Datenschutz

Daten­schutz­er­klä­rung nach der DSGVO für die Nut­zung von Micro­soft 365 Anwen­dun­gen (z. B. Micro­soft Teams, Micro­soft Forms)

I. Name und Anschrift der Verantwortlichen

Der Ver­ant­wort­li­che im Sin­ne der Daten­schutz-Grund­ver­ord­nung und ande­rer natio­na­ler Daten­schutz­ge­set­ze der Mit­glieds­staa­ten sowie sons­ti­ger daten­schutz­recht­li­cher Bestim­mun­gen ist:

IBIS Prof. Thome AG

Mer­gen­thei­mer Str. 76a

97082 Würz­burg

Tele­fon: +49 931 73046 500

Fax: +49 931 73046 99 500

E‑Mail: info@ibis-thome.de

Web­sei­te: www.ibis-thome.de

Die Ver­ant­wort­li­che hat die Secu­re Cloud Ser­vices GmbH als Auf­trags­ver­ar­bei­te­rin beauf­tragt. Die­se ist die zen­tra­le IT- und Kom­mu­ni­ka­ti­ons­dienst­leis­te­rin für die Unter­neh­men der Prof. Thome Grup­pe. Zu die­ser Unter­neh­mens­grup­pe gehö­ren die Admi­nis­tra­ti­on Intel­li­gence AG, AI LV-Insti­tut GmbH, IBIS Prof. Thome AG, IBIS Busi­ness Con­sul­ting AG, SYSTHE­MIS AG, SYSTHE­MIS Con­sul­ting AG sowie die Secu­re Cloud Ser­vices GmbH selbst. Es bestehen ver­trag­li­che Ver­ein­ba­run­gen zwi­schen den jewei­li­gen Unter­neh­men mit der Secu­re Cloud Ser­vices GmbH u. a. zur Bereit­stel­lung von ITK-Dienst­leis­tun­gen, Auf­trags­ver­ar­bei­tung, Ver­schwie­gen­heit sowie zum Daten­schutz. Der Ver­trags­part­ner gegen­über Micro­soft ist:

Secu­re Cloud Ser­vices GmbH

Mer­gen­thei­mer Str. 76a

97082 Würz­burg

Tele­fon: +49 931 73046 500

Fax: +49 931 73046 99 500

E‑Mail: info@scs.gmbh

Web­sei­te: www.scs.gmbh

II. Name und Anschrift des Datenschutzbeauftragten

Der Daten­schutz­be­auf­trag­te der Ver­ant­wort­li­chen und der Secu­re Cloud Ser­vices GmbH ist:

Rechts­an­walt Kon­stan­tin Malakas

Stein­bach­tal 2b

97072 Würz­burg

Tel. +49 931 29 98 08 – 0

Fax: +49 931 29 98 08 – 8

E‑mail: dsb@ibis-thome.de

Web­sei­ten: www.malakas.de; www.weblawyer.de

III. Teil­nah­me an Micro­soft Teams Online-Meetings

1. Beschrei­bung und Umfang der Datenverarbeitung

Für die Durch­füh­rung von Web-Mee­tings, Webi­na­ren und Tele­fon­kon­fe­ren­zen (im Fol­gen­den: „Online-Mee­ting“) – mit Beschäf­tig­ten der Prof. Thome Grup­pe, Mit­ar­bei­tern von ande­ren Unter­neh­men oder sons­ti­gen Per­so­nen – set­zen wir Micro­soft Teams (im Fol­gen­den: „Teams“) ein.

Teams ist eine kol­la­bo­ra­ti­ve Soft­ware der Micro­soft Cor­po­ra­ti­on (One Micro­soft Way Red­mond, WA 98052 – 6399 USA) und Bestand­teil von Micro­soft Office 365. Zur Teil­nah­me an einem Online-Mee­ting benö­ti­gen Sie ent­we­der die Teams-App oder einen Webbrowser.

Sie kön­nen an Online-Mee­tings ent­we­der als Gast teil­neh­men oder Sie ver­wen­den zur Teil­nah­me Ihren bestehen­den Micro­soft 365 Account. Die Teil­nah­me mit einem bestehen­den Account setzt eine Anmel­dung mit Ihnen Micro­soft-Zugangs­da­ten voraus.

Im Rah­men der Nut­zung von Teams wer­den fol­gen­de Daten verarbeitet:

1.     Daten zur Anmel­dung: IP-Adres­se, ggf. Micro­soft 365 Zugangs­da­ten, Tele­fon­num­mer (z. B. beim Ein­satz einer Mul­ti­fak­to­riden­ti­fi­zie­rung), ggf. Benutzername

2.     Daten zum Benut­zer: Anzei­gena­me, E‑Mail-Adres­se (wenn ange­ge­ben), Pro­fil­fo­to (wenn bereit­ge­stellt), Tele­fon­num­mer (wenn tele­fo­nisch ein­ge­wählt oder über das Pro­fil bereitgestellt)

3.     Daten zum Online-Mee­ting: Datum und Uhr­zeit, ein­deu­ti­ge Mee­ting-ID, ggf. Tele­fon­num­mer zur Ein­wahl, Teil­neh­mer­lis­te (Anzei­gena­me, E‑Mail-Adres­se (wenn ange­ge­ben), Pro­fil­fo­to (wenn bereit­ge­stellt), Tele­fon­num­mer (wenn tele­fo­nisch ein­ge­wählt oder über das Pro­fil bereit­ge­stellt) der Teilnehmer)

4.     Inhal­te des Online-Mee­tings: Ton‑, Bild und Text­bei­trä­ge der Benut­zer in Form von Frei­ga­ben von Mikrofon/ Kame­ra / Uploads / frei­ge­ge­be­nen Bild­schir­min­hal­ten / Tas­ta­tur­ein­ga­ben des Endgeräts

Die­se Daten (2, 3 und 4) kön­nen von sämt­li­chen Teil­neh­mern des Online-Mee­tings ggf. auch nach dem Mee­ting ein­ge­se­hen wer­den. Eben­so kön­nen auch von uns ein­ge­setz­te Dienst­leis­ter im Rah­men einer Auf­trags­ver­ar­bei­tung Emp­fän­ger per­so­nen­be­zo­ge­ner Daten sein. Für die Nut­zung des Diens­tes sind wir auf den Auf­trags­ver­ar­bei­ter Micro­soft ange­wie­sen, der not­wen­di­ger­wei­se Kennt­nis von den o. g. Daten erhält, sofern das zur Erfül­lung des Auf­trags­ver­ar­bei­tungs­ver­tra­ges erfor­der­lich ist. Wir haben den Spei­cher­ort für Teams in der Euro­päi­schen Uni­on (EU) gewählt und mit dem Auf­trags­ver­ar­bei­ter ver­trag­li­che Ver­ein­ba­run­gen zur Daten­wei­ter­ga­be getrof­fen. Die Daten­ver­ar­bei­tung erfolgt nicht in einem Dritt­land, wobei es aber sein kann, dass Daten­pa­ke­te ver­schlüs­selt auch über Dritt­län­der gerou­tet wer­den, wenn bei­spiels­wei­se Per­so­nen aus die­sen Län­dern am Online-Mee­ting teilnehmen.

