Datenschutzinformation

1. Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

M1 Med Beauty Berlin GmbH
Grünauer Straße 5, 12557 Berlin

Telefon: 030 34 74 74 404 (kein Kundenservice!)

E-Mail: [email protected]

Fragen zu unseren Produkten und Dienstleistungen, Adressänderungen oder den Widerruf von Einwilligungen richten Sie bitte direkt an unsere Geschäftsstelle (Tel.: 030 34 74 74 400, E-Mail: [email protected]).

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: E-Mail: [email protected] oder per Post an M1 Med Beauty Berlin GmbH, z. Hdn. Datenschutzbeauftragter, Grünauer Straße 5, 12557 Berlin

2. Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO. Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

  1. Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
  2. Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Art. 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.
  3. Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Art. 16 DSGVO).
  4. Sie können von uns jederzeit Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Art. 15 DSGVO, § 34 BDSG).
  5. Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Art. 17 bzw. 18 DSGVO, § 35 BDSG).
  6. Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Art. 20 DSGVO).
  7. Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Berliner Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

3. Datenverarbeitungen bei uns

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Alle Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Art. 9 Abs. 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Abschließend steht die Möglichkeit im Raum, dass die Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgt (Art. 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Art. 8).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 18 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht allein aus dem Datenschutzrecht nach der DSGVO sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie. Die Vorschriften dieser Richtlinie haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

3.1 Unser Unternehmensverbund

Wir bieten unsere Leistungen im Verbund an sowohl mit der M1 MVZ GmbH als ärztlicher Einrichtung in Deutschland (http://m1-mvz.de/) wie mit M1-Partnergesellschaften in anderen Ländern (siehe unsere Übersicht auf https://www.m1-beauty.de/fachzentren/#international). Grundsätzlich ist jede dieser Gesellschaften für die von ihr verarbeiteten Daten allein verantwortlich.

Regelmäßig tritt eine Gesellschaft in datenschutzkonformer Weise nach Artikel 28 DSGVO für andere verbundene Unternehmen als Auftragsverarbeiter auf.

In einigen Konstellationen greifen Gesellschaften auch gemeinsam auf Daten zu, um Ihnen eine optimale und auch grenzüberschreitende Versorgung anbieten zu können. So eine gemeinsame Nutzung von Daten erfolgt auf Grundlage eines Vertrags über die gemeinsame Verantwortung nach Artikel 26 DSGVO. Wo immer eine Verarbeitung in Form einer gemeinsamen Verantwortung erfolgt, weisen wir Sie in der nachfolgenden Beschreibung der einzelnen Verarbeitungen darauf hin.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.

3.2 Allgemeiner Hinweis zu Cookies

Unsere Internetseiten verwenden sogenannte Cookies. Dabei handelt es sich um Textdateien, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht.

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern auch nach der ePrivacy-Richtlinie der EU, der Rechtsprechung des EuGH und deren Umsetzung in nationales Recht. Die ePrivacy-Richtlinie unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essentiellen) Cookies und solchen, die es nicht sind. Essentielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essentielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z.B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt).

Wegen der strengen Vorgaben der ePrivacy-Richtlinie fragen wir Sie beim Aufruf unserer Internetseite nach Ihrem Einverständnis in das Setzen der nicht-essentiellen Cookies.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

  1. Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht.
  2. Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen, die Sie eigentlich gerne zulassen würden oder die eigentlich gar nicht zustimmungspflichtig sind.
  3. Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher.
  4. Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeiten an, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
  5. Ein Spezialfall: Google bietet Ihnen ein Browser-Plug-In zum Download an, das das Setzen der Google-Cookies unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

Individuelle Cookie-Einstellungen

Cookie-Einstellungen

3.3 Ärztliche Behandlungen

3.3.1 Patientenakte

Beschreibung: Soweit Sie sich bei uns über unsere ärztlichen Leistungen informieren oder bei uns in ärztliche Behandlung begeben, erfolgt die Verarbeitung Ihrer Daten streng nach den geltenden Regelungen rund um die ärztliche Schweigepflicht. Unsere Ärztinnen und Ärzte sowie unser medizinisches Personal sind sowohl durch das Strafrecht (§ 203 StGB) wie das Berufsrecht der Ärzte zur absoluten Verschwiegenheit verpflichtet.

Die Schweigepflicht umfasst auch die Aussage, ob Sie sich bei uns in Behandlung befinden bzw. befunden haben. Die Schweigepflicht reicht über den Abschluss des Behandlungsvertrags hinaus und gilt auch nach Ihrem Tod weiter. Auch gegenüber Ihren Angehörigen, Partnern, Freunden, Arbeitgebern oder anderen Ihnen nahestehenden Personen sind wir zur Verschwiegenheit verpflichtet, soweit Sie uns nicht schriftlich von der Schweigepflicht entbinden. Die Vertraulichkeit gilt auch gegenüber Versicherungen, soweit es sich nicht um eine gesetzliche Kranken- oder Unfallversicherung handelt. Gegenüber Strafermittlungsbehörden steht uns gemäß § 53 Strafprozessordnung ein Zeugnisverweigerungsrecht zu.

Ausnahmen von der Schweigepflicht gelten im Rahmen der gesetzlichen Kranken- und Berufsunfähigkeitsversicherung, bei Meldepflichten nach medizinischen Registergesetzen (Tumorregister, Implantateregister u.a.), bei Gefährdungen des Kindswohls (§ 4 KKG) und zur Abwehr schwerwiegender Straftaten, deren Vorbereitung uns bekannt wird (§ 138 StGB).

Das medizinische Personal wird bereits in seiner Berufsausbildung im Datenschutz geschult und auf diesen verpflichtet. Der Zugriff durch nicht-medizinische Beschäftigte ist technisch durch ein Berechtigungskonzept entsprechend den Erfordernissen der jeweiligen Tätigkeit eingeschränkt. Alle Mitwirkenden verpflichten wir vor Aufnahme ihrer Tätigkeit bei uns auf den Datenschutz und schulen alle Beschäftigten im erforderlichen Umfang.

In technischer Weise gewährleisten wir Datensicherheit bei uns durch hohe Standards in der Informationssicherheit. Wir haben eine eigene IT-Abteilung und betreiben eigene Server an verschiedenen Standorten mit umfassenden Schutzmaßnahmen gegen Datenverlust oder unberechtigten Zugriff. Wir vermeiden das Speichern von Daten auf Endgeräten, die verloren gehen könnten.

Sämtliche Informationen zu den ärztlichen Behandlungen, die Sie bei uns in Anspruch nehmen, werden in unserem eigenem Krankenhausinformationssystem (KIS) erfasst. Auf das KIS haben neben uns die mit uns verbundenen ärztlichen Gesellschaften Zugriff. Wir bieten Ihnen Gesundheitsleistungen an verschiedenen Standorten und über verschiedene Gesellschaften an. Die Erfahrung zeigt, dass Patientinnen und Patienten unsere Leistungen an mehreren Standorten in Anspruch nehmen und dabei nicht immer eigenständig den vollen Umfang ihrer vorherigen Behandlungen zur Verfügung stellen können. Der standortübergreifende Zugriff auf die Daten dient Ihrer medizinischen Sicherheit, da unserem medizinischen Personal so an jedem Standort auch im europäischen Ausland der Zugriff auf Ihre Daten möglich ist. Auch hier ist der Zugriff technisch durch ein rollenbasiertes Berechtigungskonzept beschränkt.

Zusätzlich sind alle Beschäftigten darauf verpflichtet, nur auf die Patientendaten zuzugreifen, deren Einsicht für die Betreuung der Patientinnen und Patienten erforderlich ist.

Datenkategorien: Kontaktdaten (Name, Adresse, Telefon, E-Mail), Geburtsdatum, Versicherungsdaten (Versicherer, Versichertennummer), Angehörigendaten (Name, Verwandtschaftsbeziehung, Kontaktdaten, Schweigepflichtentbindungen), Hausarzt und andere Fachärzte, Termine und Behandlungshistorie, Aufklärungs- und Beratungsdokumentation, Diagnosedaten (medizinische Befunde (Vorgeschichte, Vorerkrankungen, persönliche Untersuchung) und Messwerte (z.B. Größe, Gewicht), medizinische Laborwerte, Röntgen-, Foto- und Videoaufnahmen), Zahnabdrücke und Modelle, Diagnosen und Behandlungsempfehlungen, Behandlungsdokumentation (Behandlungsverlauf, eingesetzte Medikamente und deren Dosierung, eingesetzte Implantate und deren Seriennummer), Ernährungsdaten (bei stationärer Versorgung)

Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.

Soweit Patientinnen oder Patienten ihre Rechte aus der DSGVO geltend machen wollen, wenden sie sich möglichst direkt an die M1 Med Beauty Berlin GmbH (Kontakt siehe oben). Es steht den betroffenen Personen aber frei, sich mit ihrem Anliegen auch direkt an die sie behandelnde Gesellschaft zu wenden.

Ein Drittstaatentransfer findet statt in die Schweiz und das Vereinigte Königreich von Großbritannien und Nordirland („UK“). Für die Schweiz besteht ein Angemessenheitsbeschluss nach Artikel 45 DSGVO, für UK gilt bis 31.12.2020 die unmittelbare Geltung der DSGVO fort.

Zweck + Rechtsgrundlage: Ärztliche Behandlungsdokumentation. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO (Gesundheitsbehandlung).

Speicherdauer: 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB) bei Unterspritzungen, 30 Jahre bei Operationen, in denen ein Implantat eingesetzt wird und Röntgenaufnahmen. Wir behalten uns vor, die Aufbewahrungsfristen im Zusammenhang mit der Umsetzung des Implantateregisters entsprechend den dann gültigen Vorgaben anzupassen, siehe 3.3.2.

3.3.2 Implantateregister

Beschreibung: Einige Patientinnen und Patienten erhalten von uns Implantate. Solche Implantate sind entsprechend den hohen Sicherheitsmaßstäben für Medizinprodukte mit einer individuellen Seriennummer versehen. Zusätzlich gilt seit 1. Januar 2020 für Ärzte die Pflicht, Implantate und die Namen der Patienten, die sie erhalten haben, dem gesetzlichen Implantateregister zu melden, das beim Deutschen Institut für Medizinische Dokumentation und Information, einer staatlichen Einrichtung des Bundesgesundheitsministeriums, geführt wird.

