1. INFORMATIONSPFLICHTEN - Bewerber

Direkterhebung (Artikel 13 DSGVO)

Weitere Details insbesondere zu Ihren Rechten (Auskunft, Widerspruch, Datenübertragbarkeit, Berechtigung, Löschung, Einschränkung und Ihrem Beschwerderecht bei einer Aufsichtsbehörde) entnehmen Sie unserer allgemeinen Datenschutzerklärung unter https://www.insite.de/datenschutz

 

1.1 Verarbeitungstätigkeit „Bewerbungen“

Verarbeitungstätigkeit

Bewerbungen

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Personalmanagement

Zwecke und Beschreibung der Verarbeitung

Auswahl von Bewerbern für ausgeschriebene Positionen sowie Management von Initiativbewerbungen

Rechtsgrundlage

§26, Abs. 1 BDSG-neu; Art. 6 Abs. 1, lit. b DSGVO, Art. 6 Abs. 1, lit. a DSGVO; Art. 9 Abs. 2 lit. b DSGVO; Art. 6 Abs. 1, lit. f DSGVO

Kategorien betroffener Personen

Bewerber, d.h. Interessenten an einer Zusammenarbeit

Kategorien personenbezogener Daten

Name, Vorname, Kontaktdaten, Lebenslauf mit Qualifikation, Berufserfahrung, Hobbys, Gesundheitsdaten

Besondere Kategorien personenbezogener Daten

Rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen und Gesundheitsdaten

Schutzstufe

C

Kategorien von Empfängern intern

Team-/Bereichsleitung, Personalmanagement, Geschäftsführung

Kategorien von Empfängern extern

Personio, Tresorit

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

  • Nach Beendigung des Auswahlprozesses+ 6 Monate

  • bei vorheriger Einwilligung Speicherung im Bewerberpool, Löschung erfolgt nach 12 Monaten (Festanstellung), 36 Monaten (Honorarkräften) 

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

2. Informationspflichten - Honorarkräfte Bewerbermanagement und Kooperation

Direkterhebung (Artikel 13 DSGVO)

 

2.1 Verarbeitungstätigkeit „Suche von Honorarkräften“

Verarbeitungstätigkeit

Suche von Honorarkräften

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Beratermanagement

Zwecke und Beschreibung der Verarbeitung

Suche von neuen Honorarkräften, die für INSITE unterschiedliche Dienstleistungen erbringen. 

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Potentielle Honorarkräfte

Kategorien personenbezogener Daten

Kontaktdaten, Qualifikation, über das Internet verfügbare Informationen der Webseiten der Honorarkräfte

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

A

Kategorien von Empfängern intern

Beratermanagement, Bereichsleitung

Kategorien von Empfängern extern

Tresorit

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung

-

Löschungsfristen

Bei Kooperation 10 Jahre, bei Ablehnung 6 Monate nach Abschluss des Verfahrens

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

2.2 Verarbeitungstätigkeit „Verträge von Honorarkräften“

Verarbeitungstätigkeit

Verträge von Honorarkräften

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Beratermanagement

Zwecke und Beschreibung der Verarbeitung

Allgemeines Vertragsmanagement für Honorarkräfte

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit. b DSGVO 

Kategorien betroffener Personen

Honorarkräfte, Beratermanagement

Kategorien personenbezogener Daten

Berufliche Kontaktdaten, Leistungsbeschreibung, Qualifikationsdaten, Vertragsdaten inkl. Honorar

Besondere Kategorien personenbezogener Daten

Rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen und Gesundheitsdaten.