Infor­ma­tio­nen zum Daten­schutz bei Micro­soft kön­nen Sie unter https://privacy.microsoft.com/de-de/privacystatement sowie unter https://www.microsoft.com/de-de/trust-center einsehen.

2. Rechts­grund­la­ge für die Datenverarbeitung

·       Grund­sätz­lich besteht unser Inter­es­se an der effek­ti­ven Durch­füh­rung von Online-Mee­tings. Die Rechts­grund­la­ge ergibt sich daher durch Art. 6 Abs. 1 lit. f DSGVO.

·       Für die Kom­mu­ni­ka­ti­on mit Beschäf­tig­ten oder Bewer­bern der Prof. Thome Grup­pe ist § 26 BDSG i. V. m. Art. 88 DSGVO die Rechts­grund­la­ge für die Datenverarbeitung.

·       Für die Kom­mu­ni­ka­ti­on mit ande­ren Unter­neh­men, zu denen ein ver­trag­li­ches Ver­hält­nis besteht, ist Art. 6 Abs. 1 lit. b DSGVO die Rechts­grund­la­ge für die Datenverarbeitung.

·       Wenn Online-Mee­tings auf­ge­zeich­net oder Screen­shots auf­ge­nom­men wer­den sol­len ist die Rechts­grund­la­ge dazu Art. 6 Abs. 1 lit. a DSGVO. In die­sem Fall wird die Ein­wil­li­gung vor der Aufzeichnung/Aufnahme eingeholt.

3. Zweck der Datenverarbeitung

Die Ver­ant­wort­li­che nutzt Teams für die Durch­füh­rung von Online-Meetings.

4. Dau­er der Speicherung

Die Ver­ant­wort­li­che hat eine Auf­be­wah­rungs­richt­li­nie erstellt. Dar­in ist defi­niert, wie lan­ge Daten in Micro­soft Teams (Chat­nach­rich­ten­in­halt mit Namen, Datum, Uhr­zeit, ggf. bereit­ge­stell­te Datei/en) inner­halb des Chats gespei­chert blei­ben. Die Auf­be­wah­rungs­zeit für die von Ihnen erfass­ten Daten beträgt 90 Tage. Grund­sätz­lich wer­den per­so­nen­be­zo­ge­ne Daten aber nur solan­ge gespei­chert, bis kein Erfor­der­nis mehr besteht.

5. Wider­spruchs- und Beseitigungsmöglichkeit

Sie kön­nen Ihrer erteil­ten Ein­wil­li­gung jeder­zeit für die Zukunft wider­spre­chen. Ihre Ein­wil­li­gung bleibt hier­bei bis zu Ihrem Wider­spruch bestehen.

Wenn Sie mit Ihrem bestehen­den Micro­soft 365 Account an Online-Mee­tings teil­neh­men, haben Sie die Mög­lich­keit, von Ihnen ein­ge­ge­ben Chat­nach­rich­ten (Text, bereit­ge­stell­te Datei/en) wie­der zu löschen.

III. Teil­nah­me an Micro­soft Forms

1. Beschrei­bung und Umfang der Datenverarbeitung

Für die Durch­füh­rung von Umfra­gen, Abstim­mun­gen, Anmel­dun­gen etc. (im Fol­gen­den: „Online-Umfra­ge“) – mit Beschäf­tig­ten der Prof. Thome Grup­pe, Mit­ar­bei­tern von ande­ren Unter­neh­men oder sons­ti­gen Per­so­nen – set­zen wir Micro­soft Forms (im Fol­gen­den: „Forms“) ein.

Forms ist eine kol­la­bo­ra­ti­ve Soft­ware der Micro­soft Cor­po­ra­ti­on (One Micro­soft Way Red­mond, WA 98052 – 6399 USA) und Bestand­teil von Micro­soft Office 365. Zur Teil­nah­me an einer Online-Umfra­ge benö­ti­gen Sie einen Webbrowser.

Sie kön­nen an Online-Umfra­gen ent­we­der als Gast teil­neh­men oder Sie ver­wen­den zur Teil­nah­me Ihren bestehen­den Micro­soft 365 Account. Die Teil­nah­me mit einem bestehen­den Account setzt eine Anmel­dung mit Ihnen Micro­soft-Zugangs­da­ten voraus.

Im Rah­men der Nut­zung von Forms wer­den fol­gen­de Daten verarbeitet:

1.     Daten zur Anmel­dung: IP-Adres­se, ggf. Micro­soft 365 Zugangs­da­ten, Tele­fon­num­mer (z. B. beim Ein­satz einer Mul­ti­fak­to­riden­ti­fi­zie­rung), ggf. Benutzername

2.     Daten zum Benut­zer: Anzei­gena­me, E‑Mail-Adres­se (wenn ange­ge­ben), Pro­fil­fo­to (wenn bereitgestellt)

3.     Daten zur Online-Umfra­ge: ein­deu­ti­ge ID zur Umfra­ge, Datum und Uhr­zeit und Ant­wor­ten der befrag­ten Teil­neh­mer. Je nach Umfra­ge kön­nen auch Daten erfasst wer­den, die außer der IP-Adres­se kei­ne direk­ten Rück­schlüs­se auf Ihre Per­son zulas­sen (z. B. wenn für die Teil­nah­me an der Befra­gung kei­ne Micro­soft 365 Account erfor­der­lich und die Anga­be per­so­nen­be­zo­ge­ner Daten frei­wil­lig ist). Durch Ihre Ein­ga­ben kön­nen aber gege­be­nen­falls indi­rek­te Rück­schlüs­se auf Ihre Per­son getrof­fen werden.

Die­se Daten (2 und 3) kön­nen von der Ver­ant­wort­li­chen nach dem Absen­den der Umfra­ge ein­ge­se­hen wer­den. Eben­so kön­nen auch von uns ein­ge­setz­te Dienst­leis­ter im Rah­men einer Auf­trags­ver­ar­bei­tung Emp­fän­ger per­so­nen­be­zo­ge­ner Daten sein. Für die Nut­zung des Diens­tes sind wir auf den Auf­trags­ver­ar­bei­ter Micro­soft ange­wie­sen, der not­wen­di­ger­wei­se Kennt­nis von den o. g. Daten erhält, sofern das zur Erfül­lung des Auf­trags­ver­ar­bei­tungs­ver­tra­ges erfor­der­lich ist. Wir haben den Spei­cher­ort für Teams in der Euro­päi­schen Uni­on (EU) gewählt und mit dem Auf­trags­ver­ar­bei­ter ver­trag­li­che Ver­ein­ba­run­gen zur Daten­wei­ter­ga­be getrof­fen. Die Daten­ver­ar­bei­tung erfolgt nicht in einem Dritt­land, wobei es aber sein kann, dass Daten­pa­ke­te ver­schlüs­selt auch über Dritt­län­der gerou­tet wer­den, wenn bei­spiels­wei­se Per­so­nen aus die­sen Län­dern an der Online-Umfra­ge teilnehmen.

Infor­ma­tio­nen zum Daten­schutz bei Micro­soft kön­nen Sie unter https://privacy.microsoft.com/de-de/privacystatement sowie unter https://www.microsoft.com/de-de/trust-center einsehen.

