Datenschutz­erklärung (Einbindung Saturn)

Der Schutz der Privatsphäre ist uns ein wichtiges Anliegen. Wenn und soweit uns personenbezogene Daten mitgeteilt werden, werden diese entsprechend den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und deren aktueller Interpretation, sowie insbesondere den gesetzlichen Datenschutzbestimmungen des Bundesdatenschutzgesetzes (BDSG) verarbeitet. Selbstverständlich werden sämtliche Daten vertraulich behandelt. Mit den nachfolgenden Datenschutzinformationen möchten wir im Einzelnen näher erläutern, wie mit Daten umgegangen wird.

1. Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten

1.1. Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen (Art. 4 Abs. 7 DSGVO) ist die:

userwerk GmbH
vertreten durch die Geschäftsführer Dr. Markus Kalb & Daniel Speyer
Ehinger Str. 19
D-89077 Ulm
E-Mail: kontakt@userwerk.com

1.2. Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:

Stefan Schwytz
c/o Kulitz & Twelmeier GmbH
Magirus-Deutz-Str. 12
D-89077 Ulm
E-Mail: datenschutz@userwerk.com

2. Allgemeine Informationen über die Erhebung personenbezogener Daten

2.1. Grundsatz
Diese Datenschutzerklärung gilt für alle Kunden, Interessenten und Mitarbeiter sowie Vertragspartner und anderen natürlichen Personen, die unsere Onlineangebote und die mit ihnen verbundenen Webseiten, Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als “Onlineangebot” oder “Website”) nutzen. Die Datenschutzerklärung gilt unabhängig von den verwendeten Domains, Systemen, Plattformen und Geräten (z.B. Desktop oder Mobile) auf denen das Onlineangebot oder die Website ausgeführt wird.

2.2. Grundsätze zum Umfang der Verarbeitung personenbezogener Daten
Wir teilen die der DSGVO sowie dem Bundesdatenschutzgesetz (BDSG) zugrundeliegende Philosophie, dass die Erhebung und Verarbeitung von personenbezogenen Daten („Daten“) nach Möglichkeit beschränkt sein muss. Daher verarbeiten wir personenbezogene Daten nur, soweit dies zu klar definierten Zwecken, die im Folgenden dargestellt werden, erforderlich ist (Grundsätze der Datenvermeidung und Datensparsamkeit). Die Datenverarbeitung ist dabei nur zulässig, soweit sie sich auf eine ausreichende Rechtsgrundlage oder Einwilligung stützen kann (Grundsatz der Rechtmäßigkeit). Dies bedeutet, dass wir personenbezogenen Daten grundsätzlich nur verarbeiten, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung der personenbezogenen Daten erfolgt regelmäßig nur nach Einwilligung. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Soweit sich aus Nachfolgendem nichts anderes ergibt, erfassen die Begriffe „verarbeiten“ und „Verarbeitung“ insbesondere auch das Erheben, das Nutzen, das Offenlegen und das Übermitteln personenbezogener Daten (siehe hierzu Art. 4 Nr. 2 DSGVO).

2.3. Allgemeines zu den Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

2.3.1. Allgemeine Rechtsgrundlagen
Die Verarbeitung von personenbezogenen Daten ist im Grundsatz verboten und nur ausnahmsweise zulässig. Die Zulässigkeit der Datenverarbeitung kann allein daraus folgen, dass die Verarbeitung der Daten auf eine geeignete Rechtsgrundlage gestützt werden kann. Als solche kommen abschließend in Betracht:

  • Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person eingeholt haben, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
  • Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
  • Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
  • Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
  • Soweit die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die uns übertragen wurde, ist Art. 6 Abs. 1 lit. e DSGVO die Rechtsgrundlage der Verarbeitung.
  • Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

2.3.2. Besondere Rechtsgrundlagen bei Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
Die Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Ausnahmsweise kann auch die Verarbeitung dieser besonderen Kategorien von personenbezogenen Daten durch uns erlaubt sein, soweit hierfür eine geeignete Rechtsgrundlage besteht. Als solche kommen insbesondere in Betracht:

  • Soweit die betroffene Person in die Verarbeitung der besonderen Kategorien von besonderen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat, ist dies Rechtsgrundlage der Verarbeitung (Art. 9 Abs. 2 lit. a DSGVO). Dies gilt nicht, soweit nach Unionsrecht oder dem Recht der Mitgliedstaaten durch das Verbot der Verarbeitung der besonderen Kategorien von personenbezogenen Daten nicht aufgehoben werden kann.
  • Im Falle, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, ist Art. 9 Abs. 2 lit. e DSGVO Rechtsgrundlage der Verarbeitung.
  • Soweit die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, ist die Verarbeitung nach Art. 9 Abs. 2 lit. f DSGVO zulässig.
  • Die Verarbeitung der Daten ist zulässig, soweit dies auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist, vgl. Art. 9 Abs. 2 lit. g DSGVO.

2.4. Widerspruch und Widerruf gegen die Verarbeitung Ihrer Daten
Falls eine Einwilligung zur Verarbeitung von Daten erteilt wurde, kann diese jederzeit widerrufen werden. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung personenbezogener Daten, nachdem er gegenüber uns ausgesprochen wurde.

Soweit wir die Verarbeitung personenbezogenen Daten auf eine Interessenabwägung stützen, kann Widerspruch gegen die Verarbeitung eingelegt werden. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags erforderlich ist, nachfolgenden jeweils bei der Beschreibung der Funktionen dargestellt. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle eines begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen, anpassen oder unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.

2.5. Datenlöschung und Speicherdauer
Personenbezogenen Daten werden von uns gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt; Sperrung bedeutet in diesem Zusammenhang jede Aufhebung des Bezugs der Daten zur Person. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir unterliegen, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht. Regelmäßig erfolgt nach 3 Monaten eine Anonymisierung der personenbezogenen Daten (Art. 5 Abs. 1 lit. e) DSGVO). Jederzeit kann die Anonymisierung auf Anforderung des Kunden etwa bei unbeabsichtigt oder unberechtigt erhobenen Daten erfolgen (Art. 17 DSGVO).

3. Zwecke und Rechtsgrundlagen der Verarbeitung Ihrer personenbezogenen Daten sowie weitere Information zur konkreten Datenverarbeitung

3.1. Besuch unserer Website
3.1.1. Beschreibung und Umfang der Datenverarbeitung
Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners (personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt). Dies ist rein technisch bedingt und auch vorgesehen, sofern keine Registrierung erfolgt oder anderweitig Informationen übermittelt werden. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des Nutzers
  • Datum und Uhrzeit der Anfrage bzw. des Zugriffs
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus/HTTP-Statuscode
  • jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt (von denen das System des Nutzers auf unsere Internetseite gelangt)
  • Website, die vom System des Nutzers über unsere Website aufgerufen wird
  • Informationen über den Browsertyp und die verwendete Version
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware

3.1.2. Zwecke der Datenverarbeitung
Die vorübergehende Speicherung der genannten Daten, insbesondere der IP-Adresse durch das System, ist notwendig, um eine Auslieferung der Website zu ermöglichen. Hierfür muss die IP-Adresse für die Dauer der Sitzung gespeichert bleiben. Aufrufe von Seiten im Internet sind ohne die Übermittelung der IP grundsätzlich nicht möglich. Dies dient ferner den Zwecken, die Systemsicherheit und Systemstabilität auszuwerten und weiterhin zu gewährleisten sowie weiteren administrativen Zwecken. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

3.1.3. Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus oben aufgelisteten Zwecken zur Datenerhebung. In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person zu ziehen.

3.1.4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, dass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

3.1.5. Widerspruchs- und Beseitigungsmöglichkeit
Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich keine Widerspruchsmöglichkeit.

