Datenschutz
Inhaltsverzeichnis
Navigation überspringen- 1. Ansprechpartner
- 2. Ihre Rechte im Allgemeinen
- 3. Datenverarbeitungen bei uns
- 3.1 Unser Unternehmensverbund
- 3.2 Allgemeiner Hinweis zu Cookies
- 3.3 Ärztliche Behandlungen
- 3.4 Ihr Kundenverhältnis mit uns
- 3.5 Direkte Kommunikation mit uns
- 3.6 Besuch unserer Internetseiten
- 3.7 Marketing-Kommunikation
- 3.8 Nutzung unserer Apps
- 3.9 Unsere Social Media-Profile
- 3.10 Lieferanten und Dienstleister
- 3.11 Stellenbesetzungen
- 3.12 Allgemeine Infrastruktur
1. Ansprechpartner
Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:
M1 Med Beauty Berlin GmbH
Grünauer Straße 5, 12557 Berlin
Telefon: 030 34 74 74 404 (kein Kundenservice!)
E-Mail: info@m1-beauty.de
Fragen zu unseren Produkten und Dienstleistungen, Adressänderungen oder den Widerruf von Einwilligungen richten Sie bitte direkt an unsere Geschäftsstelle (Tel.: 030 34 74 74 400, E-Mail: info@m1-beauty.de).
Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten:
Tel.: 030 34 74 74 492 | E-Mail: datenschutz@m1-beauty.de
Per Post an M1 Med Beauty Berlin GmbH, z. Hdn. Datenschutzbeauftragter, Grünauer Straße 5, 12557 Berlin
2. Ihre Rechte im Allgemeinen
Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO. Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.
- Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
- Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Art. 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
- Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Art. 16 DSGVO).
- Sie können von uns jederzeit Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Art. 15 DSGVO, § 34 BDSG).
- Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Art. 17 bzw. 18 DSGVO, § 35 BDSG).
- Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Art. 20 DSGVO).
- Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Berliner Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.
3. Datenverarbeitungen bei uns
Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.
Alle Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Art. 9 Abs. 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Abschließend steht die Möglichkeit im Raum, dass die Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgt (Art. 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Art. 8).
Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 18 Jahren richtet.
Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht allein aus dem Datenschutzrecht nach der DSGVO sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie. Die Vorschriften dieser Richtlinie haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.
3.1 Unser Unternehmensverbund
Wir bieten unsere Leistungen im Verbund an sowohl mit der M1 MVZ GmbH als ärztlicher Einrichtung in Deutschland (http://m1-mvz.de/) wie mit M1-Partnergesellschaften in anderen Ländern (siehe unsere Übersicht auf https://www.m1-beauty.de/fachzentren/#international). Grundsätzlich ist jede dieser Gesellschaften für die von ihr verarbeiteten Daten allein verantwortlich.
Regelmäßig tritt eine Gesellschaft in datenschutzkonformer Weise nach Artikel 28 DSGVO für andere verbundene Unternehmen als Auftragsverarbeiter auf.
In einigen Konstellationen greifen Gesellschaften auch gemeinsam auf Daten zu, um Ihnen eine optimale und auch grenzüberschreitende Versorgung anbieten zu können. So eine gemeinsame Nutzung von Daten erfolgt auf Grundlage eines Vertrags über die gemeinsame Verantwortung nach Artikel 26 DSGVO. Wo immer eine Verarbeitung in Form einer gemeinsamen Verantwortung erfolgt, weisen wir Sie in der nachfolgenden Beschreibung der einzelnen Verarbeitungen darauf hin.
Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.
3.2 Allgemeiner Hinweis zu Cookies
Unsere Internetseiten verwenden sogenannte Cookies. Dabei handelt es sich um meist kleine Datenpakete, die von Ihrem Browser auf Ihrem Gerät (Computer, Smartphone o. ä.) gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht.
Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern auch nach der ePrivacy-Richtlinie der EU, der Rechtsprechung des EuGH und deren Umsetzung in nationales Recht wie in Deutschland dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Die ePrivacy-Richtlinie unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essentiellen) Cookies und solchen, die es nicht sind. Essentielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essentielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z.B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt). Das TTDSG definiert die Zulässigkeit der Speicherung in Abhängigkeit von Ihrer Einwilligung.
Wegen der strengen Vorgaben der ePrivacy-Richtlinie und des TTDSG fragen wir Sie beim Aufruf unserer Internetseite nach Ihrem Einverständnis in das Setzen der nicht-essentiellen Cookies.
Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.
Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:
- Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.
- Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen, die Sie eigentlich gerne zulassen würden oder die eigentlich gar nicht zustimmungspflichtig sind.
- Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher.
- Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeiten an, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
- Ein Spezialfall: Google bietet Ihnen ein Browser-Plug-In zum Download an, das das Setzen der Google-Cookies unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de
Individuelle Cookie-Einstellungen
3.3 Ärztliche Behandlungen
3.3.1 Patientenakte
Beschreibung: Soweit Sie sich bei uns über unsere ärztlichen Leistungen informieren oder bei uns in ärztliche Behandlung begeben, erfolgt die Verarbeitung Ihrer Daten streng nach den geltenden Regelungen rund um die ärztliche Schweigepflicht. Unsere Ärztinnen und Ärzte sowie unser medizinisches Personal sind sowohl durch das Strafrecht (§ 203 StGB) wie das Berufsrecht der Ärzte zur absoluten Verschwiegenheit verpflichtet.
Die Schweigepflicht umfasst auch die Aussage, ob Sie sich bei uns in Behandlung befinden bzw. befunden haben. Die Schweigepflicht reicht über den Abschluss des Behandlungsvertrags hinaus und gilt auch nach Ihrem Tod weiter. Auch gegenüber Ihren Angehörigen, Partnern, Freunden, Arbeitgebern oder anderen Ihnen nahestehenden Personen sind wir zur Verschwiegenheit verpflichtet, soweit Sie uns nicht schriftlich von der Schweigepflicht entbinden. Die Vertraulichkeit gilt auch gegenüber Versicherungen, soweit es sich nicht um eine gesetzliche Kranken- oder Unfallversicherung handelt. Gegenüber Strafermittlungsbehörden steht uns gemäß § 53 Strafprozessordnung ein Zeugnisverweigerungsrecht zu.
Ausnahmen von der Schweigepflicht gelten im Rahmen der gesetzlichen Kranken- und Berufsunfähigkeitsversicherung, bei Meldepflichten nach medizinischen Registergesetzen (Tumorregister, Implantateregister u.a.), bei Gefährdungen des Kindswohls (§ 4 KKG) und zur Abwehr schwerwiegender Straftaten, deren Vorbereitung uns bekannt wird (§ 138 StGB).
Das medizinische Personal wird bereits in seiner Berufsausbildung im Datenschutz geschult und auf diesen verpflichtet. Der Zugriff durch nicht-medizinische Beschäftigte ist technisch durch ein Berechtigungskonzept entsprechend den Erfordernissen der jeweiligen Tätigkeit eingeschränkt. Alle Mitwirkenden verpflichten wir vor Aufnahme ihrer Tätigkeit bei uns auf den Datenschutz und schulen alle Beschäftigten im erforderlichen Umfang.
In technischer Weise gewährleisten wir Datensicherheit bei uns durch hohe Standards in der Informationssicherheit. Wir haben eine eigene IT-Abteilung und betreiben eigene Server an verschiedenen Standorten mit umfassenden Schutzmaßnahmen gegen Datenverlust oder unberechtigten Zugriff. Wir vermeiden das Speichern von Daten auf Endgeräten, die verloren gehen könnten.
Sämtliche Informationen zu den ärztlichen Behandlungen, die Sie bei uns in Anspruch nehmen, werden in unserem eigenem Krankenhausinformationssystem (KIS) erfasst. Auf das KIS haben neben uns die mit uns verbundenen ärztlichen Gesellschaften Zugriff. Wir bieten Ihnen Gesundheitsleistungen an verschiedenen Standorten und über verschiedene Gesellschaften an. Die Erfahrung zeigt, dass Patientinnen und Patienten unsere Leistungen an mehreren Standorten in Anspruch nehmen und dabei nicht immer eigenständig den vollen Umfang ihrer vorherigen Behandlungen zur Verfügung stellen können. Der standortübergreifende Zugriff auf die Daten dient Ihrer medizinischen Sicherheit, da unserem medizinischen Personal so an jedem Standort auch im europäischen Ausland der Zugriff auf Ihre Daten möglich ist. Auch hier ist der Zugriff technisch durch ein rollenbasiertes Berechtigungskonzept beschränkt.
Zusätzlich sind alle Beschäftigten darauf verpflichtet, nur auf die Patientendaten zuzugreifen, deren Einsicht für die Betreuung der Patientinnen und Patienten erforderlich ist.
Datenkategorien: Kontaktdaten (Name, Adresse, Telefon, E-Mail), Geburtsdatum, Versicherungsdaten (Versicherer, Versichertennummer), Angehörigendaten (Name, Verwandtschaftsbeziehung, Kontaktdaten, Schweigepflichtentbindungen), Hausarzt und andere Fachärzte, Termine und Behandlungshistorie, Aufklärungs- und Beratungsdokumentation, Diagnosedaten (medizinische Befunde (Vorgeschichte, Vorerkrankungen, persönliche Untersuchung) und Messwerte (z.B. Größe, Gewicht), medizinische Laborwerte, Röntgen-, Foto- und Videoaufnahmen), Zahnabdrücke und Modelle, Diagnosen und Behandlungsempfehlungen, Behandlungsdokumentation (Behandlungsverlauf, eingesetzte Medikamente und deren Dosierung, eingesetzte Implantate und deren Seriennummer), Ernährungsdaten (bei stationärer Versorgung)
Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.
Soweit Patientinnen oder Patienten ihre Rechte aus der DSGVO geltend machen wollen, wenden sie sich möglichst direkt an die M1 Med Beauty Berlin GmbH (Kontakt siehe oben). Es steht den betroffenen Personen aber frei, sich mit ihrem Anliegen auch direkt an die sie behandelnde Gesellschaft zu wenden.
Ein Drittstaatentransfer findet statt in die Schweiz und das Vereinigte Königreich von Großbritannien und Nordirland („UK“). Für die Schweiz besteht ein Angemessenheitsbeschluss nach Artikel 45 DSGVO, für UK gilt bis 31.12.2020 die unmittelbare Geltung der DSGVO fort.
Zweck + Rechtsgrundlage: Ärztliche Behandlungsdokumentation. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO (Gesundheitsbehandlung) und § 630f Abs. 1 BGB (Dokumentation der Behandlung).
Speicherdauer: 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB) bei Unterspritzungen, 30 Jahre bei Operationen, in denen ein Implantat eingesetzt wird und Röntgenaufnahmen. Wir behalten uns vor, die Aufbewahrungsfristen im Zusammenhang mit der Umsetzung des Implantateregisters entsprechend den dann gültigen Vorgaben anzupassen, siehe 3.3.2.
3.3.2 Implantateregister
Beschreibung: Einige Patientinnen und Patienten erhalten von uns Implantate. Solche Implantate sind entsprechend den hohen Sicherheitsmaßstäben für Medizinprodukte mit einer individuellen Seriennummer versehen. Zusätzlich gilt seit 1. Januar 2020 für Ärzte die Pflicht, Implantate und die Namen der Patienten, die sie erhalten haben, dem gesetzlichen Implantateregister zu melden, das beim Deutschen Institut für Medizinische Dokumentation und Information, einer staatlichen Einrichtung des Bundesgesundheitsministeriums, geführt wird.
Die Umsetzung dieser Pflicht ruht, bis die entsprechende Rechtsverordnung für die Durchführung des Meldeverfahrens vom Bundesgesundheitsministerium erlassen wurde.
Weitere Informationen zum Implantateregister finden Sie hier: https://www.dimdi.de/dynamic/de/medizinprodukte/implantateregister-deutschland/
Datenkategorien: Name, Kontaktdaten, Art des Implantats, Zeitpunkt des Einsetzens, Hersteller des Implantats, Seriennummer, weitere vom Implantateregister vorgesehene Informationen.
Datenempfänger (ggf. Drittstaatentransfer): Deutsches Institut für Medizinische Dokumentation und Information, Waisenhausgasse 36-38a, 50676 Köln. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Erfüllung der Rechtspflicht aus dem Implantatregistergesetz. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO.
Speicherdauer: Wird durch Rechtsverordnung festgelegt.
3.3.3 Implantate mit RFID-Chip
Beschreibung: Einige Patientinnen und Patienten erhalten Implantate mit einem sogenannten RFID-Chip (Radio Frequenzy Identification). In den Chips ist allein die Seriennummer des Implantats gespeichert. Über den Chip ist es über das entsprechende Lesegerät möglich, die Seriennummer über eine kleine Distanz hinweg auszulesen.
