Vorwort
Wir, die mala GmbH, samt unseren Tochterunternehmen (nachfolgend gemeinsam: „das Unternehmen“, „wir“ oder „uns“) nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.
Uns sind im Rahmen unserer datenschutzrechtlichen Verantwortlichkeit durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: „DSGVO“) zusätzliche Pflichten auferlegt worden, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie als betroffene Person nachfolgend auch mit „Kunde“, „Nutzer“, „Sie“, „Ihnen“ oder „Betroffener“ an) sicherzustellen.
Soweit wir entweder alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden, umfasst dies vor allem die Pflicht, Sie transparent über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung zu informieren (vgl. Art. 13 und 14 DSGVO). Mit dieser Erklärung (nachfolgend: „Datenschutzhinweise“) informieren wir Sie darüber, in welcher Weise Ihre personenbezogenen Daten von uns verarbeitet werden.
Unsere Datenschutzhinweise sind modular aufgebaut. Sie bestehen aus einem allgemeinen Teil für jegliche Verarbeitung personenbezogener Daten und Verarbeitungssituationen, die bei jedem Aufruf einer Webseite zum Tragen kommen (Teil A. Allgemeines) und einem besonderen Teil, dessen Inhalt sich jeweils nur auf die dort angegebene Verarbeitungssituation mit Bezeichnung des jeweiligen Angebots oder Produkts bezieht, insbesondere den hier näher ausgestalteten Besuch von Webseiten (Teil B. Besuch von Webseiten). Teil B ist relevant, wenn Sie unser deutsches Internetangebot inklusive der Auftritte in den sozialen Medien nutzen.
A. Allgemeines
(1) Begriffsbestimmungen
Nach dem Vorbild des Art. 4 DSGVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde:
„Personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).
„Verarbeiten“ (Art. 4 Nr. 2 DSGVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (dh technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (dh die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.
„Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
„Dritter“ (Art. 4 Nr. 10 DSGVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.
„Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.
„Einwilligung“ (Art. 4 Nr. 11 DSGVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO sind wir:
Giazzi/Seuß GbR
Alter Hellweg 106, 44379 Dortmund
+49 176 61337283
Weitere Angaben zu unserem Unternehmen entnehmen Sie bitte den Impressumsangaben auf unserer Internetseite: https://mala-academy.de/impressum.
Bei allen Fragen und als Ansprechpartner zum Thema Datenschutz bei uns steht Ihnen unser betrieblicher Datenschutzbeauftragter jederzeit zur Verfügung. Seine Kontaktdaten sind:
Giazzi/Seuß GbR
Alter Hellweg 106, 44379 Dortmund
Von Gesetzes wegen ist im Grundsatz jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn die Datenverarbeitung unter einen der folgenden Rechtfertigungstatbestände fällt:
Art. 6 Abs. 1 S. 1 lit. a DSGVO („Einwilligung“): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte
Zwecke einverstanden ist;
Art. 6 Abs. 1 S. 1 lit. b DSGVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf die Anfrage des Betroffenen erfolgen;
Art. 6 Abs. 1 S. 1 lit. c DSGVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z. B. eine gesetzliche Aufbewahrungspflicht);
Art. 6 Abs. 1 S. 1 lit. d DSGVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen;
Art. 6 Abs. 1 S. 1 lit. e DSGVO: Wenn die Verarbeitung für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder
Art. 6 Abs. 1 S. 1 lit. f DSGVO („Berechtigte Interessen“): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des
Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt).
Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils die anwendbare Rechtsgrundlage an. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen.
Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils an, wie lange die Daten bei uns gespeichert und wann sie gelöscht oder gesperrt werden. Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt. Eine Speicherung Ihrer Daten erfolgt grundsätzlich nur auf unseren Servern in Deutschland, vorbehaltlich einer ggf. erfolgenden Weitergabe nach den Regelungen in A.(7) und A.(8).Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen oder wenn die Speicherung durch gesetzliche Vorschriften, denen wir als Verantwortlicher unterliegen (zB § 257 HGB, § 147 AO), vorgesehen ist. Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.
Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen (zB TSL-Verschlüsselung für unsere Webseite) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne. Wenden Sie sich hierzu bitte an unseren Datenschutzbeauftragten (siehe unter A.(3)).
Wie bei jedem größeren Unternehmen, setzen auch wir zur Abwicklung unseres Geschäftsverkehrs externe in- und ausländische Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden iSv Art. 28 DSGVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten. Sofern personenbezogene Daten von Ihnen durch uns an unsere Tochtergesellschaften weitergegeben werden oder von unseren Tochtergesellschaften an uns weitergegeben werden (zB zu werblichen Zwecken), geschieht dies aufgrund von bestehenden Auftragsverarbeitungsverhältnissen.
Im Rahmen unserer Geschäftsbeziehungen können Ihre personenbezogenen Daten an Drittgesellschaften weitergegeben oder offengelegt werden. Diese können sich auch außerhalb des Europäischen Wirtschaftsraums (EWR), also in Drittländern, befinden. Eine derartige Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglichen und geschäftlichen Verpflichtungen und zur Pflege Ihrer Geschäftsbeziehung zu uns. Über die jeweiligen Einzelheiten der Weitergabe unterrichten wir Sie nachfolgend an den dafür relevanten Stellen. Einigen Drittländern bescheinigt die Europäische Kommission durch sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem EWR-Standard vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.html). In anderen Drittländern, in die ggf. personenbezogene Daten übertragen werden, herrscht aber unter Umständen wegen fehlender gesetzlicher Bestimmungen kein durchgängig hohes Datenschutzniveau. Soweit dies der Fall ist, achten wir darauf, dass der Datenschutz ausreichend gewährleistet ist. Möglich ist dies über bindende Unternehmensvorschriften, Standard-Vertragsklauseln der Europäischen Kommission zum Schutz personenbezogener Daten, Zertifikate oder anerkannte Verhaltenskodizes. Bitte wenden Sie sich an unseren Datenschutzbeauftragten (siehe unter A.(3)), wenn Sie hierzu nähere Informationen erhalten möchten.
Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden.
Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns zuvor personenbezogene Daten bereitstellen. Für Sie als Kunde besteht grundsätzlich auch keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen; es kann jedoch sein, dass wir bestimmte Angebote nur eingeschränkt oder gar nicht erbringen können, wenn Sie die dafür erforderlichen Daten nicht bereitstellen. Sofern dies im Rahmen der nachfolgend vorgestellten, von uns angebotenen Produkte ausnahmsweise der Fall sein sollte, werden Sie gesondert darauf hingewiesen.
Wir können unter Umständen einer besonderen gesetzlichen oder rechtlichen Verpflichtung unterliegen, die rechtmäßig verarbeiteten personenbezogenen Daten für Dritte, insbesondere öffentlichen Stellen, bereitzustellen (Art. 6 Abs. 1 S. 1 lit. c DSGVO).
Ihre Rechte als Betroffener bezüglich Ihrer verarbeiteten personenbezogenen Daten können Sie uns gegenüber unter den eingangs unter A.(2) angegebenen Kontaktdaten jederzeit geltend machen. Sie haben als
Betroffener das Recht:
gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen;
gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist;
gemäß Art. 20 DSGVO Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen („Datenübertragbarkeit“);
gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen, sofern die Verarbeitung aufgrund von Art. 6 Abs. 1 S. 1 lit. e oder lit. f DSGVO erfolgt. Dies ist insbesondere der Fall, wenn die Verarbeitung nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Sofern es sich nicht um einen Widerspruch gegen Direktwerbung handelt, bitten wir bei Ausübung eines solchen Widerspruchs um die Darlegung der Gründe, weshalb wir Ihre Daten nicht wie von uns durchgeführt verarbeiten sollen. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen;
gemäß Art. 7 Abs. 3 DSGVO Ihre einmal (auch vor der Geltung der DSGVO, dh vor dem 25.5.2018) erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
gemäß Art. 77 DSGVO sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen zu beschweren, etwa bei der für uns zuständigen Datenschutz-Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf, E-Mail: poststelle@ldi.nrw.de.
Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig auf Anpassungs- oder Ergänzungsbedarf hin überprüft.
B. Besuch von Webseiten
Informationen zu unseren Unternehmen und den von uns angebotenen Leistungen erhalten Sie insbesondere unter www.amzmala.com samt den dazugehörigen Unterseiten (nachfolgend gemeinsam: „Webseiten“). Bei einem Besuch unserer Webseiten können personenbezogene Daten von Ihnen verarbeitet werden.
Bei der informatorischen Nutzung der Webseiten werden die folgenden Kategorien personenbezogener Daten von uns erhoben, gespeichert und weiterverarbeitet:
„Protokolldaten“: Wenn Sie unsere Webseiten besuchen, wird auf unserem Webserver temporär und anonymisiert ein sogenannter Protokolldatensatz (sog. Server-Logfiles) gespeichert. Dieser besteht aus:
der Seite, von der aus die Seite angefordert wurde (sog. Referrer-
URL)
dem Name und URL der angeforderten Seite
dem Datum und der Uhrzeit des Aufrufs
der Beschreibung des Typs, Sprache und Version des verwendeten
Webbrowsers
der IP-Adresse des anfragenden Rechners, die so verkürzt wird, dass ein Personenbezug nicht mehr herstellbar ist
der übertragenen Datenmenge
dem Betriebssystem
der Meldung, ob der Aufruf erfolgreich war (Zugriffsstatus/Http-
Statuscode)
der GMT-Zeitzonendifferenz
„Kontaktformulardaten“: Bei Nutzung von Kontaktformularen werden die dadurch übermittelten Daten verarbeitet (z. B. Geschlecht, Name und Vorname, Anschrift, Firma, E-Mail-Adresse und der Zeitpunkt der Übermittlung). Neben der rein informatorischen Nutzung unserer Webseite bieten wir das Abonnement unseres Newsletters an, mit dem wir Sie über aktuelle Entwicklungen im Wirtschaftsrecht und Veranstaltungen informieren. Wenn Sie sich für unseren Newsletter anmelden, werden die folgenden „Newsletterdaten“ von uns erhoben, gespeichert und weiterverarbeitet:
die Seite, von der aus die Seite angefordert wurde (sog. Referrer-
URL)
das Datum und die Uhrzeit des Aufrufs
die Beschreibung des Typs des verwendeten Webbrowsers
die IP-Adresse des anfragenden Rechners, die so verkürzt wird, dass ein Personenbezug nicht mehr herstellbar ist
die E-Mail-Adresse
das Datum und die Uhrzeit der Anmeldung und Bestätigung
Wir weisen Sie darauf hin, dass wir bei Versand des Newsletters Ihr Nutzerverhalten auswerten. Für diese Auswertung beinhalten die versendeten E-Mails sogenannte Web-Beacons bzw. Tracking-Pixel, die Ein-PixelBilddateien darstellen, die auf unserer Website gespeichert sind. Für die Auswertungen verknüpfen wir die vorstehend genannten Daten und die Web-Beacons mit Ihrer E-Mail-Adresse und einer individuellen ID. Auch im Newsletter enthaltene Links enthalten diese ID. Die Daten werden ausschließlich pseudonymisiert erhoben, dh. die IDs werden also nicht mit Ihren weiteren persönlichen Daten verknüpft, eine direkte Personenbeziehbarkeit wird ausgeschlossen.