3.2. Weitere Onlineangebote (Einbindungen bei Werbepartnern)
Neben der rein informatorischen Nutzung unserer Website bieten wir über unsere Onlineangebote verschiedene Leistungen an, die Kunden bei Interesse nutzen können. Namentlich vermitteln wir, auch unter Verwendung der eingetragenen Marke “chocoala”, für Anbieter verschiedener Produkte (Produktanbieter) deren Vorteilsangebote, insbesondere gratis Proben unterschiedlicher Medien. Hierzu werden unsere Werbemittel auf Webseiten von Werbepartnern eingebunden, die zum Vertrieb eigener Leistungen, zum Beispiel Webshops betreiben. Durchläuft der Kunde, der volljährig sein muss, den Bestellablauf des Werbepartners, wird ihm am Ende des Bestellvorganges als Dankeschön für seine Bestellung die Auswahl aus den Vorteilsangeboten der Produktanbieter ermöglicht. Nach der Wahl des gewünschten Angebots erscheint ein von uns betriebenes Bestellformular, in dem bereits die beim Einkauf im Shopsystem hinterlegten, persönlichen Daten des Kunden vorausgefüllt sind. Dieses Vorausfüllen findet lediglich im Kundenbrowser statt, es gibt keine nicht vom Kunden autorisierte Übertragung von Personendaten. Der Kunden erhält alle nötigen Infos zum Produktanbieter sowie ggfs. dessen AGB und Datenschutzinformationen verlinkt. Will der Kunde das Vorteilsangebot in Anspruch nehmen, muss er eine Checkbox „Ja, ich stimme den Nutzungsbedingungen zu“ aktivieren. Die hierüber verlinkten Nutzungsbedingungen enthalten sofern zutreffend die Erklärung, dass der Kunde mit seiner Bestellung in den Erhalt von Werbung des Produktanbieters (per Telefon oder E-Mail) einwilligt. Zur Nutzung der vorgenannten Vorteilsangebote müssen teilweise weitere personenbezogene Daten angegeben werden, die vom Produktanbieter zur Erbringung der jeweiligen Leistung genutzt werden und für die die zuvor genannten Grundsätze zur Datenverarbeitung gelten. Konkret werden die Daten hierbei wie folgt verarbeitet.

3.2.1. Nutzung des Bestellformulars

3.2.1.1. Beschreibung und Umfang der Datenverarbeitung
Beim Aufruf unseres Bestellformulars werden von unserem System aus rein technischen Gründen die unter Ziffer 3.1.1. genannten Daten und Informationen des aufrufenden Rechners erfasst. Darüber hinaus werden vom Werbepartner Anrede, Geburtsjahr, Land, Postleitzahl, eventuell Variablen zum Verhalten innerhalb des Angebots des Werbepartners, sowie der Hashwert der angegebenen E-Mail-Adresse pseudonymisiert übermittelt. Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

3.2.1.2. Zwecke der Datenverarbeitung
Die vorübergehende Speicherung der genannten Daten ist technisch bedingt und dient einerseits der Systemsicherheit und Systemstabilität, weiterhin Zwecken der Gewährleistung und Administration. Der Hashwert der E-Mail-Adresse wird pseudonymisiert abgeglichen, um einen möglicherweise bereits geäußerten Widerspruch gegen Werbung hinsichtlich eines hinterlegten Hashwerts gerecht zu werden.

3.2.1.3. Rechtsgrundlagen der Datenverarbeitung
Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung. In keinem Fall verwenden wir die erhobenen Daten, um Rückschlüsse auf die Person zu ziehen. Ferner ist die Rechtsgrundlage für die Analyse des Hashwerts der E-Mail-Adresse, um einen möglichen Werbewiderspruch rechtskonform ausschließen zu können Art. 21 Abs. 3, Art. 6 Abs. 1 lit. c DSGVO.

