DATEN
SCHUTZ
Geschäftsführung: Marion Rödler MBA; Ing. Mag. (FH) Wolfgang Zednicek
Datenschutzbeauftragter: Jörg Brühl
Kontakt für Datenschutzanfragen: E-Mail: datenschutz@directmind.at
Unseren Webservice für Datenschutzanfragen zu unserer Direktmarketingtätigkeit finden Sie unter: https://directmind.schuetzt-meine-daten.at
Firmenbuchnummer: 121235m
Umsatzsteueridentifikationsnummer: ATU 15517607
Firmenbuchgericht: Handelsgericht Wien
Wirtschaftskammer: Wirtschaftskammer Wien
Berufsverband: Fachgruppe Werbung und Marktkommunikation
Anschrift: DIRECT MIND GmbH, Technologiestraße 8, 1120 Wien
Staat: Österreich
INFORMATION ZUM DATENSCHUTZ
STRUKTUR DER DATENSCHUTZINFORMATION:
1. Allgemeines
2. Information zu unserer Verarbeitung von personenbezogenen Daten
2.1. Falls Sie eine postalische Werbeaussendung erhalten haben
2.2. Verarbeitungen von personenbezogenen Daten für unsere Kunden
2.3. Für Kunden, Partner, Mitarbeiter, Dienstleister, Interessenten, Bewerber
2.4. Wenn Sie uns eine E-Mail senden
2.5. Cookies auf unserer Website
2.6. Unsere Auftragsverarbeiter, sowie Informationen zur Datenschutzerklärung
2.7. Rechte, Prozess bei Anfragen zu den Betroffenenrechten und Datensicherheit
1. ALLGEMEINES
Ein wesentlicher Erfolgsfaktor für DIRECT MIND ist die strikte Beachtung des Datenschutzgesetzes. Denn darauf beruht das Vertrauen unserer Kunden.
Unsere Mitarbeiter verpflichten sich schriftlich zur Einhaltung des Datengeheimnisses und unterzeichnen mit Dienstbeginn unsere Datenschutzrichtlinien und unsere Datenschutzverpflichtungserklärung. Zugriffsrechte sind in den DIRECT MIND- Datensicherheitsmaßnahmen geregelt und werden ständig überwacht. Mit unseren Lieferanten und Dienstleistern sind gemäß Datenschutzgesetz die entsprechenden Vereinbarungen getroffen worden. Auch die Schutzmaßnahmen bezüglich Hard- und Software entsprechen den jeweils aktuellen Standards, um den widerrechtlichen Zugriff auf Daten zu verhindern.
DIRECT MIND GmbH (im Folgenden kurz „wir“) verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen und auf Grundlage von freiwilligen Verpflichtungen unsererseits (DSGVO, DSG, TKG 2003, Art. 151 GewO, Codex des Fundraisingverbandes Österreich, Codex des österreichischen Spendegütesiegels, den Verhaltensregeln nach Art. 40 DSGVO für Direktmarketingunternehmen und Adressverlage, dem Code of Conduct des Werberates und die Verpflichtungserklärung des deutschen Fundraisingverbandes).
2. INFORMATION ZU UNSEREN VERARBEITUNGEN VON PERSONENBEZOGENEN DATEN
2.1. Falls Sie eine postalische Werbeaussendung erhalten haben
2.1.1. Verarbeitung von personenbezogenen Daten als Direktmarketing Unternehmen
DIRECT MIND als Direktmarketing-Unternehmen ist rechtlich befugt, Adressen für die Organisation und Durchführung von Marketingaktionen Dritter beizustellen. Diese werden von uns vor jeder Aktion um die Eintragungen der Robinsonliste der Wirtschaftskammer Österreich bereinigt. Namen, Adressen und sonstige Information stammen von externen Direktmarketingunternehmen und Adressverlagen (Verantwortliche der Ursprungsdateisysteme und Inhaber von Kunden- und Interessendateien). Fragen bezüglich der Herkunft beantworten wir gerne unter datenschutz@directmind.at, über unseren Webservice https://directmind.schuetzt-meine-daten.at oder postalisch, sofern wir Daten von der anfragenden Person auf diese Art und Weise gespeichert haben.
Wir wählen für unsere diesbezügliche Tätigkeit die Formulierung „Adressen beistellen“, da unsere Kunden zum größten Teil zunächst keinen Zugriff auf die personenbezogenen Daten bekommen, die sie über uns beziehen: Wenn sie eine Aussendung zur Gewinnung von neuen UnterstützerInnen durchführen möchten, bekommen wir von ihnen die Werbemittel (Kuverts, Briefe, Zeitungen) bereitgestellt. Mit Hilfe unserer Auftragsverarbeiter (Lettershops, Druckereien) personalisieren wir dann diese Werbemittel und machen diese versandfertig. Erst wenn die betroffenen Personen auf die postalische Aussendung zum Beispiel mit einer Spende reagieren, gehen die Daten in die Datenbanken unserer Kunden über. Vorher haben unsere Kunden also keinen Zugriff auf die Daten.
Für alle Daten, die wir im Zuge dieser Tätigkeit verarbeiten, haben wir die schriftliche Bestätigung, dass die Daten zur Adressvermietung und Adressaufbereitung für Marketingzwecke unserer Kunden (Non-Profit-Organisationen) verwendet werden dürfen. Diese Daten verwenden wir nicht für andere oder eigene Zwecke und sie werden von uns in einem eigenen mandantenfähigen System gespeichert.
Ein Widerspruch gegen die Verarbeitung der Daten zu Direktmarketingzwecke oder der Löschung von Daten ist, jederzeit unbegründet möglich. Wenden Sie sich bezüglich Ihrer Rechte oder bei Fragen zum Datenschutz bitte an uns unter datenschutz@directmind.at, schreiben Sie an
DIRECT MIND GmbH
Technologiestraße 8
Postfach 207
A-1121 Wien
oder nützen Sie unseren Webservice: https://directmind.schuetzt-meine-daten.at
Allerdings besteht die Möglichkeit, dass wir die Daten bei zukünftigen Datenlieferungen erneut und auf legale Weise beziehen.
Ein Eintrag in die Robinsonliste bietet hier einen Weg um dies zu verhindern, falls kein Interesse an personalisierter Werbung besteht. Die Adresse lautet:
Wirtschaftskammer Österreich,
Fachverband Werbung und Marketingkommunikation,
Wiedner Hauptstraße 75, 1040 Wien.
Tel.: +43 5 90 900 3504
E-Mail: werbung@wko.at
Das Antragsformular finden Sie auch unter: https://apppool.wko.at/Robinsonliste/Registrierung.aspx
Mit einem Eintrag in die Robinsonliste kann keine postalische Aussendung aus dem Ausland, Eigenwerbung von Unternehmen/Organisationen (bei einer bestehenden Beziehung: Kunde/Spender), amtliche Information, politische Werbung, unadressierte Postwurfsendung und Werbung per E‑Mail, SMS, WhatsApp oder Fax ausgeschlossen werden.
Neben einem Eintrag in die Robinsonliste der Wirtschaftskammer ließe sich eine Datenverarbeitung unsererseits und eine Beistellung der Daten durchs uns für eine postalische Aussendung unserer Kunden, durch einen Eintrag in unsere Sperrliste (mit Namen und vollständiger Anschrift) vermeiden.
Personenbezogene Daten in unserer Sperrliste werden ausschließlich verwendet um einen Widerspruch gegen die Verarbeitung dieser Daten unsererseits dauerhaft gewährleisten zu können. Sie werden also nicht für Marketing- oder andere Zwecke verwendet und nicht an Dritte weitergegeben – außer es besteht eine rechtliche Verpflichtung.
Rechtsgrundlage der Verarbeitung der Daten sind unsere berechtigten Interessen als Adressverlag und Direktmarketingunternehmen gemäß Art 6 Abs 1 lit f DSGVO, ausgeführt durch § 151 der Gewerbeordnung 1994 (betreffend die Ausübung des Gewerbes eines Adressverlags und Direktmarketingunternehmens), wonach Daten unter den dort genannten Bedingungen von uns für Marketingzwecke verarbeitet werden dürfen.
Die Aufbewahrungsdauer der von uns gespeicherten personenbezogenen Daten in diesem Rahmen definiert sich durch vertragliche Vorgaben, unter Berücksichtigung der jeweils aktuellen Sperrlisten und den Eintragungen in der Robinsonliste der Wirtschaftskammer Österreich. Wir löschen Daten darüber hinaus bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufs der Einwilligung und bei einem Widerspruch gegen die Verarbeitung, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bei der Organisation und Durchführung von Werbeaktionen unserer Kunden unterstützen uns Auftragsverarbeiter (Lettershops und Druckereien), die im Zuge ihrer Tätigkeiten Zugriff auf personenbezogenen Daten erlangen können, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Unsere Auftragsverarbeiter haben sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen uns gegenüber verpflichtet. Es wurden Auftragsverarbeitungsverträge gemäß Art 28 DSGVO abgeschlossen. Wir arbeiten also nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der datenschutzrechtlichen Bestimmungen erfolgt und den Schutz der personenbezogenen Rechte gewährleistet.
Falls unsere Kunden Sonderproduktionen wünschen, greifen wir auf eine Druckerei (einen Subauftragsverarbeiter, Datenimporteur im folgenden Vertrag) in einem Drittland zurück. Die Sicherheit der Daten (Name, Titel, postalische Anschrift, Referenznummer) ergibt sich aus einem von der EU Kommission erlassenen Standardvertrag der zwischen unserem Auftragsverarbeiter (Datenexporteur im folgenden Vertrag) in der EU und dieser Druckerei abgeschlossen wurde (Vertrag ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914&from=DE. Dieser kann nach Art. 46 Abs. 2 lit c DSGVO eine geeignete Garantie für eine solche Übermittlung sein. Die Druckerei im Drittland hat uns gegenüber schriftlich garantiert, dass sie keinem Gesetz und keiner Anordnung unterliegt, die sie daran hindert, das europäische Datenschutzniveau einzuhalten. Darüber hinaus ist das (Datenschutz-) Managementsystem der Druckerei (des Subauftragsverarbeiters) gemäß BS 10012 zertifiziert. Die Druckerei im Drittland löscht alle Daten spätestens 90 Tage nach dem Postaufgabetermin.
2.1.2. Bildung von Zielgruppen für Aussendungen unserer Kunden zur Neuspender*innengewinnung mit Hilfe von KI
Relevante Daten: Personenstammdaten, öffentlich verfügbare Daten, Marketingklassifikationsdaten, Historie
Relevante Daten für die KI-Analyse sind Personenstammdaten (Titel, Vor- und Nachnamen, postalische Anschrift, Geburtsdatum), öffentlich verfügbare Daten (Lage des Wohnorts, politischer Bezirk, Bundeslandkennzeichen, Zählsprengelkennzeichen, Gemeindekennzeichen), Marketingklassifikationsdaten (Grundstückspreise, Bildungsstand, Hausgröße, Altersklasse) und die Historie (wann und wie oft wurde die Adresse für den jeweiligen Kunden eingesetzt und wann bzw. wie oft haben wir die Adresse an den Kunden geliefert).
Analyse der Daten, Bildung einer Zielgruppe: Analyse der Daten mit Hilfe eines KI-Systems zur Errechnung der Spendenwahrscheinlichkeit je Kunde
Das KI – System unterstützt uns dabei herauszufinden, ob sich eine Person in unserer Direktmarketingdatenbank für die postalische Aussendung des jeweiligen Kunden interessieren bzw. spenden könnte. Ziel der KI-Entwicklung war es für jede Organisation eine Methodik zu entwickeln, der die bisherigen Analysen in der Adress-Auswahl verbessert. Die Aufgabenstellung lösten wir mit Hilfe neuronaler Netzwerke. Letztere bestehen aus sehr vielen „künstlichen Knotenpunkten“ (= sogenannte Neuronen) in einem (KI-) System. Diese „Punkte“ bekommen die vorliegende Information, führen Berechnungen durch (sie berechnen anhand des von uns gewünschten mathematischen Modells ob sich die Person für die Aussendungen des Kunden interessieren bzw. darauf spenden könnte) und geben das Ergebnis den anderen Punkten weiter. Diese Punkte, die über mehrere Ebenen verteilt sind, arbeiten also zusammen um die Fragestellung zu lösen. Am Ende erhalten wir dann ein Modell und so die Spendenwahrscheinlichkeit für den spezifischen Kunden je Person in unserer Direktmarketingdatenbank.
Speicherung des Ergebnisses: Die Spendenwahrscheinlichkeit wird vor jeder Kundenaussendung neu berechnet.
Wir führen vor jeder Kundenaussendung die Analyse neu durch und speichern die alte Spendenwahrscheinlichkeit nicht.
Wie selektieren wir die Daten dann für die postalischen Aussendungen? Anhand der errechneten Spendenwahrscheinlichkeit, aber auch unter Beachtung unserer Datenpolitik – sowie unter Beachtung der Robinsonliste der WKÖ und unserer Sperrliste.
Wenn wir Personen für eine Aussendung zur Neuspender*innengewinnung auswählen, dann ist natürlich die errechnete Spendenwahrscheinlichkeit sehr wichtig. Genauso bedeutend ist aber auch unsere Datenpolitik: Wir möchten Personen nicht zu oft anschreiben und berücksichtigen die Häufigkeit dementsprechend ebenfalls im Rahmen unseres Auswahlverfahrens. Personen, die auf der Robinsonliste der WKÖ stehen oder auf unserer Sperrliste, werden von jeder postalischen Aussendung ausgeschlossen.
Training des KI-Systems: Das ist wichtig für die höchste Güte und die Stabilität des Systems.
Wir haben das KI – System mit den genannten Daten trainiert und sehr viele Modelle gerechnet. Ein „Modell“ ist hierbei ein Plan, den das KI – System zur Lösung der Fragestellung entwickelt hat. Ein solcher Plan hat dann die „höchste Güte“, wenn er die besten Ergebnisse für das Problem liefert und wenige/keine Fehler macht. „Stabil“ ist dieser Plan dann, wenn er zuverlässig dasselbe (oder ein vergleichbares) Ergebnis liefert, wenn wir das Modell mit anderen Daten testen. Wir haben für unsere Analyse das Modell mit der höchsten Güte und der höchsten Stabilität, unter Berücksichtigung unserer Erfahrungswerte und nach dem Vergleich der erzielten Ergebnisse, ausgewählt.
Wer unterstützt uns bei der Erstellung des KI – Systems: +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter
Wir haben +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter mit der Erstellung des KI-Systems beauftragt.
Ist die KI – Analyse eine ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO? Nein – aus unserer Sicht nicht!
Bei der Einstufung einer Analyse als „ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO“ müssen unter anderen die Auswirkungen auf die betroffenen Personen betrachtet werden“. Diese müssen „erheblich“ sein - man spricht hierbei von der sogenannten „Erheblichkeitsschwelle“. Diese ist sehr hoch: Es ist auf eine schwerwiegende Folge für die Betroffenen abzustellen, zum Beispiel die Auflösung eines Vertrages oder eine Einreiseverweigerung in ein Land. Des Weiteren beeinträchtige die Datenverarbeitung eine Person dann erheblich, wenn ihre Wirkung umfassend bzw. erwähnenswert sei - die Entscheidung müsse die Umstände, das Verhalten oder die Entscheidungen der betroffenen Personen erheblich beeinträchtigen, die betroffene Person über einen längeren Zeitraum oder dauerhaft beeinträchtigen oder im schlimmsten Fall zum Ausschluss oder zur Diskriminierung von Personen führen. Dies können wir im Rahmen unserer KI-Analyse nicht feststellen. Die Konsequenz für die betroffenen Personen aus der KI - Analyse ist der Erhalt von postalischen Aussendungen oder eben kein Erhalt von postalischen Aussendungen. Ein gewisser bürokratischer Aufwand für die betroffenen Personen ist denkbar (wenn sie zum Beispiel ihr Recht auf Widerspruch/Löschung umsetzen möchte), aber keine Auswirkungen mit dem notwendigen Schweregrad, so dass von einer rechtlichen oder erheblichen Beeinträchtigung der betroffenen Person gesprochen werden kann - betroffene Personen können immer Werbeaussendungen adressiert mit Daten aus den Karteien von Adressverlagen durch eine Eintragung in die Robinsonliste der WKÖ ablehnen.
Gibt es eine Datenübermittlung in ein Drittland? Nein!
Das KI-System läuft auf unseren Servern in Österreich. Es gibt keinen Datentransfer in ein Drittland oder an eine internationale Organisation.
Rechtsgrundlage für die KI – Analyse: unser berechtigtes Interesse und das berechtigte Interesse unserer Kunden
Wir haben ein berechtigtes Interesse nach Art. 6 Abs 1 lit f DSGVO an der Durchführung von KI – Analysen zur Bildung von Zielgruppen für Aussendungen zur Gewinnung von neuen Unterstützer*innen unserer Kunden, die gemeinnützige Ziele verfolgen und daher auf Spenden angewiesen sind. Eine bessere Zielgruppenanalyse mit Hilfe von KI von unserer Seite erhöht die Anzahl der gewonnenen Spender*innen je postalischer Aussendung, reduziert so die Kosten und erhöht die verfügbaren Mittel für die gemeinnützigen oder mildtätigen Projekte. Deshalb haben auch unsere Kunden ein berechtigtes Interesse an unserer Zielgruppenanalyse mit Hilfe von KI.
Rechtsgrundlage für das Training der KI: Zweckänderung nach Art. 6 Abs 4 DSGVO, berechtigtes Interesse
Der originäre Zweck unserer Datenerhebung ist die Durchführung, Planung und Organisation von postalischen Werbeaktionen Dritter. Der Zweck der Weiterverarbeitung der Daten ist das Training des KI – Systems, um eine Analyse zu entwickeln, um den ursprünglichen Zweck der Datenerhebung effizienter und besser umsetzen zu können. Beide Zwecke sind unter dem übergeordneten Zweck „Direktwerbung“ subsumierbar (der Zweck „Training“ und der Zweck „Analyse zur Zielgruppenbestimmung“ zeigen in dieselbe Richtung) – also auch in Anbetracht des Zusammenhangs, in dem die personenbezogenen Daten bezogen wurden. Es werden keine Daten im Sinne des Art. 9 Abs 1 DSGVO oder Art. 10 DSGVO verarbeitet. Für die betroffenen Personen hat diese Weiterverarbeitung keine Konsequenzen. Im Rahmen des Trainings wird nur die Parametrisierung der KI verändert. Ein Training mit anonymisierten Daten war nicht möglich, da zu erwarten ist, dass die postalische Anschrift eine erklärende Variable für das KI-System sein kann.
2.1.3. Ergebnis Datenschutzfolgeabschätzung für unsere Verarbeitungen als Direktmarketingunternehmen
Wir erhalten personenbezogene Daten zur Organisation und Durchführung von postalischen Direktmarketingaktionen unserer Kunden im Rahmen von Lizenzierungsvereinbarungen oder Mietvereinbarungen von Inhabern der Ursprungsdateisysteme oder von Inhabern von Kunden- und Interessentendateisysteme (im Folgenden kurz Adressverlage). Diese müssen sich vertraglich verpflichten, dass die bereitgestellten Daten datenschutzkonform gewonnen wurden und dass diese Daten von uns zum vorliegenden Verarbeitungszweck verarbeitet werden dürfen (im Zuge der Unbedenklichkeitserklärung im Sinne des § 151 Abs 5 GewO). Wir erhalten von den Adressverlagen zudem Marketinganalysedaten. Hier sind wir vertraglich verpflichtet, dass wir diese Daten nur für Marketingzwecke verwenden und nicht weitergeben (im Rahmen der Unbedenklichkeitserklärung im Sinne des § 151 Abs 6 GewO 1994 idgF).
Den Betroffenen erwächst im Rahmen der Direktmarketingverarbeitungen vor allem deswegen ein gewisses Risiko, da die verschiedenen Akteure und Verarbeiter ihrer Daten unbekannt sein könnten und die Betroffenen deswegen ihre Rechte nicht ausüben könnten, bzw. nicht wüssten an wen sie ihre Rechte zu adressieren haben. Dieses Risiko wird von unserer Seiten so stark wie möglich reduziert. In allen Aussendungen unserer Kunden wird auf den verantwortlichen Adressverlag, auf uns und in der Folge auch auf den Kunden verwiesen (ungeachtet dessen, dass dieser zum Zeitpunkt der Postaufgabe keinen Zugriff auf die Daten hat). Bei allen drei Akteuren kann der Betroffene seine Rechte geltend machen und wird im Zuge dessen an die jeweiligen Ansprechstellen verwiesen. Der Betroffene kann so jederzeit Widerspruch gegen die Datenverarbeitungen einlegen und seine Daten löschen lassen. Alle erhaltenen Daten werden von uns in einem mandantenfähigen System gespeichert. Die Rückführbarkeit der Daten ist in jedem Fall gegeben. Personen, welche keine postalische Werbeaussendung möchten und die eine Eintragung in die Robinsonliste der Wirtschaftskammer durchführen haben lassen, werden regelmäßig aus unseren Systemen gelöscht. Die Verarbeitungen sind im Rahmen unseres berechtigten Interesses als Gewerbetreibender nach Art. 151 GewO somit legitim und verhältnismäßig.
