Datenschutzerklärung

1. Informationen zum Datenschutz

Die nachfolgende Erklärung klärt Sie gem. Art. 13 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen Ihrer Nutzung dieses Onlineangebotes sowie meiner externen Social Media Profile auf. Hinsichtlich der verwendeten Begrifflichkeiten verweise ich auf die gesetzlichen Definitionen in Art. 4 DSGVO.

Informationen zur Datenverarbeitung im Zusammenhang mit Mandatsbearbeitungen bzw. -anfragen finden Sie dagegen hier: Download (PDF)

2. Verantwortlich i.S.d. DSR

Jan A. Strunk, Fritz-Reuter-Weg 17, 24939 Flensburg, datenschutz@rafas-law.de.

3. Rechtsgrundlagen

Die Rechtsgrundlagen meiner Datenverarbeitungen teile ich Ihnen nachfolgend jeweils im Zusammenhang mit den einzelnen Verarbeitungen mit. Sofern dort die Rechtsgrundlage im Einzelfall nicht genannt wird, gilt Folgendes:

Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, für die Verarbeitung zur Beantwortung von Anfragen Art. 6 Abs. 1 lit. b DSGVO und für die Verarbeitung zur Wahrung meiner berechtigten Interessen Art. 6 Abs. 1 lit. f DSGVO. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

4. Arten der verarbeiteten Daten

  • Bestandsdaten (z.B., Namen, Adressen).
  • Kontaktdaten (z.B., E-Mail, Telefonnummern).
  • Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
  • Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
  • Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen).

5. Zweck der Verarbeitung

  • Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte.
  • Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern.
  • Sicherheitsmaßnahmen.
  • Reichweitenmessung

6. Hosting

Die von mir in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Sicherheitsleistungen sowie technische Wartungsleistungen, die ich zum Zwecke des Betriebs dieses Onlineangebotes einsetze.

Hierbei verarbeiten ich, bzw. mein Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Besuchern dieses Onlineangebotes auf Grundlage meiner berechtigten Interessen an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag).

7. Erhebung von Zugriffsdaten und Logfiles

Ich, bzw. mein Hostinganbieter, erheben auf Grundlage meiner berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

8. Sicherheitsmaßnahmen

Ich treffe nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren habe ich Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisen. Ferner berücksichtige ich den Schutz personenbezogener Daten bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

9. Zusammenarbeit mit Auftragsverarbeitern und Dritten

Sofern ich im Rahmen meiner Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbare, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis, Ihrer Einwilligung, wenn eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage meiner berechtigten Interessen (z.B. beim Einsatz von Beauftragten, Webhostern, etc.). Sofern ich Dritte mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftrage, geschieht dies auf Grundlage des Art. 28 DSGVO.

10. Übermittlungen in Drittländer

Sofern ich Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeite oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, bzw. Übermittlung von Daten an Dritte geschieht, erfolgt dies nur, wenn es zur Erfüllung meiner (vor)vertraglichen Pflichten, auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage meines berechtigten Interessen geschieht. Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse, verarbeite oder lasse ich die Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeiten. D.h. die Verarbeitung erfolgt z.B. auf Grundlage besonderer Garantien, wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus oder Beachtung offiziell anerkannter spezieller vertraglicher Verpflichtungen (so genannte „Standardvertragsklauseln“).

11. Ihre Rechte

  • Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.
  • Sie haben entsprechend Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten erfolgt.
  • Sie haben das Recht zu verlangen, die Sie betreffenden Daten, die Sie mir bereitgestellt haben nach Maßgabe des Art. 20 DSGVO zu erhalten und deren Übermittlung an andere Verantwortliche zu fordern.
  • Sie haben ferner gem. Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

12. Widerrufsrecht

Sie haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen

13. Widerspruchsrecht

Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.

14. Cookies

Als ‚Cookies‘ werden kleine Textdateien bezeichnet, die auf dem Endgerät der Nutzer (z.B. Computer, Smartphone oder Tablet) gespeichert werden. Innerhalb von Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, Informationen zu einem Nutzer bzw. dessen Endgerät während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern.

Auf meinem Onlineangebot kommen ausschließlich solche Cookies zum Einsatz, die für den technischen Betrieb der Website erforderlich sind (z.B. zur stabilen Auslieferung der Seiteninhalte). Eine Auswertung Ihres Nutzungsverhaltens zu Zwecken des Trackings, der Reichweitenmessung oder für Marketingzwecke findet nicht statt, insbesondere werden keine Tracking- oder Marketing-Cookies von Drittanbietern eingesetzt.

