Verantwortlich:
Reiki Gesundheitspraxis Nordland-Wellness Hans-Werner Rudat
Hans-Werner Rudat
Schulstr. 10
21776 Wanna
Kontakt:
Telefon: +49 4757 811174+49 4757 811174
Telefax: +49 4757 811077
E-Mail: info@nordlandwellness.com
Datenschutzerklärung (gültig ab 25.05.2018)
Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung der Nordland-Wellness. Eine Nutzung der Internetseiten der Nordland-Wellness ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.
Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für die Nordland-Wellness geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchte unser Unternehmen die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.
Die Nordland-Wellness hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese
Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können Internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht
gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.
1. Begriffsbestimmungen
Die Datenschutzerklärung der Nordland-Wellness beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.
Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:
a) personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
b) betroffene Person
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
c) Verarbeitung
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das
Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder
eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
d) Einschränkung der Verarbeitung
Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
e) Profiling
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
f) Pseudonymisierung
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr
einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
g) Verantwortlicher oder für die Verarbeitung Verantwortlicher
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten
vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
h) Auftragsverarbeiter
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet.
i) Empfänger
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei
ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten
erhalten, gelten jedoch nicht als Empfänger.
j) Dritter
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den
Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
k) Einwilligung
Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
2. Name und Anschrift des für die Verarbeitung Verantwortlichen
Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist die:
Nordland-Wellness
Schulstr. 10
21776 Wanna
Deutschland
Tel.: +49 4757 811174
E-Mail: info@nordlandwellness.com
Website: www.nordlandwellness.com
3. Cookies
Die Internetseiten der Nordland-Wellness verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden.
Zahlreiche Internetseiten und Server verwenden Cookies. Viele Cookies enthalten eine sogenannte Cookie-ID. Eine Cookie-ID ist eine eindeutige Kennung des Cookies. Sie besteht aus einer Zeichenfolge, durch welche Internetseiten und Server dem konkreten Internetbrowser zugeordnet werden können, in dem das Cookie gespeichert wurde. Dies ermöglicht es den besuchten Internetseiten und Servern, den individuellen Browser der betroffenen Person von anderen Internetbrowsern, die andere Cookies enthalten, zu unterscheiden. Ein bestimmter Internetbrowser kann über die eindeutige Cookie-ID wiedererkannt und identifiziert werden.
Durch den Einsatz von Cookies kann die Nordland-Wellness den Nutzern dieser Internetseite nutzerfreundlichere Services bereitstellen, die ohne die Cookie-Setzung nicht möglich wären.
Mittels eines Cookies können die Informationen und Angebote auf unserer Internetseite im Sinne des Benutzers optimiert werden. Cookies ermöglichen uns, wie bereits erwähnt, die Benutzer unserer Internetseite wiederzuerkennen. Zweck dieser Wiedererkennung ist es, den Nutzern die Verwendung unserer Internetseite zu erleichtern. Der Benutzer einer Internetseite, die Cookies verwendet, muss beispielsweise nicht bei jedem Besuch der Internetseite erneut seine Zugangsdaten eingeben, weil dies von der Internetseite und dem auf dem Computersystem des Benutzers abgelegten Cookie übernommen wird. Ein weiteres Beispiel ist das Cookie eines Warenkorbes im Online-Shop. Der Online-Shop merkt sich die Artikel, die ein Kunde in den virtuellen Warenkorb gelegt hat, über ein Cookie.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Ferner können bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich. Deaktiviert die betroffene Person die Setzung von Cookies in dem genutzten Internetbrowser, sind unter Umständen nicht alle Funktionen unserer Internetseite vollumfänglich nutzbar.
4. Erfassung von allgemeinen Daten und Informationen
Die Internetseite der Nordland-Wellness erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.
Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die Nordland-Wellness keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um (1) die Inhalte unserer Internetseite korrekt auszuliefern, (2) die Inhalte unserer Internetseite sowie die Werbung für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Internetseite zu gewährleisten sowie (4) um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen. Diese anonym erhobenen Daten und Informationen werden durch die Nordland-Wellness daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.
5. Registrierung auf unserer Internetseite
Die betroffene Person hat die Möglichkeit, sich auf der Internetseite des für die Verarbeitung Verantwortlichen unter Angabe von personenbezogenen Daten zu registrieren. Welche personenbezogenen Daten dabei an den für die Verarbeitung Verantwortlichen übermittelt werden, ergibt sich aus der jeweiligen Eingabemaske, die für die Registrierung verwendet wird. Die von der betroffenen Person eingegebenen personenbezogenen Daten werden ausschließlich für die interne Verwendung bei dem für die Verarbeitung Verantwortlichen und für eigene Zwecke erhoben und gespeichert. Der für die Verarbeitung Verantwortliche kann die Weitergabe an einen oder mehrere Auftragsverarbeiter, beispielsweise einen Paketdienstleister, veranlassen, der die personenbezogenen Daten ebenfalls ausschließlich für eine interne Verwendung, die dem für die Verarbeitung Verantwortlichen zuzurechnen ist, nutzt.
Durch eine Registrierung auf der Internetseite des für die Verarbeitung Verantwortlichen wird ferner die vom Internet-Service-Provider (ISP) der betroffenen Person vergebene IP-Adresse, das Datum sowie die Uhrzeit der Registrierung gespeichert. Die Speicherung dieser Daten erfolgt vor dem Hintergrund, dass nur so der Missbrauch unserer Dienste verhindert werden kann, und diese Daten im Bedarfsfall ermöglichen, begangene Straftaten aufzuklären. Insofern ist die Speicherung dieser Daten zur Absicherung des für die Verarbeitung Verantwortlichen erforderlich. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, sofern keine gesetzliche Pflicht zur Weitergabe besteht oder die Weitergabe der Strafverfolgung dient.
Die Registrierung der betroffenen Person unter freiwilliger Angabe personenbezogener Daten dient dem für die Verarbeitung Verantwortlichen dazu, der betroffenen Person Inhalte oder Leistungen anzubieten, die aufgrund der Natur der Sache nur registrierten Benutzern angeboten werden können. Registrierten Personen steht die Möglichkeit frei, die bei der Registrierung angegebenen personenbezogenen Daten jederzeit abzuändern oder vollständig aus dem Datenbestand des für die Verarbeitung Verantwortlichen löschen zu lassen.
Der für die Verarbeitung Verantwortliche erteilt jeder betroffenen Person jederzeit auf Anfrage Auskunft darüber, welche personenbezogenen Daten über die betroffene Person gespeichert sind. Ferner berichtigt oder löscht der für die Verarbeitung Verantwortliche personenbezogene Daten auf Wunsch oder Hinweis der betroffenen Person, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Gesamtheit der Mitarbeiter des für die Verarbeitung Verantwortlichen stehen der betroffenen Person in diesem Zusammenhang als Ansprechpartner zur Verfügung.
6. Abonnement unseres Newsletters
Auf der Internetseite der Nordland-Wellness wird den Benutzern die Möglichkeit eingeräumt, den Newsletter unseres Unternehmens zu abonnieren. Welche personenbezogenen Daten bei der Bestellung des Newsletters an den für die Verarbeitung Verantwortlichen übermittelt werden, ergibt sich aus der hierzu verwendeten Eingabemaske.
Die Nordland-Wellness informiert ihre Kunden und Geschäftspartner in regelmäßigen Abständen im Wege eines Newsletters über Angebote des Unternehmens. Der Newsletter unseres Unternehmens kann von der betroffenen Person grundsätzlich nur dann empfangen werden, wenn (1) die betroffene Person über eine gültige E-Mail-Adresse verfügt und (2) die betroffene Person sich für den Newsletterversand registriert. An die von einer betroffenen Person erstmalig für den Newsletterversand eingetragene E-Mail-Adresse wird aus rechtlichen Gründen eine Bestätigungsmail im Double-Opt-In-Verfahren versendet. Diese Bestätigungsmail dient der Überprüfung, ob der Inhaber der E-Mail-Adresse als betroffene Person den Empfang des Newsletters autorisiert hat.
Bei der Anmeldung zum Newsletter speichern wir ferner die vom Internet-Service-Provider (ISP) vergebene IP-Adresse des von der betroffenen Person zum Zeitpunkt der Anmeldung verwendeten Computersystems sowie das Datum und die Uhrzeit der Anmeldung. Die Erhebung dieser Daten ist erforderlich, um den(möglichen) Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können und dient deshalb der rechtlichen Absicherung des für die Verarbeitung Verantwortlichen.
Die im Rahmen einer Anmeldung zum Newsletter erhobenen personenbezogenen Daten werden ausschließlich zum Versand unseres Newsletters verwendet. Ferner könnten Abonnenten des Newsletters per E-Mail
informiert werden, sofern dies für den Betrieb des Newsletter-Dienstes oder eine diesbezügliche Registrierung erforderlich ist, wie dies im Falle von Änderungen am Newsletterangebot oder bei der
Veränderung der technischen Gegebenheiten der Fall sein könnte. Es erfolgt keine Weitergabe der im Rahmen des Newsletter-Dienstes erhobenen personenbezogenen Daten an Dritte. Das Abonnement unseres
Newsletters kann durch die betroffene Person jederzeit gekündigt werden. Die Einwilligung in die Speicherung personenbezogener Daten, die die betroffene Person uns für den Newsletterversand erteilt
hat, kann jederzeit widerrufen werden. Zum Zwecke des Widerrufs der Einwilligung findet sich in jedem Newsletter ein entsprechender Link. Ferner besteht die Möglichkeit, sich jederzeit auch direkt
auf der Internetseite des für die Verarbeitung Verantwortlichen vom Newsletterversand abzumelden oder dies dem für die Verarbeitung Verantwortlichen auf andere Weise mitzuteilen.
7. Newsletter-Tracking
Die Newsletter der Nordland-Wellness enthalten sogenannte Zählpixel. Ein Zählpixel ist eine Miniaturgrafik, die in solche E-Mails eingebettet wird, welche im HTML-Format versendet werden, um eine Logdatei-Aufzeichnung und eine Logdatei-Analyse zu ermöglichen. Dadurch kann eine statistische Auswertung des Erfolges oder Misserfolges von Online-Marketing-Kampagnen durchgeführt werden. Anhand des eingebetteten Zählpixels kann die Nordland-Wellness erkennen, ob und wann eine E-Mail von einer betroffenen Person geöffnet wurde und welche in der E-Mail befindlichen Links von der betroffenen Person aufgerufen wurden.
Solche über die in den Newslettern enthaltenen Zählpixel erhobenen personenbezogenen Daten, werden von dem für die Verarbeitung Verantwortlichen gespeichert und ausgewertet, um den Newsletterversand zu optimieren und den Inhalt zukünftiger Newsletter noch besser den Interessen der betroffenen Person anzupassen. Diese personenbezogenen Daten werden nicht an Dritte weitergegeben. Betroffene Personen sind jederzeit berechtigt, die diesbezügliche gesonderte, über das Double-Opt-In-Verfahren abgegebene Einwilligungserklärung zu widerrufen. Nach einem Widerruf werden diese personenbezogenen Daten von dem für die Verarbeitung Verantwortlichen gelöscht. Eine Abmeldung vom Erhalt des Newsletters deutet die Nordland-Wellness automatisch als Widerruf.