2.1.4. Zertifizierung gemäß den Verhaltensregeln für Direktmarketingunternehmen
DIRECT MIND GmbH wurde am 23.03.2021 nach den Verhaltensregeln gem. Art. 40 DSGVO für die Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994 (Hrsg: FV Werbung und Marktkommunikation, WKÖ) zertifiziert.
Diese Zertifizierung stellt eine aufrechte Überwachung im Sinne des Art. 41 DSGVO der in diesem Zertifikat angeführten Verhaltensregel gemäß Art 40 DSGVO dar.
Die Austrian Standards plus GmbH (akkreditierte Überwachungsstelle gem. Art. 41 Abs 1 DSGVO) stellt dieses Überwachungszertifikat aus und überwacht die Einhaltung.
Diese Zertifizierung und die damit einhergehende Einhaltung der Verhaltensregeln ist ein Nachweis für uns, dass wir personenbezogene Daten als Direktmarketingunternehmen nach Treu und Glauben im Sinne des Art 5 Abs 1 lit a DSGVO verarbeiten.
2.2. Verarbeitungen von personenbezogenen Daten für unsere Kunden
Wir verarbeiten nur jene personenbezogenen Daten, die wir von den Auftraggebern im Rahmen unserer rechtmäßigen Verarbeitungstätigkeit bereitgestellt bekommen. Wir haben uns verpflichtet, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten.
Wir haben als Auftragsverarbeiter entsprechende Verträge laut § 28 DSGVO mit jedem Auftraggeber abgeschlossen und geeignete technische und organisatorische Maßnahmen implementiert, um eine datenschutzkonforme Verarbeitung der personenbezogenen Daten und den Schutz dieser Daten zu gewährleisten. Wir löschen die personenbezogenen Daten nach der Erfüllung unserer Verarbeitungstätigkeit. Die Auftraggeber verpflichten sich vertraglich, dass die uns zur Auftragsverarbeitung bereitgestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen erhoben wurden und dass sie zur Datenverarbeitung berechtigt sind.
2.3. Für Kunden, Partner, Mitarbeiter, Dienstleister, Interessenten, Bewerber
2.3.1. Allgemeiner Überblick:
Personenbezogene Daten verarbeiten wir zur Vertragserfüllung, Verrechnung, Geltendmachung der Vertragsansprüche, für Zwecke des Kundenservice, im Rahmen der Personalentwicklung und Personalverwaltung, zur Verwaltung unserer IT-Systeme, zur Durchführung und Organisation unserer Veranstaltungen, zur Öffentlichkeitsarbeit und für Werbezwecke. Die Daten werden hierfür, so weit zulässig, erhoben, gespeichert, verarbeitet und genutzt. Weitere Informationen zu einzelnen Verarbeitungen sind in den nachstehenden Punkten zu finden.
Wir verarbeiten hierbei fallweise folgende Kategorien personenbezogener Daten: Personenstammdaten, Kommunikationsdaten, Personalverwaltungsdaten, Vertragsdaten, Bankverbindungsdaten, Kommunikationsinhalte, Qualifikationsdaten, Finanzdaten, Online Marketingdaten, Ausweisdokumente, Zugangsdaten, Fotos, Nutzer generierte Inhalte, Log/ Protokolldaten. Die personenbezogenen Daten werden je nach Verarbeitungszweck in unterschiedlichen Systemen gespeichert. Nähere Angaben hierzu sind in den jeweiligen Informationen zu den Verarbeitungen zu entnehmen.
Die rechtlichen Grundlagen für die Verarbeitung von personenbezogenen Daten sind einerseits Vertragserfüllung, berechtigte Interessen, die Erfüllung unserer rechtlichen bzw. vertraglichen Verpflichtungen, sowie andererseits die Einwilligung der betroffenen Person (Newsletter, Cookies).
Wir verarbeiten personenbezogene Daten auf der Grundlage unserer berechtigten Interessen nach Art 6 Abs. 1 lit. f DSGVO, im Rahmen des gesetzlich zulässigen, für Öffentlichkeitsarbeit, um Informationen bereitzustellen und um unsere Dienstleistungen und Produkte zu bewerben. Nach Erwägungsgrund 47 DSGVO ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung ebenso ein berechtigtes Interesse.
Hierbei tragen ein ansprechender Webauftritt, sowie das Versenden von Aussendungen und die Kommunikation mit unseren Kunden und Interessenten maßgeblich zu unserem Unternehmenserfolg bei und sind somit hierfür auch erforderlich. Auch haben wir ein „berechtigtes Interesse“ darin, die Anforderungen unserer Kunden besser zu verstehen, um sie noch zielgerichteter unterstützen zu können.
Auch die Datenspeicherung oder Datenverarbeitung zur Gewährleistung der Funktionsfähigkeit unserer IT-Systeme kann, neben der rechtlichen Verpflichtung gemäß Art 6 Abs. 1 lit c DSGVO iVm Art 32. DSGVO (Sicherheit der Verarbeitung), auch auf unser berechtigtes Interesse nach Art 6 Abs. 1 lit. f DSGVO beruhen. Eine möglichst hohe Funktionalität dieser Systeme trägt ebenso zum Unternehmenserfolg bei.
Ein Widerspruch gegen diese Verarbeitungen, sofern sich diese auf unsere „berechtigten Interessen“ stützen, ist jederzeit unbegründet durch eine Nachricht an datenschutz@directmind.at möglich.
Personenbezogene Daten löschen wir bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufes der Einwilligung, bei einem besonderen Widerspruch, soweit die betroffene Datenverarbeitung auf unsere berechtigten Interessen gestützt wird, sowie nach einer rechtlichen Löschungsverpflichtung. Mittels Widerrufs der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
2.3.2. Datenverarbeitung im Rahmen des Bewerbungsprozesses
Wir verarbeiten personenbezogene Daten um den Bewerbungsprozess mit unseren Bewerbern durchführen zu können und um einen möglichst passenden Kandidaten für die Ausschreibung finden zu können. Rechtsgrundlage hierfür ist unser berechtigtes Interesse, (Art 6 Abs 1 lit f DSGVO) einen möglichst effizienten Bewerbungsprozess durchzuführen, sowie die Notwendigkeit zur Durchführung vorvertraglicher Maßnahmen (Art 6 Abs 1 lit b DSGVO). Wir schalten hierbei Anzeigen auf stepstone.at und karriere.at, welche als unsere Auftragsverarbeiter tätig sind. Die betroffenen Daten erheben wir im Rahmen des Bewerbungsprozesses (auch über stepstone.at und karriere.at) oder des Vorstellungsgesprächs entweder durch deren Bereitstellung durch den Bewerber oder durch Aufzeichnungen, die während des Gesprächs angefertigt werden. Die betroffenen Datenkategorien sind Personenstammdaten, Kommunikationsdaten, Qualifikationsdaten, Daten zum persönlichen, beruflichen, schulischen Werdegang, Gesprächsnotizen, Daten für vorvertragliche Maßnahmen (möglicher Eintritt, angestrebtes Stundenmaß, Gehaltsvorstellung). Eine Übermittlung dieser Daten ist nicht verpflichtend, aber ohne sie können wir den Bewerbungsprozess nicht durchführen. Falls erforderlich kann es sein, dass einzelne, für die Ausschreibung relevante Vertreter aus den Fachabteilungen sowie unser IT-Auftragsverarbeiter (im Rahmen der Betreuung unserer IT-Systeme) Zugriff auf die Daten erhalten.
Die Bewerbungsunterlagen werden gelöscht, wenn sie für den Verarbeitungszweck nicht mehr relevant sind oder längstens nach 6 Monaten für den Fall eines Diskriminierungsverfahrens als Beweisgrundlage.
Die Bewerbungsunterlagen werden so lange aufbewahrt, wie gesetzliche Aufbewahrungspflichten bestehen oder so lange etwaige rechtliche Ansprüche noch nicht verjährt sind.
2.3.3. Verwaltung unserer (Geschäfts-) Kontakte
-
- CRM-Systeme zur Kundenverwaltung
Zur Verwaltung unserer Kunden, unserer Geschäftspartner und unserer Auftragsverarbeiter speichern wir diese, je nach dem Zweck der Verarbeitung, zur Verwaltung unserer Kontakte und zur Geschäftsanbahnung in unterschiedlichen Systemen. Gespeicherte Daten sind Personenstammdaten, Kommunikationsdaten, Eigenschaften (z.Bsp. Personenstatus, zuständiger Kontakt, erhält die Person Touchpoints), Position in der Firma/Organisation, Organisationseinheit. Innerhalb diese Systeme erfolgt keine automatisierte Verarbeitung (wie zum Beispiel Profiling).
-
- CRM-Datenbank für Geschäftsprozesse
Dies ist eine webbasierte Lösung für Geschäftsprozesse. Die Applikation setzt auf einer SQL-Datenbank auf und wird über den Browser bedient. Sie dient der Dokumentation und der Abrechnung von Geschäftsprozessen. Die verarbeiteten Daten sind Personenstammdaten, Kommunikationsdaten, Kundenstammdaten, Angebote, Ausgangsrechnungen, Anfragen, Aufträge, Eingangsrechnungen, Zahlungskonditionen, Kontoverbindungen und UID Nummern. Der Hersteller der Datenbank, mit einem Sitz in der EU, kann im Zuge der bestehenden Wartungs- und Supportverträge Zugriff auf die personenbezogenen Daten erlangen.
Rechtsgrundlage für die Verwaltung unserer Kontakte und der Darstellung unserer Geschäftsprozesse ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, da eine hohe Funktionalität und ein leichtes Auffinden der Kontakte und der damit einhergehenden effizienten Kommunikation und Abwicklung der Geschäftsprozesse zu unserem Unternehmenserfolg beitragen. Des Weiteren verwalten wir die Kontakte auf Grund von Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung und auch vorvertragliche Maßnahmen) und auch auf Grund von rechtlichen Verpflichtungen nach Art. 6 Abs 1 lit. c DSGVO.
Personenbezogene Daten im Zuge der Verwaltung unserer Kontakte löschen wir nach Widerspruch, sofern keine gesetzliche Aufbewahrungspflicht besteht, nach Zweckerfüllung (Vertragsende, Ende der Geschäftsbeziehung), sowie gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben, sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
2.3.4. Newsletteranmeldung
Auf unserer Website ist es möglich, sich für unseren Newsletter anzumelden. Eine Abmeldung ist jederzeit durch den Abmeldelink im Newsletter möglich. Die auf freiwilliger Basis an uns übermittelten personenbezogenen Daten (Vor- und Nachnamen, E-Mail-Adresse) werden für Zwecke der Bearbeitung bzw. der Kontaktaufnahme und der Zusendung von Werbeaktionen gespeichert.
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des Art. 96 Abs. 3 TKG sowie des Art 6 Abs. 1 lit. a (Einwilligung) DSGVO. Im Zuge der Gestaltung und des Versands von Newslettern beauftragen wir Auftragsverarbeiter, die dementsprechend Zugriff auf die personenbezogenen Daten erhalten. Es erfolgt keine Übermittlung von Daten an Dritte im Sinne des Art 4 Abs 10 DSGVO oder an Empfänger in Drittländer.
2.3.5. Newsletter/ E-Mail-Versand
Zur Durchführung von elektronischen Aussendungen und dem Versand von Marketing – E-Mails verarbeiten wir folgende Datenkategorien: Personenstammdaten, Kommunikationsdaten, sowie gegebenenfalls die Kundenhistorie und die Geschäftshistorie im Rahmen einer aufrechten Geschäftsbeziehung. Dies beinhaltet die Verwaltung von Empfängerlisten und die Dokumentation zu Nachweiszwecken. Das E-Mail-Marketing/ Newsletterversand ist ein Tool zur Kundenbindung, zur Information bestehender Kunden/ Geschäftspartner, zur Geschäftsanbahnung und ein Tool zur Öffentlichkeitsarbeit. Rechtsgrundlagen dieser Datenverarbeitungen sind die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, so wie Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung).
Ein Widerruf gegen diese Datenverarbeitungen ist jederzeit durch eine Nachricht an datenschutz@directmind.at, sowie durch einen Link im Newsletter möglich. Zur Durchführung von elektronischen Aussendungen und dem Versand von Marketing – E-Mails beauftragen wir vertraglich Auftragsverarbeiter mit dem Sitz im EU-Inland. Die Daten werden so lange gespeichert, wie für den Zweck erforderlich: Bis Widerruf oder dem Ende der (Geschäfts-) Beziehung.
2.3.6. Analyse Newsletter
Zur Verbesserung der Erreichbarkeit und zur Datenpflege werden die Newsletter hinsichtlich der Öffnungsrate, der Klickrate, des Klickverhalten, Abmeldungen (hard- und soft bounces), der Mobile Devices, des Internet Browsers und des Betriebssystems analysiert. Hierzu beauftragen wir einen Auftragsverarbeiter mit dem Sitz im EU-Land. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Wir führen diese Verarbeitung durch um möglichst zielgerichtete Aktionen durchführen zu können und um unseren Datenbestand möglichst aktuell halten zu können. Damit sollen vor allem den Interessen unserer KundInnen, unserer Geschäftspartner und unserer InteressentInnen bestmöglich entsprochen und Streuverluste vermieden werden. Dies soll auch dafür sorgen, dass die eingesetzten finanziellen Mittel möglichst kostensparend eingesetzt werden können.
Ein Widerspruch gegen diese Datenverarbeitungen ist jederzeit durch eine Nachricht an datenschutz@directmind.at, sowie durch einen Link im Newsletter. Die Daten löschen wir nach Widerspruch, bzw. nach Zweckerfüllung.
2.3.7. Webinare
Webinare veranstalten wir zur Kundenbindung, zur Schulung, zum Austausch und zur Geschäftsanbahnung. Hierfür verarbeiten wir Personenstammdaten und Kommunikationsdaten. Zur Durchführung der Webinare ziehen wir ZOOM als Auftragsverarbeiter hinzu – weitere Informationen hierzu sind in dem entsprechenden Punkt über Zoom zu finden.
Rechtsgrundlage für die Datenverarbeitung im Rahmen der Webinare sind die Zustimmung der Teilnehmer der Webinare gemäß Art. 6 Abs. 1 lit. a DSGVO. Ein Widerspruch gegen die Datenverarbeitung ist jederzeit möglich – durch eine Nachricht an datenschutz@directmind.at, sowie durch das Verlassen des Webinars.
Die Teilnehmerlisten der Webinare löschen wir nach 3 Monaten, sofern keine aufrechten (Geschäfts-) Beziehung besteht. Ansonsten speichern wir die Daten bis Widerspruch oder Zweckerfüllung.
2.3.8. Followup nach Webinar
Nach einem Webinar wird den Teilnehmern ein Fragebogen zur Analyse des Webinars per E-Mail zugeschickt. Auf freiwilliger Basis kann dieser ausgefüllt werden, die generierten Daten werden zur Verbesserung unserer Webinare und zur Geschäftsanbahnung verwendet. Für den Versand verarbeiten wir Personenstammdaten und Kommunikationsdaten – im Fragebogen werden keine personenbezogenen Daten abgefragt, sondern allgemeine Fragen zum Webinar und zum Interesse der Teilnehmer an unseren Produkten. Im Rahmen des Versands des Fragebogens ziehen wir fallweise einen Auftragsverarbeiter mit dem Sitz innerhalb der EU hinzu.
Rechtsgrundlage für das „Followup“ ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Wir möchten unsere Webinare laufend verbessern und sind deshalb auf das Feedback der Teilnehmer angewiesen. Des Weiteren ist es für uns relevant, ob bei den Teilnehmern ein Interesse an unseren Leistungen besteht. Darüber hinaus ist das Ausfüllen des Fragebogens freiwillig. Durch die Nichtausfüllung entstehen den Teilnehmern keine Nachteile.
Eine Analyse über die Zustellbarkeit der E-Mail im Rahmen des Fragebogenversands wird analog zur „Newsletteranalyse“ durchgeführt.
Die Fragebögen werden anonymisiert ausgewertet. Wenn ein Interesse der Teilnehmer an unseren Produkten besteht, werden diese in unserem System zur Geschäftsanbahnung angelegt. Die ausgefüllten Fragebögen werden nach Zweckerlöschung vernichtet.
2.3.9. Gemeinsame Verantwortung im Zuge der Geschäftsanbahnung
Fallweise erhalten wir von Ehrenamt24 GmbH & Co. KG (Mühlweg 2b, 82054 Sauerlach, Deutschland) Kontaktdaten, die wir dann für die Durchführung von Webinaren und zur Geschäftsanbahnung verwenden. Wir haben mit Ehrenamt24 eine Vereinbarung nach Art. 26 DSGVO abgeschlossen (gemeinsame Verantwortung) und die Verantwortlichkeiten in zwei Wirkbereiche unterteilt: Ehrenamt24 garantiert, dass diese Kontaktdaten unter Berücksichtigung aller anwendbaren Gesetze von uns zur Geschäftsanbahnung genutzt werden können (Wirkbereich A) – wir verarbeiten die personenbezogenen Daten zur Geschäftsanbahnung und zur Bewerbung unserer Leistungen (Wirkbereich B). Jede Partei ist entsprechend ihres Wirkungsbereichs verantwortlich für die Daten.
2.3.10. Zoom
Wir nutzen das Tool „Zoom“ um Online-Meetings und Webinare ortsungebunden durchzuführen (Zweck der Verarbeitung). Zoom Video Communications Inc (kurz: Zoom) stellt den Dienst bereit, ist unser Auftragsverarbeiter und verarbeitet personenbezogene Daten zur Sicherstellung der Funktion der Dienste und zur Erstellung von Nutzungsstatistiken. Hier sind weitere Informationen zu Zoom zu finden: https://zoom.us/de-de/privacy.html.
Die Teilnahme an einem ZOOM-Meeting ist freiwillig. Rechtsgrundlage ist dementsprechend die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Wenn man nicht an einem solchen Meeting teilnehmen möchte, sollte dies dem Organisator mitgeteilt werden, damit dieser, wenn möglich, andere Kommunikationswege anbieten kann. Mit der Teilnahme an einem Zoom-Meeting wird die Einwilligung in die Datenverarbeitung zum eingangs genannten Zwecks erteilt. Ein Widerruf ist jederzeit durch Verlassen der Videokonferenz möglich.
Folgende personenbezogene Daten werden im Rahmen eines Online-Meetings oder Webinars über Zoom verarbeitet:
-
- Falls ein Zoom-Konto genutzt wird: Vor- und Nachnamen, welcher beim Beitreten zu einem Meeting auch geändert werden kann, sowie optional das Profilbild
- Ohne Zoom Konto: Der gewählte Name für die Videokonferenz. Dieser kann auch ein Pseudonym sein.
- Bei der Einwahl mit einem Telefon: Angabe zur Inbound/Outbound -Rufnummer, weiters der Ländername, sowie Start- und Endzeit.
- Angaben zum Meeting, wie zum Beispiel das Thema oder die Dauer
- Inhaltsdaten des Meetings: Die Aktivitäten (Bsp.: Chat-Nachrichten, freigegebene Bildschirminhalte, Interaktionen) im Rahmen der Videokonferenz werden an die Teilnehmer des Meetings weitergeleitet und von diesen möglicherweise gespeichert.
Bei einer Aktivierung des Mikrofons oder der Kamera auf dem Endgerät: Im Zuge dessen werden Audio- und Videodaten allen Teilnehmern zur Verfügung gestellt. Die Kamera oder das Mikrofon kann jederzeit deaktiviert bzw. die Aktivierung abgelehnt werden. Wir haben unter Umständen keinen Einfluss darauf, ob anderen Teilnehmer die Videokonferenz aufzeichnen. Dementsprechend könnten auch Dateien mit Video-/ Audioaufnahmen des Zoom-Meetings und der Inhalte und Aktivitäten des Meetings entstehen.
Empfänger der Daten sind alle Teilnehmer des Zoom-Meetings: Dritte, die hierzu eingeladen werden, sowie wir.
Zoom überträgt personenbezogene Daten ins EU/EWR-Ausland, um sie zum Beispiel in dortigen Rechenzentren zu verarbeiten. Sie verpflichten sich die personenbezogenen Daten in einem Gebiet zu verarbeiten, das nach Feststellung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten bietet oder geeignete Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten zu implementieren. Dies umfasst die Übertragung gemäß den geltenden Übertragungsmechanismen, der Standardvertragsklausel der Europäischen Kommission.
