Datenschutz hat einen besonders hohen Stellenwert für mich als selbständiger Unternehmer, Compliance Experte und Betroffener, wenn meine eigenen personenbezogenen Daten verarbeitet werden. Mit dieser Datenschutzinformation möchte ich Sie über Art, Zweck und Umfang der von mir erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren, sowie Sie als gegebenenfalls betroffene Person über die Ihnen zustehenden Rechte aufklären.

Im Rahmen des Inanspruchnehmens einer meiner Dienstleistungen kann und wird in aller Regel das Verarbeiten von personenbezogenen Daten, im Folgenden auch kurz mit „pbD“ abgekürzt, erforderlich sein. Die Rechtmäßigkeit des Verarbeitens von pbD basiert gemäß Artikel 6 der Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates (Datenschutz-Grundverordnung, im Folgenden auch mit „DSGVO“ abgekürzt) sowie nationalstaatlichen Datenschutzbestimmungen, wie zum Beispiel dem Datenschutz-Anpassungsgesetz und dem Datenschutz-Deregulierungsgesetz, grundsätzlich auf der Vertragserfüllung inklusive vorvertraglichen Maßnahmen, gesetzlichen Grundlagen und/oder berechtigtem Interesse. Soweit Sie mir als betroffene Person Ihre ausdrückliche Einwilligung zum Verarbeiten ihrer pbD für bestimmte Zwecke gegeben haben, kann die Rechtsgrundlage auch diese Einwilligung darstellen, die Sie selbstverständlich jederzeit widerrufen können.

In Erfüllung der gesetzlichen Vorschriften habe ich als Verantwortlicher für das Verarbeiten auch technische und organisatorische Maßnahmen, so genannte TOMs, umgesetzt, um einen angemessenen Schutz der von mir verarbeiteten pbD sicherstellen zu können. Ich möchte Sie trotzdem darauf hinweisen, dass insbesondere Internet basierte bzw. auf drahtloser Übermittlung beruhende Datenübertragungen grundsätzlich Sicherheitslücken aufweisen können, die einen absoluten Schutz nicht hundertprozentig gewährleisten. Darüber hinaus entzieht es sich oftmals der Kenntnis der Öffentlichkeit – und auch meiner als Unternehmer – wie und wo und in welchem Ausmaß global agierende Unternehmen, wie beispielsweise Facebook, Google, usw., in unserer vernetzten Welt Daten sammeln, speichern und verwerten.

Wichtige Begriffe

Die Datenschutz-Grundverordung, kurz DSGVO, legt in Artikel 12 fest, dass die zu gebenden Informationen – wie zum Beispiel diese Datenschutzerklärung – in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu verfassen sind. Daher möchte ich Ihnen die verwendeten Begriffe näherbringen. Im Vertrauen darauf, dass der europäische Gesetzgeber die Vorschriften im Sinne seiner eigenen Vorgaben formuliert hat – verständlich, klar und einfach – beziehe ich mich dabei auch auf den Gesetzeswortlaut.

Personenbezogene Daten (Artikel 4 Ziffer 1 DSGVO)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Im vorangehenden Absatz ist zugleich auch die Definition der betroffenen Person, kurz Betroffener, enthalten. Die betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

Verarbeitung (Artikel 4 Ziffer 2 DSGVO)

Unter Verarbeitung versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie:

  • das Erheben und das Erfassen,
  • das Organisieren und das Ordner,
  • das Speichern,
  • das Anpassen oder das Verändern,
  • das Auslesen, Abfragen und Verwenden,
  • das offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
  • das Abgleichen oder das Verknüpfen,
  • das Einschränken sowie das Löschen oder das Vernichten.

Dateisystem (Artikel 4 Ziffer 6 DSGVO)

Unter Dateisystem versteht die DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Verantwortlicher (Artikel 4 Ziffer 7 DSGVO)

Verantwortlicher ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Auftragsverarbeiter (Artikel 4 Ziffer 8 DSGVO)

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Einwilligung (Artikel 4 Ziffer 11 DSGVO)

Unter Einwilligung der betroffenen Person versteht die DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Name und Anschrift des Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung bin ich:

Andreas Dolezal, Skodagasse 3/10, 1080 Wien, Österreich
Tel.: +43 664 844 60 90
Mail: consulting@andreasdolezal.at
Web: www.andreasdolezal.at

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung wurde nicht durchgeführt, da die Verarbeitungstätigkeiten, denen personenbezogene Daten zu Grunde liegen, im Sinne der DSGVO grundsätzlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Insbesondere kommen nicht zum Einsatz:

  • neue Technologien mit erhöhtem und/oder hohem Risikopotenzial
  • automatisiertes Profiling als Grundlage für Entscheidungsprozesse
  • umfangreiche Verarbeitung von Daten besonderer Kategorien („sensible Daten“) gemäß Artikel 9 Absatz 1 DSGVO
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung)

