Datenschutzhinweise

Das ist jetzt natürlich so eine Sache… – da betreibe ich (bzw. meine Datenschutz-Guru GmbH) eine Internetseite zum Datenschutz und möchte (und muss) natürlich auch den Informationspflichten aus der Datenschutz-Grundverordnung (DSGVO) nachkommen. Und da schaut vielleicht die eine oder andere Person auch etwas genauer hin. Frei nach dem Motto: Ja, wie macht denn dieser „Hansen-Oest“ das selbst…?

Wenn ich die nachfolgenden Zeilen meist in „Ich“-Form schreibe, hat das ganz einfach damit zu tun, dass ich hier derjenige bin, der am meisten mit den Daten umgeht, das ganze plant und auch umsetzt. Hier kommt keine Software zum Einsatz, die ich mir nicht zuvor angesehen und für gut befunden habe.

Da der EuGH in seinem Urteil vom 16.07.2020 (Az.: C‑311/18) die sog. „Privacy Shield“-Regelung für ungültig erklärt hat, greife ich hier bei der Verwendung einiger Dienste zum Notnagel des Art. 49 DSGVO. Dazu findest du entsprechende Hinweise bei den betreffenden Diensten.

Aber nun zum Thema „Datenschutz“….meine erste Überlegung bei diesen Hinweisen:

Wir haben alle keine Zeit.

Ja…so traurig wie es ist. Kaum jemand hat die Zeit, sich diesen „Datenschutzkram“ durchzulesen. Letztlich geht es allenfalls darum, ob ich dem Unternehmen oder der Person, die die Internetseite betreibt, vertraue oder nicht. Seth Godin hat es einmal ganz treffend formuliert, worum es beim Thema „Datenschutz“ für Menschen eigentlich geht. Sinngemäß formulierte er es so: „Wir möchten nicht unerwartet überrascht werden…“

Volltreffer! Denn genau darum geht es (auch). Als Besucher oder Nutzer einer Internetseite ist es sehr häufig nicht primär wichtig, dass jemand etwas macht. Sondern vielmehr geht es darum, dass es nicht überraschend, nein unerwartet überraschend ist. Und auch wenn es kaum zu glauben ist, hat das Datenschutzrecht im „materiellen Sinne“ meist tatsächlich etwas mit „GM“ zu tun („GM“ steht bei mir immer für Gesunder Menschenverstand“).

Das ist jetzt aber weniger „Recht“, sondern vielmehr meine Meinung zu „Verhalten“ und „Erwartungen“ von Besuchern oder Nutzern meiner Internetseite. Und jetzt schreibe ich hier schon wieder soviel…und dabei hast du doch wahrscheinlich keine Zeit.

Eines vorab: Hier wird geduzt. Neulich schrieb uns ein Hotel, dass sie das „respektvolle Du“ verwenden. Das gefällt mir. Denn so handhabe ich das auch. Ich finde ein „du“ einfach netter und es passt hier oben bei uns in Flensburg zu unserer Nähe zu Skandinavien. Und auch ein „du“ kann verbindlich sein. Verspreche ich.

Wenn du keine Zeit und/oder Muße hast, das hier alles zu lesen (ja, es ist viel), dann möchte ich dir im Hinblick auf möglicherweise „unerwartet Überraschendes“ kurz diese Schnellhinweise geben:

1. Die Datenverarbeitung ist bei Besuchern und registrierten Nutzern dieser Internetseite unterschiedlich.

Wenn du diese Internetseite als nicht-registrierter Besucher anschaust, passiert wenig Spektakuläres mit deinen personenbezogenen Daten. In Kürze passiert das hier:

  • Damit du dir die Seite ansehen kannst, wird deine IP-Adresse vom Webserver für die Dauer des Besuchs verarbeitet.
  • Die Applikation, mit der diese Seite betrieben wird („Wordpress“ + Plugins) speichert einige Zugriffsarten auf diese Internetseiten für 14 Tage. Geloggt werden fehlerhafte Anmeldeversuche, Zugriffsversuche auf nicht existente Inhalte („404 Detection“) und Sperrungen von IP-Adressen von fehlerhaften Anmeldeversuchen. Bei einem „normalen“ Besuch dieser Internetseite wird also in der Regel gar nichts zu deiner Person gespeichert.
  • Für meine sog. Coaching-Mails für Datenschutz-Coaching-Mitglieder kommt der deutsche Anbieter „CleverReach“ zum Einsatz.
  • Ein Webanalyse-System ist aktuell nicht im Einsatz.
  • Personenbezogene Daten von „Besuchern“ bekomme ich in der Regel nur, wenn mein (übrigens sehr empfehlenswerter -haha) Newsletter abonniert wird. Kannst du übrigens hier machen. Und da gibt es auch spezielle Datenschutzhinweise zum Newsletter, die du dann in Ruhe lesen darfst.