Schutzstufe

C

Kategorien von Empfängern intern

Kundenberatung, Personalmanagement, Geschäftsführung, Bereichsleitung, Beratermanagement

Kategorien von Empfängern extern

Tresorit, Docusign

Datenübermittlung in Drittländer  

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

DocuSign: Vielzahl an Ländern USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

Löschungsfristen

10 Jahre § 147 Abgabenordnung, § 257 HGB

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

2.3 Verarbeitungstätigkeit „Koordination und Betreuung von Honorarkräften“

Verarbeitungstätigkeit

Koordination und Betreuung von Honorarkräften

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Beratermanagement

Zwecke und Beschreibung der Verarbeitung

Gewährleistung eines reibungslosen Ablaufes der Leistungserbringung von Honorarkräften; Hilfestellung bei Unklarheiten

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit. b DSGVO 

Kategorien betroffener Personen

Honorarkraft, Beratermanagement, Team- und Bereichsleitung; Kundenberatung, IT-Sicherheitsbeauftragter, Klientenservice; Klienten

Kategorien personenbezogener Daten

Name, berufliche Kontaktdaten: E-Mailadresse, Telefonnummer, Standort, Klientendaten

Besondere Kategorien personenbezogener Daten

Gesundheitsdaten

Schutzstufe

C

Kategorien von Empfängern intern

Beratermanagement, Team- und Bereichsleitung; Kundenberatung, IT-Sicherheitsbeauftragter, Klientenservice; Mitarbeiter

Kategorien von Empfängern extern

Honorarkraft, eWorks

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre als Teil der Dokumentationssystems

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

2.4 Verarbeitungstätigkeit „Beendigung von Honorarverträgen“

Verarbeitungstätigkeit

Beendigung von Honorarverträgen

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Beratermanagement

Zwecke und Beschreibung der Verarbeitung

Formale Regelung des Ausscheidens von Honorarkräften; Sperrung von Systemzugängen; Auflösung des Kooperationsverhältnisses

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Honorarkraft

Kategorien personenbezogener Daten

berufliche Kontaktdaten, Vertragsdaten, Qualifikationen

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

C

Kategorien von Empfängern intern

Mitarbeiter, Beratermanagement, Geschäftsführung, Team- und Bereichsleitung

Kundenberatung

Kategorien von Empfängern extern

Tresorit, eWorks

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre für Verträge, sofortige Sperrung der Systemzugänge und Löschung der Webseitenpräsenz

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3. INFORMATIONSPFLICHTEN - Kunden

3.1 Verarbeitungstätigkeit „Angebotserstellung“

Verarbeitungstätigkeit

Angebotserstellung

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Vertrieb

Zwecke und Beschreibung der Verarbeitung

Kontaktaufnahme zu potenziellen Neukunden; Reaktion auf Kundenanfragen; Dokumentation des Akquisitionsprozesses

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO

Kategorien betroffener Personen

Interessenten, Mitarbeiter

Kategorien personenbezogener Daten

Kontakt- und Adressdaten, Funktionen, Angebotsdaten

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Geschäftsführung, Vertrieb, Kundenberatung, Bereichsleitung 

Kategorien von Empfängern extern

Pipedrive, Tresorit

Datenübermittlung in Drittländer  

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

Pipedrive: Ja > USA 

Angemessenheits-beschluss > EU-U.S. Data Privacy Framework

Löschungsfristen

Angebote, die erfolgreich waren: 10 Jahre

Angebote, die nicht erfolgreich waren: 6 Jahre

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.2 Verarbeitungstätigkeit „Kundenverträge oder Zusatzvereinbarungen“

Verarbeitungstätigkeit

Kundenverträge / Zusatzvereinbarungen

Standort der Verarbeitung

Frankfurt, Hamburg

Verantwortlich/ Eigentümer

Vertrieb

Zwecke und Beschreibung der Verarbeitung

Erstellung, Unterschrift und Distribution der Kundenverträge an die weiterführenden Prozesse Kundenberatung, Finance, Office

Rechtsgrundlage

Art. 6, Abs. 1 lit. b DSGVO 

Kategorien betroffener Personen

Mitarbeiter, Kunden

Kategorien personenbezogener Daten

Mitarbeiter: Name, Vorname, Position, E-Mail-Adresse

Kunden: Name, Vorname, Position, E-Mail-Adresse

Vertragsdaten, geschäftl. Kontodaten

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Vertrieb, Kundenberatung, Office, Finance, Geschäftsführung, Prokura

 

Kategorien von Empfängern extern

Tresorit, DocuSign, Pipedrive, MS Office

Datenübermittlung in Drittländer oder internationale Organisationen?