Die in einer Videokonferenz über Zoom gespeicherten personenbezogenen Daten werden von uns nicht gespeichert – auf Daten die von den Teilnehmern lokal gespeichert werden haben wir keinen Einfluss. Zur Sicherstellung der Funktion der Dienste und ggfs. zu deren Verbesserung speichert Zoom Verkehrs- und Nutzungsdaten und alle für ein Zoom-Konto relevanten Daten werden solange gespeichert, wie das Zoom- Konto existiert.
2.3.11. Touchpointmarketing
Über on- und offline Kanäle verschicken wir Grüße zu Geburtstagen, Jubiläen, Feiertagen oder sonstigen besonderen Anlässen. Hierfür verarbeiten wir Personenstammdaten, Kommunikationsdaten, sowie die Historie der Kunden- oder der Geschäftsbeziehung. Rechtsgrundlage für diese Verarbeitung ist die Zustimmung der Betroffenen gemäß Art. 6 Abs. 1 lit. a DSGVO, aber auch unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an einer guten engen Beziehung zu unseren Kunden und Geschäftspartnern. Ein Widerspruch gegen diese Verarbeitung ist jederzeit durch eine Nachricht an datenschutz@directmind.at oder an unsere postalische Anschrift möglich, sowie bei einem elektronischen Gruß über einen Abmeldelink. Für diese Verarbeitung ziehen wir fallweise Auftragsverarbeiter in der EU hinzu.
2.3.12. Registrierungsformulare
Auf einigen Seiten unserer Website haben unsere Besucher die Möglichkeit, Registrierungsformulare für von DIRECT MIND angebotene Dienstleistungen (z. B. unseren Newsletter, Whitepapers-Download etc.) auszufüllen. Beim Ausfüllen dieser Formulare müssen Besucher in der Regel ihren Namen, ihre E-Mail-Adresse, ihr Unternehmen sowie andere für das Bereitstellen dieser Dienste erforderliche Information angeben. Darüber hinaus können Benutzer freiwillig weitere Information angeben, die es uns ermöglichen, ihnen einen noch persönlicheren Service zu bieten. Soweit es nach den einschlägigen gesetzlichen Bestimmungen zulässig ist, können wir Website-Nutzer mit Hilfe der von ihnen übermittelten Information auch direkt kontaktieren, um die von DIRECT MIND angebotenen Produkte vorzustellen. Die Nutzer können der vorstehend beschriebenen Verwendung ihrer Daten jederzeit und ohne Angabe eines Grundes per E-Mail oder per Brief widersprechen.
2.3.13. Foto- und Videoaufnahmen bei unseren Veranstaltungen
Bei unseren Veranstaltungen (Sommerfest, Kabarett, Workshops, Seminare, … etc.) können Foto- und Videoaufnahmen angefertigt werden.
Die Aufnahmen werden zur Steigerung unseres Bekanntheitsgrades im Rahmen der Öffentlichkeitsarbeit sowie zur detaillierteren Darstellung unserer Aktivitäten in verschiedenen Medien, wie Homepage, Social Media, Newsletter und in unseren Drucksorten, verwendet.
Rechtliche Grundlage im Sinne des Art 6 Abs 1 lit f DSGVO ist unser berechtigtes Interesse, nämlich Öffentlichkeitsarbeit und Darstellung unserer Aktivitäten zur Erhöhung unseres Bekanntheitsgrades.
Es besteht das Recht gegen die Verarbeitung Widerspruch zu erheben. Der Widerspruch kann per E-Mail an datenschutz@directmind.at oder per Post an obenstehende Adresse gerichtet werden – oder direkt an den Fotografen adressiert werden, der die Aufnahmen macht.
Nachdem wir im Vorfeld einer Veranstaltung auf das Anfertigen und auf die Verwendung der Fotos hinweisen und weil wir bei der Anfertigung von Fotos und auch bei der Veröffentlichung derselben darauf achten, dass keine schutzwürdigen Interessen von abgebildeten Personen verletzt werden, ist davon auszugehen, dass unser Interesse an der Anfertigung und Verwendung der Fotos nicht übermäßig in die Rechte und Freiheiten der natürlichen Personen eingreift. Sofern aus besonders berücksichtigungswürdigen Gründen die Rechte und Freiheiten einer abgebildeten Person verletzt sein sollten, werden wir durch geeignete Maßnahmen die weitere Verarbeitung unterlassen. Eine Löschung auf der Website oder in Social-Media-Kanälen erfolgt im Rahmen der technischen Möglichkeiten.
Die Aufnahmen werden zur Steigerung unseres Bekanntheitsgrades im Rahmen der Öffentlichkeitsarbeit (z.B. auf Marketingmaterialien, Werbespots, Folder etc.) und zur Darstellung in elektronischen Medien – Website, Social-Media-Kanäle wie Facebook, Twitter, Instagram, YouTube und Newsletter – sowie in unseren Drucksorten (Kuvert, Brief, Zeitung), verwendet.
Aktuell gehen wir davon aus, dass ein(e) Fotograf(in), der/die Fotoaufnahmen unserer Veranstaltungen anfertigt, mit uns gemeinsam verantwortlich für die Verarbeitung (der Fotoaufnahme, Bearbeitung und Entwicklung) ist. Letztendlich entscheidet er/sie ohne unser Zutun über inhaltliche Fragen dieser Verarbeitung. Etwa wie lange die Fotos gespeichert werden, wer Zugriff auf die Fotos in ihren/seinen Räumlichkeiten hat und wer fotografiert wird. Im Rahmen einer zukünftigen Veranstaltung werden wir an dieser Stelle die diesbezüglichen Kontaktdaten und die wesentlichen Inhalte der Vereinbarung gemäß Art. 26 DSGVO bekanntgeben.
2.4. Wenn Sie uns eine E-Mail senden
Zur Sicherstellung einer angemessenen Informations- und Systemsicherheit, zur Erkennung von Schadsoftware und zur für den IT-Support greifen wir auf folgende Auftragsverarbeiter zurück:
-
- Sophos Limited, The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP, UK (Virenscanner, Sandboxing, Endpointprotection), dataprotection@sophos.com
- alliT GmbH, Technologiepark 17, 4320 Perg, Österreich (IT-Support, Rechenzentrum), ISO/IEC-27001 – zertifiziert, datenschutz@allit.at
Beide Auftragsverarbeiter können im Zuge ihrer Tätigkeit Zugriff auf alle personenbezogenen Daten erhalten, die uns über E-Mail übermittelt werden: E-Mail- und IP-Adresse des Empfängers und des Senders, Anzahl der Empfänger, Betreff, Datum und Uhrzeit des Eingangs beim Server, Dateibezeichnung allfälliger Anhänge, Größe der Nachricht, Risikoklassifizierung für Spam und Zustellstatus. Rechtsgrundlage für diese Verarbeitung ist unsere gesetzliche Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung).
Darüber hinaus speichern wir E-Mails in unserem Mailstore. Hierbei werden die E-Mails in verschiedenen Gruppen unterteilt und nach festgelegten Fristen archiviert und gelöscht.
2.5. Cookies auf unserer Website
2.5.1. Vorab – der Schutz Ihrer Privatsphäre
Wir empfehlen Ihnen, Ihre Privatsphäre zu schützen und dementsprechend mindestens folgende Einstellungen vornehmen:
-
-
- Deaktivierung der Widget-Funktion (Widgets sind meistens ein Teil einer Anwendung um deren schnelleren Start zu ermöglichen)
- Deaktivierung von Cookies –Informationen sind zum Beispiel hier zur finden:https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-kontrollieren-und-verwalten-11996
- Verhinderung des seitenübergreifenden Trackings (zum Beispiel durch Nutzung des Ghostery-AddOn im Browser)
- Löschen des Browserverlaufs
-
Darüber hinaus kann dem Einsatz von Cookies, die zur Reichweitenmessung und zu Werbezwecke dienen, über die Dienste folgender Netzwerbeinitiativen widersprochen werden:
2.5.2. Essenzielle Cookies
2.6. Unsere Auftragsverarbeiter, sowie Informationen zur Datenschutzerklärung
2.6.1. Ändern/Aktualisieren persönlicher Information
Jede von DIRECT MIND gesendete E-Mail erlaubt dem Benutzer, die von ihm bei der Registrierung für eine DIRECT MIND- Dienstleistung oder bei der Kontaktaufnahme via Website zur Verfügung gestellten Information zu ändern, zu bearbeiten oder zu entfernen.
2.6.2. Einsatz externer Auftragsverarbeiter
Für bestimmte Tätigkeiten im Zusammenhang mit unserer Website oder für postalische Aussendungen beauftragen wir externe Auftragsverarbeiter (ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) mit der Datenverarbeitung (z.B. Rechenzentren, Druckereien). Diese Auftragsverarbeiter verarbeiten die Daten ausschließlich nach unseren Weisungen, sind damit ebenfalls an diese Datenschutzerklärung gebunden und werden von uns kontrolliert. Die Auftragsverarbeiter dürfen die verarbeiteten Daten keinesfalls für ihre eigenen Zwecke nutzen. Im Folgenden geben wir jene Auftragsverarbeiter an, mit denen wir ständig und regelmäßig zusammenarbeiten und die in den vorangegangenen Punkten noch nicht genannt wurden:
-
-
- VSG Direktwerbung GmbH (Industriestraße B18, 2345 Brunn/Gebirge) als Lettershop zu Personalisierung der Drucksorten
- Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien) zur Planung, Analyse und Durchführung der E-Mail-Kommunikation
- alliT GmbH (Technologiepark 17, 4320 Perg, Österreich) für den IT-Support
- buero bauer – Orientierung und Identität GmBH (Weyringergasse 36/1, 1040 Wien) für unseren Webauftritt
- Klischeeanstalt Merkur GmbH (Zieglergasse 39, 1070 Wien) zur Personalisierung der Drucksorten
-
2.6.3. Benachrichtigung bei Änderung der Datenschutzerklärung
Bei jeder künftigen Aktualisierung dieser Datenschutzhinweise werden wir diese Änderungen auf unserer Website bekannt geben. So sind unsere Benutzer immer darüber informiert, welche Information wir sammeln, wie diese Information verwendet wird, ob sie Dritten mitgeteilt werden und wenn ja, in welcher Weise.
2.7. Rechte, Prozess bei Anfragen zu den Betroffenenrechten und Datensicherheit
2.7.1. Einwilligung und Recht auf Widerruf
Ist für die Verarbeitung Ihrer Daten Ihre Zustimmung notwendig, verarbeiten wir diese erst nach der ausdrücklichen Zustimmung.
Ihre Zustimmung kann jederzeit unter folgender E-Mail-Adresse widerrufen werden: datenschutz@directmind.at, sowie postalisch an die eingangs genannte Anschrift. In einem solchen Fall werden die bisher gespeicherten Daten gelöscht (sofern keine gesetzlichen Aufbewahrungsfristen geltend gemacht werden), gesperrt (sofern kein Widerspruch erfolgt), in seltenen Fällen anonymisiert und in weiterer Folge lediglich für statistische Zwecke ohne Personenbezug weiterverwendet. Mittels des Widerrufs der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
2.7.2. Datenverarbeitungen im Rahmen von Datenschutzanfragen
Im Rahmen der Bearbeitung von Datenschutzanfragen, verarbeiten wir jene personenbezogenen Daten, welche uns durch das jeweilige Ansuchen bekannt gegeben wurden, um diesbezügliche Suchabfragen in unseren Systemen durchzuführen. Des Weiteren speichern wir das von uns angefertigte Schreiben und den jeweiligen Antrag ab um im Zweifelsfall einen Nachweis für die Erfüllung unserer Pflicht gemäß DSGVO erbringen zu können. Gegebenenfalls geben wir dieses Schreiben als Einschreiben auf.
Im Zuge dieser Vorgehensweise speichern wir, gegebenenfalls neben den Daten aus unserer Datenbank, welche zum Beispiel in einem Auskunftsschreiben notiert sein könnten, auch die Daten, welche Sie uns im Zuge des Antrages mitgeteilt wurden (zum Beispiel: Name, Anschrift, E-Mail-Adresse, Telefonnummer) und, sofern vorhanden, die Einschreibebestätigung der Österreichischen Post. Einen Identifikationsnachweis in Form eines Lichtbildausweises speichern wir nicht ab. Wir vermerken im Antwortschreiben nur die Ausweisnummer um bei Fragen hinsichtlich der Identifikation darauf verweisen zu können.
Diese personenbezogenen Daten finden keinen Eingang in unsere Datenbank, dienen ausschließlich der Durchführung von Suchanfragen zur Beantwortung des Datenschutzbegehrens und der Dokumentation der Erfüllung unserer Pflichten laut DSGVO, werden also nicht für andere Zwecke verwendet und nicht an Dritte im Sinne des Art. 4 Abs. 10 DSGVO weitergegeben – außer es gibt hierfür einen zwingenden rechtlichen Grund. Der Zugriff auf die so gespeicherten Daten ist innerhalb unserer Systeme stark reglementiert. Eine Datenübermittlung an einen Empfänger in einem Drittland findet nicht statt. Es besteht im Rahmen der Beantwortung der Datenschutzbegehren keine automatisierte Entscheidungsfindung.
Die auf diese Art und Weise gespeicherten Daten löschen wir nach einer bestimmten Frist automatisch. Diese bemisst sich nach Art. 24 Abs. 4 DSG (3 Jahre, solange kein Verfahren vorliegt).
Die Übermittlung von Auskunftsschreiben kann über unseren firmeninternen sftp-Server erfolgen. Hierbei erhält der Antragsteller oder die Antragstellerin einen Link, über welchem das Schreiben – nach der Eingabe eines Passwortes – bezogen werden kann.
Dieser Link ist ein Monat gültig. Beim Zugriff auf unseren Server speichern wir die IP-Adresse des Zugreifenden, die Uhrzeit des Zugriffs und das Datum des Zugriffs. Rechtsgrundlage hierfür ist unsere gesetzliche Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung). Diese Daten löschen wir nach einem Monat vollständig.
2.7.3. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um die gespeicherten personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust oder Zerstörung und gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend des technischen Fortschritts fortlaufend verbessert.
Unsere Sicherheitsmaßnahmen umfassen insbesondere folgende Maßnahmen:
-
-
- Maßnahmen zur Sicherung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
-
1.1. Zugangskontrolle und Zutrittskontrolle
1.2. Datenträgerkontrolle
1.3. Speicherkontrolle
1.4. Zugriffskontrolle
1.5. Trennungsgebot
1.6. Pseudonymisierung (Art. 32 Abs. 1 lit. a, Art. 25 Abs. 1 DSGVO)
-
-
- Maßnahmen zur Sicherung der Integrität (Art. 32 Abs. 1 lit. b DSGVO)
-
2.1. Weitergabekontrolle
2.2. Eingabekontrolle
-
-
- Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
-
3.1. Verfügbarkeitskontrolle
3.2. Rasche Wiederherstellbarkeit (§ 32 Abs. 1 lit. c DSGVO)
3.3. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung (§ 32 Abs. 1 lit. d, Art. § 25 Abs. 1 DSGVO)
3.4. Übergreifende organisatorische Maßnahmen
2.7.4. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft über die betreffenden personenbezogenen Daten. Soweit keine gesetzliche Aufbewahrungspflicht besteht, haben Sie das Recht auf Löschung dieser Daten sowie Widerspruch gegen die Verarbeitung. Ferner haben Sie das Recht auf Berichtigung der Daten sowie auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Beschwerde bei der Österreichischen Datenschutzbehörde (1030 Wien, Barichgasse 40 – 42).
Bitte beachten Sie, dass nach höchstgerichtlicher Rechtsprechung das Recht auf Auskunft ein höchstpersönliches Recht ist. Eine Auskunft kann nur über die zur eigenen Person verarbeiteten Daten verlangt werden – dieses Recht gewährt kein Recht auf Auskunft über personenbezogener Daten Dritter. Eine Vertretung ist möglich, allerdings sind an das Vorliegen der Bevollmächtigung sehr strenge Maßstäbe anzulegen.
Wenn möglich und wenn Sie Ihre Rechte wahrnehmen wollen, schreiben Sie uns am besten selbst.
Wenden Sie sich bezüglich Ihrer Rechte oder bei Fragen zum Datenschutz bitte an uns unter datenschutz@directmind.at oder schreiben Sie an:
DIRECT MIND GmbH
Technologiestraße 8
Postfach 207
A-1121 Wien
Unseren Webservice für Datenschutzanfragen zu unserer Direktmarketingtätigkeit finden Sie unter: https://directmind.schuetzt-meine-daten.at
Stand April 2021
Willkommen bei DIRECT MIND!
Der Schutz Ihrer Daten ist uns wichtig. Hier erfahren Sie, welche Daten wir sammeln, warum wir das tun und wie wir Ihre Daten schützen.
1. Allgemeines
Verantwortlicher: DIRECT MIND GmbH (Technologiestraße 8, 1121 Wien, datenschutz@directmind.at)
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist
DIRECT MIND GmbH
Technologiestraße 8
A-1120 Wien
Geschäftsführung: Marion Rödler MBA; Ing. Mag. (FH) Wolfgang Zednicek
Datenschutzbeauftragter: Jörg Brühl
Kontakt für Datenschutzanfragen: E-Mail: datenschutz@directmind.at und https://directmind.schuetzt-meine-daten.at oder postalisch an die genannte Anschrift.
Firmenbuchnummer: 121235m
Umsatzsteueridentifikationsnummer: ATU 15517607
Firmenbuchgericht: Handelsgericht Wien
Wirtschaftskammer: Wirtschaftskammer Wien
Berufsverband: Fachgruppe Werbung und Marktkommunikation
https://www.directmind.at/, https://directmind-arts.at/ und
https://www.kultursummit.at/ sind Webseiten der DIRECT MIND GmbH.
Allgemeine Informationen zum Datenschutz
Ein wesentlicher Erfolgsfaktor der DIRECT MIND GmbH (im Folgenden kurz „wir“) ist die strikte Beachtung der geltenden Datenschutzgesetze. Denn darauf beruht das Vertrauen unserer Kunden.
Unsere Mitarbeiter verpflichten sich schriftlich zur Einhaltung des Datengeheimnisses und unterzeichnen mit Dienstbeginn unsere Datenschutzrichtlinien und unsere Datenschutzverpflichtungserklärung. Zugriffsrechte sind in den Datensicherheitsmaßnahmen geregelt und werden ständig überwacht. Mit unseren Lieferanten und Dienstleistern sind gemäß geltenden Datenschutzgesetzen die entsprechenden Vereinbarungen getroffen worden. Auch die Schutzmaßnahmen bezüglich Hard- und Software entsprechen den jeweils aktuellen Standards, um den widerrechtlichen Zugriff auf Daten zu verhindern.
2. Unsere Tätigkeit
Überblick: Was machen wir als Direktmarketingunternehmen bzw. als Dialogmarketing-Agentur?
Wir - als Direktmarketingunternehmen/ Dialogmarketing-Agentur – unterstützen unsere Kunden (Non-Profit Organisationen, Kulturinstitutionen) bei der Planung, Kreation, Konzeption und Umsetzung von postalischen (Werbe-) Kampagnen (personalisierte Briefwerbung) zur Gewinnung von neuen Spender*innen, Kund*innen oder Interessent*innen.
Darüber hinaus sind wir als Gewerbetreibende nach § 151 Abs 1 GewO rechtlich befugt personenbezogene Daten – unter bestimmten Voraussetzungen – für die Vorbereitung und Durchführung von Marketingaktionen und zur Gestaltung und des Versands von Werbemitteln aus bestimmten Quellen zu ermitteln.
Zusätzlich verwalten wir auch personenbezogene Daten im Auftrag unserer Kunden. Hier agieren wir als weisungsgebundener Auftragsverarbeiter.
Weitere Informationen zu den einzelnen Direktmarketing-Tätigkeiten finden Sie in den nachfolgenden Punkten.
Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen und auf Grundlage von freiwilligen Verpflichtungen unsererseits (DSGVO, DSG, TKG 2021, § 151 GewO, Codex des Fundraisingverbandes Österreich, Codex des österreichischen Spendegütesiegels, den Verhaltensregeln nach Art. 40 DSGVO für Direktmarketingunternehmen und Adressverlage, dem Code of Conduct des Werberates und die Verpflichtungserklärung des DDV – des Deutschen Dialogmarketing Verband e. V.).
3. Direktmarketing in Österreich und in Deutschland
Zweck der Verarbeitung: Durchführung von postalischen Marketingaktionen zur Generierung von Spenden bzw. zur Gewinnung von neuen Spender*innen
Wir sind als Direktmarketing-Unternehmen rechtlich befugt, postalische Anschriften für die Organisation und Durchführung von postalischen Marketingaktionen Dritten bereitzustellen. Diese werden von uns vor jeder Aktion um die Eintragungen der Robinsonliste der Wirtschaftskammer Österreich bereinigt. Namen, Adressen und sonstige Informationen stammen von externen Direktmarketingunternehmen und Adressverlagen (diese sind Inhaber der Ursprungsdateisysteme und Inhaber von Kunden- und Interessendateien). Fragen bezüglich der Herkunft der Daten beantworten wir gerne!
