Das ist jetzt natürlich so eine Sache… – da betreibe ich (bzw. meine Datenschutz-Guru GmbH) eine Internetseite zum Datenschutz und möchte (und muss) natürlich auch den Informationspflichten aus der Datenschutz-Grundverordnung (DSGVO) nachkommen. Und da schaut vielleicht die eine oder andere Person auch etwas genauer hin. Frei nach dem Motto: Ja, wie macht denn dieser „Hansen-Oest“ das selbst…?

Wenn ich die nachfolgenden Zeilen meist in „Ich“-Form schreibe, hat das ganz einfach damit zu tun, dass ich hier derjenige bin, der am meisten mit den Daten umgeht, das ganze plant und auch umsetzt. Hier kommt keine Software zum Einsatz, die ich mir nicht zuvor angesehen und für gut befunden habe.

Aber nun zum Thema „Datenschutz“….meine erste Überlegung bei diesen Hinweisen:

Wir haben alle keine Zeit.

Datenschutzhinweise

Das ist jetzt natürlich so eine Sache… – da betreibe ich (bzw. meine Datenschutz-Guru GmbH) eine Internetseite zum Datenschutz und möchte (und muss) natürlich auch den Informationspflichten aus der Datenschutz-Grundverordnung (DSGVO) nachkommen. Und da schaut vielleicht die eine oder andere Person auch etwas genauer hin. Frei nach dem Motto: Ja, wie macht denn dieser „Hansen-Oest“ das selbst…?

Wenn ich die nachfolgenden Zeilen meist in „Ich“-Form schreibe, hat das ganz einfach damit zu tun, dass ich hier derjenige bin, der am meisten mit den Daten umgeht, das ganze plant und auch umsetzt. Hier kommt keine Software zum Einsatz, die ich mir nicht zuvor angesehen und für gut befunden habe.

Aber nun zum Thema „Datenschutz“….meine erste Überlegung bei diesen Hinweisen:

Wir haben alle keine Zeit.

Übersicht

Ja…so traurig wie es ist. Kaum jemand hat die Zeit, sich diesen „Datenschutzkram“ durchzulesen. Letztlich geht es allenfalls darum, ob ich dem Unternehmen oder der Person, die die Internetseite betreibt, vertraue oder nicht. Seth Godin hat es einmal ganz treffend formuliert, worum es beim Thema „Datenschutz“ für Menschen eigentlich geht. Sinngemäß formulierte er es so: „Wir möchten nicht unerwartet überrascht werden…“

Volltreffer! Denn genau darum geht es (auch). Als Besucher oder Nutzer einer Internetseite ist es sehr häufig nicht primär wichtig, dass jemand etwas macht. Sondern vielmehr geht es darum, dass es nicht überraschend, nein unerwartet überraschend ist. Und auch wenn es kaum zu glauben ist, hat das Datenschutzrecht im „materiellen Sinne“ meist tatsächlich etwas mit „GM“ zu tun („GM“ steht bei mir immer für Gesunder Menschenverstand“).
Das ist jetzt aber weniger „Recht“, sondern vielmehr meine Meinung zu „Verhalten“ und „Erwartungen“ von Besuchern oder Nutzern meiner Internetseite. Und jetzt schreibe ich hier schon wieder soviel…und dabei hast du doch wahrscheinlich keine Zeit.

Eines vorab: Hier wird geduzt. Neulich schrieb uns ein Hotel, dass sie das „respektvolle Du“ verwenden. Das gefällt mir. Denn so handhabe ich das auch. Ich finde ein „du“ einfach netter und es passt hier oben bei uns in Flensburg zu unserer Nähe zu Skandinavien. Und auch ein „du“ kann verbindlich sein. Verspreche ich.

Wenn du keine Zeit und/oder Muße hast, das hier alles zu lesen (ja, es ist viel), dann möchte ich dir im Hinblick auf möglicherweise „unerwartet Überraschendes“ kurz diese Schnellhinweise geben:

Kurzfassung

1. Die Datenverarbeitung ist bei Besuchern und registrierten Nutzern dieser Internetseite unterschiedlich.

Wenn du diese Internetseite als nicht-registrierter Besucher anschaust, passiert wenig Spektakuläres mit deinen personenbezogenen Daten. In Kürze passiert das hier:

  • Damit du dir die Seite ansehen kannst, wird deine IP-Adresse vom Webserver für die Dauer des Besuchs verarbeitet.
  • Die Applikation, mit der diese Seite betrieben wird („Wordpress“ + Plugins) speichert einige Zugriffsarten auf diese Internetseiten für 14 Tage. Geloggt werden fehlerhafte Anmeldeversuche, Zugriffsversuche auf nicht existente Inhalte („404 Detection“) und Sperrungen von IP-Adressen von fehlerhaften Anmeldeversuchen. Bei einem „normalen“ Besuch dieser Internetseite wird also in der Regel gar nichts zu deiner Person gespeichert.
  • Für die sog. Coaching-Mails für Datenschutz-Coaching-Mitglieder und „transaktionale E-Mails“ nutzen wir den US-Dienstleister Sendgrid.
  • Wir nutzen das datenschutzfreundliche Webanalyse-Tool „Fathom“ in der Version, in der die Daten ausschließlich in der EU verarbeitet werden.
  • Personenbezogene Daten von „Besuchern“ bekomme ich in der Regel nur, wenn mein (übrigens sehr empfehlenswerter – haha) Newsletter abonniert wird. Kannst du übrigens hier machen. Und da gibt es auch spezielle Datenschutzhinweise zum Newsletter, die du dann in Ruhe lesen darfst.

