Datenschutzhinweise

Das ist jetzt natürlich so eine Sache… – da betreibe ich (bzw. meine Datenschutz-Guru GmbH) eine Internetseite zum Datenschutz und möchte (und muss) natürlich auch den Informationspflichten aus der Datenschutz-Grundverordnung (DSGVO) nachkommen. Und da schaut vielleicht die eine oder andere Person auch etwas genauer hin. Frei nach dem Motto: Ja, wie macht denn dieser „Hansen-Oest“ das selbst…?

Meine erste Überlegung bei diesen Hinweisen:

Wir haben alle keine Zeit.

Ja…so traurig wie es ist. Kaum jemand hat die Zeit, sich diesen „Datenschutzkram“ durchzulesen. Letztlich geht es allenfalls darum, ob ich dem Unternehmen oder der Person, die die Internetseite betreibt, vertraue oder nicht. Seth Godin hat es einmal ganz treffend formuliert, worum es beim Thema „Datenschutz“ für Menschen eigentlich geht. Sinngemäß formulierte er es so: „Wir möchten nicht unerwartet überrascht werden…“

Volltreffer! Denn genau darum geht es (auch). Als Besucher oder Nutzer einer Internetseite ist es sehr häufig nicht primär wichtig, dass jemand etwas macht. Sondern vielmehr geht es darum, dass es nicht überraschend, nein unerwartet überraschend ist. Und auch wenn es kaum zu glauben ist, hat das Datenschutzrecht im „materiellen Sinne“ meist tatsächlich etwas mit „GM“ zu tun („GM“ steht bei mir immer für Gesunder Menschenverstand“).

Das ist jetzt aber weniger „Recht“, sondern vielmehr meine Meinung zu „Verhalten“ und „Erwartungen“ von Besuchern oder Nutzern meiner Internetseite. Und jetzt schreibe ich hier schon wieder soviel…und dabei hast du doch wahrscheinlich keine Zeit.

Eines vorab: Hier wird geduzt. Neulich schrieb uns ein Hotel, dass sie das „respektvolle Du“ verwenden. Das gefällt mir. Denn so handhabe ich das auch. Ich finde ein „du“ einfach netter und es passt hier oben bei uns in Flensburg zu unserer Nähe zu Skandinavien. Und auch ein „du“ kann verbindlich sein. Verspreche ich.

Wenn du keine Zeit und/oder Muße hast, das hier alles zu lesen (ja, es ist viel), dann möchte ich dir im Hinblick auf möglicherweise „unerwartet Überraschendes“ kurz diese Schnellhinweise geben:

1. Die Datenverarbeitung ist bei Besuchern und registrierten Nutzern dieser Internetseite unterschiedlich.

Wenn du diese Internetseite als nicht-registrierter Besucher anschaust, passiert wenig Spektakuläres mit deinen personenbezogenen Daten. In Kürze passiert das hier:

  • Damit du dir die Seite ansehen kannst, wird deine IP-Adresse vom Webserver für die Dauer des Besuchs verarbeitet.
  • Die Applikation, mit der diese Seite betrieben wird („Wordpress“ + Plugins) speichert einige Zugriffsarten auf diese Internetseiten für 14 Tage. Geloggt werden fehlerhafte Anmeldeversuche, Zugriffsversuche auf nicht existente Inhalte („404 Detection“) und Sperrungen von IP-Adressen von fehlerhaften Anmeldeversuchen. Bei einem „normalen“ Besuch dieser Internetseite wird also in der Regel gar nichts zu deiner Person gespeichert.
  • Für meine sog. Coaching-Mails für Datenschutz-Coaching-Mitglieder kommt Mailchimp zum Einsatz.
  • Ein Webanalyse-System ist aktuell nicht im Einsatz.
  • Personenbezogene Daten von „Besuchern“ bekomme ich in der Regel nur, wenn mein (übrigens sehr empfehlenswerter -haha) Newsletter abonniert wird. Kannst du übrigens hier machen. Und da gibt es auch spezielle Datenschutzhinweise zum Newsletter, die du dann in Ruhe lesen darfst.

Für die registrierten Benutzer findet dann allerdings schon eine ganze Menge mehr an Datenverarbeitung statt. Da verweise ich dich wohl oder übel mal weiter nach unten, wo es um die Datenverarbeitung von registrierten Nutzern geht.

2. Die Datenverarbeitung findet primär in der EU statt

Mein Webserver steht in Deutschland und befindet sich im Rechenzentrum eines deutschen Unternehmens („Mittwald“). Und ja…ich habe mit dem Provider einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Gleichwohl binde ich z.B. Videos über Vimeo (manchmal auch YouTube) ein. Vimeo ist ein Dienstleister aus den USA. Und nein, es gibt keine für mich vergleichbare Alternative aus der EU. Schade, ist aber so. Ich habe es probiert.

