**Datenschutzinformationen für Kund*innen**

Betroffene

Diese Erklärung richtet sich an alle Personen, die Kund*innen der Verantwortlichen sind, wozu auch potenzielle und ehemalige Kund*innen gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortliche

Verantwortliche für die hier beschriebene Verarbeitung ist: Yummy Yeah GmbH, Saarbrücker Straße 29, 10405 Berlin, Telefon: +49 152 57136433, E-Mail: hallo (@) happyvagina . de, Geschäftsführung: Tina Molin.

Rechte der Betroffenen und sonstige Hinweise

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.

(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).

(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

Übermittlung in Länder außerhalb der Europäischen Union

(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.

(2) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.

(3) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 46 DSGVO.

(4) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.

(5) Sofern sich die Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO.

Es werden vorsorgliche folgende Risikohinweise erteilt:

Grundsätzlich hat die Europäische Kommission den USA attestiert, dass sie ein sicheres Drittland sind. Daher wird nur vorsorglich und nur für den Fall, dass ausnahmsweise eine Einwilligung für die Datenübermittlung in die USA eingeholt wird, folgendes mitgeteilt: Die rechtsstaatlichen Prinzipien in den USA sind nicht mit denen aus der Europäischen Union vergleichbar. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können Betroffene ihre Rechte nur eingeschränkt geltend machen.

In der Republik Indien ist das Recht auf Privatsphäre und informationelle Selbstbestimmung zwar bekannt, jedoch nur eingeschränkt gewährleistet. Die Einführung eines neuen Datenschutzgesetzes ist noch immer nicht abgeschlossen. Ferner haben. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner können Betroffene ihre Rechte nur eingeschränkt geltend machen.

Mit Blick darauf, dass die Volksrepublik China im Demokratie-Index des Economists den Rang 156 belegt, wird deutlich, dass hier weder dieselben rechtstaatlichen noch dieselben demokratischen Grundsätze gelten, die in der Europäischen Union verankert sind. Zwar gilt in der Volksrepublik China das Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL), jedoch sind staatliche Stellen hiervon ausgenommen. Hinzukommt, dass datenschutzrechtliche Betroffenenrechte selbst gegen privatwirtschaftlich organisierte Unternehmen mit Sitz in China nur schwer durchsetzbar sein werden. Eine Datenübermittlung in die Volksrepublik China ist daher hoch riskant.

(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.

Weitere Hinweise

(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Datenverarbeitung

Vertragsanbahnung:

Erstkontakt

Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit der Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Die Verantwortliche erstellt auf dieser Grundlage ein Angebot und speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Videokonferenz in der Vertragsanbahnungsphase

Die Verantwortliche lässt den Betroffenen die Wahl für vertragsanbahnende Gespräche in Präsenz oder per Videokonferenz. Falls sie sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Betroffenen kommunizieren in der Vertragsanbahnungsphase per Videokonferenz. In jedem Fall werden dabei folgende Daten verarbeitet: Tondaten und Zeitpunkt der Einwahl. Sofern die Kamera aktiviert ist, werden zusätzlich Bilddaten verarbeitet. Zweck ist die Anbahnung des Vertragsverhältnisses. Soweit die Kamera aktiviert ist und/oder eine Aufzeichnung stattfindet, werden die Bilddaten nur verarbeitet, wenn und soweit die Betroffenen einwilligen (Artikel 6 Absatz 1 Satz 1 lit. a DSGVO). Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift. Mit Blick auf alle anderen Verarbeitungsvorgänge ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage.

Aktives Vertragsverhältnis:

Durchführung des Vertrages

Nach Zustandekommen des Vertrages erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Einbindung Steuerberatung

Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten der Betroffenen an eine externe Steuerberatungskanzlei. Hierfür verarbeitet sie den Namen und sämtliche Daten, die sich auch Rechnungen und Zahlungszugängen ergeben. Zweck ist die Inanspruchnahme der Unterstützung einer externen Steuerberatungskanzlei bei der Buchhaltung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei sich das berechtigte Interesse aus dem o.g. Zweck ergibt. Soweit Daten in der externen Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Einbindung einer Buchhaltungssoftware

Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten der Betroffenen an eine externe Buchhaltungssoftware. Hierfür verarbeitet sie den Namen und sämtliche Daten, die sich auch Rechnungen und Zahlungszugängen ergeben. Zweck ist die Inanspruchnahme der Unterstützung einer externen Software bei der Buchhaltung. Soweit hier keine Auftragsverarbeitungsvereinbarung greift, ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage, wobei sich die rechtlichen Verpflichtungen aus den maßgeblichen, steuerrechtlichen Normen ergibt.

