Datenschutzerklärung

Datenschutzerklärung der Datenschützerei
Ein Unternehmensbereich der Neugebauer & Oestermann GmbH

1. Datenschutzorganisation und Zuweisung von Verantwortlichkeiten im Datenschutz.

Vie­len Dank für Ihr Inter­esse an unseren Dien­sten. Der Schutz ihrer per­sön­lichen Dat­en liegt uns sehr am Herzen. Für die Daten­schützerei — Ein Unternehmens­bere­ich der Neuge­bauer & Oester­mann GmbH, Hol­be­in­str. 12, 27753 Del­men­horst (nach­fol­gend „Daten­schützerei”) wird der ver­ant­wor­tungsvolle Umgang und die Achtung des Schutzes per­so­n­en­be­zo­gen­er Dat­en als ober­ster Grund­satz erachtet. Die Daten­schützerei sichert stets die genaue Ein­hal­tung aller rel­e­van­ten Rechtsvorschriften (ins­beson­dere der Daten­schutz Grund­verord­nung [DSGVO] und Daten­schutzge­setz 2018 [DSG]) bei der Spe­icherung und Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en zu.
Es wurde ein zen­trales Daten­schutz­man­age­ment einge­führt, das inner­halb aller die Daten­schützerei — Unternehmens­bere­iche ein ein­heitlich­es und hohes Niveau für den Schutz per­so­n­en­be­zo­gen­er Dat­en gewährleis­tet und die Ein­hal­tung der entsprechen­den Daten­schutzge­set­ze sich­er­stellt.
Mit den Angaben in dieser Daten­schutzerk­lärung erfüllen wir unsere Infor­ma­tion­spflicht­en gem. Art 13. und 14. DSGVO und stellen Ihnen Infor­ma­tio­nen über den Umgang mit Dat­en bei der Daten­schützerei zur Ver­fü­gung. Diese Daten­schutzerk­lärung bezieht sich auf die Datenschützerei.

2. Verarbeitung von personenbezogenen Daten durch die Datenschützerei.

Per­so­n­en­be­zo­gene Dat­en sind Einze­langaben über per­sön­liche oder sach­liche Ver­hält­nisse ein­er iden­ti­fizierten oder iden­ti­fizier­baren natür­lichen Per­son. Die Daten­schützerei spe­ichert bei der Ver­wen­dung der ange­bote­nen Pro­duk­te / Dien­ste fol­gende Arten von Dat­en auf ihrem Serv­er:
• Dat­en zum tech­nis­chen Betrieb
• Pro­tokoll­dat­en
Auf die Spe­icher­dauer sowie die Löschung der Dat­en nach Ver­tragsende wird in Abschnitt 9 eingegangen.

2.1 Vertrags- und Registrierungsdaten

Ver­trags- und Reg­istrierungs­dat­en dienen der Zuord­nung, Beschrei­bung und Betreu­ung eines zwis­chen Ihnen und der Daten­schützerei geschlosse­nen Ver­tragsver­hält­niss­es.
Zu diesen Dat­en gehören:
• Anrede
• Titel
• Vor­name
• Namen­szusatz
• Nach­name
• Suf­fix
• Adresse
•  Straße
•  PLZ/Ort
•  Land
•  Bürotele­fon
•  Mobil­tele­fon
•  E‑Mail-Adresse (verpflich­t­end)
• Fax
• Home­page
• die Daten­schützerei-Kun­den­num­mer (automa­tisch)
Je nach Art des ver­wen­de­ten Online­di­en­stes kön­nen weit­ere Dat­en bei der Anmel­dung verpflich­t­end sein.
Zu jedem abgeschlosse­nen Ver­trag wer­den fol­gende Dat­en gespe­ichert:
• Ser­vice
• Ver­trag
• Name
•  Sta­tus
•  Anlage­da­tum
•  Aktivierungs­da­tum
•  Kündi­gungssta­tus
•  Ende-Datum
• Ver­tragsmod­ule
•  Ver­sion
•  Ver­trags­doku­mente
•  Aktivierungs­da­tum
•  Kündi­gungssta­tus
•  Ende-Datum
• His­to­rie
Im Rah­men der Ver­trags- und Geschäfts­beziehung bekan­nt gewor­dene per­so­n­en­be­zo­gene Dat­en wer­den von der Daten­schützerei nur ver­ar­beit­et, soweit dies zur Durch­führung des Ver­trages, ins­beson­dere zur Auf­tragsab­wick­lung und Kun­den­be­treu­ung, notwendig ist. Soll­ten Sie es ablehnen, per­so­n­en­be­zo­gene Dat­en zur Ver­fü­gung zu stellen, die wir für die Ver­tragser­fül­lung benöti­gen, kön­nen wir möglicher­weise die von Ihnen ange­forderten Dien­stleis­tun­gen nicht oder nicht voll­ständig erbrin­gen.
Nur bei vor­liegen­der Ein­willi­gung kön­nen diese Dat­en auch für andere Zwecke, wie haupt­säch­lich pro­duk­t­be­zo­gene Umfra­gen und Mar­ket­ing, genutzt wer­den.
Die Weit­er­gabe, der Verkauf oder son­stige Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en an Dritte erfol­gt nicht, es sei denn, dass dies zum Zwecke der Ver­tragsab­wick­lung erforder­lich ist oder eine geset­zliche Pflicht beste­ht (z. B. behördliche Mel­dung). Auf die Spe­icherung, die Spe­icher­dauer sowie die Löschung der Dat­en nach Ver­tragsende wird in Abschnitt 10 eingegangen.