3. Die wenigen Cookies, die ich nutze, sind erforderlich

Cookies werden für Besucher nur primär zur Steuerung von bestimmten Sessions genutzt. So nutze ich z.B. zur Darstellung bestimmter Datenbankinhalte eine „Darstellungs-Schicht“, deren Steuerung (wie „Vor- und Zurückblättern“) über Session-Cookies abgewickelt wird. Das ist jetzt nicht wirklich böse oder gar ein „Tracking“.

Ansonsten können Cookies z.B. im Bereich des Online-Shops angewendet werden. Aber da sind wir dann schon im Bereich der „Vertragsanbahnung“. Die Cookies sind in dem Zusammenhang „unerlässlich“ zum Abschluss eines Vertrages. Und die haben in der Regel auch nur eine Maximal-Lebensdauer von zwei Tagen. Sind sozusagen doppelte Eintagsfliegen. Kann man das so sagen? Egal…du weißt, was ich meine…denke ich.

Wenn ich ein Video einbette, kann es übrigens auch dazu kommen, dass Cookies gesetzt werden. Von dem jeweiligen Videoservice-Anbieter.

4. Rechtsgrundlagen der Verarbeitung von Besucherdaten

Rechtsgrundlage für die Verarbeitung von reinen Besucherdaten ist Art. 6 Abs. 1 lit. f) DSGVO. Das ist die sog. Datenverarbeitung auf Basis einer Interessenabwägung.

Mein Interesse ist der sichere und funktionsfähige Betrieb dieser Website. Das reicht. Ach nein…ich muss das ja noch mit deinem Interesse als Besucher abwägen. Habe ich aber getan. Schon bei der „Planung“ dieser Website. Und was soll ich sagen? Mein Interesse überwiegt. Passt dir nicht? Dann solltest du dich mit deinem Browser besser jetzt auf eine andere Seite begeben. Die Wahrscheinlichkeit ist allerdings recht hoch, dass da wesentlich mehr mit deinen personenbezogenen Daten gemacht wird.

Hinzu kommt übrigens, dass ich einen Teil dieser Daten auch benötige, um die von mir nach Art. 32 DSGVO zu gewährleistende Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten.

Bezüglich deiner Betroffenenrechte kannst du dich weiter unten in den Datenschutzhinweisen informieren. Nur ganz kurz: Personenbezogene Daten, die ich dir zuordnen und damit auch Auskunft erteilen könnte, habe ich von dir nicht, wenn du reiner Besucher dieser Seite bist. Natürlich kannst du dennoch gerne Auskunft verlangen. Ich schaue dann, ob ich etwas an personenbezogenen Daten zu dir finden kann. Ich sag nur: Chuck Norris (s.o.)

Anders sieht das aus, wenn du mir eine E-Mail geschrieben hast. Dann bist du aber nicht mehr einfacher Besucher der Seite, sondern hast einen Kommunikationskontakt mit mir. Das ist also eine andere Baustelle als diese Website.

Nun aber im Detail:

Ja…dann fangen wir mal mit einer Beschreibung dessen an, was hier so an Verarbeitung personenbezogener Daten passiert. Gegliedert ist das jeweils nach Datenarten bzw. Verarbeitungszwecken.

Welche Daten werden verarbeitet?

IP-Adressen

Auf dieser Website werden grundsätzlich keine vollständigen IP-Adressen von reinen Besuchern der Website gespeichert bzw. unverzüglich nach Ende der Nutzung der Website gelöscht (zu den Ausnahmen, s.u.). Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile (Access-Log und Error-Log) standardmäßig das letzte Oktett der IP-Adresse gelöscht wird. So wird aus der IP-Adresse „127.0.0.123“ z.B. die Adresse „127.0.0.1" gespeichert wird. Eine Herstellung eines Personenbezuges ist für mich dann nicht mehr möglich.

Und natürlich gibt es von jedem Grundsatz Ausnahmen. Und das sind vor allem diese:

Bei fehlerhaften Anmeldeversuchen wird die IP-Adresse für 14 Tage gespeichert. Dies wird gemacht, um Hacking-Versuche zu unterbinden und zu analysieren. Ferner werden diese Daten bei registrierten Benutzern benötigt, um z.B. technische Fehler bei der Anmeldung analysieren und beheben zu können. Und ja…ich habe versucht, mit 7 Tagen Speicherdauer auszukommen. Und nein, es reicht nicht. So konnte z.B. in einem Fall erst ab einer Speicherdauer von 14 Tagen vernünftig analysiert werden, wie regelmäßig Hacking-Versuche (in dem Fall aus Osteuropa) ablaufen. Und dann wurden Sperrungen auf Basis von IP-Adressen vorgenommen.