Erfassen von Daten und Informationen

Beim Besuch von Internetseiten werden heutzutage mit jedem Aufruf der Internetseite eine Reihe von allgemeinen Daten und Informationen vom Web-Server erfasst. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können u.a.:

  • die verwendeten Browsertypen und Versionen,
  • das vom zugreifenden System verwendete Betriebssystem,
  • die Internetseite, von welcher ein zugreifendes System auf die Internetseite gelangt,
  • das Datum und die Uhrzeit eines Zugriffs auf die Internetseite,
  • eine Internet-Protokoll-Adresse (IP-Adresse),
  • der Internet-Service-Provider des zugreifenden Systems,
  • sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf IT Systeme dienen.

All diese Daten werden ggf. am Web-Server gespeichert und finden nicht den Weg zu mir persönlich. Weder habe ich selbst einen mir bekannten Zugriff daruf, noch verarbeite oder analysiere ich diese Daten wissentlich (auch nicht pseudonymisiert oder anonym). Dennoch bin ich im SInne der DSGVO der für diese Datenverarbeitung am Web-Server Verantwortliche. Diese Informationen werden vielmehr benötigt, um zum Beispiel:

  • die Inhalte der Internetseite korrekt auszuliefern und zu optimieren,
  • die dauerhafte Funktionsfähigkeit der IT Systeme und der Technik der Internetseite zu gewährleisten,
  • um Strafverfolgungsbehörden im Falle eines Cyber-Angriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen.

Diese erhobenen Daten und Informationen sind für mich anonym und werden ggf. lediglich statistisch sowie mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit zu erhöhen, um letztlich optimales Schutzniveau für die verarbeiteten personenbezogenen Daten sicherzustellen.

Die Internetseite wird bei dafür spezialisierten Dienstleistungsunternehmen gehostet. Dabei besteht die vertraglich auf das technisch notwendige Mindestmaß eingeschränkte Möglichkeit des Dienstleisters auf die zuvor genannten Daten zuzugreifen. Es handelt sich dabei um folgenden Dienstleister:

PAWAQ GmbH, Lerchenfelder Strasse 36/2, 1080 Wien
Geschäftsführende Gesellschafter: Harald Paier und Jörg Wanker
Tel.: +43 1 236 50 78
Mail: office@pawaq.com

Dieser Dienstleister hat sohin im oben genannten Ausmaß Kenntnis von den „meinem“ Web-Server erhobenen personenbezogenen Daten, sind aber nicht berechtigt die Daten für eigene Zwecke zu verwerten oder an Dritte weiter zu geben.

Kontaktmöglichkeit über die Internetseite

Die Internetseite enthält aufgrund gesetzlicher Pflichten Angaben, die eine Kontaktaufnahme zu mir bzw. eine unmittelbare Kommunikation mit mir ermöglichen. Sofern eine betroffene Person per E-Mail den Kontakt mit mir als Verantwortlichem aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten gespeichert.

Solche auf freiwilliger Basis von Ihnen als betroffene Person an mich als Verantwortlichen übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung, der Beantwortung und/oder der Kontaktaufnahme zur betroffenen Person gespeichert. So sehr es sich die DSGVO auch wünscht, kann ich dennoch über die Speicherdauer in diesem Zusammenhang keine allgemein gültige Angabe machen, da die Speicherdauer von Art und Inhalt der Anfrage abhängig ist. Jedenfalls speichere ich E-Mails und die darin enthaltenen personenbezogenen Daten nicht länger als unbedingt erforderlich.

Rechte der betroffenen Person

Möchte eine betroffene Person eines oder mehrere der folgenden Rechte in Anspruch nehmen, kann sie sich hierzu jederzeit in geeigneter, präziser Form an mich als den Verantwortlichen wenden, der die gewünschte Auskunft innerhalb der gesetzlichen Frist geben wird.

Die betroffene Person muss sich identifizieren und zur Identifikation beitragen, damit sichergestellt ist, dass bei Antwort auf die Ausübung des jeweiligen Rechtes tatsächlich die betroffene Person adressiert wird.

Recht auf Auskunft

Jede betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat jede betroffene Person das Recht, jederzeit vom Verantwortlichen grundsätzlich unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Der Gesetzgeber hat der betroffenen Person Auskunft über folgende Informationen zugestanden:

  • Name und Kontaktdaten des Verantwortlichen
  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
  • das ggf. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Recht auf Berichtigung

Jede betroffene Person hat das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessen werden)

Jede betroffene Person hat Recht, vom Verantwortlichen grundsätzlich zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern die Verarbeitung nicht erforderlich ist.

Weitere Rechte von Betroffenen

Jede betroffene Person hat darüber hinaus das Recht auf Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch. Wenn Sie als Betroffenen Person der Meinung sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dies die Datenschutzbehörde.