Videokonferenz bei vertragsdurchführenden Gesprächen

Die Verantwortliche lässt den Betroffenen die Wahl für vertragsdurchführende Gespräche in Präsenz oder per Videokonferenz. Falls sie sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Betroffenen kommunizieren zur Vertragserfüllung per Videokonferenz. In jedem Fall werden dabei folgende Daten verarbeitet: Tondaten und Zeitpunkt der Einwahl. Sofern die Kamera aktiviert ist, werden zusätzlich Bilddaten verarbeitet. Zweck ist die Durchführung des Vertragsverhältnisses. Soweit die Kamera aktiviert ist und/oder eine Aufzeichnung stattfindet, werden die Bilddaten nur verarbeitet, wenn und soweit die Betroffenen einwilligen (Artikel 6 Absatz 1 Satz 1 lit. a DSGVO). Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift. Mit Blick auf alle anderen Verarbeitungsvorgänge ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO die Rechtsgrundlage.

Beratung in Social Media Gruppe

Die Verantwortliche bietet den Betroffenen an, in eine Social Media Gruppe einzutreten, in der sie berät. Falls sie sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein, die die Betroffenen dadurch erteilen, dass sie Gruppe beitreten. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Betroffenen treten in die Gruppe ein und kommunizieren darüber. Hierbei erhebt die Verantwortliche alle Daten, die die Betroffenen dort freiwillig preisgeben, worin auch eine Übermittlung dieser Information an die anderen Gruppenmitglieder sowie an die jeweilige Drittanbieterin des sozialen Netzwerks liegt. Die Verantwortliche nutzt diese Daten, um ihre Leistungen zu erbringen. Zweck ist die Durchführung des Vertragsverhältnisses. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Videotestimonial

Die Verantwortliche lässt den Betroffenen die Wahl, ob sie ein Videotestimonial abgeben wollen oder nicht. Falls sie sich dafür entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Verantwortlich fertigt das Videotestimonial an und veröffentlicht es. Hierbei werden folgende Daten verarbeitet: Name, Bild- und Tondaten. Zweck ist Präsentation der Verantwortlichen in der Öffentlichkeit. Rechtsgrundlage ist die Einwilligung der Betroffenen i.S.v. Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Werbliche Ansprache per E-Mail

Die Verantwortliche nutzt die E-Mail-Adressen der Betroffenen, um diese werblich anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

Werbliche Ansprache per Telefon

Die Verantwortliche lässt den Betroffenen die Wahl, ob sie einer werblichen Ansprache per Telefon zustimmen wollen oder nicht. Falls sie sich dafür entscheiden, holt die Verantwortliche die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

Die Verantwortliche nutzt die Telefonnummern der Betroffenen, um diese werblich anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Veranstaltungen

Die Verantwortliche führt Veranstaltungen durch. Die Anmeldung verläuft wie folgt: Die Verantwortliche lädt alle oder Teile ihrer Geschäftskontakte zu einer Veranstaltung ein und nimmt Zu- bzw. Absagen entgegen.Die Verantwortliche eröffnet eine Registrierungsmöglichkeit für die Veranstaltung und nimmt dort Daten entgegen. Die bei der Anmeldung erhobenen Daten, um die Veranstaltung zu planen und durchzuführen. Soweit vereinbart, legt die Verantwortliche Rechnung und gleicht den Zahlungseingang ab. Daraufhin gewährt sie die Teilnahme an der Veranstaltung. Soweit eine Einwilligung vorliegt, fertigt die Verantwortliche zur Dokumentation und Bewerbung der Veranstaltung Medienaufnahmen an. Die Veranstaltung wird sowohl als Hybrid-, Präsenz- oder Onlineveranstaltungen durchgeführt. Dabei werden folgende Daten verarbeitet: Registrierungsdaten, Fotoaufnahmen, Filmaufnahmen, Tonaufnahmen, Rechnungs- und Zahlungsdaten. Die Zwecke sind folgende: Durchführung der Veranstaltung, werbliche Ansprache / Neukund*innen-Gewinnung, werbliche Dokumentation. Rechtsgrundlage ist, soweit Medienaufnahmen angefertigt werden, Artikel 6 Absatz 1 Satz 1 lit. a DSGVO und in allen anderen Fällen Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Veränderungen bei der Datenverarbeitung