Sie können die Speicherung von Cookies durch eine entsprechende Einstellung in Ihrem Browser verhindern. Bereits gespeicherte Cookies können Sie in den Systemeinstellungen Ihres Browsers jederzeit löschen. Der Ausschluss von Cookies kann in Einzelfällen zu Funktionseinschränkungen bei der Nutzung von Websites führen, meine rein informatorische Seite bleibt in der Regel jedoch weiterhin nutzbar.

Die Verwendung technisch erforderlicher Cookies erfolgt zur Wahrung meines berechtigten Interesses an der technisch fehlerfreien und optimierten Bereitstellung dieses Onlineangebotes (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG).

15. Löschung von Daten

Die von mir verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei mir gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet.

16. Kontaktaufnahme

Bei der Kontaktaufnahme mit mir (z.B. via E-Mail oder sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Ich lösche die Angaben, sofern diese nicht mehr erforderlich sind.

17. Onlinepräsenzen in sozialen Medien

Ich unterhalte Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Nutzern kommunizieren zu können. Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber.
Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeite ich die Daten der Nutzer sofern diese mit mir innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf meinen Onlinepräsenzen verfassen oder mir Nachrichten zusenden.

18. Einbindung von Diensten und Inhalten Dritter

Ich setze innerhalb meines Onlineangebotes auf Grundlage meiner berechtigten Interessen an der Analyse und Optimierung meines Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Inhalts- oder Serviceangebote von Drittanbietern ein, um deren Inhalte und Services, wie z.B. Videos oder Schriftarten einzubinden (nachfolgend einheitlich bezeichnet als “Inhalte”).

Dies setzt immer voraus, dass die Drittanbieter dieser Inhalte, die IP-Adresse der Nutzer wahrnehmen, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich. Ich bemühe mich, nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner so genannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons“ bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die „Pixel-Tags“ können Informationen, wie der Besucherverkehr auf den Seiten dieser Website ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und Betriebssystem, verweisende Webseiten, Besuchszeit sowie weitere Angaben zur Nutzung meines Onlineangebotes enthalten, als auch mit solchen Informationen aus anderen Quellen verbunden werden.

a. Real Cookie Banner

Zur Verwaltung der eingesetzten Cookies und ähnlichen Technologien (Tracking-Pixel, Web-Beacons etc.) und der diesbezüglichen Einwilligungen setze ich das Consent-Management-Tool „Real Cookie Banner“ ein. Details zur Funktionsweise von „Real Cookie Banner“ finden Sie unter https://devowl.io/de/rcb/datenverarbeitung/ (https://devowl.io/de/rcb/datenverarbeitung/).

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in diesem Zusammenhang sind Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO erfolgt, soweit ich rechtlich verpflichtet bin, erteilte Einwilligungen zu dokumentieren und nachweisen zu können (Art. 7 Abs. 1 DSGVO). Die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt zur Wahrung meines berechtigten Interesses an der dokumentierten Verwaltung der eingesetzten Cookies und ähnlichen Technologien sowie der diesbezüglichen Einwilligungen.

Die Bereitstellung der personenbezogenen Daten im Zusammenhang mit „Real Cookie Banner“ ist für Sie weder gesetzlich noch vertraglich vorgeschrieben und auch für den Abschluss eines Vertrages nicht erforderlich. Sie sind nicht verpflichtet, personenbezogene Daten bereitzustellen oder eine Einwilligung zu erteilen. Ohne eine Einwilligung können jedoch bestimmte Funktionen meines Onlineangebots, die auf Cookies und ähnlichen Technologien beruhen, ganz oder teilweise nicht genutzt werden.

Soweit Sie eine Einwilligung erteilen, bin ich nach Art. 7 Abs. 1 DSGVO verpflichtet, diese Einwilligung nachweisen zu können, und dokumentiere sie daher unter Einsatz des Consent-Management-Tools (Art. 7 Abs. 1 DSGVO).

b. Google Meet

Ich nutze für Video‑ und Telefonkonferenzen die Konferenzsoftware Google Meet, die von Google entwickelt wurde und es den Teilnehmenden ermöglicht, Video‑ und Telefonkonferenzen durchzuführen. Bei der Nutzung dieser Software werden personenbezogene Daten verarbeitet.