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

Pipedrive: Ja > USA 

Angemessenheits-beschluss > EU-U.S. Data Privacy Framework

Löschungsfristen

10 Jahre für Verträge und Zusatzvereinbarungen, sofortige Löschung der Webseitenpräsenz bei Kündigung

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.3 Verarbeitungstätigkeit „Fakturierung- Ausgangsrechnungen an Kunden“

Verarbeitungstätigkeit

Fakturierung- Ausgangsrechnungen an Kunden 

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Finance

Zwecke und Beschreibung der Verarbeitung

Rechnungslegung gegenüber Kunden sowie Support bei Rückfragen; Mahnwesen

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO, 

Kategorien betroffener Personen

Finance, Kundenansprechpartner, Mitarbeiter

Kategorien personenbezogener Daten

Name, Vorname, berufliche oder private Kontaktdaten (Telefonnummer, E-Mailadresse), Kontodaten, Funktion, Adresse

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

C

Kategorien von Empfängern intern

Finance, Team/Bereichsleitung, Geschäftsführung, Prokura, Kundenberatung, Office 

Kategorien von Empfängern extern

Kunden, Lexware, Tresorit

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (§ 14 b, Abs. 1 UStG, §257, Abs. 1, Nr. 1 HGB)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.4 Verarbeitungstätigkeit „Management der Kundenunternehmen“

Verarbeitungstätigkeit

Management der Kundenunternehmen

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Marketing und Kommunikation der vertraglichen Dienstleistung innerhalb des Kundenunternehmens, Support der Ansprechpartner des Kunden

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Kundenberater, Berater, Honorarkräfte, Kundenansprechpartner

Kategorien personenbezogener Daten

Kundenberater: Name, Vorname, berufliche  Kontaktdaten  (E-Mailadresse, Telefonnummer)


Berater/Honorarkräfte: Name, Vorname, Qualifikation, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)


Kundenansprechpartner: Name, Vorname, Qualifikation, beruflich Kontaktdaten (E-Mailadresse, Telefonnummer)

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Kundenberatung, Berater, Honorarkräfte

Kategorien von Empfängern extern

Kundenansprechpartner, Tresorit, eWorks

Datenübermittlung in Drittländer

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Berechnungsgrundlage für Vertrag)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.5 Verarbeitungstätigkeit „Reporting“

Verarbeitungstätigkeit

Reporting

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Erstellen und Versenden von halbjährlichen Häufigkeits-Reports bzgl. der Nutzung der Beratungsdienstleistung an die Kunden.

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Kundenberater, Kundenansprechpartner

Kategorien personenbezogener Daten

Kundenberater: Name, Vorname, Bild, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

 

Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)  

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Kundenberatung, Geschäftsführung, Vertrieb

Kategorien von Empfängern extern

Kundenansprechpartner, Tresorit

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Berechnungsgrundlage für Vertrag)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.6 Verarbeitungstätigkeit „Kundendashboard“ 

Verarbeitungstätigkeit

Kundendashboard

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Bereitstellung eines Tools für Kundenansprechpartner zum Abruf von Materialien und Reports

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO

Kategorien betroffener Personen

Kundenberater, Kundenansprechpartner

Kategorien personenbezogener Daten

Kundenberater: Name, Vorname, Bild, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)  

 

Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)  

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Kundenberatung, Geschäftsführung

Kategorien von Empfängern extern

Kundenansprechpartner, hatch

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Berechnungsgrundlage für Vertrag)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

3.7 Verarbeitungstätigkeit „Referenzen“

Verarbeitungstätigkeit

Referenzen

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Referenzen bieten potenziellen Interessenten die Möglichkeit, gleichrangige Funktionsträger in Kundenunternehmen von INSITE zu kontaktieren und Fragen zu stellen; 