Diese Funktion ist hilfreich, wenn eine Patientin oder ein Patient z.B. bei Beschwerden oder Sorgen wegen Ihres Implantats ihren Implantatepass nicht zur Verfügung hat. Dann kann die Seriennummer über ein entsprechendes Lesegerät unkompliziert ausgelesen werden.
Der Einsetzen eines Implantats mit RFID-Chip stellt keine Datenverarbeitung dar. Kommen aber Patientinnen oder Patienten zu uns und wünschen von uns das Auslesen der Seriennummer, ist dieser Vorgang eine Datenverarbeitung, die wir nur mit dem Einverständnis der Implantatsträger vollziehen.
Datenkategorien: Seriennummer des Implantats, daran anschließend Hersteller und Modell des Implantats
Datenempfänger (ggf. Drittstaatentransfer): keiner
Zweck + Rechtsgrundlage: Ermittlung der Seriennummer eines Implantats mit RFID-Chip. Rechtsgrundlage ist Einwilligung nach Artikel 9 Abs. 2 lit. a DSGVO.
Speicherdauer: 30 Jahre (siehe Patientenakte)
3.3.4 Covid-Testcenter
Beschreibung: Wir erheben Ihre Daten und entnehmen eine Probe bei Ihnen, um Sie über eine mögliche Infektion zu informieren. Auf freiwilliger Basis kann Sie auch Ihr Arbeitgeber zu einer Testung anmelden.
Covid-Antigen-Schnelltests werden sofort bei der Testung ausgewertet und nicht an ein Labor weitergeitet.
Covid Antikörpertests (RT-PCR-Test) werden im Labor ausgewertet. Dazu werden Ihre Daten incl. der entnommenen Probe an das durch uns beauftragte Labor versendet.
Weiterhin besteht mit Firma Melos - Medizinische Labor-Organisations-Systeme GmbH eine Kooperation, die das Hosting der Webseite, den Betrieb des Webshops und die Laborleistungen betrifft.
Regelmäßig tritt die Gesellschaft in datenschutzkonformer Weise nach Artikel 28 DSGVO für andere verbundene Unternehmen als Auftragsverarbeiter auf. Weitere Informationen finden Sie auf der Webseite des Testcenters, unter: https://www.covid-testcenter.de/datenschutzerklaerung/
Datenkategorien: Anmeldedaten (Name, E-Mail-Adresse, Passwort), Kontaktdaten (Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Geburtsdatum, ggfls. Angaben zu Ihrem Arbeitgeber.
Datenempfänger (ggf. Drittstaatentransfer): Kein Drittstaatentransfer. In unserem Datenerhebungsbogen können Sie sich auf freiwilliger Basis mit einer Datenweiterleitung Ihres Testergebnisses an eine/n Covidbeauftragte/n Ihres Arbeitgebers einverstanden erklären. Bei positivem Testergebnis sind das Labor und wir gesetzlich verpflichtet, Ihre personenbezogen Daten an das für Sie zuständige Gesundheitsamt weiterzuleiten. Eine Weiterleitung durch das Gesundheitsamt an weitere Behörden liegt in der Verantwortung des Gesundheitsamts.
Zweck + Rechtsgrundlage: Auf freiwilliger Basis können wir zur Erhebung Ihrer Daten Ihren Personalausweis scannen. Ihr Einverständnis dazu wird in unserem Kundendatenerhebungsbogen abgefragt und erfolgt auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO. Die Weiterleitung an das Gesundheitsamt erfolgt auf Grundlage der Vorgaben aus dem Infektionsschutzgesetz. Dieses kann in der Folge Infektionsschutzmaßnahmen einleiten.
Speicherdauer: Wir speichern Ihr Kundenkonto bis zu sechs Jahre nach Abschluss des letzten Kundenkontakts. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht (§ 257 HGB).
3.4 Ihr Kundenverhältnis mit uns
3.4.1 Persönliches Benutzerkonto (Webshop)
Beschreibung: Sie können auf unserer Internetseite für die Nutzung unseres Webshops ein persönliches Benutzerkonto anlegen. Über dieses Konto können Sie Ihre Einkäufe bei uns verwalten. Bestellte Waren und Rechnungen schicken wir Ihnen an die hierzu hinterlegten Adressen.
Für die Funktion „angemeldet bleiben“, die es Ihnen erspart bei Ihrem nächsten Besuch erneut Ihre Anmeldedaten einzugeben, setzen wir ein Cookie (PHPSESSID, Speicherfrist Session (Browsersitzung)). Hierbei handelt es sich um einen essentiellen Cookie, dessen Setzen keiner Einwilligung bedarf.
Datenkategorien: Anmeldedaten (Name, E-Mail-Adresse, Passwort), Kontaktdaten (Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Geburtsdatum, Aktivitätenhistorie (Zeitpunkt von Login, Logout, Abschluss der Bestellung sowie vergleichbare Aktivitäten während des Bestellvorgangs), Status Auto-Login
Datenempfänger (ggf. Drittstaatentransfer): Eine Datenweitergabe findet nicht statt. Unser Dienstleister für das Webhosting ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet und sitzt in Deutschland. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Der Betrieb Ihres Benutzerkontos dient der Erfüllung unserer entsprechenden Nutzungsvereinbarung für den Webshop. Rechtsgrundlage ist entsprechend Erfüllung unserer Vertragspflichten Ihnen gegenüber.
Speicherdauer: Ihre Kundendaten bleiben aktiv bis Ihre Kundenbeziehung mit uns endet. Anschließend speichern wir die Daten abhängig von den jeweiligen Aufbewahrungspflichten, die unsere Geschäftsbeziehung betreffen.
3.4.2 Warenkorb-Funktion
Beschreibung: Unsere Internetseite bietet eine Warenkorbfunktion an, über die von Ihnen ausgewählte Leistungen bereits vor Abschluss des Bestellvorgangs und auch ohne Anmeldung über ein persönliches Benutzerkonto gesammelt und gespeichert werden können. Diese Funktion dient dazu, die Nutzung des Bestellvorgangs für Sie so komfortabel wie möglich zu gestalten.
Die Warenkorbfunktion funktioniert über sogenannte Funktions-Cookies (woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_, woocommerce_recently_viewed, store_notice[notice id], tk_ai,, Speicherfrist 2 Tage). Das bedeutet, dass der Warenkorb nicht in unseren Systemen gespeichert wird sondern bei Ihnen. Sobald der Cookie aus Ihrem Browser gelöscht ist, ist auch der Inhalt des Warenkorbs gelöscht. Hierbei handelt es sich um einen essentiellen Cookie, dessen Setzen keiner Einwilligung bedarf.
Datenkategorien: Benutzer-ID (Zuweisung erfolgt über den Cookie in Ihrem Browser) und Aktivitätenhistorie (konkret: Inhalte im Warenkorb)
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Der Warenkorb-Cookie dient dazu, Sie während Ihrer Bewegungen über unsere Seiten und im Falle einer Unterbrechung des Besuchs bei Ihrer Rückkehr wiederzuerkennen und ggf. den Inhalt des Warenkorbs auszulesen und Ihnen erneut bzw. fortlaufend im Bestellvorgang anzeigen zu können. Rechtsgrundlage ist entsprechend Vorbereitung eines Vertrags.
Speicherdauer: Bis Sie den Cookie aus Ihrem Browser löschen bzw. bis zum Ablaufdatum des Cookies.
3.4.3 Kundendatenbank (CRM)
Beschreibung: Wir pflegen Ihre Daten in unserer Kundendatenbank im Sinne eines Customer Relation Management (CRM). Im CRM speichern wir Ihre Vertrags- und Rechnungsdaten sowie die Historie Ihrer Kundenbeziehung mit uns. Über das CRM erfolgen auch die Terminvereinbarungen mit Ihnen. Aus dem CRM steuern wir die Kommunikation mit Ihnen, die unabhängig von unseren Marketing-Maßnahmen erfolgt (hierfür siehe die Verarbeitung „Newsletter-Anmeldung“), also z.B. Rechnungsversand oder Antworten auf direkte Fragen von Ihnen.
Soweit Sie bei uns ein Benutzerkonto für unseren Webshop eingerichtet haben, greift unser CRM auf Ihre dort gespeicherten Daten zu. Haben wir Sie als Patientin oder Patienten in unsere Patientendatenbank (KIS) aufgenommen, greift unser CRM auf Ihre allgemeinen Daten im KIS (z.B. Ihre Kontaktdaten) zu. Ein Zugriff auf medizinische Diagnosedaten oder andere Details der ärztlichen Behandlung findet nicht statt.
Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Termine, Geburtsdatum/Alter, Aktivitätenhistorie, Marketing-Einwilligungen.
Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.
Zweck + Rechtsgrundlage: Nutzung eines CRM-Systems, das uns eine ganzheitliche Betreuung unserer Kunden von der Kontaktaufnahme bis zur Abrechnung ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, da die Nutzung des CRM die Rechte und Freiheiten der Betroffenen in nur unerheblichem Maß tangiert und zugleich das Serviceniveau steigert.
Speicherdauer: Wir speichern Ihr Kundenkonto bis zu sechs Jahre nach Abschluss des letzten Kundenkontakts. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht (§ 257 HGB).
3.4.4 Abrechnung Ihrer Bestellung
Beschreibung: Soweit Ihre Bestellung bei uns nicht online bestellt und über Kreditkarte oder PayPal bezahlt wird, rechnen wir über Rechnung oder Bankeinzug (Lastschrift) mit Ihnen ab. Rechnungen werden intern bei uns erstellt und versandt. Lastschrift ziehen wir über unsere Hausbank ein. Ihre Zahlungsdaten werden dazu aus unserem Webshop verschlüsselt an uns übertragen und von uns verschlüsselt an unsere Bank weitergegeben.
Datenkategorien: Ihr Name, Ihre Bankverbindung, Rechnungsnummer, Rechnungsbetrag
Datenempfänger (ggf. Drittstaatentransfer): Unsere Hausbank, die als Finanzdienstleister dem Bankgeheimnis unterfällt. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Zahlungsabwicklung. Rechtsgrundlage ist für uns Vertragserfüllung und erfolgt durch unsere Hausbank im Rahmen eines berechtigten Interesses, da es sich um einen Dienstleister unter der Kontrolle der Bankenaufsicht handelt.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).
3.4.5 Versand Ihrer Bestellung
Beschreibung: Wir verschicken bestellte Waren per Post, Kurierdienst, Spedition oder ein vergleichbares Logistikunternehmen. Die Einhaltung des Datenschutzes durch diese Dienstleister ist im Postgesetz ergänzend zur DSGVO geregelt und wird vom Bundesdatenschutzbeauftragten überwacht.
Zusätzlich zur Postanschrift verlangen Versanddienstleister heutzutage die E-Mail-Adresse der Empfängerin bzw. des Empfängers, um Benachrichtigungen zum voraussichtlichen Zustelltermin und einen individuellen Trackingcode für die Sendungsnachverfolgung eigenständig übermitteln zu können. Die so etablierte Kommunikation zwischen Logistikunternehmen und Sendungsempfänger/in erleichtert den Zustellvorgang für beide Seiten. Die Logistikunternehmen stellen uns die Tracking-ID zur Verfügung, damit unser Service-Team bei Schwierigkeiten mit der Zustellung Fragen zum Versandstatus beantworten kann.
Datenkategorien: Name + Anschrift; E-Mail-Adresse, Tracking-ID des Logistikunternehmens
Datenempfänger (ggf. Drittstaatentransfer): Logistikunternehmen, die dem Postgeheimnis unterfallen. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.
Zweck + Rechtsgrundlage: Zustellung bestellter Ware. Rechtsgrundlage für die Übergabe der Postadresse ist Vertragserfüllung. Die Übergabe der E-Mail-Adresse folgt einem berechtigten Interesse, da eine Kommunikation von Tracking-IDs zur Sendungsverfolgung zum Normalfall geworden ist.
Speicherdauer: Die Dokumentation des Versandvorgangs ist nach den Vorgaben des Handelsrechts als Geschäftsbrief sechs Jahre zu speichern (§ 257 HGB).
3.4.6 Zahlungsdienstleister (PayPal)
Beschreibung: In unserem Webshop können Sie Ihre Bestellung über den Finanzdienstleister PayPal bezahlen. Aus unserem Webshop wird dazu eine verschlüsselte Verbindung zu PayPal hergestellt, über die wir PayPal eine Transaktionsnummer sowie den Rechnungsbetrag kommunizieren und Sie zur Freigabe Ihrer Zahlung an PayPal weiterleiten. PayPal erhält außer dem Rechnungsbetrag von uns keine Informationen zu den von Ihnen bestellten Produkten. Wir erhalten von PayPal keine Informationen über Ihre Bankverbindung oder Kreditkarte. PayPal meldet uns einzig zurück, wenn der Rechnungsbetrag für eine von uns generierte Transaktionsnummer uns gut geschrieben werden konnte.
Hinsichtlich aller Vorgänge bei PayPal ergibt sich der Datenschutz aus Ihrer eigenständigen Vertragsbeziehung mit PayPal.