Cookies

Die Internetseite www.andreasdolezal.at kann so genannte Cookies verwenden. Werden Cookies verwendet, dann beispielsweise dazu, um auf anonymer Basis die Anzahl der Clicks auf einzelne Inhaltselemente zu zählen und mir anzuzeigen (einfacher Counter). Dies ermöglicht es mir, die bereitgestellten Informationen und Themengebiete im Sinne des größtmöglichen Nutzens für die Besucher der Internetseite zu gestalten. Mit Cookies kann ich also die angebotenen Informationen auf der Internetseite im Sinne der Besucher optimieren, was ohne Cookies nicht möglich wäre.

Grundsätzlich sind Cookies kleine Textdateien, die heutzutage weitverbreitet sind und vom Internetbrowser auf Computersystemen abgelegt bzw. gespeichert werden. Durch deren eindeutige Kennung, der Cookie-ID, können die besuchten Internetseiten und Server dem konkreten Internetbrowser zugeordnet werden. Dies ermöglicht es den besuchten Internetseiten und Servern den individuellen Browser der betroffenen Person/Besucher von anderen Internetbrowsern zu unterscheiden. Ein bestimmter Internetbrowser kann über die Cookie-ID wiedererkannt und identifiziert werden.

Zweck dieses Wiedererkennens kann es grundsätzlich auch sein, das Verwenden der Internetseite einfacher zu gestalten. Der Besucher einer Internetseite, die Cookies verwendet, muss zum Beispiel nicht bei jedem Besuch der Internetseite erneut den Hinwies auf das Verwenden von Cookies bestätigen, weil dies von der Internetseite und dem auf dem Computersystem des Benutzers abgelegten Cookie übernommen wird.

Cookies, die auf Grund Ihres Besuches auf der Internetseite gespeichert werden, bleiben grundsätzlich während einer Dauer von maximal 30 Tagen gespeichert und werden automatisch gelöscht. Sie erkennen dies auch dadurch, dass Sie beim wiederholten Besuch der Internetseite erneut auf Cookies hingewiesen werden und deren Einsatz erneut bestätigen müssen.

Automatisierte Entscheidungsfindung (Profiling)

Als verantwortungsbewusster Unternehmer verzichte ich auf eine automatische Entscheidungsfindung oder ein Profiling.

Wahrung der Vertraulichkeit

Als Verantwortlicher setze ich bei der Ausführung der angebotenen Dienstleistungen ggf. nur Beschäftigte und/oder Kooperations-/Vertragspartner ein, die der Vertraulichkeit verpflichtet und mit den für sie relevanten Bestimmungen zum Datenschutz vertraut sind.

Einbindung von Google Webfonts

Zur einheitlichen Darstellung von Schriftarten nutzt diese Internetseite so genannte Webfonts, welche von Google LLC (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) bereitgestellt werden. Beim Aufrufen dieser Internetseite bzw. eines Content-Elements lädt Ihr Browser die benötigten Webfonts in ihren Browser-Cache, um Texte und Schriftarten korrekt anzuzeigen. Dazu nimmt Ihr Browser Verbindung zu den Servern von Google LLC auf. Google LLC erfährt damit, dass über Ihre IP-Adresse meine Internetseite aufgerufen wurde. Das Nutzen von Google Webfonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung meiner Internetseite und stellt daher ein berechtigtes Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe f DSGVO dar.

Wenn Ihr Browser Webfonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere Informationen zu Google Webfonts finden Sie unter https://developers.google.com/fonts/faq sowie in der Datenschutzerklärung von Google LLC: https://policies.google.com/privacy?hl=de.

Verarbeitungstätigkeiten

Ihre personenbezogenen Daten werden für folgende Verarbeitungstätigkeiten gespeichert und verarbeitet:

  • Kommunikation, Anfragen und Geschäftsanbahnung (vorvertragliche Maßnahmen)
  • Dienstleistungserbringung an Auftraggeber
  • Bereitstellung von Informationen
  • Versand von elektronischen Newslettern
  • Betrieb der Internetseite (siehe Erfassen von Daten und Informationen weiter oben in dieser Datenschutzerklärung)
  • Wahren der Recht betroffener Personen

Kommunikation, Anfragen und Geschäftsanbahnung

Darunter verstehe ich die Kommunikation mit Geschäftskontakten und Interessenten sowie ggf. deren Mitarbeitern im Zusammenhang im Rahmen meiner angebotenen Dienstleistungen sowie das Beantworten von Anfragen im Rahmen der Geschäftsanbahnung (vorvertragliche Maßnahmen).

Das Verarbeiten von personenbezogenen Daten erfolgt auf Basis des berechtigten Interesses des Verantwortlichen sowie der betroffenen Personen und ggf. auf Grundlage einer Zustimmung/Einwilligung. Verarbeitete Datenkategorien sind Stammdaten (Name, Adresse, usw.), Kommunikationsdaten (Telefonnummer, Mailadresse, usw.).