2. Rechts­grund­la­ge für die Datenverarbeitung

·       Grund­sätz­lich besteht unser Inter­es­se an der effek­ti­ven Durch­füh­rung von Online-Umfra­gen. Die Rechts­grund­la­ge ergibt sich daher durch Art. 6 Abs. 1 lit. f DSGVO.

·       Für die Befra­gung von Beschäf­tig­ten oder Bewer­bern der Prof. Thome Grup­pe ist § 26 BDSG i. V. m. Art. 88 DSGVO die Rechts­grund­la­ge für die Datenverarbeitung.

·       Für die Befra­gung von Mit­ar­bei­tern ande­rer Unter­neh­men, zu denen ein ver­trag­li­ches Ver­hält­nis besteht, ist Art. 6 Abs. 1 lit. b DSGVO die Rechts­grund­la­ge für die Datenverarbeitung.

3. Zweck der Datenverarbeitung

Die Ver­ant­wort­li­che nutzt Forms für die Durch­füh­rung von Online-Umfragen.

4. Dau­er der Speicherung

Grund­sätz­lich wer­den per­so­nen­be­zo­ge­ne Daten nur solan­ge gespei­chert, bis kein Erfor­der­nis mehr besteht. Sofern wir Umfra­ge­er­geb­nis­se auf­be­wah­ren möch­ten, wer­den sämt­li­che Daten, die Rück­schlüs­se auf Ihre Per­son zulas­sen, anony­mi­siert oder gelöscht.

5. Wider­spruchs- und Beseitigungsmöglichkeit

Sie kön­nen Ihrer erteil­ten Ein­wil­li­gung jeder­zeit für die Zukunft wider­spre­chen. Ihre Ein­wil­li­gung bleibt hier­bei bis zu Ihrem Wider­spruch bestehen.

IV. Rech­te der betrof­fe­nen Person

Wer­den per­so­nen­be­zo­ge­ne Daten von Ihnen ver­ar­bei­tet, sind Sie Betrof­fe­ner i.S.d. DSGVO und es ste­hen Ihnen fol­gen­de Rech­te gegen­über der Ver­ant­wort­li­chen zu:

1. Aus­kunfts­recht

Sie kön­nen von dem Ver­ant­wort­li­chen eine Bestä­ti­gung dar­über ver­lan­gen, ob per­so­nen­be­zo­ge­ne Daten, die Sie betref­fen, von uns ver­ar­bei­tet werden.

Liegt eine sol­che Ver­ar­bei­tung vor, kön­nen Sie von dem Ver­ant­wort­li­chen über fol­gen­de Infor­ma­tio­nen Aus­kunft verlangen:

(1) die Zwe­cke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden;

(2) die Kate­go­rien von per­so­nen­be­zo­ge­nen Daten, wel­che ver­ar­bei­tet werden;

(3) die Emp­fän­ger bzw. die Kate­go­rien von Emp­fän­gern, gegen­über denen die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten offen­ge­legt wur­den oder noch offen­ge­legt werden;

(4) die geplan­te Dau­er der Spei­che­rung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten oder, falls kon­kre­te Anga­ben hier­zu nicht mög­lich sind, Kri­te­ri­en für die Fest­le­gung der Speicherdauer;

(5) das Bestehen eines Rechts auf Berich­ti­gung oder Löschung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, eines Rechts auf Ein­schrän­kung der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen oder eines Wider­spruchs­rechts gegen die­se Verarbeitung;

(6) das Bestehen eines Beschwer­de­rechts bei einer Aufsichtsbehörde;

(7) alle ver­füg­ba­ren Infor­ma­tio­nen über die Her­kunft der Daten, wenn die per­so­nen­be­zo­ge­nen Daten nicht bei der betrof­fe­nen Per­son erho­ben werden;

(8) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­filing gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumin­dest in die­sen Fäl­len – aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.

Ihnen steht das Recht zu, Aus­kunft dar­über zu ver­lan­gen, ob die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten in ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on über­mit­telt wer­den. In die­sem Zusam­men­hang kön­nen Sie ver­lan­gen, über die geeig­ne­ten Garan­tien gem. Art. 46 DSGVO im Zusam­men­hang mit der Über­mitt­lung unter­rich­tet zu werden.

2. Recht auf Berichtigung

Sie haben ein Recht auf Berich­ti­gung und/oder Ver­voll­stän­di­gung gegen­über dem Ver­ant­wort­li­chen, sofern die ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten, die Sie betref­fen, unrich­tig oder unvoll­stän­dig sind. Der Ver­ant­wort­li­che hat die Berich­ti­gung unver­züg­lich vorzunehmen.

3. Recht auf Ein­schrän­kung der Verarbeitung

Unter den fol­gen­den Vor­aus­set­zun­gen kön­nen Sie die Ein­schrän­kung der Ver­ar­bei­tung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten verlangen:

(1) wenn Sie die Rich­tig­keit der Sie betref­fen­den per­so­nen­be­zo­ge­nen für eine Dau­er bestrei­ten, die es dem Ver­ant­wort­li­chen ermög­licht, die Rich­tig­keit der per­so­nen­be­zo­ge­nen Daten zu überprüfen;

(2) die Ver­ar­bei­tung unrecht­mä­ßig ist und Sie die Löschung der per­so­nen­be­zo­ge­nen Daten ableh­nen und statt­des­sen die Ein­schrän­kung der Nut­zung der per­so­nen­be­zo­ge­nen Daten verlangen;

(3) der Ver­ant­wort­li­che die per­so­nen­be­zo­ge­nen Daten für die Zwe­cke der Ver­ar­bei­tung nicht län­ger benö­tigt, Sie die­se jedoch zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen benö­ti­gen, oder

(4) wenn Sie Wider­spruch gegen die Ver­ar­bei­tung gemäß Art. 21 Abs. 1 DSGVO ein­ge­legt haben und noch nicht fest­steht, ob die berech­tig­ten Grün­de des Ver­ant­wort­li­chen gegen­über Ihren Grün­den überwiegen.

Wur­de die Ver­ar­bei­tung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ge­schränkt, dür­fen die­se Daten – von ihrer Spei­che­rung abge­se­hen – nur mit Ihrer Ein­wil­li­gung oder zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen oder zum Schutz der Rech­te einer ande­ren natür­li­chen oder juris­ti­schen Per­son oder aus Grün­den eines wich­ti­gen öffent­li­chen Inter­es­ses der Uni­on oder eines Mit­glied­staats ver­ar­bei­tet werden.

Wur­de die Ein­schrän­kung der Ver­ar­bei­tung nach den o.g. Vor­aus­set­zun­gen ein­ge­schränkt, wer­den Sie von dem Ver­ant­wort­li­chen unter­rich­tet bevor die Ein­schrän­kung auf­ge­ho­ben wird.

4. Recht auf Löschung

a) Löschungs­pflicht

Sie kön­nen von dem Ver­ant­wort­li­chen ver­lan­gen, dass die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten unver­züg­lich gelöscht wer­den, und der Ver­ant­wort­li­che ist ver­pflich­tet, die­se Daten unver­züg­lich zu löschen, sofern einer der fol­gen­den Grün­de zutrifft:

(1) Die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten sind für die Zwe­cke, für die sie erho­ben oder auf sons­ti­ge Wei­se ver­ar­bei­tet wur­den, nicht mehr notwendig.