Google Meet wird für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum durch die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, bereitgestellt. Google kann zur Erbringung der Dienste verbundene Unternehmen, insbesondere die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, einsetzen. Dabei kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Die USA sind ein Drittland außerhalb des unmittelbaren Geltungsbereichs der DSGVO. Für Übermittlungen personenbezogener Daten an bestimmte nach dem EU‑US Data Privacy Framework (DPF) zertifizierte Unternehmen in den USA liegt ein Angemessenheitsbeschluss der EU‑Kommission nach Artikel 45 DSGVO vor, der ein angemessenes Datenschutzniveau bestätigt. Soweit Google LLC für die von mir genutzten Dienste nach dem DPF zertifiziert ist, stützen sich Datenübermittlungen auf diesen Angemessenheitsbeschluss; im Übrigen kommen die von Google vorgesehenen geeigneten Garantien (insbesondere EU‑Standardvertragsklauseln) zum Einsatz. Soweit Google im Rahmen meiner Nutzung als Auftragsverarbeiter tätig wird, habe ich mit Google die erforderliche Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DSGVO einschließlich der aktuellen Datenverarbeitungsbedingungen geschlossen.

Google Meet verarbeitet personenbezogene Daten, um den Dienst bereitzustellen, durchzuführen, abzusichern und zu verbessern. Dies umfasst insbesondere Verarbeitungen für folgende Zwecke:

  • Registrierung und Verwaltung von Konten (soweit Google‑Konten genutzt werden)
  • Planung und Durchführung von Konferenzen
  • Teilnahme an Konferenzen
  • Nutzung von Zusatzfunktionen (zum Beispiel Chat, Datei‑Uploads, Bildschirmfreigabe)
  • Analyse und Verbesserung des Dienstes (insbesondere zur Stabilität, Sicherheit und Fehlerbehebung)

Im Rahmen der Nutzung von Google Meet können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Kontaktdaten (zum Beispiel Name, E‑Mail‑Adresse, ggf. Telefonnummer)
  • Kontoinformationen (zum Beispiel Benutzername, Angaben zum Google‑Konto; Passwörter verbleiben im Verantwortungsbereich von Google)
  • Konferenzdetails (zum Beispiel Thema, Teilnehmer, Zeit und Datum, Einwahlinformationen)
  • Technische Informationen über Geräte und Netzwerkverbindungen (zum Beispiel IP‑Adresse, Zeitstempel, Geräte‑ und Browserinformationen, Verbindungs‑ und Qualitätsdaten)
  • Inhaltsdaten im Rahmen der Konferenz (zum Beispiel Bild‑ und Tondaten, Chatnachrichten, gemeinsam genutzte Dateien, ggf. weitere Inhalte, die während der Konferenz übermittelt werden)

Welche Daten im Einzelfall verarbeitet und gegebenenfalls gespeichert werden, hängt von der konkreten Nutzung des Dienstes und den von den Teilnehmenden genutzten Funktionen ab.

Google Meet kann personenbezogene Daten insbesondere mit folgenden Empfängern teilen:

  • anderen Teilnehmenden einer Konferenz (zum Beispiel Name, ggf. E‑Mail‑Adresse, Bild‑ und Tondaten, Chatbeiträge – abhängig von Konfiguration und eigenem Nutzungsverhalten)
  • anderen Google‑Diensten und internen Stellen innerhalb des Google‑Konzerns (zum Beispiel für Sicherheits‑, Analyse‑ und Verbesserungszwecke im Rahmen der jeweiligen Google‑Datenschutzbestimmungen)
  • ausgewählten externen Dienstleistern von Google (zum Beispiel technische Serviceanbieter, Support‑ und Analyse‑Dienstleister), soweit diese als Auftragsverarbeiter für Google tätig werden

Die Speicherdauer personenbezogener Daten im Zusammenhang mit Google Meet richtet sich im Wesentlichen nach den Zwecken der Verarbeitung und den einschlägigen gesetzlichen Aufbewahrungspflichten. Google speichert personenbezogene Daten grundsätzlich für die Dauer der Bereitstellung des Google‑Kontos bzw. der Nutzung der Dienste und darüber hinaus nur, soweit gesetzliche Pflichten oder berechtigte Interessen (zum Beispiel IT‑Sicherheit, Durchsetzung von Ansprüchen) eine weitere Speicherung erfordern. Danach werden personenbezogene Daten gelöscht oder in anonymisierter Form weiterverarbeitet.