Sofern die Verantwortliche die Verarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen per E-Mail übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Nach Ende des Vertragsverhältnisses:

Nach Ende des aktiven Vertragsverhältnisses werden die Daten bis zum Ende ihrer jeweiligen Aufbewahrungszeiträume gespeichert und anschließend gelöscht. Zweck der Löschung ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 5 Absatz 1 litt. a, e DSGVO. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Es gelten die folgenden Aufbewahrungszeiträume:

Daten aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Lageberichten, Eröffnungsbilanzen, Organisationsunterlagen, Buchungsbelegen und Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union werden für zehn Jahre aufbewahrt. Alle anderen Daten, die für die Besteuerung der Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer Aufbewahrungspflicht. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Der Zeitraum bestimmt sich nach den ordnungswidrigkeitsrechtlichen Verjährungsfristen nach § 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 Absätze 4, 5 DSGVO.

Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber der Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis der Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis der Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

Auftragsverarbeiter und sonstiges Outsourcing

Die folgenden Drittanbieterinnen erhalten personenbezogene Daten:

Awin: Es wird das Affliate-System „Awin“ der AWIN AG (Deutschland – EU) eingesetzt. Diese Drittanbieterin und die hiesige Verantwortliche agieren als gemeinsam Verantwortliche gemäß Artikel 26 DSGVO. In diesem Zusammenhang werden die Betroffenen gemäß Artikel 26 Absatz 2 Satz 2 DSGVO darüber informiert, dass die Drittanbieterin und die hiesige Verantwortliche in angemessenem Umfang mit der anderen Partei kooperieren, um dieser die Einhaltung der Regelungen zum Datenschutz zu ermöglichen. Beide schaffen die erforderliche Transparenz, insbesondere weist die hiesige Verantwortliche auf die Datenschutzerklärung der Drittanbieterin hin (vgl. https://www.awin.com/de/datenschutzerklaerung). Beide ergreifen Maßnahmen zur Gewährleistung der Zuverlässigkeit ihrer jeweiligen Beschäftigten, wozu insbesondere folgendes zählt: eingeschränkte Zugriffsrechte nach dem Need-To-Know-Prinzip und Vertraulichkeitsverpflichtungen. Ferner ergreifen beide weitere technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus.

Google: Es werden diverse Applikationen der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Folgende Google-Tools werden eingesetzt:

Es wird Google Maps eingesetzt. Hierzu sei folgendes angemerkt: Welche konkreten Daten im Einzelnen übertragen werden, hängt u.a. davon ab, ob die Betroffenen diese Internetseite als eingeloggte Nutzer eines Google-Accounts nutzen oder nicht.

Es werden die Tools Google Remarketing und Google Ads eingesetzt. So funktioniert Google Marketing: Wenn die Betroffenen mit der Verantwortlichen online in Interaktion treten, etwa diese Internetseite besuchen, können sie per Cookies (sog. Ad Server Cookies) als geeignete Empfänger von Werbeanzeigen, sog. „Ads“ gekennzeichnet werden. Außerdem kann mithilfe dieser Cookies der Erfolg einer Kampagne gemessen und bewertet werden. Wenn die Betroffenen dann das soziale Medium der hiesigen Drittanbieterin, etwa ihre Suchmaschine, aufsuchen, werden sie erkannt und ihnen werden die „Ads“ der hiesigen Verantwortlichen angezeigt („Remarketing“). Dies geschieht, in dem der jeweilige Browser der Betroffenen automatisch eine direkte Verbindung mit dem Server der hiesigen Drittanbieterin aufbaut. Die Auslieferung der „Ads“ erfolgt dann über sog. Google Ad Server. Die hierfür eingesetzten Ad Server Cookies verlieren in der Regel nach 30 Tagen ihre Gültigkeit und sollen nicht dazu dienen, die Betroffenen persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert. Die Betroffenen können das Tracking erschweren und verhindern, etwa (a) durch entsprechende Einstellungen ihrer Browser-Software (insbesondere führt die Unterdrückung von Drittcookies dazu, dass sie keine Anzeigen von Drittanbieterinnen erhalten) oder (b) durch Deaktivierung der Cookies für das Conversion-Tracking, indem sie ihren Browser so einstellen, dass Cookies von der Domain der hiesigen Drittanbieterin“ blockiert werden, wobei diese Einstellung gelöscht werden, wenn die Betroffenen die Cookies löschen. Der Zweck besteht darin, die Verantwortlichen zu präsentieren, das Nutzungsverhaltens in Bezug auf die Interaktion mit dieser Internetseite zu analysieren sowie über das hier vorgestellte soziale Medium (ggf. werblich) mit den Betroffenen zu kommunizieren.