3.2.1.4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung des Bestellformulars ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten zu Zwecken der Datensicherheit ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

3.2.1.5. Widerspruchs- und Beseitigungsmöglichkeit
Die Erfassung der Daten zur Bereitstellung des Bestellformulars und die Speicherung der Daten ist für den Betrieb des Bestellformulars erforderlich. Es besteht folglich keine Widerspruchsmöglichkeit. Es kann jedoch generell der Analyse des potentiellen Interesses in Bezug auf die vermittelten Angebote jederzeit widersprochen werden.

3.2.2. Inanspruchnahme der Angebote der Produktanbieter

3.2.2.1. Beschreibung und Umfang der Datenverarbeitung
Sofern ein Angebot der Produktanbieter über unser Bestellformular bestellt werden soll, ist es für den Vertragsabschluss erforderlich, dass die persönlichen Daten angeben werden, die für die Abwicklung der Bestellung nötig sind. Es werden ausschließlich die für die Abwicklung der Verträge notwendige Pflichtangaben erhoben. Die Daten werden an den Produktanbieter übermittelt.

3.2.2.2. Zwecke der Datenverarbeitung
Die angegebenen Daten verarbeiten wir ausschließlich zur Abwicklung der Bestellung.

3.2.2.3. Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage für die Datenverarbeitung im Rahmen der Abwicklung einer Bestellung ist Art. 6 Abs. 1 lit. b DSGVO. Sofern eine Datenverarbeitung zu weiteren Werbezwecken erfolgt, ausschließlich im Auftrag der Produktanbieter, ist die Rechtsgrundlage hierfür vorliegend Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO; die berechtigten Interessen folgen aus den dargestellten Zwecken zur Datenverarbeitung. Soweit weiterhin eine Einwilligung zur Nutzung der Daten zu Zwecken des Direktmarketings gegeben wurde, ebenfalls ausschließlich im Auftrag der Produktanbieter, ist Rechtsgrundlage hierfür Art. 6 Abs. 1 lit. a DSGVO.

3.2.2.4. Dauer der Speicherung
Im Hinblick auf die Bestellabwicklung bestehen allgemein handels- und steuerrechtlicher Vorgaben dahingehend, Adress-, Zahlungs- und Bestelldaten für die Dauer von zehn Jahren zu speichern. Soweit die Daten zu Werbezwecken im Auftrag des Produktanbieters verarbeitet werden, werden diese Daten solange gespeichert, bis die Einwilligung diesbezüglich widerrufen wird oder der Verarbeitung der Daten für Werbezwecke widersprochen wird.

3.2.3. Direktmarketing/ Newsletterversand durch die Produktanbieter

3.2.3.1. Beschreibung und Umfang der Datenverarbeitung
Mit der Vertragserklärung zum Erhalt der Bestellung kann auch einwilligt werden, gesondert Informationen über aktuelle, zukünftige Produkte und Dienstleistungen des Produktanbieters zu erhalten (per Telefon oder E-Mail). Für die Bestätigung der Anmeldung zum Erhalt dieser Informationen bieten wir das sog. Double-Opt-in-Verfahren. Das heißt, dass nach der Bestellung eine E-Mail an die angegebene E-Mail-Adresse gesendet wird, in der um freiwillige Bestätigung gebeten wird, dass die Anmeldung/ Bestellung vom jeweiligen Kunden ausgeführt wurde. Darüber hinaus speichern wir jeweils die eingesetzten IP-Adressen und Zeitpunkte der Anmeldung/ Bestellung und Bestätigung.

3.2.3.2. Zwecke der Datenverarbeitung
Zweck des Double-Opt-in-Verfahrens ist, die Anmeldung nachzuweisen und ggf. einen möglichen Missbrauch der persönlichen Daten aufklären zu können. Nach der Bestätigung wird die E-Mail-Adresse zum Zweck des Direktmarketings durch den Produktanbieter gespeichert. Zur Erfüllung dieser Zwecke werden die Daten an den Produktanbieter übermittelt. Die Verarbeitung der Daten erfolgt ausschließlich administrativ im Auftrag der Produktanbieter.