PayPal unterliegt als Finanzdienstleister der europäischen Bankenaufsicht. Details zum Datenschutz bei PayPal finden Sie auf: https://www.paypal.com/de/webapps/mpp/ua/privacy-full
Datenkategorien: Transaktionsnummer und Rechnungsbetrag, weitere personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen.
Datenempfänger (ggf. Drittstaatentransfer): PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über Ihr PayPal-Konto. Rechtsgrundlage ist sowohl für PayPal wie für uns jeweils Vertragserfüllung.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).
3.4.7 Zahlungsdienstleister Sofortüberweisung (Klarna)
Beschreibung: In unserem Webshop können Sie Ihre Bestellung über den Dienst Sofortüberweisung bezahlen. Für die Abwicklung von Sofortüberweisungen nutzen wir den Service des Finanzdienstleisters Klarna. Aus unserem Webshop wird dazu eine verschlüsselte Verbindung zu Klarna hergestellt, über die wir eine Transaktionsnummer sowie den Rechnungsbetrag kommunizieren und Sie zur Überprüfung Ihrer Bankverbindungsdaten an Klarna weiterleiten.
Klarna und damit auch Ihr kontoführendes Finanzinstitut erhalten außer dem Rechnungsbetrag und unserem Namen als Gläubiger von uns keine Informationen zu den von Ihnen bestellten Produkten. Wir erfassen oder speichern bei uns keine Daten zu Ihrer Bankverbindung, sondern speichern nur die entsprechende Transaktionsbestätigung von Klarna, wenn der Rechnungsbetrag für eine von uns generierte Transaktionsnummer uns gut geschrieben werden konnte.
Hinsichtlich aller Vorgänge bei Klarna ergibt sich der Datenschutz aus Ihrer eigenständigen Vertragsbeziehung mit Klarna. Wir stellen insoweit nur den Transfer zu diesem eigenständigen Dienstleister als Zahlungsoption für Sie zur Verfügung.
Klarna unterliegt als Finanzdienstleister der europäischen Bankenaufsicht. Details zum Datenschutz bei Klarna finden Sie auf: https://www.klarna.com/sofort/datenschutz/
Datenkategorien: Transaktionsnummer und Rechnungsbetrag, weitere personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen.
Datenempfänger (ggf. Drittstaatentransfer): Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über den Dienst Sofortüberweisung. Rechtsgrundlage ist sowohl für Klarna wie für uns die Vertragserfüllung.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).
3.4.8 Zahlung mit Maestro- oder Kreditkarten am Lesegerät
Beschreibung: In unseren Fachzentren können Sie mit Maestro- und Kreditkarten bezahlen. Das dafür eingesetzte Kartenlesegerät übermittelt die Daten Ihrer Karte in Verbindung mit dem Zahlbetrag an den Netzbetreiber, der uns das Lesegerät zur Verfügung stellt. Der Netzbetreiber verarbeitet die Daten zur Zahlungsabwicklung, zur Verhinderung von Kartenmissbrauch, zur Begrenzung des Risikos von Zahlungsausfällen und zu gesetzlich vorgegebenen Zwecken wie z.B. zur Geldwäschebekämpfung. Zu diesen Zwecken werden Ihre Daten nach den Vorgaben des Finanzmarktrechts auch an weitere verantwortliche Stellen übermittelt.
Wir als Zahlungsempfänger und der Netzbetreiber sind unabhängig voneinander verantwortlich für die Verarbeitung Ihrer Daten, jeweils in unserem technischen Einflussbereich. Wir sind verantwortlich für den Betrieb des Kartenlesegeräts an der Kasse und für unser internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.
Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Verschlüsselung, Risikoprüfung und die weitere Übermittlung ist die InterCard AG, Mehlbeerenstraße 4, 82024 Taufkirchen bei München, https://www.intercard.de/. Datenschutzinformationen für Karteninhaber zu kartengestützten Zahlungen finden Sie unter: https://www.intercard.de/sites/default/files/intercard_datenschutzinformation_fuer_karteninhaber_1808.pdf.
Daten, die auf Ihrer Karte gespeichert sind, erhalten wir direkt von Ihnen, indem wir sie von der Karte auslesen. Ihre PIN und Ihre Unterschrift erhalten wir von Ihnen. Soweit für die Prüfung der Kartenzahlung (Autorisierung) oder für die Rückabwicklung einer Kartenzahlung erforderlich, verarbeiten wir auch Daten, die uns von Dritten (z. B. Ihrer Bank oder einer Kreditauskunftei) berechtigt übermittelt werden.
Ihre PIN-Eingabe wird kryptographisch gesichert und durch das kartenausgebende Institut geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.
Außer uns und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten vom Zahlungsempfänger weitergegeben, und zwar an die folgenden Stellen:
- das Zahlungskartensystem, z.B. Visa oder Mastercard
- Ihre kartenausgebende Bank und die Bank des Acquirers
- die von den Kreditkartenorganisationen zwischengeschalteten Stellen, die Abrechnung (auch „Clearing und Settlement“ genannt) von Zahlungen übernehmen
- Strafverfolgungsbehörden, in den gesetzlich vorgesehenen Fällen • Geldwäschemeldestellen, in den gesetzlich vorgesehenen Fällen.
Der Acquirer leitet Ihre Daten an das Zahlungskartensystem weiter. Die meisten globalen Zahlungskartensysteme haben ihren Hauptsitz sowie Datenverarbeitungssysteme in Drittländern, d.h. außerhalb des Europäischen Wirtschaftsraums. Die Weiterleitung erfolgt zu dem Zweck, um Ihre Zahlung zu autorisieren und auszuführen. Der Acquirer leitet Ihre Daten an das Zahlungskartensystem und damit bei globalen Zahlungskartenverfahren an einen Standort außerhalb des Europäischen Wirtschaftsraums weiter. Dies erfolgt gemäß den jeweils dafür geltenden gesetzlichen Anforderungen, etwa zum Zweck der Erfüllung des Vertrages mit dem ausländischen Zahler, und um Ihre Zahlung zu autorisieren und auszuführen.
Über die Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in den Datenschutzbestimmungen Ihres Kartenanbieters.
Datenkategorien: Kartendaten (IBAN bzw. Kontonummer und Bankleitzahl, Kartenverfallsdatum und Kartennummer, Kartentyp), Zahlungsdaten (Betrag, Datum, Uhrzeit, Kennung des Kartenlesegeräts (Ort, Unternehmen und Filiale, in der Sie zahlen)), Prüfdaten Ihres kartenausgebenden Instituts (Ihre Unterschrift, PIN), Rücklastschriftdaten (Informationen über die Nichteinlösung einer Lastschrift durch Ihre Bank oder den Widerruf einer Lastschrift durch Sie), Forderungsdaten (Wenn eine Rücklastschrift erstellt wird: Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, ggf. Einkaufsbeleg)
Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über Ihren Kartenanbieter. Rechtsgrundlage ist sowohl für Ihren Kartenanbieter als auch für uns Vertragserfüllung.
Datenempfänger (ggf. Drittstaatentransfer): Ihre Daten werden weitergegeben an Ihre Bank, unsere Bank, die Stellen, die vom deutschen Kreditgewerbe für das Clearing und Settlement von Zahlungen bestimmt werden, Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen, Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen, Kreditauskunfteien im Falle einer Rücklastschrift. Eine Übermittlung in Drittstaaten findet nicht statt.
Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).
3.5 Direkte Kommunikation mit uns
3.5.1 E-Mail-Kommunikation
Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absenderadresse, Zeitpunkt des Versands etc.) werden auf dem eigenen E-Mail-Server der M1 Med Beauty Berlin GmbH, der nach aktuellem Stand der Technik geschützt und gesichert ist, gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets).
Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.
E-Mail Verschlüsselung: E-Mails können unverschlüsselt, transportverschlüsselt und Ende-zu-Ende-verschlüsselt verschickt werden. Standard ist ein transportverschlüsselter Versand, einen gänzlich unverschlüsselten Versand bieten wir nicht an. Transportverschlüsselung bedeutet, dass die Kommunikation fast durchgängig verschlüsselt ist, die E-Mails aber unverschlüsselt auf den Servern der Postfachanbieter liegen.
Da wir einen eigenen E-Mail-Server betreiben, entspricht die Verschlüsselung auf unserer Seite einer Ende-zu-Ende-Verschlüsselung. Auf Ihrer Seite ist der Zugriff auf Ihre E-Mail-Inhalte davon abhängig, bei welchem Anbieter Sie Ihre E-Mails speichern und welche Dritten darauf zugreifen dürfen. Abhängig vom nationalen Standort Ihres Providers ist, welche staatlichen Einrichtungen auf Ihre E-Mails zugreifen dürfen.
Ende-zu-Ende-Verschlüsselung schließt auch den Zugriff beim Provider aus. Nur Sender und Empfänger können die Inhalte der E-Mails lesen.
Wir können Ihnen auf zwei Wegen E-Mails mit Ende-zu-Ende verschlüsselten Inhalten zukommen lassen. Sie erhalten von uns eine durch unsere Firewall verschlüsselte E-Mail, die Sie mit einem Passwort öffnen können, das Sie in einer zweiten E-Mail zugestellt bekommen. Dieses Passwort wird für jede E-Mail nur einmal ausgestellt und sollte von Ihnen sicher gespeichert werden. Wenn Sie die Antworten-Funktion dieser E-Mail nutzen, wird Ihre Antwort an uns ebenfalls verschlüsselt an uns gesendet. Wir können Ihnen auch verschlüsselte PDF-Dokumente schicken. Auch hier erhalten Sie das Passwort in einer separaten E-Mail. Um diese Möglichkeiten nutzen zu können, benötigen Sie den Adobe Acrobat Reader.
Sensible Daten, deren Verlust oder Offenbarung gegenüber Unberechtigten ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, sollten nur Ende-zu-Ende-verschlüsselt übertragen werden. Gesundheitsdaten zählen oft zu solchen sensiblen Daten. Daher fragen wir Sie ausdrücklich nach Ihrer Einwilligung, bevor wir zu medizinischen Themen über E-Mails mit Ihnen kommunizieren, die nur transportverschlüsselt sind.
Sie können uns auch inhaltsverschlüsselte (Ende-zu-Ende verschlüsselte) Nachrichten zukommen lassen. Bitte teilen Sie uns vorab mit, auf welchem Weg Sie die Verschlüsselung durchführen wollen und wie die M1 die Entschlüsselung vornehmen kann.
Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail
Datenempfänger (ggf. Drittstaatentransfer): Ein Transfer in Drittstaaten findet nicht statt (außer Sie nutzen Ihrerseits einen Hosting-Dienstleister außerhalb des Europäischen Wirtschaftsraums oder halten sich dort auf).
Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail. Ein Versand von sensiblen Daten per E-Mails, die nicht Ende-zu-Ende-verschlüsselt sind, erfolgt auf Grundlage Ihrer Einwilligung.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).
3.5.2 Telefonate
Beschreibung: Telefonieren wir miteinander, erfassen unsere Mobiltelefone bzw. unsere Telefonanlage zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs. Diese Daten in den Anruflisten werden fortlaufend von nachfolgenden Gesprächen gelöscht. Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und erfassen sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber im Personalbereich). Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.
Zu Beginn eines Gesprächs mit unserer Terminvereinbarung unter der Rufnummer 030 347474100 bitten wir Sie um Zustimmung für das Mithören von Telefonaten. Sofern Sie damit einverstanden sind, kann die Gruppenleitung unseres Callcenters zusammen mit der betroffenen Mitarbeiterin gemeinsam Ihren Anruf abhören. Dies geschieht zu Schulungszwecken, die mitgehörten Telefonate werden nicht gespeichert.
Aufzeichnungen von Gesprächen finden nur im absoluten Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.
Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte
Datenempfänger (ggf. Drittstaatentransfer): Die M1 Med Beauty Berlin GmbH betreibt ein eigenes Callcenter, eine Auftragsverarbeitung findet nicht statt. Datenempfänger sind Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Rechtsgrundlage für die Aufzeichnung oder das Mithören des Gesprächs ist Ihre Einwilligung.
Speicherdauer: Abhängig vom Inhalt des Gesprächs; regelmäßig nur wenige Tage. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen (§ 257 HGB).
3.5.3 Briefpost
Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.
Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen
Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.
Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).
3.5.4 Messenger Nextcloud
Beschreibung: Zur unternehmensinternen Kommunikation verwenden wir Nextcloud. Das Programm und die Inhalte sind intern auf dem M1 Server gespeichert, ein Datentransfer an externe Empfänger findet nicht statt. Wir können weiterhin Microsoft Teams verwenden. Microsoft Teams wird unternehmensintern verwendet. Teams ist Bestandteil der Microsoft 365 Software. Alle Teams-Einstellungen sind im Hinblick auf einen größtmöglichen Schutz der Daten umgesetzt.. Weitere Informationen zum Datenschutz von Microsoft-Produkten finden Sie unter: https://privacy.microsoft.com/de-de/privacy
Datenkategorien: Name, Mobilfunknummer; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der Messenger-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der Nachrichten wie z.B. Anfragen, Bestellungen, Angebote oder Reklamationen
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Verarbeitungszweck ist das berechtigte Interesse einer unternehmensinterne Kommunikation auf aktuellem Stand der Technik.
Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).
3.5.5 Messenger Whatsapp
Beschreibung: Zur Online-Kommunikation können wir WhatsApp verwenden. Technisch nutzen wir dazu eine Schnittstelle (API) des Anbieters MessengerPeople, mit dem wir einen Auftragsverarbeitungsvertrag abgeschlossen haben. Die Kommunikation zwischen Ihnen und uns wird durch WhatsApp dabei als Ende-zu-Ende verschlüsselt angegeben. Die Kommunikation findet bei MessengerPeople statt und wird zu WhatsApp übertragen und gespeichert.
Sensible Daten, deren Verlust oder Offenbarung gegenüber Unberechtigten ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, sollten nicht über WhatsApp übertragen werden. Gesundheitsdaten zählen oft zu solchen sensiblen Daten. Daher fragen wir Sie ausdrücklich nach Ihrer Einwilligung, bevor wir über WhatsApp mit Ihnen kommunizieren.
Informationen zum Datenschutz bei WhatsApp finden Sie unter: https://www.whatsapp.com/legal/privacy-policy-eea. Für uns ist WhatsApp ansprechbar über WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland. Verantwortliche Muttergesellschaft von WhatsApp ist die WhatsApp, Inc., 1601 Willow Road, Menlo Park, California 94025, USA; die Datenschutzerklärung ist abrufbar unter https://www.whatsapp.com/legal/business-policy.
Informationen zum Datenschutz bei der MessegerPeople GmbH, Seidlstraße 8, 80335 München finden Sie unter: https://www.messengerpeople.com/de/datenschutzerklaerung/.
Datenkategorien: Adress- und Kontaktdaten, Nutzungsdaten; ggf. personenbezogene Inhalte des gesendeten Dokuments, möglich sind auch Gesundheitsdaten.
Datenempfänger (ggf. Drittstaatentransfer): Datenempfänger ist die M1, WhatsApp und MessengerPeople. Ein Drittstaatentransfer kann stattfinden.
Zweck + Rechtsgrundlage: Kommunikation per IT auf aktuellen Stand der Technik. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Rechtsgrundlage für den Drittstaatentransfer ist die Nachfolgeregelung des EU-US Privacy Shield.
Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich beträgt die Aufbewahrungsfrist von Patientenakten bei Unterspritzungen 10 Jahre.
3.5.6 Faxen
Beschreibung: Wir verwenden ein klassisches Faxgerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, wird das Dokument von unserem Empfangsgerät als Ausdruck zur Verfügung gestellt. Das Gerät erfasst die von Ihnen übertragenen Absenderdaten und dokumentiert sie zusammen mit dem Empfangszeitpunkt sowohl auf dem Ausdruck wie im Journal des Geräts. Senden wir Ihnen ein Fax, erfasst das Journal die Empfängernummer, Sendezeitpunkt, Seitenzahl und Übertragungserfolg.
Die Sicherheit der Übertragung entspricht der Sicherheit moderner Telefonnetze, die auch Faxdaten als sogenanntes Voice (Fax) over IP übertragen. Innerhalb des Netzes eines einzelnen Netzanbieters (z.B. Deutsche Telekom) sind die Daten verschlüsselt, an den Netzübergabestellen erfolgt eine unverschlüsselte Übertragung.
Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang, Seitenzahl, Übertragungserfolg; ggf. personenbezogene Inhalte des gesendeten Dokuments
Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).
3.5.7 Online-Terminvereinbarung
Beschreibung: Wir bieten auf unserer Webseite eine online-Terminvereinbarung an. Das Programm und die Inhalte sind intern auf dem M1-Server gespeichert, ein Datentransfer an externe Empfänger oder in Drittländer findet nicht statt. Nach dem Versand der Terminanfrage werden die in Formularfelder eingegebenen Daten durch den M1-Server abgerufen und intern verarbeitet. Eine weitere Verarbeitung der Daten aus der Terminvereinbarung, etwa zu Marketingzwecken, findet nicht statt. Erst später fragen wir Sie nach Ihrem Einverständnis zum Erhalt von Rabattaktionen etc., wozu diese Daten dann ggfls. genutzt werden können.
Datenkategorien: Vorname, Nachname, E-Mail Adresse, gewünschte Behandlung, gewünschter Behandlungszeitpunkt, Promocode, Telefonnummer, Geburtstag, Einverständnis Datenschutz, Zeitpunkt Versand bzw. Empfang.
Datenempfänger (ggf. Drittstaatentransfer): M1 Med Beauty Berlin GmbH. Ein Transfer in Drittstaaten findet nicht statt. Ein Mitlesen der Inhalte aus den Formularfeldern kann für den Webhoster Mittwald möglich sein.
Zweck + Rechtsgrundlage: Kommunikation im Sinne einer Terminvereinbarung per Webformular. Rechtsgrundlage ist die Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.
Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments und dem weiteren Behandlungsverlauf; grundsätzlich besteht für Behandlungsdaten bei Unterspritzungen eine Aufbewahrungspflicht von 10 Jahren.
3.5.8 Visitenkarten
Beschreibung: Wenn Sie uns eine Visitenkarte übergeben, übernehmen wir die darauf gemachten Daten zu Ihrer Person in unser Kontaktverzeichnis oder unsere Kundendatenbank (CRM). Unsere Kontaktverzeichnisse werden als Teil der E-Mail-Postfächer betreiben (M1-eigener Outlook Exchange Server).
Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen
Datenempfänger (ggf. Drittstaatentransfer): Keiner bzw. verbundene Unternehmen über das gemeinsam betriebene CRM (siehe die entsprechende Verarbeitung)
Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.
Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.
3.6 Besuch unserer Internetseiten
3.6.1 Datenübertragung in Drittländer
Im Zusammenhang mit der Nutzung einiger unserer Dienste werden möglicherweise Daten in Drittländer übertragen, bis zum 16.07.2020 auf Rechtsgrundlage des EU-US Privacy Shields. Nähere Informationen dazu finden sich in den Beschreibungen der einzelnen Dienste. Derzeit wird von den betroffenen Unternehmen die Datensicherheit nach den Vorgaben der EU-Datenschutzregelungen zugesichert oder sofern noch nicht abgeschlossen, an EU-Standardvertragsklauseln gearbeitet. Sofern eine Datenübertragung nach außerhalb des EWR stattfindet, ist diese durch geeignete datenschutzrechtliche Garantien abgesichert, da der Anbieter mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen hat oder sich dieser Abschluss in Bearbeitung befindet. Dies betrifft insbesondere Google, Google Maps, Google Analytics, YouTube, Facebook, Instagram, Cloudflaire und LinkedIn. Die Datenerfassung können Sie entsprechend Ihrer Cookie-Einstellungen weitestgehend einschränken.
Die Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte finden Sie unter: https://privacy.google.com/businesses/processorterms/
Die Datenschutzinformationen zu Facebook finden Sie hier: https://de-de.facebook.com/business/gdpr, die Plattform-Nutzungsbedingungen hier: https://developers.facebook.com/terms, die Datenverarbeitungsbedingungen incl. dem Verweis auf die Standartvertragsklauseln hier: https://www.facebook.com/legal/terms/businesstools/, den Zusatz für Verantwortliche hier: https://www.facebook.com/legal/controller_addendum.
Die Standartvertragsklauseln von Cloudflaire hier: https://dash.cloudflare.com/static/nexp=6b17234/javascripts/f44927da0af2a39a8c81b9938c62bfa8.pdf
3.6.2 Bereitstellen unserer Internetseiten
Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.
Als Redaktionssystem nutzen wir Wordpress oder Contao, das für die technische Auslieferung der Seiten ein sogenanntes Session-Cookie in Ihren Browser setzt (PHPSESSID; Speicherdauer: Ende des aktuellen Besuchs auf unseren Seiten)
Datenkategorien: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware
Datenempfänger (ggf. Drittstaatentransfer): Unser Webhosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Im Falle von Angriffen auf unsere Seiten Weitergabe an Ermittlungsbehörden und von uns beauftragte Forensiker. Ein Transfer in Drittstaaten findet nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat. Der Session-Cookie ist ein essentieller Cookie, der auch nach der ePrivacy-Richtlinie keiner Einwilligung bedarf.
Speicherdauer: 7 Tage
3.6.3 Cookie-Verwaltung (Borlabs)
Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung in Ihrem Browser-Cache nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits in einem Cookie auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie den entsprechenden Cookie (borlabs-cookie, Speicherdauer 1 Jahr) über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.
Datenkategorien: Einwilligungsstatus (Ja/Nein je Cookie, für den wir Ihre Einwilligung benötigen)
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Rechtskonformes Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht.
Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies
3.6.4 Spracheneinstellung (Polylang)
Beschreibung: Wir bieten unsere Internetseite in mehreren Sprachen an. Dafür nutzen wir den Wordpress-Dienst Polylang, der über die Einstellungen Ihres Geräts Ihre bevorzugte Sprachwahl erkennt und entsprechend die Bereitstellung unserer Internetseite in der für Sie passenden Sprache ermöglicht. Damit wir die Analyse der Sprachwahl nicht beim Aufruf jeder einzelnen Seite von uns erneut durchlaufen werden muss, setzt Polylang einen entsprechenden Cookie (pll_language, Speicherdauer 1 Jahr).
Datenkategorien: Im Gerät hinterlegte Sprachwahl
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Bereitstellung der Internetseite in der von Ihnen bevorzugten Sprache. Rechtsgrundlage ist ein berechtigtes Interesse, da wir davon ausgehen dürfen, dass Sie die Seiten in der für Sie passenden Sprache sehen wollen. Dieser Cookie darf auch nach der ePrivacy-Richtlinie ohne Ihre Einwilligung gesetzt werden, da die Sprachwahl als eine essentielle Funktion anzusehen ist.
Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies
3.6.5 Kontaktformular
Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular. Darüber können Sie uns Nachrichten schicken, z.B. wenn Sie keine eigene E-Mail-Adresse haben oder diese für die Nachricht an uns nicht verwenden möchten. Ihre freiwilligen Eingaben werden technisch als eine E-Mail an uns geschickt (auch wenn Sie selbst keine E-Mail-Adresse als Absender hinterlegt haben).
Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.
Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.
Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.
Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.
Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.
3.6.6 Webfonts (Online-Schriften)
Beschreibung: Um eine individuelle Gestaltung unserer Internetseiten zu ermöglichen, nutzen wir sogenannte Webfonts. Das sind Schriften, die Ihr Browser zur Darstellung unserer Seite – wenn die Schriften noch nicht von einem vorherigen Besuch einer Seite mit dieser Schrift im Speicher Ihres Browsers geladen sind – aus dem Internet lädt.
Teilweise stehen Schriften direkt auf unserem eigenem Server zur Verfügung. Insoweit handelt es sich nicht um eine eigenständige Verarbeitung, die über die Verarbeitung „Bereitstellen unserer Internetseiten“ hinausgeht. Teilweise greifen wir auf Schriften von externen Servern zu, in unserem Fall bei der Nutzung des YouTube-Players oder von Google Maps auf Schriften von Google (Google Fonts). Google ermöglicht eine herausragend schnelle Bereitstellung der Schriftdateien und gewährleistet eine Bereitstellung des aktuell optimalen Schriftsatzes.
Für den Download der Schriften von den Google-Schriftservern (gstatic.com) muss Ihre IP-Adresse an Google übertragen werden, da anders eine Übertragung des Datenpakets nicht möglich ist. Google erhält im Zusammenhang mit dieser Verarbeitung keinerlei weitere Daten von Ihnen.
Datenkategorien: IP-Adresse, von der aus Ihr Gerät ins Internet geht
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen von Google Fonts erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Bereitstellung von Google Fonts in schneller und aktueller Form. Rechtsgrundlage ist ein berechtigtes Interesse, da im Rahmen dieser Verarbeitung allein die IP-Adresse ihres Geräts übertragen wird ohne weitere Referenzen zu Ihrer Nutzung des Internets.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Fonts keine Daten von Ihnen erfassen.
3.6.7 Navigationsfunktionen (Google Maps)
Beschreibung: In unsere Internetseiten haben wir Karten von Google Maps eingebunden, einen Dienst von Google. Diese interaktiven Karten ermöglichen es Ihnen, unseren Standort in Kartenform zu sehen und von Ihrem Standort zu uns zu navigieren.
Der von uns verwendete Kartenausschnitt überträgt beim Aufruf in Ihrem Browser Ihre IP-Adresse an Google und – wenn Sie das in ihrem Gerät nicht deaktiviert haben – Ihren aktuellen Standort. Sollten Sie auf Ihrem Gerät zum Zeitpunkt des Seitenaufrufs mit einem Google-Konto eingeloggt sein, erfährt Google über Ihr persönliches Konto auch konkret, wer Sie sind.