Wir verarbeiten die vorstehend näher bezeichneten personenbezogenen Daten in Einklang mit den Vorschriften der DSGVO, den weiteren einschlägigen Datenschutzvorschriften und nur im erforderlichen Umfang. Soweit die Verarbeitung der personenbezogenen Daten auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht, stellen die genannten Zwecke zugleich unsere berechtigten Interessen dar. Die Verarbeitung der Protokolldaten dient statistischen Zwecken und der Verbesserung der Qualität unserer Webseite, insbesondere der Stabilität und der Sicherheit der Verbindung (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO). Die Verarbeitung von Kontaktformulardaten erfolgt zur Bearbeitung von Kundenanfragen (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b oder lit. f DSGVO). Die Verarbeitung der Newsletterdaten erfolgt zum Zweck der Zusendung des Newsletters. Im Rahmen der Anmeldung zu unserem Newsletter willigen Sie in die Verarbeitung Ihrer personenbezogenen Daten ein (Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO). Für die Anmeldung zu unserem Newsletter verwenden wir das sog. Double-Opt-In-Verfahren. Das heißt, dass wir Ihnen nach Ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Zweck dieses Verfahrens ist, Ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch Ihrer persönlichen Daten aufklären zu können. Ihre Einwilligung in die Übersendung des Newsletters können Sie jederzeit widerrufen und den Newsletter abbestellen. Den Widerruf können Sie durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an [E-Mailadresse des Unternehmens] oder durch eine Nachricht an die im Impressum angegebenen Kontaktdaten erklären.
Ihre Daten werden nur so lange verarbeitet, wie dies für die Erreichung der oben genannten Verarbeitungszwecke erforderlich ist; hierfür gelten die im Rahmen der Verarbeitungszwecke angegebenen Rechtsgrundlagen entsprechend. Hinsichtlich der Nutzung und der Speicherdauer von Cookies beachten Sie bitte Punkt A.(5) sowie die Cookie-Richtlinie https://mala-academy.de/datenschutz.
Von uns eingesetzte Dritte werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistungen für uns entsprechend dem jeweiligen Auftrag erforderlich ist. Näheres zur Speicherdauer finden Sie im Übrigen unter A.(5) und der CookieRichtlinie https://mala-academy.de/datenschutz.
Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt (siehe dazu A.(7)), erhalten ggf. Zugriff auf Ihre personenbezogenen Daten:
Dienstleister für den Betrieb unserer Webseite und die Verarbeitung der durch die Systeme gespeicherten oder übermittelten Daten (zB für Rechenzentrumsleistungen,
Zahlungsabwicklungen, IT-Sicherheit). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DSGVO, soweit es sich nicht um Auftragsverarbeiter handelt;
Staatliche Stellen/Behörden, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DSGVO;
Zur Durchführung unseres Geschäftsbetriebs eingesetzte
Personen (zB Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DSGVO.
Zu den Gewährleistungen eines angemessenen Datenschutzniveaus bei einer Weitergabe der Daten in Drittländer siehe A.(8). Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eine ausdrückliche Einwilligung dazu erteilt haben.
Auf unseren Webseiten nutzen wir Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser durch eine charakteristische Zeichenfolge zugeordnet und gespeichert werden und durch welche der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen und daher keine Schäden anrichten. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver, also für Sie angenehmer zu machen. Cookies können Daten enthalten, die eine Wiedererkennung des genutzten Geräts möglich machen. Teilweise enthalten Cookies aber auch lediglich Informationen zu bestimmten Einstellungen, die nicht personenbeziehbar sind. Cookies können einen Nutzer aber nicht direkt identifizieren. Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald Sie ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Hinsichtlich ihrer Funktion unterscheidet man bei Cookies wiederum zwischen:
Technical Cookies: Diese sind zwingend erforderlich, um sich auf der Webseite zu bewegen, grundlegende Funktionen zu nutzen und die Sicherheit der Webseite zu gewährleisten; sie sammeln weder Informationen über Sie zu Marketingzwecken noch speichern sie, welche Webseiten Sie besucht haben;
Performance Cookies: Diese sammeln Informationen darüber, wie Sie unsere Webseite nutzen, welche Seiten Sie besuchen und z. B. ob Fehler bei der Webseitennutzung auftreten; sie sammeln keine Informationen, die Sie identifizieren könnten – alle gesammelten Informationen sind anonym und werden nur verwendet, um unsere Webseite zu verbessern und herauszufinden, was unsere Nutzer interessiert;
Advertising Cookies, Targeting Cookies: Diese dienen dazu, dem Webseitennutzer bedarfsgerechte Werbung auf der Webseite oder
Angebote von Dritten anzubieten und die Effektivität dieser Angebote zu messen; Advertising und Targeting Cookies werden maximal 13 Monate lang gespeichert;
– Sharing Cookies: Diese dienen dazu, die Interaktivität unserer Webseite mit anderen Diensten (z. B. sozialen Netzwerken) zu verbessern; Sharing Cookies werden maximal 13 Monate lang gespeichert.