(2) Sie wider­ru­fen Ihre Ein­wil­li­gung, auf die sich die Ver­ar­bei­tung gem. Art. 6 Abs. 1 S.1 lit. a oder Art. 9 Abs. 2 S.1 lit. a DSGVO stütz­te, und es fehlt an einer ander­wei­ti­gen Rechts­grund­la­ge für die Verarbeitung.

(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Wider­spruch gegen die Ver­ar­bei­tung ein und es lie­gen kei­ne vor­ran­gi­gen berech­tig­ten Grün­de für die Ver­ar­bei­tung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Wider­spruch gegen die Ver­ar­bei­tung ein.

(4) Die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten wur­den unrecht­mä­ßig verarbeitet.

(5) Die Löschung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten erfor­der­lich, dem der Ver­ant­wort­li­che unterliegt.

(6) Die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten wur­den in Bezug auf ange­bo­te­ne Diens­te der Infor­ma­ti­ons­ge­sell­schaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Infor­ma­ti­on an Dritte

Hat der Ver­ant­wort­li­che die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten öffent­lich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung ver­pflich­tet, so trifft er unter Berück­sich­ti­gung der ver­füg­ba­ren Tech­no­lo­gie und der Imple­men­tie­rungs­kos­ten ange­mes­se­ne Maß­nah­men, auch tech­ni­scher Art, um für die Daten­ver­ar­bei­tung Ver­ant­wort­li­che, die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten, dar­über zu infor­mie­ren, dass Sie als betrof­fe­ne Per­son von ihnen die Löschung aller Links zu die­sen per­so­nen­be­zo­ge­nen Daten oder von Kopien oder Repli­ka­tio­nen die­ser per­so­nen­be­zo­ge­nen Daten ver­langt haben.

c) Aus­nah­men

Das Recht auf Löschung besteht nicht, soweit die Ver­ar­bei­tung erfor­der­lich ist

(1) zur Aus­übung des Rechts auf freie Mei­nungs­äu­ße­rung und Information;

(2) zur Erfül­lung einer recht­li­chen Ver­pflich­tung, die die Ver­ar­bei­tung nach dem Recht der Uni­on oder der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unter­liegt, erfor­dert, oder zur Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde;

(3) aus Grün­den des öffent­li­chen Inter­es­ses im Bereich der öffent­li­chen Gesund­heit gemäß Art. 9 Abs. 2 S.1 lit. h und i sowie Art. 9 Abs. 3 DSGVO;

(4) für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwe­cke, wis­sen­schaft­li­che oder his­to­ri­sche For­schungs­zwe­cke oder für sta­tis­ti­sche Zwe­cke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genann­te Recht vor­aus­sicht­lich die Ver­wirk­li­chung der Zie­le die­ser Ver­ar­bei­tung unmög­lich macht oder ernst­haft beein­träch­tigt, oder

(5) zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechtsansprüchen.

5. Recht auf Unterrichtung

Haben Sie das Recht auf Berich­ti­gung, Löschung oder Ein­schrän­kung der Ver­ar­bei­tung gegen­über dem Ver­ant­wort­li­chen gel­tend gemacht, ist die­ser ver­pflich­tet, allen Emp­fän­gern, denen die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten offen­ge­legt wur­den, die­se Berich­ti­gung oder Löschung der Daten oder Ein­schrän­kung der Ver­ar­bei­tung mit­zu­tei­len, es sei denn, dies erweist sich als unmög­lich oder ist mit einem unver­hält­nis­mä­ßi­gen Auf­wand verbunden.

Ihnen steht gegen­über dem Ver­ant­wort­li­chen das Recht zu, über die­se Emp­fän­ger unter­rich­tet zu werden.

6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die Sie dem Ver­ant­wort­li­chen bereit­ge­stellt haben, in einem struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat zu erhal­ten. Außer­dem haben Sie das Recht die­se Daten einem ande­ren Ver­ant­wort­li­chen ohne Behin­de­rung durch den Ver­ant­wort­li­chen, dem die per­so­nen­be­zo­ge­nen Daten bereit­ge­stellt wur­den, zu über­mit­teln, sofern

(1) die Ver­ar­bei­tung auf einer Ein­wil­li­gung gem. Art. 6 Abs. 1 S.1 lit. a DSGVO oder Art. 9 Abs. 2 S.1 lit. a DSGVO oder auf einem Ver­trag gem. Art. 6 Abs. 1 S.1 lit. b DSGVO beruht und

(2) die Ver­ar­bei­tung mit­hil­fe auto­ma­ti­sier­ter Ver­fah­ren erfolgt.

In Aus­übung die­ses Rechts haben Sie fer­ner das Recht, zu erwir­ken, dass die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten direkt von einem Ver­ant­wort­li­chen einem ande­ren Ver­ant­wort­li­chen über­mit­telt wer­den, soweit dies tech­nisch mach­bar ist. Frei­hei­ten und Rech­te ande­rer Per­so­nen dür­fen hier­durch nicht beein­träch­tigt werden.

Das Recht auf Daten­über­trag­bar­keit gilt nicht für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich ist, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde.

7. Wider­spruchs­recht

Sie haben das Recht, aus Grün­den, die sich aus ihrer beson­de­ren Situa­ti­on erge­ben, jeder­zeit gegen die Ver­ar­bei­tung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die auf­grund von Art. 6 Abs. 1 S.1 lit. e oder f DSGVO erfolgt, Wider­spruch ein­zu­le­gen; dies gilt auch für ein auf die­se Bestim­mun­gen gestütz­tes Profiling.

Der Ver­ant­wort­li­che ver­ar­bei­tet die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten nicht mehr, es sei denn, er kann zwin­gen­de schutz­wür­di­ge Grün­de für die Ver­ar­bei­tung nach­wei­sen, die Ihre Inter­es­sen, Rech­te und Frei­hei­ten über­wie­gen, oder die Ver­ar­bei­tung dient der Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechtsansprüchen.

Wer­den die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet, um Direkt­wer­bung zu betrei­ben, haben Sie das Recht, jeder­zeit Wider­spruch gegen die Ver­ar­bei­tung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten zum Zwe­cke der­ar­ti­ger Wer­bung ein­zu­le­gen; dies gilt auch für das Pro­filing, soweit es mit sol­cher Direkt­wer­bung in Ver­bin­dung steht.

Wider­spre­chen Sie der Ver­ar­bei­tung für Zwe­cke der Direkt­wer­bung, so wer­den die Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten nicht mehr für die­se Zwe­cke verarbeitet.

Sie haben die Mög­lich­keit, im Zusam­men­hang mit der Nut­zung von Diens­ten der Infor­ma­ti­ons­ge­sell­schaft – unge­ach­tet der Richt­li­nie 2002/58/EG – Ihr Wider­spruchs­recht mit­tels auto­ma­ti­sier­ter Ver­fah­ren aus­zu­üben, bei denen tech­ni­sche Spe­zi­fi­ka­tio­nen ver­wen­det werden.

8. Recht auf Wider­ruf der daten­schutz­recht­li­chen Einwilligungserklärung

Sie haben das Recht, Ihre daten­schutz­recht­li­che Ein­wil­li­gungs­er­klä­rung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt.