Für die registrierten Benutzer findet dann allerdings schon eine ganze Menge mehr an Datenverarbeitung statt. Da verweise ich dich wohl oder übel mal weiter nach unten, wo es um die Datenverarbeitung von registrierten Nutzern geht.

2. Die Datenverarbeitung findet primär in der EU statt

Mein Webserver steht in Deutschland und befindet sich im Rechenzentrum eines deutschen Unternehmens („Mittwald“). Und ja…ich habe mit dem Provider einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.
Gleichwohl binde ich z.B. Videos über Vimeo (manchmal auch YouTube) ein. Vimeo ist ein Dienstleister aus den USA. Und nein, es gibt keine für mich vergleichbare Alternative aus der EU. Schade, ist aber so. Ich habe es probiert. In einigen Bereichen setze ich aber auf den europäischen Dienst „bunny.net“.

3. Die wenigen Cookies, die ich nutze, sind (unbedingt) erforderlich

Cookies werden für Besucher nur primär zur Steuerung von bestimmten Sessions genutzt. So nutze ich z.B. zur Darstellung bestimmter Datenbankinhalte eine „Darstellungs-Schicht“, deren Steuerung (wie „Vor- und Zurückblättern“) über Session-Cookies abgewickelt wird. Das ist jetzt nicht wirklich böse oder gar ein „Tracking“.
Ansonsten können Cookies z.B. im Bereich des Online-Shops angewendet werden. Aber da sind wir dann schon im Bereich der „Vertragsanbahnung“. Die Cookies sind in dem Zusammenhang „unerlässlich“ zum Abschluss eines Vertrages. Und die haben in der Regel auch nur eine Maximal-Lebensdauer von zwei Tagen. Sind sozusagen doppelte Eintagsfliegen. Kann man das so sagen? Egal…du weißt, was ich meine…denke ich. Vom Zahlungsdienstleister werden bei der Verwendung des Online-Shops auch Cookies gesetzt. Diese dienen u.a. auch dazu, Betrugsversuche zu erkennen und zu unterbinden.
Wenn ich ein Video einbette, kann es übrigens auch dazu kommen, dass Cookies gesetzt werden. Von dem jeweiligen Videoservice-Anbieter.

4. Rechtsgrundlagen der Verarbeitung von Besucherdaten

Rechtsgrundlage für die Verarbeitung von reinen Besucherdaten ist Art. 6 Abs. 1 lit. f) DSGVO. Das ist die sog. Datenverarbeitung auf Basis einer Interessenabwägung.
Mein Interesse ist der sichere und funktionsfähige Betrieb dieser Website. Das reicht. Ach nein…ich muss das ja noch mit deinem Interesse als Besucher abwägen. Habe ich aber getan. Schon bei der „Planung“ dieser Website. Und was soll ich sagen? Mein Interesse überwiegt. Passt dir nicht? Dann solltest du dich mit deinem Browser besser jetzt auf eine andere Seite begeben. Die Wahrscheinlichkeit ist allerdings recht hoch, dass da wesentlich mehr mit deinen personenbezogenen Daten gemacht wird.
Hinzu kommt übrigens, dass ich einen Teil dieser Daten auch benötige, um die von mir nach Art. 32 DSGVO zu gewährleistende Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten.

Bezüglich deiner Betroffenenrechte kannst du dich weiter unten in den Datenschutzhinweisen informieren. Nur ganz kurz: Personenbezogene Daten, die ich dir zuordnen und damit auch Auskunft erteilen könnte, habe ich von dir nicht, wenn du reiner Besucher dieser Seite bist. Natürlich kannst du dennoch gerne Auskunft verlangen. Ich schaue dann, ob ich etwas an personenbezogenen Daten zu dir finden kann. Ich sag nur: Chuck Norris (s.o.)

Anders sieht das aus, wenn du mir eine E-Mail geschrieben hast. Dann bist du aber nicht mehr einfacher Besucher der Seite, sondern hast einen Kommunikationskontakt mit mir. Das ist also eine andere Baustelle als diese Website.

Nun aber im Detail:

Ja…dann fangen wir mal mit einer Beschreibung dessen an, was hier so an Verarbeitung personenbezogener Daten passiert. Gegliedert ist das jeweils nach Datenarten bzw. Verarbeitungszwecken.

Welche Daten werden verarbeitet?

IP-Adressen

Auf dieser Website werden grundsätzlich keine vollständigen IP-Adressen von reinen Besuchern der Website gespeichert bzw. unverzüglich nach Ende der Nutzung der Website gelöscht (zu den Ausnahmen, s.u.). Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile (Access-Log und Error-Log) standardmäßig das letzte Oktett der IP-Adresse gelöscht wird. So wird aus der IP-Adresse „127.0.0.123“ z.B. die Adresse „127.0.0.1″ gespeichert wird. Eine Herstellung eines Personenbezuges ist für mich dann nicht mehr möglich.