Jeder Einsatz von Cookies, der nicht zwingend technisch erforderlich ist, stellt eine Datenverarbeitung dar, die nur mit einer ausdrücklichen und aktiven Einwilligung Ihrerseits gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO erlaubt ist. Dies gilt insbesondere für die Verwendung von Advertising, Targeting oder Sharing Cookies.8Darüber hinaus geben wir Ihre durch Cookies verarbeiteten personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eine ausdrückliche Einwilligung dazu erteilt haben.
Weitere Informationen darüber, welche Cookies wir verwenden und wie Sie Ihre Cookie-Einstellungen verwalten und bestimmte Arten von Tracking deaktivieren können, finden Sie in unserer Cookie-Richtlinie https://mala-academy.de/datenschutz.
Auf unseren Webseiten setzen wir keine Social-Media-Plugins ein. Sofern unsere Webseiten Symbole von Social-Media-Anbietern enthalten (z. B. LinkedIn Inc., Meta Platforms Ireland Limited), nutzen wir diese lediglich zur passiven Verlinkung auf die Seiten der jeweiligen Anbieter.
Anmerkungen
Grundlagen. Einleitend sollte der Nutzer darüber aufgeklärt werden, dass seine personenbezogenen Daten bei einem Aufruf der Webseite verarbeitet werden. Es wird empfohlen, ihm Definitionen über die wesentlichen datenschutzrechtlichen Begriffe zur Hand zu geben. Auf diese Weise wird eine höchstmögliche Transparenz der Datenverarbeitung sichergestellt, die für den Nutzer im Einklang mit Art. 5 Abs. 1 lit. a DSGVO zwingend notwendig ist, um die Verarbeitung einer anschließenden Rechtmäßigkeitskontrolle unterziehen zu können.
Eine Webseite stellt einen öffentlich zugänglichen elektronischen Kommunikationsdienst dar, für den die Sonderregelungen der ePrivacy-Richtlinie aus dem Jahr 2009 (2009/136/EG) gegenüber der DSGVO vorrangig Anwendung finden (vgl. Art. 95 DSGVO). Der Anwendungsvorrang der ePrivacy-Richtlinie erstreckt sich auf solche Regelungen, die sich in gleicher Weise in den Bestimmungen der DSGVO wiederfinden lassen. Ist dies nicht der Fall, greift die DSGVO, die grundsätzlich jede Verarbeitung personenbezogener Daten erfasst. Anpassungsbedarf besteht, sobald die ePrivacy-Verordnung in Kraft tritt und die Regelungen der ePrivacy-Richtlinie ablöst (Ehmann/Selmayr/Klabunde/Selmayr, Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 95 DSGVO Rn. 16 ff.).
Die vorliegenden Datenschutzhinweise ersetzen hingegen nicht die Einwilligung der betroffenen Nutzer. Es wird empfohlen, eine solche Einwilligung stets einzuholen (→ Anm. 7).
Vorteil des modularen Aufbaus. Dies hat den in der Praxis bedeutsamen ökonomischen Vorteil, dass die Datenschutzhinweise mit einem geringen Zusatzaufwand je nach individuellem Bedarf des Webseitenbetreibers um mehrere besondere Teile ergänzt werden können (zB für Lieferanten, Geschäftspartner, Bewerber). In diesem Fall kann mittels eines Links von den jeweiligen Webseiten der Dritten zentral auf diese Webseite verwiesen werden, die die nachfolgenden Datenschutzhinweise enthält.