Die Umsetzung dieser Pflicht ruht, bis die entsprechende Rechtsverordnung für die Durchführung des Meldeverfahrens vom Bundesgesundheitsministerium erlassen wurde.

Weitere Informationen zum Implantateregister finden Sie hier: https://www.dimdi.de/dynamic/de/medizinprodukte/implantateregister-deutschland/

Datenkategorien: Name, Kontaktdaten, Art des Implantats, Zeitpunkt des Einsetzens, Hersteller des Implantats, Seriennummer, weitere vom Implantateregister vorgesehene Informationen.

Datenempfänger (ggf. Drittstaatentransfer): Deutsches Institut für Medizinische Dokumentation und Information, Waisenhausgasse 36-38a, 50676 Köln. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Erfüllung der Rechtspflicht aus dem Implantatregistergesetz. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO.

Speicherdauer: Wird durch Rechtsverordnung festgelegt.

3.3.4 Implantate mit RFID-Chip

Beschreibung: Einige Patientinnen und Patienten erhalten Implantate mit einem sogenannten RFID-Chip (Radio Frequenzy Identification). In den Chips ist allein die Seriennummer des Implantats gespeichert. Über den Chip ist es über das entsprechende Lesegerät möglich, die Seriennummer über eine kleine Distanz hinweg auszulesen.

Diese Funktion ist hilfreich, wenn eine Patientin oder ein Patient z.B. bei Beschwerden oder Sorgen wegen Ihres Implantats ihren Implantatepass nicht zur Verfügung hat. Dann kann die Seriennummer über ein entsprechendes Lesegerät unkompliziert ausgelesen werden.

Der Einsetzen eines Implantats mit RFID-Chip stellt keine Datenverarbeitung dar. Kommen aber Patientinnen oder Patienten zu uns und wünschen von uns das Auslesen der Seriennummer, ist dieser Vorgang eine Datenverarbeitung, die wir nur mit dem Einverständnis der Implantatsträger vollziehen.

Datenkategorien: Seriennummer des Implantats, daran anschließend Hersteller und Modell des Implantats

Datenempfänger (ggf. Drittstaatentransfer): keiner

Zweck + Rechtsgrundlage: Ermittlung der Seriennummer eines Implantats mit RFID-Chip. Rechtsgrundlage ist Einwilligung nach Artikel 9 Abs. 2 lit. a DSGVO.

Speicherdauer: 10 Jahre (siehe Patientenakte)

3.4 Ihr Kundenverhältnis mit uns

3.4.1 Persönliches Benutzerkonto (Webshop)

Beschreibung: Sie können auf unserer Internetseite für die Nutzung unseres Webshops ein persönliches Benutzerkonto anlegen. Über dieses Konto können Sie Ihre Einkäufe bei uns verwalten. Bestellte Waren und Rechnungen schicken wir Ihnen an die hierzu hinterlegten Adressen.

Für die Funktion „angemeldet bleiben“, die es Ihnen erspart bei Ihrem nächsten Besuch erneut Ihre Anmeldedaten einzugeben, setzen wir ein Cookie (PHPSESSID, Speicherfrist Session (Browsersitzung)). Hierbei handelt es sich um einen essentiellen Cookie, dessen Setzen keiner Einwilligung bedarf.

Datenkategorien: Anmeldedaten (Name, E-Mail-Adresse, Passwort), Kontaktdaten (Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Geburtsdatum, Aktivitätenhistorie (Zeitpunkt von Login, Logout, Abschluss der Bestellung sowie vergleichbare Aktivitäten während des Bestellvorgangs), Status Auto-Login

Datenempfänger (ggf. Drittstaatentransfer): Eine Datenweitergabe findet nicht statt. Unser Dienstleister für das Webhosting ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet und sitzt in Deutschland. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Der Betrieb Ihres Benutzerkontos dient der Erfüllung unserer entsprechenden Nutzungsvereinbarung für den Webshop. Rechtsgrundlage ist entsprechend Erfüllung unserer Vertragspflichten Ihnen gegenüber.

Speicherdauer: Ihre Kundendaten bleiben aktiv bis Ihre Kundenbeziehung mit uns endet. Anschließend speichern wir die Daten abhängig von den jeweiligen Aufbewahrungspflichten, die unsere Geschäftsbeziehung betreffen.

3.4.2 Warenkorb-Funktion

Beschreibung: Unsere Internetseite bietet eine Warenkorbfunktion an, über die von Ihnen ausgewählte Leistungen bereits vor Abschluss des Bestellvorgangs und auch ohne Anmeldung über ein persönliches Benutzerkonto gesammelt und gespeichert werden können. Diese Funktion dient dazu, die Nutzung des Bestellvorgangs für Sie so komfortabel wie möglich zu gestalten.

Die Warenkorbfunktion funktioniert über sogenannte Funktions-Cookies (woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_, woocommerce_recently_viewed, store_notice[notice id], tk_ai,, Speicherfrist 2 Tage). Das bedeutet, dass der Warenkorb nicht in unseren Systemen gespeichert wird sondern bei Ihnen. Sobald der Cookie aus Ihrem Browser gelöscht ist, ist auch der Inhalt des Warenkorbs gelöscht. Hierbei handelt es sich um einen essentiellen Cookie, dessen Setzen keiner Einwilligung bedarf.

Datenkategorien: Benutzer-ID (Zuweisung erfolgt über den Cookie in Ihrem Browser) und Aktivitätenhistorie (konkret: Inhalte im Warenkorb)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Der Warenkorb-Cookie dient dazu, Sie während Ihrer Bewegungen über unsere Seiten und im Falle einer Unterbrechung des Besuchs bei Ihrer Rückkehr wiederzuerkennen und ggf. den Inhalt des Warenkorbs auszulesen und Ihnen erneut bzw. fortlaufend im Bestellvorgang anzeigen zu können. Rechtsgrundlage ist entsprechend Vorbereitung eines Vertrags.

Speicherdauer: Bis Sie den Cookie aus Ihrem Browser löschen bzw. bis zum Ablaufdatum des Cookies.

3.4.3 Kundendatenbank (CRM)

Beschreibung: Wir pflegen Ihre Daten in unserer Kundendatenbank im Sinne eines Customer Relation Management (CRM). Im CRM speichern wir Ihre Vertrags- und Rechnungsdaten sowie die Historie Ihrer Kundenbeziehung mit uns. Über das CRM erfolgen auch die Terminvereinbarungen mit Ihnen. Aus dem CRM steuern wir die Kommunikation mit Ihnen, die unabhängig von unseren Marketing-Maßnahmen erfolgt (hierfür siehe die Verarbeitung „Newsletter-Anmeldung“), also z.B. Rechnungsversand oder Antworten auf direkte Fragen von Ihnen.

Soweit Sie bei uns ein Benutzerkonto für unseren Webshop eingerichtet haben, greift unser CRM auf Ihre dort gespeicherten Daten zu. Haben wir Sie als Patientin oder Patienten in unsere Patientendatenbank (KIS) aufgenommen, greift unser CRM auf Ihre allgemeinen Daten im KIS (z.B. Ihre Kontaktdaten) zu. Ein Zugriff auf medizinische Diagnosedaten oder andere Details der ärztlichen Behandlung findet nicht statt.

Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Termine, Geburtsdatum/Alter, Aktivitätenhistorie, Marketing-Einwilligungen.

Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.

Zweck + Rechtsgrundlage: Nutzung eines CRM-Systems, das uns eine ganzheitliche Betreuung unserer Kunden von der Kontaktaufnahme bis zur Abrechnung ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, da die Nutzung des CRM die Rechte und Freiheiten der Betroffenen in nur unerheblichem Maß tangiert und zugleich das Serviceniveau steigert.

Speicherdauer: Wir speichern Ihr Kundenkonto bis zu sechs Jahre nach Abschluss des letzten Kundenkontakts. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht (§ 257 HGB).

3.4.4 Abrechnung Ihrer Bestellung

Beschreibung: Soweit Ihre Bestellung bei uns nicht online bestellt und über Kreditkarte oder PayPal bezahlt wird, rechnen wir über Rechnung oder Bankeinzug (Lastschrift) mit Ihnen ab. Rechnungen werden intern bei uns erstellt und versandt. Lastschrift ziehen wir über unsere Hausbank ein. Ihre Zahlungsdaten werden dazu aus unserem Webshop verschlüsselt an uns übertragen und von uns verschlüsselt an unsere Bank weitergegeben.

Datenkategorien: Ihr Name, Ihre Bankverbindung, Rechnungsnummer, Rechnungsbetrag

Datenempfänger (ggf. Drittstaatentransfer): Unsere Hausbank, die als Finanzdienstleister dem Bankgeheimnis unterfällt. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Zahlungsabwicklung. Rechtsgrundlage ist für uns Vertragserfüllung und erfolgt durch unsere Hausbank im Rahmen eines berechtigten Interesses, da es sich um einen Dienstleister unter der Kontrolle der Bankenaufsicht handelt.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).

3.4.5 Versand Ihrer Bestellung

Beschreibung: Wir verschicken bestellte Waren per Post, Kurierdienst, Spedition oder ein vergleichbares Logistikunternehmen. Die Einhaltung des Datenschutzes durch diese Dienstleister ist im Postgesetz ergänzend zur DSGVO geregelt und wird vom Bundesdatenschutzbeauftragten überwacht.

Zusätzlich zur Postanschrift verlangen Versanddienstleister heutzutage die E-Mail-Adresse der Empfängerin bzw. des Empfängers, um Benachrichtigungen zum voraussichtlichen Zustelltermin und einen individuellen Trackingcode für die Sendungsnachverfolgung eigenständig übermitteln zu können. Die so etablierte Kommunikation zwischen Logistikunternehmen und Sendungsempfänger/in erleichtert den Zustellvorgang für beide Seiten. Die Logistikunternehmen stellen uns die Tracking-ID zur Verfügung, damit unser Service-Team bei Schwierigkeiten mit der Zustellung Fragen zum Versandstatus beantworten kann.