Google hat nach eigenen Angaben technische und organisatorische Maßnahmen getroffen, um die Sicherheit und Integrität personenbezogener Daten zu gewährleisten. Hierzu gehören unter anderem:

  • Verschlüsselung von Daten während der Übertragung und – soweit angegeben – im Ruhezustand
  • regelmäßige Sicherheitsaudits und Bewertungen
  • Zugriffskontrollen und rollenbasierte Berechtigungskonzepte

Als betroffene Person stehen Ihnen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Google grundsätzlich die Rechte nach den Artikeln 12 ff. DSGVO zu (zum Beispiel Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit), soweit die jeweiligen gesetzlichen Voraussetzungen erfüllt sind. Die Ausübung dieser Rechte erfolgt gegenüber Google als (Mit‑)Verantwortlichem.

Zur Verwaltung Ihrer personenbezogenen Daten bei Google können Sie insbesondere:

  • sich in Ihrem Google‑Konto anmelden und dort über „Datenschutz“ bzw. „Einstellungen“ die vorgesehenen Datenschutz‑ und Kontooptionen nutzen,
  • die von Google angebotenen Lösch‑ und Verwaltungsmöglichkeiten (zum Beispiel für Aktivitätsdaten) verwenden,
  • Ihr Google‑Konto löschen. Dabei ist zu beachten, dass durch eine Löschung des Google‑Kontos der Zugang zu Google‑Diensten (einschließlich Google Meet) entfallen kann und personenbezogene Daten, die gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen unterliegen, nicht vollständig gelöscht werden.

Google kann seine Datenschutzbestimmungen und produktbezogenen Datenschutzhinweise jederzeit ändern und aktualisieren. Ich empfehle daher, die jeweils aktuellen Datenschutzhinweise von Google zu berücksichtigen. Diese finden Sie unter: https://policies.google.com/privacy?hl=de

c. LinkedIn

Innerhalb meines Onlineangebotes können Funktionen und Inhalte des Dienstes LinkedIn, angeboten durch die LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Irland, eingebunden werden. Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer ihr Gefallen an Inhalten kundtun, den Verfasser der Inhalte oder meine Beiträge abonnieren können. Sofern die Nutzer Mitglieder der Plattform LinkedIn sind, kann LinkedIn den Aufruf der o.g. Inhalte und Funktionen den dortigen Profilen der Nutzer zuordnen. Datenschutzerklärung von LinkedIn: https://www.linkedin.com/legal/privacy-policy.. LinkedIn ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000L0UZAA0&status=Active). Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy, Opt-Out: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.

d. Einsatz von DPMS

Ich setze das cloudbasierte „DPMS – Data Protection Management System“ der LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Grundlage ist ein Auftragsverarbeitungsvertrag, der insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die technischen und organisatorischen Maßnahmen regelt. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet nach dem Vertrag ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt; eine Verlagerung in ein Drittland bedarf meiner vorherigen Zustimmung und setzt die Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO voraus.

DPMS wird von mir insbesondere zur Unterstützung meines Datenschutz-Managements, zur Dokumentation und Organisation datenschutzrechtlicher Prozesse sowie zur Durchführung von Online-Besprechungen, einschließlich Video- und Audiokonferenzen genutzt. Dabei werden – abhängig vom konkreten Einsatzzweck – insbesondere folgende Kategorien personenbezogener Daten verarbeitet: Kundenstammdaten, Mitarbeiter- und Dienstleisterdaten, Mandanten- und Betroffenendaten, Inhaltsdaten (z.B. im Rahmen von Videokonferenzen oder hinterlegten Dokumenten) sowie Meta- und Kommunikationsdaten. Die Kategorien betroffener Personen umfassen insbesondere Mandanten und deren Mitarbeiter, sonstige Betroffene im Mandatszusammenhang, eigene Mitarbeiter sowie externe Dienstleister.

LegalInnovate Technologies GmbH setzt zur Erbringung der DPMS-Leistungen Unterauftragsverarbeiter mit Sitz in Deutschland ein, u.a. Hetzner Online GmbH, netcup GmbH, 1blu AG, DeepL SE und AnyDesk Software GmbH. Die technischen und organisatorischen Maßnahmen sowie die Einbindung der Unterauftragsverarbeiter wurden durch die Datenschutz Pöllinger GmbH im Rahmen eines Audits überprüft. Der Prüfbericht bestätigt die Implementierung der vertraglich zugesicherten Maßnahmen sowie das Bestehen einer logischen Mandantentrennung und weiterer Sicherheitsmechanismen. Ein ergänzend durchgeführter Penetrationstest durch die BreakinLabs GmbH hat nach dem Prüfbericht keine Schwachstellen in der Sicherheitsarchitektur der Webanwendung DPMS ergeben.