8. Kontaktmöglichkeit über die Internetseite
Die Internetseite der Nordland-Wellness enthält aufgrund von gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme zu unserem Unternehmen sowie eine unmittelbare Kommunikation mit uns ermöglichen, was ebenfalls eine allgemeine Adresse der sogenannten elektronischen Post (E-Mail-Adresse) umfasst. Sofern eine betroffene Person per E-Mail oder über ein Kontaktformular den Kontakt mit dem für die Verarbeitung Verantwortlichen aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche auf freiwilliger Basis von einer betroffenen Person an den für die Verarbeitung Verantwortlichen übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung oder der Kontaktaufnahme zur betroffenen Person gespeichert. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.
9. Kommentarfunktion im Blog auf der Internetseite
Die Nordland-Wellness bietet den Nutzern auf einem Blog, der sich auf der Internetseite des für die Verarbeitung Verantwortlichen befindet, die Möglichkeit, individuelle Kommentare zu einzelnen Blog-Beiträgen zu hinterlassen. Ein Blog ist ein auf einer Internetseite geführtes, in der Regel öffentlich einsehbares Portal, in welchem eine oder mehrere Personen, die Blogger oder Web-Blogger genannt werden, Artikel posten oder Gedanken in sogenannten Blogposts niederschreiben können. Die Blogposts können in der Regel von Dritten kommentiert werden.
Hinterlässt eine betroffene Person einen Kommentar in dem auf dieser Internetseite veröffentlichten Blog, werden neben den von der betroffenen Person hinterlassenen Kommentaren auch Angaben zum Zeitpunkt der Kommentareingabe sowie zu dem von der betroffenen Person gewählten Nutzernamen (Pseudonym) gespeichert und veröffentlicht. Ferner wird die vom Internet-Service-Provider (ISP) der betroffenen Person vergebene IP-Adresse mitprotokolliert. Diese Speicherung der IP-Adresse erfolgt aus Sicherheitsgründen und für den Fall, dass die betroffene Person durch einen abgegebenen Kommentar die Rechte Dritter verletzt oder rechtswidrige Inhalte postet. Die Speicherung dieser personenbezogenen Daten erfolgt daher im eigenen Interesse des für die Verarbeitung Verantwortlichen, damit sich dieser im Falle einer Rechtsverletzung gegebenenfalls exkulpieren könnte. Es erfolgt keine Weitergabe dieser erhobenen personenbezogenen Daten an Dritte, sofern eine solche Weitergabe nicht gesetzlich vorgeschrieben ist oder der Rechtsverteidigung des für die Verarbeitung Verantwortlichen dient.
10. Routinemäßige Löschung und Sperrung von personenbezogenen Daten
Der für die Verarbeitung Verantwortliche verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der für die Verarbeitung Verantwortliche unterliegt, vorgesehen wurde.
Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.
11. Rechte der betroffenen Person
a) Recht auf Bestätigung
Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
b) Recht auf Auskunft
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:
die Verarbeitungszwecke
die Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DS-GVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
c) Recht auf Berichtigung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
d) Recht auf Löschung (Recht auf Vergessen werden)
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.
Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei der Nordland-Wellness gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Nordland-Wellness wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.
Wurden die personenbezogenen Daten von der Nordland-Wellness öffentlich gemacht und ist unser Unternehmen als Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft die Nordland-Wellness unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Der Mitarbeiter der Nordland-Wellness wird im Einzelfall das Notwendige veranlassen.
e) Recht auf Einschränkung der Verarbeitung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei der Nordland-Wellness gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Nordland-Wellness wird die Einschränkung der Verarbeitung veranlassen.
f) Recht auf Datenübertragbarkeit
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an einen Mitarbeiter der Nordland-Wellness wenden.
g) Recht auf Widerspruch
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Die Nordland-Wellness verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Verarbeitet die Nordland-Wellness personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber der Nordland-Wellness der Verarbeitung für Zwecke der Direktwerbung, so wird die Nordland-Wellness die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei der Nordland-Wellness zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt jeden Mitarbeiter der Nordland-Wellness oder einen anderen Mitarbeiter wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
h) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, trifft die Nordland-Wellness angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
i) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
12. Datenschutzbestimmungen zu Einsatz und Verwendung von affilinet
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten des Unternehmens affilinet integriert. Affilinet ist ein deutsches Affiliate-Netzwerk, welches Affiliate-Marketing anbietet.
Affiliate-Marketing ist eine Internetgestützte Vertriebsform, die es kommerziellen Betreibern von Internetseiten, den sogenannten Merchants oder Advertisern, ermöglicht, Werbung, die meist über Klick- oder Sale-Provisionen vergütet wird, auf Internetseiten Dritter, also bei Vertriebspartnern, die auch Affiliates oder Publisher genannt werden, einzublenden. Der Merchant stellt über das Affiliate-Netzwerk ein Werbemittel, also einen Werbebanner oder andere geeignete Mittel der Internetwerbung, zur Verfügung, welche in der Folge von einem Affiliate auf eigenen Internetseiten eingebunden oder über sonstige Kanäle, wie etwa das Keyword-Advertising oder E-Mail-Marketing, beworben werden.
Betreibergesellschaft von Affilinet ist die affilinet GmbH, Sapporobogen 6-8, 80637 München, Deutschland.
Affilinet setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Das Tracking-Cookie von Affilinet speichert keinerlei personenbezogene Daten. Gespeichert werden lediglich die Identifikationsnummer des Affiliate, also des den potentiellen Kunden vermittelnden Partners, sowie die Ordnungsnummer des Besuchers einer Internetseite und des angeklickten Werbemittels. Zweck der Speicherung dieser Daten ist die Abwicklung von Provisionszahlungen zwischen einem Merchant und dem Affiliate, welche über das Affiliate-Netzwerk, also Affilinet, abgewickelt werden.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Affilinet ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von Affilinet bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden.
Die geltenden Datenschutzbestimmungen von Affilinet können unter https://www.affili.net/de/footeritem/datenschutz abgerufen werden.
13. Datenschutzbestimmungen zu Einsatz und Verwendung von etracker
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten des Unternehmens etracker integriert. Etracker ist ein Web-Analyse-Dienst. Web-Analyse ist die Erhebung, Sammlung und Auswertung von Daten über das Verhalten der Besucher von Internetseiten. Ein Web-Analyse-Dienst erfasst unter anderem Daten darüber, von welcher Internetseite eine betroffene Person auf eine Internetseite gekommen ist (sogenannte Referrer), auf welche Unterseiten der Internetseite zugegriffen oder wie oft und für welche Verweildauer eine Unterseite betrachtet wurde. Eine Web-Analyse wird überwiegend zur Optimierung einer Internetseite und zur Kosten-Nutzen-Analyse von Internetwerbung eingesetzt.
Betreibergesellschaft von etracker ist die etracker GmbH, Erste Brunnenstraße 1, 20459 Hamburg, Deutschland.
Etracker setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine etracker-Komponente integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige etracker-Komponente veranlasst, Daten zu Marketing- und Optimierungszwecken an etracker zu übermitteln. Im Rahmen dieses technischen Verfahrens erhält etracker Kenntnis über Daten, die in der Folge zur Erstellung von pseudonymen Nutzungsprofilen verwendet werden. Die so gewonnenen Nutzungsprofile dienen der Analyse des Verhaltens der betroffenen Person, welche auf die Internetseite des für die Verarbeitung Verantwortlichen zugegriffen hat und werden mit dem Ziel, die Internetseite zur verbessern und zu optimieren, ausgewertet. Die über die etracker-Komponente erhobenen Daten werden nicht ohne vorherige Einholung einer gesonderten und ausdrücklichen Einwilligung der betroffenen Person dazu genutzt, die betroffene Person zu identifizieren. Diese Daten werden nicht mit personenbezogenen Daten oder mit anderen Daten, die das gleiche Pseudonym enthalten, zusammengeführt.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass etracker ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von etracker bereits gesetzte Cookies jederzeit über den Internetbrowser oder andere Softwareprogramme gelöscht werden.
Ferner besteht für die betroffene Person die Möglichkeit, einer Erfassung der durch den etracker-Cookie erzeugten, auf eine Nutzung dieser Internetseite bezogenen Daten sowie der Verarbeitung dieser Daten durch etracker zu widersprechen und eine solche zu verhindern. Hierzu muss die betroffene Person den Cookie-setzen-Button unter dem Link http://www.etracker.de/privacy?et=V23Jbb drücken, der einen Opt-Out-Cookie setzt. Der mit dem Widerspruch gesetzte Opt-Out-Cookie wird auf dem von der betroffenen Person genutzten informationstechnologischen System abgelegt. Werden die Cookies auf dem System der betroffenen Person nach einem Widerspruch gelöscht, muss die betroffene Person den Link erneut aufrufen und einen neuen Opt-Out-Cookie setzen.
Mit der Setzung des Opt-Out-Cookies besteht jedoch die Möglichkeit, dass die Internetseiten des für die Verarbeitung Verantwortlichen für die betroffene Person nicht mehr vollumfänglich nutzbar sind.
Die geltenden Datenschutzbestimmungen von etracker können unter https://www.etracker.com/de/datenschutz.html abgerufen werden.
14. Datenschutzbestimmungen zu Einsatz und Verwendung von Facebook
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten des Unternehmens Facebook integriert. Facebook ist ein soziales Netzwerk.
Ein soziales Netzwerk ist ein im Internet betriebener sozialer Treffpunkt, eine Online-Gemeinschaft, die es den Nutzern in der Regel ermöglicht, untereinander zu kommunizieren und im virtuellen Raum zu interagieren. Ein soziales Netzwerk kann als Plattform zum Austausch von Meinungen und Erfahrungen dienen oder ermöglicht es der Internetgemeinschaft, persönliche oder unternehmensbezogene Informationen bereitzustellen. Facebook ermöglicht den Nutzern des sozialen Netzwerkes unter anderem die Erstellung von privaten Profilen, den Upload von Fotos und eine Vernetzung über Freundschaftsanfragen.
Betreibergesellschaft von Facebook ist die Facebook, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA. Für die Verarbeitung personenbezogener Daten Verantwortlicher ist, wenn eine betroffene Person außerhalb der USA oder Kanada lebt, die Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland.
Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Facebook-Komponente (Facebook-Plug-In) integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Facebook-Komponente veranlasst, eine Darstellung der entsprechenden Facebook-Komponente von Facebook herunterzuladen. Eine Gesamtübersicht über alle Facebook-Plug-Ins kann unter https://developers.facebook.com/docs/plugins/?locale=de_DE abgerufen werden. Im Rahmen dieses technischen Verfahrens erhält Facebook Kenntnis darüber, welche konkrete Unterseite unserer Internetseite durch die betroffene Person besucht wird.
Sofern die betroffene Person gleichzeitig bei Facebook eingeloggt ist, erkennt Facebook mit jedem Aufruf unserer Internetseite durch die betroffene Person und während der gesamten Dauer des jeweiligen Aufenthaltes auf unserer Internetseite, welche konkrete Unterseite unserer Internetseite die betroffene Person besucht. Diese Informationen werden durch die Facebook-Komponente gesammelt und durch Facebook dem jeweiligen Facebook-Account der betroffenen Person zugeordnet. Betätigt die betroffene Person einen der auf unserer Internetseite integrierten Facebook-Buttons, beispielsweise den „Gefällt mir“-Button, oder gibt die betroffene Person einen Kommentar ab, ordnet Facebook diese Information dem persönlichen Facebook-Benutzerkonto der betroffenen Person zu und speichert diese personenbezogenen Daten.