Datenkategorien: Name + Anschrift; E-Mail-Adresse, Tracking-ID des Logistikunternehmens

Datenempfänger (ggf. Drittstaatentransfer): Logistikunternehmen, die dem Postgeheimnis unterfallen. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Zustellung bestellter Ware. Rechtsgrundlage für die Übergabe der Postadresse ist Vertragserfüllung. Die Übergabe der E-Mail-Adresse folgt einem berechtigten Interesse, da eine Kommunikation von Tracking-IDs zur Sendungsverfolgung zum Normalfall geworden ist.

Speicherdauer: Die Dokumentation des Versandvorgangs ist nach den Vorgaben des Handelsrechts als Geschäftsbrief sechs Jahre zu speichern (§ 257 HGB).

3.4.6 Zahlungsdienstleister (PayPal)

Beschreibung: In unserem Webshop können Sie Ihre Bestellung über den Finanzdienstleister PayPal bezahlen. Aus unserem Webshop wird dazu eine verschlüsselte Verbindung zu PayPal hergestellt, über die wir PayPal eine Transaktionsnummer sowie den Rechnungsbetrag kommunizieren und Sie zur Freigabe Ihrer Zahlung an PayPal weiterleiten. PayPal erhält außer dem Rechnungsbetrag von uns keine Informationen zu den von Ihnen bestellten Produkten. Wir erhalten von PayPal keine Informationen über Ihre Bankverbindung oder Kreditkarte. PayPal meldet uns einzig zurück, wenn der Rechnungsbetrag für eine von uns generierte Transaktionsnummer uns gut geschrieben werden konnte.

Hinsichtlich aller Vorgänge bei PayPal ergibt sich der Datenschutz aus Ihrer eigenständigen Vertragsbeziehung mit PayPal.

PayPal unterliegt als Finanzdienstleister der europäischen Bankenaufsicht. Details zum Datenschutz bei PayPal finden Sie auf: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Datenkategorien: Transaktionsnummer und Rechnungsbetrag, weitere personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen.

Datenempfänger (ggf. Drittstaatentransfer): PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über Ihr PayPal-Konto. Rechtsgrundlage ist sowohl für PayPal wie für uns jeweils Vertragserfüllung.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).

3.4.7 Zahlungsdienstleister Sofortüberweisung (Klarna)

Beschreibung: In unserem Webshop können Sie Ihre Bestellung über den Dienst Sofortüberweisung bezahlen. Für die Abwicklung von Sofortüberweisungen nutzen wir den Service des Finanzdienstleisters Klarna. Aus unserem Webshop wird dazu eine verschlüsselte Verbindung zu Klarna hergestellt, über die wir eine Transaktionsnummer sowie den Rechnungsbetrag kommunizieren und Sie zur Überprüfung Ihrer Bankverbindungsdaten an Klarna weiterleiten.

Klarna und damit auch Ihr kontoführendes Finanzinstitut erhalten außer dem Rechnungsbetrag und unserem Namen als Gläubiger von uns keine Informationen zu den von Ihnen bestellten Produkten. Wir erfassen oder speichern bei uns keine Daten zu Ihrer Bankverbindung, sondern speichern nur die entsprechende Transaktionsbestätigung von Klarna, wenn der Rechnungsbetrag für eine von uns generierte Transaktionsnummer uns gut geschrieben werden konnte.

Hinsichtlich aller Vorgänge bei Klarna ergibt sich der Datenschutz aus Ihrer eigenständigen Vertragsbeziehung mit Klarna. Wir stellen insoweit nur den Transfer zu diesem eigenständigen Dienstleister als Zahlungsoption für Sie zur Verfügung.

Klarna unterliegt als Finanzdienstleister der europäischen Bankenaufsicht. Details zum Datenschutz bei Klarna finden Sie auf: https://www.klarna.com/sofort/datenschutz/

Datenkategorien: Transaktionsnummer und Rechnungsbetrag, weitere personenbezogene Daten und Kontoinformationen, die erforderlich sind, um die Transaktion durchzuführen.

Datenempfänger (ggf. Drittstaatentransfer): Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über den Dienst Sofortüberweisung. Rechtsgrundlage ist sowohl für Klarna wie für uns die Vertragserfüllung.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).

3.4.8 Zahlung mit Maestro- oder Kreditkarten am Lesegerät

Beschreibung: In unseren Fachzentren können Sie mit Maestro- und Kreditkarten bezahlen. Das dafür eingesetzte Kartenlesegerät übermittelt die Daten Ihrer Karte in Verbindung mit dem Zahlbetrag an den Netzbetreiber, der uns das Lesegerät zur Verfügung stellt. Der Netzbetreiber verarbeitet die Daten zur Zahlungsabwicklung, zur Verhinderung von Kartenmissbrauch, zur Begrenzung des Risikos von Zahlungsausfällen und zu gesetzlich vorgegebenen Zwecken wie z.B. zur Geldwäschebekämpfung. Zu diesen Zwecken werden Ihre Daten nach den Vorgaben des Finanzmarktrechts auch an weitere verantwortliche Stellen übermittelt.

Wir als Zahlungsempfänger und der Netzbetreiber sind unabhängig voneinander verantwortlich für die Verarbeitung Ihrer Daten, jeweils in unserem technischen Einflussbereich. Wir sind verantwortlich für den Betrieb des Kartenlesegeräts an der Kasse und für unser internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Verschlüsselung, Risikoprüfung und die weitere Übermittlung ist die InterCard AG, Mehlbeerenstraße 4, 82024 Taufkirchen bei München, https://www.intercard.de/. Datenschutzinformationen für Karteninhaber zu kartengestützten Zahlungen finden Sie unter: https://www.intercard.de/sites/default/files/intercard_datenschutzinformation_fuer_karteninhaber_1808.pdf.

Daten, die auf Ihrer Karte gespeichert sind, erhalten wir direkt von Ihnen, indem wir sie von der Karte auslesen. Ihre PIN und Ihre Unterschrift erhalten wir von Ihnen. Soweit für die Prüfung der Kartenzahlung (Autorisierung) oder für die Rückabwicklung einer Kartenzahlung erforderlich, verarbeiten wir auch Daten, die uns von Dritten (z. B. Ihrer Bank oder einer Kreditauskunftei) berechtigt übermittelt werden.

Ihre PIN-Eingabe wird kryptographisch gesichert und durch das kartenausgebende Institut geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.

Außer uns und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten vom Zahlungsempfänger weitergegeben, und zwar an die folgenden Stellen:

  • das Zahlungskartensystem, z.B. Visa oder Mastercard
  • Ihre kartenausgebende Bank und die Bank des Acquirers
  • die von den Kreditkartenorganisationen zwischengeschalteten Stellen, die Abrechnung (auch „Clearing und Settlement“ genannt) von Zahlungen übernehmen
  • Strafverfolgungsbehörden, in den gesetzlich vorgesehenen Fällen • Geldwäschemeldestellen, in den gesetzlich vorgesehenen Fällen.

Der Acquirer leitet Ihre Daten an das Zahlungskartensystem weiter. Die meisten globalen Zahlungskartensysteme haben ihren Hauptsitz sowie Datenverarbeitungssysteme in Drittländern, d.h. außerhalb des Europäischen Wirtschaftsraums. Die Weiterleitung erfolgt zu dem Zweck, um Ihre Zahlung zu autorisieren und auszuführen. Der Acquirer leitet Ihre Daten an das Zahlungskartensystem und damit bei globalen Zahlungskartenverfahren an einen Standort außerhalb des Europäischen Wirtschaftsraums weiter. Dies erfolgt gemäß den jeweils dafür geltenden gesetzlichen Anforderungen, etwa zum Zweck der Erfüllung des Vertrages mit dem ausländischen Zahler, und um Ihre Zahlung zu autorisieren und auszuführen.

Über die Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in den Datenschutzbestimmungen Ihres Kartenanbieters.

Datenkategorien: Kartendaten (IBAN bzw. Kontonummer und Bankleitzahl, Kartenverfallsdatum und Kartennummer, Kartentyp), Zahlungsdaten (Betrag, Datum, Uhrzeit, Kennung des Kartenlesegeräts (Ort, Unternehmen und Filiale, in der Sie zahlen)), Prüfdaten Ihres kartenausgebenden Instituts (Ihre Unterschrift, PIN), Rücklastschriftdaten (Informationen über die Nichteinlösung einer Lastschrift durch Ihre Bank oder den Widerruf einer Lastschrift durch Sie), Forderungsdaten (Wenn eine Rücklastschrift erstellt wird: Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, ggf. Einkaufsbeleg)

Zweck + Rechtsgrundlage: Abwicklung Ihrer Zahlung über Ihren Kartenanbieter. Rechtsgrundlage ist sowohl für Ihren Kartenanbieter als auch für uns Vertragserfüllung.

Datenempfänger (ggf. Drittstaatentransfer): Ihre Daten werden weitergegeben an Ihre Bank, unsere Bank, die Stellen, die vom deutschen Kreditgewerbe für das Clearing und Settlement von Zahlungen bestimmt werden, Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen, Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen, Kreditauskunfteien im Falle einer Rücklastschrift. Eine Übermittlung in Drittstaaten findet nicht statt.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren (§ 147 AO).

3.5 Direkte Kommunikation mit uns

3.5.1 E-Mail-Kommunikation

Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absenderadresse, Zeitpunkt des Versands etc.) werden auf dem eigenen E-Mail-Server der M1 Med Beauty Berlin GmbH, der nach aktuellem Stand der Technik geschützt und gesichert ist, gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets).

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

E-Mail Verschlüsselung: E-Mails können unverschlüsselt, transportverschlüsselt und Ende-zu-Ende-verschlüsselt verschickt werden. Standard ist ein transportverschlüsselter Versand, einen gänzlich unverschlüsselten Versand bieten wir nicht an. Transportverschlüsselung bedeutet, dass die Kommunikation fast durchgängig verschlüsselt ist, die E-Mails aber unverschlüsselt auf den Servern der Postfachanbieter liegen.