Apropos: Wenn ein Besucher oder Nutzer der Internetseiten mehrfach ein Passwort falsch eingibt oder sich mit „einschlägigen“ Administrator-Benutzernamen anzumelden versucht, erfolgt sofort eine Sperre auf Basis der IP-Adresse. Wenn eine Analyse ergibt, dass ein Besucher der Website versucht, rechtswidrig Zugang zu meiner „Plattform“ (diese Internetseiten) zu bekommen, erfolgt eine längere Speicherung der IP-Adresse, um die IP-Adresse zu sperren. Die Speicherdauer lege ich anlassbezogen nach Durchführung einer Verhältnismäßigkeitsprüfung fest.

Außerdem werden IP-Adressen von Besuchern im Rahmen einer sog. „404 Detection“ gespeichert. Speicherdauer sind auch hier 14 Tage. Wer sich ein bisschen mit Hacking beschäftigt, wird wissen, dass ein Hack häufig damit zu tun hat, dass man versucht, Inhalte aufzurufen, die es nicht gibt. Alles Weitere würde zu weit führen. Wichtig für dich: Im Rahmen einer Interessenabwägung überwiegen hier meine Interessen im Hinblick auf die Verarbeitung dieser Daten.

Wenn du Kunde bzw. registrierter Benutzer dieser Internetseite bist, dann wird die IP-Adresse, die deinem Endgerät beim Vertragsschluss zugewiesen war, bis zur Beendigung des Vertragsverhältnisses gespeichert. Gleiches gilt, wenn du ein Download-Produkt erworben hast. Dann werden der Zeitpunkt und die IP-Adresse, von dem aus der Download erfolgt ist, solange gespeichert, wie du registrierter Nutzer dieser Internetseite bist.

Gleiches gilt auch beim Abonnement eines E-Mail-Newsletters. Auch hier wird die bei der Registrierung verwendete IP-Adresse gespeichert.

Rechtsgrundlage für die Verarbeitung dieser Daten ist übrigens im Hinblick auf reine Besucher dieser Internetseite Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse ist hier die Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die über diese Internetseiten verarbeitet werden.

Für registrierte Nutzer dieser Internetseiten ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Es ist meine vertragliche Pflicht, die Maßnahmen zu treffen, die zur Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten von Nutzern erforderlich sind. Und das nehme ich ausgesprochen ernst.

Cookies

Diese Internetseite verwendet zum Teil Cookies. Cookies sind kleine Textinformationen, die über Deinen Browser im Endgerät als Datei gespeichert werden. Cookies sind nicht grundsätzlich böse, sondern erlauben Userinteraktionen und auch sonstige sinnvolle Sachen.

Wir können mit Cookies auch böse Sachen machen, was hier aber (natürlich) nicht passiert. Es kommen insbesondere keine Flash-Cookies zum Einsatz (insbesondere kein "Respawning" von Cookies). Im Bereich des „Forums“ für Datenschutz-Coaching-Mitglieder kommen zwingend notwendige Cookies und auch solche zum Einsatz, die vom Benutzer ausdrücklich verlangt werden.

Applikations-Cookies

Die hier eingesetzte Software verwendet Cookies. Bei reinem Besuch der Website werden keine Cookies im Browser des Besuchers gesetzt. Wenn du aber z.B. einen Kommentar zu einem Artikel über die Kommentarfunktion übermittelt hast, wird ein Cookie gesetzt. In dem Cookie wird aber nicht deine IP-Adresse gespeichert. Die Lebenszeit des Cookies ist zudem beschränkt und liegt in jedem Fall stets nicht über einem Jahr.

Darüber hinaus verwendet auch die von mir eingesetzte Software für Online-Kurse und für mein Datenschutz-Coaching Cookies. Diese werden meist nur für die Dauer der Sitzung („Session-Cookies“) verwendet, um z.B. deine Bestellung oder Deinen „Angemeldet-Status“ zu speichern bzw. die sog. „Session“ zu managen. Es kommt aber ggf. auch vor, dass persistente Cookies verwendet werden, um z.B. deine Antworten in Online-Prüfungen für dich zwischenzuspeichern.

Wenn du einen Benutzer-Account auf meiner Internetseite hast und du beim Anmelden die „Remember Me“- bzw. „Angemeldet bleiben“-Funktion aktiviert hast, dann wird ein dauerhaftes Cookie (für ca. 10 Tage) im Browser deines Endgerätes gesetzt, das dafür sorgt, dass die Website dich auch beim nächsten Aufruf erkennt. Dieses Cookie kannst du jederzeit wieder über die Einstellungen in deinem Browser löschen.

Cookies kommen ferner auch zum Einsatz, wenn du ein Benutzerkonto auf meiner Internetseite einrichtest und als Benutzer angemeldet bleibst, dich also nicht ausloggst/abmeldest.