3.2.3.3. Rechtsgrundlagen der Datenverarbeitung
Soweit mit der Vertragserklärung im Hinblick auf die Bestellung die Einwilligung zur Datenverarbeitung zu Werbezwecken durch den Produktanbieter erklärt wird, sind die Rechtsgrundlagen hierfür Art. 6 Abs. 1 lit. a und Art. 6 Abs. 1 lit. b DSGVO, ferner § 7 Abs. 2 Nr. 3 UWG. Soweit im Rahmen des Double-Opt-in-Verfahrens Daten erfasst werden, erfolgt dies zu Dokumentationszwecken gemäß Art. 7 Abs. 1 und Art. 6 Abs. 1 lit. c DSGVO. Soweit wir die Daten ausnahmsweise nicht bereits aufgrund einer Einwilligung verarbeiten, erfolgt die Verarbeitung der personenbezogenen Daten insoweit, wie dies zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist und nicht die Interessen, Grundrechte und Grundfreiheiten des Bestellers, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

3.2.3.4. Dauer der Speicherung
Bestätigt der Kunde die Bestellung im Wege des Double-Opt-in-Verfahrens nicht, und erfordern die Bedingungen des Vertrags zwischen Kunde und Produktanbieter dies nicht zum Bezug der Bestellung, werden die Informationen gesperrt und nach einem Monat automatisch gelöscht.
Die Daten werden ansonsten gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Personenbezogenen Daten werden von uns nur zum Zwecke des Nachweises gespeichert, nach 6 Monaten anonymisiert, später gelöscht. 

3.2.4. Widerspruchs- und Beseitigungsmöglichkeit
Die Einwilligung kann jederzeit widerrufen werden. Den Widerruf uns gegenüber kann etwa durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an kontakt@userwerk.com oder durch eine Nachricht, an die unter Ziffer 1.1 angegebenen Kontaktdaten erklären, oder bevorzugt durch Widerruf direkt beim Produktanbieter, dessen Kontakt in den Angeboten und der Bestätigungsmail aufgeführt ist.

3.3. Kommunikation
Aufgrund des berechtigten Interesses an einer schnellen und kundenfreundlichen Kommunikation und der technischen Administration nutzen wir gemäß Art. 6 Abs. 1 lit. f und Art. 6 Abs. 1 lit. b der DSGVO folgende Anwendung: E-Mails und Anfragen per Telefon werden mit Zendesk bearbeitet und gespeichert, eine Kundenserviceplattform der Zendesk Inc., 1019 Market Street San Francisco, CA 94103. Zendesk Inc. verfügt über mehrere Zertifikate, die die geltenden Datenschutzniveaus gewährleisten. Nähere Informationen entnehmen Sie bitte den Datenschutzhinweisen von Zendesk: www.zendesk.de/product/zendesk-security

3.3.1. Einwilligung in die Übermittlung personenbezogener Daten in ein Drittland
Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse dürfen grundsätzlich personenbezogene Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeitet werden. Die Datenübermittlung darf hiernach vorgenommen werden, wenn die Europäische Kommission im Wege eines Beschlusses im Sinne des Art. 45 Abs. 1, 3 DSGVO festgestellt hat, dass in dem betreffenden Drittland datenschutzrechtlich ein angemessenes Schutzniveau geboten wird. Die Europäische Kommission bescheinigt Drittländern durch solche sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem anerkannten Standard im Europäischen Wirtschaftsraum vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html).

Soweit vorliegend in Ausnahmefällen ein Datentransfer zwischen den USA und der EU stattfindet, ist darauf hinzuweisen, dass für die USA nicht ein solcher Angemessenheitsbeschluss besteht. Daher müssten grundsätzlich anderweitige geeignete Garantien dafür bestehen, dass der Datenschutz ausreichend in den USA gewährleistet ist. Möglich wäre dies im Allgemeinen über bindende Unternehmensvorschriften, Standardvertragsklausen der Europäischen Kommission zum Schutz personenbezogener Daten, Zertifikate oder anerkannte Verhaltenskodizes.