Und natürlich gibt es von jedem Grundsatz Ausnahmen. Und das sind vor allem diese:

Bei fehlerhaften Anmeldeversuchen wird die IP-Adresse für 14 Tage gespeichert. Dies wird gemacht, um Hacking-Versuche zu unterbinden und zu analysieren. Ferner werden diese Daten bei registrierten Benutzern benötigt, um z.B. technische Fehler bei der Anmeldung analysieren und beheben zu können. Und ja…ich habe versucht, mit 7 Tagen Speicherdauer auszukommen. Und nein, es reicht nicht. So konnte z.B. in einem Fall erst ab einer Speicherdauer von 14 Tagen vernünftig analysiert werden, wie regelmäßig Hacking-Versuche (in dem Fall aus Osteuropa) ablaufen. Und dann wurden Sperrungen auf Basis von IP-Adressen vorgenommen.

Apropos: Wenn ein Besucher oder Nutzer der Internetseiten mehrfach ein Passwort falsch eingibt oder sich mit „einschlägigen“ Administrator-Benutzernamen anzumelden versucht, erfolgt sofort eine Sperre auf Basis der IP-Adresse. Wenn eine Analyse ergibt, dass ein Besucher der Website versucht, rechtswidrig Zugang zu meiner „Plattform“ (diese Internetseiten) zu bekommen, erfolgt eine längere Speicherung der IP-Adresse, um die IP-Adresse zu sperren. Die Speicherdauer lege ich anlassbezogen nach Durchführung einer Verhältnismäßigkeitsprüfung fest.

Außerdem werden IP-Adressen von Besuchern im Rahmen einer sog. „404 Detection“ gespeichert. Speicherdauer sind auch hier 14 Tage. Wer sich ein bisschen mit Hacking beschäftigt, wird wissen, dass ein Hack häufig damit zu tun hat, dass man versucht, Inhalte aufzurufen, die es nicht gibt. Alles Weitere würde zu weit führen. Wichtig für dich: Im Rahmen einer Interessenabwägung überwiegen hier meine Interessen im Hinblick auf die Verarbeitung dieser Daten.

Wenn du Kunde bzw. registrierter Benutzer dieser Internetseite bist, dann wird die IP-Adresse, die deinem Endgerät beim Vertragsschluss zugewiesen war, bis zur Beendigung des Vertragsverhältnisses gespeichert. Gleiches gilt, wenn du ein Download-Produkt erworben hast. Dann werden der Zeitpunkt und die IP-Adresse, von dem aus der Download erfolgt ist, solange gespeichert, wie du registrierter Nutzer dieser Internetseite bist.

Gleiches gilt auch beim Abonnement eines E-Mail-Newsletters. Auch hier wird die bei der Registrierung verwendete IP-Adresse gespeichert.

Rechtsgrundlage für die Verarbeitung dieser Daten ist übrigens im Hinblick auf reine Besucher dieser Internetseite Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse ist hier die Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die über diese Internetseiten verarbeitet werden.

Für registrierte Nutzer dieser Internetseiten ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Es ist meine vertragliche Pflicht, die Maßnahmen zu treffen, die zur Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten von Nutzern erforderlich sind. Und das nehme ich ausgesprochen ernst.

Cookies & „Local Storage“

Diese Internetseite verwendet zum Teil Cookies. Cookies sind kleine Textinformationen, die über deinen Browser im Endgerät als Datei gespeichert werden. Cookies sind nicht grundsätzlich böse, sondern erlauben Userinteraktionen und auch sonstige sinnvolle Sachen.

Wir können mit Cookies auch böse Sachen machen, was hier aber (natürlich) nicht passiert. Es kommen insbesondere keine Flash-Cookies zum Einsatz (insbesondere kein “Respawning” von Cookies). Im Bereich des „Forums“ für Datenschutz-Coaching-Mitglieder kommen zwingend notwendige Cookies und auch solche zum Einsatz, die vom Benutzer ausdrücklich verlangt werden.

Auf dieser Seite wird teilweise auch von der Speicherung von Informationen im sog. „Local Storage“ des Browsers deines Endgerätes gemacht. Dies erfolgt primär bei der Einbindung von Videos über „bunny.net“ (s.u.), um die Qualität des Videos zu steuern und den Videofortschritt zwischenzuspeichern. Diese Nutzung von „Local Storage“ ist unbedingt erforderlich i.S.d. § 25 Abs. 2 Nr. 2 TTDSG, um das jeweilige Video ansehen zu können.

Applikations-Cookies

Die hier eingesetzte Software verwendet Cookies. Bei reinem Besuch der Website werden keine Cookies im Browser des Besuchers gesetzt. Wenn du aber z.B. einen Kommentar zu einem Artikel über die Kommentarfunktion übermittelt hast, wird ein Cookie gesetzt. In dem Cookie wird aber nicht deine IP-Adresse gespeichert. Die Lebenszeit des Cookies ist zudem beschränkt und liegt in jedem Fall stets nicht über einem Jahr.