Marketing auf eigener Webseite und Social Media

Rechtsgrundlage

Art. 6, Abs. 1, lit. a DSGVO 

Kategorien betroffener Personen

Kundenansprechpartner

Kategorien personenbezogener Daten

Name, Vorname, Funktion, Bild, berufliche Kontaktdaten (Telefonnummer, E-Mailadresse)

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Vertrieb, Kundenberatung, Marketing

Kategorien von Empfängern extern

Interessenten, Tresorit, LinkedIn, Instagram

Datenübermittlung in Drittländer  

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

Ja – USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework 

Löschungsfristen

Solange die Einwilligung gilt, also nicht widerrufen ist. Nach Beendigung des Vertragsverhältnisses mit dem Referenzgeber (Empfehlung, nicht verpflichtend)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

4. Informationspflichten- Klienten

4.1 Verarbeitungstätigkeit „Klientenberatung“

Verarbeitungstätigkeit

Klientenberatung

Standort der Verarbeitung

Deutschlandweit, Österreich, Schweiz, Luxemburg

Eigentümer der Verarbeitung

Bereichsleitung Interventions

Zwecke und Beschreibung der Verarbeitung

Durchführung der Beratung von Klienten zu individuellen Lebenslagen

Rechtsgrundlage

Art. 6, Abs. 1, lit. a DSGVO; Art. 9 Abs. 2, lit. h DSGVO

Kategorien betroffener Personen

Klienten, Honorarkräfte, Klientenservice, Berater, Versorgungsmanagement

Kategorien personenbezogener Daten

Klienten: Name, Vorname, Kontaktdaten, Arbeitgeber, Daten über Beratungsinhalte (ggf. anamnestische Daten, medizinische Daten, private und familiäre Daten)


Honorarkräfte: Name, Vorname, berufliche Kontaktdaten (Adresse, E-Mail, Telefonnummer), Qualifikation, Bild


Klientenservice/ Versorgungsmanagement: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

 

Besondere Kategorien personenbezogener Daten

Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

Schutzstufe

D

Kategorien von Empfängern intern

Klientenservice, Berater, Versorgungsmanagement, Bereichs- und Teamleitung

Kategorien von Empfängern extern

Honorarkräfte, Call Center, eWorks, Timify, Zoom

Datenübermittlung in Drittländer  

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

Timify: USA> Angemessenheitsbeschluss >

EU-US-Data Privacy Framework

Zoom: USA> Angemessenheitsbeschluss >

EU-US-Data Privacy Framework

Löschungsfristen

10 Jahre aus berufsrechtlichen Gründen (§ 630 BGB)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

4.2 Verarbeitungstätigkeit „Versorgungsmanagement“

VerarbeitungstätigkeitVersorgungsmanagement
Standort der VerarbeitungFrankfurt, Hamburg
Eigentümer der VerarbeitungBereichsleitung Interventions
Zwecke und Beschreibung der VerarbeitungVermittlung von freien Terminen bei passenden Behandlern innerhalb des Versorgungssystems an behandlungsbedürftigen Klienten.
RechtsgrundlageArt. 6, Abs. 1, lit. a DSGVO; Art. 9 Abs. 2, lit. h DSGVO 
Kategorien betroffener PersonenHonorarkräfte, Berater, Versorgungsmanagement, Klienten, Behandler
Kategorien personenbezogener Daten

Honorarkräfte: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

Berater: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

 

Versorgungsmanagement: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)


Klienten: Name, Vorname, Kontaktdaten (E-Mail, Telefonnummer); ggf. Diagnosen oder Symptombeschreibungen, Mitgliedschaft Krankenversicherung

 

Behandler: Name, Vorname, berufliche Kontaktdaten (Adresse, Telefonnummer, E-Mailadresse), Qualifikation