Für die registrierten Benutzer findet dann allerdings schon eine ganze Menge mehr an Datenverarbeitung statt. Da verweise ich dich wohl oder übel mal weiter nach unten, wo es um die Datenverarbeitung von registrierten Nutzern geht.

2. Die Datenverarbeitung findet primär in der EU statt

Mein Webserver steht in Deutschland und befindet sich im Rechenzentrum eines deutschen Unternehmens („Mittwald“). Und ja…ich habe mit dem Provider einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Gleichwohl binde ich z.B. Videos über Vimeo (manchmal auch YouTube) ein. Vimeo ist ein Dienstleister aus den USA. Und nein, es gibt keine für mich vergleichbare Alternative aus der EU. Schade, ist aber so. Ich habe es probiert.

3. Die wenigen Cookies, die ich nutze, sind erforderlich

Cookies werden für Besucher nur primär zur Steuerung von bestimmten Sessions genutzt. So nutze ich z.B. zur Darstellung bestimmter Datenbankinhalte eine „Darstellungs-Schicht“, deren Steuerung (wie „Vor- und Zurückblättern“) über Session-Cookies abgewickelt wird. Das ist jetzt nicht wirklich böse oder gar ein „Tracking“.

Ansonsten können Cookies z.B. im Bereich des Online-Shops angewendet werden. Aber da sind wir dann schon im Bereich der „Vertragsanbahnung“. Die Cookies sind in dem Zusammenhang „unerlässlich“ zum Abschluss eines Vertrages. Und die haben in der Regel auch nur eine Maximal-Lebensdauer von zwei Tagen. Sind sozusagen doppelte Eintagsfliegen. Kann man das so sagen? Egal…du weißt, was ich meine…denke ich.

Wenn ich ein Video einbette, kann es übrigens auch dazu kommen, dass Cookies gesetzt werden. Von dem jeweiligen Videoservice-Anbieter.

4. Rechtsgrundlagen der Verarbeitung von Besucherdaten

Rechtsgrundlage für die Verarbeitung von reinen Besucherdaten ist Art. 6 Abs. 1 lit. f) DSGVO. Das ist die sog. Datenverarbeitung auf Basis einer Interessenabwägung.

Mein Interesse ist der sichere und funktionsfähige Betrieb dieser Website. Das reicht. Ach nein…ich muss das ja noch mit deinem Interesse als Besucher abwägen. Habe ich aber getan. Schon bei der „Planung“ dieser Website. Und was soll ich sagen? Mein Interesse überwiegt. Passt dir nicht? Dann solltest du dich mit deinem Browser besser jetzt auf eine andere Seite begeben. Die Wahrscheinlichkeit ist allerdings recht hoch, dass da wesentlich mehr mit deinen personenbezogenen Daten gemacht wird.

Hinzu kommt übrigens, dass ich einen Teil dieser Daten auch benötige, um die von mir nach Art. 32 DSGVO zu gewährleistende Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten.

Bezüglich deiner Betroffenenrechte kannst du dich weiter unten in den Datenschutzhinweisen informieren. Nur ganz kurz: Personenbezogene Daten, die ich dir zuordnen und damit auch Auskunft erteilen könnte, habe ich von dir nicht, wenn du reiner Besucher dieser Seite bist. Natürlich kannst du dennoch gerne Auskunft verlangen. Ich schaue dann, ob ich etwas an personenbezogenen Daten zu dir finden kann. Ich sag nur: Chuck Norris (s.o.)

Anders sieht das aus, wenn du mir eine E-Mail geschrieben hast. Dann bist du aber nicht mehr einfacher Besucher der Seite, sondern hast einen Kommunikationskontakt mit mir. Das ist also eine andere Baustelle als diese Website.

Nun aber im Detail:

Ja…dann fangen wir mal mit einer Beschreibung dessen an, was hier so an Verarbeitung personenbezogener Daten passiert. Gegliedert ist das jeweils nach Datenarten bzw. Verarbeitungszwecken.

Welche Daten werden verarbeitet?

IP-Adressen

Auf dieser Website werden grundsätzlich keine vollständigen IP-Adressen von reinen Besuchern der Website gespeichert bzw. unverzüglich nach Ende der Nutzung der Website gelöscht (zu den Ausnahmen, s.u.). Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile (Access-Log und Error-Log) standardmäßig das letzte Oktett der IP-Adresse gelöscht wird. So wird aus der IP-Adresse „127.0.0.123“ z.B. die Adresse „127.0.0.1" gespeichert wird. Eine Herstellung eines Personenbezuges ist für mich dann nicht mehr möglich.