Du kannst diese Applikations-Cookies blockieren, in dem du in deinem Browser das Setzen von Cookies durch meine Internetseite (datenschutz-guru.de) blockierst. Ich weise jedoch darauf hin, dass die Seite dann nicht mehr – insbesondere im Hinblick auf die Nutzung der Online-Kurse und die Verwendung von dir gekaufter Leistungen (z.B. Datenschutz-Coaching-Inhalte) voll funktionsfähig genutzt werden kann.

Auch mein Online-Shop-System verwendet Cookies zur Warenkorb-Steuerung. Die Laufzeit dieser Cookies beträgt in der Regel maximal zwei Tage. Genau genommen gibt es nur ein Cookie, das kein reines sog. „Session-Cookie“ ist und damit nicht automatisch nach Beendigung des Besuchs der Seite gelöscht wird.

Allerdings setze ich einen Zahlungsdienstleister „stripe“ ein. Für die Schnittstelle zu diesem Anbieter können ggf. direkt von meiner Internetseite Cookies mit einer Laufzeit von 12 Monaten zum Einsatz kommen. Dies dient der Betrugs- und Missbrauchsprävention bei Online-Bezahlverfahren. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. f) DSGVO.

Im Hinblick auf die Kommentar-Cookie-Funktion ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Ermöglichen von Kommentaren

Bei den Cookies, die für registrierte Nutzer Anwendung finden, ist die Rechtsgrundlage Art. 6 Abs. lit. b) DSGVO. Mein Interesse: Erbringung meiner vertragsgemäßen Leistungen nebst Bedienkomfort

Webanalyse

Auf diesen Internetseiten findet derzeit keine Webanalyse statt. Wie ermitteln nur die Häufigkeit von Seitenaufrufen ohne jegliche Zuordnung zu einer Person oder einer ID. Das macht die Statistiken zwar ungenau. Wir testen aber derzeit, ob das dennoch für uns ausreicht.

Falls nicht, werden wir – wie zuvor – wieder unsere Matomo-Installation nutzen.

Vimeo & Hinweise zur Einbindung von Videos

Ich verwende auf dieser Internetseite gerne Videos. Videos sind eine gute Möglichkeit, um Inhalte besser zu transportieren und verständlicher zu machen. Da ein lokales Hosting von Videos nicht leistungsfähig genug ist, nutze ich die Möglichkeit von externen Video-Anbietern. Für meine eigenen Videos nutze ich vornehmlich Vimeo und ab und an auch YouTube. Außerdem binde ich auch gelegentlich andere Videos von externen Seiten ein. Auch hier kommen Drittanbieter zum Einsatz.

Durch die Einbindung der Video kommt es – technisch bedingt – zu Aufrufen der Server der Anbieter wie z.B. Vimeo. Für die damit verbundene Verwendung von Daten deines Browsers bzw. Endgerätes verweise ich auf die jeweiligen Datenschutzhinweise der Anbieter. Denn die sind für die entsprechende Datenverarbeitung verantwortlich. Die Datenschutzhinweise von Vimeo findest du z.B. hier: https://vimeo.com/privacy

Vimeo garantiert nach eigenen Angaben im Übrigen ein angemessenes Datenschutzniveau, indem sie die Vorgaben zum Privacy Shield einhalten (Privacy Shield Eintrag).

Veranstaltungs- und Terminhinweise

Ich verwende für die Verwaltung und Anzeige von Terminen eine Applikation, die auch eine Einbindung von Google Maps hat. Die Funktion habe ich deaktiviert. Ich kann jedoch nicht 100%ig ausschließen, dass dieses Terminverwaltung-Plugin in Einzelfällen doch noch Google Maps verwendet. Diese Fälle sollten jedoch dann sehr selten sein. Für diese Fälle gilt, dass beim Aufruf Programmbibliotheken bzw. Karteninhalte von Servern von Google aufgerufen werden. Diese Server befinden sich nach Angaben von Google in der Regel in den USA. Mir ist derzeit leider nicht bekannt, ob Google diesen Server-Request protokolliert und weiter verwertet. Ich gehe jedoch davon aus, dass auch diesbezüglich die Google Datenschutzhinweise gelten. Es wird daher wohl in jedem Fall deine IP-Adresse für einen Zeitraum von mehreren Monaten gespeichert.

Ein angemessenes Datenschutzniveau bei der Datenverarbeitung durch Google wird durch die Privacy Shield Zertifizierung von Google gewährleistet. Rechtsgrundlage für die Verarbeitung ist übrigens für mich Art. 6 Abs. 1 lit. f) DSGVO. du kannst durch sog. Blocker-Tools Aufrufe von Google-Servern unterbinden. Wesentliche Funktionseinschränkungen wirst du dadurch auf dieser Seite nicht haben.

