Datenschutzrechtliche Informationen gem. Art. 12-19, 21 DSGVO gegenüber betroffenen Personen

Click here for english part.

 

Mit diesem Dokument erhalten Sie Informationen über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten und Ihre Reche aus dem Datenschutzrecht.

Datenverarbeitende Stelle

SPÄNEX GmbH

Otto-Brenner-Straße 6

37170 Uslar

Telefon: 05571 304-0

E-Mail: info@spaenex.de

Ansprechpartner im Bereich Datenschutz

DatCon GmbH | Ingenieurbüro für Datenschutz und Unternehmensberatung

Herr Andreas Sorge

Coburger Straße 130

96479 Weitramsdorf

Mobil: 0170 8162619

E-Mail: sorge@datcon.de

Verarbeitungsrahmen

  • Kategorien personenbezogener Daten, die verarbeitet werden:
    • Bewerber / Initiativbewerber:
      • Stammdaten (z.B. Lebenslaufinhalte, Kontaktdaten, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten)
    • Mitarbeiter:
      • Stammdaten (z.B. Lebenslaufinhalte, Kontaktdaten, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten), Vertrags- und Abrechnungsdaten, Protokolldaten der IT-Systeme (z.B. Firewall, Serverprotokolle), personenbezogene Bild-/Videodaten auf Unternehmensdarstellung, Daten für die Gehaltsabrechnung, Gesundheitsdaten, sonstige Daten im Rahmen eines Beschäftigungsverhältnisses (bspw. Arbeitsbedingungen, Arbeitszeiten)
    • Kunden:
      • Vertragsdaten, Stammdaten, Rechnungsdaten, bestellte Dienstleistungen oder Produkte
    • Interessenten:
      • Kontaktdaten, Kommunikationsinhalte
    • Lieferanten:
      • Vertragsdaten, Kontaktdaten, Kommunikationsinhalte
    • Teilnehmer einer Videokonferenz (z.B. “MS-Teams”):
      • Vorname, Nachname, E-Mail-Adresse, ggf. Thema, Teilnehmer-IP-Adressen, MP4-Datei der Video-, Audio- und Präsentationsaufnahmen (bei optionalen Aufzeichnungen), Angabe zur eingehenden und ausgehenden Rufnummer (bei Telefoneinwahl), Inhalte von Chatverläufen
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
    • Bewerber / Initiativbewerber:
      • Prüfung der Bewerbung
    • Mitarbeiter:
      • Abwicklung aller notwendigen und erforderlichen Maßnahmen in einem Angestelltenverhältnis (bspw. Führung der Personalakte; Lohnbuchhaltung; Analyse und Beurteilung der Arbeitsleistung und -ergebnisse sowie Erstellung von Zeugnissen; Durchführung von Mitarbeiterschulungen; Durchführung von Disziplinarverfahren); Sicherstellung des möglichst störungsfreien Betriebs, Marketing (Bild-/Videodaten auf Website und/oder anderen Online-Plattformen, Mitarbeitermotivation bei Vorstellung neuer Mitarbeiter auf z.B. “schwarzem Brett”)
    • Kunden:
      • Vertragserfüllung
    • Interessenten:
      • Informationsaustausch
    • Lieferanten:
      • Dienstleistungen, Bestellung
    • Teilnehmer einer Videokonferenz (z.B. “MS-Teams”):
      • Online-Meetings, Telefonkonferenzen, Videokonferenzen
  • Rechtsgrundlage der Verarbeitungen gem. Art. 6 Abs. 1 DSGVO (je nach Art der Datenverarbeitung treffen bei den jeweiligen Gruppen unterschiedliche Rechtsgrundlagen zu.)
    • Bewerber / Initiativbewerber:
      • Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
      • ggf. Einwilligung (bspw. Weitergabe der jeweiligen Daten)
    • Mitarbeiter:
      • Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
      • ggf. Einwilligung (bspw. Fotos auf Website)
      • Erfüllung einer rechtlichen Verpflichtung (bspw. Anforderungen durch den Steuergesetzgeber)
      • Wahrung der berechtigten Interessen (bspw. Protokollierung im Rahmen der Abwehr von Cyber-Risiken)
    • Kunden:
      • Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
      • Erfüllung einer rechtlichen Verpflichtung (bspw. Anforderungen durch den Steuergesetzgeber)
      • Wahrung der berechtigten Interessen (bspw. Protokollierung im Rahmen der Abwehr von Cyber-Risiken)
    • Interessenten:
      • Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
      • Wahrung der berechtigten Interessen (bspw. Protokollierung im Rahmen der Abwehr von Cyber-Risiken)
    • Lieferanten:
      • Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
      • Erfüllung einer rechtlichen Verpflichtung (bspw. Anforderungen durch den Steuergesetzgeber)
    • Teilnehmer einer Videokonferenz (z.B. “MS-Teams”):
      • Wahrung der berechtigten Interessen (bspw. Protokollierung im Rahmen der Abwehr von Cyber-Risiken)
      • Einwilligung zur Verarbeitung (weitere Informationen siehe unten unter “Teilnahme an einem Online-Meeting”)
  • Dauer, für die die personenbezogenen Daten gespeichert werden (je nach Zweck, Datenart und Zielgruppe):
    • Vertragsdauer, gesetzliche Fristen, Entzug der Einwilligung (sofern notwendig), Widerspruch zur Datenverarbeitung, Dauer des Online-Meetings
  • Es besteht keine automatische Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO

Weitergabe, Quelle und Auslandsbezug

  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (je nach Zielgruppe):
    • Grundsätzliche Empfänger:
      • Steuerberater, interne Nutzung (z.B. Personalbereich, IT), Behörden (bspw. Finanzbehörden), Banken, Versicherungen (bspw. im Rahmen von Unfällen oder Versicherungsfällen), externe Dienstleister (Unterstützung als Auftragsverarbeiter)
    • Weitere Empfänger (je nach Zielgruppe):
      • Eigene Mitarbeiter:
        • bei Bilddaten (Provider, Marketingagentur, Fotograf)
      • Kunden und ggf. Mitarbeiter von Kunden:
        • Subunternehmer und Kooperationspartner (sofern vertraglich geregelt bzw. geklärt)
      • Teilnehmer einer Videokonferenz:
        • Teilnehmer, Provider
  • Erhebungsquelle:
    • direkt / durch Auftraggeber / öffentliche Quellen
  • Datenverarbeitung außerhalb der Europäischen Union:
    • Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren primären Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten von einigen Anwendungen über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich bspw. Teilnehmende an “Online-Meetings” in einem Land außerhalb der EU aufhalten. Auch besteht ein mögliches Risiko, dass aufgrund einer ausländischen Rechtsprechung Behörden Ihre Daten zu Kontroll- bzw. Überwachungskosten einsehen und verarbeiten. Dies erfolgt möglicherweise auch ohne weitere Rechtsbehelfsmöglichkeiten.

Teilnahme an einem Online-Meeting

Die Teilnahme an einem solchen Event ist freiwillig. Durch die Anmeldung wird der Datenverarbeitung (einschließlich US-Datentransfer) zugestimmt. Jederzeit kann entschieden werden, ob man während der Veranstaltung von sich Bild und/oder Ton übertragen möchte. Sofern und soweit man sich aktiv dafür entscheidet, umfasst diese Zustimmung auch, dass ggf. besondere Kategorien personenbezogener Daten (z.B. Brillenträger, steife Gliedmaßen, Sprachfehler, Träger religiöser Symbole) ebenfalls übertragen und verarbeitet werden. Mit der Teilnahme wird dann auch in eine mögliche Aufzeichnung und ggf. Verbreitung der Veranstaltung zugestimmt. Beides wird selbstverständlich vorab kommuniziert. 

Microsoft-Teams

Wir nutzen Microsoft Teams. Anbieter ist die

Microsoft Ireland Operations Limited 

One Microsoft Place

South Country Business Park

Leopardstown

Dublin 18

Ireland

Details zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von Microsoft Teams: 

https://privacy.microsoft.com/de-de/privacystatement

Das Unternehmen verfügt über eine Zertifizierung nach dem “EU-US Data Privacy Framework” (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitung in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link:

https://www.dataprivacyframework.gov/s/participant-search/participant-etail?contact=true&id=a2zt0000000KzNaAAK&status=Active

Auftragsverarbeitung (Nutzung von Tools im Rahmen von Online-Meetings)

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unser Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet. 

Rechtsgrundlagen der Datenverarbeitung im Rahmen von Online-Meetings:

  • Soweit personenbezogene Daten von Beschäftigten des Unternehmens verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung.
  • Sollten im Zusammenhang mit der Nutzung der Videokonferenzsoftware personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von der Videokonferenzsoftware sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von “Online-Meetings”.
  • Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von “Online-Meetings” Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
  • Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von “Online-Meetings”.