Facebook erhält über die Facebook-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Internetseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufs unserer Internetseite gleichzeitig bei Facebook eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person die Facebook-Komponente anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an Facebook von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Internetseite aus ihrem Facebook-Account ausloggt.
Die von Facebook veröffentlichte Datenrichtlinie, die unter https://de-de.facebook.com/about/privacy/ abrufbar ist, gibt Aufschluss über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Facebook. Ferner wird dort erläutert, welche Einstellungsmöglichkeiten Facebook zum Schutz der Privatsphäre der betroffenen Person bietet. Zudem sind unterschiedliche Applikationen erhältlich, die es ermöglichen, eine Datenübermittlung an Facebook zu unterdrücken. Solche Applikationen können durch die betroffene Person genutzt werden, um eine Datenübermittlung an Facebook zu unterdrücken.
15. Datenschutzbestimmungen zu Einsatz und Verwendung von Funktionen des Amazon-Partnerprogramms
Der für die Verarbeitung Verantwortliche hat als Teilnehmer des Amazon-Partnerprogramms auf dieser Internetseite Amazon-Komponenten integriert. Die Amazon-Komponenten wurden von Amazon mit dem Ziel konzipiert, Kunden über Werbeanzeigen auf unterschiedliche Internetseiten der Amazon-Gruppe, insbesondere auf Amazon.co.uk, Local.Amazon.co.uk, Amazon.de, BuyVIP.com, Amazon.fr, Amazon.it und Amazon.es. BuyVIP.com gegen Zahlung einer Provision zu vermitteln. Der für die Verarbeitung Verantwortliche kann durch die Nutzung der Amazon-Komponenten Werbeeinnahmen generieren.
Betreibergesellschaft dieser Amazon-Komponenten ist die Amazon EU S.à.r.l, 5 Rue Plaetis, L-2338 Luxembourg, Luxemburg.
Amazon setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Durch jeden einzelnen Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Amazon-Komponente integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Amazon-Komponente veranlasst, Daten zum Zwecke der Online-Werbung und der Abrechnung von Provisionen an Amazon zu übermitteln. Im Rahmen dieses technischen Verfahrens erhält Amazon Kenntnis über personenbezogene Daten, die Amazon dazu dienen, die Herkunft von bei Amazon eingehenden Bestellungen nachzuvollziehen und in der Folge eine Provisionsabrechnung zu ermöglichen. Amazon kann unter anderem nachvollziehen, dass die betroffene Person einen Partnerlink auf unserer Internetseite angeklickt hat.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Amazon ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von Amazon bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden.
Weitere Informationen und die geltenden Datenschutzbestimmungen von Amazon können unter https://www.amazon.de/gp/help/customer/display.html?nodeId=3312401 abgerufen werden.
16. Datenschutzbestimmungen zu Einsatz und Verwendung von Google AdSense
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird. Google AdSense beruht auf einem Algorithmus, welcher die auf Drittseiten angezeigten Werbeanzeigen passend zu den Inhalten der jeweiligen Drittseite auswählt. Google AdSense gestattet ein interessenbezogenes Targeting des Internetnutzers, welches mittels Generierung von individuellen Benutzerprofilen umgesetzt wird.
Betreibergesellschaft der Google-AdSense-Komponente ist die Alphabet Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA.
Der Zweck der Google-AdSense-Komponente ist die Einbindung von Werbeanzeigen auf unserer Internetseite. Google-AdSense setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Mit der Setzung des Cookies wird der Alphabet Inc. eine Analyse der Benutzung unserer Internetseite ermöglicht. Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Google-AdSense-Komponente integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Google-AdSense-Komponente veranlasst, Daten zum Zwecke der Online-Werbung und der Abrechnung von Provisionen an die Alphabet Inc. zu übermitteln. Im Rahmen dieses technischen Verfahrens erhält die Alphabet Inc. Kenntnis über personenbezogene Daten, wie der IP-Adresse der betroffenen Person, die der Alphabet Inc. unter anderem dazu dienen, die Herkunft der Besucher und Klicks nachzuvollziehen und in der Folge Provisionsabrechnungen zu ermöglichen.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass die Alphabet Inc. ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem kann ein von der Alphabet Inc. bereits gesetzter Cookie jederzeit über den Internetbrowser oder andere Softwareprogramme gelöscht werden.
Google AdSense verwendet zudem sogenannte Zählpixel. Ein Zählpixel ist eine Miniaturgrafik, die in Internetseiten eingebettet wird, um eine Logdatei-Aufzeichnung und eine Logdatei-Analyse zu ermöglichen, wodurch eine statistische Auswertung durchgeführt werden kann. Anhand des eingebetteten Zählpixels kann die Alphabet Inc. erkennen, ob und wann eine Internetseite von einer betroffenen Person geöffnet wurde und welche Links von der betroffenen Person angeklickt wurden. Zählpixel dienen unter anderem dazu, den Besucherfluss einer Internetseite auszuwerten.
Über Google AdSense werden personenbezogene Daten und Informationen, was auch die IP-Adresse umfasst und zur Erfassung und Abrechnung der angezeigten Werbeanzeigen notwendig ist, an die Alphabet Inc. in die Vereinigten Staaten von Amerika übertragen. Diese personenbezogenen Daten werden in den Vereinigten Staaten von Amerika gespeichert und verarbeitet. Die Alphabet Inc. gibt diese über das technische Verfahren erhobenen personenbezogenen Daten unter Umständen an Dritte weiter.
Google-AdSense wird unter diesem Link https://www.google.de/intl/de/adsense/start/ genauer erläutert.
17. Datenschutzbestimmungen zu Einsatz und Verwendung von Google Analytics (mit Anonymisierungsfunktion)
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite die Komponente Google Analytics (mit Anonymisierungsfunktion) integriert. Google Analytics ist ein Web-Analyse-Dienst. Web-Analyse ist die Erhebung, Sammlung und Auswertung von Daten über das Verhalten von Besuchern von Internetseiten. Ein Web-Analyse-Dienst erfasst unter anderem Daten darüber, von welcher Internetseite eine betroffene Person auf eine Internetseite gekommen ist (sogenannte Referrer), auf welche Unterseiten der Internetseite zugegriffen oder wie oft und für welche Verweildauer eine Unterseite betrachtet wurde. Eine Web-Analyse wird überwiegend zur Optimierung einer Internetseite und zur Kosten-Nutzen-Analyse von Internetwerbung eingesetzt.
Betreibergesellschaft der Google-Analytics-Komponente ist die Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA.
Der für die Verarbeitung Verantwortliche verwendet für die Web-Analyse über Google Analytics den Zusatz "_gat._anonymizeIp". Mittels dieses Zusatzes wird die IP-Adresse des Internetanschlusses der betroffenen Person von Google gekürzt und anonymisiert, wenn der Zugriff auf unsere Internetseiten aus einem Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erfolgt.
Der Zweck der Google-Analytics-Komponente ist die Analyse der Besucherströme auf unserer Internetseite. Google nutzt die gewonnenen Daten und Informationen unter anderem dazu, die Nutzung unserer Internetseite auszuwerten, um für uns Online-Reports, welche die Aktivitäten auf unseren Internetseiten aufzeigen, zusammenzustellen, und um weitere mit der Nutzung unserer Internetseite in Verbindung stehende Dienstleistungen zu erbringen.
Google Analytics setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Mit Setzung des Cookies wird Google eine Analyse der Benutzung unserer Internetseite ermöglicht. Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Google-Analytics-Komponente integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Google-Analytics-Komponente veranlasst, Daten zum Zwecke der Online-Analyse an Google zu übermitteln. Im Rahmen dieses technischen Verfahrens erhält Google Kenntnis über personenbezogene Daten, wie der IP-Adresse der betroffenen Person, die Google unter anderem dazu dienen, die Herkunft der Besucher und Klicks nachzuvollziehen und in der Folge Provisionsabrechnungen zu ermöglichen.
Mittels des Cookies werden personenbezogene Informationen, beispielsweise die Zugriffszeit, der Ort, von welchem ein Zugriff ausging und die Häufigkeit der Besuche unserer Internetseite durch die betroffene Person, gespeichert. Bei jedem Besuch unserer Internetseiten werden diese personenbezogenen Daten, einschließlich der IP-Adresse des von der betroffenen Person genutzten Internetanschlusses, an Google in den Vereinigten Staaten von Amerika übertragen. Diese personenbezogenen Daten werden durch Google in den Vereinigten Staaten von Amerika gespeichert. Google gibt diese über das technische Verfahren erhobenen personenbezogenen Daten unter Umständen an Dritte weiter.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Google ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem kann ein von Google Analytics bereits gesetzter Cookie jederzeit über den Internetbrowser oder andere Softwareprogramme gelöscht werden.
Ferner besteht für die betroffene Person die Möglichkeit, einer Erfassung der durch Google Analytics erzeugten, auf eine Nutzung dieser Internetseite bezogenen Daten sowie der Verarbeitung dieser Daten durch Google zu widersprechen und eine solche zu verhindern. Hierzu muss die betroffene Person ein Browser-Add-On unter dem Link https://tools.google.com/dlpage/gaoptout herunterladen und installieren. Dieses Browser-Add-On teilt Google Analytics über JavaScript mit, dass keine Daten und Informationen zu den Besuchen von Internetseiten an Google Analytics übermittelt werden dürfen. Die Installation des Browser-Add-Ons wird von Google als Widerspruch gewertet. Wird das informationstechnologische System der betroffenen Person zu einem späteren Zeitpunkt gelöscht, formatiert oder neu installiert, muss durch die betroffene Person eine erneute Installation des Browser-Add-Ons erfolgen, um Google Analytics zu deaktivieren. Sofern das Browser-Add-On durch die betroffene Person oder einer anderen Person, die ihrem Machtbereich zuzurechnen ist, deinstalliert oder deaktiviert wird, besteht die Möglichkeit der Neuinstallation oder der erneuten Aktivierung des Browser-Add-Ons.
Weitere Informationen und die geltenden Datenschutzbestimmungen von Google können unter https://www.google.de/intl/de/policies/privacy/ und unter http://www.google.com/analytics/terms/de.html abgerufen werden. Google Analytics wird unter diesem Link https://www.google.com/intl/de_de/analytics/ genauer erläutert.
18. Datenschutzbestimmungen zu Einsatz und Verwendung von Google-AdWords
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Google AdWords integriert. Google AdWords ist ein Dienst zur Internetwerbung, der es Werbetreibenden gestattet, sowohl Anzeigen in den Suchmaschinenergebnissen von Google als auch im Google-Werbenetzwerk zu schalten. Google AdWords ermöglicht es einem Werbetreibenden, vorab bestimmte Schlüsselwörter festzulegen, mittels derer eine Anzeige in den Suchmaschinenergebnissen von Google ausschließlich dann angezeigt wird, wenn der Nutzer mit der Suchmaschine ein schlüsselwortrelevantes Suchergebnis abruft. Im Google-Werbenetzwerk werden die Anzeigen mittels eines automatischen Algorithmus und unter Beachtung der zuvor festgelegten Schlüsselwörter auf themenrelevanten Internetseiten verteilt.