Und natürlich gibt es von jedem Grundsatz Ausnahmen. Und das sind vor allem diese:

Bei fehlerhaften Anmeldeversuchen wird die IP-Adresse für 14 Tage gespeichert. Dies wird gemacht, um Hacking-Versuche zu unterbinden und zu analysieren. Ferner werden diese Daten bei registrierten Benutzern benötigt, um z.B. technische Fehler bei der Anmeldung analysieren und beheben zu können. Und ja…ich habe versucht, mit 7 Tagen Speicherdauer auszukommen. Und nein, es reicht nicht. So konnte z.B. in einem Fall erst ab einer Speicherdauer von 14 Tagen vernünftig analysiert werden, wie regelmäßig Hacking-Versuche (in dem Fall aus Osteuropa) ablaufen. Und dann wurden Sperrungen auf Basis von IP-Adressen vorgenommen.

Apropos: Wenn ein Besucher oder Nutzer der Internetseiten mehrfach ein Passwort falsch eingibt oder sich mit „einschlägigen“ Administrator-Benutzernamen anzumelden versucht, erfolgt sofort eine Sperre auf Basis der IP-Adresse. Wenn eine Analyse ergibt, dass ein Besucher der Website versucht, rechtswidrig Zugang zu meiner „Plattform“ (diese Internetseiten) zu bekommen, erfolgt eine längere Speicherung der IP-Adresse, um die IP-Adresse zu sperren. Die Speicherdauer lege ich anlassbezogen nach Durchführung einer Verhältnismäßigkeitsprüfung fest.

Außerdem werden IP-Adressen von Besuchern im Rahmen einer sog. „404 Detection“ gespeichert. Speicherdauer sind auch hier 14 Tage. Wer sich ein bisschen mit Hacking beschäftigt, wird wissen, dass ein Hack häufig damit zu tun hat, dass man versucht, Inhalte aufzurufen, die es nicht gibt. Alles Weitere würde zu weit führen. Wichtig für dich: Im Rahmen einer Interessenabwägung überwiegen hier meine Interessen im Hinblick auf die Verarbeitung dieser Daten.

Wenn du Kunde bzw. registrierter Benutzer dieser Internetseite bist, dann wird die IP-Adresse, die deinem Endgerät beim Vertragsschluss zugewiesen war, bis zur Beendigung des Vertragsverhältnisses gespeichert. Gleiches gilt, wenn du ein Download-Produkt erworben hast. Dann werden der Zeitpunkt und die IP-Adresse, von dem aus der Download erfolgt ist, solange gespeichert, wie du registrierter Nutzer dieser Internetseite bist.

Gleiches gilt auch beim Abonnement eines E-Mail-Newsletters. Auch hier wird die bei der Registrierung verwendete IP-Adresse gespeichert.

Rechtsgrundlage für die Verarbeitung dieser Daten ist übrigens im Hinblick auf reine Besucher dieser Internetseite Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse ist hier die Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die über diese Internetseiten verarbeitet werden.

Für registrierte Nutzer dieser Internetseiten ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Es ist meine vertragliche Pflicht, die Maßnahmen zu treffen, die zur Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten von Nutzern erforderlich sind. Und das nehme ich ausgesprochen ernst.

Cookies

Diese Internetseite verwendet zum Teil Cookies. Cookies sind kleine Textinformationen, die über Deinen Browser im Endgerät als Datei gespeichert werden. Cookies sind nicht grundsätzlich böse, sondern erlauben Userinteraktionen und auch sonstige sinnvolle Sachen.

Wir können mit Cookies auch böse Sachen machen, was hier aber (natürlich) nicht passiert. Es kommen insbesondere keine Flash-Cookies zum Einsatz (insbesondere kein "Respawning" von Cookies). Im Bereich des „Forums“ für Datenschutz-Coaching-Mitglieder kommen zwingend notwendige Cookies und auch solche zum Einsatz, die vom Benutzer ausdrücklich verlangt werden.

Applikations-Cookies

Die hier eingesetzte Software verwendet Cookies. Bei reinem Besuch der Website werden keine Cookies im Browser des Besuchers gesetzt. Wenn du aber z.B. einen Kommentar zu einem Artikel über die Kommentarfunktion übermittelt hast, wird ein Cookie gesetzt. In dem Cookie wird aber nicht deine IP-Adresse gespeichert. Die Lebenszeit des Cookies ist zudem beschränkt und liegt in jedem Fall stets nicht über einem Jahr.

Darüber hinaus verwendet auch die von mir eingesetzte Software für Online-Kurse und für mein Datenschutz-Coaching Cookies. Diese werden meist nur für die Dauer der Sitzung („Session-Cookies“) verwendet, um z.B. deine Bestellung oder Deinen „Angemeldet-Status“ zu speichern bzw. die sog. „Session“ zu managen. Es kommt aber ggf. auch vor, dass persistente Cookies verwendet werden, um z.B. deine Antworten in Online-Prüfungen für dich zwischenzuspeichern.