Besondere Kategorien personenbezogener DatenRassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.
SchutzstufeD
Kategorien von Empfängern internVersorgungsmanagement, Berater, Klientenservice

Kategorien von Empfängern extern

Behandler, Klienten, Honorarkräfte, eWorks

Datenübermittlung in Drittländer Nein
Geeignete Garantien der Datenübermittlung in Drittländer-
Löschungsfristen10 Jahre aus berufsrechtlichen Gründen (§ 630 BGB)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

5. Informationspflichten - Whistleblowing (extern)

Direkterhebung (Artikel 13 DSGVO)

VerarbeitungstätigkeitWhistleblowing (extern)
Standort der VerarbeitungFrankfurt, Hamburg
Eigentümer der VerarbeitungBereichsleitung Interventions
Zwecke und Beschreibung der VerarbeitungBereitstellung einer Plattform für Abgabe von Hinweisen im Rahmen des Hinweisgeberschutzgesetzes für Kunden
RechtsgrundlageArt. 6, Abs. 1, lit. b DSGVO; Art. 9 Abs. 2, lit a DSGVO
Kategorien betroffener PersonenHinweisgebende Personen, sowie ggf. benannte Dritte, Meldestellenbeauftragte
Kategorien personenbezogener DatenGgf. Name, Position, Name und Informationen zu Hinweisen
Besondere Kategorien personenbezogener DatenRassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.
SchutzstufeD
Kategorien von Empfängern internMeldestellenbeauftragte

Kategorien von Empfängern extern

LegalInnovate Technologies, Benannte Kundenansprechpartner, Tresorit, externe Rechtsanwälte, Hinweisgeber, betroffene Personen, Ermittlungsbehörden

Datenübermittlung in DrittländerNein
Geeignete Garantien der Datenübermittlung in Drittländer-
Löschungsfristen10 Jahre nach Abschluss des Falls

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

DSFAdurchgeführt

 

6. INFORMATIONSPFLICHTEN - Newsletter

Verarbeitungstätigkeit

Newsletter

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Marketing

Zwecke und Beschreibung der Verarbeitung

Marketing, Versenden von News an Newsletter-Abonnenten

Rechtsgrundlage

Art. 6, Abs. 1, lit. a DSGVO 

Kategorien betroffener Personen

Newsletter-Abonnenten

Kategorien personenbezogener Daten

Anrede, Name, E-Mailadresse

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Marketing

Kategorien von Empfängern extern

xQueue

Datenübermittlung in Drittländer oder internationale Organisationen?

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

xQueue: USA > Angemessenheitsbeschluss >

EU-US-Data Privacy Framework

Löschungsfristen

Erfolgt mit Abmeldung, sofortige Löschung nach Wegfall des Zwecks

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

7. informationspflichten - öffentlichkeitsarbeit

7.1 Verarbeitungstätigkeit „Erstellen/Veröffentlichen von Foto-/Ton-/Videoaufnahmen“

VerarbeitungstätigkeitErstellen/Veröffentlichen von Foto-/Ton-/Videoaufnahmen
Standort der VerarbeitungFrankfurt, Hamburg
Eigentümer der VerarbeitungMarketing
Zwecke und Beschreibung der Verarbeitung

Erstellung von Foto-, Ton- und Videoaufnahmen im Rahmen von Veranstaltungen oder Referentenvorträgen und Veröffentlichung dieser. 

Erstellung von Fotoaufnahmen im Rahmen des Anstellungsverhältnisses zur Veröffentlichung auf der Unternehmenswebseite.