Soweit ich das Videokonferenzmodul von DPMS für Besprechungen einsetze, werden zur Teilnahme erforderliche Stammdaten (z.B. Name, E‑Mail‑Adresse), Metadaten zur Sitzung (z.B. Zeitpunkt, Dauer, Teilnehmer) sowie die von den Beteiligten bereitgestellten Kommunikations- und Inhaltsdaten (Audio/Video, Chat, Bildschirmfreigaben, hochgeladene Dateien) verarbeitet. Aufzeichnungen von Videokonferenzen erstelle ich nur in Ausnahmefällen und ausschließlich nach vorheriger Information und – soweit erforderlich – auf Grundlage einer Einwilligung der Teilnehmer; im Übrigen gelten die allgemeinen Grundsätze zur Löschung und Einschränkung der Verarbeitung nach dieser Datenschutzerklärung.

19. Einsatz des KI‑Telefonassistenten „Hallo Kira“

a. Einsatzbereich

Zur Entgegennahme und ersten Bearbeitung telefonischer Anfragen setze ich den KI‑gestützten Telefon- und Kommunikationsdienst „Hallo Kira“ ein. Der Dienst nimmt Anrufe entgegen, erfasst Ihr Anliegen, strukturiert die Informationen und organisiert gegebenenfalls einen Rückruf- oder Gesprächstermin mit mir.

b. Kategorien von Daten

Es werden insbesondere verarbeitet:

  • Stammdaten: Name, ggf. Firma, Funktion / Position
  • Kontaktdaten (Telefonnummer, E-Mail-Adresse, ggf. Anschrift)
  • Kommunikations- und Inhaltsdaten: Verbindungsdaten (Rufnummer, angerufene Nummer, Datum, Uhrzeit, Dauer), Gesprächsnotizen und Transkripte zu Ihrem Anliegen, Audioaufzeichnung des Gesprächs, sofern Sie diese nicht zu Beginn ablehnen, Kommunikationsdaten inkl. Aufzeichnung / Transkription
  • Nutzungs- und Protokolldaten: Technische Log- und Systemdaten, soweit für Betrieb, Sicherheit und Fehleranalyse erforderlich.

c. Zwecke und Rechtsgrundlagen

  • Bearbeitung von Anfragen und Mandaten: Entgegennahme und Strukturierung Ihrer Anfrage, Organisation von Rückrufen und Gesprächsterminen, Kommunikation im Rahmen der Mandatsanbahnung und -durchführung
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung).
  • Kanzleiorganisation, Qualität und Sicherheit: Sicherstellung der Erreichbarkeit, Priorisierung und Organisation von Anfragen, Qualitätssicherung und Verbesserung der telefonischen Kommunikation und Abläufe, Vermeidung von Missverständnissen bei der Bearbeitung von Anfragen, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Einzelfällen, Gewährleistung eines sicheren und störungsfreien Betriebs des Systems.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Audioaufzeichnung mit Opt-out: Das Gespräch wird zu Beginn standardmäßig aufgezeichnet, um die Qualität der telefonischen Kommunikation zu verbessern, die Bearbeitung von Anfragen zu optimieren und Missverständnisse zu vermeiden. Sie werden darauf hingewiesen und können die Aufzeichnung zu Beginn durch eine entsprechende Äußerung ablehnen; in diesem Fall erfolgt das Gespräch ohne Aufzeichnung.
    Die Audioaufzeichnung stütze ich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer qualitätsgesicherten, nachvollziehbaren und effizient organisierten telefonischen Kommunikation). Für die Mandatsdokumentation als solche genügen die durch den Assistenten erstellten Gesprächsnotizen und Transkripte. Eine Nutzung der Aufzeichnung für darüber hinausgehende Zwecke erfolgt nur mit gesonderter Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

d. Aufzeichnung / Transkript

„Hallo Kira“ erstellt aus dem Gespräch strukturierte Notizen bzw. Transkripte. Wenn Sie der Aufzeichnung widersprechen, erfolgt nur eine textliche Erfassung der wesentlichen Inhalte, soweit dies für die Bearbeitung Ihres Anliegens erforderlich ist. Personenbezogene Daten werden in die jeweilige Akte übernommen und nur solange gespeichert, wie sie für die Bearbeitung des Mandats und die Erfüllung anwaltlicher sowie gesetzlicher Pflichten erforderlich sind: Nach Wegfall dieser Zwecke – insbesondere nach Beendigung des Mandats und Ablauf der gesetzlichen Aufbewahrungsfristen – werden die Daten nach Maßgabe der datenschutzrechtlichen Vorgaben gelöscht oder anonymisiert.

