns keine Übermittlung i.S.v. Artikel 44 DSGVO stattfindet.
Verarbeitung der Daten nach Ende des Vertragsverhältnisses.
(1) Nach Ende des Vertragsverhältnisses bewahrt der Verantwortliche die Daten auf. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da der Verantwortliche in diesem Fall seine rechtliche Verpflichtung erfüllt, die Daten gemäß gesetzlichen Vorschriften aufzubewahren. Hiernach besteht die Pflicht
- Daten über die Betroffenen, die sich aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Einzelabschlüssen nach § 325 Abs. 2a HGB, Konzernabschlüssen, Lageberichten und Konzernlageberichten, Eröffnungsbilanzen, Buchungsbelegen, Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, Handelsbüchern sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen ergeben, für zehn Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB),
- Daten über die Betroffenen, die sich aus empfangenen Handels- oder Geschäftsbriefen, aus der Wiedergabe der empfangenen Handels- oder Geschäftsbriefe sowie aus sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind, für sechs Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB).
Nach Ablauf der Fristen werden sämtliche Daten gelöscht, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen. Daten, die auf Grundlage einer Einwilligung verarbeitet werden, löscht der Verantwortliche, sobald die Einwilligung widerrufen wird (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 lit. e DSGVO).
(2) (2) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Es wird eine externe Steuerberatungskanzlei mit der Buchhaltung betraut. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist.
- Es werden das Cloud-Tool „Google Workspace“ sowie das nachgelagerte Tool„Google Docs“ der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland) eingesetzt, wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projekt-Management-Tool „Asana“ der Aana Inc., 1550 Bryant St #200, San Francisco, CA 94103, 6399 (USA) eingesetzt. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das CRM-Tool „HubSpot“ der HubSpot, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Im Zusammenhang mit der Automatisierung wird das Schnittstellen-Tool „Zapier“ der Zapier, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zapier.com/how-it-works. Kurz gesagt: Mit Zapier kann der hiesige Verantwortliche Applikationen verbinden, sodass zwischen den verschiedenen Applikationen Kunden- und Interessentendaten automatisiert ausgetauscht werden können. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Buchhaltungs-Tool „Lexoffice“ der Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg (BRD) eingesetzt. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt.
- Es wird das Kundenservice-Tool „Zendesk“ der Zendesk, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Videokommunikations-Tool „Loom“ der Loom, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird das Projektmanagement-Tool „Slack“ der Slack Technologies Limited (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen werden kann, dass die Slack Technologies Inc. (USA) Zugriff auf die Daten erhält. Denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es wird der Online-Fax-Dienst sipgate der sipgate GmbH (BRD) eingesetzt, indem dort Telefax-Nachrichten im Rahmen der vertragsbezogenen Kommunikation empfangen und versendet werden.
- Es wird das Feedback-Tool „Leapsome“ der Leapsome GmbH (BRD) eingesetzt.
- Es wird das Signaturtool „PandaDoc“ der Pandadoc, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.pandadoc.com/de/electronic-signature-software/. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise (Grundinformationen / Übermittlung in Länder außerhalb der Europäischen Union) maßgeblich.
- Es wird das Plattform-Tool „KAJABI“ der Kajabi LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Es werden die nachfolgenden Zahlungsdienstleister eingesetzt:
- elopage GmbH (BRD).
- easybill GmbH (Deutschland) eingesetzt.
- Fino Data Services GmbH (BRD). Der Verarbeitung steht nicht entgegen, dass nicht ausgeschlossen kann, dass auch die GetMyInvoices Inc. (USA) auf die Daten zugreifen kann. Denn die Anbieter sind als eigenständige Verantwortliche aktiv, sodass von uns keine Übermittlung i.S.v. Artikel 44 DSGVO stattfindet.
Verarbeitung bei einer Unternehmensveräußerung im Wege der Abspaltung oder Verschmelzung.
(1) Es besteht die Möglichkeit, dass sich das Unternehmen des Verantwortlichen oder Teile davon gesellschaftsrechtlich verändern. Hierbei hat der Verantwortliche u.a. die Möglichkeit, durch die Veräußerung von Teilen des Unternehmens (Abspaltung) oder durch den Zusammenschluss mit anderen Unternehmen (Verschmelzung) sich zu reorganisieren. Bei einer Abspaltung bleibt er als Unternehmen bestehen, überträgt einen Teil seines Vermögens auf einen oder mehrere andere, bereits bestehende oder neue Rechtsträger. Bei einer Verschmelzung überträgt er sein gesamtes Unternehmen auf einen anderen, entweder schon bestehenden oder neu zu gründenden Rechtsträger.