Zendesk hat sich zwar entsprechender Standardvertragsklauseln der Europäischen Kommission unterworfen, US-Unternehmen sind dennoch dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss. Es kann ferner sein, dass Sie Ihre Auskunftsrechte gegenüber dem Diensteanbieter nicht nachhaltig geltend machen bzw. durchsetzen können. Ferner entsprechen die technischen und organisatorischen Maßnahmen zum Schutze personenbezogener Daten bei Google quantitativ und qualitativ ggfs. nicht vollumfänglich den Anforderungen der DSGVO. Es besteht damit die Möglichkeit, dass die von Zendesk eingesetzten Standardvertragsklauseln der Europäischen Kommission keine hinreichenden Garantien im Sinne des Art. 46 Abs. 2 lit. a) DSGVO darstellen. Zendesk wird hat sich gleichwohl dazu verpflichtet, Daten nur an US-Sicherheitsbehörden herauszugeben, wenn der Diensteanbieter faktisch durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde. Der Diensteanbieter ist ferner verpflichtet, rechtliche Schritte einzuleiten, um die behördliche Anordnung zur Herausgabe der Daten anzufechten. Indem Sie in die Datenerhebung durch Zendesk einwilligen, stimmen Sie der hier dargestellten Datenübermittlung ausdrücklich zu, wobei Sie vorstehend über die möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurden. Diese Einwilligung kann jederzeit widerrufen werden. Durch einen Widerruf wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

3.3.2. Rechtsgrundlage der Datenverarbeitung 
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. a sowie f DSGVO. Die Verarbeitung erfolgt auf Grundlage einer konkludent abgegebenen Einwilligung sowie auf Grundlage unserer berechtigten Interessen. Wir gehen insoweit davon aus, dass die grundrechtlich geschützten Positionen nicht schwerwiegend betroffen sind und daher nicht überwiegen.

3.4. Loopingo
Wir zeigen in der Einbindung unseres Onlineangebots Gutscheinangebote der loopingo GmbH, Nymphenburgerstr. 12, 80335 München an. Zur Vorbereitung des Gutscheins wird von uns die E-Mail-Adresse an loopingo verschlüsselt übermittelt (Rechtsgrundlage hierfür ist Art. 6 Abs.1 b, f DSGVO), sowie ggf. ein verwendeter Gutscheincode. Die IP-Adresse, die von loopingo ausschließlich zu Zwecken der Datensicherheit verwendet wird, wird nach sieben Tagen anonymisiert. Außerdem übermitteln wir zur Aufbereitung des Angebots pseudonymisiert Bestellnummer, Bestellwert mit Währung, Postleitzahl, Geschlecht und Zeitstempel an loopingo. Weitere Informationen zur Verarbeitung Ihrer Daten durch loopingo entnehmen Sie bitte den Online-Datenschutzhinweisen unter www.loopingo.com/datenschutz.

3.5. Einbindung der Dienste von Amazon Web Services (AWS)

3.5.1. Beschreibung und Umfang der Datenverarbeitung
Wir nutzen Dienste, namentlich Cloud-Lösungen, der Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, einem Tochterunternehmen der Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, United States. Amazon Web Services, Inc. (nachfolgend „AWS“ genannt) ist eine nach dem Recht des Staates Delaware gegründete und registrierte Gesellschaft (Registernummer: 4152954, Secretary of State, State of Delaware, Steuernr.: 204938068). 

Im Rahmen der Nutzung der Dienste von AWS werden auch personenbezogene Daten verarbeitet und gespeichert. Diese Informationen werden gemäß Vertrag mit AWS generell nur innerhalb der EU bzw. im EWR verarbeitet. Ein Datentransfer außerhalb der EU ist dennoch nicht auszuschließen. Wir haben keinen Einfluss auf diese Datenübertragung.