Darüber hinaus verwendet auch die von mir eingesetzte Software für Online-Kurse und für mein Datenschutz-Coaching Cookies. Diese werden meist nur für die Dauer der Sitzung („Session-Cookies“) verwendet, um z.B. deine Bestellung oder Deinen „Angemeldet-Status“ zu speichern bzw. die sog. „Session“ zu managen. Es kommt aber ggf. auch vor, dass persistente Cookies verwendet werden, um z.B. deine Antworten in Online-Prüfungen für dich zwischenzuspeichern.

Wenn du einen Benutzer-Account auf meiner Internetseite hast und du beim Anmelden die „Remember Me“- bzw. „Angemeldet bleiben“-Funktion aktiviert hast, dann wird ein dauerhaftes Cookie (für ca. 10 Tage) im Browser deines Endgerätes gesetzt, das dafür sorgt, dass die Website dich auch beim nächsten Aufruf erkennt. Dieses Cookie kannst du jederzeit wieder über die Einstellungen in deinem Browser löschen.

Cookies kommen ferner auch zum Einsatz, wenn du ein Benutzerkonto auf meiner Internetseite einrichtest und als Benutzer angemeldet bleibst, dich also nicht ausloggst/abmeldest.

Du kannst diese Applikations-Cookies blockieren, in dem du in deinem Browser das Setzen von Cookies durch meine Internetseite (datenschutz-guru.de) blockierst. Ich weise jedoch darauf hin, dass die Seite dann nicht mehr – insbesondere im Hinblick auf die Nutzung der Online-Kurse und die Verwendung von dir gekaufter Leistungen (z.B. Datenschutz-Coaching-Inhalte) voll funktionsfähig genutzt werden kann.

Auch mein Online-Shop-System verwendet Cookies zur Warenkorb-Steuerung. Die Laufzeit dieser Cookies beträgt in der Regel maximal zwei Tage. Genau genommen gibt es nur ein Cookie, das kein reines sog. „Session-Cookie“ ist und damit nicht automatisch nach Beendigung des Besuchs der Seite gelöscht wird.

Ferner setze ich im Online-Shop-Bereich den Zahlungsdienstleister „stripe“ (Stripe Payments Europe, Limited – Irland) ein. Für die Schnittstelle zu diesem Anbieter können u.U. ggf. direkt von meiner Internetseite Cookies mit einer Laufzeit von bis zu 12 Monaten zum Einsatz kommen. Dies dient der Betrugs- und Missbrauchsprävention bei Online-Bezahlverfahren. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. f) DSGVO. Leider kommt es durchaus häufiger vor, dass Betrugsversuche stattfinden (manchmal auch nicht nur Versuche, sondern Betrugsvollendungen). Ich bin ganz froh, dass „stripe“ hier versucht, Missbrauchsversuche zu erkennen, um diese zu verhindern.

Im Hinblick auf die Kommentar-Cookie-Funktion ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Ermöglichen von Kommentaren

Bei den Cookies, die für registrierte Nutzer Anwendung finden, ist die Rechtsgrundlage Art. 6 Abs. lit. b) DSGVO. Mein Interesse: Erbringung meiner vertragsgemäßen Leistungen nebst Bedienkomfort

Webanalyse

Auf diesen Internetseiten kommt das Webanalyse-Tool „Fathom“ zum Einsatz. „Fathom“ ist ein datenschutzfreundliches Tool zum Zählen und vor allem zur übersichtlichen Darstellung von Zugriffen auf unsere Websites. Dabei kommen keine Cookies zum Einsatz. „Fathom“ ist ein Dienst der Conva Ventures Inc. (BOX 37058 Millstream PO, Victoria, British Columbia, V9B 0E8). Als privates Unternehmen fällt der Anbieter von „Fathom“ in den sog. Angemessenheitsbeschluss der EU-Kommission zu Kanada, sodass ein angemessenes Datenschutzniveau gewährleistet ist.

Die Datenverarbeitung findet zudem durch eine sog. „EU-Isolation“ ausschließlich in Europa und in EU-Rechenzentren statt. Nähere Details dazu findest du hier.

„Fathom“ speichert keine IP-Adressen zu Besucher:innen unserer Internetseiten. Gespeichert wird ein Hashwert, der u.a. auch dazu dient, wiederkehrende Besucher:innen zu erkennen. Ein Personenbezug können weder wir noch „Fathom“ aus diesen Daten unmittelbar herleiten. Gleichwohl haben wir einen Auftragsverarbeitungsvertrag mit dem Anbieter von „Fathom“ abgeschlossen, der den Anforderungen des Art. 28 DSGVO entspricht.

Vimeo & Hinweise zur Einbindung von Videos

Ich verwende auf dieser Internetseite gerne Videos. Videos sind eine gute Möglichkeit, um Inhalte besser zu transportieren und verständlicher zu machen. Da ein lokales Hosting von Videos nicht leistungsfähig genug ist, nutze ich die Möglichkeit von externen Video-Anbietern. Für meine eigenen Videos nutze ich vornehmlich Vimeo und ab und an auch YouTube. Außerdem binde ich auch gelegentlich andere Videos von externen Seiten ein. Auch hier kommen Drittanbieter zum Einsatz.

