Inhaltsverzeichnis
1. PRÄAMBEL UND ZWECK
2. BEGRIFFSBESTIMMUNGEN
3. MERKMALE DER VERARBEITUNG
3.1 KONTAKTFORMULAR
3.2 BEWERBUNGSFORMULAR
3.3 NEWSLETTER
3.4 GARANTIE-REGISTRIERUNGSFORMULAR
3.5 ABLEGEN VON COOKIES
3.6 MANAGEMENT MÖGLICHER STREITIGKEITEN, GERICHTLICHER ODER VORGERICHTLICHER VERFAHREN
4. EMPFÄNGER DER PERSONENBEZOGENEM DATEN
5. RECHTE DER BETROFFENEN PERSONEN
5.1. ERKLÄRUNG DER RECHTE
5.2. AUSÜBUNG IHRER RECHTE
6. SICHERHEIT
7. AKTUALISIERUNG DIESER RICHTLINIE
8. ANSPRECHPARTNER
1. PRÄAMBEL UND ZWECK
Im Rahmen des Betriebs der unter der Adresse https://www.sanibroy.de/ zugänglichen Website (die „Website“) verarbeitet SFA Deutschland GmbH, der Datenverantwortliche („wir“, „uns“, „unser“), personenbezogene Daten von Nutzern der Website („betroffene Personen“).
Wir verpflichten uns, die personenbezogenen Daten der betroffenen Personen gemäß den geltenden Vorschriften (die „Geltenden Vorschriften“) und insbesondere Verordnung Nr. 2016/679 (EU) vom 27. April 2016, bekannt als Datenschutzgrundverordnung („DSGVO“), zu verarbeiten.
In dieser Hinsicht verpflichten wir uns, unsere Transparenz- und Informationspflicht gegenüber den betroffenen Personen einzuhalten, indem wir ihnen diese Datenschutzrichtlinie verfügbar machen, deren Zweck darin besteht, sie über die Merkmale der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Website und über ihre Rechte, über die sie in diesem Zusammenhang verfügen, in Kenntnis zu setzen.
2. BEGRIFFSBESTIMMUNGEN
Kursiv geschriebene Begriffe, wie insbesondere „personenbezogene Daten“, „Verarbeitung“, „betroffene Personen“, „Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“ oder „Datenschutzverletzung“, sind entweder in dieser Datenschutzrichtlinie definiert oder haben die ihnen durch die geltenden Vorschriften und insbesondere die DSGVO zugewiesene Bedeutung.
3. MERKMALE DER VERARBEITUNG
In den nachfolgenden Tabellen werden die Prozesse, die wir anhand der personenbezogenen Daten der betroffenen Personen umsetzen, vorgestellt.
3.1 Kontaktformular
Zweck der Verarbeitung |
|
Rechtsgrundlage der Verarbeitung | Berechtigtes Interesse / vorvertragliche Maßnahmen |
Kategorie personenbezogener Daten |
|
Dauer der Verarbeitung |
1 Jahr ab der Erhebung 3 Jahre bei personenbezogenen Daten zu einem potenziellen Kunden ab dem Datum der Erhebung oder dem letzten Kontakt des potenziellen Kunden. |
3.2 Bewerbungsformular
Zweck der Verarbeitung |
|
Rechtsgrundlage der Verarbeitung | Vorvertragliche Maßnahmen auf Aufforderung des Bewerbers, die wahrscheinlich zum Abschluss eines Beschäftigungsvertrags führen sowie unser berechtigtes Interesse am Aufbau der Datenbank. |
Kategorie personenbezogener Daten |
|
Dauer der Verarbeitung | 2 Jahre ab dem letzten Kontakt mit dem abgelehnten Bewerber |
3.3 Newsletter
Zweck der Verarbeitung |
|
Rechtsgrundlage der Verarbeitung | Berechtigtes Interesse |
Kategorie personenbezogener Daten |
|
Dauer der Verarbeitung | Wir bewahren die E-Mail-Adresse auf, bis die betroffene Person sich (über den Abmeldelink in den Newslettern) abmeldet. |
3.4 Garantie-Registrierungsformular
Zweck der Verarbeitung |
|
Rechtsgrundlage der Verarbeitung | Erfüllung eines Vertrags |
Kategorie personenbezogener Daten |
|
Dauer der Verarbeitung |
3 Jahre ab der Erhebung oder dem letzten Kontakt mit dem Kunden. Bei Newslettern: Wir bewahren die E-Mail-Adresse auf, bis die betroffene Person sich (über den Abmeldelink in den Newslettern) abmeldet. |
3.5 Ablegen von Cookies
Weitere Informationen zur Verarbeitung Ihrer Daten in Zusammenhang mit der Platzierung von Cookies und anderen Trackingvorrichtungen entnehmen Sie bitte unserer Cookie-Richtlinie.