Kontaktmöglichkeit. Art. 13 Abs. 1 lit. a, lit. b DSGVO begründen für den verantwortlichen Webseitenbetreiber die Pflicht, der betroffenen Person zum Zeitpunkt der Erhebung personenbezogener Daten den Namen und die Kontaktdaten des Verantwortlichen sowie die Kontaktdaten des Datenschutzbeauftragten mitzuteilen. Im Sinne des Transparenzgrundsatzes des Art. 5 Abs. 1 lit. a DSGVO werden für Betroffene auf diese Weise klar erkennbare Anlaufstellen für ihre Begehren bereitgestellt. Unter den Namen fällt bei juristischen Personen auch die Angabe der Firma. Die Nennung des Namens des Datenschutzbeauftragten ist hingegen nicht erforderlich. Unter die Kontaktdaten fallen eine ladungsfähige Adresse sowie eine E-Mail-Adresse oder alternativ ein webbasiertes Kontaktformular, sodass der Verantwortliche ohne Medienbruch erreicht werden kann (Kühling/Buchner/Bäcker, DSGVO BDSG, 2. Auflage 2018, Art. 13 DSGVO Rn. 22, 24).
Im Impressum (vgl. § 5 TMG) können dem Nutzer weitere datenschutzrelevante Informationen zugänglich gemacht werden. Eine Verlinkung zum Impressum entschlackt die Datenschutzhinweise und dient der Vereinfachung und Übersichtlichkeit. Es muss jedoch jederzeit gewährleistet sein, dass der Link zum Impressum aktuell ist und fehlerfrei auf das entsprechende Ziel verweist.
Weitergabe von personenbezogenen Daten in Drittländer. Nach der Entscheidung des EuGH (EuGH 16.7.2020, Rs. C-311/18 – Schrems II) ist das sogenannte „Privacy Shield“, ein Angemessenheitsbeschluss der Kommission nach Art. 45 DSGVO, mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, ab sofort ungültig. Aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA könne ein angemessenes Datenschutz-Niveau nicht gewährleistet werden (für weitere Informationen vgl. Orientierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit
Baden-Württemberg vom 25.8.2020 https://www.baden-
wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfezu-Schrems-II.pdf).
Auskunft über Betroffenenrechte. Die vorliegenden Datenschutzhinweise bevorzugen eine umfangreiche Beschreibung der Betroffenenrechte nach den Art. 12 ff. DSGVO. Eine bloße Nennung der Betroffenenrechte ist nach Art. 13 Abs. 2 lit. b DSGVO jedoch ausreichend.
Auflistung der von der Verarbeitung betroffenen personenbezogenen Daten. Die Erhebung technisch bedingter Daten, zB die IP-Adresse, stellt regelmäßig eine Verarbeitung personenbezogener Daten dar (Auer-Reinsdorff/Conrad IT-R-HdB/Conrad/Hausen, 3. Aufl. 2019, § 36 Rn. 142)
Eine detaillierte Auflistung der verarbeiteten personenbezogenen Daten wird vor allem bei Einsatz von Cookies relevant. Denn nach der Rechtsprechung des EuGH (EuGH 1.10.2019 – – C-673/17, CB 2020, 39) muss dem Nutzer die Möglichkeit eröffnet werden, seine Einwilligung in die Verarbeitung durch verschiedene Cookies differenziert auf eine oder mehrere Arten von Cookies zu geben. Dies ist nur dann möglich, wenn der Nutzer durch entsprechende Informationen des Verantwortlichen weiß, welche personenbezogenen Daten auf welche Weise verarbeitet werden. Hinsichtlich der Auflistung der verwendeten Cookies und den Einwilligungsoptionen wird auf → Anm. 8 und → Anm. 9 verwiesen. Eine umfangreiche Auflistung der technisch bedingt erhobenen Daten findet sich bei Stiemerling/Lachenmann, ZD 2014, 133.