Da wir einen eigenen E-Mail-Server betreiben, entspricht die Verschlüsselung auf unserer Seite einer Ende-zu-Ende-Verschlüsselung. Auf Ihrer Seite ist der Zugriff auf Ihre E-Mail-Inhalte davon abhängig, bei welchem Anbieter Sie Ihre E-Mails speichern und welche Dritten darauf zugreifen dürfen. Abhängig vom nationalen Standort Ihres Providers ist, welche staatlichen Einrichtungen auf Ihre E-Mails zugreifen dürfen.

Ende-zu-Ende-Verschlüsselung schließt auch den Zugriff beim Provider aus. Nur Sender und Empfänger können die Inhalte der E-Mails lesen.

Wir können Ihnen auf zwei Wegen E-Mails mit Ende-zu-Ende verschlüsselten Inhalten zukommen lassen. Sie erhalten von uns eine durch unsere Firewall verschlüsselte E-Mail, die Sie mit einem Passwort öffnen können, das Sie in einer zweiten E-Mail zugestellt bekommen. Dieses Passwort wird für jede E-Mail nur einmal ausgestellt und sollte von Ihnen sicher gespeichert werden. Wenn Sie die Antworten-Funktion dieser E-Mail nutzen, wird Ihre Antwort an uns ebenfalls verschlüsselt an uns gesendet. Wir können Ihnen auch verschlüsselte PDF-Dokumente schicken. Auch hier erhalten Sie das Passwort in einer separaten E-Mail. Um diese Möglichkeiten nutzen zu können, benötigen Sie den Adobe Acrobat Reader.

Sensible Daten, deren Verlust oder Offenbarung gegenüber Unberechtigten ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, sollten nur Ende-zu-Ende-verschlüsselt übertragen werden. Gesundheitsdaten zählen oft zu solchen sensiblen Daten. Daher fragen wir Sie ausdrücklich nach Ihrer Einwilligung, bevor wir zu medizinischen Themen über E-Mails mit Ihnen kommunizieren, die nur transportverschlüsselt sind.

Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Ein Transfer in Drittstaaten findet nicht statt (außer Sie nutzen Ihrerseits einen Hosting-Dienstleister außerhalb des Europäischen Wirtschaftsraums oder halten sich dort auf).

Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail. Ein Versand von sensiblen Daten per E-Mails, die nicht Ende-zu-Ende-verschlüsselt sind, erfolgt auf Grundlage Ihrer Einwilligung.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.5.2 Telefonate

Beschreibung: Telefonieren wir miteinander, erfassen unsere Mobiltelefone bzw. unsere Telefonanlage zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs. Diese Daten in den Anruflisten werden fortlaufend von nachfolgenden Gesprächen gelöscht. Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und erfassen sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber im Personalbereich). Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Zu Beginn eines Gesprächs mit unserer Terminvereinbarung unter der Rufnummer 030 347474100 bitten wir Sie um Zustimmung für das Mithören von Telefonaten. Sofern Sie damit einverstanden sind, kann die Gruppenleitung unseres Callcenters zusammen mit der betroffenen Mitarbeiterin gemeinsam Ihren Anruf abhören. Dies geschieht zu Schulungszwecken, die mitgehörten Telefonate werden nicht gespeichert.

Aufzeichnungen von Gesprächen finden nur im absoluten Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Die M1 Med Beauty Berlin GmbH betreibt ein eigenes Callcenter, eine Auftragsverarbeitung findet nicht statt. Datenempfänger sind Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Rechtsgrundlage für die Aufzeichnung oder das Mithören des Gesprächs ist Ihre Einwilligung.

Speicherdauer: Abhängig vom Inhalt des Gesprächs; regelmäßig nur wenige Tage. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen (§ 257 HGB).

3.5.3 Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.5.4 Messenger

Beschreibung: Wir verwenden Microsoft Teams. Microsoft Teams wird unternehmensintern verwendet. Teams ist Bestandteil der Microsoft 365 Software. Alle Teams-Einstellungen sind im Hinblick auf einen größtmöglichen Schutz der Daten umgesetzt.. Weitere Informationen zum Datenschutz von Microsoft-Produkten finden Sie unter: https://privacy.microsoft.com/de-de/privacy

Datenkategorien: Name, Mobilfunknummer; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der Messenger-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der Nachrichten wie z.B. Anfragen, Bestellungen, Angebote oder Reklamationen

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Verarbeitungszweck ist das berechtigte Interesse einer unternehmensinterne Kommunikation auf aktuellem Stand der Technik.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.5.5 Faxen

Beschreibung: Wir verwenden ein klassisches Faxgerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, wird das Dokument von unserem Empfangsgerät als Ausdruck zur Verfügung gestellt. Das Gerät erfasst die von Ihnen übertragenen Absenderdaten und dokumentiert sie zusammen mit dem Empfangszeitpunkt sowohl auf dem Ausdruck wie im Journal des Geräts. Senden wir Ihnen ein Fax, erfasst das Journal die Empfängernummer, Sendezeitpunkt, Seitenzahl und Übertragungserfolg.

Die Sicherheit der Übertragung entspricht der Sicherheit moderner Telefonnetze, die auch Faxdaten als sogenanntes Voice (Fax) over IP übertragen. Innerhalb des Netzes eines einzelnen Netzanbieters (z.B. Deutsche Telekom) sind die Daten verschlüsselt, an den Netzübergabestellen erfolgt eine unverschlüsselte Übertragung.

Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang, Seitenzahl, Übertragungserfolg; ggf. personenbezogene Inhalte des gesendeten Dokuments

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.5.6 Visitenkarten

Beschreibung: Wenn Sie uns eine Visitenkarte übergeben, übernehmen wir die darauf gemachten Daten zu Ihrer Person in unser Kontaktverzeichnis oder unsere Kundendatenbank (CRM). Unsere Kontaktverzeichnisse werden als Teil der E-Mail-Postfächer betreiben (M1-eigener Outlook Exchange Server).

Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen

Datenempfänger (ggf. Drittstaatentransfer): Keiner bzw. verbundene Unternehmen über das gemeinsam betriebene CRM (siehe die entsprechende Verarbeitung)

Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.

3.6 Besuch unserer Internetseiten

3.6.1 Bereitstellen unserer Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Als Redaktionssystem nutzen wir WordPress, dass für die technische Auslieferung der Seiten ein sogenanntes Session-Cookie in Ihren Browser setzt (PHPSESSID; Speicherdauer: Ende des aktuellen Besuchs auf unseren Seiten)

Datenkategorien: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware

Datenempfänger (ggf. Drittstaatentransfer): Unser Webhosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Im Falle von Angriffen auf unsere Seiten Weitergabe an Ermittlungsbehörden und von uns beauftragte Forensiker. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat. Der Session-Cookie ist ein essentieller Cookie, der auch nach der ePrivacy-Richtlinie keiner Einwilligung bedarf.

Speicherdauer: 7 Tage

3.6.2 Cookie-Verwaltung (Borlabs)

Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung in Ihrem Browser-Cache nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits in einem Cookie auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie den entsprechenden Cookie (borlabs-cookie, Speicherdauer 1 Jahr) über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.

Datenkategorien: Einwilligungsstatus (Ja/Nein je Cookie, für den wir Ihre Einwilligung benötigen)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Rechtskonformes Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht.

Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies

3.6.3 Spracheneinstellung (Polylang)

Beschreibung: Wir bieten unsere Internetseite in mehreren Sprachen an. Dafür nutzen wir den WordPress-Dienst Polylang, der über die Einstellungen Ihres Geräts Ihre bevorzugte Sprachwahl erkennt und entsprechend die Bereitstellung unserer Internetseite in der für Sie passenden Sprache ermöglicht. Damit wir die Analyse der Sprachwahl nicht beim Aufruf jeder einzelnen Seite von uns erneut durchlaufen werden muss, setzt Polylang einen entsprechenden Cookie (pll_language, Speicherdauer 1 Jahr).

Datenkategorien: Im Gerät hinterlegte Sprachwahl

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Bereitstellung der Internetseite in der von Ihnen bevorzugten Sprache. Rechtsgrundlage ist ein berechtigtes Interesse, da wir davon ausgehen dürfen, dass Sie die Seiten in der für Sie passenden Sprache sehen wollen. Dieser Cookie darf auch nach der ePrivacy-Richtlinie ohne Ihre Einwilligung gesetzt werden, da die Sprachwahl als eine essentielle Funktion anzusehen ist.

Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies

3.6.4 Kontaktformular

Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular. Darüber können Sie uns Nachrichten schicken, z.B. wenn Sie keine eigene E-Mail-Adresse haben oder diese für die Nachricht an uns nicht verwenden möchten. Ihre freiwilligen Eingaben werden technisch als eine E-Mail an uns geschickt (auch wenn Sie selbst keine E-Mail-Adresse als Absender hinterlegt haben).

Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.

Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.

Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

3.6.5 Webfonts (Online-Schriften)

Beschreibung: Um eine individuelle Gestaltung unserer Internetseiten zu ermöglichen, nutzen wir sogenannte Webfonts. Das sind Schriften, die Ihr Browser zur Darstellung unserer Seite – wenn die Schriften noch nicht von einem vorherigen Besuch einer Seite mit dieser Schrift im Speicher Ihres Browsers geladen sind – aus dem Internet lädt.

Teilweise stehen Schriften direkt auf unserem eigenem Server zur Verfügung. Insoweit handelt es sich nicht um eine eigenständige Verarbeitung, die über die Verarbeitung „Bereitstellen unserer Internetseiten“ hinausgeht. Teilweise greifen wir auf Schriften von externen Servern zu, in unserem Fall bei der Nutzung des YouTube-Players oder von Google Maps auf Schriften von Google (Google Fonts). Google ermöglicht eine herausragend schnelle Bereitstellung der Schriftdateien und gewährleistet eine Bereitstellung des aktuell optimalen Schriftsatzes.

Für den Download der Schriften von den Google-Schriftservern (gstatic.com) muss Ihre IP-Adresse an Google übertragen werden, da anders eine Übertragung des Datenpakets nicht möglich ist. Google erhält im Zusammenhang mit dieser Verarbeitung keinerlei weitere Daten von Ihnen.

Datenkategorien: IP-Adresse, von der aus Ihr Gerät ins Internet geht

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen von Google Fonts erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür hat Google sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Bereitstellung von Google Fonts in schneller und aktueller Form. Rechtsgrundlage ist ein berechtigtes Interesse, da im Rahmen dieser Verarbeitung allein die IP-Adresse ihres Geräts übertragen wird ohne weitere Referenzen zu Ihrer Nutzung des Internets.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Fonts keine Daten von Ihnen erfassen.