RechtsgrundlageArt. 6, Abs. 1, lit. a DSGVO 
Kategorien betroffener PersonenKundenansprechpartner, Mitarbeiter, Honorarkräfte
Kategorien personenbezogener Daten

Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse), Foto-, Ton-, Videoaufnahmen


Mitarbeiter: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer), Foto-, Ton-, Videoaufnahmen


Honorarkräfte: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse), Foto-, Ton-, Videoaufnahmen

Besondere Kategorien personenbezogener Daten-
SchutzstufeB
Kategorien von Empfängern internMarketing, Personalmanagement
Kategorien von Empfängern externTresorit, Social Media, Personio
Datenübermittlung in Drittländer Ja
Geeignete Garantien der Datenübermittlung in Drittländer

Meta > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

LinkedIn > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

Youtube > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

LöschungsfristenSolange die Einwilligung gilt, also nicht widerrufen ist.
Verwendete DatenverarbeitungssystemeSiehe Übersicht Datenverarbeitungssysteme
Technisch organisatorische Maßnahmen Siehe Übersicht toM

 

7.2 Verarbeitungstätigkeit „Betreiben von Unternehmensprofilen auf Social Media Plattformen“

VerarbeitungstätigkeitBetreiben von Unternehmensprofilen auf Social-Media Plattformen
Standort der VerarbeitungFrankfurt, Hamburg
Eigentümer der VerarbeitungMarketing
Zwecke und Beschreibung der Verarbeitung

Betreiben von Unternehmensprofilen zur Kundengewinnung, Kundenbindung unter Zuhilfenahme sozialer Medien inklusive Kommunikation und Interaktion mit Profilbesuchern. 

Erheben und Veröffentlichung personenbezogener Daten in Beiträgen, Fotos, Videos 

RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO
Kategorien betroffener PersonenProfilbesucher, Mitarbeiter, Referenten, Teilnehmer 
Kategorien personenbezogener Daten

Profilbesucher
Profilinformationen wie Vorname, Name,

Nickname, Foto, Videoaufnahmen, Alter und allgemein von den Usern in ihrem Account hinterlegte Daten, 

Sensible Daten: Biometrische Daten

 

Mitarbeiter

Kontakt (dienstlich): Adresse, Land, E-Mail-Adresse, Soziale Medien

Beruf/Bildung: Berufsbezeichnung, Akademischer Grad

Person: Foto-, Ton- und Videomaterial, Anrede, Titel, Vorname, Nachname, Sprache

Sensible Daten: Biometrische Daten 

 

Referenten
Kontakt (dienstlich): Adresse, Land, E-Mail-Adresse, Soziale Medien 
Beruf/Bildung: Berufsbezeichnung, Referenzen, Akademischer Grad 
Person: Foto-, Ton- und Videomaterial, Anrede, Titel, Vorname, Nachname, Sprache 
Sensible Daten: Biometrische Daten 

 

Teilnehmer
Kontakt (dienstlich): Soziale Medien, Arbeitgeber 
Person: Foto-, Ton- und Videoaufnahmen, Vorname, Nachname 
Arbeit: Arbeitgeber, Position/Funktion
Sensible Daten: Biometrische Daten 

 

Kunden 
Jubiläen der Firmen
Person: Foto-, Ton- und Videoaufnahmen, Vorname, Nachname
Arbeit: Arbeitgeber, Position/Funktion
Sensible Daten: Biometrische Daten 

Besondere Kategorien personenbezogener Daten

Gesundheitsdaten, wenn von den Profilbesuchern innerhalb von Kommentaren übermittelt;

Sensible Daten: Biometrische Daten

SchutzstufeC
Kategorien von Empfängern internMarketing, Kundenberatung
Kategorien von Empfängern extern

New Work SE (Xing)

 

Gemeinsame Verantwortlichkeit:  

Google LLC - Youtube
Meta Platforms, Inc. - Instragram
LinkedIn Ireland Unlimited Company

 

Blackpoint 

Datenübermittlung in Drittländer Ja - USA
Geeignete Garantien der Datenübermittlung in Drittländer

Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework

Standarddatenschutzklauseln (Controller Addendum)

LöschungsfristenMit Wegfall des Zwecks und nach Antrag eines Betroffenen

 
Verwendete DatenverarbeitungssystemeSiehe Übersicht Datenverarbeitungssysteme
Technisch organisatorische Maßnahmen Siehe Übersicht toM

 