Datenschutzrechtliche Rollenverteilung bei unseren österreichischen Kunden im Zuge der Neuspender*innengewinnung: Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit manchen unserer Kunden
Im Rahmen der Neuspender*innengewinnung beauftragen uns unsere Kunden (Non-Profit Organisationen, Kulturinstitutionen) mit der Planung, Konzeption und Produktion von postalischen Aussendungen zur Neuspender*innengewinnung. Für den konkreten Einsatz der Daten sind wir und unsere Kunde gemeinsam verantwortlich und definieren gemeinsam die Ziele der Aussendungen, die Auswahl der Inhalte und die Zielgruppe (also Mittel und Zweck der Verarbeitung). Diese gemeinsame Verantwortlichkeit ist nicht für jeden Prozessschritt eine gleichwertige: Zum Beispiel wählen wir aus unserem System jene Personen aus, von denen wir denken, dass sie sich für das Thema der Non-Profit Organisationen oder Kulturinstitutionen interessieren könnten. Unsere Kunden definieren die Versandmenge hier nur durch die Beistellung von Negativlisten (Sperrlisten) mit. Danach übermitteln wir die personenbezogenen Daten an einen Lettershop zur Personalisierung der Drucksorten und zur Postaufgabe der Aussendungen. Unsere Kunden erhalten von uns also in diesem Fall keinen Zugriff auf die personenbezogenen Daten. Erst wenn jene Personen, die wir für die Aussendung ausgewählt haben, in Kontakt mit den Non-Profit Organisationen (oder Kulturinstitutionen) treten (zum Beispiel durch eine Spende), erhält unser Kunde Zugriff auf die personenbezogenen Daten (weitere Informationen finden Sie unter https://directmind.schuetzt-meine-daten.at/faq)
Für die Zusammenarbeit haben wir eine Vereinbarung gemäß Art. 26 DSGVO (gemeinsame Verantwortlichkeit) mit den entsprechenden Kunden abgeschlossen. Durch eine Nachricht an uns, an den Kunden oder an den in der Aussendung angedruckten Adressverlag können Sie Ihre Rechte laut DSGVO geltend machen.
Für alle Daten, die wir im Zuge dieser Tätigkeit erhalten und verarbeiten, haben wir die schriftliche Bestätigung, dass die Daten nach bestem Wissen für Marketingzwecke unserer Kunden verwendet werden dürfen. Diese Daten verwenden wir nicht für andere oder eigene Zwecke und sie werden von uns in einem eigenen mandantenfähigen System gespeichert.
Datenschutzrechtliche Rollenverteilung bei österreichischen Kunden, die Daten bei uns anmieten: Für den Dateneinsatz ist der Kunde selbst Verantwortlicher im Sinne der DSGVO
In selteneren Fällen möchten unsere Kunden oder andere Dialogmarketing-Agenturen personenbezogene Daten (Titel, Vor- und Nachname, postalische Anschrift) bei uns für postalische Aussendungen anmieten und die Aussendungen selbst produzieren. In diesem Fall übermitteln wir ihnen die entsprechenden Daten und sie agieren dann als eigenständige Verantwortliche im Sinne der DSGVO für den Einsatz der Daten.
Interessensabwägung zur generellen Direktmarketingtätigkeit: Berechtigtes Interesse, unsere Gewerbeberechtigung zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen, unternehmerische Freiheit
Wir sind als gewerbetreibendes Unternehmen nach § 151 Abs 1 GewO zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigt. Als Direktmarketingunternehmen berufen wir uns auf das 'berechtigte Interesse' (im Sinne des Art. 6 Abs 1 lit f DSGVO) als rechtliche Grundlage für unsere Arbeit.
Wenn wir unserer Tätigkeit als Direktmarketingunternehmen nachgehen, dann haben wir im Rahmen unserer Gewerbeberechtigung und im Sinne der Verhaltensregeln nach Art. 40 DSGVO für Direktmarketingunternehmen und Adressverlage – und auch in Anbetracht der „unternehmerischen Freiheit“ nach Art. 16 der Charta der Grundrechte der Europäischen Union – ein berechtigtes Interesse an der Ermittlung von Daten aus den Beständen von Adressverlagen, sowie an der Durchführung und Planung von postalischen Werbeaussendungen.
Dem Schutzinteresse der betroffenen Personen wird insofern nachgekommen, da sie
- jederzeit ohne Begründung der Verarbeitung ihrer Daten zu Werbezwecken widersprechen können,
- über den Transparenzhinweis in den postalischen Aussendungen über die Datenherkunft informiert werden und spätestens bei einer Anfrage an den Absender der Aussendung (unserem Kunden), an uns und/oder an die Datenquelle zur Ausübung ihrer Rechte verwiesen werden,
- grundsätzlich eine Verarbeitung ihrer Daten durch Adressverlage und Direktmarketingunternehmen durch die Eintragung in die Robinsonliste der Wirtschaftskammer Österreich (https://apppool.wko.at/Robinsonliste/Registrierung.aspx) unterbinden können,
- die Regeln des § 151 GewO 1994 und die Verhaltensregeln nach Art. 40 DSGVO für Direktmarketingunternehmen und Adressverlage geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen.
- das Ausüben der Betroffenenrechte beispielsweise über https://directmind.schuetzt-meine-daten.at/intro sehr einfach ist und in den dortigen FAQs über alles Wesentliche informiert wird.
Unsere Kunden (in diesem Fall Non-Profit-Organisationen und Kulturinstitutionen) sind zur Erfüllung ihrer Ziele auf Spendeneinnahmen und auf die Gewinnung von neuen Unterstützer*innen angewiesen. Mit unserer Direktmarketingtätigkeit helfen wir ihnen genug Einnahmen für ihre Projekte zu erzielen. Der österreichische Staat hat diese Projekte dieser Kunden als gemeinnützig oder mildtätig anerkannt. Damit sind sie im Interesse der österreichischen Gesellschaft. Diese Projekte sind ohne Spenden nicht umsetzbar und dementsprechend haben auch unsere Kunden ein berechtigtes Interesse an der Durchführung dieser postalischen Aussendungen
Aus den Erläuterungen zur DSGVO wissen wir, dass nach dem europäischen Gesetzgeber die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann (Vgl. Erwägungsgrund 47 zur DSGVO).
Datenkategorien, die wir im Rahmen von postalischen Werbeaussendungen verarbeiten: Personenstammdaten, öffentlich verfügbare Daten, Marketingklassifikationen, Berufs-/Branchen-/Geschäftsbezeichnung, Zugehörigkeit zu einem Kunden-/Interessentendateisystem
- Personenstammdaten (Geschlecht, Titel, Vorname, Nachname, PLZ, Ort, Straße, Hausnummer)
- Öffentlich verfügbare Daten (z.Bsp.: Gemeindenamen, Gemeinde_Einwohnerklasse, Gemeindefläche, Gemeinde_Urbanisierungsgrad)
- Marketingklassifikationsdaten (z.Bsp die Altersklasse, die Einkommensklasse)
- Berufs-, Branchen- oder Geschäftsbezeichnung oder die Zugehörigkeit der betroffenen Person zu einem Kunden- und Interessentendateisystem eines Adressverlages.
Hinweis: Bitte beachten Sie, dass wir nicht immer zu jeder Person die oben abgebildeten Datenkategorien auch wirklich gespeichert haben – die Darstellung entspricht der maximal möglichen Anzahl.
In bestimmten Konstellationen sind die Anzahl und die Art der Daten, die wir erheben dürfen, strikt eingeschränkt (siehe § 151 Abs 5 GewO) - wir „reichern“ diese Daten dann auch nicht mit Informationen aus anderen Quellen an.
Wir verarbeiten als Direktmarketingunternehmen/ als Dialogmarketing - Agentur keine strafrechtlich relevanten Daten und keine besonderen Kategorien personenbezogener Daten (also zum Beispiel keine Daten zum religiösen Bekenntnis oder zur politischen Überzeugung einer Person).
Auftragsverarbeiter im Direktmarketing: Bei der Organisation und Durchführung von Werbeaktionen unserer Kunden unterstützen uns Auftragsverarbeiter (hauptsächlich VSG Direktwerbung GmbH in Brunn am Gebirge)
Bei der Organisation und Durchführung von Werbeaktionen unserer Kunden unterstützen uns Auftragsverarbeiter (Lettershops und Druckereien – siehe weiter unten), die im Zuge ihrer Tätigkeiten Zugriff auf personenbezogenen Daten erlangen können, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Unsere Auftragsverarbeiter haben sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen uns gegenüber verpflichtet. Es wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen. Wir arbeiten also nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der datenschutzrechtlichen Bestimmungen erfolgt und den Schutz der personenbezogenen Daten gewährleistet.
Datenübermittlung in ein Drittland: Falls von Kunden Sonderproduktionen gewünscht werden greifen wir auf eine Druckerei in einem Drittland zurück
Falls unsere Kunden Sonderproduktionen wünschen, greifen wir auf eine Druckerei (Subauftragsverarbeiter unseres Auftragsverarbeiters, Datenimporteur im folgenden Vertrag genannt) in einem Drittland zurück. Die Sicherheit der Daten (Name, Titel, postalische Anschrift, Referenznummer, Anrede) ergibt sich aus einem von der EU Kommission erlassenen Standardvertrag der zwischen unserem Auftragsverarbeiter (Datenexporteur im folgenden Vertrag genannt) in der EU und dieser Druckerei abgeschlossen wurde (Vertrag ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914&from=DE . Dieser ist nach Art. 46 Abs. 2 lit c DSGVO eine geeignete Garantie für eine solche Übermittlung. Die Druckerei im Drittland hat schriftlich garantiert, dass sie keinem Gesetz und keiner Anordnung unterliegt, die sie daran hindert, das europäische Datenschutzniveau einzuhalten. Darüber hinaus ist das (Datenschutz-) Managementsystem der Druckerei (=des Subauftragsverarbeiters) gemäß BS 10012 zertifiziert. Die Druckerei im Drittland löscht alle Daten spätestens 90 Tage nach dem Postaufgabetermin.
Ergänzend zum Standardvertrag wurden unter anderem zusätzlich folgende Maßnahmen vertraglich vereinbart:
- Informationspflicht seitens des Subauftragsverarbeiters über wesentliche Änderungen von Gesetzen und Rechtsvorschriften in Bezug auf die Verarbeitung personenbezogener Daten und über Ersuchen von Strafverfolgungsbehörden betreffend Zugang zu den Daten im Drittland,
- Unterstützung bei der Beantwortung von Anfragen von Personen, die eines ihrer Datenschutzrechte ausüben möchte,
- Ergreifung von geeigneten technischen, physischen und administrativen Maßnahmen seitens des Subauftragsverarbeiters.
Alte Bildung von Zielgruppen im Rahmen unserer Direktmarketingtätigkeit vor dem Einsatz unseres KI – Systems (bis 11/24): Zur Zielgruppenbestimmung führen wir statistische Analysen (Scoring/logistische Regression) durch
Zur Vermeidung von Streuverlusten– aus Sicht der werbetreibenden Unternehmen – aber auch zur Vermeidung von Werbefluten – aus Sicht der Verbraucher – definieren wir fallweise für Marketingaktionen Zielgruppen. Den Mitgliedern der Zielgruppe werden bestimmte marketingrelevante Eigenschaften aufgrund von statistischen Analysen der vorhandenen Daten zugeschrieben (sachbezogene Vermutungen und Typologien, Marketingklassifikationen, Marketingprofile). Die Auswahl der Zielgruppe für eine Marketingaktion erfolgt dann unter Berücksichtigung und Bewertung dieser Eigenschaften in einem statistischen Verfahren. Hierbei verarbeiten wir keine sensiblen Daten im Sinne des Art 9 Abs 1 DSGVO oder strafrelevante Daten in Sinne des Art. 10 DSGVO. Die von uns vergebenen Eigenschaften werden ausschließlich für Marketingzwecke verwendet und nach der Selektion gelöscht.
Ergebnis der Datenschutzfolgeabschätzung zur alten Zielgruppenbestimmung (bis 11/24): Die einzige Auswirkung dieses Scorings ist die Zugehörigkeit zu einer Zielgruppe für die Briefwerbung eines Kunden
Wir erhalten personenbezogene Daten (Personenstammdaten, Marketinganalysedaten), welche wir zur Organisation und zur Durchführung von postalischen Aussendungen unserer Kunden verwenden dürfen. Dies wird uns vertraglich von den entsprechenden Adressverlagen bzw. Direktmarketingunternehmen garantiert. Genauso auch, dass die Daten rechtskonform gewonnen wurden. Durch die Zielgruppenbestimmung anhand dieser Daten soll vermieden werden, dass die Betroffenen zum einen von Aussendungen „überflutet“ werden, zum anderen sollen die Mittel unserer Kunden möglichst effizient eingesetzt werden – also möglichst zielgenaue Aussendungen versendet werden. Zur Analyse wird eine logistische Regression und/oder ein Scoring - Modell verwendet. Der Ablauf ist wie folgt:
- (multinominale) logistische Regression (stark vereinfacht): Anhand der erfahrungsbasierten vermuteten Eigenschaften der bestehenden Interessenten unserer Kunden wird berechnet mit welcher Wahrscheinlichkeit Personen aus den Dateien der Direktmarketingunternehmen potentielle Spender oder Interessenten unserer Kunden sein könnten. Dann werden jene mit der höchsten Wahrscheinlichkeit, nach Abgleich mit der Robinsonliste und möglichen weiteren Sperrlisten, selektiert.
- Das Scoring ist ein stark erfahrungsbasierter Ansatz. Es werden Punkte für bestimmte Marketingklassifikationsdaten vergeben, die mögliche Interessenten unserer Kunden auszeichnen könnten. Nach dem Abgleich mit allen Negativlisten (Sperrlisten) werden jene mit der höchsten Punktzahl selektiert.
Diese Verarbeitung und entfaltet keine rechtlichen, physischen oder finanziellen Nachteile für die Betroffenen und kann nicht dazu genutzt werden, um automatisierte Entscheidungsfindungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen. Die einzige Auswirkung dieses Scorings ist die Zugehörigkeit zu einer Zielgruppe für die Briefwerbung eines Kunden. Das heißt, wenn die betroffene Person in einer solchen Zielgruppe ist, dann erhält sie Briefwerbung. Der Verarbeitungszweck ist eindeutig definiert und im Rahmen des Art 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Daten für effiziente Werbemaßnahmen unserer Kunden) rechtmäßig. Die im Zuge der Zielgruppenbestimmung verarbeiteten Daten werden nicht weitergegeben und nur dem Verarbeitungszweck entsprechend verwendet. Wir verarbeiten keine sensiblen Daten im Sinne des Art 9 Abs 1 DSGVO oder strafrelevante Daten in Sinne des Art 10 DSGVO. Die im Rahmen der Analyse generierten Daten werden nicht zur Person gespeichert. Dementsprechend entstehen keine umfassenden Profile der Betroffenen. Eine Weitergabe dieser Daten oder eine zweckfremde Verwendung kann so komplett ausgeschlossen werden. Ein Widerspruch gegen die Verarbeitung ist jedem Betroffenen durch eine Nachricht an datenschutz@directmind.at möglich. Unserer Informationspflicht kommen wir im Zuge dieser Darstellung nach. Dementsprechend sehen wir in dieser Verarbeitung kein Risiko für die Betroffenen.
Ergebnis der Datenschutzfolgeabschätzung für unsere Verarbeitungen als Direktmarketingunternehmen
Wir erhalten personenbezogene Daten zur Organisation und Durchführung von postalischen Direktmarketingaktionen unserer Kunden im Rahmen von Lizenzierungsvereinbarungen oder Mietvereinbarungen von Inhabern der Ursprungsdateisysteme oder von Inhabern von Kunden- und Interessentendateisysteme (im Folgenden kurz Adressverlage). Diese müssen sich vertraglich verpflichten, dass die bereitgestellten Daten datenschutzkonform gewonnen wurden und dass diese Daten zum vorliegenden Verarbeitungszweck nach bestem Wissen verarbeitet werden dürfen (im Zuge der Unbedenklichkeitserklärung im Sinne des § 151 Abs 5 GewO). Wir erhalten von den Adressverlagen zudem Marketinganalysedaten. Hier sind wir vertraglich verpflichtet, dass wir diese Daten nur für Marketingzwecke verwenden und nicht weitergeben (im Rahmen der Unbedenklichkeitserklärung im Sinne des § 151 Abs 6 GewO 1994 idgF).
Den Betroffenen erwächst im Rahmen der Direktmarketingverarbeitungen vor allem deswegen ein gewisses Risiko, da die verschiedenen Akteure und Verarbeiter ihrer Daten unbekannt sein könnten und die Betroffenen deswegen ihre Rechte nicht ausüben könnten, bzw. nicht wüssten, an wen sie ihre Rechte zu adressieren haben. Dieses Risiko wird von unserer Seite so stark wie möglich reduziert. In allen Aussendungen unserer Kunden wird auf den verantwortlichen Adressverlag, auf uns und in der Folge auch auf den Kunden verwiesen. Bei allen drei Akteuren kann die betroffene Person ihre Rechte geltend machen und wird im Zuge dessen an die jeweiligen Ansprechstellen verwiesen. Die betroffene Person kann so jederzeit Widerspruch gegen die Datenverarbeitungen einlegen und seine Daten löschen lassen. Alle erhaltenen Daten werden von uns in einem mandantenfähigen System gespeichert. Die Rückführbarkeit der Daten ist in jedem Fall gegeben. Personen, welche keine postalische Werbeaussendung möchten und die eine Eintragung in die Robinsonliste der Wirtschaftskammer durchführen haben lassen, werden regelmäßig aus unseren Systemen gelöscht. Die Verarbeitungen sind im Rahmen unseres berechtigten Interesses als Gewerbetreibender nach § 151 GewO 1994 somit legitim und verhältnismäßig.
- Speicherdauer: Nach vertraglichen Vorgaben, bis zu einem Wegfall des Verarbeitungszweckes, bei einem Widerspruch. Die Aufbewahrungsdauer der von uns gespeicherten personenbezogenen Daten in diesem Rahmen definiert sich durch vertragliche Vorgaben, unter Berücksichtigung der jeweils aktuellen Sperrlisten und den Eintragungen in der Robinsonliste der Wirtschaftskammer Österreich. Wir löschen Daten darüber hinaus bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufs der Einwilligung und bei einem Widerspruch gegen die Verarbeitung, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Datenschutzrechtliche Rollenverteilung bei deutschen Kunden im Zuge der Neuspender*innengewinnung: Entsprechend der DDV-Verpflichtungserklärung
Wir unterliegen der Verpflichtungserklärung des Deutscher Dialogmarketing Verband e. V., bei der die datenschutzrechtliche Rollenverteilung im Zuge der Neuspender*innengewinnung wie folgt ausgestaltet ist:
Der Werbetreibende (Non-Profit-Organisation, Kulturinstitution) stoßt die Verarbeitung an, indem dieser das Ziel verfolgt, bspw. Spender*innen werblich anzusprechen. Der Werbetreibende hat hierbei jedoch keinen direkten Zugriff auf die personenbezogenen Daten der betroffenen Personen. Den Zugriff auf diese Daten steuert der Adresseigner als Herr der Daten, so dass dieser für die datenschutzkonforme Verarbeitung der personenbezogenen Daten datenschutzrechtlich verantwortlich ist (auch datenschutzrechtlicher Auftraggeber). Sofern uns der Adresseigner Daten zur Neuspender*innengewinnung bspw. zur Verarbeitung übermittelt, sind wir Auftragsverarbeiter und schließen für die Zusammenarbeit eine Vereinbarung gemäß Art. 28 DSGVO (Auftragsverarbeitung) ab. In dieser Rolle erhalten wir vom Adresseigner den Auftrag zur Durchführung einer postalischen Aussendung für den Werbetreibenden (Non-Profit Organisation, Kulturorganisation).
Durch eine Nachricht an den in der Aussendung angedruckten Adresseigner, an uns oder an den Kunden können Sie Ihre Rechte laut DSGVO geltend machen.
Mit einem Eintrag in die deutsche Robinsonliste https://www.robinsonliste.de können Sie unerwünschte postalische Werbung vermeiden.
Ihre Widerspruchsmöglichkeiten für die Verarbeitung von Daten zu Werbezwecke, Löschung der Daten, Sperrliste und Robinsonliste der WKÖ
Ein Widerspruch gegen die Verwendung Ihrer Daten oder eine Löschung Ihrer Daten ist durch eine Nachricht an uns unter
datenschutz@directmind.at bzw. https://directmind.schuetzt-meine-daten.at
oder postalisch an DIRECT MIND GmbH, Technologiestraße 8, 1120 Wien
möglich.
Allerdings besteht die Möglichkeit, dass wir die Daten bei zukünftigen Datenlieferungen erneut und auf legale Weise beziehen.