Wir erhalten von Google Maps keinerlei Daten über Sie.
Sie können die Übertragung Ihres Standorts an Google verhindern, indem Sie in den Einstellungen Ihres Geräts den Zugriff Ihres Browsers auf Ihre Standortdaten unterbinden. Wenn Sie ein Google-Konto haben, können Sie die von Google zu Ihnen gespeicherten Standortdaten darüber löschen lassen.
Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google: https://policies.google.com/privacy
Zusätzliche Infos zu Google Maps finden Sie auf: https://www.google.com/intl/de_de/help/terms_maps.html.
Obwohl wir keine Daten von Google erhalten, stuft Google die Nutzung seines Kartendienstes durch uns als eine gemeinsame Verantwortung ein, da sowohl Google wie auch wir ein Interesse an der Bereitstellung des Dienstes haben. Zwischen Google und uns besteht dementsprechend ein Vertrag über die gemeinsame Verantwortung, dessen Inhalt Sie hier nachlesen können (nur auf Englisch): https://privacy.google.com/intl/de/businesses/mapscontrollerterms/
Datenkategorien: IP-Adresse Ihres Geräts; Standort Ihres Geräts, wenn die Standortweitergabe in ihrem Gerät nicht deaktiviert wurde; Zeitpunkt des Datenaufrufs; bei Goolge Maps aufgerufene Inhalte und genutzte Funktionen (z.B. Routenplanung); Google-ID im Google Cookie, wenn Sie das Setzen der Google Cookies zugelassen haben.
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen von Google Maps erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Zweck der Einbindung von Google Maps ist es, Ihnen die Anreise zu uns zu erleichtern. Rechtsgrundlage für die Übertragung von personenbezogenen Daten an Google ist Ihre Einwilligung. Daher können wir Ihnen den Zugriff auf Google Maps erst gewähren, wenn Sie eine entsprechende Zustimmung gegeben haben. Rechtsgrundlage für die Übertragung von personenbezogenen Daten an Google ist ein berechtigtes Interesse, da die Navigationsfunktion Ihnen wichtige Informationen zu unserem Standort zur Verfügung stellt und Sie die Datenerfassung durch Google entsprechend Ihren Cookie-Einstellungen weitestgehend einschränken können.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Maps keine Daten von Ihnen erfassen.
3.6.8 Video-Streaming (YouTube)
Beschreibung: Unsere Internetseite zeigt Filme über einen Videoplayer von YouTube, einem Tochterunternehmen von Google. Der in unsere Seiten eingebaute YouTube-Player nimmt seine Verbindung zu Google erst auf, nachdem Sie den Button „Video laden“ angeklickt haben. Damit erteilen Sie Ihre Einwilligung, dass die mit dem YouTube-Player einhergehenden Cookies von Google in Ihrem Browser gesetzt werden. Dabei wird Google mitgeteilt, welche unserer Seiten Sie besucht haben und welchen Film Sie angeschaut haben. Google setzt über den YouTube-Player die folgenden Cookies: CONSENT (), GPS, Visitor_Info1_Live, YSC, IDE
Wir erhalten hinsichtlich dieser Datenerfassung von Google keinerlei Daten über Ihr Nutzungsverhalten.
Wenn Sie während des Besuchs unserer Seite in Ihrem YouTube- oder Google-Konto eingeloggt sind, ermöglichen Sie Google, Ihr Nutzungsverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Konto ausloggen.
Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Google unter https://www.google.de/intl/de/policies/privacy
Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; in Cookies gespeicherte Google-ID
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen des YouTube-Einsatzes erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür garantiert Google einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Wir setzen den YouTube-Player ein, um Ihnen ein leistungsfähiges Video-Streaming anbieten zu können. Rechtsgrundlage für die Datenübertragung an Google ist Ihre Einwilligung über das Cookie-Management.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von YouTube keine Daten von Ihnen erfassen.
3.6.9 Analyse des Nutzungsverhaltens (Google Analytics)
Beschreibung: Wir benutzen den Webanalysedienst Google Analytics. Google erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.
Wir benutzen Analytics mit der Erweiterung „anonymizeIP“, damit die IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen. Durch die IP-Anonymisierung wird das Ende Ihre IP-Adresse von Google innerhalb der Europäischen Union durch Nullen ersetzt, bevor die Daten in die USA übertragen werden. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Google Analytics erfasst zum einen die Daten Ihres Geräts bzw. Internetbrowsers, die von Ihnen standardmäßig an einen Webserver gesendet werden, wenn Sie Internetseiten aufrufen. Haben Sie dem Setzen eines Google Cookies zugestimmt, erfasst Google die in dem Cookie gespeicherte Cookie-ID. Zusätzlich erkennt Google ergänzende Informationen zu Ihrem Gerät wie bereits installierte Software oder Schriften und bildet hieraus einen digitalen Fingerabdruck.
Die Cookie-ID bzw. der digitale Fingerabdruck geben gibt uns die Möglichkeit, die Quote wiederkehrender Besucher zu bestimmen oder Nutzungspfade innerhalb unserer Internetseiten nachvollziehen zu können.
Die Analytics-Cookies tragen die Bezeichnungen _ga (um wiederkehrende Besucher zu erkennen), _gid (um statistische Gruppen bilden zu können) und _gat (um den Datenabgleich mit erweiterten Google-Funktionen zu reduzieren).
Umfassende Informationen über die Verwendung der von Google erfassten Daten finden Sie in den Datenschutzinformationen von Google (https://policies.google.com/privacy) und in Googles Informationen zu Cookies (https://policies.google.com/technologies/cookies) und der Information zur Verwendung ihrer personenbezogenen Daten durch Google, (https://policies.google.com/technologies/partner-sites).
Wir haben unser Analytics-Konto mit unserem Marketingkonto bei Google verknüpft und ermöglichen es Google so, Anzeigen für uns noch zielgruppengerechter ausspielen zu können. Zudem können wir so besser nachvollziehen, welche Werbemaßnahme welchen Erfolg hatte. Siehe dazu die Verarbeitung „Google Ads“ und dort den entsprechenden Hinweis zu unserer gemeinsamen Verantwortung mit Google im Sinne des Art. 26 DSGVO.
Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Angaben zur Bildschirmauflösung und weitere technische Parameter des benutzten Endgeräts; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Google-ID
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO verpflichtet. Die durch die Cookies gesammelten Informationen werden an Server von Google in den USA übertragen und dort gespeichert. Hierfür hat Google mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.
Zweck + Rechtsgrundlage: Rechtsgrundlage ist ein berechtigtes Interesse, das sich daraus ergibt, dass der Personenbezug der erfassten Daten z.B. durch das Anonymisieren der IP-Adressen stark reduziert wird, dass die Daten von uns nicht mit weiteren Datensammlungen kombiniert werden und dass den Besuchern unserer Internetseiten verschiedene Möglichkeiten zur Verfügung stehen, die Erfassung durch die Cookies von Google Analytics zu unterbinden. Unabhängig davon fragen wir mit Blick auf die Vorgaben der ePrivacy-Richtlinie über unseren Cookie-Manager nach Ihrem Einverständnis für das Setzen der Google Cookies.
Rechtsgrundlage insbesondere für die Verknüpfung der Analytics-Daten mit den Werbefunktionen von Google ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.
Speicherdauer: 14 Monate (Begründung: Diese Speicherdauer ermöglicht uns das Exportieren von Jahresberichten.).
3.6.10 Analyse des Nutzungsverhaltens (Facebook Pixel)
Beschreibung: Unsere Internetseiten setzen Cookies von Facebook, inclusive des Cookies, der auch unter dem Begriff Facebook Pixel bekannt ist. Dadurch stellen wir Facebook Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es Facebook, Anzeigen für uns innerhalb von Facebook und Instagram zielgruppengerechter bereitzustellen.
Die entsprechenden Daten werden nur an Facebook übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der Facebook-Cookies sind: AA003, ATN, _fbp, fr, der Name des Facebook Pixels ist: M1 Med Beautys Pixel.
Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Facebook-ID
Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Soweit Daten an Server von Facebook in die USA übertragen werden, garantiert Facebook einen Umgang mit den Daten auf EU-Datenschutzniveau.
Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an Facebook ist es, Anzeigen bei Facebook und Instagram möglichst zielgruppengerecht bereitstellen zu können. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook. Eine Datenlöschung bei uns ist nicht möglich, da wir selbst durch den Einsatz des Facebook Pixels keine Daten von Ihnen erfassen.
3.6.11 Analyse des Nutzungsverhaltens (LinkedIn)
Beschreibung: Unsere Internetseiten setzen Cookies von LinkedIn. Dadurch stellen wir LinkedIn Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es LinkedIn, Anzeigen für uns innerhalb von LinkedIn zielgruppengerechter bereitzustellen.
Die entsprechenden Daten werden nur an LinkedIn übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der LinkedIn-Cookies sind: UserMatchHistory, bcookie, bscookie, lang, lidc, lissc
Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte LinkedIn-ID
Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Uns gegenüber ist LinkedIn zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Soweit Daten an Server von LinkedIn in die USA übertragen werden, garantiert LinkedIn einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an LinkedIn ist es, Anzeigen bei LinkedIn möglichst zielgruppengerecht bereitstellen zu können. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn. Eine Datenlöschung bei uns ist nicht erforderlich, da wir selbst durch den Einsatz der LinkedIn-Cookies keine Daten von Ihnen erfassen.
3.6.12 Profiling
Beschreibung: Wenn Sie unsere Webseite besuchen und in den Erhalt von Marketing-Cookies zum Thema Profiling einwilligen, verwenden wir Ihre Daten entsprechend. In Abhängigkeit Ihrer Navigationsumgebung werden auch Cookie-unabhängige Techniken durch unsere Partnerfirmen verwendet. Dies hilft uns, Ihnen Werbung und Angebote, abgestimmt auf Ihre Interessen, zukommen zu lassen, dazu haben wir die unten genannten Firmen beauftragt. Eine direkte Identifikation über Ihren Namen im Klartext ist ausgeschlossen. Beim Profiling wird eine begrenze Menge an Daten in Bezug auf Surfverhalten, Daten und Zugriffszeiten, Arbeitsleistung, Ereignisinformationen (z. B. Systemabstürze), wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Anzahl der angezeigten Anzeigen, Zuverlässigkeit, Geschlecht, Verhalten, Aufenthaltsort oder Ortswechsel analysiert oder vorhergesagt, auch webseitenübergreifend registriert und möglicherweise zusammengeführt, ausgewertet und Ihnen auf Grundlage dieser Daten passende Werbeangebote, auch zeitversetzt oder bei dem Besuch fremder Webseiten und Apps (sog. Retargeting), angezeigt. Dabei werden direkt von Ihnen erfasste Informationen und Daten von Drittanbietern verarbeitet.
Die Firmen, mit denen wir in diesem Zusammenhang zusammenarbeiten haben ihrerseits Partnerunternehmen mit entsprechenden Dienstleistungen beauftragt, die Liste von Criteo finden Sie hier: https://www.criteo.com/de/privacy/our-partners/.
Folgende Daten können durch unsere Partnerunternehmen erfasst werden: Identifikationsdaten wie Cookies, Werbe IDs, technische Informationen zu dem von Ihnen verwendeten Gerät, Informationen zur Ad-Platzierung auf der Website oder in der App, Informationen zu Ihren Interaktionen mit Ads, Daten zu Ihrer Internetverbindung (auch gekürzt), Daten zur Betrugsbekämpfung und Prävention, übereinstimmende Identifikationsdaten, Standortdaten.
Beschreibung der für das Profiling verwendeten Logik: Standort: Deutschland, ggfls. Stadt oder Nähe zum M1-Standort. Verhalten: Ggfls. vorhergehender Besuch auf einer M1-Webseite, hat bereits Beauty Termine vereinbart, hat bereits M1-Artikel in den Warenkorb gelegt oder ist diesem Verhalten ähnlich. Interessen: Kosmetik, Schönheit, Schönheitssalons, Ästhetik, Body-Modification, Body shape, Brazil Butt Lift, Hyaluronsäure, Körperfettanteil, Female body shape, Facelift (product), Altern, Körpergewicht, Abnehmen, Anti-Aging, Health And Beauty, American Academy of Anti-Aging Medicine oder Anti-aging cream. Alter: 18 - 65+
Mit den durch uns beauftragten Unternehmen haben wir Auftragsverarbeitungsverträge oder Standartvertragsklauseln abgeschlossen. Im Zusammenhang mit Profiling sind dies folgende Gesellschaften:
firststars GmbH, Zimmerstraße 79-80, 10117 Berlin, keine eigenen Cookies.