8. informationspflichten – seminare

8.1 Verarbeitungstätigkeit „Seminare- Terminierung und Vorbereitung“

Verarbeitungstätigkeit

Seminare- Terminierung und Vorbereitung

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Abstimmung des Seminartermins mit Kunden mit Zeit, Ort, Teilnehmern und Inhalten

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Kundenberatung, Honorarkräfte, Kundenansprechpartner, Teilnehmer, Berater

Kategorien personenbezogener Daten

Kundenberatung/ Kundenansprechpartner:  Name, Vorname, berufliche  Kontaktdaten  (E-Mailadresse, Telefonnummer)

Berater/ Honorarkräfte: Name, Vorname, Qualifikation, Bild, berufliche  Kontaktdaten  (E-Mailadresse, Telefonnummer)

 

Teilnehmer: Name, Vorname, Funktion

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Kundenberatung, Berater

Kategorien von Empfängern extern

Honorarkräfte, Kundenansprechpartner, Tresorit, eWorks

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Berechnungsgrundlage für Vertrag); Löschung der Teilnehmerlisten nach Abschluss des Seminars

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

8.2 Verarbeitungstätigkeit „Seminar-Durchführung

Verarbeitungstätigkeit

Seminar-Durchführung

Standort der Verarbeitung

deutschlandweit

Eigentümer der Verarbeitung

Leitung Kundenberatung

Zwecke und Beschreibung der Verarbeitung

Durchführung der gebuchten Leistung wie Seminar, Workshop, Training, Webinar

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO 

Kategorien betroffener Personen

Honorarkräfte, Berater, Teilnehmer, Kundenberatung

Kategorien personenbezogener Daten

Kundenberatung:   Name, Vorname, berufliche  Kontaktdaten  (E-Mailadresse, Telefonnummer)

Berater/ Honorarkräfte: Name, Vorname, Qualifikation, Bild, berufliche  Kontaktdaten  (E-Mailadresse, Telefonnummer)

 

Teilnehmer: Name, Vorname, Funktion

 

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Berater, Kundenberatung

Kategorien von Empfängern extern

Honorarkräfte, ON24, Zoom, Teams, Teilnehmer

Datenübermittlung in Drittländer  

Ja

Geeignete Garantien der Datenübermittlung in Drittländer

On24> USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

Zoom > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

Microsoft > USA > Angemessenheitsbeschluss >EU-U.S. Data Privacy Framework

Löschungsfristen

Löschung der Teilnehmerlisten nach Abschluss des Seminars

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

 

 

9. Informationspflichten – QM

9.1 Verarbeitungstätigkeit „Steuerung Qualitätsmanagement“

Verarbeitungstätigkeit

Steuerung Qualitätsmanagement

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Geschäftsführung

Zwecke und Beschreibung der Verarbeitung

Qualitätssicherung, Verbesserung von Prozessen und Dienstleistungen

Rechtsgrundlage

Art. 6, Abs. 1, lit. f DSGVO

Kategorien betroffener Personen

Mitarbeiter, Kundenunternehmen, Dienstleister

Kategorien personenbezogener Daten

Berufliche Kontaktdaten (E-Mailadresse, Telefonnummer), Name, Vorname, Abteilung

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

C

Kategorien von Empfängern intern

Geschäftsführung, QM-Koordinatorin, Mitarbeiter, Team/Bereichsleitung

Kategorien von Empfängern extern

Externe QM-Beauftragte, Tresorit, Kundenunternehmen

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre für Zertifizierungsunterlagen

6 Jahre QM Dokumentationen

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

9.2 Verarbeitungstätigkeit „Beschwerdemanagement“

Verarbeitungstätigkeit

Beschwerdemanagement

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Geschäftsführung

Zwecke und Beschreibung der Verarbeitung

Bearbeitung von Beschwerden durch Kundenansprechpartner, Klienten, Interessenten

Rechtsgrundlage

Art. 6, Abs. 1, lit. b DSGVO, Art. 6, Abs. 1, lit. f DSGVO; Art. 9 Abs. 2, lit. h DSGVO