Datenverarbeitung im Zusammenhang mit Podcasts

Ich biete ja schon seit geraumer Zeit einen Podcast an. Den findest du z.B. auch hier bei iTunes. Der sog. Podcast-Feed wird bei dem Anbieter „podigee gehosted. „podigee“ ist ein Dienst aus Deutschland und tatsächlich mal eine Alternative zu US-Anbietern und dann wähle ich gerne die EU-Variante.

Wenn du den Podcast Podcast-Beitrag aufruft und anhört, binde ich diesen über ein Script von „podigee“ ein. Hierbei werden Server von „podigee“ bzw. von Dienstleister von „podigee“ aufgerufen, die die Inhalte über ein sog. Content Delivery Network (CDN) in deine Endgeräte bringen.

Ich habe mit der „Podigee GmbH“ („podigee“) einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Um dir das „Abonnieren“ des Podcasts zu erleichtern, nutzt „podigee“ eine Funktion von „Podlove“, bei der auch Server von „Podlove“ aufgerufen werden. Art und Umgang der insoweit sehr geringen Datenverarbeitung kannst du den entsprechenden Hinweisen von Podlove entnehmen.

Benutzerkonto („Account“) & Registrierung

Wenn du ein Benutzerkonto auf dieser Seite eingerichtet hast, werden die von dir gemachten Angaben für die Dauer des Nutzungsverhältnisses gespeichert. Im Hinblick auf die jeweils erforderlichen Pflichtangaben verweise ich auf meine AGB, aus denen sich entsprechende Angaben entnehmen lassen.

Manchmal nutze ich auch weitere Benutzerregistrierungsformulare, mit denen ggf. andere Angaben erhoben werden.

In deinem Benutzerkonto werden die von dir getätigten Bestellungen und insbesondere auch die von dir absolvierten Online-Kurse, der Lernfortschritt und ggf. auch die Zertifikate zu deinen Online-Kursen gespeichert.

Wenn du ein Benutzerkonto anlegst, werden dir auch sog. Transaktions-Mails von meiner Internetseite zugesendet. Transaktions-Mails sind z.B. E-Mails, in denen du gebeten wirst, deine E-Mail-Adresse für einen „Double-Opt-In“ zu verifizieren, dir ein Link zur Passwort-Zurücksetzung über die „Passwort vergessen“-Funktion gesendet wird, du über neu verfügbare Lektionen eines von dir belegten Online-Kurses informiert wirst, die Bestätigung eines Kaufs, einer Mitgliedschaft, die Buchung eines Besprechungstermins über meine Internetseite usw.

Transaktionale E-Mails versende ich über den Dienst „SendGrid“ aus den USA. Der Versand über einen spezialisierten Dienstleister ist hier erforderlich, um die Zustellung der E-Mails zu deinem E-Mail-Account zu gewährleisten und nach Möglichkeit auch die Wahrscheinlich dafür zu senken, dass diese E-Mails von deinem E-Mail-Provider als „Spam“ eingestuft werden. Ich habe mit „SendGrid“ eine vertragliche Vereinbarung zur Verarbeitung der Daten i.S.d. Art. 28 DSGVO abgeschlossen. Das angemessene Datenschutzniveau ist durch Privacy-Shield-Zertifizierung von SendGrid und die Verwendung der EU-Standardvertragsklauseln gewährleistet. Gerade bei Transaktions-Mails ist es extrem wichtig für mich, dass du diese Mails (z.B. eine Kaufbestätigung) auch erhältst. Ein normaler Versand über z.B. die PHP-Skriptfunktionen des Webservers ist hierfür keine gleich geeignete Alternative. Rechtsgrundlage für die Zusendung dieser Transaktions-E-Mails ist Art. 6 Abs. 1 lit. b) DSGVO.

Auch wenn du Mitglied in einem meiner „Datenschutz-Coaching“-Programme bist, werden dir E-Mails zu großen Teilen über einen von mir genutzten Mailing-Dienstleister versendet. Wenn du z.B. an einem Online-Coaching teilnimmst, dann wirst du Hinweise zu anstehenden Terminen (Webinare, Coachings etc.) per E-Mail erhalten.

Fast alle automatisch versendeten E-Mails oder nicht individuell nur an dich gerichteten E-Mails (z.B. Newsletter für Teilnehmer meiner Membership-Programme) werden über Mailchimp versendet. Mailchimp ist ein Dienst der The Rocket Science Group LLC, einem Service in den USA, den ich auch für den Versand meines Newsletters verwende. Warum ich Mailchimp nutze, obwohl diese ihren Sitz in den USA haben, und ich dennoch überzeugt bin, dass es auch datenschutzrechtlich vernünftig ist, kannst du in meinen weiteren Informationen zu Mailchimp hier nachlesen. Der Einsatz von Mailchimp auf meiner Internetseite sorgt im Wesentlichen dafür, dass E-Mails verlässlich versendet werden und vor allem auch mit höherer Wahrscheinlichkeit nicht in deinem Spamfilter landen.