e. Empfänger / Auftragsverarbeiter

Für „Hallo Kira“ setze ich folgende Auftragsverarbeiterin ein:

Pfeiffer Software GmbH, Emy-Roeder-Str. 69, 68163 Mannheim, Deutschland – info@pfeiffer-software.com

Mit der Pfeiffer Software GmbH besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich nach meinen Weisungen und unter angemessenen technischen und organisatorischen Maßnahmen. Hierzu gehören insbesondere Zugriffs- und Zugriffskontrollkonzepte, die sicherstellen sollen, dass nur weisungsgebundene, zur Vertraulichkeit verpflichtete Personen Zugriff auf die im Rahmen des Dienstes verarbeiteten (auch mandatsbezogenen) Daten erhalten und dass diese Daten vor unbefugter Kenntnisnahme geschützt sind.

Die berufsrechtliche Verschwiegenheitspflicht als Rechtsanwalt bleibt durch den Einsatz von „Hallo Kira“ unberührt. „Hallo Kira“ ist ausdrücklich für Berufsgeheimnisträger konzipiert. Die Pfeiffer Software GmbH verpflichtet sich in der mit mir geschlossenen Vertraulichkeits- und Auftragsverarbeitungsvereinbarung selbst sowie ihre Mitarbeitenden vertraglich zur Wahrung der anwaltlichen Verschwiegenheit in einem Umfang, der den Anforderungen des § 43e BRAO entspricht, und weist dabei ausdrücklich auf die Strafbarkeit einer unbefugten Offenbarung von Geheimnissen nach § 203 StGB hin. Durch diese ausdrückliche Einbeziehung der strafbewehrten Geheimhaltungspflichten (§ 203 StGB) in das Vertragsverhältnis werden die Mitarbeitenden des Dienstleisters in die strafrechtlich geschützte Verschwiegenheitssphäre einbezogen. Die Geheimhaltungspflicht gilt zudem zeitlich unbegrenzt und erstreckt sich auch auf etwaige Unterauftragsverarbeiter. Innerhalb meiner Kanzlei haben nur diejenigen Personen Zugriff auf Ihre Daten, die diese zur Bearbeitung Ihres Anliegens benötigen.

Bei der Nutzung von „Hallo Kira“ zur Entgegennahme, Transkription und Strukturierung von Telefonanrufen sowie zur Terminorganisation werden Ihre personenbezogenen Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet und gespeichert. Die hierfür eingesetzten Unterauftragsverarbeiter betreiben ihre Infrastruktur insbesondere in Rechenzentren in Frankfurt (DE) und Dublin. Eine Übermittlung in Drittländer, insbesondere in die USA, findet im Rahmen dieser normalen Telefonbearbeitung nicht statt.

e. Speicherdauer

Kommunikations- und Inhaltsdaten werden nur so lange gespeichert, wie dies zur Bearbeitung Ihrer Anfrage und zur Erfüllung der genannten Zwecke erforderlich ist. Kommt es zu einem Mandat, werden relevante Informationen (Transkripte und – soweit erforderlich – relevante Auszüge aus Aufzeichnungen) in die Mandatsakten überführt und nach den hierfür geltenden gesetzlichen Aufbewahrungsfristen gespeichert.

Audioaufnahmen, die nicht mehr für die Qualitätssicherung, die Bearbeitung der Anfrage oder in Einzelfällen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, werden gelöscht, sobald sie hierfür nicht mehr erforderlich sind. Technische Log- und Protokolldaten werden nur so lange vorgehalten, wie dies für Betrieb, Sicherheit und Fehleranalyse notwendig ist, und anschließend gelöscht oder anonymisiert.

f. Freiwilligkeit / Alternative Kommunikationswege

Sie sind nicht verpflichtet, „Hallo Kira“ zu nutzen. Alternativ können Sie mich über die im Impressum genannten weiteren Kontaktwege (z.B. E-Mail, Post) erreichen.

Sie können zudem jederzeit verlangen, dass sich eine natürliche Person Ihres Anliegens annimmt. In diesem Fall organisiert der Telefonassistent einen persönlichen Rückruf- bzw. Gesprächstermin mit mir. Je nach Auslastung kann es zu Wartezeiten kommen.