1. INFORMATIONSPFLICHTEN - Bewerber
Direkterhebung (Artikel 13 DSGVO)
Weitere Details insbesondere zu Ihren Rechten (Auskunft, Widerspruch, Datenübertragbarkeit, Berechtigung, Löschung, Einschränkung und Ihrem Beschwerderecht bei einer Aufsichtsbehörde) entnehmen Sie unserer allgemeinen Datenschutzerklärung unter https://www.insite.de/datenschutz
1.1 Verarbeitungstätigkeit „Bewerbungen“
Verarbeitungstätigkeit | Bewerbungen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Personalmanagement |
Zwecke und Beschreibung der Verarbeitung | Auswahl von Bewerbern für ausgeschriebene Positionen sowie Management von Initiativbewerbungen |
Rechtsgrundlage | §26, Abs. 1 BDSG-neu; Art. 6 Abs. 1, lit. b DSGVO, Art. 6 Abs. 1, lit. a DSGVO; Art. 9 Abs. 2 lit. b DSGVO; Art. 6 Abs. 1, lit. f DSGVO |
Kategorien betroffener Personen | Bewerber, d.h. Interessenten an einer Zusammenarbeit |
Kategorien personenbezogener Daten | Name, Vorname, Kontaktdaten, Lebenslauf mit Qualifikation, Berufserfahrung, Hobbys, Gesundheitsdaten |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen und Gesundheitsdaten |
Schutzstufe | C |
Kategorien von Empfängern intern | Team-/Bereichsleitung, Personalmanagement, Geschäftsführung |
Kategorien von Empfängern extern | Personio, Tresorit |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen |
|
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
2. Informationspflichten - Honorarkräfte Bewerbermanagement und Kooperation
Direkterhebung (Artikel 13 DSGVO)
2.1 Verarbeitungstätigkeit „Suche von Honorarkräften“
Verarbeitungstätigkeit | Suche von Honorarkräften |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Beratermanagement |
Zwecke und Beschreibung der Verarbeitung | Suche von neuen Honorarkräften, die für INSITE unterschiedliche Dienstleistungen erbringen. |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Potentielle Honorarkräfte |
Kategorien personenbezogener Daten | Kontaktdaten, Qualifikation, über das Internet verfügbare Informationen der Webseiten der Honorarkräfte |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | A |
Kategorien von Empfängern intern | Beratermanagement, Bereichsleitung |
Kategorien von Empfängern extern | Tresorit |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung | - |
Löschungsfristen | Bei Kooperation 10 Jahre, bei Ablehnung 6 Monate nach Abschluss des Verfahrens |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
2.2 Verarbeitungstätigkeit „Verträge von Honorarkräften“
Verarbeitungstätigkeit | Verträge von Honorarkräften |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Beratermanagement |
Zwecke und Beschreibung der Verarbeitung | Allgemeines Vertragsmanagement für Honorarkräfte |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit. b DSGVO |
Kategorien betroffener Personen | Honorarkräfte, Beratermanagement |
Kategorien personenbezogener Daten | Berufliche Kontaktdaten, Leistungsbeschreibung, Qualifikationsdaten, Vertragsdaten inkl. Honorar |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen und Gesundheitsdaten. |
Schutzstufe | C |
Kategorien von Empfängern intern | Kundenberatung, Personalmanagement, Geschäftsführung, Bereichsleitung, Beratermanagement |
Kategorien von Empfängern extern | Tresorit, Docusign |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | DocuSign: Vielzahl an Ländern USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework |
Löschungsfristen | 10 Jahre § 147 Abgabenordnung, § 257 HGB |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
2.3 Verarbeitungstätigkeit „Koordination und Betreuung von Honorarkräften“
Verarbeitungstätigkeit | Koordination und Betreuung von Honorarkräften |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Beratermanagement |
Zwecke und Beschreibung der Verarbeitung | Gewährleistung eines reibungslosen Ablaufes der Leistungserbringung von Honorarkräften; Hilfestellung bei Unklarheiten |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit. b DSGVO |
Kategorien betroffener Personen | Honorarkraft, Beratermanagement, Team- und Bereichsleitung; Kundenberatung, IT-Sicherheitsbeauftragter, Klientenservice; Klienten |
Kategorien personenbezogener Daten | Name, berufliche Kontaktdaten: E-Mailadresse, Telefonnummer, Standort, Klientendaten |
Besondere Kategorien personenbezogener Daten | Gesundheitsdaten |
Schutzstufe | C |
Kategorien von Empfängern intern | Beratermanagement, Team- und Bereichsleitung; Kundenberatung, IT-Sicherheitsbeauftragter, Klientenservice; Mitarbeiter |