3.5.2. Zweck der Datenverarbeitung
Die Nutzung der Dienste von AWS ist für die Funktionsfähigkeit und die vollständige Bereitstellung unserer Inhalte und Dienstleistungen unerlässlich. Der Zweck kann darin bestehen, Dienste zur Erfüllung des zu Ihnen bestehenden Vertragsverhältnisses zu erbringen. 

3.5.3. Einwilligung in die Übermittlung personenbezogener Daten in ein Drittland
Die Nutzung der Dienste von AWS Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse dürfen grundsätzlich personenbezogene Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeitet werden. Die Datenübermittlung darf hiernach vorgenommen werden, wenn die Europäische Kommission im Wege eines Beschlusses im Sinne des Art. 45 Abs. 1, 3 DSGVO festgestellt hat, dass in dem betreffenden Drittland datenschutzrechtlich ein angemessenes Schutzniveau geboten wird. Die Europäische Kommission bescheinigt Drittländern durch solche sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem anerkannten Standard im Europäischen Wirtschaftsraum vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.html) Soweit vorliegend in Ausnahmefällen ein Datentransfer zwischen den USA und der EU stattfindet, ist darauf hinzuweisen, dass für die USA nicht ein solcher Angemessenheitsbeschluss besteht. Daher müssten grundsätzlich anderweitige geeignete Garantien dafür bestehen, dass der Datenschutz ausreichend in den USA gewährleistet ist. Möglich wäre dies im Allgemeinen über bindende Unternehmensvorschriften, Standardvertragsklausen der Europäischen Kommission zum Schutz personenbezogener Daten, Zertifikate oder anerkannte Verhaltenskodizes. AWS hat sich zwar entsprechender Standardvertragsklauseln der Europäischen Kommission unterworfen, US-Unternehmen sind dennoch dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss. Es kann ferner sein, dass Sie Ihre Auskunftsrechte gegenüber AWS nicht nachhaltig geltend machen bzw. durchsetzen können. Ferner entsprechen die technischen und organisatorischen Maßnahmen zum Schutze personenbezogener Daten bei AWS quantitativ und qualitativ ggfs. nicht vollumfänglich den Anforderungen der DS-GVO. Es besteht damit die Möglichkeit, dass die von AWS eingesetzten Standardvertragsklauseln der Europäischen Kommission keine hinreichenden Garantien im Sinne des Art. 46 Abs. 2 lit. a) DSGVO darstellen. AWS hat sich gleichwohl gemäß hier https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf abrufbarem Dokument dazu verpflichtet, Daten nur an US-Sicherheitsbehörden herauszugeben, wenn AWS faktisch durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde. AWS ist ferner Verpflichtung rechtliche Schritte einzuleiten, um die behördliche Anordnung zur Herausgabe der Daten anzufechten. Indem Sie in die Datenerhebung durch AWS einwilligen, stimmen Sie ebenfalls der hier dargestellten Datenübermittlung ausdrücklich zu, wobei Sie vorstehend über die möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurden. Diese Einwilligung kann jederzeit widerrufen werden. Durch einen Widerruf wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

3.5.4. Rechtsgrundlage der Datenverarbeitung
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. a sowie f DSGVO. Die Verarbeitung erfolgt auf Grundlage einer konkludent abgegebenen Einwilligung sowie auf Grundlage unserer berechtigten Interessen. Zielt die Nutzung der Dienste von AWS auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. b DSGVO.

3.5.5. Weitere Informationen
Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung sowie weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre erhalten Sie unter: https://aws.amazon.com/de/legal/aws-emea/Amazon sowie unter https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf

4. Weitergabe Ihrer Daten an Dritte
Wir geben keine personenbezogenen Daten an Unternehmen, Organisationen oder Personen außerhalb des Unternehmens weiter, außer in einem der folgenden Umstände:

4.1. Mit Einwilligung
Wir geben personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb des Unternehmens weiter, wenn hierfür die Einwilligung des Kunden erhalten wurde; dies bezieht sich insbesondere auf die zuvor dargestellten Sachverhalte der Nutzung.