3.6 Management möglicher Streitigkeiten, gerichtlicher oder vorgerichtlicher Verfahren
Zweck der Verarbeitung |
|
Rechtsgrundlage der Verarbeitung | Berechtigtes Interesse |
Kategorie personenbezogener Daten | Alle obengenannten Daten, sobald sie für die Handhabung der Streitigkeit erforderlich sind. |
Dauer der Verarbeitung | Aufbewahrung während der gesamten Dauer der Streitigkeit und bis zur Ausschöpfung der Rechtsmittel (Gerichtsverfahren). |
4. EMPFÄNGER DER PERSONENBEZOGENEM DATEN
Wir können die personenbezogenen Daten von betroffenen Personen von befugten Empfängern (intern oder extern), die einer angemessenen Vertraulichkeitsverpflichtung unterliegen, offenlegen:
Interne Empfänger:
- Unsere Beschäftigten, deren Pflichten, Funktionen und Aufgaben die Verarbeitung der personenbezogenen Daten der betroffenen Personen (z.B. Kommunikationsabteilung, Marketingabteilung, Abteilung für Beziehungen zu Kunden und potenziellen Kunden, IT-Abteilung) ausschließlich für die in dieser Datenschutzrichtlinie vorgesehenen Zwecke und im Rahmen der von uns zur Wahrung der Vertraulichkeit und Sicherheit der personenbezogenen Daten gemäß den nachfolgenden Angaben rechtfertigen;
Externe Empfänger:
- SFA-Konzerngesellschaften und die Muttergesellschaft in ihrer Eigenschaft als Auftragsverarbeiter, deren Pflichten, Funktionen und Aufgaben es rechtfertigen, dass sie personenbezogene Daten von betroffenen Personen verarbeiten (z.B. SFA Tech zuständig für IT-Leistungen auf Konzernebene).
- Dienstleister oder Auftragsverarbeiter, die wir gegebenenfalls in Zusammenhang mit der Verarbeitung einsetzen (z.B. Hosting-Dienstleister, Call Center, E-Mailing);
- Für Beratung, Prüfung und Finanzkontrolle zuständige Stellen (Prüfer, Anwälte);
- Verwaltungs- oder Gerichtsbehörden im Rahmen ihres Befugnisbereichs;
- Im Falle einer geplanten Mittelbeschaffung, eines Erwerbs oder einer Veräußerung eines Geschäfts oder von Vermögenswerten auf eine jedwede Weise, einschließlich mittels Veräußerung des Unternehmens, das die entsprechenden Geschäfte führt oder in dessen Eigentum die Vermögenswerte stehen, der/die potenzielle(n) Erwerber und deren Berater im Rahmen der Vorprüfung der Transaktion. Im Falle einer Übernahme durch Dritte sind die personenbezogenen Daten Teil der übertragenen Vermögenswerte und werden als solche vom Erwerber, der als neuer Datenverantwortlicher fungiert, gemäß seiner eigenen Datenschutzrichtlinie verarbeitet.