Kategorien von Empfängern extern | Honorarkraft, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre als Teil der Dokumentationssystems |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
2.4 Verarbeitungstätigkeit „Beendigung von Honorarverträgen“
Verarbeitungstätigkeit | Beendigung von Honorarverträgen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Beratermanagement |
Zwecke und Beschreibung der Verarbeitung | Formale Regelung des Ausscheidens von Honorarkräften; Sperrung von Systemzugängen; Auflösung des Kooperationsverhältnisses |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Honorarkraft |
Kategorien personenbezogener Daten | berufliche Kontaktdaten, Vertragsdaten, Qualifikationen |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | C |
Kategorien von Empfängern intern | Mitarbeiter, Beratermanagement, Geschäftsführung, Team- und Bereichsleitung Kundenberatung |
Kategorien von Empfängern extern | Tresorit, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre für Verträge, sofortige Sperrung der Systemzugänge und Löschung der Webseitenpräsenz |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3. INFORMATIONSPFLICHTEN - Kunden
3.1 Verarbeitungstätigkeit „Angebotserstellung“
Verarbeitungstätigkeit | Angebotserstellung |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Vertrieb |
Zwecke und Beschreibung der Verarbeitung | Kontaktaufnahme zu potenziellen Neukunden; Reaktion auf Kundenanfragen; Dokumentation des Akquisitionsprozesses |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Interessenten, Mitarbeiter |
Kategorien personenbezogener Daten | Kontakt- und Adressdaten, Funktionen, Angebotsdaten |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Geschäftsführung, Vertrieb, Kundenberatung, Bereichsleitung |
Kategorien von Empfängern extern | Pipedrive, Tresorit |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | Pipedrive: Ja > USA Angemessenheits-beschluss > EU-U.S. Data Privacy Framework |
Löschungsfristen | Angebote, die erfolgreich waren: 10 Jahre Angebote, die nicht erfolgreich waren: 6 Jahre |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.2 Verarbeitungstätigkeit „Kundenverträge oder Zusatzvereinbarungen“
Verarbeitungstätigkeit | Kundenverträge / Zusatzvereinbarungen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Verantwortlich/ Eigentümer | Vertrieb |
Zwecke und Beschreibung der Verarbeitung | Erstellung, Unterschrift und Distribution der Kundenverträge an die weiterführenden Prozesse Kundenberatung, Finance, Office |
Rechtsgrundlage | Art. 6, Abs. 1 lit. b DSGVO |
Kategorien betroffener Personen | Mitarbeiter, Kunden |
Kategorien personenbezogener Daten | Mitarbeiter: Name, Vorname, Position, E-Mail-Adresse Kunden: Name, Vorname, Position, E-Mail-Adresse Vertragsdaten, geschäftl. Kontodaten |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Vertrieb, Kundenberatung, Office, Finance, Geschäftsführung, Prokura
|
Kategorien von Empfängern extern | Tresorit, DocuSign, Pipedrive, MS Office |
Datenübermittlung in Drittländer oder internationale Organisationen? | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | Pipedrive: Ja > USA Angemessenheits-beschluss > EU-U.S. Data Privacy Framework |
Löschungsfristen | 10 Jahre für Verträge und Zusatzvereinbarungen, sofortige Löschung der Webseitenpräsenz bei Kündigung |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.3 Verarbeitungstätigkeit „Fakturierung- Ausgangsrechnungen an Kunden“
Verarbeitungstätigkeit | Fakturierung- Ausgangsrechnungen an Kunden |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Finance |
Zwecke und Beschreibung der Verarbeitung | Rechnungslegung gegenüber Kunden sowie Support bei Rückfragen; Mahnwesen |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO, |
Kategorien betroffener Personen | Finance, Kundenansprechpartner, Mitarbeiter |
Kategorien personenbezogener Daten | Name, Vorname, berufliche oder private Kontaktdaten (Telefonnummer, E-Mailadresse), Kontodaten, Funktion, Adresse |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | C |
Kategorien von Empfängern intern | Finance, Team/Bereichsleitung, Geschäftsführung, Prokura, Kundenberatung, Office |
Kategorien von Empfängern extern | Kunden, Lexware, Tresorit |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (§ 14 b, Abs. 1 UStG, §257, Abs. 1, Nr. 1 HGB) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.4 Verarbeitungstätigkeit „Management der Kundenunternehmen“