Ein Eintrag in die Robinsonliste bietet hier einen Weg, um dies zu verhindern, falls kein Interesse an personalisierter Werbung besteht. Die Adresse lautet:
Wirtschaftskammer Österreich,
Fachverband Werbung und Marketingkommunikation,
Wiedner Hauptstraße 57, 1040 Wien.
Das Antragsformular finden Sie auch unter: https://apppool.wko.at/Robinsonliste/Registrierung.aspx
Mit einem Eintrag in die Robinsonliste kann keine postalische Aussendung aus dem Ausland, Eigenwerbung von Unternehmen/Organisationen (bei einer bestehenden Beziehung: also Kunde/Spender), amtliche Information, politische Werbung, unadressierte Postwurfsendung und Werbung per E Mail, SMS, WhatsApp oder Fax ausgeschlossen werden.
Neben einem Eintrag in die Robinsonliste der Wirtschaftskammer ließe sich eine Datenverarbeitung unsererseits und eine Bereitstellung der Daten durch uns für eine postalische Aussendung unserer Kunden, durch einen Eintrag in unsere Sperrliste (mit Namen und vollständiger Anschrift) vermeiden.
Personenbezogene Daten in unserer Sperrliste werden ausschließlich verwendet, um einen Widerspruch gegen die Verarbeitung dieser Daten unsererseits dauerhaft gewährleisten zu können. Sie werden also nicht für Marketing- oder andere Zwecke verwendet und nicht an Dritte weitergegeben – außer es besteht eine rechtliche Verpflichtung.
Rechtsgrundlage der Verarbeitung der Daten sind unsere berechtigten Interessen als Adressverlag und Direktmarketingunternehmen gemäß Art. 6 Abs 1 lit f DSGVO, ausgeführt durch § 151 der Gewerbeordnung 1994 (betreffend die Ausübung des Gewerbes eines Adressverlags und Direktmarketingunternehmens), wonach Daten unter den dort genannten Bedingungen von uns für Marketingzwecke verarbeitet werden dürfen.
Wir sind gemäß den Verhaltensregeln für Adressverlage und Direktmarketingunternehmen zertifiziert
Wir wurden am 06.04.2024 erneut nach den Verhaltensregeln gem. Art. 40 DSGVO für die Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994 (Hrsg: FV-Werbung und Marktkommunikation, WKÖ) zertifiziert.
Diese Zertifizierung stellt eine aufrechte Überwachung im Sinne des Art. 41 DSGVO der in diesem Zertifikat angeführten Verhaltensregel gemäß Art 40 DSGVO dar.
Die Austrian Standards plus GmbH (akkreditierte Überwachungsstelle gem. Art.
41 Abs 1 DSGVO) stellt dieses Überwachungszertifikat aus und überwacht die Einhaltung.
Diese Zertifizierung und die damit einhergehende Einhaltung der Verhaltensregeln ist ein Nachweis für uns, dass wir personenbezogene Daten als Direktmarketingunternehmen nach Treu und Glauben im Sinne des Art 5 Abs 1 lit a DSGVO verarbeiten.
4. Bildung von Zielgruppen für Aussendungen unserer österreichischen Kunden zur Neuspender*innengewinnung mit Hilfe von KI
Relevante Daten: Personenstammdaten, öffentlich verfügbare Daten, Marketingklassifikationsdaten, Historie
Relevante Daten für die KI-Analyse sind Personenstammdaten (Titel, Vor- und Nachnamen, postalische Anschrift, Geburtsdatum), öffentlich verfügbare Daten (Lage des Wohnorts, politischer Bezirk, Bundeslandkennzeichen, Zählsprengelkennzeichen, Gemeindekennzeichen), Marketingklassifikationsdaten (Grundstückspreise, Bildungsstand, Hausgröße, Altersklasse) und die Historie (wann und wie oft wurde die Adresse für den jeweiligen Kunden eingesetzt und wann bzw. wie oft haben wir die Adresse an den Kunden geliefert).
Analyse der Daten, Bildung einer Zielgruppe: Analyse der Daten mit Hilfe eines KI-Systems zur Errechnung der Spendenwahrscheinlichkeit je Kunde
Das KI – System unterstützt uns dabei herauszufinden, ob sich eine Person in unserer Direktmarketingdatenbank für die postalische Aussendung des jeweiligen Kunden interessieren bzw. spenden könnte. Ziel der KI-Entwicklung war es für jede Organisation eine Methodik zu entwickeln, der die bisherigen Analysen in der Adress-Auswahl verbessert. Die Aufgabenstellung lösten wir mit Hilfe neuronaler Netzwerke. Letztere bestehen aus sehr vielen „künstlichen Knotenpunkten“ (= sogenannte Neuronen) in einem (KI-) System. Diese „Punkte“ bekommen die vorliegende Information, führen Berechnungen durch (sie berechnen anhand des von uns gewünschten mathematischen Modells ob sich die Person für die Aussendungen des Kunden interessieren bzw. darauf spenden könnte) und geben das Ergebnis den anderen Punkten weiter. Diese Punkte, die über mehrere Ebenen verteilt sind, arbeiten also zusammen um die Fragestellung zu lösen. Am Ende erhalten wir dann ein Modell und so die Spendenwahrscheinlichkeit für den spezifischen Kunden je Person in unserer Direktmarketingdatenbank.
Speicherung des Ergebnisses: Die Spendenwahrscheinlichkeit wird vor jeder Kundenaussendung neu berechnet
Wir führen vor jeder Kundenaussendung die Analyse neu durch und speichern die alte Spendenwahrscheinlichkeit nicht.
Wie selektieren wir die Daten dann für die postalischen Aussendungen? Anhand der errechneten Spendenwahrscheinlichkeit, aber auch unter Beachtung unserer Datenpolitik – sowie unter Beachtung der Robinsonliste der WKÖ und unserer Sperrliste
Wenn wir Personen für eine Aussendung zur Neuspender*innengewinnung auswählen, dann ist natürlich die errechnete Spendenwahrscheinlichkeit sehr wichtig. Genauso bedeutend ist aber auch unsere Datenpolitik: Wir möchten Personen nicht zu oft anschreiben und berücksichtigen die Häufigkeit dementsprechend ebenfalls im Rahmen unseres Auswahlverfahrens. Personen, die auf der Robinsonliste der WKÖ stehen oder auf unserer Sperrliste, werden von jeder postalischen Aussendung ausgeschlossen.
Training des KI-Systems: Das ist wichtig für die höchste Güte und die Stabilität des Systems
Wir haben das KI – System mit den genannten Daten trainiert und sehr viele Modelle gerechnet. Ein „Modell“ ist hierbei ein Plan, den das KI – System zur Lösung der Fragestellung entwickelt hat. Ein solcher Plan hat dann die „höchste Güte“, wenn er die besten Ergebnisse für das Problem liefert und wenige/keine Fehler macht. „Stabil“ ist dieser Plan dann, wenn er zuverlässig dasselbe (oder ein vergleichbares) Ergebnis liefert, wenn wir das Modell mit anderen Daten testen. Wir haben für unsere Analyse das Modell mit der höchsten Güte und der höchsten Stabilität, unter Berücksichtigung unserer Erfahrungswerte und nach dem Vergleich der erzielten Ergebnisse, ausgewählt.
Wer unterstützt uns bei der Erstellung des KI – Systems: +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter
Wir haben +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter mit der Erstellung des KI-Systems beauftragt.
Ist die KI – Analyse eine ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO? Nein!
Bei der Einstufung einer Analyse als „ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO“ müssen unter anderen die Auswirkungen auf die betroffenen Personen betrachtet werden“. Diese müssen „erheblich“ sein - man spricht hierbei von der sogenannten „Erheblichkeitsschwelle“. Diese ist sehr hoch: Es ist auf eine schwerwiegende Folge für die Betroffenen abzustellen, zum Beispiel die Auflösung eines Vertrages oder eine Einreiseverweigerung in ein Land. Des Weiteren beeinträchtige die Datenverarbeitung eine Person dann erheblich, wenn ihre Wirkung umfassend bzw. erwähnenswert sei - die Entscheidung müsse die Umstände, das Verhalten oder die Entscheidungen der betroffenen Personen erheblich beeinträchtigen, die betroffene Person über einen längeren Zeitraum oder dauerhaft beeinträchtigen oder im schlimmsten Fall zum Ausschluss oder zur Diskriminierung von Personen führen. Dies können wir im Rahmen unserer KI-Analyse nicht feststellen. Die Konsequenz für die betroffenen Personen aus der KI - Analyse ist der Erhalt von postalischen Aussendungen oder eben kein Erhalt von postalischen Aussendungen. Ein gewisser bürokratischer Aufwand für die betroffenen Personen ist denkbar (wenn sie zum Beispiel ihr Recht auf Widerspruch/Löschung umsetzen möchte), aber keine Auswirkungen mit dem notwendigen Schweregrad, so dass von einer rechtlichen oder erheblichen Beeinträchtigung der betroffenen Person gesprochen werden kann - betroffene Personen können immer Werbeaussendungen adressiert mit Daten aus den Karteien von Adressverlagen durch eine Eintragung in die Robinsonliste der WKÖ ablehnen.
Gibt es eine Datenübermittlung in ein Drittland? Nein!
Das KI-System läuft auf unseren Servern in Österreich. Es gibt keinen Datentransfer in ein Drittland oder an eine internationale Organisation.
Rechtsgrundlage für die KI – Analyse: unser berechtigtes Interesse und das berechtigte Interesse unserer Kunden
Wir haben ein berechtigtes Interesse nach Art. 6 Abs 1 lit f DSGVO an der Durchführung von KI – Analysen zur Bildung von Zielgruppen für Aussendungen zur Gewinnung von neuen Unterstützer*innen unserer Kunden, die gemeinnützige Ziele verfolgen und daher auf Spenden angewiesen sind. Eine bessere Zielgruppenanalyse mit Hilfe von KI von unserer Seite erhöht die Anzahl der gewonnenen Spender*innen je postalischer Aussendung, reduziert so die Kosten und erhöht die verfügbaren Mittel für die gemeinnützigen oder mildtätigen Projekte. Deshalb haben auch unsere Kunden ein berechtigtes Interesse an unserer Zielgruppenanalyse mit Hilfe von KI.
Rechtsgrundlage für das Training der KI: Zweckänderung nach Art. 6 Abs 4 DSGVO, berechtigtes Interesse
Der originäre Zweck unserer Datenerhebung ist die Durchführung, Planung und Organisation von postalischen Werbeaktionen Dritter. Der Zweck der Weiterverarbeitung der Daten ist das Training des KI – Systems, um eine Analyse zu entwickeln, um den ursprünglichen Zweck der Datenerhebung effizienter und besser umsetzen zu können. Beide Zwecke sind unter dem übergeordneten Zweck „Direktwerbung“ subsumierbar (der Zweck „Training“ und der Zweck „Analyse zur Zielgruppenbestimmung“ zeigen in dieselbe Richtung) – also auch in Anbetracht des Zusammenhangs, in dem die personenbezogenen Daten bezogen wurden. Es werden keine Daten im Sinne des Art. 9 Abs 1 DSGVO oder Art. 10 DSGVO verarbeitet. Für die betroffenen Personen hat diese Weiterverarbeitung keine Konsequenzen. Im Rahmen des Trainings wird nur die Parametrisierung der KI verändert. Ein Training mit anonymisierten Daten war nicht möglich, da zu erwarten ist, dass die postalische Anschrift eine erklärende Variable für das KI-System sein kann.
5. Verarbeitungen von personenbezogenen Daten im Auftrag unserer Kunden
Direct Mind als Auftragsverarbeiter
Zusätzlich verwalten wir auch personenbezogene Daten im Auftrag unserer Kunden. In der Rolle als Auftragsverarbeiter für unsere Kunden verarbeiten wir nur jene personenbezogenen Daten, die wir von den Kunden (Auftraggebern) im Rahmen unserer rechtmäßigen Verarbeitungstätigkeit bereitgestellt bekommen (Hauslisten-Adressen). Wir haben uns verpflichtet, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten.
Wir haben als Auftragsverarbeiter entsprechende Verträge laut Art. 28 DSGVO mit jedem Auftraggeber abgeschlossen und geeignete technische und organisatorische Maßnahmen implementiert, um eine datenschutzkonforme Verarbeitung der personenbezogenen Daten und den Schutz dieser Daten zu gewährleisten. Wir löschen die personenbezogenen Daten nach der Erfüllung unserer Verarbeitungstätigkeit. Die Auftraggeber verpflichten sich vertraglich, dass die uns zur Auftragsverarbeitung bereitgestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen erhoben wurden und dass sie zur Datenverarbeitung berechtigt sind.
6. Allgemeine Informationen zu den datenschutzrechtlichen Verarbeitungen für Kunden, Partner, Mitarbeiter*innen, Dienstleister, Interessent*innen, Bewerber*innen
Allgemeiner Überblick: Verarbeitungszwecke und Kategorien personenbezogener Daten
Personenbezogene Daten verarbeiten wir zur Vertragserfüllung, Verrechnung, Geltendmachung der Vertragsansprüche, für Zwecke des Kundenservice, im Rahmen der Personalentwicklung und Personalverwaltung, zur Verwaltung unserer IT-Systeme, zur Durchführung und Organisation unserer Veranstaltungen, zur Öffentlichkeitsarbeit und für Werbezwecke. Die Daten werden hierfür, so weit zulässig, erhoben, gespeichert, verarbeitet und genutzt. Weitere Informationen zu einzelnen Verarbeitungen sind in den nachstehenden Punkten zu finden.
Wir verarbeiten hierbei fallweise folgende Kategorien personenbezogener Daten: Personenstammdaten, Kommunikationsdaten, Personalverwaltungsdaten, Vertragsdaten, Bankverbindungsdaten, Kommunikationsinhalte, Qualifikationsdaten, Finanzdaten, Online-Marketingdaten, Ausweisdokumente, Zugangsdaten, Fotos, Nutzer generierte Inhalte, Log/ Protokolldaten. Die personenbezogenen Daten werden je nach Verarbeitungszweck in unterschiedlichen Systemen gespeichert. Nähere Angaben hierzu sind in den jeweiligen Informationen zu den Verarbeitungen zu entnehmen.
Rechtsgrundlagen für unsere Verarbeitungen: Vertragserfüllung, berechtigte Interessen, rechtliche Verpflichtungen, Einwilligung der betroffenen Person
Die rechtlichen Grundlagen für die Verarbeitung von personenbezogenen Daten sind einerseits Vertragserfüllung, berechtigte Interessen, die Erfüllung unserer rechtlichen bzw. vertraglichen Verpflichtungen, sowie andererseits die Einwilligung der betroffenen Person (Newsletter, ggf. Cookies).
Wir verarbeiten personenbezogene Daten auf der Grundlage unserer berechtigten Interessen nach Art 6 Abs. 1 lit. f DSGVO, im Rahmen des gesetzlich Zulässigen, zum Zwecke der Öffentlichkeitsarbeit, um Informationen bereitzustellen und um unsere Dienstleistungen und Produkte zu bewerben. Nach Erwägungsgrund 47 DSGVO kann die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung ebenso ein berechtigtes Interesse.
Hierbei tragen ein ansprechender Webauftritt, sowie das Versenden von Aussendungen und die Kommunikation mit unseren Kunden und Interessenten maßgeblich zu unserem Unternehmenserfolg bei und sind somit hierfür auch erforderlich. Auch haben wir ein „berechtigtes Interesse“ darin, die Anforderungen unserer Kunden besser zu verstehen, um sie noch zielgerichteter unterstützen zu können.
Auch die Datenspeicherung oder Datenverarbeitung zur Gewährleistung der Funktionsfähigkeit unserer IT-Systeme kann, neben der rechtlichen Verpflichtung gemäß Art 6 Abs. 1 lit c DSGVO iVm Art 32 DSGVO (Sicherheit der Verarbeitung), auch auf unserem berechtigten Interesse nach Art 6 Abs. 1 lit. f DSGVO beruhen. Die Datenspeicherung oder Datenverarbeitung ermöglicht uns, eine hohe Funktionalität der Systeme beizubehalten und hilft uns dabei, eine mögliche Überlastung bzw. andere Schädigungen abzuwehren (Erwägungsgrund 49 der DSGVO).
Gegen Verarbeitungen, die wir auf unsere „berechtigten Interessen“ stützen, kann ein Widerspruch eingelegt werden. Den Verarbeitungen im Zusammenhang mit unserer Direktmarketingtätigkeit (Verarbeitungen zu Werbezwecken) kann jederzeit unbegründet widersprochen werden (Art 21 Abs 2 DSGVO). Für Widersprüche gegen sonstige Verarbeitungen, die wir auf unser berechtigtes Interesse stützen, bedarf es einer Begründung durch die betroffene Person (Art 21 Abs 1 DSGVO). Im Zuge einer Interessenabwägung wird festgestellt, ob wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können und ob unsere Interessen an einer fortwährenden Verarbeitung die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
Dauer der Verarbeitung: Wegfall des Verarbeitungszweckes, Widerruf der Einwilligung, Widerspruch, rechtlichen Löschungsverpflichtung, gesetzlichen Aufbewahrungs- und Dokumentationspflichten
Personenbezogene Daten löschen wir bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufes der Einwilligung, bei einem besonderen Widerspruch, soweit die betroffene Datenverarbeitung auf unsere berechtigten Interessen gestützt wird, sowie nach einer rechtlichen Löschungsverpflichtung. Mittels Widerrufs der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
7. Datenverarbeitung im Rahmen des Bewerbungsprozesses
Zweck: Durchführung des Bewerbungsprozesses, Auswahl passender Kandidat*innen
Wir verarbeiten personenbezogene Daten um den Bewerbungsprozess mit unseren Bewerber*innen durchführen zu können und um eine möglichst passende Kandidatin/ einen möglichst passenden Kandidaten für die Ausschreibung finden zu können.
Rechtsgrundlage: Berechtigtes Interesse, vorvertragliche Maßnahmen
Rechtsgrundlage hierfür ist unser berechtigtes Interesse, (Art 6 Abs 1 lit f DSGVO) einen möglichst effizienten Bewerbungsprozess durchzuführen, sowie die Notwendigkeit zur Durchführung vorvertraglicher Maßnahmen (Art 6 Abs 1 lit b DSGVO).
Datenkategorien, Erhebung der Daten, Zugriff auf die Daten: Daten, die uns im Zuge der Bewerbung übermittelt bzw. von uns erhoben werden, need – to – know - Prinzip
Die betroffenen Datenkategorien sind Personenstammdaten, Kommunikationsdaten, Qualifikationsdaten, Daten zum persönlichen, beruflichen, schulischen Werdegang, Gesprächsnotizen, Daten für vorvertragliche Maßnahmen (möglicher Eintritt, angestrebtes Stundenmaß, Gehaltsvorstellung).
Die betroffenen Daten erheben wir im Rahmen des Bewerbungsprozesses (auch über stepstone.at) oder des Vorstellungsgesprächs entweder durch deren Bereitstellung durch die Bewerberin/ den Bewerber oder durch Aufzeichnungen, die während des Gesprächs angefertigt werden.
Eine Übermittlung dieser Daten ist nicht verpflichtend, aber ohne sie können wir den Bewerbungsprozess nicht durchführen. Falls erforderlich kann es sein, dass einzelne, für die Ausschreibung relevante Vertreter aus den Fachabteilungen sowie unser IT-Auftragsverarbeiter (im Rahmen der Betreuung unserer IT-Systeme) Zugriff auf die Daten erhalten.
Speicherdauer: 7 Monate ab Bewerbungseingang, länger bei Einwilligung zur Evidenzhaltung
Die Bewerbungsunterlagen werden gemäß §§ 15 Abs 1, 29 Abs 1 GlbG sowie § 7k Abs 1 iVm Abs 2 Z 1 BEinstG nach 7 Monaten ab Bewerbungseingang gelöscht.
Falls Sie uns mitgeteilt haben, dass wir Ihre Bewerbungsunterlagen für künftige Stellenausschreibungen in Evidenz halten können, speichern wir diese über die 7-monatige Aufbewahrungsfrist hinaus. Die Rechtsgrundlage hierfür ist Ihre Einwilligung, die Sie jederzeit widerrufen können.
Auftragsverarbeiter: Stepstone
Wir schalten Anzeigen auf stepstone.at (unser Auftragsverarbeiter) – Betreiber ist The Stepstone Group Österreich GmbH (Prinz-Eugen-Straße 8-10, A-1040 Wien, Österreich, Tel.: +43/1/ 405 00 68-0, Fax: +43/1/ 405 00 68-50, E-Mail: office@stepstone.at)
8. Verwaltung unserer (Geschäfts-) Kontakte
Zweck: Verwaltung von Kunden, Geschäftspartnern und Auftragsverarbeitern
Zur Verwaltung unserer Kunden, unserer Geschäftspartner und unserer Auftragsverarbeiter speichern wir diese, je nach dem Zweck der Verarbeitung, in unterschiedlichen Datenbanken.