Betreibergesellschaft der Dienste von Google AdWords ist die Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA.
Der Zweck von Google AdWords ist die Bewerbung unserer Internetseite durch die Einblendung von interessenrelevanter Werbung auf den Internetseiten von Drittunternehmen und in den Suchmaschinenergebnissen der Suchmaschine Google und eine Einblendung von Fremdwerbung auf unserer Internetseite.
Gelangt eine betroffene Person über eine Google-Anzeige auf unsere Internetseite, wird auf dem informationstechnologischen System der betroffenen Person durch Google ein sogenannter Conversion-Cookie abgelegt. Was Cookies sind, wurde oben bereits erläutert. Ein Conversion-Cookie verliert nach dreißig Tagen seine Gültigkeit und dient nicht zur Identifikation der betroffenen Person. Über den Conversion-Cookie wird, sofern das Cookie noch nicht abgelaufen ist, nachvollzogen, ob bestimmte Unterseiten, beispielsweise der Warenkorb von einem Online-Shop-System, auf unserer Internetseite aufgerufen wurden. Durch den Conversion-Cookie können sowohl wir als auch Google nachvollziehen, ob eine betroffene Person, die über eine AdWords-Anzeige auf unsere Internetseite gelangt ist, einen Umsatz generierte, also einen Warenkauf vollzogen oder abgebrochen hat.
Die durch die Nutzung des Conversion-Cookies erhobenen Daten und Informationen werden von Google verwendet, um Besuchsstatistiken für unsere Internetseite zu erstellen. Diese Besuchsstatistiken werden durch uns wiederum genutzt, um die Gesamtanzahl der Nutzer zu ermitteln, welche über AdWords-Anzeigen an uns vermittelt wurden, also um den Erfolg oder Misserfolg der jeweiligen AdWords-Anzeige zu ermitteln und um unsere AdWords-Anzeigen für die Zukunft zu optimieren. Weder unser Unternehmen noch andere Werbekunden von Google-AdWords erhalten Informationen von Google, mittels derer die betroffene Person identifiziert werden könnte.
Mittels des Conversion-Cookies werden personenbezogene Informationen, beispielsweise die durch die betroffene Person besuchten Internetseiten, gespeichert. Bei jedem Besuch unserer Internetseiten werden demnach personenbezogene Daten, einschließlich der IP-Adresse des von der betroffenen Person genutzten Internetanschlusses, an Google in den Vereinigten Staaten von Amerika übertragen. Diese personenbezogenen Daten werden durch Google in den Vereinigten Staaten von Amerika gespeichert. Google gibt diese über das technische Verfahren erhobenen personenbezogenen Daten unter Umständen an Dritte weiter.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Google einen Conversion-Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem kann ein von Google AdWords bereits gesetzter Cookie jederzeit über den Internetbrowser oder andere Softwareprogramme gelöscht werden.
Ferner besteht für die betroffene Person die Möglichkeit, der interessenbezogenen Werbung durch Google zu widersprechen. Hierzu muss die betroffene Person von jedem der von ihr genutzten Internetbrowser aus den Link www.google.de/settings/ads aufrufen und dort die gewünschten Einstellungen vornehmen.
Weitere Informationen und die geltenden Datenschutzbestimmungen von Google können unter https://www.google.de/intl/de/policies/privacy/ abgerufen werden.
19. Datenschutzbestimmungen zu Einsatz und Verwendung von LinkedIn
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten der LinkedIn Corporation integriert. LinkedIn ist ein Internetbasiertes soziales Netzwerk, das eine Konnektierung der Nutzer mit bestehenden Geschäftskontakten sowie das Knüpfen von neuen Businesskontakten ermöglicht. Über 400 Millionen registrierte Personen nutzen LinkedIn in mehr als 200 Ländern. Damit ist LinkedIn derzeit die größte Plattform für Businesskontakte und eine der meistbesuchten Internetseiten der Welt.
Betreibergesellschaft von LinkedIn ist die LinkedIn Corporation, 2029 Stierlin Court Mountain View, CA 94043, USA. Für Datenschutzangelegenheiten außerhalb der USA ist LinkedIn Ireland, Privacy Policy Issues, Wilton Plaza, Wilton Place, Dublin 2, Ireland, zuständig.
Bei jedem einzelnen Abruf unserer Internetseite, die mit einer LinkedIn-Komponente (LinkedIn-Plug-In) ausgestattet ist, veranlasst diese Komponente, dass der von der betroffenen Person verwendete Browser eine entsprechende Darstellung der Komponente von LinkedIn herunterlädt. Weitere Informationen zu den LinkedIn-Plug-Ins können unter https://developer.linkedin.com/plugins abgerufen werden. Im Rahmen dieses technischen Verfahrens erhält LinkedIn Kenntnis darüber, welche konkrete Unterseite unserer Internetseite durch die betroffene Person besucht wird.
Sofern die betroffene Person gleichzeitig bei LinkedIn eingeloggt ist, erkennt LinkedIn mit jedem Aufruf unserer Internetseite durch die betroffene Person und während der gesamten Dauer des jeweiligen Aufenthaltes auf unserer Internetseite, welche konkrete Unterseite unserer Internetseite die betroffene Person besucht. Diese Informationen werden durch die LinkedIn-Komponente gesammelt und durch LinkedIn dem jeweiligen LinkedIn-Account der betroffenen Person zugeordnet. Betätigt die betroffene Person einen auf unserer Internetseite integrierten LinkedIn-Button, ordnet LinkedIn diese Information dem persönlichen LinkedIn-Benutzerkonto der betroffenen Person zu und speichert diese personenbezogenen Daten.
LinkedIn erhält über die LinkedIn-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Internetseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufes unserer Internetseite gleichzeitig bei LinkedIn eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person die LinkedIn-Komponente anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an LinkedIn von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Internetseite aus ihrem LinkedIn-Account ausloggt.
LinkedIn bietet unter https://www.linkedin.com/psettings/guest-controls die Möglichkeit, E-Mail-Nachrichten, SMS-Nachrichten und zielgerichtete Anzeigen abzubestellen sowie Anzeigen-Einstellungen zu verwalten. LinkedIn nutzt ferner Partner wie Quantcast, Google Analytics, BlueKai, DoubleClick, Nielsen, Comscore, Eloqua und Lotame, die Cookies setzen können. Solche Cookies können unter https://www.linkedin.com/legal/cookie-policy abgelehnt werden. Die geltenden Datenschutzbestimmungen von LinkedIn sind unter https://www.linkedin.com/legal/privacy-policy abrufbar. Die Cookie-Richtlinie von LinkedIn ist unter https://www.linkedin.com/legal/cookie-policy abrufbar.
20. Datenschutzbestimmungen zu Einsatz und Verwendung von Twitter
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von Twitter integriert. Twitter ist ein multilingualer öffentlich zugänglicher Mikroblogging-Dienst, auf welchem die Nutzer sogenannte Tweets, also Kurznachrichten, die auf 280 Zeichen begrenzt sind, veröffentlichen und verbreiten können. Diese Kurznachrichten sind für jedermann, also auch für nicht bei Twitter angemeldete Personen abrufbar. Die Tweets werden aber auch den sogenannten Followern des jeweiligen Nutzers angezeigt. Follower sind andere Twitter-Nutzer, die den Tweets eines Nutzers folgen. Ferner ermöglicht Twitter über Hashtags, Verlinkungen oder Retweets die Ansprache eines breiten Publikums.
Betreibergesellschaft von Twitter ist die Twitter, Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA.
Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Twitter-Komponente (Twitter-Button) integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Twitter-Komponente veranlasst, eine Darstellung der entsprechenden Twitter-Komponente von Twitter herunterzuladen. Weitere Informationen zu den Twitter-Buttons sind unter https://about.twitter.com/de/resources/buttons abrufbar. Im Rahmen dieses technischen Verfahrens erhält Twitter Kenntnis darüber, welche konkrete Unterseite unserer Internetseite durch die betroffene Person besucht wird. Zweck der Integration der Twitter-Komponente ist es, unseren Nutzern eine Weiterverbreitung der Inhalte diese Internetseite zu ermöglichen, diese Internetseite in der digitalen Welt bekannt zu machen und unsere Besucherzahlen zu erhöhen.
Sofern die betroffene Person gleichzeitig bei Twitter eingeloggt ist, erkennt Twitter mit jedem Aufruf unserer Internetseite durch die betroffene Person und während der gesamten Dauer des jeweiligen Aufenthaltes auf unserer Internetseite, welche konkrete Unterseite unserer Internetseite die betroffene Person besucht. Diese Informationen werden durch die Twitter-Komponente gesammelt und durch Twitter dem jeweiligen Twitter-Account der betroffenen Person zugeordnet. Betätigt die betroffene Person einen der auf unserer Internetseite integrierten Twitter-Buttons, werden die damit übertragenen Daten und Informationen dem persönlichen Twitter-Benutzerkonto der betroffenen Person zugeordnet und von Twitter gespeichert und verarbeitet.
Twitter erhält über die Twitter-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Internetseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufs unserer Internetseite gleichzeitig bei Twitter eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person die Twitter-Komponente anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an Twitter von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Internetseite aus ihrem Twitter-Account ausloggt.
Die geltenden Datenschutzbestimmungen von Twitter sind unter https://twitter.com/privacy?lang=de abrufbar.
21. Datenschutzbestimmungen zu Einsatz und Verwendung von YouTube
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von YouTube integriert. YouTube ist ein Internet-Videoportal, dass Video-Publishern das kostenlose Einstellen von Videoclips und anderen Nutzern die ebenfalls kostenfreie Betrachtung, Bewertung und Kommentierung dieser ermöglicht. YouTube gestattet die Publikation aller Arten von Videos, weshalb sowohl komplette Film- und Fernsehsendungen, aber auch Musikvideos, Trailer oder von Nutzern selbst angefertigte Videos über das Internetportal abrufbar sind.
Betreibergesellschaft von YouTube ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Die YouTube, LLC ist einer Tochtergesellschaft der Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA.
Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine YouTube-Komponente (YouTube-Video) integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige YouTube-Komponente veranlasst, eine Darstellung der entsprechenden YouTube-Komponente von YouTube herunterzuladen. Weitere Informationen zu YouTube können unter https://www.youtube.com/yt/about/de/ abgerufen werden. Im Rahmen dieses technischen Verfahrens erhalten YouTube und Google Kenntnis darüber, welche konkrete Unterseite unserer Internetseite durch die betroffene Person besucht wird.
Sofern die betroffene Person gleichzeitig bei YouTube eingeloggt ist, erkennt YouTube mit dem Aufruf einer Unterseite, die ein YouTube-Video enthält, welche konkrete Unterseite unserer Internetseite die betroffene Person besucht. Diese Informationen werden durch YouTube und Google gesammelt und dem jeweiligen YouTube-Account der betroffenen Person zugeordnet.
YouTube und Google erhalten über die YouTube-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Internetseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufs unserer Internetseite gleichzeitig bei YouTube eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person ein YouTube-Video anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an YouTube und Google von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Internetseite aus ihrem YouTube-Account ausloggt.