Verarbeitungstätigkeit | Management der Kundenunternehmen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Marketing und Kommunikation der vertraglichen Dienstleistung innerhalb des Kundenunternehmens, Support der Ansprechpartner des Kunden |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Kundenberater, Berater, Honorarkräfte, Kundenansprechpartner |
Kategorien personenbezogener Daten | Kundenberater: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
|
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Kundenberatung, Berater, Honorarkräfte |
Kategorien von Empfängern extern | Kundenansprechpartner, Tresorit, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Berechnungsgrundlage für Vertrag) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.5 Verarbeitungstätigkeit „Reporting“
Verarbeitungstätigkeit | Reporting |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Erstellen und Versenden von halbjährlichen Häufigkeits-Reports bzgl. der Nutzung der Beratungsdienstleistung an die Kunden. |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Kundenberater, Kundenansprechpartner |
Kategorien personenbezogener Daten | Kundenberater: Name, Vorname, Bild, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer) |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Kundenberatung, Geschäftsführung, Vertrieb |
Kategorien von Empfängern extern | Kundenansprechpartner, Tresorit |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Berechnungsgrundlage für Vertrag) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.6 Verarbeitungstätigkeit „Kundendashboard“
Verarbeitungstätigkeit | Kundendashboard |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Bereitstellung eines Tools für Kundenansprechpartner zum Abruf von Materialien und Reports |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Kundenberater, Kundenansprechpartner |
Kategorien personenbezogener Daten | Kundenberater: Name, Vorname, Bild, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer) |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Kundenberatung, Geschäftsführung |
Kategorien von Empfängern extern | Kundenansprechpartner, hatch |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Berechnungsgrundlage für Vertrag) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
3.7 Verarbeitungstätigkeit „Referenzen“
Verarbeitungstätigkeit | Referenzen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Referenzen bieten potenziellen Interessenten die Möglichkeit, gleichrangige Funktionsträger in Kundenunternehmen von INSITE zu kontaktieren und Fragen zu stellen; Marketing auf eigener Webseite und Social Media |
Rechtsgrundlage | Art. 6, Abs. 1, lit. a DSGVO |
Kategorien betroffener Personen | Kundenansprechpartner |
Kategorien personenbezogener Daten | Name, Vorname, Funktion, Bild, berufliche Kontaktdaten (Telefonnummer, E-Mailadresse) |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Vertrieb, Kundenberatung, Marketing |
Kategorien von Empfängern extern | Interessenten, Tresorit, LinkedIn, Instagram |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | Ja – USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework |
Löschungsfristen | Solange die Einwilligung gilt, also nicht widerrufen ist. Nach Beendigung des Vertragsverhältnisses mit dem Referenzgeber (Empfehlung, nicht verpflichtend) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
4. Informationspflichten- Klienten
4.1 Verarbeitungstätigkeit „Klientenberatung“
Verarbeitungstätigkeit | Klientenberatung |
Standort der Verarbeitung | Deutschlandweit, Österreich, Schweiz, Luxemburg |
Eigentümer der Verarbeitung | Bereichsleitung Interventions |
Zwecke und Beschreibung der Verarbeitung | Durchführung der Beratung von Klienten zu individuellen Lebenslagen |
Rechtsgrundlage | Art. 6, Abs. 1, lit. a DSGVO; Art. 9 Abs. 2, lit. h DSGVO |
Kategorien betroffener Personen | Klienten, Honorarkräfte, Klientenservice, Berater, Versorgungsmanagement |
Kategorien personenbezogener Daten | Klienten: Name, Vorname, Kontaktdaten, Arbeitgeber, Daten über Beratungsinhalte (ggf. anamnestische Daten, medizinische Daten, private und familiäre Daten)
|
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. |
Schutzstufe | D |
Kategorien von Empfängern intern | Klientenservice, Berater, Versorgungsmanagement, Bereichs- und Teamleitung |
Kategorien von Empfängern extern | Honorarkräfte, Call Center, eWorks, Timify, Zoom |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | Timify: USA> Angemessenheitsbeschluss > EU-US-Data Privacy Framework Zoom: USA> Angemessenheitsbeschluss > EU-US-Data Privacy Framework |