3.6.6 Navigationsfunktionen (Google Maps)

Beschreibung: In unsere Internetseiten haben wir Karten von Google Maps eingebunden, einen Dienst von Google. Diese interaktiven Karten ermöglichen es Ihnen, unseren Standort in Kartenform zu sehen und von Ihrem Standort zu uns zu navigieren.

Der von uns verwendete Kartenausschnitt überträgt beim Aufruf in Ihrem Browser Ihre IP-Adresse an Google und – wenn Sie das in ihrem Gerät nicht deaktiviert haben – Ihren aktuellen Standort. Sollten Sie auf Ihrem Gerät zum Zeitpunkt des Seitenaufrufs mit einem Google-Konto eingeloggt sein, erfährt Google über Ihr persönliches Konto auch konkret, wer Sie sind.

Wir erhalten von Google Maps keinerlei Daten über Sie.

Sie können die Übertragung Ihres Standorts an Google verhindern, indem Sie in den Einstellungen Ihres Geräts den Zugriff Ihres Browsers auf Ihre Standortdaten unterbinden. Wenn Sie ein Google-Konto haben, können Sie die von Google zu Ihnen gespeicherten Standortdaten darüber löschen lassen.

Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google: https://policies.google.com/privacy

Zusätzliche Infos zu Google Maps finden Sie auf: https://www.google.com/intl/de_de/help/terms_maps.html.

Obwohl wir keine Daten von Google erhalten, stuft Google die Nutzung seines Kartendienstes durch uns als eine gemeinsame Verantwortung ein, da sowohl Google wie auch wir ein Interesse an der Bereitstellung des Dienstes haben. Zwischen Google und uns besteht dementsprechend ein Vertrag über die gemeinsame Verantwortung, dessen Inhalt Sie hier nachlesen können (nur auf Englisch): https://privacy.google.com/intl/de/businesses/mapscontrollerterms/

Datenkategorien: IP-Adresse Ihres Geräts; Standort Ihres Geräts, wenn die Standortweitergabe in ihrem Gerät nicht deaktiviert wurde; Zeitpunkt des Datenaufrufs; bei Goolge Maps aufgerufene Inhalte und genutzte Funktionen (z.B. Routenplanung); Google-ID im Google Cookie, wenn Sie das Setzen der Google Cookies zugelassen haben.

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen von Google Maps erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür hat Google sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zweck der Einbindung von Google Maps ist es, Ihnen die Anreise zu uns zu erleichtern. Rechtsgrundlage für die Übertragung von personenbezogenen Daten an Google ist Ihre Einwilligung. Daher können wir Ihnen den Zugriff auf Google Maps erst gewähren, wenn Sie eine entsprechende Zustimmung gegeben haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Google Maps keine Daten von Ihnen erfassen.

3.6.7 Video-Streaming (YouTube)

Beschreibung: Unsere Internetseite zeigt Filme über einen Videoplayer von YouTube, einem Tochterunternehmen von Google. Der in unsere Seiten eingebaute YouTube-Player nimmt seine Verbindung zu Google erst auf, nachdem Sie den Button „Video laden“ angeklickt haben. Damit erteilen Sie Ihre Einwilligung, dass die mit dem YouTube-Player einhergehenden Cookies von Google in Ihrem Browser gesetzt werden. Dabei wird Google mitgeteilt, welche unserer Seiten Sie besucht haben und welchen Film Sie angeschaut haben. Google setzt über den YouTube-Player die folgenden Cookies: CONSENT (), GPS, Visitor_Info1_Live, YSC, IDE

Wir erhalten hinsichtlich dieser Datenerfassung von Google keinerlei Daten über Ihr Nutzungsverhalten.

Wenn Sie während des Besuchs unserer Seite in Ihrem YouTube- oder Google-Konto eingeloggt sind, ermöglichen Sie Google, Ihr Nutzungsverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Konto ausloggen.

Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Google unter https://www.google.de/intl/de/policies/privacy

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; in Cookies gespeicherte Google-ID

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland. Die im Rahmen des YouTube-Einsatzes erfassten Daten werden an Server von Google in den USA übertragen und dort verarbeitet. Hierfür hat Google sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Wir setzen den YouTube-Player ein, um Ihnen ein leistungsfähiges Video-Streaming anbieten zu können. Rechtsgrundlage für die Datenübertragung an Google ist Ihre Einwilligung über das Cookie-Management.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von YouTube keine Daten von Ihnen erfassen.

3.6.8 Analyse des Nutzungsverhaltens (Google Analytics)

Beschreibung: Wir benutzen den Webanalysedienst Google Analytics. Google erstellt in unserem Auftrag anhand der erhobenen Informationen statistische Reports über die Aktivitäten auf unserer Internetseite, die Herkunft der Besucher und technische Eckwerte der Geräte, mit denen unsere Seiten besucht werden.

Wir benutzen Analytics mit der Erweiterung “anonymizeIP”, damit die IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen. Durch die IP-Anonymisierung wird das Ende Ihre IP-Adresse von Google innerhalb der Europäischen Union durch Nullen ersetzt, bevor die Daten in die USA übertragen werden. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Wir haben unser Analytics-Konto mit unserem Marketingkonto bei Google verknüpft und ermöglichen es Google so, Anzeigen für uns noch zielgruppengerechter ausspielen zu können. Zudem können wir so besser nachvollziehen, welche Werbemaßnahme welchen Erfolg hatte. Siehe dazu die Verarbeitung „Google Ads“ und dort den entsprechenden Hinweis zu unserer gemeinsamen Verantwortung mit Google im Sinne des Art. 26 DSGVO.

Google Analytics verwendet Cookies, um die Nutzungsdaten aus Ihrem Browser bündeln zu können. Das gibt uns die Möglichkeit, die Quote wiederkehrender Besucher zu bestimmen oder Nutzungspfade innerhalb unserer Internetseiten nachvollziehen zu können.

Die Analytics-Cookies tragen die Bezeichnungen _ga (2 Jahre), _gid (24 Stunden), _gat_gtag_UA_33213068_1 (1 Minute), _gcl_au (3 Monate).

Umfassende Informationen über die Verwendung der von Google erfassten Daten finden Sie in den Datenschutzinformationen von Google (https://policies.google.com/privacy) und in Googles Informationen zu Cookies (https://policies.google.com/technologies/cookies).

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Google-ID

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Die durch die Cookies gesammelten Informationen werden an Server von Google in den USA übertragen und dort gespeichert. Für die Fälle, in denen trotz der getroffenen Einschränkungen wie der Anonymisierung der IP-Adressen personenbezogene Daten in die USA übertragen werden, hat Google sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Der Zweck dieser Nutzungsanalyse ist es, dass wir unser Internetangebot anhand der Analyseerkenntnisse weiter verbessern können. Rechtsgrundlage insbesondere für die Verknüpfung der statistischen Analytics-Daten mit den zielgruppenorientierten Werbefunktionen von Google ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.

Speicherdauer: 14 Monate (Begründung: Diese Speicherdauer ermöglicht uns das Erstellen von Jahresberichten.)

3.6.9 Analyse des Nutzungsverhaltens (Facebook Pixel)

Beschreibung: Unsere Internetseiten setzen Cookies von Facebook, inclusive des Cookies, der auch unter dem Begriff Facebook Pixel bekannt ist. Dadurch stellen wir Facebook Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es Facebook, Anzeigen für uns innerhalb von Facebook und Instagram zielgruppengerechter bereitzustellen.

Die entsprechenden Daten werden nur an Facebook übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der Facebook-Cookies sind: AA003, ATN, _fbp, fr, der Name des Facebook Pixels ist: M1 Med Beautys Pixel.

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Facebook-ID

Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Uns gegenüber ist Facebook zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Soweit Daten an Server von Facebook in die USA übertragen werden, hat Facebook sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an Facebook ist es, Anzeigen bei Facebook und Instagram möglichst zielgruppengerecht bereitstellen zu können. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook. Eine Datenlöschung bei uns ist nicht möglich, da wir selbst durch den Einsatz des Facebook Pixels keine Daten von Ihnen erfassen.

3.6.10 Analyse des Nutzungsverhaltens (LinkedIn)

Beschreibung: Unsere Internetseiten setzen Cookies von LinkedIn. Dadurch stellen wir LinkedIn Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es LinkedIn, Anzeigen für uns innerhalb von LinkedIn zielgruppengerechter bereitzustellen.

Die entsprechenden Daten werden nur an LinkedIn übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der LinkedIn-Cookies sind: UserMatchHistory, bcookie, bscookie, lang, lidc, lissc

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte LinkedIn-ID

Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Uns gegenüber ist LinkedIn zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Soweit Daten an Server von LinkedIn in die USA übertragen werden, hat LinkedIn sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000L0UZAA0) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an LinkedIn ist es, Anzeigen bei LinkedIn möglichst zielgruppengerecht bereitstellen zu können. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn. Eine Datenlöschung bei uns ist nicht erforderlich, da wir selbst durch den Einsatz der LinkedIn-Cookies keine Daten von Ihnen erfassen.

3.6.11 Einsatz eines Content Delivery Networks (Cloudflare)

Beschreibung: Unser Hostingdienstleister stellt unsere Internetseiten über ein sogenanntes Content Delivery Network (CDN) als besonders belastbare Form des Internethostings zur Verfügung. Für uns ist als CDN Cloudflare im Einsatz. Cloudflare mit seiner spezialisierten Technologie ermöglicht es, dass Internetseiten weltweit auch bei starken Zugriffen schnell ausgeliefert werden können. Zudem bietet Cloudflare spezielle Sicherheitsfunktionen, die das Internethosting besonders stabil gegen Angriffe machen.

Zur vollen Nutzung seiner Sicherheitsfunktionen arbeitet Cloudflare mit Cookies (_cfduid, Speicherzeit: 1 Monat). Cloudflare-Cookies gelten als essentielle Cookies, da ihre Funktion allein der zuverlässigen Bereitstellung der Internetseiten dient.