Betroffenenrechte

  • Sie haben das Recht gem. Art. 7 Abs. 3 DSGVO Ihre erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Die Folge ist, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, zukünftig nicht mehr fortführen dürfen;
  • Sie haben das Recht gem. Art 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • Sie haben das Recht gem. Art 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • Sie haben das Recht gem. Art 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine anderen Gründe, wie z.B. Erfüllung einer rechtlichen Verpflichtung oder Verteidigung von Rechtsansprüchen, dagegensprechen.
  • Sie haben das Recht gem. Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Absatz 1 Buchstaben e oder f DSGVO verarbeitet werden, haben Sie das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
  • Die verantwortliche Stelle teilt gem. Art. 19 DSGVO allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit.
  • Sie haben das Recht gem. Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Sie haben das Recht gem. Art. 22 nicht einer ausschließlich auf einer automatischen Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
  • Sie haben das Recht gem. Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

 

Data protection information according to Art. 12-19, 21 DSGVO (GDPR) for affected persons

This document provides you with information about the collection and processing of your personal data and your rights under data protection law.

Data processing body

SPÄNEX GmbH

Otto-Brenner-Straße 6

D-37170 Uslar / Germany

Phone: 05571 304-0

E-Mail: info@spaenex.de

Contact person for data protection

DatCon GmbH | Ingenieurbüro für Datenschutz und Unternehmensberatung / Engineering office for data protection and management consultancy

Mr. Andreas Sorge

Coburger Straße 130

D-96479 Weitramsdorf / Germany

Mobile: 0170 8162619

E-Mail: sorge@datcon.de

Processing framework

  • Categories of personal data processed:
    • Applicants / unsolicited applicants:
      • Master data (e.g. CV content, contact details, family circumstances, health, knowledge, skills, etc.)
    • Employees:
      • Master data (e.g. CV content, contact details, family circumstances, health, knowledge, skills), contract and billing data, log data from IT systems (e.g. firewall, server logs), personal image/video data on company presentations, data for payroll accounting, health data, other data in the context of an employment relationship (e.g. working conditions, working hours)
    • Customers:
      • Contract data, master data, invoice data, ordered services or products
    • Interested parties:
      • Contact data, communication content
    • Suppliers:
      • Contract data, contact data, communication content
    • Participants in a video conference (e.g. ‘MS Teams’):
      • First name, surname, email address, subject if applicable, participant IP addresses, MP4 file of the video, audio and presentation recordings (for optional recordings), details of the incoming and outgoing telephone number (for telephone dialling), contents of chat histories
  • Purposes for which the personal data are to be processed:
    • Applicants / unsolicited applicants:
      • Checking the application
    • Employees:
      • Handling all necessary and required measures in an employment relationship (e.g. maintaining personnel files; payroll accounting; analysing and assessing work performance and results and preparing references; conducting employee training; conducting disciplinary proceedings); ensuring that operations run as smoothly as possible, marketing (image/video data on website and/or other online platforms, employee motivation when introducing new employees on e.g. ‘notice board’)
    • Customers:
      • Contract fulfilment
    • Interested parties:
      • Exchange of information
    • Suppliers:
      • Services, orders
    • Participants in a video conference (e.g. ‘MS Teams’):
      • Online meetings, telephone conferences, video conferences
  • Legal basis of the processing according to Art. 6 para. 1 DSGVO (GDPR) (Depending on the type of data processing, different legal bases apply to the respective groups.)
    • Applicants / unsolicited applicants:
      • Fulfilment of a contract or for the implementation of pre-contractual measures
      • Consent if necessary (e.g. transfer of the respective data)
    • Employees:
      • Fulfilment of a contract or for the implementation of pre-contractual measures
      • Consent if necessary (e.g. photos on websites)
      • Compliance with a legal obligation (e.g. requirements by the tax authorities)
      • Protection of legitimate interests (e.g. logging as part of the defence against cyber risks)
    • Customers:
      • Fulfilment of a contract or for the implementation of pre-contractual measures
      • Compliance with a legal obligation (e.g. requirements by the tax authorities)
      • Protection of legitimate interests (e.g. logging as part of the defence against cyber risks)
    • Interested parties:
      • Fulfilment of a contract or for the implementation of pre-contractual measures
      • Protection of legitimate interests (e.g. logging as part of the defence against cyber risks)
    • Suppliers:
      • Fulfilment of a contract or for the implementation of pre-contractual measures
      • Compliance with a legal obligation (e.g. requirements by the tax authorities)
    • Participants in a video conference (e.g. ‘MS Teams’):
      • Protection of legitimate interests (e.g. logging as part of the defence against cyber risks)
      • Consent to processing (for more information, see ‘Participation in an online meeting’ below)
  • Duration for which the personal data is stored (depending on the purpose, data type and target group):
    • Contract duration, legal deadlines, withdrawal of consent (if necessary), objection to data processing, duration of the online meeting
  • There is no automated decision-making including profiling in accordance with Art. 22 (1) and (4) DSGVO (GDPR)