Die Speicherdauer beträgt bei Anfragen 12 Monate nach ihrem Einlangen zum Zweck des Beantwortens von Anschlussfragen. Grundsätzlich werden personenbezogene Daten für die Dauer von drei Jahren nach dem letzten Kontakt gespeichert sowie im Rahmen des berechtigten Interesses des Verantwortlichen und des Betroffenen und/oder auf Basis der Zustimmung/Einwilligung des Betroffenen ggf. darüber hinaus bis auf Widerruf/Auftrag zum Löschen durch den Betroffenen.

Dienstleistungserbringung an meine Auftraggeber

Darunter verstehe ich das Erfüllen vertraglichen Pflichten gegenüber Kunden im Rahmen der Unternehmensberatung inkl. des Organisierens und Durchführens von Ausbildungs- und Schulungsveranstaltungen inkl. vorvertraglicher Maßnahmen und Maßnahmen zur Kundenpflege sowie dem Speichern und Dokumentieren von personenbezogenen Daten (auch zum Zweck des Erstellens von Teilnahmezertifikaten) und Kommunikation. Zum Zweck der Vertragserfüllung sowie ggf. zur Durchführung vorvertraglicher Maßnahmen verarbeite ich folgende Daten: Vorname, Nachname, ggf. Firmenwortlaut, Geburtsdatum, Postadresse, E-Mail-Adresse(n), Telefonnummer (Festnetz sowie mobil), Faxnummer, Adresse der Internetseite(n), GISA Nummer(n), UID-Nummer, Bankverbindung. Ohne diese Daten kann ich den Vertrag mit Ihnen weder anbieten noch durchführen und auch nicht abschließen.

Die Verarbeitung der personenbezogenen Daten erfolgt auf Basis von vertraglichen sowie gesetzlichen Pflichten. Kategorien betroffener Personen sind Kunden sowie ggf. deren Mitarbeiter (bei juristischen Personen) und Geschäftspartner sowie ggf. deren Mitarbeiter (bei juristischen Personen), welche zur Vertragserfüllung erforderlich sind.

Gespeichert werden die Daten bis zur Beendigung der Geschäftsbeziehung mit dem Betroffenen und darüber hinaus solange gesetzliche Aufbewahrungsfristen bestehen (7 Jahre gem. § 132 BAO) oder solange Rechtsansprüche aus dem Vertragsverhältnis gegenüber dem Verantwortlichen geltend gemacht werden können.

Bereitstellung von Informationen

Darunter verstehe ich den Versand von Informationen im Zusammenhang mit den im Rahmen der Unternehmensberatung angebotenen Dienstleistungen. Die Verarbeitung von personenbezogenen Daten erfolgt in Bezug auf Kunden sowie ehemalige Kunden auf Basis von berechtigtem Interesse des Verantwortlichen sowie des Betroffenen, in Bezug auf Geschäftskontakte/Interessenten auf Basis von berechtigtem Interesse des Verantwortlichen sowie des Betroffenen sowie ggf. auf Basis einer Zustimmung/Einwilligung.

Kategorien Betroffener sind Kunden sowie ehemalige Kunden sowie ggf. deren Mitarbeiter, Geschäftskontakte sowie ggf. deren Mitarbeiter, Interessenten sowie ggf. deren Mitarbeiter. Verarbeitete Datenkategorien sind Stammdaten (Name, Titel, Adresse, usw.) und Kommunikationsdaten (Postadresse, Telefonnummern, E-Mail Adresse, usw.). Gespeichert werden die Daten grundsätzlich für die Dauer von drei Jahren nach dem letzten Kontakt sowie im Rahmen des berechtigten Interesses des Verantwortlichen und des Betroffenen und/oder auf Basis der Zustimmung/Einwilligung des Betroffenen ggf. darüber hinaus bis auf Widerruf/Auftrag zum Löschen durch den Betroffenen.

Versand von elektronischen Newslettern

Für das Versenden von E-Mail-Newsletter habe ich mich bewusst für einen Dienstleister mit Sitz in der EU entschieden, nämlich Sendinblue SAS. Sendinblue ist eine Anwendung des Anbieters Sendinblue SAS, 55 Rue d’Amsterdam, 75008 Paris (www.sendinblue.com). Sendinblue ist ein Anbieter mit Sitz in der Europäischen Union und unterliegt daher bezüglich Schutz von personenbezogenen Daten den strengen Bestimmungen der Datenschutz-Grundverordnung DSGVO sowie des französischen Datenschutzgesetzes.

Mit sendinblue wurde im Rahmen der Terms of Use (https://de.sendinblue.com/legal/termsofuse/) im Sinne eines Auftragsverarbeitungsvertrages in ANLAGE 1 eine dokumentiert „Vereinbarung über die Verarbeitung personenbezogener Daten“ abgeschlossen.