Kategorien betroffener Personen

Kundenansprechpartner, Klienten oder Interessenten

Kategorien personenbezogener Daten

Name, Vorname, (berufliche) Kontaktdaten (E-Mail-Adresse, Telefonnummer), Inhalte der Beschwerde (im Klientenkontext ggf. Gesundheitsdaten)

Besondere Kategorien personenbezogener Daten

Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

Schutzstufe

D

Kategorien von Empfängern intern

Geschäftsführung, Leitung Kundenberatung, Bereichsleitung Interventions, Leitung Finance, Mitarbeiter

Kategorien von Empfängern extern

Tresorit, eWorks (Klienten)

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Klientendokumentation)

6 Jahre (Kundenansprechpartner, Interessenten)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

9.3 Verarbeitungstätigkeit „Feedback zu Beratungsdienstleistungen“

Verarbeitungstätigkeit

Feedback zu Beratungsdienstleistungen

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Bereichsleitung Interventions

Zwecke und Beschreibung der Verarbeitung

Erfassung der Qualität der Beratungsdienstleistungen, den Klienten werden nach Abschluss der Beratung 4 standardisierte Fragen per E-Mail-Link zugestellt

Rechtsgrundlage

Art. 6, Abs. 1, lit. f DSGVO; Art. 9 Abs. 2, lit. h DSGVO 

Kategorien betroffener Personen

Klienten

Kategorien personenbezogener Daten

E-Mailadresse (falls hinterlegt), Bewertung der Beratungsleistung, ggf. Name der Berater/Honorarkräfte und Gesundheitsdaten

Besondere Kategorien personenbezogener Daten

Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

Schutzstufe

D

Kategorien von Empfängern intern

Klientenservice, Berater, Bereichsleitung Interventions

Kategorien von Empfängern extern

Honorarkräfte, eWorks

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre (Klientendokumentation)

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM

 

10. Informationspflichten – Allgemein

10.1 VerarbeitungstätigkeitAktenablage (print/digital)“

Verarbeitungstätigkeit

Aktenablage (print/ digital)

Standort der Verarbeitung

Frankfurt, Hamburg

Eigentümer der Verarbeitung

Officemanagement

Zwecke und Beschreibung der Verarbeitung

Speicherung und Ablage relevanter Ein- und Ausgänge

Rechtsgrundlage

Art. 6, Abs. 1, lit. c DSGVO 

Kategorien betroffener Personen

Kundenansprechpartner, Mitarbeiter, Interessenten, Ansprechpartner von Kooperationspartner/ Dienstleister, Behörden, Versicherungen

Kategorien personenbezogener Daten

Kundenansprechpartner: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)


Mitarbeiter: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)


Interessenten: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

 

Ansprechpartner von Kooperationspartnern/ Dienstleistern: Name, Vorname, berufliche Kontaktdaten (E-Mailadresse, Telefonnummer)

 

Besondere Kategorien personenbezogener Daten

-

Schutzstufe

B

Kategorien von Empfängern intern

Print: Officemanagement, Geschäftsführung, Leitung Finance

 

Digital: Zugriff entsprechend dem Need-to-know-Prinzip für die unterschiedlichen Personen und Bereiche

 

Kategorien von Empfängern extern

Tresorit, Aktenvernichtungsunternehmen, Asklepios

Datenübermittlung in Drittländer  

Nein

Geeignete Garantien der Datenübermittlung in Drittländer

-

Löschungsfristen

10 Jahre: Buchhaltungsunterlagen, Rechnungen, Steuerunterlagen, Bankbelege

6 Jahre: Geschäfts- und Handelsbriefe, Verträge, Angebotsunterlagen

Verwendete Datenverarbeitungssysteme

Siehe Übersicht Datenverarbeitungssysteme

Technisch organisatorische Maßnahmen 

Siehe Übersicht toM