Es wird das Cloud-Tool „Google Drive/ Google Workspace“ eingesetzt.

Zoho: Es werden diverse ZohoOne-Applikationen eingesetzt, nämlich: Zoho Forms, Zoho Calendar, Zoho Campaign / Zoho Marketing Hub, Zoho Pagesense, Zoho Books, Zoho Workdrive, Zoho Meeting, Zoho Sign. Zur Identität des Anbieters ist folgendes auszuführen: Es gibt zahlreiche Unternehmen, die unter „Zoho“ firmieren (vgl.https://www.zoho.com/de/contactus.html). Mit Blick darauf, dass die Verantwortliche ein Unternehmen mit Sitz innerhalb der Europäischen Union ist, ist sie insoweit mit zwei Vertragspartnern verbunden. Soweit es um die schuldrechtliche Pflicht geht, ihm das o.g. Tool zur Verfügung zu stellen, ist der Vertragspartner die Zoho Corporation B.V. (Niederlande – EU). Soweit es darum geht, dass im Rahmen der Nutzung des o.g. Tools in ihrem Auftrag personenbezogene Daten verarbeitet werden, ist neben der Zoho B.V. (Niederlande, s.o.) ihr zweiter Vertragspartner bzw. Auftragsverarbeiter die ZOHO CORPORATION PVT. LTD. (Indien). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur ZOHO CORPORATION PVT. LTD. in Indien) ist gemäß Artikel 46 DSGVO gerechtfertigt.

Proven Expert Es wird Tool „Proven Expert“ der Expert Systems AG (Deutschland – EU) eingesetzt.

Paypal: Es wird der Zahlungsdienst „Paypal“ des Anbieters PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg – EU) eingesetzt. Bevor die Betroffenen diesen Zahlungsdienst nutzen, müssen sie bei dieser Drittanbieterin ein eigenes Konto erstellen. Dafür teilen sie der Drittanbieterin die hierfür erforderlichen Daten mit. Sofern sie anschließend auf Dienstleister, wie die hier Verantwortliche treffen, die eine Zahlung über diesen Zahlungsdienst akzeptieren, autorisieren sie diese Drittanbieterin, Geld an die hiesigen Verantwortliche zu überweisen. Hierbei erlangt die Drittanbieterin freilich Informationen über das Kaufverhalten der Betroffenen. Die Drittanbieterin agiert hier also nicht als eine weisungsabhängige Auftragsverarbeiterin der hiesigen Verantwortlichen, sondern als Zahlungsdienstleisterin der Betroffenen. Hierbei werden insbesondere die folgenden Daten durch die Verantwortlichen verarbeitet: Information, (1) dass die Betroffenen diesen Dienst nutzen sowie, (2) dass, in welcher Höhe und zu welchem Zeitpunkt die Betroffenen zahlen, (3) personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen und (4) personenbezogene Daten, die die Verantwortlichen zur Klärung von Konflikten und zur Prüfung und Prävention von Betrug benötigt. Die Informationen zu 2., zu 3. und zu 4. erhält die Verantwortliche von der Drittanbieterin.