Die von YouTube veröffentlichten Datenschutzbestimmungen, die unter https://www.google.de/intl/de/policies/privacy/ abrufbar sind, geben Aufschluss über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch YouTube und Google.
22. Datenschutzbestimmungen zu Einsatz und Verwendung von Belboon
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von Belboon integriert. Belboon ist ein deutsches Affiliate-Netzwerk, welches Affiliate-Marketing anbietet. Affiliate-Marketing ist eine Internetgestützte Vertriebsform, die es kommerziellen Betreibern von Internetseiten, den sogenannten Merchants oder Advertisern, ermöglicht, Werbung, die meist über Klick- oder Sale-Provisionen vergütet wird, auf Internetseiten Dritter, also bei Vertriebspartnern, die auch Affiliates oder Publisher genannt werden, einzublenden. Der Merchant stellt über das Affiliate-Netzwerk ein Werbemittel, also einen Werbebanner oder andere geeignete Mittel der Internetwerbung zur Verfügung, welche in der Folge von einem Affiliate auf eigenen Internetseiten eingebunden oder über sonstige Kanäle, wie etwa das Keyword-Advertising oder E-Mail-Marketing, beworben werden.
Betreibergesellschaft von Adcell ist die belboon GmbH, Weinmeisterstr. 12-14, 10178 Berlin.
Belboon setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Der Tracking-Cookie von Belboon speichert keinerlei personenbezogene Daten. Gespeichert werden lediglich die Identifikationsnummer des Affiliate, also des den potentiellen Kunden vermittelnden Partners, sowie die Ordnungsnummer des Besuchers einer Internetseite und des angeklickten Werbemittels. Zweck der Speicherung dieser Daten ist die Abwicklung von Provisionszahlungen zwischen einem Merchant und dem Affiliate, welche über das Affiliate-Netzwerk, also Belboon, abgewickelt werden.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Belboon ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von Belboon bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden.
Die geltenden Datenschutzbestimmungen von Belboon können unter https://www.belboon.com/de/ueber-uns/datenschutz/ abgerufen werden.
23. Datenschutzbestimmungen zu Einsatz und Verwendung von TradeTracker
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von TradeTracker integriert. TradeTracker ist ein Affiliate-Netzwerk, welches Affiliate-Marketing anbietet. Affiliate-Marketing ist eine Internetgestützte Vertriebsform, die es kommerziellen Betreibern von Internetseiten, den sogenannten. Merchants oder Advertisern, ermöglicht, Werbung, die meist über Klick- oder Sale-Provisionen vergütet wird, auf Internetseiten Dritter, also bei Vertriebspartnern, die auch Affiliates oder Publisher genannt werden, einzublenden. Der Merchant stellt über das Affiliate-Netzwerk ein Werbemittel, also einen Werbebanner oder andere geeignete Mittel der Internetwerbung, zur Verfügung, welche in der Folge von einem Affiliate auf eigenen Internetseiten eingebunden oder über sonstige Kanäle, wie etwa das Keyword-Advertising oder E-Mail-Marketing, beworben werden.
Betreibergesellschaft von TradeTracker ist die TradeTracker Deutschland GmbH, Eiffestraße 426, 20537 Hamburg, Deutschland.
TradeTracker setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Der Tracking-Cookie von TradeTracker speichert keinerlei personenbezogene Daten. Gespeichert werden lediglich die Identifikationsnummer des Affiliate, also des den potentiellen Kunden vermittelnden Partners, sowie die Ordnungsnummer des Besuchers einer Internetseite und des angeklickten Werbemittels. Zweck der Speicherung dieser Daten ist die Abwicklung von Provisionszahlungen zwischen einem Merchant und dem Affiliate, welche über das Affiliate-Netzwerk, also TradeTracker, abgewickelt werden.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass TradeTracker ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von TradeTracker bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden.
Die geltenden Datenschutzbestimmungen von TradeTracker können unter https://tradetracker.com/de/privacy-policy/ abgerufen werden.
24. Datenschutzbestimmungen zu Einsatz und Verwendung von Tradedoubler
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von Tradedoubler integriert. Tradedoubler ist ein deutsches Affiliate-Netzwerk, welches Affiliate-Marketing anbietet. Affiliate-Marketing ist eine Internetgestützte Vertriebsform, die es kommerziellen Betreibern von Internetseiten, den sogenannten Merchants oder Advertisern, ermöglicht, Werbung, die meist über Klick- oder Sale-Provisionen vergütet wird, auf Internetseiten Dritter, also bei Vertriebspartnern, die auch Affiliates oder Publisher genannt werden, einzublenden. Der Merchant stellt über das Affiliate-Netzwerk ein Werbemittel, also einen Werbebanner oder andere geeignete Mittel der Internetwerbung, zur Verfügung, welche in der Folge von einem Affiliate auf eigenen Internetseiten eingebunden oder über sonstige Kanäle, wie etwa das Keyword-Advertising oder E-Mail-Marketing, beworben werden.
Betreibergesellschaft von Tradedoubler ist die Tradedoubler GmbH, Herzog-Wilhelm-Straße 26, 80331 München, Deutschland.
Tradedoubler setzt ein Cookie auf dem informationstechnologischen System der betroffenen Person. Was Cookies sind, wurde oben bereits erläutert. Der Tracking-Cookie von Tradedoubler speichert keinerlei personenbezogene Daten. Gespeichert werden lediglich die Identifikationsnummer des Affiliate, also des den potentiellen Kunden vermittelnden Partners, sowie die Ordnungsnummer des Besuchers einer Internetseite und des angeklickten Werbemittels. Zweck der Speicherung dieser Daten ist die Abwicklung von Provisionszahlungen zwischen einem Merchant und dem Affiliate, welche über das Affiliate-Netzwerk, also Tradedoubler, abgewickelt werden.
Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite, wie oben bereits dargestellt, jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Eine solche Einstellung des genutzten Internetbrowsers würde auch verhindern, dass Tradedoubler ein Cookie auf dem informationstechnologischen System der betroffenen Person setzt. Zudem können von Tradedoubler bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden.
Die geltenden Datenschutzbestimmungen von Tradedoubler können unter http://www.tradedoubler.com/de/datenschutzrichtlinie/ abgerufen werden.
25. Zahlungsart: Datenschutzbestimmungen zu PayPal als Zahlungsart
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von PayPal integriert. PayPal ist ein Online-Zahlungsdienstleister. Zahlungen werden über sogenannte PayPal-Konten abgewickelt, die virtuelle Privat- oder Geschäftskonten darstellen. Zudem besteht bei PayPal die Möglichkeit, virtuelle Zahlungen über Kreditkarten abzuwickeln, wenn ein Nutzer kein PayPal-Konto unterhält. Ein PayPal-Konto wird über eine E-Mail-Adresse geführt, weshalb es keine klassische Kontonummer gibt. PayPal ermöglicht es, Online-Zahlungen an Dritte auszulösen oder auch Zahlungen zu empfangen. PayPal übernimmt ferner Treuhänderfunktionen und bietet Käuferschutzdienste an.
Die Europäische Betreibergesellschaft von PayPal ist die PayPal (Europe) S.à.r.l. & Cie. S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.
Wählt die betroffene Person während des Bestellvorgangs in unserem Online-Shop als Zahlungsmöglichkeit „PayPal“ aus, werden automatisiert Daten der betroffenen Person an PayPal übermittelt. Mit der Auswahl dieser Zahlungsoption willigt die betroffene Person in die zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.
Bei den an PayPal übermittelten personenbezogenen Daten handelt es sich in der Regel um Vorname, Nachname, Adresse, Email-Adresse, IP-Adresse, Telefonnummer, Mobiltelefonnummer oder andere Daten, die zur Zahlungsabwicklung notwendig sind. Zur Abwicklung des Kaufvertrages notwendig sind auch solche personenbezogenen Daten, die im Zusammenhang mit der jeweiligen Bestellung stehen.
Die Übermittlung der Daten bezweckt die Zahlungsabwicklung und die Betrugsprävention. Der für die Verarbeitung Verantwortliche wird PayPal personenbezogene Daten insbesondere dann übermitteln, wenn ein berechtigtes Interesse für die Übermittlung gegeben ist. Die zwischen PayPal und dem für die Verarbeitung Verantwortlichen ausgetauschten personenbezogenen Daten werden von PayPal unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung.
PayPal gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.
Die betroffene Person hat die Möglichkeit, die Einwilligung zum Umgang mit personenbezogenen Daten jederzeit gegenüber PayPal zu widerrufen. Ein Widerruf wirkt sich nicht auf personenbezogene Daten aus, die zwingend zur (vertragsgemäßen) Zahlungsabwicklung verarbeitet, genutzt oder übermittelt werden müssen.
Die geltenden Datenschutzbestimmungen von PayPal können unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full abgerufen werden.
26. Zahlungsart: Datenschutzbestimmungen zu Sofortüberweisung als Zahlungsart
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von Sofortüberweisung integriert. Sofortüberweisung ist ein Zahlungsdienst, der eine bargeldlose Zahlung von Produkten und Dienstleistungen im Internet ermöglicht. Sofortüberweisung bildet ein technisches Verfahren ab, durch welches der Online-Händler unverzüglich eine Zahlungsbestätigung erhält. So wird ein Händler in die Lage versetzt, Waren, Dienstleistungen oder Downloads sofort nach der Bestellung an den Kunden auszuliefern.
Betreibergesellschaft von Sofortüberweisung ist die SOFORT GmbH, Fußbergstraße 1, 82131 Gauting, Deutschland.
Wählt die betroffene Person während des Bestellvorgangs in unserem Online-Shop als Zahlungsmöglichkeit „Sofortüberweisung“ aus, werden automatisiert Daten der betroffenen Person an Sofortüberweisung übermittelt. Mit einer Auswahl dieser Zahlungsoption willigt die betroffene Person in eine zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.
Bei der Kaufabwicklung über Sofortüberweisung übermittelt der Käufer die PIN und die TAN an die Sofort GmbH. Sofortüberweisung führt sodann nach technischer Überprüfung des Kontostandes und Abruf weiterer Daten zur Prüfung der Kontodeckung eine Überweisung an den Online-Händler aus. Die Durchführung der Finanztransaktion wird dem Online-Händler sodann automatisiert mitgeteilt.
Bei den mit Sofortüberweisung ausgetauschten personenbezogenen Daten handelt es sich um Vorname, Nachname, Adresse, Email-Adresse, IP-Adresse, Telefonnummer, Mobiltelefonnummer oder andere Daten, die zur Zahlungsabwicklung notwendig sind. Die Übermittlung der Daten bezweckt die Zahlungsabwicklung und die Betrugsprävention. Der für die Verarbeitung Verantwortliche wird Sofortüberweisung andere personenbezogene Daten auch dann übermitteln, wenn ein berechtigtes Interesse für die Übermittlung gegeben ist. Die zwischen Sofortüberweisung und dem für die Verarbeitung Verantwortlichen ausgetauschten personenbezogenen Daten werden von Sofortüberweisung unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung.
Sofortüberweisung gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.
Die betroffene Person hat die Möglichkeit, die Einwilligung zum Umgang mit personenbezogenen Daten jederzeit gegenüber Sofortüberweisung zu widerrufen. Ein Widerruf wirkt sich nicht auf personenbezogene Daten aus, die zwingend zur (vertragsgemäßen) Zahlungsabwicklung verarbeitet, genutzt oder übermittelt werden müssen.