Die Datenschutz-Bestimmungen von sendinblue können Sie hier einsehen: https://de.sendinblue.com/legal/privacypolicy/).

Beim Versenden von Newslettern erhebe und verarbeite ich folgende Daten:

  • Bekanntgegebene E-Mail-Adresse
  • Ggf. Vor- und Nachname
  • Ggf. Status des Newsletter-Empfängers (z.B. Kunde/Interessent).

Dies ermöglicht es mir, unterschiedliche Newsletter – abgestimmt auf das bisherige Nutzerverhalten – zielgruppenorientiert zu versenden. Die E-Mail-Adressen der registrierten Empfänger sowie ggf. deren weitere, im Folgenden beschriebenen Daten, werden auf den Servern von sendinblue verarbeitet. Sendinblue verwendet diese Daten zum Versenden sowie für das Auswerten der versendeten Newsletter in unserem Auftrag.

Sendinblue kann nach eigenen Informationen diese Daten u.a. für folgende Zwecke verarbeiten:

  • kaufmännische und buchhalterische Abwicklung des Vertrages
  • Verwaltung der Aktivierung und der Marketingaktionen
  • Erkennung von schädlichem Verhalten (Betrug, Phishing, Spam, etc.)
  • Verbesserung des Verlaufs des Besuchs der Nutzer auf der Website;

Sendinblue hat gemäß eigenen Angaben alle zweckmäßigen Vorsichtsmaßnahmen getroffen um die Sicherheit der personenbezogenen Daten zu gewährleisten und insbesondere zu verhindern, dass diese verfälscht oder beschädigt werden oder von unbefugten Dritten eingesehen werden können. Dabei handelt es sich insbesondere um die folgenden Maßnahmen:

  • Mehrstufige Firewall
  • Bewährter Virenschutz und Erkennung von Eindringversuchen
  • Verschlüsselte Datenübertragung mittels SSL/https/VPN-Technologie
  • Tier 3 und PCI DSS zertifizierte Rechenzentren

Nach dem Versenden des Newsletters bzw. dem Öffnen des Newsletters erfolgt eine Datenübertragung an sendinblue. Diese Daten nutze ich zum technischen und organisatorischen Optimieren des Newsletters. Dabei werden folgende Daten verarbeitet:

  • technische Informationen, wie Informationen zum Browser und Ihrem IT-System
  • die IP-Adresse
  • Reaktionsverhalten: Zeitpunkt des Abrufs, Zeitdauer bis zum Öffnen des Newsletters, Zeitdauer bis zum Anklicken von Inhalten (Beiträgen) des Newsletters sowie Anzahl der Öffnungen und Klicks auf Links.

Ich kann das Reaktionsverhalten im Rahmen des Dienstleistungspaketes, das ich von sendinblue in Anspruch nehme, nur eingeschränkt einzelnen Newsletter-Empfängern zuordnen. Beispielsweise erhalte ich nur anonyme Informationen über das Klickverhalten indem mir sendinblue die Anzahl der Klicks mitteilt, aber nicht welchen Link ein bestimmter Newsletter-Empfänger angeklickt hat.

Ich versichere Ihnen grundsätzlich, dass ich keinerlei Interesse daran habe, das Reaktionsverhalten der Newsletter-Empfänger zu analysieren. Das Auswerten hilft mir lediglich die generellen Reaktionen der Newsletter-Empfänger zu erfassen, und die Inhalte der Newsletter gezielt auf die Empfänger abzustimmen.

Selbstverständlich können sich alle Empfänger jederzeit vom Erhalt des Newsletters abmelden. Dazu reicht eine kurze E-Mail an consulting@andreasdolezal.at mit entsprechendem Inhalt. Außerdem ist in jedem Newsletter ein Abmelde-Link enthalten.

Wahren der Rechte betroffener Personen

Darunter verstehe ich das Erfüllen der gesetzlichen Rechte von betroffenen Personen, wie z.B. auf Auskunft, Löschung, Berichtigung, Datenübertragbarkeit, usw., (soweit nicht gesetzliche oder vertragliche Pflichten oder berechtigtes Interesse dem widersprechen) sowie das Anwenden aller vertretbaren Mittel, um die Identität der um Auskunft ersuchenden betroffenen Person zu überprüfen.

Die Rechtsgrundlage für diese Verarbeitungstätgikeit ist die gesetzliche Verpflichtung. Betroffen von der Verarbeitung seine jene betroffenen Personen, welche um Auskunft ersuchen. Im Rahmen der Auskunft verarbeite ich sämtliche personenbezogene Daten der um Auskunft ersuchenden Person sowie die der Identifikation dienenden Dokumente. Und natürlich Kommunikationsdaten wie Postadresse, Telefonnummern oder E-Mail Adresse. Gespeichert werden die Daten wie dies vernünftigerweise als nötig erachtet wird.