Datenkategorien: IP-Adresse, über die das Gerät online geht; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft

Datenempfänger (ggf. Drittstaatentransfer): Cloudflare Inc., 101 Townsend Street, San Francisco, California 94107, USA. Uns gegenüber ist Cloudflare zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Soweit Daten an Server von Cloudflare in die USA übertragen werden, hat Cloudflare sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000GnZKAA0) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an Cloudflare ist es, unsere Internetseiten sicher und schnell bereitstellen zu können. Rechtsgrundlage ist ein berechtigtes Interesse, da Cloudflare die Daten allein dazu nutzt, die Leistungsfähigkeit unseres Internethostings zu steigern und zu sichern.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Cloudflare. Eine Datenlöschung bei uns ist nicht möglich, da wir selbst durch den Einsatz der Cloudflare-Cookies keine Daten von Ihnen erfassen.

3.7 Marketing-Kommunikation

3.7.1 Newsletter-Anmeldung

Beschreibung: Sie können sich für unseren E-Mail-Newsletter anmelden. Dafür müssen Sie nur eine E-Mail-Adresse angeben. Weitere Angaben wie z.B. Ihr Name sind freiwillig und dienen dazu, dass wir den Versand der E-Mails mit einer direkten Anrede personalisieren können. Nach Ihrem Geburtsdatum fragen wir bei der Anmeldung, weil wir bestimmte Gesundheitsprodukte nur volljährigen Personen anbieten dürfen.

Wenn Sie sich online für den Newsletter anmelden, erhalten Sie an die von Ihnen angegebene E-Mail-Adresse von uns einmalig eine E-Mail geschickt, in der wir Sie um eine Bestätigung Ihrer Anmeldung bitten. Damit wollen wir vermeiden, dass Sie von jemanden für unseren Newsletter angemeldet werden, der gar keinen Zugriff auf diese Adresse hat oder haben sollte. Dieses zweistufige Verfahren nennt sich Double-Opt-In für doppelte Einwilligung.

Mit der Anmeldung zu unserem Newsletter willigen Sie sowohl datenschutzrechtlich wie wettbewerbsrechtlich ein, dass wir Ihnen E-Mails zu dem auf der Anmeldeseite beschriebenen Themen schicken dürfen.

Sie können Ihre Anmeldung und damit Ihre Einwilligung jederzeit für die Zukunft widerrufen. Das ist über den entsprechenden Link am Ende jedes von uns verschickten Newsletters möglich.

Wir erfassen die Nutzung unseres Newsletters über sogenannte Zähl-Pixel und Kampagnen-URLs für die Internetlinks im Newsletter. Das Zählpixel ruft unseren Newsletter-Server auf, wenn Sie die E-Mail öffnen. Unser Newsletter-Dienstleister stellt uns die Daten nur in anonymisierter, statistischer Form zur Verfügung, so dass wir keinen Rückschluss auf das Leseverhalten einzelner Newsletter-Empfänger ziehen können. Der Aufruf der Internetlinks im Newsletter wird über die Kampagnenzuordnung bei Google Analytics erfasst und uns ebenfalls nur in statistischer Form zur Verfügung gestellt.

Datenkategorien: E-Mail-Adresse, Dokumentation der E-Mail-Verifikation (Double Opt-in), Zeitpunkt Ihrer Anmeldung; Name (freiwillig); Geburtsdatum (freiwillig); Nutzungsdaten (Öffnen der E-Mail + Klicken auf Internetlinks); IP-Adresse Ihres Geräts zum Zeitpunkt des Newsletter-Öffnens bzw. Aufrufen der Internetlinks im Newsletter

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister in Deutschland für den Newsletter-Versand, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Google für die Klicks auf Internetlinks. Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Uns gegenüber ist Google zur Beachtung des Datenschutzes über einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Die Daten werden an Server von Google in den USA übertragen. Google hat sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Bereitstellen eines E-Mail-Newsletters und Optimierung unserer Newsletter-Inhalte. Rechtsgrundlage ist Ihre Einwilligung.

Speicherdauer: Nach Widerruf Ihrer Einwilligung werden Ihre Registrierungsdaten unmittelbar gelöscht.

3.7.2 Gewinnspielteilnahme

Beschreibung: Regelmäßig laden wir zur Teilnahme an Gewinnspielen ein. Einladungen gehen sowohl an Follower auf unseren Social Media-Profilen wie an Empfänger unserer Newsletter.

Alle Teilnehmenden erfassen wir in einer Liste, um darüber eine Verlosung durchführen zu können. Die Liste der Teilnehmenden wird nach Benachrichtigung des Gewinners vernichtet.

Die Auswahl des Gewinners erfolgt unter Ausschluss des Rechtswegs. Gewinnerin oder Gewinner werden von uns per Nachricht bei Facebook oder Instagram oder per E-Mail benachrichtigt oder erhalten ihren Preis per Post geschickt.

Aus steuerrechtlichen Gründen speichern wir Namen und Kontakt des Empfängers, um eine korrekte Verwendung unseres Preises nachweisen zu können. Eine weitere Nutzung der Siegeradressen erfolgt nicht.

Datenkategorien: Name bzw. E-Mail-Adresse

Datenempfänger (ggf. Drittstaatentransfer): Keine

Zweck + Rechtsgrundlage: Auswahl eines Gewinnspielgewinners. Rechtsgrundlage für die Verlosung ist Erfüllung des unentgeltlichen Gewinnspielvertrags. Rechtsgrundlage für den Versand von Einladungen ist die erteilte Einwilligung zum Empfang elektronischer Werbung (Newsletter-Anmeldung)

Speicherdauer: Für die Teilnehmerdaten bis zur Benachrichtigung der Gewinner; für die Gewinnerdaten sechs Jahre (§ 257 HGB)

3.7.3 Rabattprogramm (M1 Premium Card)

Beschreibung: Wir bieten die M1 Premium Card an, über die Sie einen Rabatt in Anspruch nehmen können, wenn Sie regelmäßig Behandlungen bei uns in Anspruch nehmen und sich für unseren Newsletter anmelden. Im Rahmen der Rabattgewährung beschränkt sich die Datenverarbeitung darauf, dass wir anhand unserer Kundendatenbank und der Newsletter-Registrierung überprüfen, ob die Anspruchsvoraussetzung für den Rabatt bei Ihnen vorliegen.

Hinsichtlich der Datenverarbeitung durch die Newsletter-Anmeldung siehe die Verarbeitung „Newsletter-Anmeldung“.

Datenkategorien: Name, E-Mail-Adresse, zurückliegende Behandlungstermine, Status Newsletter-Anmeldung

Datenempfänger (ggf. Drittstaatentransfer): keiner

Zweck + Rechtsgrundlage: Bereitstellung eines Rabatts, der an eine Mindestzahl von Behandlungen und die Anmeldung zum Newsletter geknüpft ist

Speicherdauer: Eine eigenständige Speicherung findet nicht statt, da es sich bei der Gewährung des Rabatts um einen jeweils einmaligen Vorgang handelt

3.7.4 Rabattprogramm (Bring a Friend)

Beschreibung: Wir bieten Ihnen einen Rabatt an, wenn Sie eine Freundin bzw. einen Freund werben oder sich von einer Freundin bzw. einem Freund werben lassen. Da die Gewährung des Rabatts aus ärztlicher Sicht die Offenlegung einer bestehenden Patientenbeziehung ist (sowohl mit Alt-Patient/in wie mit Neu-Patient/in), setzt die Bereitstellung des Rabatts eine Entbindung von der Schweigepflicht durch beide Teilnehmenden an diesem Rabattprogramm voraus.

Wir stellen beiden Teilnehmenden Formulare für entsprechende Schweigepflichtentbindung zur Verfügung. Den Rabatt können wir erst gewähren, wenn beide Betroffenen diese Erklärung unterschrieben und an uns zurückgegeben haben.

Datenkategorien: Namen von Werber/Werberin und Geworbener/Geworbenem, Status Schweigepflichtentbindung

Datenempfänger (ggf. Drittstaatentransfer): keiner

Zweck + Rechtsgrundlage: Bereitstellung eines Rabatts, der an die Offenlegung einer Verbindung zweier Kundinnen/Kunden geknüpft ist. Rechtsgrundlage ist Ihre Einwilligung in Form der Schweigepflichtentbindung.

Speicherdauer: Wir speichern die Schweigepflichtentbindung im Rahmen unserer ärztlichen Dokumentation für zehn Jahre nach Abschluss der Behandlung.

3.7.5 Bewertungen (eKomi)

Beschreibung: Wir freuen uns, wenn unsere Leistungen bewertet werden. Daher lassen wir allen Kundinnen und Kunden, von denen uns eine entsprechende Einwilligung in die elektronische Kommunikation vorliegt, eine Bewertungseinladung des Dienstleisters eKomi schicken. Der Versand der Einladungen erfolgt durch eKomi als einem Auftragsverarbeiter im Sinne des Artikel 28 DSGVO.

Folgen Sie der Einladung zur Bewertung unserer Leistungen auf der Plattform von eKomi, erfolgt die Abgabe der Bewertung im Rahmen einer direkten Beziehung zwischen Ihnen und eKomi. Sollten Sie anschließend Fragen zu den von Ihnen abgegebenen Bewertungen haben, müssen Sie sich direkt an eKomi wenden, da wir die Inhalte der Bewertungsplattform nicht beeinflussen können.

Informationen zum Datenschutz bei eKomi finden Sie hier: https://www.ekomi.de/de/datenschutz/

Datenkategorien: E-Mail-Adresse, Name, bewertbare Leistung (Produkt oder Behandlung)

Datenempfänger (ggf. Drittstaatentransfer): eKomi Ltd., Markgrafenstraße 11, 10969 Berlin. eKomi ist durch einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Einladung auf Bewertungsplattform zur Beurteilung unserer Leistungen. Rechtsgrundlage ist die erteilte Einwilligung zum Empfang elektronischer Werbung (Newsletter-Anmeldung).

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von eKomi.