Das angemessene Datenschutzniveau für die Verarbeitung von Daten durch Mailchimp wird durch deren Privacy Shield Zertifizierung gewährleistet (Listeneintrag). Darüber hinaus habe ich einen Auftragsverarbeitungsvertrag mit Mailchimp abgeschlossen. Meine weiteren Infos zu Mailchimp kannst du hier nachlesen.

Wenn du dein Benutzerkonto löschen lassen möchtest, kannst du dich jederzeit gerne an mich wenden. Bitte beachte jedoch, dass zumindest bei vorgenommen kostenpflichtigen Bestellungen für bestimmte Daten Aufbewahrungspflichten (z.B. nach HGB und AO) bestehen. In diesen Fällen tritt an die Stelle der Löschung der Daten eine Sperrung.

Rechtsgrundlage der Verarbeitung für die Aussendung von E-Mails ist beim Newsletter „Datenschutz-Tipps“ § 7 UWG. Die vor- und nachgelagerte Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Vorbereitung von Newsletter-Versand, Pflege von Sperrlisten und Abmeldungen.

Bei E-Mails, die an registrierte Nutzer, Kursteilnehmer und Datenschutz-Coaching-Mitglieder versendet werden, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Meine „User“ erhalten auf diesem Wege Informationen, die Gegenstand meiner vertraglichen Leistungen sind.

E-Mail

Wenn du mir eine E-Mail sendest, werden diese Daten von mir gespeichert. Jeweils zum Jahresende wird geprüft, ob eine weitere Speicherung erforderlich ist oder Aufbewahrungspflichten für die E-Mails bestehen. Abhängig davon werden E-Mails weiter gespeichert oder gelöscht.

Coaching-Mails

Für meine Datenschutz-Coaching-Mitglieder (und ggf. andere Nutzer kostenpflichtiger Leistungen) versende ich sog. Coaching-Mails. Das sind E-Mails, in denen z.B. bestimmte Datenschutzthemen besprochen werden oder auch Einwahllinks zu Webinaren oder den sog. Office Hours versendet werden. Jedes Datenschutz-Coaching-Mitglied wird automatisch in diesen Verteiler eingetragen. Die E-Mails werden durch Mailchimp (s.o.) versendet.

Auch hier verweise ich wieder auf meine weiteren Infos zu Mailchimp.

Webinare & Office Hours

Ich biete auf dieser Website auch Webinare und für Datenschutz-Coaching-Mitglieder sog. „Office Hours“ – eine Art von Online-Sprechstunde – an. Hier benötige ich Technologie, mit der die Webinare und „Office Hours“ durchgeführt werden.

Nach vielen unglücklichen Versuchen mit anderen Anbietern nutze ich aktuell zoom, ein Dienst des US-Anbieters Zoom Video Communications, Inc..

Weitere Informationen zu meinem Einsatz von „zoom“ findest du hier.

Rechtsgrundlage für die Verarbeitung von Daten via „zoom“ ist Art. 6 Abs. 1 lit. b) DSGVO. Ich erbringe mit „zoom“ meine vertraglichen Leistungen, insbesondere für Datenschutz-Coaching-Mitglieder. Dies beinhaltet neben der Durchführung von Webinaren und „Office Hours“ auch die Nachbereitung von Teilnahmedaten für die Erstellung von z.B. Fortbildungsbescheinigungen für Datenschutz-Coaching-Mitglieder.

Das angemessene Datenschutzniveau bei der Zoom Video Communications, Inc. ist durch folgende Maßnahmen garantiert:

  • Die Zoom Video Communications, Inc. ist unter dem Privacy Shield zertifiziert (Eintrag hier).
  • Ich habe mit der Zoom Video Communications, Inc. einen Auftragsverarbeitungsvertrag auf Basis der EU-Standardvertragsklauseln abgeschlossen.

Forum

Auch die verwendete Forensoftware sowie die verwendeten Datenbanken werden auf meinem Webserver mit Standort in Deutschland betrieben.

Wenn das Forum erstmalig von einem Datenschutz-Coaching-Mitglied aufgerufen wird, wird ein Account in der Forensoftware angelegt.

Um die Funktionalitäten des Forums anbieten und auch die Regeln der Forennutzung überwachen und durchsetzen zu können, werden personenbezogenen Daten der Forum-Nutzer verarbeitet.

Ferner kommen auch Cookies zum Einsatz, um die Forenfunktionalitäten für Datenschutz-Coaching-Mitglieder zu steuern. Neben reinen Session-Cookies kommen auch persistente Cookies zum Einsatz, um Benachrichtigungs-Funktionen und einer kontinuierliche Sitzungssteuerung zu ermöglichen.