9. Auto­ma­ti­sier­te Ent­schei­dung im Ein­zel­fall ein­schließ­lich Profiling

Sie haben das Recht, nicht einer aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung – ein­schließ­lich Pro­filing – beru­hen­den Ent­schei­dung unter­wor­fen zu wer­den, die Ihnen gegen­über recht­li­che Wir­kung ent­fal­tet oder Sie in ähn­li­cher Wei­se erheb­lich beein­träch­tigt. Dies gilt nicht, wenn die Entscheidung

(1) für den Abschluss oder die Erfül­lung eines Ver­trags zwi­schen Ihnen und dem Ver­ant­wort­li­chen erfor­der­lich ist,

(2) auf­grund von Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten, denen der Ver­ant­wort­li­che unter­liegt, zuläs­sig ist und die­se Rechts­vor­schrif­ten ange­mes­se­ne Maß­nah­men zur Wah­rung Ihrer Rech­te und Frei­hei­ten sowie Ihrer berech­tig­ten Inter­es­sen ent­hal­ten oder

(3) mit Ihrer aus­drück­li­chen Ein­wil­li­gung erfolgt.

Aller­dings dür­fen die­se Ent­schei­dun­gen nicht auf beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten nach Art. 9 Abs. 1 DSGVO beru­hen, sofern nicht Art. 9 Abs. 2 S.1 lit. a oder g DSGVO gilt und ange­mes­se­ne Maß­nah­men zum Schutz der Rech­te und Frei­hei­ten sowie Ihrer berech­tig­ten Inter­es­sen getrof­fen wurden.

Hin­sicht­lich der in (1) und (3) genann­ten Fäl­le trifft der Ver­ant­wort­li­che ange­mes­se­ne Maß­nah­men, um die Rech­te und Frei­hei­ten sowie Ihre berech­tig­ten Inter­es­sen zu wah­ren, wozu min­des­tens das Recht auf Erwir­kung des Ein­grei­fens einer Per­son sei­tens des Ver­ant­wort­li­chen, auf Dar­le­gung des eige­nen Stand­punkts und auf Anfech­tung der Ent­schei­dung gehört.

10. Recht auf Beschwer­de bei einer Aufsichtsbehörde

Unbe­scha­det eines ander­wei­ti­gen ver­wal­tungs­recht­li­chen oder gericht­li­chen Rechts­be­helfs steht Ihnen das Recht auf Beschwer­de bei einer Auf­sichts­be­hör­de, ins­be­son­de­re in dem Mit­glied­staat ihres Auf­ent­halts­orts, ihres Arbeits­plat­zes oder des Orts des mut­maß­li­chen Ver­sto­ßes, zu, wenn Sie der Ansicht sind, dass die Ver­ar­bei­tung der Sie betref­fen­den per­so­nen­be­zo­ge­nen Daten gegen die DSGVO verstößt.

Die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, unter­rich­tet den Beschwer­de­füh­rer über den Stand und die Ergeb­nis­se der Beschwer­de ein­schließ­lich der Mög­lich­keit eines gericht­li­chen Rechts­be­helfs nach Art. 78 DSGVO.

 

*************

Wei­te­re Infor­ma­tio­nen und Erläu­te­run­gen in Bezug auf die oben genann­ten Rech­te fin­den Sie auf der Web­site „Rech­te für Bür­ger“ der euro­päi­schen Kommission.

 

 

Pri­va­cy poli­cy accord­ing to the GDPR for the use of Micro­soft 365 app­li­ca­ti­ons (e.g. Micro­soft Teams, Micro­soft Forms)

I. Name and address of the respon­si­ble persons

The respon­si­ble par­ty wit­hin the mea­ning of the Gene­ral Data Pro­tec­tion Regu­la­ti­on and other natio­nal data pro­tec­tion laws of the mem­ber sta­tes as well as other data pro­tec­tion regu­la­ti­ons is:

IBIS Prof. Thome AG

Mer­gen­thei­mer Str. 76a

97082 Würz­burg

Pho­ne: +49 931 73046 500

Fax: +49 931 73046 99 500

EMail: info@ibis-thome.de

Web­site: www.ibis-thome.de

The respon­si­ble par­ty has com­mis­sio­ned Secu­re Cloud Ser­vices GmbH as an order pro­ces­sor. This com­pa­ny is the cen­tral IT and com­mu­ni­ca­ti­ons ser­vice pro­vi­der for the com­pa­nies of the Prof. Thome Group. This group of com­pa­nies inclu­des Admi­nis­tra­ti­on Intel­li­gence AG, AI LV-Insti­tut GmbH, IBIS Prof. Thome AG, IBIS Busi­ness Con­sul­ting AG, SYSTHE­MIS AG, SYSTHE­MIS Con­sul­ting AG and Secu­re Cloud Ser­vices GmbH its­elf. The­re are con­trac­tu­al agree­ments bet­ween the respec­ti­ve com­pa­nies and Secu­re Cloud Ser­vices GmbH regar­ding, among other things, the pro­vi­si­on of ICT ser­vices, order pro­ces­sing, con­fi­den­tia­li­ty and data pro­tec­tion. The con­trac­tu­al part­ner vis-à-vis Micro­soft is:

Secu­re Cloud Ser­vices GmbH

Mer­gen­thei­mer Str. 76a

97082 Würz­burg

Pho­ne: +49 931 73046 500

Fax: +49 931 73046 99 500

EMail: info@scs.gmbh

Web­site: www.scs.gmbh

II. Name and address of the data pro­tec­tion officer

The data pro­tec­tion offi­cer of the per­son respon­si­ble and Secu­re Cloud Ser­vices GmbH is:

Kon­stan­tin Mal­a­kas, Lawyer

Stein­bach­tal 2b

97072 Würz­burg

Pho­ne +49 931 29 98 08 – 0

Fax: +49 931 29 98 08 – 8

Email: dsb@ibis-thome.de

Web­sites: www.malakas.de; www.weblawyer.de

III. par­ti­ci­pa­ti­on in Micro­soft Teams online meetings

1. descrip­ti­on and scope of data processing

We use Micro­soft Teams (her­ein­af­ter refer­red to as „Teams“) to con­duct web mee­tings, webi­nars and tele­pho­ne con­fe­ren­ces (her­ein­af­ter refer­red to as „Online Mee­ting“) – with employees of the Prof. Thome Group, employees of other com­pa­nies or other persons.

Teams is col­la­bo­ra­ti­ve soft­ware from Micro­soft Cor­po­ra­ti­on (One Micro­soft Way Red­mond, WA 98052 – 6399 USA) and part of Micro­soft Office 365. To join an online mee­ting, you need eit­her the Teams app or a web browser.

You can par­ti­ci­pa­te in online mee­tings eit­her as a guest or you can use your exis­ting Micro­soft 365 account to par­ti­ci­pa­te. Par­ti­ci­pa­ti­on with an exis­ting account requi­res a log­in with your Micro­soft credentials.

The fol­lowing data is pro­ces­sed as part of the use of Teams:

5.     Logon data: IP address, Micro­soft 365 access data if app­li­ca­ble, tele­pho­ne num­ber (e.g. when using mul­ti­fac­tor iden­ti­fi­ca­ti­on), user name if applicable.