Teilnahme an Webinare & Online-Meetings

Ich nutze das Webinar-Tool GoToWebinar, um Webinare anzubieten und durchzuführen. GoToWebinar ist ein Service der LogMeIn Ireland Limited, Bloodstone Building Block C, 70 Sir John Rogerson’s Quay, Dublin 2, Ireland. Trotz dieses europäischen Sitzes des Dienstleisters kann ich es nicht ausschließen, dass ggf. auch personenbezogene Daten an LogMeIn Inc., 333 Summer Street, Boston, Massachusetts 02210 (USA) übertragen werden, worauf ich keinen direkten Einfluss habe.

Bereits wenn Sie sich zu einem meiner Webinare anmelden (sowie in weiterer Folge wenn Sie teilnehmen), dann informiere ich Sie darüber, dass beim Datentransfer von (personenbezogenen) Daten an die USA bzw. US-amerikanische Anbieter kein dem europäischen Datenschutzrecht (DSGVO) entsprechendes Schutzniveau besteht und Daten ggf. auch US-Behörden zugänglich gemacht werden können. Mangels eines praktikablen Lösungsansatzes seitens der EU berufe ich mich dabei auf Artikel 49 DSGVO („Ausnahmen für bestimmte Fälle“), siehe auch weiter unten unter der Überschrift „Vom EuGH für ungültig erklärtes EU-US-Privacy Shield-Abkommen“. Diesem Umstand müssen Sie sich notgedrungen bewusst sein, wenn Sie an einem meiner Webinare teilnehmen. Momentan gibt es keine gleichwertigen europäischen Anwendungen bzw. Webinar-Tools, die mit einem für mich vertretbaren (zeitlichen und finanziellen) Aufwand alternativ zum Einsatz kommen können.

LogMeIn hält nach eigenen Angaben stets die Anwendung findenden rechtlichen Anforderungen ein und sieht ein angemessenes Maß an Datenschutz ungeachtet der Frage vor, wohin die Daten übermittelt werden oder wo auf sie zugegriffen wird. Der Datenverarbeitungsnachtrag (DVN) von LogMeIn beschreibt die Regelungen zum Schutz und der Vertraulichkeit von Daten, die für LogMeIn als Dienstanbieter und Auftragsverarbeiter bei der Verarbeitung der persönlichen Daten seiner Kunden gelten. Der DVN schließt DSGVO-spezifische Regelungen ein, etwa die Standardvertragsklauseln (SVK), CCPA-spezifische Regelungen (einschließlich „No sale“-Klausel) und andere branchenweit bewährte Schutzmechanismen und -bestimmungen.

Der Umfang der Daten, die dabei verarbeitet werden, hängt auch davon ab, welche Datenan- und -eingaben Sie vor bzw. bei der Teilnahme an einem Webinar machen. Angaben zu Ihnen als Nutzer sind: Vorname, Nachname, E-Mail-Adresse, persönlicher Teilnahmelink, weiters Webinar-Daten wie Thema, Beschreibung, Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen und ggf. Bilddaten (optional), Ton/Stimme (optional), Inhaltsdaten der Chatnachrichten (optional), Ergebnisse von Umfragen (optional) und im Falle von Aufzeichnungen auch Audio- und Videoaufzeichnungen (optional). Darüber hinaus kann das Webinar-Tool GoToWebinar den Grad der Aufmerksamkeit der Webinar-Teilnehmer messen, was bei Webinaren im Rahmen der gesetzlichen Aus- und Weiterbildung (z.B. gemäß Gewerbeordnung, MiFID II) von den jeweiligen Aufsichtsbehörden (im Sinne der Anwesenheitskontrolle) verlangt wird, weil bei zu geringer Aufmerksamkeit keine Zertifizierung und Anrechnung an die gesetzliche geforderte Aus- und Weiterbildungsverpflichtung erfolgen darf.

Sie haben die Möglichkeit, während einem Webinar an dem Sie teilnehmen, die Chat-, Fragen- oder Umfragefunktionen zu nutzen. In diesem Fall werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Webinar anzuzeigen und gegebenenfalls zu protokollieren, um Fragen auch nachträglich (nach dem Webinar) beantworten zu können. Gegebenenfalls werde ich Ihnen die Möglichkeit eingeräumen, Ihren Bildschirm zu „teilen“, sodass Ihr Bildschirminhalt auch den übrigen Webinar-Teilnehmern und dem Organisator sowie etwaigen Moderatoren/Referenten angezeigt wird. Um dies zu ermöglichen, werden während der Dauer des Webinars die Daten vom Mikrofon Ihres Endgeräts sowie auch Videodaten, die an Ihrem Bildschirm angezeigt werden, verarbeitet. Sie können die Kamera, das Mikrofon sowie das Teilen Ihres Bildschirms jederzeit selbst über das GoToWebinar-Dashboard deaktivieren. Eine Aufzeichnung von Webinaren ist grundsätzlich technisch möglich, erfolgt jedoch standardmäßig nicht.