Wenn du einen Benutzer-Account auf meiner Internetseite hast und du beim Anmelden die „Remember Me“- bzw. „Angemeldet bleiben“-Funktion aktiviert hast, dann wird ein dauerhaftes Cookie (für ca. 10 Tage) im Browser deines Endgerätes gesetzt, das dafür sorgt, dass die Website dich auch beim nächsten Aufruf erkennt. Dieses Cookie kannst du jederzeit wieder über die Einstellungen in deinem Browser löschen.

Cookies kommen ferner auch zum Einsatz, wenn du ein Benutzerkonto auf meiner Internetseite einrichtest und als Benutzer angemeldet bleibst, dich also nicht ausloggst/abmeldest.

Weiter kommen auch Cookies zum Einsatz, mit denen gespeichert wird, ob du unter Hinweis auf das nicht angemessene Datenschutzniveau in den USA Video, die via Vimeo und/oder YouTube auf der Website eingebettet sind, laden möchtest. Die Laufzeit dieses Cookies beträgt bis zu 180 Tage. Rechtsgrundlage für dieses Cookie ist Art. 6 Abs. 1 lit. c) und f) DSGVO.

Du kannst diese Applikations-Cookies blockieren, in dem du in deinem Browser das Setzen von Cookies durch meine Internetseite (datenschutz-guru.de) blockierst. Ich weise jedoch darauf hin, dass die Seite dann nicht mehr – insbesondere im Hinblick auf die Nutzung der Online-Kurse und die Verwendung von dir gekaufter Leistungen (z.B. Datenschutz-Coaching-Inhalte) voll funktionsfähig genutzt werden kann.

Auch mein Online-Shop-System verwendet Cookies zur Warenkorb-Steuerung. Die Laufzeit dieser Cookies beträgt in der Regel maximal zwei Tage. Genau genommen gibt es nur ein Cookie, das kein reines sog. „Session-Cookie“ ist und damit nicht automatisch nach Beendigung des Besuchs der Seite gelöscht wird.

Allerdings setze ich einen Zahlungsdienstleister „stripe“ ein. Für die Schnittstelle zu diesem Anbieter können ggf. direkt von meiner Internetseite Cookies mit einer Laufzeit von 12 Monaten zum Einsatz kommen. Dies dient der Betrugs- und Missbrauchsprävention bei Online-Bezahlverfahren. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. f) DSGVO.

Im Hinblick auf die Kommentar-Cookie-Funktion ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Ermöglichen von Kommentaren

Bei den Cookies, die für registrierte Nutzer Anwendung finden, ist die Rechtsgrundlage Art. 6 Abs. lit. b) DSGVO. Mein Interesse: Erbringung meiner vertragsgemäßen Leistungen nebst Bedienkomfort

Webanalyse

Auf diesen Internetseiten findet derzeit keine Webanalyse statt. Wie ermitteln nur die Häufigkeit von Seitenaufrufen ohne jegliche Zuordnung zu einer Person oder einer ID. Das macht die Statistiken zwar ungenau. Wir testen aber derzeit, ob das dennoch für uns ausreicht.

Falls nicht, werden wir – wie zuvor – wieder unsere Matomo-Installation nutzen.

Vimeo & Hinweise zur Einbindung von Videos

Ich verwende auf dieser Internetseite gerne Videos. Videos sind eine gute Möglichkeit, um Inhalte besser zu transportieren und verständlicher zu machen. Da ein lokales Hosting von Videos nicht leistungsfähig genug ist, nutze ich die Möglichkeit von externen Video-Anbietern. Für meine eigenen Videos nutze ich vornehmlich Vimeo und ab und an auch YouTube. Außerdem binde ich auch gelegentlich andere Videos von externen Seiten ein. Auch hier kommen Drittanbieter zum Einsatz.

Durch die Einbindung der Videos kommt es – technisch bedingt – zu Aufrufen der Server der Anbieter wie z.B. Vimeo. Für die damit verbundene Verwendung von Daten deines Browsers bzw. Endgerätes verweise ich auf die jeweiligen Datenschutzhinweise der Anbieter. Denn die sind für die entsprechende Datenverarbeitung verantwortlich. Die Datenschutzhinweise von Vimeo findest du z.B. hier: https://vimeo.com/privacy

Rechtsgrundlage für die Einbindung der Vimeo-Videos für Datenschutz-Coaching-Mitglieder und die damit einhergehende Übermittlung von personenbezogenen Daten an die Vimeo Inc. ist für registrierte Benutzer dieser Internetseiten Art. 6 Abs. 1 lit. b) DSGVO. Gleiches gilt für Benutzer, die sich in der Vertragsanbahnung befinden und z.B. kostenlose Testlektionen in Videoform ansehen. Die Einbindung ist auch erforderlich, weil es aktuell keine vergleichbare Video-Lösung gibt, um geschützte Videos für Datenschutz-Coaching-Mitglieder zur Verfügung zu stellen.