Ein Nutzer des Forums kann die sog. „Anzeigenamen“ (Display Names) von anderen Nutzer sehen. Daher habe ich Sorge dafür getragen, dass jeder Nutzer seinen Anzeigenamen selbst wählen kann. Die Frequenz des Wechsels ist jedoch limitiert, um eine für andere Foren-Nutzer nachvollziehbare Forendiskussion gewährleisten zu können.

Die IP-Adressen von Nutzeraktionen werden für einen Zeitraum von drei Tagen gespeichert, um die Einhaltung der Forenregeln gewährleisten zu können.

Aufgrund des Funktionsumfangs ist es schwerlich möglich, hier jede einzelne Verarbeitung von Daten feingranular darzulegen. Daher schlage ich vor, dass du dich bei Fragen zur Datenverarbeitung im Kontext mit dem Forum einfach an mich wendest. Natürlich kannst du deinen Account im Forum auch jederzeit löschen lassen.

Support

Das ist ein spezielles Thema, bei dem ich selbst sehr mit mir gerungen habe. Diese Internetseiten sind ja schon lange kein reiner Zeitvertreib mehr, sondern eine recht ordentliche Umsatzquelle. Mit steigenden Userzahlen wurden auch Supportanfragen immer zahlreicher. Irgendwann musste ich sehr schmerzlich bemerken, dass ein reiner Support durch E-Mail-Technologie nicht mehr ausreicht, um einen Support ordnungsgemäß und vor allem zur Erfüllung meiner vertraglichen Pflichten gegenüber kostenpflichtigen Usern dieser Seite zu erbringen. Also habe ich mich auf die Suche nach einem sog. Ticket-Management-System gemacht. Ich habe viele ausprobiert. Es hat sich sehr schnell herausgestellt, dass eine selbst gehostete Variante nicht in Betracht kommt, weil ich kein Personal habe (und auch nicht auf dem Markt finden könnte), dass zu akzeptablen Preisen den Support für ein solches Tool bewerkstelligen könnte. Dann habe ich mir verschiedene Softwarelösungen von europäischen Anbietern angesehen.

Bei einer Seite, die sich um das Thema Datenschutz dreht, schaue ich immer zunächst, ob es eine europäische Lösung gibt. Und es gibt auch einige europäische Ticket-Management-System-Anbieter. Allerdings stellte sich bei einigen heraus, dass auch diese wiederum Rechenzentren in den USA verwenden. Da fällt ein EU-Bonus bei der Auswahl schon wieder für mich weg. Bei anderen Anbietern hat die Benutzbarkeit bzw. das leichte Heranführen an die Nutzung durch künftige Mitarbeiter meines Teams gefehlt.

Entscheidend war vor allem letztlich für mich, dass sich das Ticket-Management-Tool gut mit den von mir auf meiner Internetseite ansonsten verwendeten Tools für Formulare, Supportanfragen und sonstige Anfragen verknüpfen lässt und gut bedienbar ist. Da hat sich die Auswahl irgendwann sehr schnell eingeengt. Und ich muss leider gestehen, dass hier ausschließlich (wieder einmal) nur US-Anbieter übrig blieben.

Ich habe mich schließlich für Help Scout entschieden, ein Dienst, der durch die Help Scout Inc. in den USA erbracht wird. Help Scout verwendet für seine Datenverarbeitung AWS-Rechenzentren von Amazon. Help Scout verwendet für alle ein- und ausgehenden E-Mails eine TLS-Verschlüsselung. Wenn Dein E-Mail-Provider bzw. Du für E-Mail durchgehend eine TLS-Verschlüsselung einsetzt, besteht damit eine gute Chance, dass die E-Mails recht sicher vor der unbefugten Kenntnisnahme durch Dritte versendet und empfangen werden können.

Wenn Du eine E-Mail an support (at) datenschutz-guru.de sendest oder den Chat auf der Seite nutzt, erfolgt die Verarbeitung bei Daten auf den Servern von Help Scout und kann da von mir oder Team-Mitarbeitern bearbeitet werden. So kann ich bzw. können wir Supportanfragen besser, schneller und vor allem organisiert beantworten.

Wenn du den Chat nutzt, sehe ich außerdem, auf von welcher Seite aus du den Chat aufgerufen hast.

Derzeit findest du jeweils rechts unten auf der Internetseite einen „Support-Button“. Diesen verwende ich wegen des derzeit deaktivierten Shops, um eine direkt Kontaktmöglichkeit für Besucher zu schaffen, die Interesse an Datenschutz-Coaching-Produkten haben. Leider verwendet dieses Chat-Tool auch Google-Webfonts, so dass insoweit auch Webserver von Google aufgerufen werden. Ich werde dieses Tool aller Voraussicht nach dann nach der Aktivierung des Online-Shops wieder von der Seite entfernen.