5. RECHTE DER BETROFFENEN PERSONEN
5.1 ERKLÄRUNG DER RECHTE
Gemäß den geltenden Vorschriften haben die betroffenen Personen folgende Rechte in Bezug auf ihre personenbezogenen Daten:
- Das Recht zur Einholung einer Bestätigung, dass ihre Daten verarbeitet werden, zur Einholung von Informationen zu den Eigenschaften dieser Verarbeitung, zum Zugriff auf die Daten und zur Anforderung einer Kopie (Recht auf Zugriff und Kopie);
- Das Recht zur Berichtigung oder Ergänzung von sie betreffenden unrichtigen oder veralteten Daten (Recht auf Berichtigung);
- Das Recht zum jederzeitigen Widerruf ihrer Zustimmung, sofern die entsprechende Verarbeitung ausschließlich auf dieser Rechtsgrundlage beruht (Recht zum Widerruf der Zustimmung);
- Das Recht zum Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten aus ihre bestimmte Situation betreffenden Gründen und zur Erwirkung ihrer Löschung, wobei wir dem Antrag in diesem Fall stattgeben, sofern die Verarbeitung nicht aufgrund von gerechtfertigten und zwingenden Gründen gerechtfertigt ist (Recht auf Widerspruch aus gerechtfertigten Gründen und Recht auf Löschung);
- Das Recht zur Erwirkung der vorübergehenden Einschränkung der Verarbeitung im Falle eines Antrags auf Berichtigung oder eines Widerspruchs aus gerechtfertigten Gründen für die Dauer der Prüfung des Antrags; was in der Praxis bedeutet, dass die personenbezogenen Daten weiter aufbewahrt werden, jedoch von uns nicht verarbeitet werden können (Recht auf Einschränkung);
- Das Recht auf Datenportabilität, d.h. das Recht auf Rückgabe der von ihnen übermittelten personenbezogenen Daten durch uns in einem gängigen Format, wenn die Verarbeitung automatisiert erfolgt und auf Zustimmung oder der Erfüllung eines Vertrags basiert;
- Das Recht zur Erteilung von Anweisungen bezüglich der Verarbeitung ihrer Daten nach ihrem Tod und zur Beantragung der Aufbewahrung, Löschung oder Übermittlung ihrer Daten an ausdrücklich benannte Dritte, wobei wir, sobald wir vom Tod einer betroffenen Person Kenntnis erhalten und keine Anweisungen von ihr vorliegen, ihre personenbezogenen Daten vernichten, sofern sie nicht für Nachweiszwecke oder zur Erfüllung einer rechtlichen Verpflichtung aufbewahrt werden müssen (postmortales Recht).
5.2 AUSÜBUNG IHRER RECHTE
Wenn die betroffene Person eines der vorstehenden Rechte ausüben möchte, kann sie uns über unser Kontaktformular kontaktieren.
Die Anfragen von betroffenen Personen sind ausschließlich von diesen selbst zu stellen (außer mit Bevollmächtigung eines Dritten in ordnungsgemäßer Form) und müssen so klar und ausführlich wie möglich sein, damit wir sie schnellstmöglich, abhängig vom Komplexitätsgrad innerhalb von einem bis drei Monaten, beantworten können.
Wir können die betroffene Person zur Ergänzung ihres Antrags auffordern, wenn er nicht präzise genug ist, wenn das Recht, das sie ausüben möchte, nicht ohne Weiteres erkennbar ist oder wenn sie ihre Identität nicht nachweisen kann; in diesem Fall können wir weitere Informationen, einschließlich eines Identitätsnachweises, der nach Überprüfung ihrer Identität schnellstmöglich gelöscht wird, anfordern.
Außerdem sind wir nicht zur Beantwortung einer Anfrage einer betroffenen Person verpflichtet, wenn diese offenkundig unbegründet oder überzogen ist und insbesondere, wenn die Anfrage wiederholt gestellt wird oder zu komplex zur Verarbeitung ist und die Destabilisierung unserer Geschäftstätigkeit zum Zweck oder zur Folge hätte.