3.7.6 Analyse des Nutzungsverhaltens (Microsoft Bing)

Beschreibung: Unsere Internetseiten setzen Cookies von Microsofts Suchmaschine Bing. Dadurch stellen wir Microsoft Daten über Ihre Nutzung unserer Seite zur Verfügung. Damit ermöglichen wir es Microsoft, Anzeigen für uns auf Bing-Trefferlisten zielgruppengerechter bereitzustellen und den Erfolg der Anzeigen zu dokumentieren.

Die entsprechenden Daten werden nur an Microsoft übertragen, wenn Sie dem Setzen der entsprechenden Cookies zustimmen. Die Namen der Cookies für Bing Ads sind: MUID (Speicherzeit: 1 Jahr), MUIDB, MR

Umfassende Informationen über die Verwendung der von Microsoft erfassten Daten finden Sie in den Datenschutzinformationen von Microsoft (https://privacy.microsoft.com/de-de/privacystatement).

Datenkategorien: IP-Adresse, über die das Gerät online geht; an die IP-Adresse anknüpfend Ort oder Land sowie Internet Service Provider für den Internetzugang; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen (angeklickt) werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; Webseiten, von denen der Nutzers auf unsere Internetseite gelangt ist; Webseiten, die der Nutzer von unserer Webseite aus aufruft; im Cookie gespeicherte Bing-ID

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Corp., für uns als europäische Organisation ansprechbar über Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. überträgt, hat Microsoft sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000KzNaAAK&) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau

Zweck + Rechtsgrundlage: Zweck der Datenweitergabe an Microsoft ist es, Anzeigen bei Bing möglichst zielgruppengerecht bereitstellen zu können und den Erfolg der Werbemittel zu dokumentieren. Rechtsgrundlage ist Ihre Einwilligung, die Sie über unseren Cookie-Manager erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Microsoft und beträgt 18 Monate. Eine Datenlöschung bei uns ist nicht erforderlich, da wir selbst durch den Einsatz der Microsoft-Cookies keine Daten von Ihnen erfassen.

3.7.7 Google Ads

Beschreibung: Wir schalten Anzeigen über Google Ads. Zur Optimierung unserer Marketingaktivitäten greift Google Ads auf personenbezogene Daten zu, die Google über Cookies und seine verschiedenen Analysedienste für Internetseiten, Apps und die von Google bereitgestellten Betriebssysteme Android und Chrome OS zur Verfügung stehen. Wir selbst haben keinen Zugriff auf die Personendaten, die der Ausspielung unserer Anzeigen zugrunde liegen. Wir wählen nur allgemeine Parameter für die Zielgruppe aus, der unsere Anzeigen zugänglich gemacht werden sollen. Insoweit findet durch uns keine Verarbeitung personenbezogener Daten statt.

Durch die Kopplung unseres Google Ads-Kontos mit unserem Google Analytics-Konto erleichtern wir Google die Wiedererkennung von Interessenten, die bereits einmal auf unseren Internetseiten gewesen sind.

Unsere eigenen Internetseiten setzen Cookies von Googles Werbediensten (Google Ads, Doubleclick). Die Cookie-Namen sind: NID, SID, IDE, DSID, FLC, AID, TAID, exchange_uid, test_cookie, _gads, _gac, _gcl.

Die Kopplung der Konten und das Setzen von Googles Werbe-Cookies stellt eine Verarbeitung personenbezogener Daten dar. Insoweit entsteht mit Blick auf die personenbezogenen Daten eine gemeinsame Verantwortung im Sinne des Artikel 26 DSGVO, für die wir mit Google einen entsprechenden „Controller-Controller“-Vertrag abgeschlossen haben (https://support.google.com/analytics/answer/9012600).

Der Vertrag teilt die Verantwortung zwischen Google und uns so ein, dass wir verantwortlich sind für die Sammlung der Analysedaten und Google verantwortlich ist für die Nutzung der Daten für Werbezwecke. Daraus ergibt sich, dass Sie alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten innerhalb von Google Analytics bei uns in Anspruch nehmen sollten und alle Ihre Rechte mit Blick auf die Nutzung Ihrer Daten für die Bereitstellung von zielgruppengerechten Anzeigen direkt bei Google in Anspruch nehmen sollten.

Zu den Details der Datenverarbeitung bei Google können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Google (https://policies.google.com/privacy).

Datenkategorien: Nutzungsdaten aus Googles verschiedenen Diensten, über die Cookies zu unseren Internetseiten und aus unserem Google Analytics-Konto; Zielgruppenbildung nach Geschlecht, Altersgruppen, Regionen, Interessengebieten

Datenempfänger (ggf. Drittstaatentransfer): Google LLC, für uns als europäische Organisation ansprechbar über Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland. Die im Rahmen von Google Analytics erfassten Daten werden für Google Ads an Server in den USA übertragen und dort verarbeitet. Hierfür hat Google sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zielgruppengenaue Veröffentlichung von Anzeigen. Rechtsgrundlage ist Einwilligung, da Googles Cookies erst nach Einwilligung im Browser gesetzt werden.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Google. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von Google Ads keine Daten von Ihnen erfassen.

3.7.8 Facebook Ads

Beschreibung: Wir schalten Anzeigen über Facebook Ads. Zur Optimierung unserer Marketingaktivitäten greift Facebook auf personenbezogene Daten zu, die Facebook auf seinen eigenen Plattform (facebook.com und instagram.com), über seine Analysedienste für Internetseiten und Apps sowie WhatsApp-Metadaten zur Verfügung stehen. Wir selbst haben keinen Zugriff auf die Personendaten, die der Ausspielung unserer Anzeigen zugrunde liegen. Wir wählen nur allgemeine Parameter für die Zielgruppe aus, der unsere Anzeigen zugänglich gemacht werden sollen. Insoweit findet durch uns keine Verarbeitung personenbezogener Daten statt.

Durch die Kopplung unseres Facebook Ads-Kontos mit unseren Unternehmensprofilen bei Facebook und Instagram erleichtern wir Facebook die Wiedererkennung von Interessenten, die bereits einmal auf unseren Profilen gewesen sind. Zusätzlich ermöglichen wir es Facebook, unsere Anzeigen Personen zugänglich zu machen, die ein ähnliches Nutzungsprofil aufweisen wie die typischen Besucherinnen und Besucher unserer Seiten (sogenannte Lookalike-Kampagnen).

Zudem setzen unsere Internetseiten Cookies von Facebook (Cookie-Name: fr, _fbp, M1 Med Beautys Pixel). Die Kopplung der Konten und das Setzen von Facebook-Cookies stellt eine Verarbeitung personenbezogener Daten dar.

Zu den Details der Datenverarbeitung bei Facebook können wir keine Angaben machen. Hierzu gilt die Datenschutzinformation von Facebook: https://www.facebook.com/about/privacy

Datenkategorien: Nutzungsdaten aus Facebooks verschiedenen Diensten und dem Facebook Pixel auf unseren Internetseiten (siehe die Verarbeitung „Facebook Pixel“); Zielgruppenbildung nach Geschlecht, Altersgruppen, Regionen, Interessengebieten

Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Soweit Daten an Server von Facebook in die USA übertragen werden, hat Facebook sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Zielgruppengenaue Veröffentlichung von Anzeigen. Rechtsgrundlage ist Einwilligung, da Facebooks Cookies erst nach Einwilligung im Browser gesetzt werden und die Nutzung der Facebook-Seiten eine Registrierung bei Facebook voraussetzt.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook. Eine Datenlöschung bei uns ist nicht möglich, da wir durch den Einsatz von Facebook Ads keine Daten von Ihnen erfassen.

3.8 Nutzung unserer Apps

3.8.1 Download der Apps

Wenn Sie unsere App auf Ihrem Mobilgerät nutzen wollen, müssen Sie diese aus einem für das Betriebssystem Ihres Geräts passenden App-Store auf Ihr Gerät laden. Für iOS-Geräte ist das Apples AppStore, für Android-Geräte entweder Googles PlayStore oder eine andere Plattform für Android-Apps.

Alle Datenverarbeitungen im Zusammenhang mit dem Download unserer App erfolgen zwischen Ihnen und dem jeweiligen App Store. Wir erhalten darüber keine personenbezogenen Daten sondern nur statistische Zusammenstellungen über die Zahl der Downloads. Für alle Informationen rund um die jeweiligen Datenverarbeitungen verweisen wir auf die entsprechenden Datenschutzinformationen von Apple, Google oder der von Ihnen genutzten Download-Plattform.

3.8.2 Funktionen in der App (Chat)

Beschreibung: Unsere App bietet Ihnen die Möglichkeit, sich über unsere Produkte und Angebote zu informieren und mit uns auf besonders einfache Weise in direkten Kontakt zu treten. Im Mittelpunkt der App steht die Chat-Funktion.

Technisch wird die Chat-Funktion auf dem M1-eigenen Server gehostet, als Gesprächspartner antworten Ihnen Beschäftigte der M1 Med Beauty. Inhaltlich können Sie im Chat letztlich dieselben Inhalte mit uns austauschen wie per E-Mail oder bei einem Anruf.

Technisch wird die Chat-Funktion auf dem M1-eigenen Server gehostet, als Gesprächspartner antworten Ihnen Beschäftigte der M1 Med Beauty. Inhaltlich können Sie im Chat letztlich dieselben Inhalte mit uns austauschen wie per E-Mail oder bei einem Anruf.

Datenkategorien: Zeitpunkt des Chats; IP-Adresse; Browsertyp/ -version, Betriebssystem; URL der Website, von der aus der Chat gestartet wird; Inhalte des Chats (z.B. Name, E-Mail-Adresse, besprochene Fragen und Antworten, vereinbarte Termine)

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Bereitstellung eines Online-Chats als Kommunikationsweg. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung, da die Chat-Kommunikation auf den Abschluss von Behandlungsverträgen zielt.

Speicherdauer: 3 Monate

3.9 Unsere Social Media-Profile

3.9.1 Facebook und Instagram

Beschreibung: Wir betreiben bei Facebook und Instagram Unternehmensprofile (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook und Instagram vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Facebook stellt uns über die Nutzung unserer Seiten Analysedaten zur Verfügung (Page Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Facebook gilt die Datenschutzinformation von Facebook: https://www.facebook.com/about/privacy

Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Facebook nach Art. 26 DSGVO. Facebook hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Facebook hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Facebook-Konto an Facebook wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Facebook weiterreichen.