Datenbanken und von uns verarbeitete Datenkategorien: Kontaktdatenbank, CRM Datenbank zur Geschäftsanbahnung und für Geschäftsprozesse, Personenstammdaten, Rechnungsdaten, Kommunikationsdaten, Firmendaten
- Datenbank zur Verwaltung unserer Kontakte
In dieser Datenbank lassen sich für den Versand von Newslettern und postalischen Aussendungen einfache Selektionen durchführen. Daten werden größtenteils händisch erfasst oder selten mit einer Excel Datei über eine Schnittstelle eingespielt. Die Datenbank wird von uns verwaltet. Gespeicherte Daten sind Personenstammdaten, Kommunikationsdaten, Eigenschaften (z.Bsp. Personenstatus, zuständiger Kontakt, erhält die Person Touchpoints), Position in der Firma/Organisation, Organisationseinheit. Innerhalb dieser Datenbank erfolgt keine automatisierte Verarbeitung (wie zum Beispiel Profiling).
- CRM - Datenbank zur Geschäftsanbahnung
Diese webbasierte Datenbank dient der Projektabwicklung, der Dokumentation der Kommunikation und der geschriebenen Angebote und der Verwaltung der Kontakte. In diesem Zusammenhang speichern wir folgende Daten der diesbezüglichen Kunden und Interessenten: Titel, Vorname, Name, E-Mail, Betreuer, Kundennummer, Lieferant, Region, Tätigkeit, Organisationsdaten, Produkte, Briefanrede, Telefonnummer, Geburtstag, Geschlecht, ID im System. Der Hersteller der Datenbank, mit dem Firmensitz in der EU, kann im Zuge der bestehenden Wartungs- und Supportverträge Zugriff auf die personenbezogenen Daten erlangen.
- CRM-Datenbank für Geschäftsprozesse
Dies ist eine webbasierte Lösung für Geschäftsprozesse. Die Applikation setzt auf einer SQL-Datenbank auf und wird über den Browser bedient. Sie dient der Dokumentation und der Abrechnung von Geschäftsprozessen. Die verarbeiteten Daten sind Personenstammdaten, Kommunikationsdaten, Kundenstammdaten, Angebote, Ausgangsrechnungen, Anfragen, Aufträge, Eingangsrechnungen, Zahlungskonditionen, Kontoverbindungen und UID-Nummern. Der Hersteller der Datenbank, mit einem Sitz in der EU, kann im Zuge der bestehenden Wartungs- und Supportverträge Zugriff auf die personenbezogenen Daten erlangen.
Rechtsgrundlage: Berechtigtes Interesse, Vertragserfüllung, rechtliche Verpflichtung
Rechtsgrundlage für die Verwaltung unserer Kontakte ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, da eine hohe Funktionalität und ein leichtes Auffinden der Kontakte und der damit einhergehenden effizienten Kommunikation zu unserem Unternehmenserfolg beitragen. Des Weiteren verwalten wir die Kontakte auf Grund von Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung und auch vorvertragliche Maßnahmen) und auch auf Grund von rechtlichen Verpflichtungen nach Art. 6 Abs 1 lit. c DSGVO.
Speicherdauer: Widerspruch, Zweckerfüllung, gesetzliche Aufbewahrungsfristen
Personenbezogene Daten im Zuge der Verwaltung unserer Kontakte löschen wir nach Widerspruch, sofern keine gesetzliche Aufbewahrungspflicht besteht, nach Zweckerfüllung (Vertragsende, Ende der Geschäftsbeziehung), sowie gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben, sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
9. Newsletter/Analyse Newsletter/elektronische Aussendungen
Zweck: Versand von Newslettern, Kundenbindung, Information, Geschäftsanbahnung
Wir verarbeiten personenbezogene Daten zur Vorbereitung und Durchführung von digitalen Informations- und Spendenaktionen und für den Versand unseres Newsletters, für den man sich auf unserer Website anmelden kann. Das E-Mail-Marketing/Newsletterversand dient ebenso als Tool zur Kundenbindung, zur Information bestehender Kunden/Geschäftspartner und zur Geschäftsanbahnung.
Rechtsgrundlage: Einwilligung, Vertragserfüllung
Rechtsgrundlage für die Verarbeitung ist hierfür die Einwilligung gemäß Art. 6 Abs 1 lit a DSGVO iVm Art. 174 TKG oder Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung).
Ein Widerruf der Einwilligung bzw. eine Abmeldung vom Newsletter ist jederzeit möglich, bspw. durch das Anklicken des Links in unseren elektronischen Aussendungen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hiervon jedoch nicht berührt.
Datenkategorien
Es können folgende Datenkategorien verarbeitet werden: Personenstammdaten, Kommunikationsdaten, sowie gegebenenfalls die Kundenhistorie und die Geschäftshistorie im Rahmen einer aufrechten Geschäftsbeziehung. Dies beinhaltet die Verwaltung von Empfängerlisten und die Dokumentation zu Nachweiszwecken.
Analyse der elektronischen Nachrichten, Rechtsgrundlage
Zu beachten ist, dass wir im Zuge des Newsletter-Versands auch eine Analyse der elektronischen Nachrichten hinsichtlich Öffnungsrate, geographischen Standort, Klickrate, Klickverhalten, benutzte Devices, Internet Browser, „soft und hard bounces“ (Rückmeldung, wenn eine E-Mail nicht zugestellt werden konnte) und des Betriebssystems durchführen. Rechtsgrundlage hierfür ist Art. 6 Abs 1 lit. f DSGVO (berechtigtes Interesse). Diese Analysen sind untrennbar mit der Nutzung unserer Newslettersystematik verbunden. Wir können sie demnach nicht „abschalten“ und nutzen die Daten, um möglichst zielgerichtete Aktionen durchführen zu können und um unseren Datenbestand möglichst aktuell halten zu können. Damit sollen vor allem den Interessen unserer Spender*innen entsprochen und Streuverluste vermieden werden. Dies soll auch dafür sorgen, dass die eingesetzten finanziellen Mittel möglichst kostensparend eingesetzt werden können.
Speicherdauer: Widerruf der Einwilligung, Zweckerfüllung
Die Daten löschen wir nach Widerruf der Einwilligung zum Newsletter-Versand, Zweckerfüllung bzw. mit dem Ende des Vertragsverhältnissen bzw. der Geschäftsbeziehung.
Auftragsverarbeiter (Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien)
Zur Durchführung von elektronischen Aussendungen und dem Versand von Marketing-E-Mails beauftragen wir Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien) zur Planung, Analyse und Durchführung der E-Mail-Kommunikation.
10. Spendenindex
Zweck: Grafische Übersicht der Spendeneinnahmen im Vergleich zum Spendenmarkt
Auf unserer Website gibt es die Möglichkeit, sich für den Spendenindex zu registrieren. Hier können registrierte Organisationen ihre Spendeneinnahmen in einer grafischen Übersicht einsehen. In einer Gesamtübersicht werden auch die insgesamt eingenommenen Spenden aller registrierten Organisationen dargestellt (ohne, dass die Einnahmen der einzelnen Organisationen für andere Organisationen sichtbar sind).
Die Indexlinie von 100 entspricht den Spendeneinnahmen eines durchschnittlichen Monats. Dieser Durchschnitt errechnet sich – für jede Organisation – aus den monatlichen Spenden der vergangenen Jahre (mit Extremwert-Glättung). Liegt der aktuelle Wert in einem Monat über 100, dann gab es in diesem Monat mehr Spenden als in einem durchschnittlichen Monat. Und umgekehrt. Dieser aktuelle Drei-Jahres-Durchschnitt ist der Referenzwert, die Eichung. Die Teilbereiche sind nach Spendenthemen gruppiert und erleichtern die Vergleichbarkeit.
Rechtsgrundlage: Vertragserfüllung
Rechtsgrundlage für die Datenverarbeitung im Rahmen des Spendenindex ist Art. 6 Abs. 1 lit. b DSGVO (vertragsähnliches Nutzungsverhältnis).
Datenkategorien: Benutzerdaten, Log-In-Daten
Folgende Daten werden im Zuge der Registrierung gespeichert: Daten, die Sie im Zuge der Registrierung bekanntgegeben haben, Benutzername und Passwort (verschlüsselt).
Speicherdauer: Bis zur Löschung
Die Log-In Daten und das Profil werden so lange gespeichert, bis eine Löschung beantragt wird.
Auftragsverarbeiter: Amazon Web Services hostet unsere Webseite
Das Hosting unserer Webseite und somit auch des Spendenindizes findet über folgenden Auftragsverarbeiter statt:
Amazon Web Services (Amazon Web Services EMEA SARL). Das Rechenzentrum liegt in Frankfurt (Deutschland).
Es kann jedoch nicht ausgeschlossen werden, dass personenbezogene Daten an das Mutterunternehmen Amazon.com Inc. und somit in die USA (Drittland) übermittelt werden.
Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss zum EU-USA Datenschutzrahmen verabschiedet: Damit wird den USA ein angemessenes Datenschutzniveau bescheinigt. Dies erleichtert den Datentransfer in die USA deutlich, allerdings müssen sich US-Datenempfänger erst noch nach dem EU-U.S. Data Privacy Framework zertifizieren lassen. Dies ist unseres Wissens nach bei Microsoft mit Stand vom 02.04.2024 der Fall.
11. Webinare
Zweck: Kundenbindung, Schulung, Geschäftsanbahnung
Webinare veranstalten wir zur Kundenbindung, zur Schulung, zum Austausch und zur Geschäftsanbahnung.
Rechtsgrundlage: Einwilligung
Rechtsgrundlage für die Datenverarbeitung im Rahmen der Webinare sind die Zustimmung der Teilnehmer der Webinare gemäß Art. 6 Abs. 1 lit. a DSGVO. Ein Widerruf ist jederzeit durch Verlassen der Videokonferenz möglich.
Datenkategorien: Personenstammdaten, Kommunikationsdaten
Hierfür verarbeiten wir Personenstammdaten und Kommunikationsdaten.
Speicherdauer: 3 Monate bzw. bis Widerspruch oder Zweckerfüllung
Die Teilnehmerlisten der Webinare löschen wir nach 3 Monaten, sofern keine aufrechte (Geschäfts-) Beziehung besteht. Ansonsten speichern wir die Daten bis Widerspruch oder Zweckerfüllung.
Auftragsverarbeiter: Zoom
Zur Durchführung der Webinare ziehen wir ZOOM als Auftragsverarbeiter hinzu – weitere Informationen hierzu sind in dem entsprechenden Punkt über Zoom zu finden.
12. Followup nach Webinar
Zweck: Analyse und Verbesserung der Webinare, Geschäftsanbahnung
Nach einem Webinar wird den Teilnehmern ein Fragebogen zur Analyse des Webinars per E-Mail zugeschickt. Auf freiwilliger Basis kann dieser ausgefüllt werden, die generierten Daten werden zur Verbesserung unserer Webinare und zur Geschäftsanbahnung verwendet.
Rechtsgrundlage: Berechtigtes Interesse
Rechtsgrundlage für das „Followup“ ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Wir möchten unsere Webinare laufend verbessern und sind deshalb auf das Feedback der Teilnehmer angewiesen. Des Weiteren ist es für uns relevant, ob bei den Teilnehmern ein Interesse an unseren Leistungen besteht. Darüber hinaus ist das Ausfüllen des Fragebogens freiwillig. Durch die Nichtausfüllung entstehen den Teilnehmern keine Nachteile.
Datenkategorien: Personenstammdaten, Kommunikationsdaten
Für den Versand verarbeiten wir Personenstammdaten und Kommunikationsdaten – im Fragebogen werden keine personenbezogenen Daten abgefragt, sondern allgemeine Fragen zum Webinar und zum Interesse der Teilnehmer an unseren Produkten.
Analyse: Analog zur Newsletteranalyse
Eine Analyse über die Zustellbarkeit der E-Mail im Rahmen des Fragebogenversands wird analog zur "Newsletteranalyse" durchgeführt.
Die Fragebögen werden anonymisiert ausgewertet. Wenn ein Interesse der Teilnehmer an unseren Produkten besteht, werden diese in unserem System zur Geschäftsanbahnung angelegt.
Speicherdauer: Zweckerfüllung
Die ausgefüllten Fragebögen werden nach Zweckerreichung vernichtet.
Auftragsverarbeiter: Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien)
Im Rahmen des Versands des Fragebogens ziehen wir fallweise Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien) hinzu.
13. Zoom
Zweck: Durchführung von Online-Meetings und Webinaren
Wir nutzen das Tool „Zoom“ um Online-Meetings und Webinare ortsungebunden durchzuführen.
Rechtsgrundlage: Einwilligung
Die Teilnahme an einem ZOOM-Meeting ist freiwillig. Rechtsgrundlage ist dementsprechend die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Wenn man nicht an einem solchen Meeting teilnehmen möchte, sollte dies dem Organisator mitgeteilt werden, damit dieser, wenn möglich, andere Kommunikationswege anbieten kann. Mit der Teilnahme an einem Zoom-Meeting wird die Einwilligung in die Datenverarbeitung zum eingangs genannten Zwecks erteilt. Ein Widerruf ist jederzeit durch Verlassen der Videokonferenz möglich.
Datenkategorien
Folgende personenbezogene Daten werden im Rahmen eines Online-Meetings oder Webinars über Zoom verarbeitet:
- Falls ein Zoom-Konto genutzt wird: Vor- und Nachnamen, welcher beim Beitreten zu einem Meeting auch geändert werden kann, sowie optional das Profilbild
- Ohne Zoom Konto: Der gewählte Name für die Videokonferenz. Dieser kann auch ein Pseudonym sein.
- Bei der Einwahl mit einem Telefon: Angabe zur Inbound/Outbound -Rufnummer, weiters der Ländername, sowie Start- und Endzeit.
- Angaben zum Meeting, wie zum Beispiel das Thema oder die Dauer
- Inhaltsdaten des Meetings: Die Aktivitäten (Bsp.: Chat-Nachrichten, freigegebene Bildschirminhalte, Interaktionen) im Rahmen der Videokonferenz werden an die Teilnehmer des Meetings weitergeleitet und von diesen möglicherweise gespeichert.
- Bei einer Aktivierung des Mikrofons oder der Kamera auf dem Endgerät: Im Zuge dessen werden Audio- und Videodaten allen Teilnehmern zur Verfügung gestellt. Die Kamera oder das Mikrofon kann jederzeit deaktiviert bzw. die Aktivierung abgelehnt werden. Wir haben unter Umständen keinen Einfluss darauf, ob anderen Teilnehmer die Videokonferenz aufzeichnen. Dementsprechend könnten auch Dateien mit Video-/ Audioaufnahmen des Zoom-Meetings und der Inhalte und Aktivitäten des Meetings entstehen.
Empfänger der Daten: Teilnehmer*innen des Zoom-Meetings
Empfänger der Daten sind alle Teilnehmer*innen des Zoom-Meetings.
Auftragsverarbeiter: Zoom Video Communications Inc, Drittlandsübermittlung
Zoom Video Communications Inc (kurz: Zoom) stellt den Dienst bereit, ist unser Auftragsverarbeiter und verarbeitet personenbezogene Daten zur Sicherstellung der Funktion der Dienste und zur Erstellung von Nutzungsstatistiken. Hier sind weitere Informationen zu Zoom zu finden: https://zoom.us/de-de/privacy.html
Zoom überträgt personenbezogene Daten ins EU/EWR-Ausland, um sie zum Beispiel in dortigen Rechenzentren zu verarbeiten. Sie verpflichten sich die personenbezogenen Daten in einem Gebiet zu verarbeiten, das nach Feststellung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten bietet oder geeignete Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten zu implementieren. Dies umfasst die Übertragung gemäß den geltenden Übertragungsmechanismen, der Standardvertragsklausel der Europäischen Kommission.
Speicherdauer: Daten werden nicht gespeichert, lokale Speicherung durch Teilnehmer möglich
Die in einer Videokonferenz über Zoom gespeicherten personenbezogenen Daten werden von uns nicht gespeichert – auf Daten, die von den Teilnehmern lokal gespeichert werden, haben wir keinen Einfluss. Zur Sicherstellung der Funktion der Dienste und ggfs. zu deren Verbesserung speichert Zoom Verkehrs- und Nutzungsdaten und alle für ein Zoom-Konto relevanten Daten werden so lange gespeichert, wie das Zoom-Konto existiert.
14. Touchpointmarketing
Zweck: Versand von Grüßen zu Geburtstagen, Jubiläen, Feiertagen
Über offline Kanäle verschicken wir Grüße zu Geburtstagen, Jubiläen, Feiertagen oder sonstigen besonderen Anlässen.
Rechtsgrundlage: Berechtigtes Interesse
Rechtsgrundlage für diese Verarbeitung ist unser berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO an einer guten engen Beziehung zu unseren Kunden und Geschäftspartnern.
Datenkategorien: Personenstammdaten, Kommunikationsdaten, Historie zur Geschäftsbeziehung
Hierfür verarbeiten wir Personenstammdaten, Kommunikationsdaten, sowie die Historie der Kunden- oder der Geschäftsbeziehung.
Speicherdauer: Bis Widerspruch oder Ende der Geschäftsbeziehung
Ein Widerspruch gegen diese Verarbeitung ist jederzeit durch eine Nachricht an uns oder an unsere postalische Anschrift möglich, sowie bei einem elektronischen Gruß über einen Abmeldelink.
Auftragsverarbeiter
Für diese Verarbeitung ziehen wir fallweise einen Auftragsverarbeiter (VSG Direktwerbung GmbH in Brunn am Gebirge) hinzu.
15. Registrierungsformulare
Zweck: Bereitstellung von Dienstleistungen (z. B. Newsletter, Whitepaper-Download)
Auf einigen Seiten unserer Website haben unsere Besucher die Möglichkeit, Registrierungsformulare für von uns angebotene Dienstleistungen (z. B. unseren Newsletter, Whitepapers-Download etc.) auszufüllen.
Rechtsgrundlage: Einwilligung, Vertragsbeziehung
Soweit es nach den einschlägigen gesetzlichen Bestimmungen zulässig ist, können wir Website-Nutzer mit Hilfe der von ihnen übermittelten Information auch direkt kontaktieren, um die von uns angebotenen Produkte vorzustellen.
Datenkategorien
Beim Ausfüllen dieser Formulare müssen Besucher in der Regel ihren Namen, ihre E-Mail-Adresse, ihr Unternehmen sowie andere für das Bereitstellen dieser Dienste erforderliche Information angeben. Darüber hinaus können Benutzer freiwillig weitere Information angeben, die es uns ermöglichen, ihnen einen noch persönlicheren Service zu bieten.
Speicherdauer: Bis Widerruf der Einwilligung, Widerspruch, Zweckerfüllung
Die Nutzer können der vorstehend beschriebenen Verwendung ihrer Daten jederzeit und ohne Angabe eines Grundes per E-Mail oder per Brief widersprechen.
16. Foto- und Videoaufnahmen bei unseren Veranstaltungen
Zweck: Öffentlichkeitsarbeit, Steigerung des Bekanntheitsgrades
Bei unseren Veranstaltungen (Sommerfest, Kabarett, Workshops, Seminare, … etc.) können Foto- und Videoaufnahmen angefertigt werden.
Die Aufnahmen werden zur Steigerung unseres Bekanntheitsgrades im Rahmen der Öffentlichkeitsarbeit (z.B. auf Marketingmaterialien, Werbespots, Folder etc.) und zur Darstellung in elektronischen Medien – Website, Social-Media-Kanäle und Newsletter – sowie in unseren Drucksorten (Kuvert, Brief, Zeitung), verwendet.
Rechtsgrundlage: Berechtigtes Interesse
Rechtliche Grundlage im Sinne des Art 6 Abs 1 lit f DSGVO ist unser berechtigtes Interesse, nämlich Öffentlichkeitsarbeit und Darstellung unserer Aktivitäten zur Erhöhung unseres Bekanntheitsgrades.
Nachdem wir im Vorfeld einer Veranstaltung auf das Anfertigen und auf die Verwendung der Fotos hinweisen und weil wir bei der Anfertigung von Fotos und auch bei der Veröffentlichung derselben darauf achten, dass keine schutzwürdigen Interessen von abgebildeten Personen verletzt werden, ist davon auszugehen, dass unser Interesse an der Anfertigung und Verwendung der Fotos nicht übermäßig in die Rechte und Freiheiten der natürlichen Personen eingreift. Sofern aus besonders berücksichtigungswürdigen Gründen die Rechte und Freiheiten einer abgebildeten Person verletzt sein sollten, werden wir durch geeignete Maßnahmen die weitere Verarbeitung unterlassen. Eine Löschung auf der Website oder in Social-Media-Kanälen erfolgt im Rahmen der technischen Möglichkeiten.