Für andere Nutzer ist Art. 6 Abs. 1 lit. f) DSGVO Rechtsgrundlage für die Übermittlung der technisch erforderlichen Daten an Vimeo.

Um ein angemessenes Datenschutzniveau bei der Übermittlung von Daten in die USA zu gewährleisten, habe ich die EU-Standardvertragsklauseln mit dem Anbieter von Vimeo in der sog. „Controller to Controller“-Variante abgeschlossen. Als weitere Schutzmaßnahmen binde ich Videos von Vimeo grundsätzlich in der „Do Not Track“-Variante ein, so dass personenbezogene Daten nur in minimaler Weise an Vimeo übermittelt werden. Darüber hinaus hat der Anbieter von Vimeo sich mir gegenüber verpflichtet, weiterhin die selbst auferlegten Pflichten aus dem ehemaligen sog. Privacy Shield Abkommen einzuhalten.

Für die Bereitstellung von Videos via YouTube erfolgt die Einbindung unter Berufung auf die Meinungsäußerungsfreiheit im Hinblick auf redaktionelle Inhalte dieser Internetseite. Hilfsweise arbeite ich seit dem 11.08.2020 zudem mit einer 2-Klick-Lösung, über die zudem eine Einwilligung erteilt wird. Die Einwilligung kannst du jederzeit widerrufen, in dem du deine Cookies löscht, die von der Seite datenschutz-guru.de gesetzt wurden. Hilfsweise kannst du deine Einwilligung auch bei uns widerrufen. Allerdings werden wir auch in dem Fall nur darauf hinweisen können, dass du bitte deine Cookies löscht oder nie wieder diese Seiten aufrufst.

Veranstaltungs- und Terminhinweise

Ich verwende für die Verwaltung und Anzeige von Terminen eine Applikation, die auch eine Einbindung von Google Maps hat. Die Funktion habe ich jedoch deaktiviert.

Datenverarbeitung im Zusammenhang mit Podcasts

Ich biete ja schon seit geraumer Zeit einen Podcast an. Den findest du z.B. auch hier bei iTunes. Der sog. Podcast-Feed wird bei dem Anbieter „podigee gehosted. „podigee“ ist ein Dienst aus Deutschland und tatsächlich mal eine Alternative zu US-Anbietern und dann wähle ich gerne die EU-Variante.

Wenn du den Podcast Podcast-Beitrag aufruft und anhört, binde ich diesen über ein Script von „podigee“ ein. Hierbei werden Server von „podigee“ bzw. von Dienstleister von „podigee“ aufgerufen, die die Inhalte über ein sog. Content Delivery Network (CDN) in deine Endgeräte bringen.

Ich habe mit der „Podigee GmbH“ („podigee“) einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Um dir das „Abonnieren“ des Podcasts zu erleichtern, nutzt „podigee“ eine Funktion von „Podlove“, bei der auch Server von „Podlove“ aufgerufen werden. Art und Umgang der insoweit sehr geringen Datenverarbeitung kannst du den entsprechenden Hinweisen von Podlove entnehmen.

Benutzerkonto („Account“) & Registrierung

Wenn du ein Benutzerkonto auf dieser Seite eingerichtet hast, werden die von dir gemachten Angaben für die Dauer des Nutzungsverhältnisses gespeichert. Im Hinblick auf die jeweils erforderlichen Pflichtangaben verweise ich auf meine AGB, aus denen sich entsprechende Angaben entnehmen lassen.

Manchmal nutze ich auch weitere Benutzerregistrierungsformulare, mit denen ggf. andere Angaben erhoben werden.

In deinem Benutzerkonto werden die von dir getätigten Bestellungen und insbesondere auch die von dir absolvierten Online-Kurse, der Lernfortschritt und ggf. auch die Zertifikate zu deinen Online-Kursen gespeichert.

Wenn du ein Benutzerkonto anlegst, werden dir auch sog. Transaktions-Mails von meiner Internetseite zugesendet. Transaktions-Mails sind z.B. E-Mails, in denen du gebeten wirst, deine E-Mail-Adresse für einen „Double-Opt-In“ zu verifizieren, dir ein Link zur Passwort-Zurücksetzung über die „Passwort vergessen“-Funktion gesendet wird, du über neu verfügbare Lektionen eines von dir belegten Online-Kurses informiert wirst, die Bestätigung eines Kaufs, einer Mitgliedschaft, die Buchung eines Besprechungstermins über meine Internetseite usw.