Teilnehmerinnen und Teilnehmern ist es untersagt, Mitschnitte jeglicher Art (z.B. Sceenshots) von Webinaren anzufertigen. Ton-, Bild- oder Textdaten dürfen weder aufgenommen, kopiert oder gespeichert werden. Mit dem Betreten des virtuellen Webinarraums bestätigen Sie dies. Wenn es für die Zwecke der Dokumentation (z.B. der Teilnahme oder des Webinar-Inhaltes) erforderlich ist, stelle ich Ihnen den Webinar-Inhalt sowie ggf. die Chat-Inhalte separat zur Verfügung.

Für die Zwecke der Nachbereitung von Webinaren verarbeite ich gegebenenfalls die gestellten Fragen von Webinar-Teilnehmern auch im Nachhinein. Weiters erhalte ich zusätzlich zu Ihren Anmeldedaten Informationen über die Teilnahmedauer, Aufmerksamkeit, Interesse  an dem Webinar sowie gestellte Fragen bzw. Antworten. Eine automatisierte Entscheidungsfindung (Profiling) findet nicht statt.

Personenbezogene Daten, die ich Zusammenhang mit der Teilnahme an Webinaren verarbeite, gebe ich grundsätzlich nicht an Dritte weiter und verarbeite sie nicht zu fremden Zwecken. Sofern Daten für die Weitergabe an externe Dritte vorgesehen sind (z.B. zwecks Zertifizierung Ihrer Teilnahme über die Plattform meine-weiterbildung.at), übermittle ich in Ihrem Interesse (Zertifizierung) die auf das notwendige Ausmaß beschränken Daten an den betreffenden Dritten.

Personenbezogene Daten, die mir im Rahmen von Webinaren zugänglich werden, speichere ich grundsätzlich nicht länger als unbedingt erforderlich (z.B. um Anschlussfragen beantworten zu können im Sinne des berechtigen Interesses). Beispielsweise speichere ich auch Webinar-Daten und ggf. Zahlungsdaten, wenn Sie an einem kostenpflichtigen Webinar teilgenommen haben (im Sinne der Vertragserfüllung und gesetzlicher Pflichten). Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Vom EuGH für ungültig erklärtes EU-US-Privacy Shield-Abkommen

Der Europäische Gerichtshof EuGH hat am 16. Juli 2020 das Datenschutz-Abkommen zwischen der Europäischen Union EU und den Vereinigten Staaten von Amerika USA, das so genannte EU-US-Privacy Shield-Abkommen, mit sofortiger Wirkung für ungültig erklärt, weil personenbezogenen Daten auf Basis der US-amerikanischen Gesetze kein Datenschutzniveau gewährleistet, das dem europäischen Datenschutzniveau gleichgestellt ist. Damit gibt es derzeit keinen rechtsgültigen Angemessenheitsbeschluss für den Datentransfer an die USA bzw. US-amerikanische Unternehmen. Weder die Datenschutz-Grundverordnung noch die Europäische Kommission haben bis heute einen echten und praktikablen Lösungsansatz für dieses Dilemma. Mehr Details dazu können Sie in meinem Beitrag EuGH kippt EU-US-Privacy Shield-Abkommen – und was nun? nachlesen.

Zu vielen Anwendungen und Diensten US-amerikanischer Anbieter gibt es keine europäischen Alternativen die a) gleichwertig sind und b) mit vertretbarem zeitlichen sowie finanziellen Aufwand solche Anwendungen und Dienste ersetzen können. Das Nutzen von Diensten und Anwendungen US-amerikanischer Anbieter, wie zum Bespiel Microsoft, ist für mich als Verantwortlicher für die Datenverarbeitung unverzichtbar, um meinen Geschäftsbetrieb (und damit mein Einkommen und meinen Lebenserhalt) aufrecht halten zu können. Wo es mir möglich ist, verzichte ich jedoch auf Anwendungen und Dienste US-amerikanischer Anbieter. Demzufolge nutze ich beispielsweise kein Google Analytics und verwende für das Versenden meiner E-Mail-Newsletter das Tool eines Anbieters aus der EU.

Manche US-amerikanische Anbieter, die auch ich nutze, wie z.B. Microsoft, haben auf Grund des ungültigen EU-US-Privacy Shield-Abkommens ihr Standardvertragsklausel SCC angepasst, um wieder eine gültige Rechtsgrundlage für den Datentranfer herzustellen. Ob sich damit das DSGVO-konforme Datenschutzniveau tatsächlich wiederherstellen lässt, darüber sind sich nicht einmal (deutsche) Datenschutzbehörden einig.