6.     User data: Dis­play name, email address (if pro­vi­ded), pro­fi­le pho­to (if pro­vi­ded), pho­ne num­ber (if dia­led in by pho­ne or pro­vi­ded via profile).

7.     Online mee­ting data: date and time, uni­que mee­ting ID, dial-in pho­ne num­ber if pro­vi­ded, atten­dee list (dis­play name, email address (if pro­vi­ded), pro­fi­le pho­to (if pro­vi­ded), pho­ne num­ber (if dia­led in by pho­ne or pro­vi­ded via pro­fi­le) of attendees).

8.     Online mee­ting con­tent: audio, image and text con­tri­bu­ti­ons from users in the form of microphone/camera shares/uploads/shared screen content/end device keystrokes.

This data (2, 3 and 4) can be view­ed by all par­ti­ci­pants of the online mee­ting, if necessa­ry also after the mee­ting. Like­wi­se, ser­vice pro­vi­ders used by us may also be reci­pi­ents of per­so­nal data as part of order pro­ces­sing. For the use of the ser­vice, we rely on the order pro­ces­sor Micro­soft, which necessa­ri­ly obtains know­ledge of the abo­ve-men­tio­ned data inso­far as this is necessa­ry for the ful­fill­ment of the order pro­ces­sing con­tract. We have cho­sen the sto­rage loca­ti­on for Teams in the Euro­pean Uni­on (EU) and have ent­e­red into con­trac­tu­al agree­ments with the pro­ces­sor regar­ding data trans­fer. Data pro­ces­sing does not take place in a third coun­try, alt­hough it is pos­si­ble that data packets may also be rou­t­ed in encryp­ted form via third coun­tries if, for examp­le, peop­le from the­se coun­tries par­ti­ci­pa­te in the online meeting.

Infor­ma­ti­on on data pro­tec­tion at Micro­soft can be found at https://privacy.microsoft.com/de-de/privacystatement and at https://www.microsoft.com/de-de/trust-center.

2. legal basis for data processing

·       Basi­cal­ly, we are inte­res­ted in the effec­ti­ve imple­men­ta­ti­on of online mee­tings. The legal basis the­re­fo­re results from Art. 6 para. 1 lit. f DSGVO.

·       For com­mu­ni­ca­ti­on with employees or app­li­cants of the Prof. Thome Group, § 26 BDSG in con­junc­tion with Art. 88 DSGVO is the legal basis for data processing.

·       For com­mu­ni­ca­ti­on with other com­pa­nies with which a con­trac­tu­al rela­ti­ons­hip exists, Art. 6 para. 1 lit. b DSGVO is the legal basis for data processing.

·       If online mee­tings are to be recor­ded or screen­shots taken, the legal basis for this is Art. 6 (1) lit. a DSGVO. In this case, con­sent is obtai­ned pri­or to recording.

3. pur­po­se of the data processing

The respon­si­ble par­ty uses teams to con­duct online meetings.

4. dura­ti­on of storage

The respon­si­ble par­ty has crea­ted a reten­ti­on poli­cy. This defi­nes how long data in Micro­soft Teams (chat mes­sa­ge con­tent with name, date, time, file(s) pro­vi­ded, if any) is retai­ned wit­hin the chat. The reten­ti­on peri­od for data collec­ted from you is 90 days. In princip­le, howe­ver, per­so­nal data is only stored until the­re is no lon­ger a need for it.

5. pos­si­bi­li­ty of objec­tion and elimination

You can revo­ke your con­sent at any time for the future. Your con­sent remains valid until you object.

If you par­ti­ci­pa­te in online mee­tings with your exis­ting Micro­soft 365 account, you have the opti­on to dele­te chat messages (text, pro­vi­ded file(s)) that you have entered.

III. par­ti­ci­pa­ti­on in Micro­soft Forms

1. descrip­ti­on and scope of data processing

We use Micro­soft Forms (her­ein­af­ter: „Forms“) to con­duct sur­veys, polls, regis­tra­ti­ons, etc. (her­ein­af­ter: „online sur­vey“) – with employees of the Prof. Thome Group, employees of other com­pa­nies or other persons.

Forms is col­la­bo­ra­ti­ve soft­ware from Micro­soft Cor­po­ra­ti­on (One Micro­soft Way Red­mond, WA 98052 – 6399 USA) and is a part of Micro­soft Office 365. To par­ti­ci­pa­te in an online sur­vey, you need a web browser.

You can par­ti­ci­pa­te in online sur­veys eit­her as a guest or you can use your exis­ting Micro­soft 365 account to par­ti­ci­pa­te. Par­ti­ci­pa­ti­on with an exis­ting account requi­res a log­in with your Micro­soft credentials.

In the cour­se of using Forms, the fol­lowing data is processed:

4.     Logon data: IP address, Micro­soft 365 access data if app­li­ca­ble, tele­pho­ne num­ber (e.g. when using mul­ti­fac­tor iden­ti­fi­ca­ti­on), user name if applicable.

5.     User data: dis­play name, e‑mail address (if pro­vi­ded), pro­fi­le pho­to (if provided).

6.     Online sur­vey data: uni­que sur­vey ID, date and time, and respon­ses of sur­vey­ed par­ti­ci­pants. Depen­ding on the sur­vey, data may also be collec­ted which, apart from the IP address, do not allow any direct con­clu­si­ons to be drawn about you per­so­nal­ly (e.g. if no Micro­soft 365 account is requi­red to par­ti­ci­pa­te in the sur­vey and the pro­vi­si­on of per­so­nal data is vol­un­ta­ry). Howe­ver, indi­rect con­clu­si­ons about your per­son may be drawn from your entries.

The­se data (2 and 3) can be view­ed by the respon­si­ble per­son after the sur­vey has been sub­mit­ted. Like­wi­se, ser­vice pro­vi­ders used by us may also be reci­pi­ents of per­so­nal data as part of order pro­ces­sing. For the use of the ser­vice, we rely on the pro­ces­sor Micro­soft, which necessa­ri­ly obtains know­ledge of the abo­ve data to the extent necessa­ry for the per­for­mance of the order pro­ces­sing con­tract. We have cho­sen the sto­rage loca­ti­on for Teams in the Euro­pean Uni­on (EU) and have ent­e­red into con­trac­tu­al agree­ments with the pro­ces­sor regar­ding data trans­fer. Data pro­ces­sing does not take place in a third coun­try, alt­hough it is pos­si­ble that data packets may also be rou­t­ed in encryp­ted form via third coun­tries if, for examp­le, peop­le from the­se coun­tries par­ti­ci­pa­te in the online survey.

Infor­ma­ti­on on data pro­tec­tion at Micro­soft can be found at https://privacy.microsoft.com/de-de/privacystatement and at https://www.microsoft.com/de-de/trust-center.

2. legal basis for data processing

·       Basi­cal­ly, we are inte­res­ted in the effec­ti­ve imple­men­ta­ti­on of online sur­veys. The legal basis the­re­fo­re results from Art. 6 para. 1 lit. f DSGVO.

·       For the sur­vey of employees or app­li­cants of the Prof. Thome Group, § 26 BDSG in con­junc­tion with Art. 88 DSGVO is the legal basis for the data processing.

·       For the sur­vey of employees of other com­pa­nies with whom a con­trac­tu­al rela­ti­ons­hip exists, Art. 6 (1) lit. b DSGVO is the legal basis for data processing.