Transaktionale E-Mails versende ich über den Dienst „SendGrid“ aus den USA. Der Versand über einen spezialisierten Dienstleister ist hier erforderlich, um die Zustellung der E-Mails zu deinem E-Mail-Account zu gewährleisten und nach Möglichkeit auch die Wahrscheinlich dafür zu senken, dass diese E-Mails von deinem E-Mail-Provider als „Spam“ eingestuft werden. Ich habe mit „SendGrid“ eine vertragliche Vereinbarung zur Verarbeitung der Daten i.S.d. Art. 28 DSGVO abgeschlossen. Das angemessene Datenschutzniveau ist durch die Verwendung der EU-Standardvertragsklauseln gewährleistet. Gerade bei Transaktions-Mails ist es extrem wichtig für mich, dass du diese Mails (z.B. eine Kaufbestätigung) auch erhältst. Ein normaler Versand über z.B. die PHP-Skriptfunktionen des Webservers ist hierfür keine gleich geeignete Alternative. Rechtsgrundlage für die Zusendung dieser Transaktions-E-Mails ist Art. 6 Abs. 1 lit. b) DSGVO.

Auch wenn du Mitglied in einem meiner „Datenschutz-Coaching“-Programme bist, werden dir E-Mails zu großen Teilen über einen von mir genutzten Mailing-Dienstleister versendet. Wenn du z.B. an einem Online-Coaching teilnimmst, dann wirst du Hinweise zu anstehenden Terminen (Webinare, Coachings etc.) per E-Mail erhalten.

Fast alle automatisch versendeten E-Mails oder nicht individuell nur an dich gerichteten E-Mails (z.B. Newsletter für Teilnehmer meiner Membership-Programme) werden über den US-Anbieter Mailchimp versendet. Warum ich mich bewusst für Mailchimp entschieden habe, kannst du hier nachlesen.

Ich habe einen Auftragsverarbeitungsvertrag mit dem Anbieter von Mailchimp, der Rocket Science Group LLC, unter Einbeziehung der sog. EU-Standardvertragsklauseln abgeschlossen. Unter Berücksichtigung des normalen Schutzbedarfs der Daten halte ich das Schutzniveau unter Bezugnahme auf die EU-Standardvertragsklauseln für angemessen, so dass es nicht zwingend einer Einwilligung bedarf. Zum Teil hole ich aber ergänzende Einwilligungen ein. Auch, um noch einmal gesondert auf die Situation in den USA hinzuweisen.

Wenn du dein Benutzerkonto löschen lassen möchtest, kannst du dich jederzeit gerne an mich wenden. Bitte beachte jedoch, dass zumindest bei vorgenommen kostenpflichtigen Bestellungen für bestimmte Daten Aufbewahrungspflichten (z.B. nach HGB und AO) bestehen. In diesen Fällen tritt an die Stelle der Löschung der Daten eine Sperrung.

Rechtsgrundlage der Verarbeitung für die Aussendung von E-Mails ist beim Newsletter „Datenschutz-Tipps“ § 7 UWG. Die vor- und nachgelagerte Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. f) DSGVO. Mein Interesse: Vorbereitung von Newsletter-Versand, Pflege von Sperrlisten und Abmeldungen.

Bei E-Mails, die an registrierte Nutzer, Kursteilnehmer und Datenschutz-Coaching-Mitglieder versendet werden, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Meine „User“ erhalten auf diesem Wege Informationen, die Gegenstand meiner vertraglichen Leistungen sind.

E-Mail

Wenn du mir eine E-Mail sendest, werden diese Daten von mir gespeichert. Jeweils zum Jahresende wird geprüft, ob eine weitere Speicherung erforderlich ist oder Aufbewahrungspflichten für die E-Mails bestehen. Abhängig davon werden E-Mails weiter gespeichert oder gelöscht.

Coaching-Mails

Für meine Datenschutz-Coaching-Mitglieder (und ggf. andere Nutzer kostenpflichtiger Leistungen) versende ich sog. Coaching-Mails. Das sind E-Mails, in denen z.B. bestimmte Datenschutzthemen besprochen werden oder auch Einwahllinks zu Webinaren oder den sog. Office Hours versendet werden. Jedes Datenschutz-Coaching-Mitglied wird automatisch in diesen Verteiler eingetragen. Die E-Mails werden durch Mailchimp (s.o.) versendet. Hierfür wird neben deiner E-Mail-Adresse auch dein Vorname bei Mailchimp gespeichert.

Webinare & Office Hours

Ich biete auf dieser Website auch Webinare und für Datenschutz-Coaching-Mitglieder sog. „Office Hours“ – eine Art von Online-Sprechstunde – an. Hier benötige ich Technologie, mit der die Webinare und „Office Hours“ durchgeführt werden.