Durch die Einbindung der Videos kommt es – technisch bedingt – zu Aufrufen der Server der Anbieter wie z.B. Vimeo. Für die damit verbundene Verwendung von Daten deines Browsers bzw. Endgerätes verweise ich auf die jeweiligen Datenschutzhinweise der Anbieter. Denn die sind für die entsprechende Datenverarbeitung verantwortlich. Die Datenschutzhinweise von Vimeo findest du z.B. hier: https://vimeo.com/privacy

Rechtsgrundlage für die Einbindung der Vimeo-Videos für Datenschutz-Coaching-Mitglieder und die damit einhergehende Übermittlung von personenbezogenen Daten an die Vimeo Inc. ist für registrierte Benutzer dieser Internetseiten Art. 6 Abs. 1 lit. b) DSGVO. Gleiches gilt für Benutzer, die sich in der Vertragsanbahnung befinden und z.B. kostenlose Testlektionen in Videoform ansehen. Die Einbindung ist auch erforderlich, weil es aktuell keine vergleichbare Video-Lösung gibt, um geschützte Videos für Datenschutz-Coaching-Mitglieder zur Verfügung zu stellen.

Für andere Nutzer ist Art. 6 Abs. 1 lit. f) DSGVO Rechtsgrundlage für die Übermittlung der technisch erforderlichen Daten an Vimeo.

Um ein angemessenes Datenschutzniveau bei der Übermittlung von Daten in die USA zu gewährleisten, habe ich die EU-Standardvertragsklauseln mit dem Anbieter von Vimeo in der sog. „Controller to Controller“-Variante abgeschlossen. Als weitere Schutzmaßnahmen binde ich Videos von Vimeo grundsätzlich in der „Do Not Track“-Variante ein, so dass personenbezogene Daten nur in minimaler Weise an Vimeo übermittelt werden. Darüber hinaus hat der Anbieter von Vimeo sich mir gegenüber verpflichtet, weiterhin die selbst auferlegten Pflichten aus dem ehemaligen sog. Privacy Shield Abkommen bzw. jetzt EU-U.S. Data Privacy Framework einzuhalten.

Für die Einbindung von Videos setzen wir außerdem das Content Delivery Network „bunny.net“ ein. „bunny.net“ ist ein Service des EU-Anbieters „BunnyWay d.o.o.“ mit Sitz in Slowenien. Die Speicherung unserer Videodaten erfolgt dabei in der EU und auch in den USA. Abhängig vom jeweiligen Ort des Abrufs durch den Nutzer werden die Videodaten entweder aus von „bunny.net“ genutzten Rechenzentren in der EU oder den USA abgerufen. Wenn sich eine Nutzerin oder ein Nutzer in der EU befindet, werden die Daten in aller Regel aus dem deutschen Rechenzentrum bzw. einem anderen Rechenzentrum in der EU abgerufen. Wir haben mit der „BunnyWay d.o.o.“ einen Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO abgeschlossen. Sollte sich die Einbindung von Videos via „bunny.net“ bewähren, werden wir künftig den Großteil der eigenen, neu hochgeladenen Videos über diesen Dienst einbinden.

Veranstaltungs- und Terminhinweise

Ich verwende für die Verwaltung und Anzeige von Terminen eine Applikation, die auch eine Einbindung von Google Maps hat. Die Funktion habe ich jedoch deaktiviert.

Datenverarbeitung im Zusammenhang mit Podcasts

Ich biete ja schon seit geraumer Zeit einen Podcast an. Den findest du z.B. auch hier bei iTunes. Der sog. Podcast-Feed wird bei dem Anbieter „podigee gehosted. „podigee“ ist ein Dienst aus Deutschland und tatsächlich mal eine Alternative zu US-Anbietern und dann wähle ich gerne die EU-Variante.

Wenn du den Podcast-Beitrag aufrufst und anhörst, binde ich diesen über ein Script von „podigee“ ein. Hierbei werden Server von „podigee“ bzw. von Dienstleister von „podigee“ aufgerufen und die Inhalte über ein sog. Content Delivery Network (CDN) in deine Endgeräte bringen.

Ich habe mit der „Podigee GmbH“ („podigee“) einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Um dir das „Abonnieren“ des Podcasts zu erleichtern, nutzt „podigee“ eine Funktion von „Podlove“, bei der auch Server von „Podlove“ aufgerufen werden. Art und Umgang der insoweit sehr geringen Datenverarbeitung kannst du den entsprechenden Hinweisen von Podlove entnehmen.

Benutzerkonto („Account“) & Registrierung

Wenn du ein Benutzerkonto auf dieser Seite eingerichtet hast, werden die von dir gemachten Angaben für die Dauer des Nutzungsverhältnisses gespeichert. Im Hinblick auf die jeweils erforderlichen Pflichtangaben verweise ich auf meine AGB, aus denen sich entsprechende Angaben entnehmen lassen.

Manchmal nutze ich auch weitere Benutzerregistrierungsformulare, mit denen ggf. andere Angaben erhoben werden.

In deinem Benutzerkonto werden die von dir getätigten Bestellungen und insbesondere auch die von dir absolvierten Online-Kurse, der Lernfortschritt und ggf. auch die Zertifikate zu deinen Online-Kursen gespeichert.