Löschungsfristen | 10 Jahre aus berufsrechtlichen Gründen (§ 630 BGB) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
4.2 Verarbeitungstätigkeit „Versorgungsmanagement“
Verarbeitungstätigkeit | Versorgungsmanagement |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Bereichsleitung Interventions |
Zwecke und Beschreibung der Verarbeitung | Vermittlung von freien Terminen bei passenden Behandlern innerhalb des Versorgungssystems an behandlungsbedürftigen Klienten. |
Rechtsgrundlage | Art. 6, Abs. 1, lit. a DSGVO; Art. 9 Abs. 2, lit. h DSGVO |
Kategorien betroffener Personen | Honorarkräfte, Berater, Versorgungsmanagement, Klienten, Behandler |
Kategorien personenbezogener Daten | Honorarkräfte: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
Versorgungsmanagement: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
Behandler: Name, Vorname, berufliche Kontaktdaten (Adresse, Telefonnummer, E-Mailadresse), Qualifikation |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. |
Schutzstufe | D |
Kategorien von Empfängern intern | Versorgungsmanagement, Berater, Klientenservice |
Kategorien von Empfängern extern | Behandler, Klienten, Honorarkräfte, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre aus berufsrechtlichen Gründen (§ 630 BGB) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
5. Informationspflichten - Whistleblowing (extern)
Direkterhebung (Artikel 13 DSGVO)
Verarbeitungstätigkeit | Whistleblowing (extern) |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Bereichsleitung Interventions |
Zwecke und Beschreibung der Verarbeitung | Bereitstellung einer Plattform für Abgabe von Hinweisen im Rahmen des Hinweisgeberschutzgesetzes für Kunden |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit a DSGVO |
Kategorien betroffener Personen | Hinweisgebende Personen, sowie ggf. benannte Dritte, Meldestellenbeauftragte |
Kategorien personenbezogener Daten | Ggf. Name, Position, Name und Informationen zu Hinweisen |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. |
Schutzstufe | D |
Kategorien von Empfängern intern | Meldestellenbeauftragte |
Kategorien von Empfängern extern | LegalInnovate Technologies, Benannte Kundenansprechpartner, Tresorit, externe Rechtsanwälte, Hinweisgeber, betroffene Personen, Ermittlungsbehörden |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre nach Abschluss des Falls |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
DSFA | durchgeführt |
6. INFORMATIONSPFLICHTEN - Newsletter
Verarbeitungstätigkeit | Newsletter |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Marketing |
Zwecke und Beschreibung der Verarbeitung | Marketing, Versenden von News an Newsletter-Abonnenten |
Rechtsgrundlage | Art. 6, Abs. 1, lit. a DSGVO |
Kategorien betroffener Personen | Newsletter-Abonnenten |
Kategorien personenbezogener Daten | Anrede, Name, E-Mailadresse |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Marketing |
Kategorien von Empfängern extern | xQueue |
Datenübermittlung in Drittländer oder internationale Organisationen? | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | xQueue: USA > Angemessenheitsbeschluss > EU-US-Data Privacy Framework |
Löschungsfristen | Erfolgt mit Abmeldung, sofortige Löschung nach Wegfall des Zwecks |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
7. informationspflichten - öffentlichkeitsarbeit
7.1 Verarbeitungstätigkeit „Erstellen/Veröffentlichen von Foto-/Ton-/Videoaufnahmen“
Verarbeitungstätigkeit | Erstellen/Veröffentlichen von Foto-/Ton-/Videoaufnahmen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Marketing |
Zwecke und Beschreibung der Verarbeitung | Erstellung von Foto-, Ton- und Videoaufnahmen im Rahmen von Veranstaltungen oder Referentenvorträgen und Veröffentlichung dieser. Erstellung von Fotoaufnahmen im Rahmen des Anstellungsverhältnisses zur Veröffentlichung auf der Unternehmenswebseite. |
Rechtsgrundlage | Art. 6, Abs. 1, lit. a DSGVO |
Kategorien betroffener Personen | Kundenansprechpartner, Mitarbeiter, Honorarkräfte |
Kategorien personenbezogener Daten | Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse), Foto-, Ton-, Videoaufnahmen
|
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Marketing, Personalmanagement |
Kategorien von Empfängern extern | Tresorit, Social Media, Personio |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | Meta > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework LinkedIn > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework Youtube > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework |
Löschungsfristen | Solange die Einwilligung gilt, also nicht widerrufen ist. |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
7.2 Verarbeitungstätigkeit „Betreiben von Unternehmensprofilen auf Social Media Plattformen“
Verarbeitungstätigkeit | Betreiben von Unternehmensprofilen auf Social-Media Plattformen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Marketing |
Zwecke und Beschreibung der Verarbeitung | Betreiben von Unternehmensprofilen zur Kundengewinnung, Kundenbindung unter Zuhilfenahme sozialer Medien inklusive Kommunikation und Interaktion mit Profilbesuchern. Erheben und Veröffentlichung personenbezogener Daten in Beiträgen, Fotos, Videos |
Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO |
Kategorien betroffener Personen | Profilbesucher, Mitarbeiter, Referenten, Teilnehmer |
Kategorien personenbezogener Daten | Profilbesucher Nickname, Foto, Videoaufnahmen, Alter und allgemein von den Usern in ihrem Account hinterlegte Daten, Sensible Daten: Biometrische Daten
Mitarbeiter Kontakt (dienstlich): Adresse, Land, E-Mail-Adresse, Soziale Medien Beruf/Bildung: Berufsbezeichnung, Akademischer Grad Person: Foto-, Ton- und Videomaterial, Anrede, Titel, Vorname, Nachname, Sprache Sensible Daten: Biometrische Daten
Referenten
Teilnehmer Kunden |
Besondere Kategorien personenbezogener Daten | Gesundheitsdaten, wenn von den Profilbesuchern innerhalb von Kommentaren übermittelt; Sensible Daten: Biometrische Daten |
Schutzstufe | C |
Kategorien von Empfängern intern | Marketing, Kundenberatung |
Kategorien von Empfängern extern | New Work SE (Xing)
Gemeinsame Verantwortlichkeit: Google LLC - Youtube
Blackpoint |
Datenübermittlung in Drittländer | Ja - USA |
Geeignete Garantien der Datenübermittlung in Drittländer | Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework Standarddatenschutzklauseln (Controller Addendum) |
Löschungsfristen | Mit Wegfall des Zwecks und nach Antrag eines Betroffenen |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
8. informationspflichten – seminare
8.1 Verarbeitungstätigkeit „Seminare- Terminierung und Vorbereitung“
Verarbeitungstätigkeit | Seminare- Terminierung und Vorbereitung |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Abstimmung des Seminartermins mit Kunden mit Zeit, Ort, Teilnehmern und Inhalten |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Kundenberatung, Honorarkräfte, Kundenansprechpartner, Teilnehmer, Berater |
Kategorien personenbezogener Daten | Kundenberatung/ Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer) Teilnehmer: Name, Vorname, Funktion |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Kundenberatung, Berater |
Kategorien von Empfängern extern | Honorarkräfte, Kundenansprechpartner, Tresorit, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Berechnungsgrundlage für Vertrag); Löschung der Teilnehmerlisten nach Abschluss des Seminars |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
8.2 Verarbeitungstätigkeit „Seminar-Durchführung“
Verarbeitungstätigkeit | Seminar-Durchführung |
Standort der Verarbeitung | deutschlandweit |
Eigentümer der Verarbeitung | Leitung Kundenberatung |
Zwecke und Beschreibung der Verarbeitung | Durchführung der gebuchten Leistung wie Seminar, Workshop, Training, Webinar |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO |
Kategorien betroffener Personen | Honorarkräfte, Berater, Teilnehmer, Kundenberatung |
Kategorien personenbezogener Daten | Kundenberatung: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer) Teilnehmer: Name, Vorname, Funktion
|
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Berater, Kundenberatung |
Kategorien von Empfängern extern | Honorarkräfte, ON24, Zoom, Teams, Teilnehmer |
Datenübermittlung in Drittländer | Ja |
Geeignete Garantien der Datenübermittlung in Drittländer | On24> USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework Zoom > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework Microsoft > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework |
Löschungsfristen | Löschung der Teilnehmerlisten nach Abschluss des Seminars |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
9. Informationspflichten – QM
9.1 Verarbeitungstätigkeit „Steuerung Qualitätsmanagement“
Verarbeitungstätigkeit | Steuerung Qualitätsmanagement |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Geschäftsführung |