Datenkategorien: Foto- und Videoaufnahmen
Gemeinsame Verantwortlichkeit
Aktuell gehen wir davon aus, dass ein(e) Fotograf(in), der/die Fotoaufnahmen unserer Veranstaltungen anfertigt, mit uns gemeinsam verantwortlich für die Verarbeitung (Fotoaufnahme, Bearbeitung und Entwicklung) ist. Letztendlich entscheidet er/sie ohne unser Zutun über inhaltliche Fragen dieser Verarbeitung. Etwa wie lange die Fotos gespeichert werden, wer Zugriff auf die Fotos in ihren/seinen Räumlichkeiten hat und wer fotografiert wird. Im Rahmen einer zukünftigen Veranstaltung werden wir an dieser Stelle die diesbezüglichen Kontaktdaten bekanntgeben.
Widerspruch gegen die Verarbeitung
Es besteht das Recht gegen die Verarbeitung Widerspruch zu erheben. Der Widerspruch kann an uns gerichtet werden – oder direkt an den Fotografen/die Fotografin adressiert werden.
17. Cookies auf unseren Webseiten
Vorab: Schutz Ihrer Daten
Wir empfehlen Ihnen, Ihre Privatsphäre zu schützen und dementsprechend mindestens folgende Einstellungen vornehmen:
- Deaktivierung der Widget-Funktion (Widgets sind meistens ein Teil einer Anwendung, um deren schnelleren Start zu ermöglichen)
- Deaktivierung von Cookies –Informationen sind zum Beispiel hier zur finden: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-kontrollieren-und-verwalten-11996
- Verhinderung des seitenübergreifenden Trackings (zum Beispiel durch Nutzung des Ghostery-AddOn im Browser)
- Löschen des Browserverlaufs
Usercentrics Consent Management Platform
Zweck und Service Consent Management
Usercentrics Consent Management Platform ist ein Zustimmungs-Management-Dienst.
Die Zwecke der Datenerhebung und -verarbeitung sind Folgende:
- Einhaltung der gesetzlichen Verpflichtungen
- Einwilligungsspeicherung
Genutzte Technologien: Local Storage, Pixel
Rechtliche Grundlage: Rechtliche Verpflichtung
Die Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 S. 1 lit. c DSGVO.
Datenkategorien: Benutzer*inneneinstellung, IP Adresse, Consent ID, Zeitpunkt der Einwilligung, geografischer Standort
Folgende Daten werden durch die Nutzung dieses Dienstes gesammelt:
- Opt-in- und Opt-out-Daten
- Referrer URL
- User Agent
- Benutzer*inneneinstellungen
- Consent ID
- Zeitpunkt der Einwilligung
- Einwilligungstyp
- Template-Version
- Banner-Sprache
- IP-Adresse
- Geografischer Standort
Weitere gespeicherte Informationen:
- Name: uc_settings and/or ucString; Darin sind die ControllerID und SettingsID, die Sprache, die Einstellungsversion und die Dienste mit ihrem Einwilligungsverlauf enthalten.; Typ: web; Domain: usercentrics.com;
- Name: uc_user_interaction; Hiermit wird signalisiert, ob ein Nutzer bereits eine Einwilligung erteilt hat.; Typ: web;
- Name: ucData (optional); Hier werden Informationen zum Google Consent Mode gespeichert.; Typ: web;
- Name: uc_ui_version; Dieser Schlüssel gibt die von den Clients verwendete UI-Version an; Typ: web;
- Name: uc_user_country; Dies wird verwendet, um den Standort des Benutzers zu erkennen und die korrekte Version des CMP anzuzeigen.; Typ: web;
Ort der Verarbeitung: Europäische Union
Dies ist der primäre Ort, an dem die gesammelten Daten verarbeitet werden. Sollten Daten auch in anderen Ländern verarbeitet werden, werden Sie gesondert informiert.
Speicherdauer: Zweckerfüllung, Widerruf
Die Daten müssen gelöscht werden, sobald sie für die angegebenen Verarbeitungszwecke nicht mehr benötigt werden. Die Einwilligungsdaten (erteilte Einwilligung und Widerruf der Einwilligung) werden ein Jahr gespeichert. Die Daten werden danach gelöscht.
Auftragsverarbeiter: Usercentrics
Auftragsverarbeiter und somit Empfänger der erhobenen Daten ist:
Usercentrics GmbH
Sendlinger Str. 7
80331 München
Deutschland
Klicken Sie hier, um die Datenschutzbestimmungen zu lesen: https://usercentrics.com/privacy-policy/
Die E-Mail-Adresse des Datenschutzbeauftragten des verarbeitenden Unternehmens lautet wie folgt: datenschutz@usercentrics.com
18. Links, Videoplattformen, Social Media
Diese Website enthält Links zu anderen Seiten. Bitte beachten Sie, dass wir keine Verantwortung für den auf anderen Seiten praktizierten Datenschutz und die dort veröffentlichten Inhalte übernehmen.
19. Vimeo
Zweck: Einbindung von Videos zur Verbesserung der Webpräsenz
Auf unserer Seite verwenden wir Videos von der Videoplattform Vimeo für eine möglichst ansprechende Webpräsenz, um Einblicke in unseren Arbeitsalltag zu geben oder für Beiträge aus unserem Tätigkeitsfeld.
Rechtsgrundlage: Berechtigtes Interesse
Rechtsgrundlage für das Einbetten der Videos ist demnach unser berechtigtes Interesse nach Artikel 6 Abs 1 lit. f DSGVO.
Von Vimeo verarbeitete Datenkategorien: IP – Adresse, Sitzungsdauer, Browsertyp, Absprungrate, Betriebssystem, Geräteinformationen
Vimeo verarbeitet auf diese Weise folgende Daten: IP-Adresse, technische Infos über den Browsertyp, das Betriebssystem, grundlegende Geräteinformationen, Sitzungsdauer, Absprungrate oder auf welchen Button auf unserer Webseite mit eingebauter Vimeo-Funktion geklickt wurde.
Auftragsverarbeiter: Vimeo LLC (555 West 18th Street, New York 10011, USA)
Vimeo LLC (555 West 18th Street, New York 10011, USA) ist unser Auftragsverarbeiter.
Mit Hilfe eines Plugins werden Videos auf unserer Website eingebettet. Durch diese Einbindung werden personenbezogene Daten, nach Ihrer Zustimmung, durch die Einstellungen im Cookie-Banner bzw. durch das Starten der Videos, an Vimeo übertragen. Informationen zur Datenverarbeitung und Hinweise zum Datenschutz von Vimeo finden Sie unter https://vimeo.com/privacy.
Kontaktdaten, um die Rechte laut DSGVO gegenüber Vimeo wahrnehmen zu können, sind unter https://vimeo.com/privacy#how_to_contact_us zu finden.
Bitte beachten Sie, dass wenn Sie Videos ansehen und die Videos „teilen“ oder „liken“ kann es sein, dass weitere Cookies gesetzt werden – unter anderem auch von weiteren Drittanbietern wie Google oder Facebook. Weitere Informationen dazu finden Sie hier: https://vimeo.com/cookie_policy.
Drittlandübermittlung: USA
Eine Einwilligung zum vimeo Cookie bzw. die Nutzung von vimeo führt zu einem Datentransfer in die USA. Die Nutzung von vimeo ist laut Datenschutzerklärung von vimeo untrennbar mit dieser Datenübermittlung verbunden, weswegen eine entsprechende Zustimmung auch eine Zustimmung zu dieser Datenübermittlung darstellt. Problematisch ist, dass die amerikanischen Sicherheitsgesetze den zuständigen Behörden weitreichende Zugriffsbefugnisse auf personenbezogene Daten einräumen und europäische Bürgerinnen und Bürger vor amerikanischen Gerichten (bisher) keinen ausreichenden Rechtsschutz und keine Kontrolle über ihre personenbezogenen Daten erlangen können. Daher ist es für uns fraglich, ob das Datenschutzniveau ausreichend ist.
Am 10. Juli 2023 hat jedoch die Europäische Kommission ihren Angemessenheitsbeschluss zum EU-USA Datenschutzrahmen verabschiedet: Damit wird den USA ein angemessenes Datenschutzniveau bescheinigt. Dies erleichtert den Datentransfer in die USA deutlich, allerdings müssen sich US-Datenempfänger erst noch nach dem EU-U.S. Data Privacy Framework zertifizieren lassen. Dies ist unseres Wissens nach bei Vimeo mit Stand vom 19.01.2024 der Fall.
20. LinkedIn
Zweck: Interaktion, Bereitstellung von Informationen
Wir haben bei LinkedIn ein Unternehmensprofil – aufrufbar unter https://at.linkedin.com/company/direct-mind-arts/ (im Folgenden LinkedIn Page).
Zweck der LinkedIn Page ist es, Informationen über unsere Produkte und Informationen über uns und unsere Tätigkeit bereitzustellen. Auch können LinkedInknutzer*innen uns über die Fanpage kontaktieren.
Gemeinsame Verantwortlichkeit mit LinkedIn
Hierfür und für die Funktion „Page Insights“ haben wir mit LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland) eine Vereinbarung zur Gemeinsamen Verantwortung gemäß Art. 26 DSGVO abgeschlossen. Das heißt, dass bei einem Besuch unseres Unternehmensprofils personenbezogene Daten durch LinkedIn und uns verarbeitet werden. Die entsprechende Vereinbarung kann unter https://legal.linkedin.com/pages-joint-controller-addendum aufgerufen werden. Die LinkedIn Datenschutzerklärung ist unter https://de.linkedin.com/legal/privacy-policy zu finden.
Rechtsgrundlage: Berechtigtes Interesse, Vertragserfüllung
Rechtsgrundlage für den Austausch mit LinkedIn-Nutzer*innen und für die Präsentation unseres Unternehmens ist Art. 6 Abs 1 lit. f DSGVO („berechtigtes Interesse“). Möglicherweise zielt die Kommunikation über LinkedIn auch auf den Abschluss eines Vertrages ab (oder dient der Vertragsanbahnung). In einem solchen Fall ist die Rechtsgrundlage Art. 6 Abs 1 lit b DSGVO (Verarbeitung ist zur Erfüllung eines Vertrages notwendig).
Verarbeitete Datenkategorien
Mit Hilfe unseres Unternehmensprofils auf LinkedIn möchten wir uns als Unternehmen präsentieren und gegebenenfalls in Kontakt mit LinkedIn-Nutzer*innen treten. In einem solchen Fall können wir die in LinkedIn gespeicherten Daten zu einer Person abrufen. Möglicherweise verarbeiten wir also jene Informationen, die LinkedIn-Nutzer*innen in LinkedIn angegeben haben.
LinkedIn stellt uns, darüber hinaus, auch Analysen zu den Besucher*innen unseres Profils bereit. Hierbei handelt es sich um aggregierte Daten ohne Personenbezug. Diese Verarbeitung erfolgt ausschließlich im Verantwortungsbereich von LinkedIn.
Drittlandübermittlung: USA
Die LinkedIn Dienste machen erforderlich, dass Daten aus der Europäischen Union (EU), dem Europäischen Wirtschaftsraum (EWR) und der Schweiz in die Vereinigten Staaten von Amerika (USA) und zurück übertragen werden. Problematisch ist, dass die amerikanischen Sicherheitsgesetze den zuständigen Behörden weitreichende Zugriffsbefugnisse auf personenbezogene Daten einräumen und europäische Bürgerinnen und Bürger vor amerikanischen Gerichten (bisher) keinen ausreichenden Rechtsschutz und keine Kontrolle über ihre personenbezogenen Daten erlangen können. Daher ist es für uns fraglich, ob das Datenschutzniveau ausreichend ist.
Am 10. Juli 2023 hat jedoch die Europäische Kommission ihren Angemessenheitsbeschluss zum EU-USA Datenschutzrahmen verabschiedet: Damit wird den USA ein angemessenes Datenschutzniveau bescheinigt. Dies erleichtert den Datentransfer in die USA deutlich, allerdings müssen sich US-Datenempfänger erst noch nach dem EU-U.S. Data Privacy Framework zertifizieren lassen. Dies ist unseres Wissens nach bei LinkedIn mit Stand vom 19.01.2024 der Fall.
Speicherdauer: Benutzerdefiniert, bis zum Widerspruch
Mit Hilfe des LinkedIn-Kontos kann eingestellt werden, ob das Nutzer*innenverhatlten beim Besuch unseres Unternehmensprofils erfasst werden darf. Ein Widerspruch gegen die Datenverarbeitung durch LinkedIn kann über folgendes Formular geäußert werden: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.
21. Facebook Fanpages
Zweck: Interaktion, Bereitstellung von Informationen
Zweck der Fanpages ist es, Informationen über unsere Produkte und Informationen über uns und unsere Tätigkeit bereitzustellen. Auch können Facebooknutzer*innen uns über die Fanpage kontaktieren.
Unsere Facebook – Fanpages können Sie hier abrufen: https://de-de.facebook.com/DIRECTMIND/?ref=page_internal und https://www.facebook.com/p/Direct-Mind-Arts-100057241458526/
Gemeinsame Verantwortlichkeit mit Facebook (Meta Platforms, Inc)
Um diese Fanpage betreiben zu können, haben wir mit Facebook Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland) – nachfolgend bezeichnet als „Facebook“ – eine Vereinbarung zur Gemeinsamen Verantwortung gemäß Art. 26 Datenschutzgrundverordnung (DSGVO) abgeschlossen. Dies bedeutet, dass prinzipiell wir gemeinsam mit Facebook verantwortlich für die Datenverarbeitungen im Rahmen der Fanpage sind. Wie genau sich die Verantwortlichkeiten aufteilen ist hier https://www.facebook.com/legal/terms/page_controller_addendum nachzulesen. Wir haben bei der Gestaltung dieser Vereinbarung kein Mitspracherecht, weshalb wir an dieser Stelle festhalten möchten, dass wir Facebook vorwiegend als für die Verarbeitung verantwortlich sehen. Die Datenschutzerklärung von Facebook und weitere Informationen sind an den folgenden Stellen zu finden https://www.facebook.com/privacy/explanation und https://www.facebook.com/policy.php.
Um Ihre Rechte laut DSGVO gegenüber Facebook wahrnehmen zu können, kann der Facebook Datenschutzbeauftragten unter https://www.facebook.com/help/contact/540977946302970 kontaktieren werden oder das Facebook Profil angepasst werden. Unter https://www.facebook.com/help/568137493302217 ist eine Anleitung für letzteres zu finden.
Datenverarbeitungen, Rechtsgrundlage und Widerspruch: Kommunikation, Öffentlichkeitsarbeit, berechtigtes Interesse
Im Zuge unserer Kommunikation und abhängig von der jeweiligen Privatsphäreneinstellung können wir über Facebook sehen, wem unsere Beiträge gefallen, wer unsere Nachrichten abonniert hat und wer auf unserer Facebook-Fanpage ein Kommentar hinterlässt. Als Rechtsgrundlage dient uns hierfür unser berechtigtes Interesse nach Artikel 6 Abs 1 lit. f DSGVO: Die Facebook Fanpage ist, als weltweit relevante Plattform, für uns wichtig für unsere Öffentlichkeitsarbeit – um in Kontakt mit Interessenten zu treten und um unsere Produkte zu bewerben und Informationen über uns bereitzustellen.
Ein Widerspruch gegen diese Datenverarbeitung durch uns ist jederzeit möglich.
Facebook stellt darüber hinaus über die Funktion „Insights“ statistische Daten über die Besucher unserer Fanpage bereit. Diese Daten dienen dazu den Auftritt über die Fanpage bewerten zu können und zielgerichteter auf die Erfordernisse der Fanpagebesucher eingehen zu können. Dazu erhält man von Facebook ausschließlich anonymisierte Daten (ohne Personenbezug) und kann diese durch das Setzen von Filtern analysieren. Die Funktion „Insights“ ist nicht abschaltbar, wir könnten nur durch das Setzen von Filtern auf diese Verarbeitung einwirken. Im Gegensatz dazu, verarbeitet Facebook aber personenbezogene Daten und nützt diese für Marktforschungszwecken und Marketing. So kann Facebook beispielsweise genau auf das jeweilige Nutzerprofil zugeschnittene Anzeigen schalten. Informationen hierzu sind unter https://www.facebook.com/iq/tools-resources/audience-insights zu finden. Aktuell nützen wir die Funktion „Insights“ nicht, können diese Funktion aber auch nicht abschalten. Diese Entscheidung liegt bei Facebook allein.
Rechtsgrundlage für die Verwendung der Funktion „Insights“ ist wieder das berechtigte Interesse nach Artikel 6 Abs 1 lit. f DSGVO: Die Funktion ermöglicht dem Fanpagebetreiber die Fanpagebesucher zielgerichteter ansprechen zu können und damit mit weniger Streuverlusten zu kommunizieren. Auch kann der Fanpagebetreiber seinen Fanpageauftritt mit dieser Analysemöglichkeit verbessern.
Ein Widerspruch gegen diese Datenverarbeitung ist gegenüber Facebook prinzipiell möglich.
Drittlandübermittlung: USA
Das Aufrufen von Facebook, bzw. die Verwendung eines entsprechenden Accounts führt mit hoher Wahrscheinlichkeit zu einem Datentransfer in die USA. Die Nutzung von Facebook ist untrennbar mit dieser Datenübermittlung verbunden, die wir nicht beeinflussen können, weswegen eine entsprechende Verwendung auch eine Zustimmung zu dieser Datenübermittlung darstellt. Problematisch ist, dass die amerikanischen Sicherheitsgesetze den zuständigen Behörden weitreichende Zugriffsbefugnisse auf personenbezogene Daten einräumen und europäische Bürgerinnen und Bürger vor amerikanischen Gerichten (bisher) keinen ausreichenden Rechtsschutz und keine Kontrolle über ihre personenbezogenen Daten erlangen können. Daher ist es für uns fraglich, ob das Datenschutzniveau ausreichend ist.
Am 10. Juli 2023 hat jedoch die Europäische Kommission ihren Angemessenheitsbeschluss zum EU-USA Datenschutzrahmen verabschiedet: Damit wird den USA ein angemessenes Datenschutzniveau bescheinigt. Dies erleichtert den Datentransfer in die USA deutlich, allerdings müssen sich US-Datenempfänger erst noch nach dem EU-U.S. Data Privacy Framework zertifizieren lassen. Dies ist unseres Wissens nach bei Facebook (Meta Platforms Inc.) mit Stand vom 17.10.2024 der Fall.
Ergebnis Datenschutzfolgeabschätzung zu Facebook Fanpage (Kurzfassung)
Facebook überwacht seine Nutzer systematisch und erhebt deren personenbezogene Daten, auch sensible Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme. Diese Daten könnten von Facebook verknüpft und für Persönlichkeitsprofile verwendet werden. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Facebook-Nutzer/Nutzerin und damit Betroffene sein. Selbst das bloße passive Mitlesen von Facebook ohne eigenen Account schützt nicht von der Erhebung von Daten durch Facebook. Durch eine unsachgemäße Verwendung der von Facebook erhobenen Daten könnten Nutzer und Nutzerinnen diskriminiert werden und erhebliche soziale (ggfs auch finanzielle) Nachteile beziehen. Facebook ist darüber hinaus nur eingeschränkt überprüfbar, vor allem da die Daten der Nutzerinnen und Nutzer nicht innerhalb Österreichs, sondern in Irland/USA verarbeitet werden. So bestehen höhere Hürden für den Zugang zu (gerichtlichem) Rechtsschutz. Es ist unmöglich die Datenschutzmaßnahmen von Facebook zu überprüfen oder für deren Konformität zu garantieren. Genauso wenig kann an einer Vereinbarung mit Facebook mitgewirkt werden, oder Einfluss auf die Verantwortlichkeiten genommen werden. Auch ist es für uns unmöglich die Funktion Insights abzudrehen. Das Risiko für die Betroffenen ist folglich substantiell, eine Milderung nur durch die Betroffenen selbst möglich (durch Browser-Einstellungen, zum Beispiel). Unsere Fanpage verursacht dieses Risiko aber nicht und diese trägt auch nicht zu einer Erhöhung des Risikos bei. Am stärksten gefährdet sind jene Nutzer, die ohnehin ein Facebookprofil haben und dementsprechend in die Verarbeitung ihrer Daten durch Facebook eingewilligt haben. Kein Nutzer muss einen Facebook Account anlegen, um mit uns in Kontakt zu treten, hierfür gibt es genug andere Möglichkeiten und Kommunikationswege. In Angesicht dessen und unter Berücksichtigung der Tatsache, dass die mediale Präsenz eines Direktmarketingunternehmes stark zum Unternehmenserfolg beiträgt und somit die Präsenz auf einer globalen Plattform unabdingbar ist, ist das Betreiben der Fanpage akzeptabel, unter der Prämisse die aktuellen Entwicklungen weiterhin zu verfolgen und gegebenenfalls eine Ausstiegsstrategie zu entwickeln.
Einstellungen zum Schutz Ihrer Privatsphäre
Wir empfehlen Ihnen, Ihre Privatsphäre zu schützen und dementsprechend mindestens folgende Einstellungen vornehmen:
- Eröffnung des Nutzerkontos nur mit den zwingend notwendigen Daten.