Criteo SA, 32 Rue Blanche, 75009 Paris, Frankreich
Cookies: UID=13278a5c-3997-4b97-826d-19609eecb975
Deaktivieren unter: https://www.criteo.com/de/privacy/disable-criteo-services-on-internet-browsers/
Werbe-ID: 6D93078A-8259-4BA4-AE5B-76104861E7DC
Deaktivieren unter: https://www.criteo.com/de/privacy/disable-criteo-services-on-mobile-applications/
Eine weitere, von M1 unabhängige Möglichkeit zum Deaktivieren interessenbezogener Werbung (weitere Informationen siehe dort): https://www.youronlinechoices.com/de/praferenzmanagement/
Datenkategorien: Kontaktdaten, Kundendaten, Nutzungsdaten.
Datenempfänger (ggf. Drittstaatentransfer): Eine Übertragung an Partnerunternehmen, Dienstleister und Publisher, auch in Drittländer, kann möglich sein.
Zweck + Rechtsgrundlage: Rechtsgrundlage ist das berechtigtes Interesse, Werbemaßnahmen durchzuführen.
Speicherdauer: Personenbezogene Daten werden für maximal 13 Monate ab dem Datum der Erfassung gespeichert. Die gleiche Dauer gilt für Cookies, die in Ihren Webbrowsern platziert werden. Die Speicherdauer von Cookies können Sie auch in den Browsereinstellungen verwalten.
3.7 Marketing-Kommunikation
3.7.1 Newsletter-Anmeldung
Beschreibung: Sie haben zwei Möglichkeiten, sich für den Empfang unseres E-Mail-Newsletters anzumelden.
Möglichkeit 1: Dafür müssen Sie im Newsletter-Anmeldeformular der Webseite nur eine E-Mail-Adresse angeben. Weitere Angaben wie z.B. Ihr Name sind freiwillig und dienen dazu, dass wir den Versand der E-Mails mit einer direkten Anrede personalisieren können. Nach Ihrem Geburtsdatum fragen wir bei der Anmeldung, weil wir bestimmte Gesundheitsprodukte nur volljährigen Personen anbieten dürfen.
Möglichkeit 2: Im Rahmen unserer Kundendatenerhebung im Vorfeld einer Behandlung können Sie uns Ihren Wunsch zum Empfang der M1-Newsletter durch Ankreuzen des entsprechenden Feldes übermitteln. Der Anmeldeprozess für den Newsletterempfang wird damit automatisiert. Zusätzlich werden zu Marketingzwecken weitere Daten, zum Teil pseudonymisiert, an unseren Newsletter-Dienstleister übertragen. Im Einzelnen sind dies: Ihr Vorname als Anrede, Ihre Empfangs-E-Mail Adresse, der Standort Ihrer M1-Praxis. Pseudonymisiert werden übertragen: Ihr Geburtsdatum, letzter Behandlungstag, ggfls. nächster Behandlungstag. Unser Dienstleister zum Newsletter-Versand kann die pseudonymisierten Daten nicht ohne den Schlüssel in Klartext umwandeln. Grund für die zusätzliche Übertragung ist es, Ihnen möglichst nur gewünschte Informationen zukommen zu lassen.
Wenn Sie sich online oder über unsere Kundendatenerhebung für den Newsletterempfang anmelden, erhalten Sie an die von Ihnen angegebene E-Mail-Adresse von uns einmalig eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der gar keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-In für doppelte Einwilligung.
Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.
Sie können Ihre Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich.
Wir erfassen die Nutzung unseres Newsletters über sogenannte Zähl-Pixel und Kampagnen-URLs für die Internetlinks im Newsletter. Das Zählpixel ruft unseren Newsletter-Server auf, wenn Sie die E-Mail öffnen. Unser Newsletter-Dienstleister stellt uns die Daten nur in anonymisierter, statistischer Form zur Verfügung, so dass wir keinen Rückschluss auf das Leseverhalten einzelner Newsletter-Empfänger ziehen können. Der Aufruf der Internetlinks im Newsletter wird über die Kampagnenzuordnung bei Google Analytics erfasst und uns ebenfalls nur in statistischer Form zur Verfügung gestellt.
Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Name (freiwillig); Geburtsdatum (freiwillig); Nutzungsdaten (Öffnen der E-Mail + Klicken auf Internetlinks); IP-Adresse Ihres Geräts zum Zeitpunkt des Newsletter-Öffnens bzw. Aufrufen der Internetlinks im Newsletter
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister in Deutschland für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist: Rapidmail GmbH, Augustinerplatz 2, 79098 Freiburg i.Br., Deutschland, Rufnummer: +49 761 – 216 08 720, E-Mail: info@rapidmail.de.
Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters und Optimierung unserer Newsletter-Inhalte. Rechtsgrundlage ist Ihre Einwilligung.
Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Registrierungsdaten unmittelbar gelöscht.
3.7.2 Gewinnspielteilnahme
Beschreibung: Regelmäßig laden wir zur Teilnahme an Gewinnspielen ein. Einladungen gehen sowohl an Follower auf unseren Social Media-Profilen wie an Empfänger unserer Newsletter.
Alle Teilnehmenden erfassen wir in einer Liste, um darüber eine Verlosung durchführen zu können. Die Liste der Teilnehmenden wird nach Benachrichtigung des Gewinners vernichtet.
Die Auswahl des Gewinners erfolgt durch Losentscheid unter Ausschluss des Rechtswegs. Gewinnerin oder Gewinner werden von uns per Nachricht bei Facebook oder Instagram oder per E-Mail benachrichtigt oder erhalten ihren Preis per Post geschickt.
Aus steuerrechtlichen Gründen speichern wir Namen und Kontakt des Empfängers, um eine korrekte Verwendung unseres Preises nachweisen zu können. Eine weitere Nutzung der Siegeradressen erfolgt nicht.
Datenkategorien: Name bzw. E-Mail-Adresse
Datenempfänger (ggf. Drittstaatentransfer): Keine
Zweck + Rechtsgrundlage: Auswahl eines Gewinnspielgewinners. Rechtsgrundlage für die Verlosung ist Erfüllung des unentgeltlichen Gewinnspielvertrags. Rechtsgrundlage für den Versand von Einladungen ist die erteilte Einwilligung zur Teilnahme an Aktionen und zum Empfang elektronischer Werbung (Newsletter-Anmeldung).
Speicherdauer: Für die Teilnehmerdaten bis zur Benachrichtigung der Gewinner; für die Gewinnerdaten sechs Jahre (§ 257 HGB)
3.7.3 Aktion M1 Beauty Club
Beschreibung: Wir bieten die Aktion M1 Beauty Club an, über die Sie entsprechend der AGBs eine Gutschrift auf die Folgebehandlung in Anspruch nehmen können. Im Rahmen der Gutschriftgewährung beschränkt sich die Datenverarbeitung darauf, dass wir anhand unserer Kundendatenbank überprüfen, ob die Anspruchsvoraussetzung für die Gutschrift bei Ihnen vorliegt, weiterhin wird Ihr Nutzerverhalten zu Marketingzwecken statistisch ausgewertet. Hinsichtlich der Datenverarbeitung durch die-Anmeldung über unserer Webseite siehe die beschriebenen Verarbeitungen unter „Besuch unserer Internetseiten“. Hinsichtlich der Datenverarbeitung im Zusammenhang mit der Newsletter-Anmeldung siehe die Verarbeitung „Newsletter-Anmeldung“.
Datenkategorien: Vorname, Name, E-Mail-Adresse, Telefonnummer, Kundenstatus, Wohnort (Fachzentrum), Geburtsdatum, Metadaten, Abgleich mit der Teilnahme an vorangegangenen Gutschriftaktionen, Status Newsletter-Anmeldung.
Datenempfänger (ggf. Drittstaatentransfer): Ihre bei uns gespeicherten Daten werden nicht an Dritte weitergegeben. Durch die Nutzung unserer Webseite können Metadaten, Daten zum Nutzerverhalten und in Formularfelder eingetragene Daten in Drittländer übertragen werden.
Zweck + Rechtsgrundlage: Bereitstellung einer Gutschrift, die an eine vorangegangene Behandlung und die Anmeldung zum Newsletter geknüpft ist. Rechtsgrundlage ist die Einwilligung in die Verarbeitung.
Speicherdauer: Neben der Speicherung der Teilnahme an sich findet keine eigenständige Speicherung ihrer personenbezogenen Daten statt, da die Gutschriftgewährung durch Abgleich bereits vorhandener Daten handelt.
3.7.4 Rabattprogramm (Bring a Friend)
Beschreibung: Wir bieten Ihnen einen Rabatt an, wenn Sie eine Freundin bzw. einen Freund werben oder sich von einer Freundin bzw. einem Freund werben lassen. Da die Gewährung des Rabatts aus ärztlicher Sicht die Offenlegung einer bestehenden Patientenbeziehung ist (sowohl mit Alt-Patient/in wie mit Neu-Patient/in), setzt die Bereitstellung des Rabatts eine Entbindung von der Schweigepflicht durch beide Teilnehmenden an diesem Rabattprogramm voraus.
Die Aktion können wir ausschließlich auf Grundlage der Aktionsbedingungen für Neukunden gewähren.
Datenkategorien: Namen von Werber/Werberin und Geworbener/Geworbenem, Status Schweigepflichtentbindung
Datenempfänger (ggf. Drittstaatentransfer): keiner
Zweck + Rechtsgrundlage: Bereitstellung einer Aktion, die an die Offenlegung einer Verbindung zweier Kundinnen/Kunden geknüpft ist. Rechtsgrundlage ist Ihre Einwilligung in Form der Schweigepflichtentbindung.
Speicherdauer: Wir speichern die Schweigepflichtentbindung im Rahmen unserer ärztlichen Dokumentation für zehn Jahre nach Abschluss der Behandlung.
3.7.5 Bewertungen (eKomi)
Beschreibung: Wir freuen uns, wenn unsere Leistungen bewertet werden. Daher lassen wir allen Kundinnen und Kunden, von denen uns eine entsprechende Einwilligung in die elektronische Kommunikation vorliegt, eine Bewertungseinladung des Dienstleisters eKomi schicken. Der Versand der Einladungen erfolgt durch eKomi als einem Auftragsverarbeiter im Sinne des Artikel 28 DSGVO.
Folgen Sie der Einladung zur Bewertung unserer Leistungen auf der Plattform von eKomi, erfolgt die Abgabe der Bewertung im Rahmen einer direkten Beziehung zwischen Ihnen und eKomi. Sollten Sie anschließend Fragen zu den von Ihnen abgegebenen Bewertungen haben, müssen Sie sich direkt an eKomi wenden, da wir die Inhalte der Bewertungsplattform nicht beeinflussen können.
Informationen zum Datenschutz bei eKomi finden Sie hier: https://www.ekomi.de/de/datenschutz/
Datenkategorien: E-Mail-Adresse, Name, bewertbare Leistung (Produkt oder Behandlung)
Datenempfänger (ggf. Drittstaatentransfer): eKomi Ltd., Markgrafenstraße 11, 10969 Berlin. eKomi ist durch einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Einladung auf Bewertungsplattform zur Beurteilung unserer Leistungen. Rechtsgrundlage ist die erteilte Einwilligung zum Empfang elektronischer Werbung (Newsletter-Anmeldung).
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von eKomi.
3.7.6 Analyse des Nutzungsverhaltens (Microsoft Bing)
Beschreibung: Unsere Internetseiten setzen Cookies von Microsofts Suchmaschine Bing. Dadurch stellen wir Microsoft Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es Microsoft, Anzeigen für uns auf Bing-Trefferlisten zielgruppengerechter bereitzustellen und den Erfolg der Anzeigen zu dokumentieren.
Die entsprechenden Daten werden nur an Microsoft übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der Cookies für Bing Ads sind: MUID (Speicherzeit: 1 Jahr), MUIDB, MR
Umfassende Informationen über die Verwendung der von Microsoft erfassten Daten finden Sie in den Datenschutzinformationen von Microsoft (https://privacy.microsoft.com/de-de/privacystatement).
Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Bing-ID
Datenempfänger (ggf. Drittstaatentransfer): Microsoft Corp., für uns als europäische Organisation ansprechbar über Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, garantiert Microsoft einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an Microsoft ist es, Anzeigen bei Bing möglichst zielgruppengerecht bereitstellen zu können und den Erfolg der Werbemittel zu dokumentieren. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Microsoft und beträgt 18 Monate. Eine Datenlöschung bei uns ist nicht erforderlich, da wir selbst durch den Einsatz der Microsoft-Cookies keine Daten von Ihnen erfassen.
3.7.7 Google Ads
Beschreibung: Wir schalten Anzeigen über Google Ads. Zur Optimierung unserer Marketingaktivitäten greift Google Ads auf personenbezogene Daten zu, die Google über Cookies und seine verschiedenen Analysedienste für Internetseiten, Apps und die von Google bereitgestellten Betriebssysteme Android und Chrome OS zur Verfügung stehen. Wir selbst haben keinen Zugriff auf die Personendaten, die der Ausspielung unserer Anzeigen zugrunde liegen. Wir wählen nur allgemeine Parameter für die Zielgruppe aus, der unsere Anzeigen zugänglich gemacht werden sollen. Insoweit findet durch uns keine Verarbeitung personenbezogener Daten statt.