Active Campaign (Automation): Es wird das Automatisierungs-Tool „ActiveCampaign“ der ActiveCampaign LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Facebook: Es wird das soziale Netzwerk „Facebook“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

Instagram: Es wird das soziale Netzwerk „Instagram“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

LinkedIn: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

TikTok: Es wird das soziale Netzwerk „TikTok“, das von der TikTok Technology Limited (EU – Irland) und der TikTok Information Technologies UK Limited (Vereinigtes Königreich von England und Nordirland) gemeinschaftlich angeboten wird, eingesetzt. Aus der Datenschutzerklärung der Drittanbieterinnen geht jedoch vor, dass sie Daten auch an andere Unternehmen ihrer „Unternehmensgruppe“ weitergeben, ohne jedoch zu spezifizieren, welche Unternehmen dazugehörigen. Trotz öffentlich gegenteiliger Aussagen ist daher nicht auszuschließen, dass die Daten zu Unternehmen in den USA und/oder die Volksrepublik China, dort insbesondere an die Muttergesellschaft Beijing Bytedance Technology Ltd. (Volksrepublik China) übermittelt und dort auch verarbeitet werden. Soweit der Verantwortliche und die Drittanbieterinnen des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, haben sie eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vereinbart. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 49 Absatz 1 lit. a DSGVO gerechtfertigt. Die Verantwortliche setzt dieses soziale Netzwerk wie folgt ein: Betrieb einer Unternehmensseite, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

YouTube: Es wird das Videowiedergabe-Tool „YouTube“ der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Die Verantwortliche setzt dieses Videoportal wie folgt ein: Betrieb eines eigenen Kanals, Veröffentlichung von Medienaufnahmen. Die hier verwendeten Begriffe werden im Glossar am Ende der Erklärung erläutert.

Lexoffice: Es wird das Buchhaltungs-Tool „Lexoffice“ der Haufe Service Center GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

externe Steuerberatungskanzlei: Die Buchhaltungsdaten werden an eine externe Steuerberatungskanzlei übermittelt. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

externe Videograf*innen: Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

externe Tondienstleister*innen: Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

externe Fotograf*innen: Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden.

WhatsApp: Es wird der Messengerdienst „WhatsApp“ der WhatsApp Ireland Limited (Irland – EU) eingesetzt. Sofern hierüber Daten verarbeitet werden, ist nicht auszuschließen, dass diese Daten an folgende Unternehmen übermittelt werden:

Unternehmen mit Sitz in der EU Meta Platforms Ireland Limited (Irland – EU).

Facebook Germany GmbH (Deutschland – EU) o FB Spain S.L. (Spanien – EU)

Unternehmen mit Sitz in Ländern, für die es einen Angemessenheitsbeschluss i.S.v. Artikel 45 DSGVO gibt:

Facebook Israel Limited (Israel) Facebook UK Limited (Vereinigtes Königreich)

Hier ist die Übermittlung an Stellen außerhalb der EU nach Artikel 45 DSGVO gerechtfertigt.

sonstige Unternehmen mit Besonderheiten:

WhatsApp LLC (USA). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 45 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Facebook Singapur Pie Limited (Singapur). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Singapur) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Meta Platforms Inc. (USA) Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Die Einzelheiten sind hier erklärt: https://www.whatsapp.com/legal/privacy-policy-eea#privacy-policy-how-we-work-with-other-meta-companies.

Zoom: Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

Glossar

Es folgt ein Glossar. Nicht alle Sachverhalte, die im Glossar erläutert werden, spielen notwendigerweise eine Rolle bei den hier beschrieben Datenverarbeitungsvorgängen. Sie dienen nur dem allgemeinen Verständnis und damit der Transparenz.

Thema: Grundbegriffe

Personenbezogene Daten: Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.

Verarbeitung personenbezogener Daten: Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.

Einwilligung: Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.

Thema: Soziale Medien

Unternehmens- und/oder Produktseite: Diese Formulierung bedeutet, dass die Verantwortliche eine Unternehmens- bzw. Produktseite bei einem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Plugin: Diese Formulierung bedeutet, dass die Verantwortliche auf der Internetseite ein Plugin einer Drittanbieterin eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil der Verantwortlichen. Die Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an die jeweilige Drittanbieterin des Plug-ins weitergegeben werden. Die Drittanbieterin ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Die Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit der Drittanbieterin des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält die Drittanbieterin die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an die jeweilige Drittanbieterin übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei der jeweiligen Drittanbieterin besitzen und dort eingeloggt sind. Wenn sie bei der Drittanbieterin eingeloggt sind, werden ihre durch die hiesige Verantwortliche erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei der jeweiligen Drittanbieterin unterhalten.