Ich gehe davon aus, dass die Europäische Kommission – wie auch immer sie das bewerkstelligen wird – irgendwann wieder die Basis für eine rechtskonforme Datenübertragung an das Drittland USA herstellen wird, um die durch das EuGH-Urteil geschaffene Ausnahmesituation eines fehlenden Datenschutz-Abkommens mit den USA zeitnahe zu beenden. Solange diese vom EuGH bzw. der EU-Kommission verursachte Ausnahmesituation besteht, bleibt mir nichts anderes übrig, als für den ggf. stattfindenden Datentransfer an die USA bzw. US-amerikanische Anbieter den für Ausnahmen geschaffenen Artikel 49 der DSGVO („Ausnahmen für bestimmte Fälle“) als gültige Rechtsgrundlage heranzuziehen. Der aktuell vorliegende „bestimmte Ausnahmefall“ im Sinne der DSGVO ist das Versäumnis der Europäischen Kommission, für das vom EuGH für ungültig erklärte EU-US-Privacy Shield-Abkommen eine gleichwertige Alternative bereitzustellen. Weiters ist eine Datenübertragung an die USA bzw. US-amerikanische Unternehmen für die Erfüllung eines Vertrags zwischen betroffenen Personen und mir als Verantwortlichem bzw. zur Durchführung von vorvertraglichen Maßnahmen auf Antrag betroffener Person erforderlich. Damit stellt Artikel 49 Absatz 1 Buchstabe b) die gültige Rechtsgrundlage für den Datentransfer dar. Darüber hinaus werde ich die aktuelle Situation weiter beobachten und andere Lösungsansätze der EU-Kommission abwarten.

Notwendigkeit der Verarbeitung der Daten

Ich möchte Sie nochmals darauf hinweisen, dass das Bereitstellen personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. in der Bundesabgabenordnung BAO) oder sich auch aus rechtlichen und vertraglichen Notwendigkeiten (z.B. Angaben zum Vertragspartner) ergeben kann. Zum Vertragsschluss und zur Vertragserfüllung ist es daher erforderlich, dass eine betroffene Person mir personenbezogene Daten zur Verfügung stellt, die in der Folge durch mich verarbeitet werden.

Wenn Sie mir diese Daten nicht zur Verfügung stellen, werde ich den Abschluss des Vertrages oder das Ausführen des Auftrages in der Regel ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und daher die Geschäftsbeziehung beenden. Hinsichtlich für die Vertragserfüllung nicht relevanter bzw gesetzlich und/oder regulatorisch nicht erforderlicher Daten sind Sie jedoch nicht verpflichtet eine Einwilligung zur Datenverarbeitung zu erteilen.

Sonstiges

Ich habe organisatorische und technische Schutzmaßnahmen, die ich laufend evaluiere und bei Bedarf anpasse, implementiert, um Ihre von mir gespeicherten und verarbeiteten personenbezogenen Daten zu schützen. Ich behalte mir vor, diese Datenschutzerklärung jederzeit zu ändern und an neue Entwicklungen anzupassen. Die neue Fassung gilt ab Bereitstellung auf dieser Internetseite. Die aktuelle Fassung der Datenschutzerklärung ist jederzeit auf dieser Website unter www.andreasdolezal.at/datenschutzinformation abrufbar, mein Impressum finden Sie unter www.andreasdolezal.at/impressum.

Schlussfolgerung

Sie müssen der bitteren Wahrheit ins Auge sehen: wir alle – Sie ebenso wie ich – haben in unserer digitalen Welt die Kontrolle über unsere persönlichen Daten weitgehend verloren. Datenschutz-Grundverordnung hin oder her, ich kann Ihnen nicht garantieren, dass irgendwer, irgendwo, irgendwas manchmal oder dauernd abhört, mithört oder vielleicht sogar Daten stiehlt. Wie sollen kleine Unternehmer wie ich mit eingeschränktem technischen Knowhow, knappen zeitlichen Ressourcen und überschaubaren finanziellen Mitteln das in unserer vernetzten und digitalen Welt in der Praxis vollends verhindern oder große, internationele Diensteanbieter wie Microsoft & Co. datenschutzechtlich in die Schranken weisen? Noch dazu wo in den Medien immer wieder von Fällen berichtet wird, dass nicht einmal staatliche Stellen vor erfolgreichen Cyber-Attacken sicher sind. Wenn Sie, liebe Besucherin, lieber Besucher meiner Internetseite, eine Idee haben, dann scheuen Sie sich nicht und teilen Sie mir Ihren Lösungsvorschlag mit!

Falls Sie Interesse haben, hier zwe passende Beiträge aus meiner bescheidenen Feder:

Totaler Kontrollverlust über unsere persönlichen Daten

EU-US-Privacy Shield: das verwelkte Feigenblatt der DSGVO

Ihr stets um den Datenschutz besorgter und zunehmend über die DSGVO Kopf schüttelnder
Andreas Dolezal

Letztes Update: 21.01.2021