Transfer, source and foreign reference

  • Recipients or categories of recipients of personal data (depending on the target group):
    • Basic recipients:
      • Tax advisors, internal use (e.g., human resources, IT), authorities (e.g., tax authorities), banks, insurance companies (e.g., in the context of accidents or insurance claims), external service providers (support as processors)
    • Additional recipients (depending on target group):
      • Own employees:
        • for image data (provider, marketing agency, photographer)
      • Customers and, where applicable, customers' employees:
        • Subcontractors and cooperation partners (if contractually regulated or clarified)
      • Participants in a video conference:
        • Participants, providers
  • Survey source:
    • directly / through clients / public sources
  • Data processing outside the European Union:
    • Data processing outside the European Union (EU) does not take place as a matter of principle, as we have restricted our primary storage location to data centers in the European Union. However, we cannot rule out the possibility that data from some applications may be routed via Internet servers located outside the EU. This may be the case, for example, if participants in “online meetings” are located in a country outside the EU. There is also a potential risk that, due to foreign jurisdiction, authorities may view and process your data for control or monitoring purposes. This may also occur without further legal recourse.

Participation in an online meeting

Participation in such an event is voluntary. By registering, you consent to data processing (including US data transfer). You can decide at any time whether you want your image and/or sound to be transmitted during the event. If and to the extent that you actively choose to do so, this consent also includes the transmission and processing of special categories of personal data (e.g., spectacle wearers, stiff limbs, speech impediments, wearers of religious symbols). By participating, you also consent to the possible recording and, if applicable, distribution of the event. Both will, of course, be communicated in advance.

Microsoft Teams

We use Microsoft Teams. The provider is

Microsoft Ireland Operations Limited 

One Microsoft Place

South Country Business Park

Leopardstown

Dublin 18

Ireland

For details on data processing, please refer to the Microsoft Teams privacy statement: 

Microsoft Privacy Statement – Microsoft privacy

The company is certified under the EU-US Data Privacy Framework (DPF). The DPF is an agreement between the European Union and the US that aims to ensure compliance with European data protection standards when data is processed in the US. Every company certified under the DPF undertakes to comply with these data protection standards. Further information on this is available from the provider at the following link:

https://www.dataprivacyframework.gov/s/participant-search/participant-etail?contact=true&id=a2zt0000000KzNaAAK&status=Active

Order processing (use of tools in online meetings)

We have concluded a contract for order processing (AVV) for the use of the above-mentioned service. This is a contract required by data protection law, which ensures that the personal data of our website visitors is only processed in accordance with our instructions and in compliance with the GDPR. 

Legal basis for data processing in the context of online meetings:

  • Insofar as personal data of company employees is processed, § 26 BDSG (Federal Data Protection Act) forms the legal basis for data processing.
  • If, in connection with the use of the video conferencing software, personal data is not required for the establishment, implementation, or termination of the employment relationship, but is nevertheless an essential component of the use of the video conferencing software, Art. 6 (1) lit. f) GDPR is the legal basis for data processing. In these cases, our interest lies in the effective implementation of “online meetings.”
  • Incidentally, the legal basis for data processing when conducting “online meetings” is Art. 6 (1) (b) GDPR, insofar as the meetings are conducted within the framework of contractual relationships.
  • If no contractual relationship exists, the legal basis is Art. 6 (1) (f) GDPR. Here, too, our interest lies in the effective implementation of “online meetings.”

Rights of affected persons

  • You have the right under Art. 7 (3) GDPR to withdraw your consent from us at any time. As a result, we will no longer be permitted to continue processing data based on this consent in the future.
  • You have the right under Article 15 of the GDPR to request information about your personal data processed by us.
  • You have the right under Article 16 of the GDPR to request the immediate correction of inaccurate personal data stored by us or the completion of incomplete personal data.
  • You have the right under Article 17 of the GDPR to request the deletion of your personal data stored by us, provided that there are no other reasons, such as the fulfillment of a legal obligation or the defense of legal claims, that prevent this.
  • You have the right under Article 18 of the GDPR to request the restriction of the processing of your personal data. If your personal data is processed on the basis of Article 6(1)(e) or (f) of the GDPR, you have the right under Article 21 of the GDPR to object to the processing of your personal data if there are reasons for this arising from your particular situation.
  • In accordance with Art. 19 GDPR, the responsible body shall notify all recipients to whom personal data has been disclosed of any rectification or erasure of the personal data or any restriction of processing.
  • Pursuant to Art. 20 GDPR, you have the right to receive your personal data that you have provided to us in a structured, commonly used, and machine-readable format or to request that it be transferred to another controller.
  • You have the right under Article 22 not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning you or similarly significantly affects you.
  • You have the right under Article 77 of the GDPR to lodge a complaint with a supervisory authority.