(2) Unabhängig davon, welche Variante der gesellschaftsrechtlichen Veränderung der Verantwortliche wählt, besteht die Möglichkeit, dass die Daten, die er speichert, dabei an den jeweiligen neuen Rechtsträger mitübertragen werden, ggf. auch entgeltlich. Es besteht sogar die Möglichkeit, dass dies der Hauptgrund für die gesellschaftsrechtliche Veränderung und ein wesentlicher, preisbildender Faktor ist.
(3) Für die unter Absatz 2 beschriebene Übertragung der Daten ist die Einwilligung der Betroffenen jedoch nicht erforderlich. Denn auf diese Übertragung ist der datenschutzrechtliche Grundsatz, wonach jede Verarbeitung personenbezogener Daten, einer Erlaubnisgrundlage bedarf, nicht anwendbar. Denn dieser aus Artikel 5 Absatz 1 lit. a DSGVO herrührende Rechtsgrundsatz erfordert eine Verarbeitung der Daten. In Betracht kommt hier zwar eine Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung. Aber sowohl die Elemente „Übermittlung“, „Verbreitung“ als auch „Bereitstellung in anderer Form“ setzen voraus, dass die Daten vom Verantwortlichen an eine Stelle außerhalb des Verantwortlichen gelangen. Und im Fall der Abspaltung oder Verschmelzung wäre bzgl. der Daten der neue Rechtsträger kein Dritter i.S.v. Artikel 4 Ziffer 10 DSGVO.
Verarbeitung bei einer Unternehmensveräußerung im Wege des Asset-Deals.
(1) Es besteht die Möglichkeit, dass sich das Unternehmen des Verantwortlichen oder Teile davon gesellschaftsrechtlich verändern. Hierbei bestünde die Möglichkeit eines sog. Asset-Deals. Unter einem Asset Deal versteht man den Unternehmenserwerb durch Übertragung seiner jeweiligen Vermögensgüter, wenn also Unternehmen „gekauft“ werden.
(2) Sofern der Verantwortliche – im Zeitpunkt der Übertragung der Daten – den Betroffenen gegenüber noch vertraglichen Pflichten hat, die im Zusammenhang mit der Nutzung seiner Produkte und Dienstleistungen stehen, ist die mit dem Asset-Deal verbundene Verarbeitung der personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt. Nach dieser Vorschrift ist die darin liegende Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Hier besteht ein solches Verarbeitungsinteresse. Die Frage, ob ein solches Interesse vorliegt, ist am Verarbeitungszweck zu messen und hat einerseits rechtliche, wirtschaftliche und ideelle Interessen berücksichtigen und ist andererseits unter Berücksichtigung von (Unions-)Grundrechten weit auszulegen. Hier ist das Interesse, dass die Kunden des Verantwortlichen auch nach dem Asset-Deal weiterbedient werden, entscheidend. Dies entspricht auch dem Interesse der Betroffenen. Selbstverständlich können sie dieser Verarbeitung jederzeit widersprechen, dies durch formlose Nachricht an einen der o.g. Kontaktkanäle („Verantwortlicher“).
(3) Sofern der Verantwortliche – im Zeitpunkt der Übertragung der Daten – gegenüber den Betroffenen bereits alle vertraglichen Pflichten erfüllt hat, wird die Übertragung der Daten nur erfolgen, soweit es nachvertragliche Pflichten gibt oder es wahrscheinlich ist, dass die Betroffenen ggf. noch Nachfragen haben. Denn dann ist die mit dem Asset-Deal verbundene Verarbeitung Ihrer personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt. Das Interesse folgt hier daraus, dass in der möglicherweise anfallenden Erfüllung nachvertraglicher Pflichten und Nachfragen seitens der Betroffenen, ein Übertragungsinteresse besteht.
(4) Der Verantwortliche behält sich das Recht vor, ergänzend eine Einwilligung von den Betroffenen abzufragen, wenn andere Fälle der Datenübermittlung zwecks Durchführung einer gesellschaftsrechtlichen Reorganisation in Betracht kommen. Insoweit verarbeitet er die Kontaktdaten der Betroffenen, um sie um Ihre Einwilligung in die Übermittlung zu bitten. Rechtsgrundlage dieser Verarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO. Nach dieser Vorschrift darf der Verantwortliche die Daten verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der er unterliegt. Die rechtliche Verpflichtung folgt hier aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften ist der Verantwortlich rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Er speichert die Daten zum Status der Einwilligung, solange dies zu Nachweiszwecken erforderlich ist.