Die geltenden Datenschutzbestimmungen von Sofortüberweisung können unter https://www.sofort.com/ger-DE/datenschutzerklaerung-sofort-gmbh/ abgerufen werden.
27. Rechtsgrundlage der Verarbeitung
Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zur unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).
28. Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden
Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.
29. Dauer, für die die personenbezogenen Daten gespeichert werden
Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.
30. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung
Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an einen unserer Mitarbeiter wenden. Unser Mitarbeiter klärt den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.
31. Bestehen einer automatisierten Entscheidungsfindung
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling.
Diese Datenschutzerklärung wurde durch den Datenschutzerklärungs-Generator der DGD Deutsche Gesellschaft für Datenschutz GmbH, die als Datenschutzbeauftragter tätig ist, in Kooperation mit den Datenschutz Anwälten der Kanzlei WILDE BEUGER SOLMECKE | Rechtsanwälte erstellt.
Version 20180524 Seite 1 von 6
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO als Anlage zu einem
oder mehreren von dem Auftraggeber genutztem Vertrag oder Verträgen
Zwischen der Firma
1&1 Internet SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland
– Nachfolgend „Auftragnehmer“ genannt –
und
Name: Hans-Werner Rudat
Straße, Hausnummer: Schulstr. 10
Postleitzahl, Ort: 21776 Wanna
Land: D
Kundennummer: 643136
– Nachfolgend „Auftraggeber“ genannt –
Version 20180524 Seite 2 von 6
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus
der im Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen
Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in
Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den
Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers
verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag über die folgenden Produkte:
Server
Cloud Server, Virtual Server Cloud, Managed Cloud Hosting, Dedicated Server (& Managed), Bare
Metal Server, Dynamic Cloud Server, Virtual Server (Lin/Win), Container Cluster
Webhosting & Homepage
Webhosting, WordPress Hosting, MyWebsite, E-Shop, ipayment
Office & Online Marketing
Online-Buchhaltung, E-Mail Marketing
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung. Gegenstand dieser Anlage ist nicht die originäre Nutzung oder Verarbeitung von
personenbezogenen Daten durch den Auftragnehmer. Als Hosting Dienstleister und
Administrator von Server-Systemen kann auf Seiten des Auftragnehmers ein Zugriff auf
personenbezogene Daten allerdings nicht ausgeschlossen werden.
Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der
Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenverarbeitung allein verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form, oder in einem elektronischen Format („Textform“) an die vom
Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt, oder ersetzt
werden („Einzelweisung“).
Version 20180524 Seite 3 von 6
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und
der Weisungen des Arbeitgebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von Art.
28 Abs. 3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich,
wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die
Durchführung von rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation
so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DSGVO)
genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu
treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und
Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
(3) Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen der betroffenen Personen.
(4) Die Beschreibung Technischer und Organisatorischen Maßnahmen gemäß Anhang 1 ist
Bestandteil dieser Vereinbarung.
Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren
geprüfter Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und
Informationssicherheit nachweisen.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte
Schutzniveau nicht unterschritten wird.
Der Auftragnehmer unterstützt soweit erforderlich den Auftraggeber im Rahmen seiner
Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß
Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 und 34 DS-GVO genannten
Pflichten.
(5) Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die
Daten außerhalb der Weisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich
die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit
verpflichtet haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die
Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Version 20180524 Seite 4 von 6
(7) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen ist der Ansprechpartner:
1&1 Internet SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@1und1.de
(8) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO
nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung einzusetzen.
(9) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
datenschutzkonforme Lösung oder eine entsprechende Einschränkung der Datenverarbeitung
nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von
Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den
Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag
bereits vereinbart.
In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw.
Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern
nicht im Vertrag bereits vereinbart.
(10) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf
Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
(11) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den
Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu
unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher
Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 11 dieser Anlage entsprechend.
§ 5 Anfragen betroffener Personen
Version 20180524 Seite 5 von 6
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder
Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den
Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der
betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person
unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im
Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet bei
Erfüllung seiner Pflichten nicht dafür, wenn das Ersuchen der betroffenen Person vom
Auftraggeber nicht, nicht richtig, oder nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten
Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des
Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit
durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der
Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen
abhängig machen. Für die Unterstützung bei der Durchführung einer Inspektion darf der
Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den
Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
(2) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei
der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7 Drittstaatentransfer
(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet überwiegend in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens
über den Europäischen Wirtschaftsraum statt. Ausnahmen sind der Liste gem. §8 Abs. 2 dieser
Anlage zu entnehmen.
§ 8 Subunternehmer (weitere Auftragsverarbeiter)
(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der
Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch
den Auftragnehmer ist der Auftraggeber einverstanden.
Version 20180524 Seite 6 von 6
(2) Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im
Kundenportal stets zum Abruf zur Verfügung. Diese Liste wird quartalsweise aktualisiert.
(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer,
seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu
übertragen. Die volle Verantwortung für die vom Auftragnehmer eingeschalteten
Subunternehmer bleibt beim Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse,
oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber
unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang
Verantwortlichen unverzüglich drüber informieren, dass die Hoheit und das Eigentum an den
Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegen.
(2) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den
Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt
dies die Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.
(3) Es gilt deutsches Recht.
(4) Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art
§ 10 Haftung und Schadensersatz
(1) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der
in Art. 82 DS-GVO getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig
Anlagenverzeichnis
Anhang 1: TOMs
Version 20180522 Seite 1 von 9
Technische und organisatorische Maßnahmen nach Art.32 DSGVO
1. Zutrittskontrolle
Mit der Zutrittskontrolle soll verhindert werden, dass unberechtigte Personen Zutritt zu den
informationsverarbeitenden Systemen der 1&1 Internet SE bekommen. Die Rechenzentren der
1&1 Internet SE gewährleisten einen hohen Schutz durch moderne Sicherheitstechnik und
umfassende Objekt- und Datenschutzmaßnahmen. Der Zutritt zum Rechenzentrum ist dabei nur
einem eingeschränkten Kreis von autorisierten Mitarbeitern möglich.
1.1. Organisatorische Maßnahmen
1.1.1. Empfang- und Ausweispflicht
Der Standort des Rechenzentrumgebäudes wird tagsüber zu den normalen Geschäftszeiten
durch einen Pförtner überwacht, außerhalb der Geschäftszeiten durch einen Sicherheitsdienst.
Auffälligkeiten werden durch die Einbruchmeldeanlage und Kontrollgänge des
Sicherheitsdienstes entdeckt. Am Standort des Rechenzentrums besteht für alle Besucher und
externen Mitarbeiter die Pflicht, Ausweise zu tragen. Externe Personen dürfen sich grundsätzlich
nur in Begleitung eines internen Mitarbeiters innerhalb der Gebäude aufhalten. Interne
Mitarbeiter besitzen durch ihre Zutrittskarten die entsprechende Berechtigung, Zutritt zu den
Geschäftsräumen zu erlangen.
Die Ausweis-Richtlinie sieht folgende Anforderungen beim Ausstellen vor:
• Die Ausweise, das Ausweis-Logbuch, sowie alle zugehörigen Dokumente und
Unterlagen sind verschlossen aufzubewahren.
• Zugänge zu EDV-gestützten Verwaltungstools sind mit Passwörtern zu versehen, sodass
unbefugte keinen Zugriff auf die Arbeitsstationen, über die die Ausweise verwaltet
werden, erhalten können.
• Ausweise sind so zu gestalten, dass deren Gültigkeit abläuft.
• Ein Ausweisbuch über Ausgabe und Rücknahme der Ausweise ist in Papierform zu
führen.
• Die Einträge des Ausweisbuches sind mindestens 6 Monate aufzubewahren.
• Jeweils ein „Besuch“ soll auf einem Blatt vermerkt werden, sodass verschiedene
Besucher, wenn sie nicht an einem Besuch teilgenommen haben, nicht über andere
Besucher Kenntnis erlangen können.
1.1.2. Schlüsselvergabe
Durch das installierte Zutrittskontrollsystem können nur Personen in das Rechenzentrum
gelangen, die im Vorfeld Berechtigungen im Rahmen ihrer Aufgabenerfüllung (z.B.
Systemoperatoren, die Hardware austauschen müssen) erhalten haben. Die
Zutrittsberechtigungen werden zentral über ein Zugriffsrechtemanagement, d.h. durch die
Einrichtung von Profilen, Vergabe/Sperrung von Berechtigungen eingerichtet. Hierfür existiert ein
formaler Genehmigungsprozess. Der Zutritt zum Rechenzentrum erfolgt über eine neutrale
Version 20180522 Seite 2 von 9
Zutrittskarte, die nach Anforderung und Unterschrift des Empfängers dem Berechtigten
ausgehändigt wird. Die Vergabe der Zutrittskarten wird dokumentiert. Bei Verlust der
Zutrittskarte wird diese sofort über das installierte Verwaltungssystem gesperrt. Die
Berechtigungen können losgelöst von der physischen Verfügbarkeit der Zutrittskarte geändert,
gelöscht, oder gesperrt werden.
1.2. Technische Maßnahmen
Das Rechenzentrum wird durch folgende technische Maßnahmen vor unberechtigtem Zutritt
geschützt:
• ZK-System (Zutrittskontrollsystem)
• EMA (Einbruchmeldeanlage) mit VdS1- Zulassung
• Videokameras
• Sicherheitstüren
• Bereichswechselkontrolle
Ein wichtiger Bestandteil des Sicherheitskonzeptes ist der Zutritt zum zentralen Rechenzentrum
über eine Personalvereinzelungsanlage.
1.2.1. Türsicherung
Eine Sicherheitsschleuse gewährleistet, dass nur einzelne berechtigte Personen das
Rechenzentrum betreten können. Um die Sicherheitsschleuse betreten zu können, wird ein
elektronischer Schlüssel (so genannter ID-Informationsträger) und eine PIN benötigt, der für den
Zugang explizit freigeschaltet sein muss. Nur nach positiver Prüfung der Sicherheitsmerkmale
wird der Zutritt zum Rechenzentrum durch die Sicherheitsschleuse gewährt.
1.2.2. Zutrittskontrollsystem und Überwachung
Der Standort des Rechenzentrums verfügt über Zugangsleser an allen Außentüren, sowie Leser
an den Schrankenanlagen. Alle Außenzugänge, Etagentüren, sowie Bürobereiche sind mit
digitalen Schließzylindern ausgerüstet. Alle Zugänge zum Rechenzentrum sind Videoüberwacht,
die durch eine zentrale Videoüberwachungsanlage gesteuert wird. Die Aufzeichnungen werden
über einen Zeitraum von 6 Monaten gespeichert. Die Fluchtwegtüren am Standort des
Rechenzentrums sind zusätzlich mit einer Fluchttürsteuerung ausgerüstet, die nach Vorgaben
des VdS geplant und zertifiziert, sowie regelmäßig gewartet wird.
2. Zugangskontrolle
Mit der Zugangskontrolle soll ein Eindringen unberechtigter Personen in die
Informationsverarbeitenden Systeme der 1&1 Internet SE verhindert werden. Hierzu sind
technische und organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und
Authentifizierung implementiert.