4.2. Verarbeitungen durch andere Stellen
Wir stellen personenbezogene Daten anderen Unternehmen, die im selben Konzern bzw. Unternehmensgruppe verbunden sind, sowie dritten Geschäftspartnern, anderen vertrauenswürdigen Unternehmen oder Personen, die diese im Auftrag verarbeiten. Dies geschieht auf der Grundlage unserer Weisungen und im Einklang mit der Datenschutzerklärung sowie anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen.

4.3. Aus rechtlichen Gründen
Wir werden personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb des Unternehmens weitergeben, wenn nach Treu und Glauben davon ausgegangen werden kann, dass der Zugriff auf diese Daten oder ihre Nutzung, Aufbewahrung oder Weitergabe vernünftigerweise notwendig ist, um insbesondere geltende Gesetze, Vorschriften oder Rechtsverfahren einzuhalten oder einer vollstreckbaren behördlichen Anordnung nachzukommen.

5. Weitergabe personenbezogener Daten an ein Drittland oder eine internationale Organisation
Soweit im Rahmen dieser Datenschutzerklärung nicht ausdrücklich dargestellt, findet eine Übermittlung der personenbezogenen Daten an Drittländer oder internationale Organisationen nicht statt.

6. Automatisierte Entscheidungsfindungen
Eine automatisierte Entscheidungsfindung findet nicht statt.

7. Rechte
Werden personenbezogene Daten verarbeitet, sind die Nutzer Betroffene i.S.d. DSGVO und es stehen den Betroffenen folgende Rechte gegenüber uns, dem Verantwortlichen, zu:

7.1. Auskunftsrecht
Betroffene können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

  • Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden.
  • Die Kategorien von personenbezogenen Daten, welche verarbeitet werden.
  • Die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden.
  • Die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer.
  • Das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung.
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
  • Alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Betroffenen steht das Recht zu, Auskunft darüber zu verlangen, ob die sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Betroffene verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

7.2. Recht auf Berichtigung
Betroffene haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

7.3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Betroffene die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:

  • Wenn sie die Richtigkeit, der sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  • Die Verarbeitung unrechtmäßig ist und sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen.
  • Der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
  • Wenn sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Betroffene vom Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

7.4. Recht auf Löschung

7.4.1. Löschpflicht
Betroffene können vom Verantwortlichen verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • Die sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Sie widerrufen die Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  • Sie betreffende personenbezogene Daten wurden unrechtmäßig verarbeitet.

Die Löschung der sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. Die sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

7.4.2. Informationen an Dritte
Hat der Verantwortliche die Betroffene betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

7.4.3. Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist:

  • Zur Ausübung des Rechts auf freie Meinungsäußerung und Information.
  • Zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO.
  • Für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

7.5. Recht auf Unterrichtung
Haben Betroffene das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Dem Betroffenen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

7.6. Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern:

  • Die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht.
  • Die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Betroffene ferner das Recht, zu erwirken, dass die sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7.7. Widerspruchsrecht
Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung der Produktanbieter zu betreiben, haben sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung der Produktanbieter in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

7.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Betroffene haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

7.9. Recht, nicht Gegenstand einer automatisierten Entscheidungsfindung im Einzelfall einschließlich Profilings zu sein
Betroffene haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht:

  • Wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen ihnen und dem Verantwortlichen erforderlich ist.
  • Aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten.
  • Mit ihrer ausdrücklichen Einwilligung erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie ihrer berechtigten Interessen getroffen wurden. Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren. Wozu mindestens das Recht auf Erwirken des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

7.10. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Insbesondere im Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Stand: März 2021