Zwecke und Beschreibung der Verarbeitung | Qualitätssicherung, Verbesserung von Prozessen und Dienstleistungen |
Rechtsgrundlage | Art. 6, Abs. 1, lit. f DSGVO |
Kategorien betroffener Personen | Mitarbeiter, Kundenunternehmen, Dienstleister |
Kategorien personenbezogener Daten | Berufliche Kontaktdaten (E-Mailadresse, Telefonnummer), Name, Vorname, Abteilung |
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | C |
Kategorien von Empfängern intern | Geschäftsführung, QM-Koordinatorin, Mitarbeiter, Team/Bereichsleitung |
Kategorien von Empfängern extern | Externe QM-Beauftragte, Tresorit, Kundenunternehmen |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre für Zertifizierungsunterlagen 6 Jahre QM Dokumentationen |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
9.2 Verarbeitungstätigkeit „Beschwerdemanagement“
Verarbeitungstätigkeit | Beschwerdemanagement |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Geschäftsführung |
Zwecke und Beschreibung der Verarbeitung | Bearbeitung von Beschwerden durch Kundenansprechpartner, Klienten, Interessenten |
Rechtsgrundlage | Art. 6, Abs. 1, lit. b DSGVO, Art. 6, Abs. 1, lit. f DSGVO; Art. 9 Abs. 2, lit. h DSGVO |
Kategorien betroffener Personen | Kundenansprechpartner, Klienten oder Interessenten |
Kategorien personenbezogener Daten | Name, Vorname, (berufliche) Kontaktdaten (E-Mail-Adresse, Telefonnummer), Inhalte der Beschwerde (im Klientenkontext ggf. Gesundheitsdaten) |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. |
Schutzstufe | D |
Kategorien von Empfängern intern | Geschäftsführung, Leitung Kundenberatung, Bereichsleitung Interventions, Leitung Finance, Mitarbeiter |
Kategorien von Empfängern extern | Tresorit, eWorks (Klienten) |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Klientendokumentation) 6 Jahre (Kundenansprechpartner, Interessenten) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
9.3 Verarbeitungstätigkeit „Feedback zu Beratungsdienstleistungen“
Verarbeitungstätigkeit | Feedback zu Beratungsdienstleistungen |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Bereichsleitung Interventions |
Zwecke und Beschreibung der Verarbeitung | Erfassung der Qualität der Beratungsdienstleistungen, den Klienten werden nach Abschluss der Beratung 4 standardisierte Fragen per E-Mail-Link zugestellt |
Rechtsgrundlage | Art. 6, Abs. 1, lit. f DSGVO; Art. 9 Abs. 2, lit. h DSGVO |
Kategorien betroffener Personen | Klienten |
Kategorien personenbezogener Daten | E-Mailadresse (falls hinterlegt), Bewertung der Beratungsleistung, ggf. Name der Berater/Honorarkräfte und Gesundheitsdaten |
Besondere Kategorien personenbezogener Daten | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. |
Schutzstufe | D |
Kategorien von Empfängern intern | Klientenservice, Berater, Bereichsleitung Interventions |
Kategorien von Empfängern extern | Honorarkräfte, eWorks |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre (Klientendokumentation) |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |
10. Informationspflichten – Allgemein
10.1 Verarbeitungstätigkeit „Aktenablage (print/digital)“
Verarbeitungstätigkeit | Aktenablage (print/ digital) |
Standort der Verarbeitung | Frankfurt, Hamburg |
Eigentümer der Verarbeitung | Officemanagement |
Zwecke und Beschreibung der Verarbeitung | Speicherung und Ablage relevanter Ein- und Ausgänge |
Rechtsgrundlage | Art. 6, Abs. 1, lit. c DSGVO |
Kategorien betroffener Personen | Kundenansprechpartner, Mitarbeiter, Interessenten, Ansprechpartner von Kooperationspartner/ Dienstleister, Behörden, Versicherungen |
Kategorien personenbezogener Daten | Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
Ansprechpartner von Kooperationspartnern/ Dienstleistern: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)
|
Besondere Kategorien personenbezogener Daten | - |
Schutzstufe | B |
Kategorien von Empfängern intern | Print: Officemanagement, Geschäftsführung, Leitung Finance
Digital: Zugriff entsprechend dem Need-to-know-Prinzip für die unterschiedlichen Personen und Bereiche
|
Kategorien von Empfängern extern | Tresorit, Aktenvernichtungsunternehmen, Asklepios |
Datenübermittlung in Drittländer | Nein |
Geeignete Garantien der Datenübermittlung in Drittländer | - |
Löschungsfristen | 10 Jahre: Buchhaltungsunterlagen, Rechnungen, Steuerunterlagen, Bankbelege 6 Jahre: Geschäfts- und Handelsbriefe, Verträge, Angebotsunterlagen |
Verwendete Datenverarbeitungssysteme | Siehe Übersicht Datenverarbeitungssysteme |
Technisch organisatorische Maßnahmen | Siehe Übersicht toM |