Erläuterung der Funktionsweise und der Notwendigkeit des Einsatzes von Cookies. Art. 5 Abs. 3 ePrivacy-Richtlinie begründet zulasten des Verantwortlichen eine Informationspflicht über Cookies. Deshalb enthalten die vorliegenden Datenschutzhinweise eine Erläuterung der Verwendung und Funktionsweise von Cookies. Eine Definition sowie eine Übersicht über die konkret eingesetzten Cookies findet sich in der Cookie-Richtlinie, auf die unter B.(6) b) verwiesen wird. Näheres hierzu ist in → Anm. 8 und → Anm. 9 ausgeführt. Zu beachten ist, dass mit dem Inkrafttreten der ePrivacy-Verordnung Änderungsbedarf entstehen wird.
Der EuGH (EuGH 1.10.2019 – – C-673/17, CB 2020, 39) hat in seinem Planet49-Urteil am 1.10.2019 festgestellt, dass jede Sammlung von Daten mittels Cookies eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Diese ist grundsätzlich verboten, wenn sie nicht ausnahmsweise durch einen Rechtfertigungsgrund erlaubt ist (sog. präventives Verbot mit Erlaubnisvorbehalt). Der EuGH stellt klar, dass ausschließlich eine aktive Einwilligung des Betroffenen gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO als Rechtfertigung für den Einsatz von Cookies in Betracht kommt. Weder Art. 6 Abs. 1 S. 1 lit f DSGVO noch § 15 Abs. 3 TMG stellen eine ausreichende Rechtsgrundlage für eine Datenverarbeitung durch Cookies dar. Vielmehr sei § 15 Abs. 3 TMG mit der darin vorgesehenen Widerspruchsmöglichkeit („Opt-Out“-Lösung) nach Erlass der ePrivacyRichtlinie nicht richtlinienkonform. Der BGH ist dieser Rechtsprechung inzwischen gefolgt und legt § 15 Abs. 3 TMG richtlinienkonform dahingehend aus, dass eine Rechtfertigung nach dieser Norm auch nur bei einer aktiven Einwilligung (Opt In) in Betracht kommt (BGH 28.5.2020 – I ZR 7/16, NJW 2020, 2540 Rn. 47 ff.).
Ausnahmen können nur bei technisch erforderlichen Cookies bestehen. Zudem muss es dem Nutzer bei Cookies, die zu unterschiedlichen Zwecken eingesetzt werden (zB Marketing, Personalisierung oder Analytics), möglich sein, seine Einwilligung differenziert auf eine oder mehrere Arten von Cookies zu beziehen (EuGH 1.10.2019 – – C-673/17, CB 2020, 39 Rn. 72–81; Kehr CB 2020, 44; Thiel,GRUR-Prax 2019, 492).
Neben der aktiven Einwilligung des Betroffenen (siehe dazu → Anm. 8) sind nach Ansicht des EuGH bei einer Verwendung von Cookies detaillierte Angaben zur Funktionsweise der Cookies, Angaben hinsichtlich der Funktionsdauer sowie Angaben zu der Frage, ob Dritte
Zugriff auf diese Cookies erhalten, zwingend erforderlich (EuGH 1.10.2019 – – C673/17, CB 2020, 39 Rn. 72–81; Kehr CB 2020, 44; Thiel GRUR-Prax 2019, 492).