2.2 Daten zum technischen Betrieb

Dat­en zum tech­nis­chen Betrieb wer­den von der Daten­schützerei sowie den angeschlosse­nen Online­di­en­sten benötigt, um die in einem Ver­trag zugesicherten Leis­tun­gen bere­it­stellen zu kön­nen. Die Daten­schützerei erhebt Dat­en zum tech­nis­chen Betrieb nur zu diesem Zweck und über­prüft regelmäßig, dass nur die Dat­en ver­ar­beit­et wer­den, die notwendig sind, um den tech­nis­chen Betrieb ihrer Dien­stleis­tun­gen bere­itzustellen und zu verbessern.
Wenn Sie unsere Online­di­en­ste nutzen, wer­den zum Zweck der Sys­tem­sicher­heit tem­porär fol­gende Dat­en gespe­ichert:
• Domain-Namen,
• die pseu­do­nymisierte IP-Adresse des anfra­gen­den Rech­n­ers, • das Zugriffs­da­tum und den Zugriff­szeit­punkt,
• die Dateian­frage des Clients (Dateiname und URL),
• der HTTP-Antwort­sta­tus­code,
• die Web­site, von der aus Sie uns besuchen,
• die Anzahl der im Rah­men der Verbindung trans­ferierten Bytes.
Die genauen Kri­te­rien der Spe­icherung von Dat­en zum tech­nis­chen Betrieb, die durch angeschlossene Online­di­en­ste erfol­gt, wer­den von jedem Online­di­enst sep­a­rat geregelt und kön­nen den jew­eili­gen Daten­schutzerk­lärun­gen ent­nom­men werden.

Auf die Spe­icherung, die Spe­icher­dauer sowie die Löschung der Dat­en nach Ver­tragsende wird in Abschnitt 10 eingegangen.

2.3 Protokolldaten

Es wird ser­ver­seit­ig jed­er Meth­o­d­e­naufruf zeitweise pro­tokol­liert. Diese Pro­tokol­lierung bein­hal­tet die Benutzer-ID des jew­eili­gen Aufrufers, die Request- und Response-Größe sowie die Dauer des Aufrufs. Die Meth­o­d­en­pa­ra­me­ter sowie IP-Adressen wer­den nicht gespe­ichert.
Die Pro­tokoll­dat­en wer­den spätestens nach 30 Tagen gelöscht und dienen auss­chließlich zu sta­tis­tis­chen Auswer­tun­gen der Nutzung des Dien­stes sowie zu Last- und Performance-Messungen.

3. Anonymisierte Daten

Wir anonymisieren indi­vidu­elle Infor­ma­tio­nen und spe­ich­ern sie auf einem sep­a­rat­en Serv­er in Deutsch­land. Nach Anonymisierung kön­nen auf­grund dieser Dat­en keine Rückschlüsse mehr auf Ihre Per­son gezo­gen wer­den – alle per­so­n­en­be­zo­ge­nen Merk­male wur­den ent­fer­nt oder durch Sam­mel­be­griffe erset­zt. So wer­den beispiel­sweise anstelle des Geburts­da­tums nur Alters­grup­pen, anstatt der voll­ständi­gen Adressen lediglich Postleitzahlgrup­pen gespe­ichert. Ein­deutige Merk­male wie unter anderem Ihr Name wer­den entfernt.