3. pur­po­se of the data processing

The respon­si­ble par­ty uses Forms to con­duct online surveys.

4. dura­ti­on of storage

In princip­le, per­so­nal data is only stored until the­re is no lon­ger a need for it. If we wish to retain sur­vey results , all data that allows con­clu­si­ons to be drawn about your per­son will be anony­mi­zed or deleted.

5. pos­si­bi­li­ty of objec­tion and elimination

You can revo­ke your con­sent at any time for the future. Your con­sent remains valid until you object.

IV. Rights of the data subject

If your per­so­nal data is pro­ces­sed, you are a data sub­ject wit­hin the mea­ning of the GDPR and you have the fol­lowing rights vis-à-vis the respon­si­ble party:

1. right to information

You may request con­fir­ma­ti­on from the respon­si­ble par­ty as to whe­ther per­so­nal data con­cer­ning you is being pro­ces­sed by us.

If the­re is such pro­ces­sing, you may request infor­ma­ti­on from the respon­si­ble par­ty about the following:

(1) the pur­po­ses for which the per­so­nal data are processed;

(2) the cate­go­ries of per­so­nal data which are processed;

(3) the reci­pi­ents or cate­go­ries of reci­pi­ents to whom the per­so­nal data con­cer­ning you have been or will be disclosed;

(4) the plan­ned dura­ti­on of the sto­rage of the per­so­nal data con­cer­ning you or, if con­cre­te infor­ma­ti­on on this is not pos­si­ble, cri­te­ria for deter­mi­ning the sto­rage duration;

(5) the exis­tence of a right to rec­ti­fy or era­se the per­so­nal data con­cer­ning you, a right to have the respon­si­ble par­ty restrict the pro­ces­sing, or a right to object to such processing;

(6) the exis­tence of a right of appeal to a super­vi­so­ry authority;

(7) any avail­ab­le infor­ma­ti­on on the ori­gin of the data, if the per­so­nal data are not collec­ted from the data subject;

(8) the exis­tence of auto­ma­ted decisi­on-making, inclu­ding pro­filing, pur­suant to Arti­cle 22(1) and (4) of the GDPR and, at least in the­se cases, mea­ning­ful infor­ma­ti­on about the logic invol­ved and the scope and inten­ded effects of such pro­ces­sing for the data subject.

You have the right to request infor­ma­ti­on about whe­ther the per­so­nal data con­cer­ning you is trans­fer­red to a third coun­try or to an inter­na­tio­nal orga­niz­a­ti­on. In this con­text, you may request to be infor­med about the appro­pria­te safe­guards pur­suant to Art. 46 DSGVO in con­nec­tion with the transfer.

2. right to rectification

You have a right to rec­ti­fi­ca­ti­on and/or com­ple­ti­on vis-à-vis the respon­si­ble par­ty, inso­far as the pro­ces­sed per­so­nal data con­cer­ning you are inac­cu­ra­te or incom­ple­te. The respon­si­ble par­ty shall car­ry out the rec­ti­fi­ca­ti­on without undue delay.

3. right to restric­tion of processing

Under the fol­lowing con­di­ti­ons, you may request the restric­tion of the pro­ces­sing of per­so­nal data con­cer­ning you:

(1) if you con­test the accu­ra­cy of the per­so­nal data con­cer­ning you for a peri­od enab­ling the respon­si­ble par­ty to veri­fy the accu­ra­cy of the per­so­nal data;

(2) the pro­ces­sing is unlaw­ful and you object to the era­su­re of the per­so­nal data and request ins­tead the restric­tion of the use of the per­so­nal data;

(3) the respon­si­ble par­ty no lon­ger needs the per­so­nal data for the pur­po­ses of pro­ces­sing, but you need them for the asser­ti­on, exer­cise or defen­se of legal claims; or

(4) if you have objec­ted to the pro­ces­sing pur­suant to Art. 21 (1) DSGVO and it has not yet been deter­mi­ned whe­ther the respon­si­ble party’s legi­ti­ma­te grounds over­ri­de your grounds.

Whe­re the pro­ces­sing of per­so­nal data con­cer­ning you has been restric­ted, such data may be pro­ces­sed, with the excep­ti­on of their sto­rage, only with your con­sent or for the estab­lish­ment, exer­cise or defen­se of legal claims or for the pro­tec­tion of the rights of ano­t­her natu­ral or legal per­son or for rea­sons of important public inte­rest of the Uni­on or a Mem­ber State.

If the restric­tion of pro­ces­sing has been restric­ted in accordance with the abo­ve con­di­ti­ons, you will be infor­med by the respon­si­ble par­ty befo­re the restric­tion is lifted.

4. right to deletion

a) Obli­ga­ti­on to delete

You may request the respon­si­ble par­ty to dele­te the per­so­nal data con­cer­ning you without undue delay, and the respon­si­ble par­ty is obli­ged to dele­te such data without undue delay, if one of the fol­lowing rea­sons applies:

(1) The per­so­nal data con­cer­ning you are no lon­ger necessa­ry for the pur­po­ses for which they were collec­ted or other­wi­se processed.

(2) You revo­ke your con­sent on which the pro­ces­sing was based accord­ing to Art. 6 para. 1 p.1 lit. a or Art. 9 para. 2 p.1 lit. a DSGVO and the­re is no other legal basis for the processing.

(3) You object to the pro­ces­sing pur­suant to Art. 21 (1) DSGVO and the­re are no over­ri­ding legi­ti­ma­te grounds for the pro­ces­sing, or you object to the pro­ces­sing pur­suant to Art. 21 (2) DSGVO.

(4) The per­so­nal data con­cer­ning you have been pro­ces­sed unlawfully.

(5) The dele­ti­on of the per­so­nal data con­cer­ning you is necessa­ry for com­pli­an­ce with a legal obli­ga­ti­on under Uni­on or Mem­ber Sta­te law to which the respon­si­ble par­ty is subject.

(6) The per­so­nal data con­cer­ning you was collec­ted in rela­ti­on to infor­ma­ti­on socie­ty ser­vices offe­red pur­suant to Art. 8 (1) DSGVO.

b) Infor­ma­ti­on to third parties

If the respon­si­ble par­ty has made the per­so­nal data con­cer­ning you public and is obli­ged to era­se it pur­suant to Arti­cle 17(1) of the GDPR, it shall take rea­son­ab­le mea­su­res, inclu­ding tech­ni­cal mea­su­res, having regard to the avail­ab­le tech­no­lo­gy and the cost of imple­men­ta­ti­on, to inform data respon­si­ble par­tys which pro­cess the per­so­nal data that you, as the data sub­ject, have reques­ted that they era­se all links to or copies or repli­ca­ti­ons of such per­so­nal data.

c) Excep­ti­ons

The right to era­su­re does not exist inso­far as the pro­ces­sing is necessa­ry to

(1) to exer­cise the right to free­dom of expres­si­on and information;

(2) for com­pli­an­ce with a legal obli­ga­ti­on which requi­res pro­ces­sing under Uni­on or Mem­ber Sta­te law to which the respon­si­ble par­ty is sub­ject, or for the per­for­mance of a task car­ri­ed out in the public inte­rest or in the exer­cise of offi­cial aut­ho­ri­ty ves­ted in the respon­si­ble party;

(3) for rea­sons of public inte­rest in the area of public health pur­suant to Art. 9 (2) S.1 lit. h and i as well as Art. 9 (3) DSGVO;

(4) for archi­ving pur­po­ses in the public inte­rest, sci­en­ti­fic or his­to­ri­cal rese­arch pur­po­ses, or sta­tis­ti­cal pur­po­ses pur­suant to Arti­cle 89(1) of the GDPR, inso­far as the right refer­red to in Sec­tion a) is likely to ren­der impos­si­ble or serious­ly pre­ju­di­ce the achie­ve­ment of the pur­po­ses of such pro­ces­sing, or

(5) to assert, exer­cise or defend legal claims.