Über Help Scout organisieren wir den gesamten Support für die Datenschutz-Guru-Internetseite und deren Angebot.

Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit Help Scout ist für registrierte Mitglieder dieser Internetseiten Art. 6 Abs. 1 lit. b) DSGVO. Für Anfragen von nicht registrierten Mitgliedern ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage. Mein Interesse ist insoweit die Beantwortung von Anfragen von Nutzern bzw. Besuchern der Internetseite.

Das angemessene Datenschutzniveau bei Help Scout wird durch die Privacy Shield Zertifizierung von Help Scout (Listeneintrag) gewährleistet. Darüber hinaus habe ich eine vertragliche Vereinbarung zur Auftragsverarbeitung mit Help Scout abgeschlossen. Wichtig für mich war zudem, dass Help Scout das Thema Datenschutz in seiner DNA hat. Datenschutz wird dort ernst genommen. Ich habe mit langjährigen Kunden von Help Scout und deren Erfahrungen gesprochen. Und zum Thema DSGVO unterhält Help Scout eine Internetseite mit Informationen.

Arbeitsvorgänge in Help Scout werden von mir gelöscht, wenn deren Speicherung nicht mehr erforderlich ist. Starre Fristen gibt es nicht, weil ich regelmäßig durch Altvorgänge schaue und entscheide, ob geschlossene Tickets gelöscht werden können oder nicht. Das Ticket-Management-System dient allerdings auch der Qualitätssicherung und Fehlerbehebung. Daher liegt der Fokus nicht in der frühzeitigen Löschung.

Verantwortlicher im Sinne der DSGVO ist:

Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany

Telefon: +49 461 406 82 45 0
Fax: +49 461 406 82 45 9
E-Mail: support (at) datenschutz-guru.de

Empfänger / Weitergabe von Daten

Sofern das nicht oben bereits erwähnt wurde, werden Daten, die du mir gegenüber angibst, grundsätzlich nicht an Dritte weitergegeben. Insbesondere werden deine Daten nicht an Dritte für deren Werbezwecke weitergegeben.

Ich setze jedoch ggf. Dienstleister für den Betrieb dieser Internetseiten oder für z.B. E-Mail-Dienste ein. Hier kann es vorkommen, dass ein Dienstleister Kenntnis von personenbezogenen Daten erhält. Ich wähle meine Dienstleister sorgfältig – insbesondere im Hinblick auf Datenschutz und Datensicherheit – aus und treffe alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

Datenverarbeitung außerhalb der Europäischen Union

Außer in den o.g. Fällen findet eine Datenverarbeitung außerhalb der europäischen Union grundsätzlich nicht durch mich statt.

Datenschutzbeauftragter

Ich nehme das Thema Datenschutz (auch als Rechtsanwalt) besonders ernst. Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen und haben auch keinen Datenschutzbeauftragten benannt.

Deine Rechte als Betroffene/r

Du hast das Recht auf Auskunft über die Dich betreffenden personenbezogenen Daten. du kannst Dich für eine Auskunft jederzeit an mich wenden.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht anderweitig sicher verifiziert werden kann, musst du damit rechnen, dass ich Nachfragen stelle. Ich muss sicherstellen, dass du die Person bist, für die du Dich ausgibst.

Ferner hast du ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dir das gesetzlich zusteht.

Schließlich hast du ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Insbesondere wenn du ein Widerspruchsrecht gegen eine Verarbeitung Deiner Daten auf Basis meiner Interessenabwägung geltend machen möchtest, musst du damit rechnen, dass ich das genau prüfen werde. Ich habe meine Interessenabwägungen hier sorgfältig vorgenommen. Also den Art. 21 DSGVO bitte genau lesen und damit rechnen, dass ich auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO stellen werde.

Natürlich hast du auch ein Recht auf Datenübertragbarkeit. Auch hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.

Löschung von Daten

Ich lösche personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Registrierte Nutzer können davon ausgehen, dass Daten über einen Kauf für 10 Jahre aufbewahrt werden.

Für Nutzer-Accounts gilt Folgendes: Wenn der Account nicht mehr aktiv ist, wird spätestens nach 12 Monaten eine Prüfung erfolgen, ob der Account gelöscht werden kann. Eine Löschung kommt nicht in Betracht, wenn das zugrundeliegende Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen meinerseits bestehen.

Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, Dich über die Verarbeitung personenbezogener Daten durch mich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Ich habe ja regelmäßig für Mandanten mit Aufsichtsbehörden zu tun. Das wäre dann mal eine neue Erfahrung. Also: Nur zu!

Änderung dieser Datenschutzhinweise

Ich überarbeite diese Datenschutzhinweise bei Änderungen an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findest du stets auf dieser Internetseite.

Wenn du Fragen zum Datenschutz hast, kannst du Dich gerne an mich wenden.

Stand: 07.01.2020