Version 20180522 Seite 3 von 9
2.1. Organisatorische Maßnahmen
2.1.1. Benutzer- und Berechtigungsverfahren
Benutzer, die im Rahmen ihrer Aufgabenerfüllung zu einem System Rechte erlangen sollen,
müssen diese Berechtigungen über einen formalen Benutzer- und Berechtigungsprozess
beantragen. Die Anforderungen zur Benutzer- und Berechtigungsvergabe sind durch die interne
Sicherheitsrichtlinie zum Identity- und Accessmanagement beschrieben und die
Berechtigungsvergabe in einer Verfahrensanweisung dokumentiert. Im Benutzer- und
Berechtigungs-Verwaltungssystem werden die Benutzerkennungen und Berechtigungen von
Benutzern geführt. Technisch erfolgt die Genehmigung für das Erteilen und Löschen von
Zugriffsrechten über Ticketsysteme, in denen der Vorgang dokumentiert wird. Im
Verwaltungssystem werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das
Unternehmen verlässt, bzw. wenn die Berechtigungen nicht mehr benötigt oder unberechtigt
benutzt werden. Auch im Rahmen der Systemdiagnose werden obsolete Zugriffsrechte gelöscht.
Technisch ist jeder berechtigte Benutzer auf eine einzelne Benutzer-ID auf dem Zielsystem
beschränkt
2.2. Technische Maßnahmen
2.2.1. Authentisierungsverfahren
Zugangsberechtigungen sind so feingranular wie möglich konfiguriert, sodass Personen nur dort
Zugang haben, wo sie diesen auf Grund ihrer Funktion und ihrer Aufgabenerfüllung benötigen.
Die Zugangskontrollverfahren gelten für alle Mitarbeiter der 1&1 Internet SE. Alle Systeme sind
durch zweistufige Authentifizierungsverfahren (z.B. Benutzer-ID und Passwort) geschützt, die
unberechtigte Zugriffe unterbinden. Werden im Rahmen des Authentifizierungsverfahrens
Passwörter eingesetzt, müssen diese den internen Passwortrichtlinien für Mitarbeiter und
Systeme entsprechen. Passwörter, die nach den Richtlinien nicht der Qualität entsprechen, sind
nicht erlaubt. Die Systeme werden nach einer bestimmten Zeit der Inaktivität automatisch
gesperrt. Zusätzlich werden Accounts automatisch deaktiviert, wenn deren Passwörter nicht
geändert werden.
Ein Fernzugriff auf interne Systeme ist nur in authentifizierter Form möglich, bei dem z.B.
asymmetrische Authentisierungsverfahren (Public-/Private-Key-Verfahren) eingesetzt werden, die
zusätzlich zur Nachweisbarkeit protokolliert werden. Der Zugriff auf interne Systeme wird nur
Geräten gewährt, die sich im Besitz der 1&1 Internet SE befinden und administriert werden. Der
Zugriff auf interne Systeme über WLAN-Verbindungen kann nur durch einen zusätzlichen VPNTunnel
erfolgen. Die von der 1&1 Internet SE betriebenen WLAN-Zugangsgeräte erkennen und
protokollieren nicht autorisierte Access-Points.
2.2.2. Verschlüsselung
Daten mit hohen Schutzbedarfen werden nach aktuellem Stand der Technik mit verschlüsselten
Verfahren analog der internen IT-Sicherheitsrichtlinie zur Kryptographie gesichert. Die
eingesetzten Verschlüsselungsverfahren basieren auf Empfehlungen des Bundesamts für
Sicherheit in der Informationstechnik (BSI). Werden Daten anhand Datenträger ausgetauscht,
wird dokumentiert, wer zu welchem Zeitpunkt zu welchem Zweck von wem einen Datenträger
erhält. Datenträger, die nicht mehr zum produktiven Einsatz kommen, werden durch sichere
Version 20180522 Seite 4 von 9
Lösch- und Überschreib-Verfahren nach Empfehlungen des BSI entsorgt. Es gelten hier die
Regelungen der internen Sicherheitsrichtlinie zur Entsorgung von Medien.
3. Zugriffskontrolle
Mit der Zugriffskontrolle sollen unerlaubte Handlungen in den informationsverarbeitenden
Systemen der 1&1 Internet SE verhindert werden, indem Maßnahmen zur Überwachung und
Protokollierung der Zugriffe implementiert werden.
3.1. Berechtigungsvergabe
Die Systeme wurden in der Weise konfiguriert, dass ein regulärer Zugriff mit administrativen
Rechten nur für interne, autorisierte Mitarbeiter aus gesicherten Netzsegmenten möglich ist.
Hier wurden bedarfsorientierte Berechtigungskonzepte ausgestaltet, die die Zugriffsrechte,
sowie deren Überwachung und Protokollierung definieren. Eine Berechtigungsvergabe wird stets
nach dem Need-to-know-Prinzip vergeben. Je nach Autorisierung werden differenzierte
Berechtigungen, untergliedert nach Rollen und Profilen von Benutzern eingerichtet. Weitere
Autorisierungen an Systemen bedürfen der Einrichtung von Berechtigungen nach dem
implementierten Benutzer-und Berechtigungsprozess.
3.2. Auswertungen
Zugriffe auf System-IDs und auffällige Zugriffsversuche werden auf einem zentralen
Protokollierungsserver protokolliert. Der Zugriff auf die Protokollierungsserver ist nur lesend
durch autorisierte Administratoren möglich. Beim auffälligen Zugriffsversuch wird zusätzlich eine
Alarmierung (Security Monitoring) an den zuständigen Systemverantwortlichen ausgelöst.
3.3. Veränderungen
Modifikationen an Zugriffsrechten können lediglich von Systemadministratoren des operativen
Fachbereichs vorgenommen werden, die die Freigabe des Vorgesetzten erhalten haben.
Veränderungen der Zugriffsrechte und Berechtigungen geschehen in der Regel innerhalb eines
Arbeitstages, wenn nicht sogar bei Bedarf sofort. Netzwerkgeräte oder Systeme mit
voreingestellten Zugriffsmöglichkeiten dürfen nicht im Produktivbereich verwendet werden.
Näheres regeln die internen Sicherheitsrichtlinien.
3.4. Löschung
Das Löschen von Benutzerberechtigungen (z.B. Nach dem Austritt eines Mitarbeiters) erfolgt
zeitnah, spätestens jedoch innerhalb eines Arbeitstages. Das Löschen von Zugriffsrechten
geschieht auch im Rahmen der Systemdiagnose. Hier werden obsolete Zugriffsrechte bereinigt.
Im Verwaltungssystem werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das
Unternehmen verlässt bzw. wenn die Berechtigungen nicht mehr benötigt oder unberechtigt
benutzt werden. Im Rahmen der Systemdiagnose werden obsolete Zugriffsrechte, die z.B. über
einen längeren Zeitraum inaktiv waren, gelöscht.
Version 20180522 Seite 5 von 9
4. Weitergabekontrolle
Im Rahmen der Weitergabekontrolle werden Maßnahmen beim Transport, der Übertragung und
Übermittlung, sowie bei der nachträglichen Überprüfung von personenbezogenen Daten
definiert.
4.1. Organisatorische Maßnahmen
4.1.1. Schulungsmaßnahmen
Alle Mitarbeiter der 1&1 Internet SE sind auf das Datengeheimnis gem. § 5 BDSG hin
verpflichtet worden. Neue Mitarbeiter erhalten bei Eintritt eine Sicherheitsschulung. Für
verschiedene Fachbereiche gibt es speziell abgestimmte Sicherheitssensibilisierungsprogramme.
4.1.2. Klassifizierung der Informationen
Jede Information muss nach ihrem Schutzbedarf eingestuft werden. Handelt es sich um
vertrauliche Informationen, müssen diese besonders behandelt werden. Vertrauliche, dienstliche
Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Der Umgang
mit Informationen wurde in der Richtlinie „Datenklassifikation“ und deren Anhang geregelt. Es
sind insbesondere folgende Regeln einzuhalten:
• Es müssen spezielle Verfahren und Regelungen zum Schutz der Informationen und
Datenträger beim Transport insbesondere über Unternehmensgrenzen hinweg definiert
und dokumentiert werden (z.B. Verfahrensanweisung für den Einsatz von Boten).
• Es müssen so weit wie möglich kryptographische Verfahren (z-B. Verschlüsselung bei der
Übertragung vertraulicher Daten) eingesetzt werden. Die Anforderungen aus der ITSicherheitsrichtlinie
Kryptographie sind zu berücksichtigen.
• Bei der Übergabe an externe Empfänger ist die erfolgte vollständige und sichere
Übergabe nachweisbar zu dokumentieren.
4.2. Technische Maßnahmen
4.2.1. Zugriffs-und Transportsicherung
Grundsätzlich können auf die Systeme, die personenbezogene Daten verarbeiten, nur
autorisierte Nutzer zugreifen. Die Übertragung von Daten erfolgt ausschließlich durch das
System selbst an autorisierte Empfänger, über kryptographisch stark gesicherte Wege, z.B. über
VPN mit IPSec nach aktuellem Stand der Technik und Empfehlungen des BSIs. Die Übertragung
wird in Logfiles protokolliert.
Um das System vor unberechtigten Zugriffen von Desktop-PCs der Mitarbeiter und somit vor
einer unautorisierten Weitergabe von Daten zu schützen, gelten die internen
Sicherheitsrichtlinien für Mitarbeiter der 1&1 Internet SE.
Die Integrität von wichtigen Systemdateien wird durch regelmäßige Überprüfung deren
kryptografischer Prüfsumme sichergestellt (HIDS).
Der Zugriffsschutz auf Systeme mit sensiblen Informationen wird auf mehreren Ebenen realisiert:
Auf Dateisystem-, auf Betriebssystem- und auf Netzwerkebene. Die Schutzmechanismen
erlauben nur speziell autorisierten Administratoren den Zugriff auf die jeweilige Ebene. Um
Datenverlust vorzubeugen, müssen alle arbeitsrelevanten Daten auf Servern gespeichert werden.
Version 20180522 Seite 6 von 9
Diese Daten werden regelmäßig gemäß den definierten Backup-Konzepten gesichert, sodass ein
Datenverlust dadurch weitestgehend ausgeschlossen ist.
4.2.2. Protokollierung
Der Zugriff und die Aktivitäten der Administratoren werden in speziellen Protokolldateien
aufgezeichnet. Die Protokollierung der Zugriffe erfolgt auf einen zentralen, dedizierten
Protokollierungsserver, der von den zu protokollierenden Systemen getrennt installiert ist. Der
Zugriff auf die Protokolle und auf den zentralen Protokollierungsserver ist geschützt und nur
autorisierten Administratoren gestattet. Systemadministratoren dürfen dabei die Protokolle auf
den Protokollierungsserver einsehen, aber nicht verändern. Der Transport der
Protokollierungsdaten geschieht über eine verschlüsselte Verbindung. Auf den
Protokollierungsserver werden verschiedene Verletzungen von Sicherheitskontrollen
protokolliert, wie z.B. nicht berechtigte Zugangsversuche oder signifikante Schutzverletzungen.
Bei besonders sensiblen Systemen ist der Zugriff nur nach dem 4-Augen-Prinzip möglich.