Ads: Diese Formulierung bedeutet, dass die Verantwortliche sog. „Ads“ (Anzeigen) in einem sozialen Medium einsetzt. Mithilfe der „Ads“ kann die hiesige Verantwortliche im Rahmen des jeweiligen sozialen Netzwerks bzw. Mediums auf ihre Angebote aufmerksam machen. Sie kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Damit wird das Interesse verfolgt, den Betroffenen „Ads“ anzuzeigen, die für sie von Interesse sind, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbekosten durchzuführen. Diese „Ads“ werden durch die jeweilige Drittanbieterin ausgeliefert. Sofern die Betroffenen über „Ads“, die die jeweilige Drittanbieterin ihnen präsentiert, auf die Internetseite der hiesigen Verantwortlichen gelangen, wird ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen in der Regel nicht dazu dienen, die Betroffenen persönlich zu identifizieren.

Pixel: Diese Formulierung bedeutet, dass die Verantwortliche sog. Pixel einsetzt. Das ist ein Analysetool, mit dem die Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Internetseite zu verstehen und nachzuvollziehen. Die Verantwortliche hat den Pixel auf ihrer Internetseite implementiert, indem sie den Pixel-Code im Header platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt die Verantwortliche, wenn die Betroffenen eine Handlung vornehmen und kann dies auswerten.

Upload in die Custom Audience: Diese Formulierung bedeutet, dass die Verantwortliche die Daten der Betroffenen (i.d.R. die E-Mail-Adresse) bei einer Drittanbieterin eines sozialen Netzwerks oder Mediums hochlädt; natürlich erst nach Erteilung der Einwilligung. Dadurch kann die hiesige Verantwortliche den Betroffenen im Rahmen des Besuchs eines sozialen Netzwerks bzw. Mediums interessenbezogene Werbeanzeigen („Ads“) darstellen lassen. Dies geschieht wie folgt: Sie lädt die Kontaktdaten (i.d.R. die E-Mail-Adresse) bei der jeweiligen Drittanbieterin hoch. Die Drittanbieterin prüft dann, ob die Betroffenen mit diesen Kontaktdaten bei ihr registriert sind. Verneinendenfalls werden die Kontaktdaten nicht in die Custom Audience (eine Art Datenbank, die die Verantwortliche bei der jeweiligen Drittanbieterin führt) eingetragen. Bejahendenfalls werden die Daten in die Custom Audience der Verantwortlichen eingetragen. Sofern die Betroffenen dann das von der jeweiligen Drittanbieterin bereitgehaltene soziale Netzwerk oder Medium besuchen, hat die hiesige Verantwortliche die Möglichkeit, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist.

Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen sozialen Medium oder Netzwerk hochlädt und sie dort veröffentlicht.

Thema: Videoeinbettungen

Plugin: Diese Bezeichnung bedeutet, dass auf der Internetseite der Verantwortlichen Plugins eines Videoportals eingebunden sind. Bei jedem Aufruf einer Seite, die ein oder mehrere Videoclips anbietet, wird eine direkte Verbindung zwischen dem Browser der Betroffenen und einem Server der jeweiligen Drittanbieterin hergestellt. Die jeweilige Drittanbieterin speichert die Daten der Betroffenen als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Internetseite. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Betroffene) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer *innen über die Aktivitäten der Betroffenen auf der Internetseite der Verantwortlichen zu informieren. Den Betroffenen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei sie sich zur Ausübung dieses Rechts an die jeweilige Drittanbieterin richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch die jeweilige Drittanbieterin erhalten die Betroffenen in der Datenschutzerklärung.

Eigener Kanal: Diese Bezeichnung bedeutet, dass die Verantwortliche im Videoportal einen eigenen Kanal anbietet.

Veröffentlichung von Medienaufnahmen: Diese Formulierung bedeutet, dass die Verantwortliche Medienaufnahmen der Betroffenen (Foto-, Ton- und/oder Filmaufnahmen) im jeweiligen Videoportal hochlädt und sie dort veröffentlicht.