Wenn du ein Benutzerkonto anlegst, werden dir auch sog. Transaktions-Mails von meiner Internetseite zugesendet. Transaktions-Mails sind z.B. E-Mails, in denen du gebeten wirst, deine E-Mail-Adresse für einen „Double-Opt-In“ zu verifizieren, dir ein Link zur Passwort-Zurücksetzung über die „Passwort vergessen“-Funktion gesendet wird, du über neu verfügbare Lektionen eines von dir belegten Online-Kurses informiert wirst, die Bestätigung eines Kaufs, einer Mitgliedschaft, die Buchung eines Besprechungstermins über meine Internetseite usw.

Auch wenn du Mitglied in einem meiner „Datenschutz-Coaching“-Programme bist, werden dir E-Mails zu großen Teilen über einen von mir genutzten Mailing-Dienstleister versendet. Wenn du z.B. an einem Online-Coaching teilnimmst, dann wirst du Hinweise zu anstehenden Terminen (Webinare, Coachings etc.) per E-Mail erhalten.

Fast alle automatisch versendeten E-Mails oder nicht individuell nur an dich gerichteten E-Mails (Transaktions-Mails, Newsletter für Teilnehmer meiner Membership-Programme etc,) werden in der Regel über den US-Anbieter Sendgrid (s.u. „transaktionale E-Mails“) versendet.

Wenn du dein Benutzerkonto löschen lassen möchtest, kannst du dich jederzeit gerne an mich wenden. Bitte beachte jedoch, dass zumindest bei vorgenommen kostenpflichtigen Bestellungen für bestimmte Daten Aufbewahrungspflichten (z.B. nach HGB und AO) bestehen. In diesen Fällen tritt an die Stelle der Löschung der Daten eine Sperrung.

Rechtsgrundlage der Verarbeitung für die Aussendung von E-Mails ist beim Newsletter „Datenschutz-Tipps“ § 7 UWG. Die vor- und nachgelagerte Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Vorbereitung von Newsletter-Versand, Pflege von Sperrlisten und Abmeldungen.

Bei E-Mails, die an registrierte Nutzer, Kursteilnehmer und Datenschutz-Coaching-Mitglieder versendet werden, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Meine „User“ erhalten auf diesem Wege Informationen, die Gegenstand meiner vertraglichen Leistungen sind.

Nutzungsdaten

Wenn du dich auf der Internetseite anmeldest, speichern wir Datum und Uhrzeit der Anmeldung. Wir speichern diese Daten grundsätzlich für 31 Tage. Datum und Uhrzeit deines letzten Logins speichern wir für solange, bis dein User-Account gelöscht wird.

Wir nutzen diese Information, um z.B. erkennen zu können, wenn Accounts über 30 Tage inaktiv sind. Dies kann ein Anzeichen dafür sein, dass unsere E-Mails nicht ankommen, der Account nicht genutzt wird und wir uns dann ggf. bei den betreffenden Datenschutz-Coaching-Mitglieder melden, um individuell nachzufragen, ob wir etwas besser machen können.

Wir nutzen Nutzungsdaten zudem, um erkennen zu können, ob unsere Leistungen missbräuchlich in Anspruch genommen werden. Und letztlich verarbeiten wir Nutzungsdaten auch zur Fehlererkennung und -behebung und für Zwecke der Datensicherheit. Wir sehen uns regelmäßig Logfiles an, um dort verdächtige Zugriffe zu erkennen und um dann entsprechende Schutzmaßnahmen zu ergreifen.

E-Mail

Wenn du mir eine E-Mail sendest, werden diese Daten von mir gespeichert. Jeweils zum Jahresende wird geprüft, ob eine weitere Speicherung erforderlich ist oder Aufbewahrungspflichten für die E-Mails bestehen. Abhängig davon werden E-Mails weiter gespeichert oder gelöscht.

Newsletter „Datenschutz-Tipps“

Wenn du den Newsletter „Datenschutz-Tipps“ abonnierst, werden die E-Mails derzeit auf einem Server von uns verarbeitet. Für den reinen Versand der Newsletter-Mails nutzen wir Amazon SES in der Rechenzentrumsregion Frankfurt a.M.

Details dazu kannst du in den speziellen Datenschutzhinweisen zum Newsletter nachlesen.

Coaching-Mails

Für meine Datenschutz-Coaching-Mitglieder (und ggf. andere Nutzer kostenpflichtiger Leistungen) versende ich sog. Coaching-Mails. Das sind E-Mails, in denen z.B. bestimmte Datenschutzthemen besprochen werden oder auch Einwahllinks zu Webinaren oder den sog. Office Hours versendet werden. Jedes Datenschutz-Coaching-Mitglied wird automatisch in diesen Verteiler eingetragen. Die E-Mails werden durch Sendgrid (s.u. „transaktionale E-Mails“) versendet.

Webinare & Office Hours

Ich biete auf dieser Website auch Webinare und für Datenschutz-Coaching-Mitglieder sog. „Office Hours“ – eine Art von Online-Sprechstunde – an. Hier benötige ich Technologie, mit der die Webinare und „Office Hours“ durchgeführt werden.