6. SICHERHEIT
Wir setzen geeignete technische und organisatorische Sicherheitsmaßnahmen zur Wahrung der Vertraulichkeit und Sicherheit der von uns verarbeiteten personenbezogenen Daten sowie zur Verhinderung ihrer unerlaubten Vernichtung, Veränderung oder Offenlegung oder ihres Verlusts um.
Beispielsweise wurden die folgenden Maßnahmen umgesetzt und in einem Sicherheitsplan dokumentiert:
- Hosting der personenbezogenen Daten auf Servern innerhalb der Europäischen Union auf dem Boden eines Mitgliedstaats;
- Bewusstsein unserer Beschäftigten, die die Daten der betroffenen Personen verarbeiten;
- Funktionen zur Benutzer-Authentifizierung mit persönlichem und sicherem Zugriff mithilfe von starken, vertraulichen und häufig geänderten Logindaten und Passwörtern;
- Verfahren zur Verwaltung von Berechtigungen (Definition und Prüfung von Berechtigungsprofilen entsprechend dem Profil des Informationssystembenutzers, Löschung veralteter Zugriffsrechte);
- Zugriffstracking, Verbindungslogs, Zwischenfallmanagement und bei Bedarf Verschlüsselung bestimmter personenbezogener Daten;
- Regelmäßige Durchführung von internen Audits und bei Bedarf differenzierte Penetrationstets zur Prüfung und Bewertung der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen;
- Physische Sicherheit des Firmengeländes (Codes, Schlüssel und Zugangsausweise) und der Arbeitsplätze (automatische Sitzungssperre, Virenschutz und Firewall).
Wenn wir Auftragsverarbeiter, d.h. Dienstleister, die wir mit einem Verarbeitungsvorgang oder mit Teilen davon beauftragt haben und die die personenbezogenen Daten von betroffenen Personen entsprechend unseren Anweisungen verarbeiten, einsetzen, verpflichten wir uns, von ihnen Sicherheitsgarantien, die den von uns zum Schutz der entsprechenden personenbezogenen Daten umgesetzten Maßnahmen entsprechen, einzuholen, und behalten uns das Recht zur Durchführung von Audits zur Gewährleistung der Einhaltung ihrer Verpflichtungen vor.
Wir verpflichten uns, im Falle einer Datenschutzverletzung die zuständige Aufsichtsbehörde entsprechend den Vorgaben aus den geltenden Vorschriften zu informieren und, wenn die besagte Verletzung ein hohes Risiko für die betroffenen Personen darstellt, diese zu informieren und ihnen die notwendigen Informationen und Empfehlungen zukommen zu lassen.
7. AKTUALISIERUNG DIESER RICHTLINIE
Wir können diese Richtlinie jederzeit abändern, ergänzen oder aktualisieren, um rechtliche, verordnungsrechtliche und/oder Rechtsprechungsentwicklungen, Veränderungen der Eigenschaften der Verarbeitung oder die Einführung einer neuen Verarbeitung zu berücksichtigen.
8. ANSPRECHPARTNER
Betroffene Personen können jegliche Fragen oder Beschwerden zu dieser Richtlinie sowie Empfehlungen oder Anmerkungen zu dieser Richtlinie schriftlich unter der folgenden Adresse an uns richten:
- Per Post: Waldstraße 23, Gebäude B5, 63128 Dietzenbach oder
- Über unser Kontaktformular
Der betriebliche Datenschutzbeauftragte der SFA Deutschland GmbH ist wie folgt erreichbar: Michael Breker, MBits, Spessartstraße 1, 63546 Hammersbach, Tel. +49 (0) 170 8511186, E-Mail [email protected].
Betroffene Personen können jedwede Fragen oder eine Beschwerde auch bei der zuständigen Aufsichtsbehörde einreichen.