- Deaktivierung der Widget-Funktion (Widgets sind meistens ein Teil einer Anwendung, um deren schnelleren Start zu ermöglichen)
- Deaktivierung von Cookies –Informationen sind zum Beispiel hier zur finden: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-kontrollieren-und-verwalten-11996
- Verhinderung des seitenübergreifenden Trackings (zum Beispiel durch Nutzung des Ghostery-AddOn im Browser)
- Löschen des Browserverlaufs
22. Externe Auftragsverarbeiter
Allgemeines
Für bestimmte Tätigkeiten im Zusammenhang mit unserer Website oder für postalische Aussendungen beauftragen wir externe Auftragsverarbeiter (ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) mit der Datenverarbeitung (z.B. Rechenzentren, Druckereien). Diese Auftragsverarbeiter verarbeiten die Daten ausschließlich nach unseren Weisungen, sind damit ebenfalls an diese Datenschutzerklärung gebunden und werden von uns kontrolliert. Die Auftragsverarbeiter dürfen die verarbeiteten Daten keinesfalls für ihre eigenen Zwecke nutzen.
Überblick über unsere externen Auftragsverarbeiter
Im Folgenden geben wir jene Auftragsverarbeiter an, mit denen wir ständig und regelmäßig zusammenarbeiten und die in den vorangegangenen Punkten noch nicht genannt wurden:
- VSG Direktwerbung GmbH (Industriestraße B18, 2345 Brunn/Gebirge) als Lettershop zu Personalisierung der Drucksorten
- Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien) zur Planung, Analyse und Durchführung der E-Mail-Kommunikation
- alliT GmbH (Technologiepark 17, 4320 Perg, Österreich) für den IT-Support
- W1 OMNICHANNEL MARKETING GMBH (Wollzeile 1, 1010 Wien)
für unseren Webauftritt
- everii Group GmbH (Colonnaden 41, 20354 Hamburg; „Deals&projects“) zur Verwaltung unserer Kunden, unserer Geschäftspartner und unserer Auftragsverarbeiter.
23. Webseite kultursummit.at
Allgemeines: Hosting über Squarespace
Unsere Kultursummit.at Website wird über Squarespace, Inc. (8 Clarkson St, 12th Floor, New York, NY 10014) gehostet. Squarespace ist ein Online-Plattform-Anbieter, der uns ermöglicht, unsere Website zu erstellen und zu verwalten. Informationen zur Verarbeitung von personenbezogenen Daten durch Squarespace finden Sie in der Datenschutzerklärung von Squarespace unter https://de.squarespace.com/datenschutz/.
Zweck der Verarbeitung: Bereitstellung der Webseite, Vertragserfüllung, Veranstaltungsorganisation, Öffentlichkeitsarbeit, Werbezwecke
Die gesammelten personenbezogenen Daten verarbeiten wir zur Vertragserfüllung bzw. Vertragsanbahnung, Geltendmachung von Vertragsansprüchen, für Zwecke des Kundenservice, Bereitstellung der Webseite, zur Durchführung und Organisation unserer Veranstaltungen, zur Öffentlichkeitsarbeit und für Werbezwecke.
Datenkategorien und Rechtsgrundlagen: Folgende Informationen werden ohne Ihr Zutun beim Besuch der Webseite automatisch erfasst und bis zur automatisierten Löschung temporär in einer Protokolldatei („Logfile“) gespeichert:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- verwendeter Webbrowser und verwendetes Betriebssystem
Die Daten werden gespeichert, um einen reibungslosen Verbindungsaufbau der Website und eine komfortable Nutzung meiner Website zu gewährleisten. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.
Außerdem verarbeiten wir fallweise folgende Kategorien personenbezogener Daten: Personenstammdaten, Kommunikationsdaten, Personalverwaltungsdaten, Vertragsdaten, Bankverbindungsdaten, Kommunikationsinhalte, Qualifikationsdaten, Finanzdaten, Online-Marketingdaten, Ausweisdokumente, Zugangsdaten, Fotos, Nutzer generierte Inhalte, Log/ Protokolldaten. Die personenbezogenen Daten werden je nach Verarbeitungszweck in unterschiedlichen Systemen gespeichert.
Die rechtlichen Grundlagen für die Verarbeitung Ihrer personenbezogenen Daten sind einerseits unser berechtigtes Interesse gemäß Art 6 Abs. 1 lit. f DSGVO, die Erfüllung unserer rechtlichen bzw. (vor-)vertraglichen Verpflichtungen gemäß Art 6 Abs. 1 lit. c und b DSGVO, sowie andererseits Ihre Einwilligung gemäß Art 6 Abs. 1 lit. a DSGVO (Newsletter, ggf. Cookies).
Speicherdauer: Vertragliche bzw. rechtliche Verpflichtung, Zweckerfüllung, Widerruf
Wir verarbeiten Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen. Darüber hinaus verarbeiten wir Ihre Daten bis zur Zweckerfüllung bzw. bis zum Widerruf Ihrer Einwilligung.
Kartenbestellformular
Im Rahmen der Nutzung unseres Kartenbestellformulars werden die von Ihnen in der Eingabemaske angegebenen Daten zum Zwecke der Bestellabwicklung bei uns verarbeitet und gespeichert und intern an die zuständige Abteilung weitergegeben. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung). Ihre Daten speichern wir gemäß Art 6 Abs. 1 lit. c DSGVO iVm §§ 190, 212 UGB und §§ 131 BAO ff für 7 Jahre (gesetzliche Aufbewahrungsfristen).
Einreichformular
Einmal im Jahr wird im Rahmen des Kultursummits der „Fundraising Innovation Contest“ veranstaltet. In Zuge dessen können Teilnehmer*innen ihre Projekte über das entsprechende Formular einreichen. Dabei werden die von Ihnen in der Eingabemaske angegebenen Daten zum Zwecke der Abwicklung des Gewinnspiels bzw. zur Geschäftsanbahnung verarbeitet. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Geschäftsanbahnung).
Ihre Daten werden nach abschließender Bearbeitung gelöscht. Dies ist dann der Fall, wenn sich aus den Umständen entnehmen lässt, dass der Sachverhalt abschließend geklärt ist und wenn keine gesetzlichen Aufbewahrungspflichten entgegenstehen und Sie der Verarbeitung Ihrer Daten zu Werbezwecken nicht zugestimmt haben.
Wenn Sie dem Erhalt unseres Newsletters zustimmen, erfolgt die Datenverarbeitung auf Basis der gesetzlichen Bestimmungen des Art 6 Abs. 1 lit. a (Einwilligung) DSGVO. Zweck der Verarbeitung ist es, Sie über unsere Produktneuheiten, Angebote und Events per E-Mail zu informieren. Eine Abmeldung (ein Widerruf der Einwilligung) ist durch den Abmeldelink im Newsletter möglich.
Cookies
Auf dieser Website erfassen und sammeln wir - im Rahmen des gesetzlich Zulässigen - bestimmte Informationen, die uns dabei helfen, die Anforderungen unserer Besucher bezüglich unserer Website und der angebotenen Services besser zu verstehen.
Unsere Kultursummit-Website verwendet sogenannte „Cookies“. Cookies dienen dazu, Ihren Browser bei späteren Seitenaufrufen wiederzukennen und die Angebote auf unserer Website entsprechend zu verbessern. Diese Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen.
Die meisten der von uns verwendeten Cookies sind jedoch "Session-Cookies". Sie werden nach Ende Ihres Besuchs automatisch gelöscht.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben oder für bestimmte Fälle bzw. generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
Folgende Cookies werden im Rahmen der Nutzung von Squarespace eingesetzt:
- Crumb: Verhindert Cross-Site Request Forgery (CSRF)
CSRF ist ein Angriffsvektor, der einen Browser dazu bringt, unerwünschte Aktionen in einer Anwendung auszuführen, wenn jemand angemeldet ist. Speicherdauer: Für die laufende Sitzung.
Drittanfrage
Eine Third-Party- oder Drittanfrage ist eine Anfrage an eine Domain, die nicht kultursummit.at oder eine ihrer Subdomains ist.
Es werden an folgende Drittanbieter-Domains Anfragen gesendet:
- static1.squarespace.com
- images.squarespace-cdn.com
- assets.squarespace.com
Die URLs static1.squarespace.com, images.squarespace-cdn.com und assets.squarespace.com sind statische URLs, die zur Übermittlung von Bildern und Dateien verwendet werden. Wenn beispielsweise ein Bild auf Squarespace hochgeladen wird, wird es von Content Delivery Network-Dienstleistern (CDNs) gespeichert. In Zuge dessen wird dem Bild eine bestimmte URL zum Speichern und Abrufen als statische Ressource zugewiesen. Ein Content Delivery Network-Dienstleister (kurz CDN-Dienstleister) ist ein Unternehmen, das eine Infrastruktur bereitstellt, die es ermöglicht, Inhalte wie Videos, Bilder oder Webseiten schnell und zuverlässig auszuliefern. Dabei wird das Content Delivery Network (CDN) genutzt, welches aus einer Vielzahl von Servern besteht, die weltweit verteilt sind. Wenn ein Nutzer auf eine Webseite zugreift, wird der Inhalt von dem Server geladen, der geographisch am nächsten ist. Dadurch wird die Ladezeit reduziert und das Nutzererlebnis verbessert.
CDN-Dienstleister bieten Unternehmen eine kosteneffektive Möglichkeit, Inhalte schneller und zuverlässiger an Nutzer auszuliefern, ohne dass das Unternehmen eine eigene Infrastruktur aufbauen muss.
Weitere Informationen dazu, finden Sie hier:
https://support.squarespace.com/hc/de/articles/205812748-Bild-und-Datei-URLs-in-Squarespace#toc-die-statische-url-deines-bildes-finden
Informationen dazu, wo Squarespace ihre Daten speichert, finden Sie hier:
https://support.squarespace.com/hc/de/articles/115012540827-Wo-speichert-Squarespace-meine-Daten-
Informationen darüber, wie Squarespace personenbezogene Daten als Datenverarbeiter verarbeitet, finden Sie in unserer Ergänzung zur Datenverarbeitung:
https://de.squarespace.com/dpa/
Alle Squarespace-Websites werden in Rechenzentren in den USA gehostet. Squarespace nutzt Standardvertragsklauseln, um Userdaten von der EU in Drittländer wie in die USA zu verschicken. Der Anbieter erklärt auf seiner Webseite, dafür technische und organisatorische Schutzmaßnahmen eingeführt zu haben. Weitere Informationen dazu können Sie unter folgendem Link abrufen: https://support.squarespace.com/hc/de/articles/360000851908-DSGVO-und-Squarespace#toc-wie--bertr-gt-squarespace-die-daten-von-kunden-und-besuchern-au-erhalb-der-eu-und-des-vereinigten-k-nigreichs-
24. Was passiert, wenn Sie uns eine E-Mail schicken?
Allgemein: Wir verwenden MS Outlook, dieses ist nicht cloudbasiert
Für das Versenden und Empfangen von elektronischen Nachrichten verwenden wir derzeit MS Outlook aus dem Microsoft Office-Paket „Microsoft Office Home and Business 2019“. Dieses Softwarepaket ist noch nicht Cloud-basiert - alle Dokumente und Daten befinden sich auf unseren Servern in Österreich.
Datenkategorien und Rechtsgrundlagen
Eine E-Mail besteht aus Kopfzeilen (dem „Header“) und dem so genannten „Body“ (dem eigentlichen Inhalt der E-Mail-Nachricht). Die meisten E-Mail-Programme zeigen die Kopfzeilen standardmäßig nicht an. Der Header enthält eine Liste mit technischen Details zur Nachricht, z.B. wer sie versendet hat, mit welcher Software sie verfasst wurde und über welche E-Mail-Server sie an den Empfänger weitergeleitet wurde. Darüber hinaus ist ersichtlich, ob die E-Mail-Übertragung geschützt war und ob sie ihr Ziel ohne Fehler oder Veränderungen erreicht hat. Diese Informationen helfen Spam- und Phishing-Angriffe zu vermeiden und sie unterstützen E-Mail-Dienstleister zwischen Spam und legitimen Nachrichten zu unterscheiden. Der E-Mail-Header ist ein wesentliches Element, um eine geschützte elektronische Kommunikation gewährleisten zu können.
Rechtsgrundlage für die Erhebung aller Daten und Informationen im Header ist Art. 6 Abs 1 lit c DSGVO („rechtliche Verpflichtung“) in Verbindung mit Art. 32 DSGVO („Sicherheit der Verarbeitung“). Diese Daten speichern wir – in Zusammenhang mit der Speicherung Ihrer Nachrichten an uns - gemäß §§ 24 Abs. 4, 29 DSG sowie § 1489 ABGB zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen für die Dauer von 3 Jahren (sofern kein Verfahren anhängig ist).
Im Zuge der Überprüfung Ihrer E-Mail werden folgende Daten von uns verarbeitet:
- Eingangsdatum und Uhrzeit Ihrer Nachricht
- Absender IP-Adresse
- Absender-E-Mail-Adresse
- Empfänger IP-Adresse
- Größe der Nachricht
- Übertragungszeit
- Betreff der E-Mail
- Sofern die E-Mail erfolgreich übermittelt wurde, erscheint diese grün.
Diese Daten erheben und speichern wir im Rahmen unserer gesetzlichen Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO („Sicherheit der Verarbeitung“) für einen Monat ab Eingang der E-Mail bei uns. Alle Daten werden nach einem Monat automatisch gelöscht.
Auftragsverarbeiter und Drittlandübermittlung: Microsoft, Sophos, USA, Großbritannien
Unser Auftragsverarbeiter im Zuge der Verwendung von MS-Outlook ist
Microsoft Ireland Operations, Ltd.
Attn: Data Privacy
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18, D18 P521, Irland
Den Datenschutzbeauftragten erreichen Sie unter https://www.microsoft.com/de-at/concern/privacy
Es kann nicht ausgeschlossen werden, dass Microsoft im Rahmen dieser Auftragsverarbeitung personenbezogene Daten in die USA (in ein Drittland) übermittelt (übermitteln muss).
Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss zum EU-USA Datenschutzrahmen verabschiedet: Damit wird den USA ein angemessenes Datenschutzniveau bescheinigt. Dies erleichtert den Datentransfer in die USA deutlich, allerdings müssen sich US-Datenempfänger erst noch nach dem EU-U.S. Data Privacy Framework zertifizieren lassen. Dies ist unseres Wissens nach bei Microsoft mit Stand vom 19.01.2024 der Fall. Darüber hinaus werden mit Microsoft die sog. EU-Standardvertragsklauseln abgeschlossen, die - ergänzt um technische und organisatorische Maßnahmen - eine Garantie für diese Datenübermittlung darstellen.
Sofern Sie uns eine elektronische Nachricht schicken, kann folgender Auftragsverarbeiter im Rahmen der Sicherstellung einer angemessenen Informations- und Systemsicherheit und zur Erkennung von Schadsoftware Zugriff auf Ihre personenbezogenen Daten erhalten:
Sophos Limited
The Pentagon
Abingdon Science Park, Abingdon
Oxfordshire, OX14 3YP, UK
dataprotection@sophos.com
Das Vereinigte Königreich Großbritannien und Nordirland ist mit Ablauf des 31.01.2020 aus der Europäischen Union ausgetreten. Seitdem gilt es als Drittland. Für Großbritannien gibt es einen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs 1 DSGVO wonach diesem Land ein angemessenes Datenschutzniveau bescheinigt wird. Deshalb ist eine Datenübermittlung nach Großbritannien möglich.
25. Ihre Datenschutzanfrage
Zweck und Datenkategorien
Im Rahmen der Bearbeitung von Datenschutzanfragen, verarbeiten wir jene personenbezogenen Daten, welche uns durch das jeweilige Ansuchen bekannt gegeben wurden, um diesbezügliche Suchabfragen in unseren Systemen durchzuführen. Des Weiteren speichern wir das von uns angefertigte Schreiben und den jeweiligen Antrag und ggf. eine Einschreibe- und Empfangsbestätigung und weitere Korrespondenz ab, um im Zweifelsfall einen Nachweis für die Erfüllung unserer Pflicht gemäß DSGVO erbringen zu können.
Einen Identifikationsnachweis in Form eines Lichtbildausweises speichern wir nicht ab. Wir vermerken im Antwortschreiben nur die Ausweisnummer, um bei Fragen hinsichtlich der Identifikation darauf verweisen zu können.
Speicherdauer: 3 Jahre
Nachdem Beschwerden bzw. zivilrechtliche Klagen bis zu 3 Jahre nach dem die Beschwerden auslösenden Ereignis bei der Datenschutzbehörde bzw. Schadenersatzklagen innerhalb der kurzen zivilrechtlichen Verjährungsfrist eingebracht werden können, speichern wir alle Daten, die uns im Zuge Ihres Antrages übermittelt werden, sowie Ihren Antrag und unser Antwortschreiben und ggf. die Einschreibebestätigung und Empfangsbestätigung nach § 24 Abs 4 DSG (sowie nach § 29 DSG und §1489 ABGB) für 3 Jahre (sofern kein Verfahren vorliegt) zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen.
Diese personenbezogenen Daten finden keinen Eingang in unsere Datenbank und dienen ausschließlich der Durchführung von Suchanfragen zur Beantwortung des Datenschutzbegehrens und der Dokumentation der Erfüllung unserer Pflichten laut DSGVO, werden also nicht für andere Zwecke verwendet und nicht an Dritte im Sinne des Art. 4 Abs. 10 DSGVO weitergegeben – außer es gibt hierfür einen rechtlichen Grund.
Der Zugriff auf die so gespeicherten Daten ist innerhalb unserer Systeme stark reglementiert. Eine Datenübermittlung an einen Empfänger in einem Drittland findet nicht statt. Es besteht im Rahmen der Beantwortung der Datenschutzbegehren keine automatisierte Entscheidungsfindung und keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO.
Übermittlung von Auskunftsschreiben: sftp-Server, Speicherung der IP-Adresse
Die Übermittlung von Auskunftsschreiben kann über unseren firmeninternen sftp-Server erfolgen. Hierbei erhält der Antragsteller oder die Antragstellerin einen Link, über welchem das Schreiben – nach der Eingabe eines Passwortes - bezogen werden kann. Dieser Link ist ein Monat gültig. Beim Zugriff auf unseren Server speichern wir die IP-Adresse des Zugreifenden, die Uhrzeit des Zugriffs und das Datum des Zugriffs. Rechtsgrundlage hierfür ist unsere gesetzliche Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung). Diese Daten löschen wir nach einem Monat vollständig. Die Zugangsdaten werden über einen eingeschriebenen Brief übermittelt.
Microsoft SQL Server für Datenbankabfragen
Wie eingangs erwähnt führen wir Datenbankabfragen durch. Unsere Direktmarketing - Datenbank ist ein Microsoft SQL Server und befindet sich - ebenso wie alle Sicherungskopien - in Österreich. Dieser Server ist nur von unserem internen Firmennetzwerk aus erreichbar und durch Firewalls geschützt. Für die Datenabfrage verwenden wir das Microsoft SQL Server Management Studio. Die Datenbankabfragen werden nicht auf Datenbankebene protokolliert.
In diesem Zusammenhang beauftragen wir Microsoft jedoch nicht mit der Verarbeitung personenbezogener Daten aus unserer Direktmarketing-Datenbank. Daher betrachten wir dieses Unternehmen in diesem Zusammenhang nicht als Auftragsverarbeiter.
26. Ihre Rechte
Auskunft, Löschung, Widerspruch, Berichtigung, Einschränkung und Beschwerde
Sie haben jederzeit das Recht auf Auskunft über die betreffenden personenbezogenen Daten. Soweit keine gesetzliche Aufbewahrungspflicht besteht, haben Sie das Recht auf Löschung dieser Daten sowie Widerspruch gegen die Verarbeitung. Ferner haben Sie das Recht auf Berichtigung der Daten sowie auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Beschwerde bei der Österreichischen Datenschutzbehörde (1030 Wien, Barichgasse 40 – 42).
Höchstpersönliche Rechte
Bitte beachten Sie, dass nach höchstgerichtlicher Rechtsprechung Betroffenenrechte höchstpersönliche Rechte sind und grundsätzlich nur von der betroffenen Person selbst geltend gemacht werden können. Eine Vertretung ist möglich, allerdings sind an das Vorliegen der Bevollmächtigung und bei der Identitätsfeststellung sehr strenge Maßstäbe anzulegen – insbesondere bei einem Auskunftsbegehren nach Art 15 DSGVO.
Sofern Sie Ihre Rechte wahrnehmen wollen, schreiben Sie uns am besten selbst!
Unsere Kontaktdaten
Wenden Sie sich bezüglich Ihrer Rechte oder bei Fragen zum Datenschutz entweder an uns über https://directmind.schuetzt-meine-daten.at, datenschutz@directmind.at oder postalisch an
DIRECT MIND GmbH
Technologiestraße 8
Postfach 207
A-1121 Wien