Da Zahl der Teilnehmenden in den Webinaren häufig weit über 300 Personen liegt, verwenden wir unterschiedliche Tools, um allen Teilnehmenden die Inhalte darstellen zu können. Bei der Auswahl der jeweiligen Webinar- und/oder Meeting-Tools tragen wir Sorge dafür, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO steht. Hinweise zu dem jeweils aktuell verwendeten Tool findest du dann in den jeweiligen Infos zur Veranstaltung.

Bei den o.g. Zahlen von Teilnehmenden sind wir für eine verlässliche Durchführung der Webinare und Office Hours derzeit auf US-Dienstleister angewiesen. Wir haben immer wieder EU-Alternativen ausprobiert, die jedoch entweder nicht die von uns benötigten technischen „Features“ oder nicht über die erforderliche Verlässlichkeit bei der Größenordnung verfügten.

Transaktionale E-Mails

Sog. „transaktionale“ E-Mails (wie z.B. Bestellbestätigungen und weitere E-Mails, die vom Shop-System oder Webserver versendet werden) werden über den US-Dienstleister SendGrid versendet.

Der Versand über einen spezialisierten Dienstleister ist hier erforderlich, um die Zustellung der E-Mails zu deinem E-Mail-Account zu gewährleisten und nach Möglichkeit auch die Wahrscheinlich dafür zu senken, dass diese E-Mails von deinem E-Mail-Provider als „Spam“ eingestuft werden.

Gerade bei Transaktions-Mails ist es extrem wichtig für mich, dass du diese Mails (z.B. eine Kaufbestätigung) auch erhältst. Ein normaler Versand über z.B. die PHP-Skriptfunktionen des Webservers ist hierfür keine gleich geeignete Alternative. Rechtsgrundlage für die Zusendung dieser Transaktions-E-Mails ist Art. 6 Abs. 1 lit. b) DSGVO.

Wir haben mit „SendGrid“ eine vertragliche Vereinbarung zur Verarbeitung der Daten i.S.d. Art. 28 DSGVO abgeschlossen. Das angemessene Datenschutzniveau ist durch das EU-U.S. Data Privacy Framework gewährleistet (s.o.).

Forum

Auch die verwendete Forensoftware sowie die verwendeten Datenbanken werden auf meinem Webserver mit Standort in Deutschland betrieben.
Wenn das Forum erstmalig von einem Datenschutz-Coaching-Mitglied aufgerufen wird, wird ein Account in der Forensoftware angelegt.
Um die Funktionalitäten des Forums anbieten und auch die Regeln der Forennutzung überwachen und durchsetzen zu können, werden personenbezogenen Daten der Forum-Nutzer verarbeitet.

Ferner kommen auch Cookies zum Einsatz, um die Forenfunktionalitäten für Datenschutz-Coaching-Mitglieder zu steuern. Neben reinen Session-Cookies kommen auch persistente Cookies zum Einsatz, um Benachrichtigungs-Funktionen und einer kontinuierliche Sitzungssteuerung zu ermöglichen.

Außerdem wird sog. „Local Storage“ in deinem Browser verwendet. Dies erfolgt insbesondere, um Nachrichtenentwürfe auf deinem Endgerät zwischenzuspeichern. Wir selbst haben auf diese Daten keinen Zugriff.

Ein Nutzer des Forums kann die sog. „Anzeigenamen“ (Display Names) von anderen Nutzer sehen. Daher habe ich Sorge dafür getragen, dass jeder Nutzer seinen Anzeigenamen selbst wählen kann. Die Frequenz des Wechsels ist jedoch limitiert, um eine für andere Foren-Nutzer nachvollziehbare Forendiskussion gewährleisten zu können.

Die IP-Adressen von Nutzeraktionen werden für einen Zeitraum von drei Tagen gespeichert, um die Einhaltung der Forenregeln gewährleisten zu können.

Aufgrund des Funktionsumfangs ist es schwerlich möglich, hier jede einzelne Verarbeitung von Daten feingranular darzulegen. Daher schlage ich vor, dass du dich bei Fragen zur Datenverarbeitung im Kontext mit dem Forum einfach an mich wendest. Natürlich kannst du deinen Account im Forum auch jederzeit löschen lassen.

Der Versand von E-Mail-Forenbenachrichtigungen erfolgt über den Dienst „SendGrid“ aus den USA (s.o.). Aktuell bietet die verwendete Software nur eine Schnittstelle zu „SendGrid“. Daher gab es hier keine Alternativen für den Versand von Forenbenachrichtigungen.

Support

Wenn Du eine E-Mail an support (at) datenschutz-guru.de sendest, erfolgt die Verarbeitung bei Daten auf den Servern des deutschen Providers „mailbox.org“ der Heinlein Support GmbH aus Berlin.

Natürlich haben wir mit der Heinlein Support GmbH einen Auftragsverarbeitungsvertrag abgeschlossen, der den Anforderungen des Art. 28 DSGVO entspricht.

CRM

Die drei Buchstaben CRM stehen für „Customer Relationship Management“. Und ich gebe zu, dass ich lange Zeit gedacht habe, dass ich so etwas nicht benötige. Aber am Ende geht es dann noch nicht ohne.