Nachdem „Zoom“ seit der Entscheidung des EuGH in der Rechtssache „Schrems II“ mir als Unternehmen im Bereich Datenschutz zu „wackelig“ erscheint, haben wir verschiedene Dienstleister aus der EU ausprobiert. Ich musste leider feststellen, dass die Leistungen nicht geeignet waren, um auf verlässlicher Basis Webinare mit mehr als 350 Personen durchzuführen. Wir sind daher seit dem 18.08.2020 wieder zurück zu „Zoom“. Etwas reumütig sozusagen. Aber: Wir konnten mit Zoom eine gute Lösung finden, da unser kompletter Account nun im sog. „EU“-Cluster liegt. Das bedeutet, dass nicht nur die Rechenzentrumsregion für Meetings in der EU liegt, sondern die Datenverarbeitung generell nur in der EU stattfindet. Unsere Datenschutzhinweise zu „Zoom“ findest du hier.

Ich trage dabei jeweils Sorge dafür, dass die Vorgaben der DSGVO bei dem jeweiligen Dienst eingehalten werden. Informationen zum jeweils eingesetzten Dienst gibt es dann vor jedem Webinar bzw. vor jeder „Office Hours“-Sitzung.

Forum

Auch die verwendete Forensoftware sowie die verwendeten Datenbanken werden auf meinem Webserver mit Standort in Deutschland betrieben.

Wenn das Forum erstmalig von einem Datenschutz-Coaching-Mitglied aufgerufen wird, wird ein Account in der Forensoftware angelegt.

Um die Funktionalitäten des Forums anbieten und auch die Regeln der Forennutzung überwachen und durchsetzen zu können, werden personenbezogenen Daten der Forum-Nutzer verarbeitet.

Ferner kommen auch Cookies zum Einsatz, um die Forenfunktionalitäten für Datenschutz-Coaching-Mitglieder zu steuern. Neben reinen Session-Cookies kommen auch persistente Cookies zum Einsatz, um Benachrichtigungs-Funktionen und einer kontinuierliche Sitzungssteuerung zu ermöglichen.

Ein Nutzer des Forums kann die sog. „Anzeigenamen“ (Display Names) von anderen Nutzer sehen. Daher habe ich Sorge dafür getragen, dass jeder Nutzer seinen Anzeigenamen selbst wählen kann. Die Frequenz des Wechsels ist jedoch limitiert, um eine für andere Foren-Nutzer nachvollziehbare Forendiskussion gewährleisten zu können.

Die IP-Adressen von Nutzeraktionen werden für einen Zeitraum von drei Tagen gespeichert, um die Einhaltung der Forenregeln gewährleisten zu können.

Aufgrund des Funktionsumfangs ist es schwerlich möglich, hier jede einzelne Verarbeitung von Daten feingranular darzulegen. Daher schlage ich vor, dass du dich bei Fragen zur Datenverarbeitung im Kontext mit dem Forum einfach an mich wendest. Natürlich kannst du deinen Account im Forum auch jederzeit löschen lassen.

Support

Wenn Du eine E-Mail an support (at) datenschutz-guru.de sendest, erfolgt die Verarbeitung bei Daten auf den Servern des deutschen Providers „mailbox.org“ der Heinlein Support GmbH aus Berlin.

Natürlich haben wir mit der Heinlein Support GmbH einen Auftragsverarbeitungsvertrag abgeschlossen, der den Anforderungen des Art. 28 DSGVO entspricht.

CRM

Die drei Buchstaben CRM stehen für „Customer Relationship Management“. Und ich gebe zu, dass ich lange Zeit gedacht habe, dass ich so etwas nicht benötige. Aber am Ende geht es dann noch nicht ohne.

Beispiel: Wir veranstalten eine Schulung mit 30 Teilnehmenden. Zur Vorbereitung senden wir teilweise E-Mail-Sequenzen vor und nach der Schulung, die teil-automatisiert ablaufen. Ja, das kann man auch von Hand machen, ist aber unwahrscheinlich fehlerbehaftet. Und um hier sicherzustellen, dass niemals eine Teilnehmerliste fälschlicherweise in „CC“ (statt BCC) landet, ist damit jetzt Schluss. Wenn du jetzt also z.B. eine Schulung in Hamburg im Online-Shop buchst, bekommt dein User-Account einen „Tag“, also ein Schlagwort, mit dem wir im CRM-System eine Zuordnung zur Schulung und den damit verbundenen E-Mails vornehmen können.

Wir nutzen als CRM-System Zoho CRM der Zoho Corporation B.V. (Niederlande). Die Daten sind ausschließlich in europäischen Rechenzentren gespeichert und nicht nur während des Transports, sondern auch in den Rechenzentren verschlüsselt. Es kann im Einzelfall für Supportzwecke erforderlich sein, dass Support-Mitarbeiter aus Indien auf Daten zugreifen. Insoweit sind die EU-Standardvertragsklauseln zur Gewährleistung eines angemessenen Datenschutzniveaus abgeschlossen worden.