Opt-In notwendig für eine wirksame Einwilligung. Der Betroffene kann seine Einwilligung zur zweckbezogenen Verarbeitung geben. Eine Einwilligung ist nur unter den Voraussetzungen des Art. 7 DSGVO wirksam. Vorausgesetzt wird, dass die Einwilligung freiwillig, für einen bestimmten Fall und in informierter und verständlicher Weise von einer einwilligungsfähigen Person vorgenommen wird. Der EuGH (EuGH 1.10.2019 – – C-673/17, CB 2020, 39) stellt die zusätzliche Anforderung einer eindeutigen, bestätigenden Handlung auf, das heißt, es ist ein aktiver Zustimmungsakt des Betroffenen erforderlich („Opt-In“), etwa durch das aktive Setzen eines Hakens in ein Zustimmungsfeld. Stillschweigen, das Wegklicken eines bereits angekreuzten Kästchens (mit dem anschließenden Klicken auf „OK“, so im EuGH-Fall) oder die Untätigkeit des Betroffenen stellen keine wirksame Einwilligung dar. Dies entspricht auch dem Erwägungsgrund 32 der DSGVO sowie der Datenschutzrichtlinie 2002/58/EG. Dieser Judikatur ist nunmehr auch der BGH gefolgt (BGH 28.5.2020 – I ZR 7/16, NJW 2020, 2540 Rn. 47 ff.). Die Einwilligung muss ordnungsgemäß dokumentiert werden. Sobald die Einwilligung zur Verwendung der Daten zu Werbezwecken durch den Betroffenen widerrufen wird, muss eine Sperrung seiner personenbezogenen Daten erfolgen und eine erneute Verwendung dieser Daten unterlassen werden.
Verweis auf die Cookie-Richtlinie. Die Auflistung der verwendeten Cookies sowie die
Hinweise zu Widerrufsmöglichkeiten hinsichtlich der einmal erteilten Einwilligung zur Datenverarbeitung sind in einer gesonderten Cookie-Richtlinie enthalten. Auf diese wird in den Datenschutzhinweisen verwiesen. Eine Verlinkung zu den Cookie-Richtlinien entschlackt die Datenschutzhinweise. Bei einer umfangreichen Auflistung aller verwendeten Cookies in den Datenschutzhinweisen besteht die Gefahr der Intransparenz, was dem Sinn des Datenschutzes widerspricht.
Muster für Ausführungen in der Cookie-Richtlinie am Beispiel von Google Analytics. „Zur bedarfsgerechten Gestaltung unserer Webseiten erstellen wir pseudonyme Nutzungsprofile mit Hilfe von Google Analytics. Google Analytics verwendet Targeting Cookies, die auf Ihrem Endgerät gespeichert und von uns ausgelesen werden können. Auf diese Weise sind wir in der Lage, wiederkehrende Besucher zu erkennen und als solche zu zählen und zu erfahren, wie häufig unsere Webseiten von unterschiedlichen Nutzern aufgerufen wurden. Die Datenverarbeitung erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Die durch das Cookie erzeugten Informationen über Ihre Benutzung unserer Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Da wir die IP-Anonymisierung auf unserer Webseite aktiviert haben, wird Ihre IP-Adresse von Google jedoch zuvor innerhalb von Mitgliedstaaten der Europäischen Union gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und erst dort gekürzt (weitere Informationen zu Zweck und Umfang der Datenerhebung erhalten Sie zB unter https://policies.google.com/privacy?hl=de&gl=de). Wir haben mit Google LLC (USA) zudem einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. Google wird alle Informationen demnach nur streng zweckgebunden nutzen, um die Nutzung unserer Webseiten für uns auszuwerten und Reports über die Webseitenaktivitäten zusammenzustellen.
Google setzt folgende Cookies, wenn Sie unsere Webseite besuchen und der Verwendung der Cookie Google Analytics einwilligen:
Nam Zweck Auslaufen
e
_ga Das hilft uns zu zählen, wie viele Personen unsere Internetpräsentation [Dauer] besuchen, wenn Sie diese bereits besucht haben.
_gid Das hilft uns zu zählen, wie viele Personen unsere Internetpräsentation [Dauer] besuchen, wenn Sie diese bereits besucht haben.
_gat Dies hilft uns, die Frequenz zu verwalten, in der Anfragen für das [Dauer] Anzeigen einer Seite gestellt waren.
Sie können Ihre einmal erteilte Einwilligung jederzeit widerrufen. Bitte nutzen Sie hierfür eine der folgenden Möglichkeiten:
Sie teilen uns mit, dass Sie Ihre Einwilligung widerrufen möchten.
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.
Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung unserer Webseiten bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link
(https://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-
Plugin herunterladen und installieren.“