5. Eingabekontrolle
Um die Nachvollziehbarkeit und Dokumentation der Datenverwaltung und –pflege
sicherzustellen, werden Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten
eingegeben, verändert oder gelöscht worden sind, implementiert.
5.1. Protokollierungs- und Protokollauswertung
Durch die Einhaltung der oben aufgeführten Regeln zu Zutrittskontrolle, Zugangskontrolle und
Zugriffskontrolle wurde die Grundlage für die Eingabekontrolle der Systeme geschaffen, die
personenbezogenen Daten verarbeiten. Grundsätzlich wird im Rechte- und Rollen-Konzept
zwischen Systemusern, Prozessusern und personalisierten Usern unterschieden.
Angaben zur Protokollierung sind in Kapitel 4.2.2 zu finden.
Protokollauswertungen werden stichprobenartig von den Systemadministratoren vorgenommen,
insbesondere jedoch, wenn Auffälligkeiten oder der Verdacht auf eine Kompromittierung (z.B.
durch eine Alarmierung / Triggering eines Events) aufgetreten ist. Die Protokollauswertungen
sind als Informationen klassifiziert, die nur innerhalb der 1&1 Internet SE im Rahmen der
Aufrechterhaltung und Sicherstellung der Systemstabilität und –sicherheit zu verwenden sind.
6. Auftragskontrolle
Alle Weisungen des Auftraggebers zum Umgang mit personenbezogenen Daten werden
dokumentiert und an zentraler Stelle für die mit der Datenverarbeitung befassten Mitarbeiter der
1&1 Internet SE hinterlegt.
Die 1&1 Internet SE verarbeitet personenbezogene Daten ausschließlich im Rahmen der
getroffenen Vereinbarungen. Zweck, Art und Umfang der Datenverarbeitung richten sich
ausschließlich nach den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung
erfolgt nur nach schriftlicher Einwilligung des Auftraggebers. Der Datenschutzbeauftragte des
Auftraggebers hat das jederzeitige Recht, nach Absprache die Umsetzung seiner Weisungen bei
Version 20180522 Seite 7 von 9
der 1&1 Internet SE zu kontrollieren. Die 1&1 Internet SE wird den Auftraggeber bei der
Durchführung von Kontrollen durch den Auftraggeber unterstützen und an der vollständigen
Abwicklung der Kontrolle mitwirken.
Die 1&1 Internet SE wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom
Auftraggeber erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt,
sowie dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen
die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des
Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder
andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Die 1&1 Internet SE ist bei der
Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne
des § 5 BDSG verpflichtet. Sie verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten,
wie sie dem Auftraggeber obliegen. Nicht mehr benötigte Unterlagen mit personenbezogenen
Daten und Dateien werden erst nach vorheriger Zustimmung durch den Auftraggeber
datenschutzgerecht vernichtet.
7. Verfügbarkeitskontrolle
Alle Dienste der gesamten 1&1 Internet SE und ihrer Tochterunternehmen sind hochsensibel in
Bezug auf deren Verfügbarkeit und müssen vor zufälliger Zerstörung oder Verlust geschützt
werden. Die Kunden erwarten eine hochverfügbare Bereitstellung aller Netzwerk- und
Rechenzentrums-Dienstleistungen. In diesem Zusammenhang werden Maßnahmen zur
Datensicherung und –erhaltung umgesetzt.
7.1. Organisatorische Maßnahmen
7.1.1. Notfallhandbücher und Backup-Verfahren
Zur Sicherstellung der Notfallhandbücher und Backup-Verfahren werden in den als für
notwendig erachteten Abteilungen Notfallhandbücher erstellt. Die Notfallhandbücher definieren
Verantwortlichkeiten (z.B. Notfallverantwortlicher), sowie Eskalations-, Informations- und
Alarmierungspfade, legen Wiederanlaufpläne und Verfahren für einen Shutdown für einen
Mangelfall fest, regeln Ersatzbeschaffung von Hard- und Software und dokumentieren, wie
Daten gesichert und archiviert werden müssen. Die Notfallhandbücher sind damit ein
wesentlicher Bestandteil für den Umgang und der Behandlung der Systeme und Daten im
Notfall, die insbesondere auf die Backup-Strategien und Backup-Dokumentationen verweisen.
Alle Daten werden in regelmäßigen Abständen gesichert, wobei die Sicherung dokumentiert an
einem anderen Ort als das zu sichernde System verwahrt wird. Die Backups verlassen jedoch
nicht das Rechenzentrum der 1&1 Internet SE. Zum Schutz der Archive und Backups sind die
zuvor genannten Zutrittskontrollen implementiert. Der Zugang auf die Backup-Software ist
limitiert auf dedizierte Backup-Administratoren. Die Häufigkeit von Datenbackups richtet sich
nach der Kritikalität der Informationen und ist individuell anpassbar. Funktionalitätstests von
Datenbackups werden stichprobenartig von den zuständigen Systemadministratoren
vorgenommen. Die zum Backup benutzten Speichermedien werden nach einem sicheren Löschoder
Überschreibungsverfahren nach Empfehlung des BSI wiederverwendet.
Im Wiederherstellungsprozess wird beschrieben, wie und in welcher Reihenfolge die Systeme
und Daten installiert und wiederhergestellt werden müssen.
Version 20180522 Seite 8 von 9
Alle Prozesse zur Wiederherstellung der Daten, der Wiederanlaufplan der Systeme, sowie die
Notfallsituation müssen in regelmäßigen Abständen in einer Übung durchgeführt und getestet
werden. Die Tests und Übungen werden protokolliert und dokumentiert. Die bei Notfällen und
Incidents benötigten Eskalationspfade wurden im Praxisbetrieb erprobt.
7.2. Technische Maßnahmen
7.2.1. Firewall und Virenschutz
Die Netze und Systeme der 1&1 Internet SE sind mit einer Firewall gegen Hackerangriffe
geschützt, die regelmäßig von autorisierten Systemadministratoren gewartet und aktualisiert
werden. Die Firewall- Regeln sind so ausgelegt, dass nur benötigte Dienste erlaubt sind und in
der Grundeinstellung jeden Netzwerkverkehr blockieren. Alle Internetverbindungen sind durch
mindestens eine Firewall geschützt. Die Kontrolle sicherheitsrelevanter Konfigurationen erfolgt
hierbei im Rahmen von Sicherheitsaudits und Penetrationstests, die u.a. von der internen
Sicherheitsabteilung durchgeführt wird. Alle Netzwerkkomponenten werden einmal täglich,
sowohl intern als auch extern, durch automatische Scanner geprüft.
Das Virenschutzkonzept sieht einen mehrstufigen Schutz vor Schadsoftware über die Netzwerk-
Gateways und Systeme der 1&1 Internet SE vor. Der Schutz vor Schadsoftware wird zentral über
ein Systemmanagementsystem verwaltet und regelmäßig, mindestens einmal am Tag,
aktualisiert. Alle sensiblen und kritischen Systeme sind mit einem fehlertoleranten
Festplattenverbund (i.d.R. RAID 5) ausgestattet.
7.2.2. Hochverfügbarkeit und Stromversorgung
Aus der Hochverfügbarkeitsanforderung ergibt sich am Standort Karlsruhe, an dem das System
aufgestellt ist, eine grundsätzliche hochredundant ausgelegte Netzwerk-Infrastruktur, die
Einzelfehler in fast allen Bereichen und Doppelfehler in vielen Bereichen abfangen kann. Sensible
Dienste werden georedundant an verschiedenen Standorten betrieben. Die Stromversorgungen
sind mehrfach unabhängig voneinander ausgelegt. Das Rechenzentrum ist mit einer
unterbrechungsfreien Stromzufuhr ausgestattet. Die zentrale Elektrotechnik im
Hauptrechenzentrum in Karlsruhe ist in vier (3+1) Blöcke aufgeteilt. In jedem Block ist die
Technik Mittespannung, Niederspannung, USV und Netzersatzanlage (NEA) enthalten. Ein
Betriebsblock dient zur Redundanz.
Die Versorgungsblöcke sind räumlich voneinander getrennt, um eine gegenseitige Beeinflussung
im Schadens- oder Störfall zu verhindern. Jeder Block hat einen eigenen mittelspannungsseitigen
Abgang. Das Rechenzentrum ist an einem 20 kV Ring der Stadtwerke Karlsruhe angeschlossen,
der exklusiv dem Rechenzentrum vorbehalten ist. Um sich vor einem Totalausfall in der
Versorgung durch die Stadtwerke zu schützen, ist in zweiter Instanz zwischen Verbraucher und
Versorger eine redundant ausgelegte, unterbrechungsfreie Stromversorgung (USV) installiert. Die
gesamte Anlage wird über eine zentrale, redundant aufgebaute Netzleittechnik überwacht und
gesteuert. Zusätzlich wird permanent die Netzqualität nach DIN EN 50160 von allen Ein- und
Ausgängen der USV Anlagen überwacht.
7.2.3. Brandschutz
Eine Argon-Löschanlage schützt die Sicherheitsräume im Brandfall. Das ungiftige Gas bewirkt
bei einem Brandfall eine Sauerstoffverdrängung im Raum, wodurch dem Brandherd die
Version 20180522 Seite 9 von 9
Grundlage Sauerstoff entzogen wird. Die Server werden durch den Löschvorgang nicht
beeinträchtigt und können normal weiter betrieben werden.
Um einen Brandfall im Vorfeld zu verhindern ist des Weiteren eine Brandfrüherkennungsanlage
installiert, die ständig die Luftpartikel anhand eines vorgegebenen Soll-Kalibrierungszeitraumes
überwacht. Ändert sich die Zusammensetzung der Luftpartikel oder steigt die Zahl der für eine
Brandentstehung typischen Partikel, schlägt die Früherkennung Alarm. Die Anlage ist direkt auf
die Berufsfeuerwehr Karlsruhe aufgeschaltet. Die interne Alarmverfolgung erfolgt über eine
Notifikationssteuerung, Email sowie SMS Versand, an das Facility Management der 1&1 Internet
SE in Karlsruhe. Die Anlage wurde nach Vorgaben des VdS geplant und zertifiziert. In allen
Haustechnik-, Technik-, Lagerräumen, Fluren und Treppenhäusern sind Brandmelder, an allen
Zugangsbereichen sind Handmelder installiert. Die Gefahrenmeldeanlage wird nach Vorgaben
des VdS regelmäßig gewartet. Zur ersten Bekämpfung von Bränden sind Handfeuerlöscher
installiert.
8. Trennungskontrolle
Durch die 1&1 Internet SE getroffenen Maßnahmen zur Trennungskontrolle sind der
softwareseitige Ausschluss im Sinne einer Mandantentrennung, die Trennung von Test- und
Routineprogrammen, die Trennung durch getroffene Zugriffsregelungen, sowie
Dateiseparierung.
Beispielsweise müssen alle Produktivsysteme getrennt von den Entwicklungs- und Testsystemen
betrieben werden. Technisch wird das durch eine Segmentierung von Netzen mit einem
aktivierten Firewall-Regelwerk realisiert. Produktivdaten dürfen nicht als Kopie für Testzwecke
verwendet werden, ebenso dürfen Testdaten nicht in Produktivumgebung eingesetzt werden.
Details regeln die internen Sicherheitsrichtlinien zum sicheren Betrieb.