Downloads & Dateien

Wir bieten auf unseren Internetseiten eine Reihe von Downloads und Dateien an. Dies kann auch Videodateien beinhalten. Die Downloads befinden sich entweder auf unserem Server im deutschen Rechenzentrum (s. Ziff. 2) oder im Rechenzentrum von Amazon AWS in Frankfurt am Main.

Für die Nutzung von Amazon AWS haben wir einen Auftragsverarbeitungsvertrag mit dem Anbieter von AWS, der Amazon Web Services, Inc. unter Einbeziehung der EU-Standardvertragsklauseln abgeschlossen.

Wir speichern keine Kundendaten in AWS-Rechenzentren. Wir nutzen AWS nur, um die Datenabrufe kosteneffizient und vor allem unter Einhaltung von Berechtigungseinschränkungen für Nutzende anbieten zu können.

Verantwortlicher im Sinne der DSGVO ist:

Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany

Telefon: +49 461 406 82 45 0
Fax: +49 461 406 82 45 9
E-Mail: support (at) datenschutz-guru.de

Empfänger / Weitergabe von Daten

Sofern das nicht oben bereits erwähnt wurde, werden Daten, die du mir gegenüber angibst, grundsätzlich nicht an Dritte weitergegeben. Insbesondere werden deine Daten nicht an Dritte für deren Werbezwecke weitergegeben.

Ich setze jedoch ggf. Dienstleister für den Betrieb dieser Internetseiten oder für z.B. E-Mail-Dienste ein. Hier kann es vorkommen, dass ein Dienstleister Kenntnis von personenbezogenen Daten erhält. Ich wähle meine Dienstleister sorgfältig – insbesondere im Hinblick auf Datenschutz und Datensicherheit – aus und treffe alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

Datenverarbeitung außerhalb der Europäischen Union

Außer in den o.g. Fällen findet eine Datenverarbeitung außerhalb der europäischen Union grundsätzlich nicht durch mich statt.

Datenschutzbeauftragter

Ich nehme das Thema Datenschutz (auch als Rechtsanwalt) besonders ernst. Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen und haben auch keinen Datenschutzbeauftragten benannt.

Deine Rechte als Betroffene/r

Du hast das Recht auf Auskunft über die Dich betreffenden personenbezogenen Daten. du kannst Dich für eine Auskunft jederzeit an mich wenden.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt und die nicht anderweitig sicher verifiziert werden kann, musst du damit rechnen, dass ich Nachfragen stelle. Ich muss sicherstellen, dass du die Person bist, für die du Dich ausgibst.

Ferner hast du ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dir das gesetzlich zusteht.

Schließlich hast du ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Insbesondere wenn du ein Widerspruchsrecht gegen eine Verarbeitung Deiner Daten auf Basis meiner Interessenabwägung geltend machen möchtest, musst du damit rechnen, dass ich das genau prüfen werde. Ich habe meine Interessenabwägungen hier sorgfältig vorgenommen. Also den Art. 21 DSGVO bitte genau lesen und damit rechnen, dass ich auch hier Nachfragen zur „besonderen Situation“ i.S.d. Art. 21 Abs.1 DSGVO stellen werde.

Natürlich hast du auch ein Recht auf Datenübertragbarkeit. Auch hier gilt, dass dies nur im Rahmen der gesetzlichen Vorgaben gewährt wird.

Löschung von Daten

Ich lösche personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Registrierte Nutzer können davon ausgehen, dass Daten über einen Kauf für 10 Jahre aufbewahrt werden.

Für Nutzer-Accounts gilt Folgendes: Wenn der Account nicht mehr aktiv ist, wird spätestens nach 12 Monaten eine Prüfung erfolgen, ob der Account gelöscht werden kann. Eine Löschung kommt nicht in Betracht, wenn das zugrundeliegende Vertragsverhältnis noch nicht vollständig beendet ist. Das kann z.B. dann der Fall sein, wenn noch Forderungen meinerseits bestehen.

Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, Dich über die Verarbeitung personenbezogener Daten durch mich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Ich habe ja regelmäßig für Mandanten mit Aufsichtsbehörden zu tun. Das wäre dann mal eine neue Erfahrung. Also: Nur zu!

Änderung dieser Datenschutzhinweise

Ich überarbeite diese Datenschutzhinweise bei Änderungen an dieser Internetseite oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findest du stets auf dieser Internetseite.

Wenn du Fragen zum Datenschutz hast, kannst du Dich gerne an mich wenden.

Stand: 31.08.2020