5. right to information

If you have asser­ted the right to rec­ti­fi­ca­ti­on, era­su­re or restric­tion of pro­ces­sing against the respon­si­ble par­ty, the respon­si­ble par­ty is obli­ged to noti­fy all reci­pi­ents to whom the per­so­nal data con­cer­ning you have been dis­c­lo­sed of this rec­ti­fi­ca­ti­on or era­su­re of the data or restric­tion of pro­ces­sing, unless this pro­ves impos­si­ble or invol­ves a dis­pro­por­tio­na­te effort.

You have the right to be infor­med about the­se reci­pi­ents by the data respon­si­ble party.

6. right to data portability

You have the right to recei­ve the per­so­nal data con­cer­ning you that you have pro­vi­ded to the respon­si­ble par­ty in a struc­tu­red, com­mon­ly used and machi­ne-read­a­ble for­mat. You also have the right to trans­mit this data to ano­t­her respon­si­ble par­ty without hin­dran­ce from the respon­si­ble par­ty to whom the per­so­nal data has been pro­vi­ded, pro­vi­ded that

(1) the pro­ces­sing is based on con­sent pur­suant to Art. 6 para. 1 sen­tence 1 lit. a DSGVO or Art. 9 para. 2 sen­tence 1 lit. a DSGVO or on a con­tract pur­suant to Art. 6 para. 1 sen­tence 1 lit. b DSGVO and

(2) the pro­ces­sing is car­ri­ed out with the aid of auto­ma­ted procedures.

In exer­cis­ing this right, you also have the right to have the per­so­nal data con­cer­ning you trans­fer­red direct­ly from one respon­si­ble par­ty to ano­t­her respon­si­ble par­ty, inso­far as this is tech­ni­cal­ly fea­si­ble. The free­doms and rights of other per­sons must not be affec­ted by this.

The right to data por­ta­bi­li­ty does not app­ly to pro­ces­sing of per­so­nal data necessa­ry for the per­for­mance of a task car­ri­ed out in the public inte­rest or in the exer­cise of offi­cial aut­ho­ri­ty ves­ted in the respon­si­ble party.

7. right of objection

You have the right to object at any time, on grounds rela­ting to your par­ti­cu­lar situa­ti­on, to the pro­ces­sing of per­so­nal data rela­ting to you which is car­ri­ed out on the basis of Arti­cle 6 (1) sen­tence 1 lit. e or f DSGVO; this also app­lies to pro­filing based on the­se provisions.

The respon­si­ble par­ty shall no lon­ger pro­cess the per­so­nal data con­cer­ning you unless it can demons­tra­te com­pel­ling legi­ti­ma­te grounds for the pro­ces­sing which over­ri­de your inte­rests, rights and free­doms, or for the estab­lish­ment, exer­cise or defen­se of legal claims.

If the per­so­nal data con­cer­ning you is pro­ces­sed for the pur­po­se of direct mar­ke­ting, you have the right to object at any time to the pro­ces­sing of per­so­nal data con­cer­ning you for the pur­po­se of such mar­ke­ting; this also app­lies to pro­filing, inso­far as it is rela­ted to such direct marketing.

If you object to pro­ces­sing for direct mar­ke­ting pur­po­ses, the per­so­nal data con­cer­ning you will no lon­ger be pro­ces­sed for the­se purposes.

You have the pos­si­bi­li­ty, in con­nec­tion with the use of infor­ma­ti­on socie­ty ser­vices, not­with­stan­ding Direc­ti­ve 2002/58/EC, to exer­cise your right to object by means of auto­ma­ted pro­ce­du­res using tech­ni­cal specifications.

8. right to revo­ke the decla­ra­ti­on of con­sent under data pro­tec­tion law

You have the right to revo­ke your decla­ra­ti­on of con­sent under data pro­tec­tion law at any time. The revo­ca­ti­on of con­sent does not affect the law­ful­ness of the pro­ces­sing car­ri­ed out on the basis of the con­sent until the revocation.

9. auto­ma­ted decisi­on in indi­vi­du­al cases inclu­ding profiling

You have the right not to be sub­ject to a decisi­on based sole­ly on auto­ma­ted pro­ces­sing – inclu­ding pro­filing – which pro­du­ces legal effects con­cer­ning you or simi­lar­ly signi­fi­cant­ly affects you. This does not app­ly if the decision

(1) is necessa­ry for the con­clu­si­on or per­for­mance of a con­tract bet­ween you and the respon­si­ble party,

(2) is per­mit­ted by legis­la­ti­on of the Uni­on or the Mem­ber Sta­tes to which the respon­si­ble par­ty is sub­ject and that legis­la­ti­on con­tains appro­pria­te mea­su­res to safe­guard your rights and free­doms and your legi­ti­ma­te inte­rests; or

(3) is done with your express consent.

Howe­ver, the­se decisi­ons may not be based on spe­cial cate­go­ries of per­so­nal data pur­suant to Art. 9(1) DSGVO, unless Art. 9(2) p.1 lit. a or g DSGVO app­lies and appro­pria­te mea­su­res have been taken to pro­tect the rights and free­doms and your legi­ti­ma­te interests.

With regard to the cases refer­red to in (1) and (3), the respon­si­ble par­ty shall take rea­son­ab­le steps to safe­guard the rights and free­doms of, and the legi­ti­ma­te inte­rests of, the data sub­ject, which shall inclu­de, at least, the right to obtain the inter­ven­ti­on of a per­son on the part of the respon­si­ble par­ty, to express his or her point of view and to con­test the decision.

10. right to com­p­lain to a super­vi­so­ry authority

Without pre­ju­di­ce to any other admi­nis­tra­ti­ve or judi­cial reme­dy, you have the right to lodge a com­p­laint with a super­vi­so­ry aut­ho­ri­ty, in par­ti­cu­lar in the Mem­ber Sta­te of your resi­dence, work­place or the place of the alle­ged infrin­ge­ment, if you con­si­der that the pro­ces­sing of per­so­nal data con­cer­ning you infrin­ges the GDPR.

The super­vi­so­ry aut­ho­ri­ty to which the com­p­laint has been lod­ged shall inform the com­p­lai­nant of the sta­tus and out­co­me of the com­p­laint, inclu­ding the pos­si­bi­li­ty of a judi­cial reme­dy under Arti­cle 78 GDPR.

 

*************

For more infor­ma­ti­on and explana­ti­ons regar­ding the abo­ve rights, plea­se visit the Euro­pean Commission’s Rights for Citi­zens website.