Datenkategorien: Facebook-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook und Instagram sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): Facebook Inc., für uns als europäische Organisation ansprechbar über Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Soweit Daten an Server von Facebook in die USA übertragen werden, hat Facebook sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage und unserem Instagram-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Facebook-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Facebook.

3.9.2 Pinterest

Beschreibung: Wir betreiben bei Pinterest ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.

Pinterest stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Pinterest gilt die Datenschutzinformation der Gesellschaft: https://policy.pinterest.com/de/privacy-policy

Datenkategorien: IP, Name, E-Mail-Adresse, Telefonnummer, Fotos, Pins, Ggfls. Standortdaten, Internet- und Netzwerkaktivitäten, Protokolldaten, Cookies, Geräteinformationen, Clickstream-Daten und -Rückschlüsse, Kommentare und Daten aus weiteren Datenquellen, die durch Pinterest zusammengeführt werden, sowie weitere Informationen

Datenempfänger (ggf. Drittstaatentransfer): Pinterest Inc., für uns als europäische Organisation ansprechbar über Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland. Soweit Daten in die USA übertragen werden, hat Pinterest sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt00000008VVzAAM&status=Active) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Pinterest-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Pinterest-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Pinterest.

3.9.3 Twitter

Beschreibung: Wir betreiben bei Twitter ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation bei Twitter vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.

Twitter stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung (Twitter Analytics). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Twitter gilt die Datenschutzinformation von Twitter: https://twitter.com/de/privacy

Datenkategorien: Twitter-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Twitter sowie Zeitpunkt der Aktion. Über die Weitergabe ihrer persönlichen Daten können sie über die bei Twitter vorzunehmenden Einstellungen selbst entscheiden.

Datenempfänger (ggf. Drittstaatentransfer): Twitter Inc., für uns als europäische Organisation ansprechbar über Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Irland. Soweit Daten in die USA übertragen werden, hat Twitter sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000TORzAAO) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Twitter-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Twitter-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Twitter.

3.9.4 LinkedIn

Beschreibung: Wir betreiben bei LinkedIn ein Unternehmensprofil. So ein LinkedIn-Profil ermöglicht es uns, unsere Organisation bei LinkedIn vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattform auf unsere Leistungen und Angebote hinzuweisen.

LinkedIn stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei LinkedIn gilt die Datenschutzinformation von LinkedIn: https://www.linkedin.com/legal/privacy-policy

Datenkategorien: LinkedIn-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von LinkedIn sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): LinkedIn Corp., für uns als europäische Organisation ansprechbar über LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Soweit Daten an Server von LinkedIn in die USA übertragen werden, hat LinkedIn sich unter dem EU-US-Privacy-Shield zertifiziert (https://www.privacyshield.gov/participant?id=a2zt0000000L0UZAA0) und garantiert damit einen Umgang mit den Daten auf EU-Datenschutzniveau.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem LinkedIn-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre LinkedIn-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von LinkedIn.

3.9.5 Xing

Beschreibung: Wir betreiben bei Xing ein Unternehmensprofil. Das Profil ermöglicht es uns, unsere Organisation bei Xing vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf dieser Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Xing stellt uns über die Nutzung unserer Profilseite Analysedaten zur Verfügung. Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Xing gilt die Datenschutzinformation von Xing: https://privacy.xing.com/de/datenschutzerklaerung

Datenkategorien: Xing-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Xing sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): New Work SE (Betreiberin von xing.com), Dammtorstraße 30, 20354 Hamburg. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserem Xing-Profil. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihrer Xing-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Xing.

3.10 Lieferanten und Dienstleister

3.10.1 Geschäftsbeziehung

Beschreibung: Wir stehen mit Lieferanten und Dienstleistern in Geschäftsbeziehungen, zu deren Abwicklung personenbezogene Daten verarbeitet werden, soweit die Unternehmen Selbstständige oder Personengesellschaften sind oder wir mit konkreten Ansprechpartnern kommunizieren.

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger sowie im Falle einer Steuerprüfung die Finanzbehörden

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren (§ 147 AO); Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

3.10.2 Nennung in Publikationen

Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt.

Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten

Datenempfänger (ggf. Drittstaatentransfer): keine

Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags und ggf. hinsichtlich der Kontaktdaten ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.

Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.

3.11 Stellenbesetzungen

3.11.1 Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Sofern Sie uns Bewerbungen für eine Aufnahme der Tätigkeit in unseren Standorten außerhalb Deutschlands übermitteln, findet ein Datenaustausch zwischen der M1 Med Beauty Berlin mit der betreffenden M1 Landesgesellschaft statt. Sofern sich diese in einem Drittland befindet, haben wir den Drittstaatentransfer Ihrer Bewerbungsdaten über EU-Standarddatenschutzsklauseln abgesichert.

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

3.11.2 Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): keine

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

3.12 Allgemeine Infrastruktur

3.12.1 Besucher der Fachzentren und der Schlossklinik

In unseren Praxisräumen halten sich regelmäßig mehrere Patienten zugleich auf und es lässt sich nicht vollständig verhindern, dass andere Patienten hören können, was wir mit Ihnen außerhalb der geschlossenen Behandlungsräume besprechen. Das beginnt mit Ihrem Namen, wenn wir Sie begrüßen oder zur Behandlung im Wartezimmer aufrufen. Soweit Ihnen ein herausgehobener Schutz Ihrer Daten wichtig ist, vereinbaren Sie gerne für alle Gespräche ein Pseudonym als Namen und weisen Sie uns darauf hin, dass auch Gespräche im Empfangsbereich wie Terminvereinbarungen und ähnliches nur hinter geschlossenen Türen mit Ihnen geführt werden. Teilweise kann diese Art der Betreuung mit etwas längeren Wartezeiten einhergehen, da wir jeweils erst einen verfügbaren Raum finden müssen.

3.12.2 Besucher-WiFi

Beschreibung: Wir stellen Besuchern den Zugang zu unserem WiFi-Netzwerk und damit dem Internet zur Verfügung. Bei der dafür erforderlichen Anmeldung am Access Point für das WiFi-Netzwerk wird die eindeutige Kennung Ihres Geräts sowie die Nutzungszeiten erfasst. Bei allen Diensten, die Sie während der Nutzung unseres Netzwerks im Internet aufrufen, wird die IP-Adresse unseres Netzwerks protokolliert. Soweit es zu Ermittlungen wegen Aktivitäten kommt, die von unserer IP-Adresse ausgegangen sind, sind wir teilweise verpflichtet die Nutzungsdokumentation im sogenannten Logfile unserer Access Points zur Verfügung zu stellen.

Datenkategorien: MAC-Adresse des Geräts, Nutzungszeiten

Datenempfänger (ggf. Drittstaatentransfer): Im Normalfall keine Empfänger; bei Ermittlungen zuständige Behörden und unter Umständen private Inhaber eines Auskunftsanspruchs oder von uns beauftragte Forensiker. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Logfiles wie dieses dienen dazu, die IT-Sicherheit in unserem Unternehmen zu ermöglichen und zu stärken. Die Rechtsgrundlage ist ein berechtigtes Interesse, da wir auf das WiFi-Logfile nur zugreifen, wenn eine Sicherheitsanalyse erforderlich ist. Eine Zuordnung der WiFi-Daten zu konkreten Geräten und damit deren Besitzern ist uns nur mit erheblichem Aufwand und regelmäßig nur unter Zuhilfenahme polizeilicher Ermittlungen möglich.

Speicherdauer: Unser WiFi-Logfile wird regelmäßig gelöscht, spätestens einmal jährlich.

3.12.2 Videoüberwachung

Beschreibung: Im Eingangsbereich zu unseren Geschäftsräumen sind Videokameras installiert. Entsprechende Hinweisschilder sind montiert und informieren über den Einsatz der Kameras, bevor Sie ins Blickfeld der Objektive treten.

Die Kameras zeichnen das Geschehen innerhalb ihres Blickfelds rund um die Uhr auf. Die Kameras sind so eingestellt, dass sie keine Daten im unmittelbaren Arbeitsbereich des Empfangsteams aufzeichnen, so dass hier Patientendaten ohne Aufzeichnung ausgetauscht werden können. Die Aufzeichnungen unserer Kameras werden an einen von uns betriebenen Server übertragen.

Datenkategorien: Videoaufzeichnungen

Datenempfänger (ggf. Drittstaatentransfer): Keiner. Nur wenn es zu Sicherheitsvorfällen kommt, stellen wir das Videomaterial den Ermittlungsbehörden zur Verfügung.

Zweck + Rechtsgrundlage: Die Videoüberwachung dient der Abwehr und Verfolgung von Angriffen gegen Gesundheit und Leben der Beschäftigten und der Besucher sowie gegen das Eigentum der Organisation wie der Beschäftigten. Die Videoüberwachung dient auch dazu, unberechtigten Zutritt zu besonders sicherheitsrelevanten Bereichen unserer Geschäftsräume abzuwehren bzw. im Fall eines unberechtigten Zutritts zu dessen Aufklärung. Das berechtigte Interesse an der Videoüberwachung ergibt sich aus der besonderen Gefahrensituation bzw. den besonderen Sicherheitsanforderungen für unsere Organisation.

Speicherdauer: Die Aufzeichnungen der Videoüberwachung werden nach 5 Tagen automatisch von unseren Servern gelöscht.

3.12.4 Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Mit der Durchführung der Finanzbuchhaltung haben wir einen externen Dienstleister beauftragt.

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Finanzbuchhaltung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf (§ 147 AO).

3.12.5 Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontounterlagen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf (§ 147 AO).

3.12.6 IT-Administration

Beschreibung: Teilweise nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

3.12.7 Dateispeicherung (Metadaten)

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsoft 365 als lokale Lösung für die Dateispeicherung (nicht als Cloud-Lösung).

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Dateispeicherung und Kollaboration an Office-Dokumenten. Rechtsgrundlage ist ein berechtigtes Interesse an der Speicherung von uns zur Verfügung gestellten Dateien.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

3.12.8 Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert. Die Qualitätsstufe des eingesetzten Schredders entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten; z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer eigene IT-Abteilung durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht und anschließend physisch zerstört. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Keine zusätzlichen Datenempfänger, ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.