Beispiel: Wir veranstalten eine Schulung mit 30 Teilnehmenden. Zur Vorbereitung senden wir teilweise E-Mail-Sequenzen vor und nach der Schulung, die teil-automatisiert ablaufen. Ja, das kann man auch von Hand machen, ist aber unwahrscheinlich fehlerbehaftet. Und um hier sicherzustellen, dass niemals eine Teilnehmerliste fälschlicherweise in „CC“ (statt BCC) landet, ist damit jetzt Schluss. Wenn du jetzt also z.B. eine Schulung in Hamburg im Online-Shop buchst, bekommt dein User-Account einen „Tag“, also ein Schlagwort, mit dem wir im CRM-System eine Zuordnung zur Schulung und den damit verbundenen E-Mails vornehmen können.

Die Datenverarbeitung findet dabei allerdings nur auf unserem eigenen Server im Rechenzentrum statt. Insoweit gibt es da keine Besonderheiten.

Downloads & Dateien

Wir bieten auf unseren Internetseiten eine Reihe von Downloads und Dateien an. Dies kann auch Videodateien beinhalten. Die Downloads befinden sich in aller Regel auf unserem Server.

Verantwortlicher im Sinne der DSGVO ist:

Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany
Telefon: +49 461 406 82 45 0
Fax: +49 461 406 82 45 9
E-Mail: support (at) datenschutz-guru.de

Empfänger / Weitergabe von Daten

Sofern das nicht oben bereits erwähnt wurde, werden Daten, die du mir gegenüber angibst, grundsätzlich nicht an Dritte weitergegeben. Insbesondere werden deine Daten nicht an Dritte für deren Werbezwecke weitergegeben.

Ich setze jedoch ggf. Dienstleister für den Betrieb dieser Internetseiten oder für z.B. E-Mail-Dienste ein. Hier kann es vorkommen, dass ein Dienstleister Kenntnis von personenbezogenen Daten erhält. Ich wähle meine Dienstleister sorgfältig – insbesondere im Hinblick auf Datenschutz und Datensicherheit – aus und treffe alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

Im Online-Shop setzen wir auch den Dienstleister „stripe“ (Stripe Payments Europe, Limited – Irland) als Zahlungsdienstleister ein. Für Zwecke der Missbrauchs- und Betrugserkennung werden im Shop-Bereich auch Server von „stripe“ aufgerufen. Im Falle einer Bezahlung mit Kreditkarte oder bei wiederkehrenden Leistungen per SEPA-Lastschrift erfolgt die Zahlungsabwicklung durch „stripe“.

Für den Fall, dass du Waren oder Dienstleistungen kaufst, geben wir deine Daten zudem an unsere Dienstleister im Bereich Banken, Steuern & Steuerberatung sowie – im Rahmen der gesetzlichen Vorgaben – an die Finanzverwaltung weiter.

Datenverarbeitung außerhalb der Europäischen Union

Außer in den o.g. Fällen findet eine Datenverarbeitung außerhalb der europäischen Union grundsätzlich nicht durch mich statt.

Datenschutzbeauftragter

Ich nehme das Thema Datenschutz (auch als Rechtsanwalt) besonders ernst. Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen und haben auch keinen Datenschutzbeauftragten benannt.

Deine Rechte als Betroffene/r

Du hast das Recht auf Auskunft über die Dich betreffenden personenbezogenen Daten. du kannst Dich für eine Auskunft jederzeit an mich wenden.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht anderweitig sicher verifiziert werden kann, musst du damit rechnen, dass ich Nachfragen stelle. Ich muss sicherstellen, dass du die Person bist, für die du Dich ausgibst.

Ferner hast du ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dir das gesetzlich zusteht.

Natürlich hast du auch ein Recht auf Datenübertragbarkeit. Hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.

Widerspruchsrecht

Schließlich hast du ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben (Art. 21 DSGVO).

Insbesondere wenn du ein Widerspruchsrecht gegen eine Verarbeitung deiner Daten auf Basis meiner Interessenabwägung geltend machen möchtest, musst du damit rechnen, dass ich das genau prüfen werde.

Ich habe meine Interessenabwägungen hier sorgfältig vorgenommen. Also den Art. 21 DSGVO bitte genau lesen und damit rechnen, dass ich auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO stellen werde.

Löschung von Daten

Ich lösche personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Registrierte Nutzer können davon ausgehen, dass Daten über einen Kauf für 10 Jahre aufbewahrt werden.

Für Nutzer-Accounts gilt Folgendes: Wenn der Account nicht mehr aktiv ist, wird spätestens nach 12 Monaten eine Prüfung erfolgen, ob der Account gelöscht werden kann. Eine Löschung kommt nicht in Betracht, wenn das zugrundeliegende Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen meinerseits bestehen.

Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, Dich über die Verarbeitung personenbezogener Daten durch mich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Ich habe ja regelmäßig für Mandanten mit Aufsichtsbehörden zu tun. Das wäre dann mal eine neue Erfahrung. Also: Nur zu!

Änderung dieser Datenschutzhinweise

Ich überarbeite diese Datenschutzhinweise bei Änderungen an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findest du stets auf dieser Internetseite.

Wenn du Fragen zum Datenschutz hast, kannst du Dich gerne an mich wenden.

Stand: 09.01.2024