Durch die Kopplung unseres Google Ads-Kontos mit unserem Google Analytics-Konto erleichtern wir Google die Wiedererkennung von Interessenten, die bereits einmal auf unseren Internetseiten gewesen sind.
Unsere eigenen Internetseiten setzen Cookies von Googles Werbediensten (Google Ads, Doubleclick). Die Cookie-Namen sind: NID, SID, IDE, DSID, FLC, AID, TAID, exchange_uid, test_cookie, _gads, _gac, _gcl.
Die Kopplung der Konten und das Setzen von Googles Werbe-Cookies stellt eine Verarbeitung personenbezogener Daten dar. Insoweit entsteht mit Blick auf die personenbezogenen Daten eine gemeinsame Verantwortung im Sinne des Artikel 26 DSGVO, für die wir mit Google einen entsprechenden „Controller-Controller“-Vertrag abgeschlossen haben (https://support.google.com/analytics/answer/9012600).
Der Vertrag teilt die Verantwortung zwischen Google und uns so ein, dass wir verantwortlich sind für die Sammlung der Analysedaten und Google verantwortlich ist für die Nutzung der Daten für Werbezwecke. Daraus ergibt sich, dass Sie alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten innerhalb von Google Analytics bei uns in Anspruch nehmen sollten und alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten für die Bereitstellung von zielgruppengerechten Anzeigen direkt bei Google in Anspruch nehmen sollten.
Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google (https://policies.google.com/privacy).
Datenkategorien: Zu den von Google verarbeiteten Datenkategorien siehe Googles Datenschutzinformation und unsere Angaben zur Nutzung von Google Analytics durch uns; Zielgruppenbildung nach demografischen, regionalen, technischen oder wirtschaftlichen Faktoren und vor allem nach Interessengebieten.
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organi- sation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Die im Rahmen von Google Analytics erfassten Daten werden für Google Ads an Server in den USA übertragen und dort verarbeitet. Hierfür garantiert der Anbieter einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Zielgruppengenaue Veröffentlichung von Anzeigen. Rechtsgrundlage ist Einwilligung, da Googles Trackingtechnologie erst nach Ihrer entsprechenden Einwilligung gestartet werden darf.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von Google Ads keine Daten von Ihnen erfassen.
3.7.8 Facebook Ads
Beschreibung: Wir schalten Anzeigen über Facebook Ads. Zur Optimierung unserer Marketingaktivitäten greift Facebook auf personenbezogene Daten zu, die Facebook auf seinen eigenen Plattform (facebook.com und instagram.com), über seine Analysedienste für Internetseiten und Apps sowie WhatsApp-Metadaten zur Verfügung stehen. Wir selbst haben keinen Zugriff auf die Personendaten, die der Ausspielung unserer Anzeigen zugrunde liegen. Wir wählen nur allgemeine Parameter für die Zielgruppe aus, der unsere Anzeigen zugänglich gemacht werden sollen. Insoweit findet durch uns keine Verarbeitung personenbezogener Daten statt.
Durch die Kopplung unseres Facebook Ads-Kontos mit unseren Unternehmensprofilen bei Facebook und Instagram erleichtern wir Facebook die Wiedererkennung von Interessenten, die bereits einmal auf unseren Profilen gewesen sind. Zusätzlich ermöglichen wir es Facebook, unsere Anzeigen Personen zugänglich zu machen, die ein ähnliches Nutzungsprofil aufweisen wie die typischen Besucherinnen und Besucher unserer Seiten (sogenannte Lookalike-Kampagnen).
Zudem setzen unsere Internetseiten Cookies von Facebook (Cookie-Name: fr, _fbp, M1 Med Beautys Pixel). Die Kopplung der Konten und das Setzen von Facebook-Cookies stellt eine Verarbeitung personenbezogener Daten dar.
Zu den Details der Datenverarbeitung bei Facebook können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Facebook: https://www.facebook.com/about/privacy
Datenkategorien: Nutzungsdaten aus Facebooks verschiedenen Diensten und dem Facebook Pixel auf unseren Internetseiten (siehe die Verarbeitung „Facebook Pixel“); Zielgruppenbildung nach Geschlecht, Altersgruppen, Regionen, Interessengebieten
Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Har- bour, Dublin 2, Irland. Soweit Daten an Server von Facebook in die USA übertragen werden, hat garantiert Facebook einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Zielgruppengenaue Veröffentlichung von Anzeigen. Rechtsgrundlage ist Einwilligung, da Facebooks Cookies erst nach Einwilligung im Browser gesetzt werden und die Nutzung der Facebook-Seiten eine Registrierung bei Facebook voraussetzt.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Facebook Ads keine Daten von Ihnen erfassen.
3.8 Nutzung unserer Apps
3.8.1 Download der Apps
Wenn Sie unsere App auf Ihrem Mobilgerät nutzen wollen, müssen Sie diese aus einem für das Betriebssystem Ihres Geräts passenden App-Store auf Ihr Gerät laden. Für iOS-Geräte ist das Apples AppStore, für Android-Geräte entweder Googles PlayStore oder eine andere Plattform für Android-Apps.
Alle Datenverarbeitungen im Zusammenhang mit dem Download unserer App erfolgen zwischen Ihnen und dem jeweiligen App Store. Wir erhalten darüber keine personenbezogenen Daten sondern nur statistische Zusammenstellungen über die Zahl der Downloads. Für alle Informationen rund um die jeweiligen Datenverarbeitungen verweisen wir auf die entsprechenden Datenschutzinformationen von Apple, Google oder der von Ihnen genutzten Download-Plattform.
3.8.2 Funktionen in der App (Chat)
Beschreibung: Unsere App bietet Ihnen die Möglichkeit, sich über unsere Produkte und Angebote zu informieren und mit uns auf besonders einfache Weise in direkten Kontakt zu treten. Im Mittelpunkt der App steht die Chat-Funktion.
Technisch wird die Chat-Funktion auf dem M1-eigenen Server gehostet, als Gesprächspartner antworten Ihnen Beschäftigte der M1 Med Beauty. Inhaltlich können Sie im Chat letztlich dieselben Inhalte mit uns austauschen wie per E-Mail oder bei einem Anruf.
Technisch wird die Chat-Funktion auf dem M1-eigenen Server gehostet, als Gesprächspartner antworten Ihnen Beschäftigte der M1 Med Beauty. Inhaltlich können Sie im Chat letztlich dieselben Inhalte mit uns austauschen wie per E-Mail oder bei einem Anruf.
Datenkategorien: Zeitpunkt des Chats; IP-Adresse; Browsertyp/ -version, Betriebssystem; URL der Website, von der aus der Chat gestartet wird; Inhalte des Chats (z.B. Name, E-Mail-Adresse, besprochene Fragen und Antworten, vereinbarte Termine)
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Bereitstellung eines Online-Chats als Kommunikationsweg. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung, da die Chat-Kommunikation auf den Abschluss von Behandlungsverträgen zielt.
Speicherdauer: 3 Monate
3.9 Unsere Social Media-Profile
3.9.1 Facebook und Instagram
Beschreibung: Wir betreiben bei Facebook und Instagram Unternehmensprofile (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook und Instagram vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.
Facebook stellt uns über die Nutzung unserer Seiten Analysedaten zur Verfügung (Page Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Facebook gilt die Datenschutzinformation von Facebook: https://www.facebook.com/about/privacy
Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Facebook nach Art. 26 DSGVO. Facebook hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Facebook hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Facebook-Konto an Facebook wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Facebook weiterreichen.
Datenkategorien: Facebook-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook und Instagram sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Hierfür garantiert Facebook einen Umgang mit den Daten auf EU-Datenschutzniveau.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage und unserem Instagram-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Facebook-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook.
3.9.2 Google My Business
Beschreibung: Wir betreiben ein Unternehmensprofil bei Google My Business („GMB“). Über GMB veröffentlichen wir Informationen zu uns, aus denen sich die Darstellung unseres Unternehmens in verschiedenen Diensten von Google speist. Das gilt insbesondere für die Präsentation unseres Unternehmens in der Ergebnisanzeige zur Google Suche und in Google Maps. Google stellt uns statistische Daten zur Verfügung über die Nutzung unserer bei GMB veröffentlichen Informationen. Zusätzlich können Sie direkt über GMB mit uns Kontakt aufnehmen – z.B. direkt unsere Telefonnummer anrufen – oder Kommentare zu unserem Unternehmensprofil veröffentlichen. Wenn Sie uns kontaktieren oder unser Profil kommentieren, erhalten wir von Google Daten zu Ihrer Person, z.B. Ihren Google-Benutzernamen, mit dem Sie während Ihrer Interaktion mit GMB angemeldet waren.
Durch die Kopplung von GMB mit unserem Google Analytics-Konto erleichtern wir Google die Wiedererkennung von Interessenten, die bereits einmal auf unseren Internetseiten gewesen sind.
Wir haben keine Möglichkeit auf die Datenverarbeitung bei Google Einfluss zu nehmen. Die Bereitstellung von GMB sowie Google Suche und Google Maps liegen in der Verantwortung von Google. Rechtlich gelten wir als Betreiber des GMB-Profils als mitverantwortlich für diese Datenverarbeitungen, so dass wir mit Google hierzu einen Vertrag über eine gemeinsame Verantwortung abgeschlossen haben (siehe: https://privacy.google.com/businesses/controllerterms/). Der Vertrag teilt die Verantwortung zwischen Google und uns so ein, dass wir verantwortlich sind für das Entstehen einer Beziehung zwischen Ihren Daten und unserem GMB-Profil und Google verantwortlich ist für die weitere Verarbeitung der Daten. Sie sollten alle Ihre Rechte mit Blick auf die Verarbeitung Ihrer Daten durch Google direkt bei Google geltend machen. An uns sollten Sie sich wenden, wenn es um die Verarbeitung Ihrer Daten in der direkten Kommunikation mit uns geht. Rechtlich steht es Ihnen frei, sich jederzeit mit allen Ihren Anliegen sowohl an Google wie an uns zu wenden und der Empfänger leitet Ihre Anfrage gegebenenfalls an die passende Stelle weiter.
Zu den Details der Datenverarbeitung bei Google verweisen wir auf Googles Datenschutzinformation (https://policies.google.com/privacy).
Wir nutzen die personenbezogenen Daten, die wir von Ihnen über GMB erhalten, um Ihre Anfragen beantworten zu können bzw. um auf Ihre Kommentare reagieren zu können.
Datenkategorien: Zu den von Google verarbeiteten Datenkategorien siehe Googles Datenschutzinformation. Wir verarbeiten Ihren Namen bzw. bei Google angegebenen Benutzernamen, Ihre Kontaktanfragen sowie die von Ihnen bei GMB veröffentlichten Kommentare.
Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Google ist über einen Vertrag zur gemeinsamen Verantwortung auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter überträgt, hat Google mit uns Standarddatenschutzklauseln abgeschlossen und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.
Zweck + Rechtsgrundlage: Beantworten Ihrer Anfragen und reagieren auf Ihre Kommentare bei Google My Business. Rechtsgrundlage ist für die Verarbeitung durch uns ein berechtigtes Interesse, da Sie selbst unser GMB-Profil in einem Google-Dienst besucht haben und dort mit uns in den Austausch getreten sind.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von GMB keine Daten von Ihnen eigenständig speichern.
3.9.3 Pinterest
Beschreibung: Wir betreiben bei Pinterest ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
Pinterest stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Pinterest gilt die Datenschutzinformation der Gesellschaft: https://policy.pinterest.com/de/privacy-policy
Datenkategorien: IP, Name, E-Mail-Adresse, Telefonnummer, Fotos, Pins, Ggfls. Standortdaten, Internet- und Netzwerkaktivitäten, Protokolldaten, Cookies, Geräteinformationen, Clickstream-Daten und -Rückschlüsse, Kommentare und Daten aus weiteren Datenquellen, die durch Pinterest zusammengeführt werden, sowie weitere Informationen
Datenempfänger (ggf. Drittstaatentransfer): Pinterest Inc., für uns als europäische Organisation ansprechbar über Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland. Soweit Daten in die USA übertragen werden, garantiert Pinterest einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Pinterest-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Pinterest-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Pinterest.
3.9.4 Twitter
Beschreibung: Wir betreiben bei Twitter ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation bei Twitter vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
Twitter stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung (Twitter Analytics). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Twitter gilt die Datenschutzinformation von Twitter: https://twitter.com/de/privacy
Datenkategorien: Twitter-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Twitter sowie Zeitpunkt der Aktion. Über die Weitergabe ihrer persönlichen Daten können sie über die bei Twitter vorzunehmenden Einstellungen selbst entscheiden.
Datenempfänger (ggf. Drittstaatentransfer): Twitter Inc., für uns als europäische Organisation ansprechbar über Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Irland. Soweit Daten in die USA übertragen werden, garantiert Twitter einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Twitter-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Twitter-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Twitter.
3.9.5 LinkedIn
Beschreibung: Wir betreiben bei LinkedIn ein Unternehmensprofil. So ein LinkedIn-Profil ermöglicht es uns, unsere Organisation bei LinkedIn vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.
LinkedIn stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei LinkedIn gilt die Datenschutzinformation von LinkedIn: https://www.linkedin.com/legal/privacy-policy
Datenkategorien: LinkedIn-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von LinkedIn sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Soweit Daten an Server von LinkedIn in die USA übertragen werden, garantiert LinkedIn einen Umgang mit den Daten auf EU-Datenschutzniveau. Der Anbieter hat mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem LinkedIn-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre LinkedIn-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn.
3.9.6 Xing
Beschreibung: Wir betreiben bei Xing ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation bei Xing vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattformen auf unsere Leistungen und Angebote hinzuweisen.
Xing stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.
Zu den Details der Datenverarbeitung bei Xing gilt die Datenschutzinformation von Xing: https://privacy.xing.com/de/datenschutzerklaerung
Datenkategorien: Xing-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Xing sowie Zeitpunkt der Aktion
Datenempfänger (ggf. Drittstaatentransfer): New Work SE (Betreiberin von xing.com), Dammtorstraße 30, 20354 Hamburg. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Xing-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihrer Xing-Registrierung erteilt haben.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Xing.
3.9.7 TikTok
Beschreibung:Wir betreiben ein Unternehmensprofil bei TikTok. Über TikTok veröffentlichen wir Informationen zu uns, TikTok stellt uns statistische Daten zur Verfügung über die Nutzung unserer dort veröffentlichen Informationen. Zusätzlich können Sie direkt über TikTok öffentlich mit uns Kontakt aufnehmen – z.B. unsere Inhalte liken oder kommentieren. Wenn Sie uns kontaktieren oder unser Profil kommentieren, erhalten wir von TikTok Daten zu Ihrer Person, z.B. Ihren TikTok-Benutzernamen, mit dem Sie während Ihrer Interaktion bei TikTok angemeldet waren.
Wir haben keine Möglichkeit, auf die Datenverarbeitung bei TikTok Einfluss zu nehmen. Rechtlich gelten wir als Betreiber des TicTocProfils als mitverantwortlich für diese Datenverarbeitungen, über die Sie sich hier informieren können: https://www.tiktok.com/legal/privacy-policy?lang=de.
Die Verantwortlichkeit zwischen TikTok und uns ist so aufgeteilt, dass wir verantwortlich sind für das Entstehen einer Beziehung zwischen Ihren Daten und unserem TikTok -Profil und TikTok verantwortlich ist für die weitere Verarbeitung der Daten. Sie sollten alle Ihre Rechte mit Blick auf die Verarbeitung Ihrer Daten durch TikTok direkt bei TikTok geltend machen. An uns sollten Sie sich wenden, wenn es um die Verarbeitung Ihrer Daten in der direkten Kommunikation mit uns geht. Rechtlich steht es Ihnen frei, sich jederzeit mit allen Ihren Anliegen sowohl an TikTok wie an uns zu wenden und der Empfänger leitet Ihre Anfrage gegebenenfalls an die passende Stelle weiter.
Zu den Details der Datenverarbeitung bei TikTok verweisen wir auf TicTocs Datenschutzinformation:
(1.: https://www.tiktok.com/legal/privacy-policy?lang=de und die Zusätzlichen Bestimmungen für Nutzer mit Wohnsitz in der Bundesrepublik Deutschland, abrufbar unter
2.: https://www.tiktok.com/legal/additional-provisions?lang=de-DE).
Wir nutzen die personenbezogenen Daten, die wir von Ihnen über TikTok erhalten, um auf Ihre Kommentare reagieren zu können.
Datenkategorien: Wir verarbeiten Ihren Namen bzw. den bei TikTok angegebenen Benutzernamen, Ihre Kontaktanfragen sowie die von Ihnen bei TikTok veröffentlichten Inhalte wie Kommentare, Fotos und Videos. Zu den von TikTok verarbeiteten Datenkategorien siehe TicTocs Datenschutzerklärungen unter den oben genannten Verlinkungen.
Datenempfänger (ggf. Drittstaatentransfer): TikTok, mit seinem Mutterkonzern Beijing Bytedance Technology Ltd, ist für uns als europäische Organisation ansprechbar über TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland. TikTok ist über eigene Regelungen auf den Datenschutz verpflichtet, ein Drittstaatentransfer kann stattfinden.
Zweck + Rechtsgrundlage: Zweck ist das berechtigte Interesse an Werbemaßnahmen, die Beantwortung Ihrer Anfragen und reagieren auf Ihre Kommentare bei TikTok. Rechtsgrundlage ist für die Verarbeitung durch uns ein berechtigtes Interesse, da Sie selbst unser TikTok -Profil besucht haben und dort mit uns in den Austausch getreten sind.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von TikTok. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von TikTok eigenständig keine Daten von Ihnen speichern.
3.10 Lieferanten und Dienstleister
3.10.1 Geschäftsbeziehung
Beschreibung: Wir stehen mit Lieferanten und Dienstleistern in Geschäftsbeziehungen, zu deren Abwicklung personenbezogene Daten verarbeitet werden, soweit die Unternehmen Selbstständige oder Personengesellschaften sind oder wir mit konkreten Ansprechpartnern kommunizieren.
Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten
Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger sowie im Falle einer Steuerprüfung die Finanzbehörden
Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.
Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren (§ 147 AO); Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.
3.10.2 Nennung in Publikationen
Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt.
Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten
Datenempfänger (ggf. Drittstaatentransfer): Druckereien, Dritte, denen die Publikation übermittelt wird.
Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags und ggf. hinsichtlich der Kontaktdaten ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.
Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.
3.11 Stellenbesetzungen
3.11.1 Bewerbungen
Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.
Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): Sofern Sie uns Bewerbungen für eine Aufnahme der Tätigkeit in unseren Standorten außerhalb Deutschlands übermitteln, findet ein Datenaustausch zwischen der M1 Med Beauty Berlin mit der betreffenden M1 Landesgesellschaft statt. Sofern sich diese in einem Drittland befindet, haben wir den Drittstaatentransfer Ihrer Bewerbungsdaten über einen Auftragsverarbeitungsvertrag (AVV) nach Art. 26 DSGVO abgesichert.
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.
Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens
3.11.2 Kandidatenpool
Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.
Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests
Datenempfänger (ggf. Drittstaatentransfer): keine
Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.
Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung
3.12 Allgemeine Infrastruktur
3.12.1 Besucher der Fachzentren und der Schlossklinik
In unseren Praxisräumen halten sich regelmäßig mehrere Patienten zugleich auf und es lässt sich nicht vollständig verhindern, dass andere Patienten hören können, was wir mit Ihnen außerhalb der geschlossenen Behandlungsräume besprechen. Das beginnt mit Ihrem Namen, wenn wir Sie begrüßen oder zur Behandlung im Wartezimmer aufrufen. Soweit Ihnen ein herausgehobener Schutz Ihrer Daten wichtig ist, vereinbaren Sie gerne für alle Gespräche ein Pseudonym als Namen und weisen Sie uns darauf hin, dass auch Gespräche im Empfangsbereich wie Terminvereinbarungen und ähnliches nur hinter geschlossenen Türen mit Ihnen geführt werden. Teilweise kann diese Art der Betreuung mit etwas längeren Wartezeiten einhergehen, da wir jeweils erst einen verfügbaren Raum finden müssen.
3.12.2 Besucher-WiFi
Beschreibung: Wir stellen Besuchern den Zugang zu unserem WiFi-Netzwerk und damit dem Internet zur Verfügung. Bei der dafür erforderlichen Anmeldung am Access Point für das WiFi-Netzwerk wird die eindeutige Kennung Ihres Geräts sowie die Nutzungszeiten erfasst. Bei allen Diensten, die Sie während der Nutzung unseres Netzwerks im Internet aufrufen, wird die IP-Adresse unseres Netzwerks protokolliert. Soweit es zu Ermittlungen wegen Aktivitäten kommt, die von unserer IP-Adresse ausgegangen sind, sind wir teilweise verpflichtet die Nutzungsdokumentation im sogenannten Logfile unserer Access Points zur Verfügung zu stellen.
Datenkategorien: MAC-Adresse des Geräts, Nutzungszeiten
Datenempfänger (ggf. Drittstaatentransfer): Im Normalfall keine Empfänger; bei Ermittlungen zuständige Behörden und unter Umständen private Inhaber eines Auskunftsanspruchs oder von uns beauftragte Forensiker. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Logfiles wie dieses dienen dazu, die IT-Sicherheit in unserem Unternehmen zu ermöglichen und zu stärken. Die Rechtsgrundlage ist ein berechtigtes Interesse, da wir auf das WiFi-Logfile nur zugreifen, wenn eine Sicherheitsanalyse erforderlich ist. Eine Zuordnung der WiFi-Daten zu konkreten Geräten und damit deren Besitzern ist uns nur mit erheblichem Aufwand und regelmäßig nur unter Zuhilfenahme polizeilicher Ermittlungen möglich.
Speicherdauer: Unser WiFi-Logfile wird regelmäßig gelöscht, spätestens einmal jährlich.
3.12.2 Videoüberwachung
Beschreibung: In unseren Geschäftsräumen sind Videokameras installiert. Entsprechende Hinweisschilder sind montiert und informieren über den Einsatz der Kameras, bevor Sie ins Blickfeld der Objektive treten.
Die Kameras zeichnen das Geschehen innerhalb ihres Blickfelds rund um die Uhr auf. Die Kameras sind so eingestellt, dass sie keine Daten im unmittelbaren Arbeitsbereich des Empfangsteams aufzeichnen, so dass hier Patientendaten ohne Aufzeichnung ausgetauscht werden können. Die Aufzeichnungen unserer Kameras werden an einen von uns betriebenen Server übertragen.
Datenkategorien: Videoaufzeichnungen
Datenempfänger (ggf. Drittstaatentransfer): Keiner. Nur wenn es zu Sicherheitsvorfällen kommt, stellen wir das Videomaterial den Ermittlungsbehörden zur Verfügung.
Zweck + Rechtsgrundlage: Die Videoüberwachung dient der Wahrnehmung des Hausrechts zum Schutz des Objekts, zur Abwehr unbefugten Betretens, Schutz vor Übergriffen, Einbrüchen, Diebstählen und Vandalismus. Beweissicherung zur Durchsetzung von Rechtsansprüchen, Verhütung von Betrug und Leistungsmissbrauch. Die Videoüberwachung dient auch dazu, unberechtigten Zutritt zu besonders sicherheitsrelevanten Bereichen unserer Geschäftsräume abzuwehren bzw. im Fall eines unberechtigten Zutritts zu dessen Aufklärung. Das berechtigte Interesse an der Videoüberwachung ergibt sich aus der besonderen Gefahrensituation bzw. den besonderen Sicherheitsanforderungen für unsere Organisation.
Speicherdauer: Die Aufzeichnungen der Videoüberwachung werden nach 72 Stunden automatisch von unseren Servern gelöscht.
3.12.4 Finanzbuchhaltung
Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Mit der Durchführung der Finanzbuchhaltung haben wir einen externen Dienstleister beauftragt.
Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)
Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Finanzbuchhaltung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).
Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf (§ 147 AO).
3.12.5 Zahlungstransfers
Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontounterlagen dokumentiert.
Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)
Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.
Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf (§ 147 AO).
3.12.6 IT-Administration
Beschreibung: Teilweise nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.
Speicherdauer: Eine eigenständige Speicherung findet nicht statt.
3.12.7 Dateispeicherung (Metadaten)
Beschreibung:
Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, PowerPoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.
Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Ersteller-Signatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.
Wir nutzen Microsoft Office 16 als lokale Lösung für die Dateispeicherung.
Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Dateispeicherung und Kollaboration an Office-Dokumenten. Rechtsgrundlage ist ein berechtigtes Interesse an der Speicherung von uns zur Verfügung gestellten Dateien.
Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei
3.12.8 Entsorgung von Datenträgern und Dokumenten
Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder durch ein Entsorgungsunternehmen vernichtet. Die Qualitätsstufe des eingesetzten Schredders und des Entsorgungsunternehmens entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen. Mit dem Entsorgungsunternehmen haben wir einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen.
Speichermedien (Festplatten; z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer eigene IT-Abteilung durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht und anschließend physisch zerstört. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.
Datenkategorien: Jede Art von Daten
Datenempfänger (ggf. Drittstaatentransfer): Keine zusätzlichen Datenempfänger, ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:
Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.
Stand: 21.01.2022