4. Datenübermittlung

Die Daten­schützerei über­mit­telt grund­sät­zlich keine Dat­en ohne die Ein­willi­gung des Nutzers.
Alle Datenüber­mit­tlun­gen wer­den von jedem Online­di­enst sep­a­rat geregelt und kön­nen den jew­eili­gen Daten­schutzerk­lärun­gen ent­nom­men wer­den.
Zur Kom­mu­nika­tion gewün­schter Infor­ma­tio­nen an den Nutzer durch E‑Mail oder SMS erfol­gt die Datenüber­tra­gung an die jew­eils vom Nutzer angegebene Empfänger­adresse oder Mobil­funknum­mer man­gels Ver­bre­itung ein­er öffentlichen Schlüs­selin­fra­struk­tur derzeit unverschlüsselt.

5. Verpflichtung zur Vertraulichkeit, Datenschutzschulungen

Ihre Dat­en unter­liegen den Sicher­heit­san­forderun­gen der Daten­schutzge­set­ze (DSGVO und DSG). Zusät­zlich dro­hen bei Ver­let­zun­gen des Datenge­heimniss­es Strafen gemäß der DSGVO, dem DSG, dem Strafge­set­zbuch (StGB) und dem Gesetz gegen den unlauteren Wet­tbe­werb (UWG).
Wir beschränken den Zugriff auf Ver­trags­dat­en, Recov­ery Key, Pro­tokoll­dat­en und Dat­en zum tech­nis­chen Betrieb auf Mitar­beit­er und Auf­trag­nehmer von der Daten­schützerei, für die diese Infor­ma­tio­nen zwin­gend erforder­lich sind, um die Leis­tun­gen aus unserem Ver­trag zu erbrin­gen. Diese Per­so­n­en sind an die Ein­hal­tung dieser Daten­schutzerk­lärung und an Ver­traulichkeitsverpflich­tun­gen verpflich­t­end gebun­den. Die Ver­let­zung dieser Ver­traulichkeitsverpflich­tung kann mit Ent­las­sung und Strafver­fol­gung geah­n­det wer­den. Die Mitar­beit­er wer­den regelmäßig auf Daten­schutz geschult.

6. Sicherheitsmaßnahmen / Vermeidung von Risiken

Die Daten­schützerei trifft alle notwendi­gen tech­nis­chen und organ­isatorischen Sicher­heits­maß­nah­men, um Ihre per­so­n­en­be­zo­ge­nen Dat­en sowie Ihre Kun­den­dat­en vor uner­laubtem Zugriff, uner­laubten Änderun­gen, Offen­le­gung, Ver­lust, Ver­nich­tung und son­sti­gen Miss­brauch zu schützen. Hierzu gehören interne Prü­fun­gen unser­er Vorge­hensweise bei der Daten­er­he­bung, ‑spe­icherung und ‑ver­ar­beitung, weit­er­hin Sicher­heits­maß­nah­men zum Schutz vor unberechtigtem Zugriff auf Sys­teme, auf denen wir Ver­trags­dat­en oder Dat­en zum tech­nis­chen Betrieb speichern.

7. Technische und organisatorische Maßnahmen

Um die Daten­sicher­heit zu gewährleis­ten, über­prüft die Daten­schützerei regelmäßig den Stand der Tech­nik und adap­tiert gegebe­nen­falls seine tech­nis­chen und organ­isatorischen Maß­nah­men gem. Art. 32 DSGVO. Hierzu wer­den unter anderem typ­is­che Schadensszenar­ien ermit­telt und anschließend der Schutzbe­darf für einzelne per­so­n­en­be­zo­gene Dat­en abgeleit­et und in Schaden­skat­e­gorien eingeteilt. Zudem wird eine Risikobe­w­er­tung durchge­führt.
Weit­er­hin dienen dif­feren­zierte Pen­e­tra­tionstests zur regelmäßi­gen Über­prü­fung, Bew­er­tung und Evaluierung der Wirk­samkeit dieser tech­nis­chen und organ­isatorischen Maß­nah­men zur Gewährleis­tung der Sicher­heit der Ver­ar­beitung.
Zur Umset­zung geeigneter tech­nis­ch­er und organ­isatorisch­er Maß­nah­men wer­den fol­gende Grund­sätze normiert:
• Daten­sicherung
Zur Vor­beu­gung von Daten­ver­lus­ten wer­den die Dat­en regelmäßig gesichert.
• Pri­va­cy by design
Die Daten­schützerei achtet darauf, dass Daten­schutz und Daten­sicher­heit bere­its in der Pla­nung und Entwick­lung von IT-Sys­te­men berück­sichtigt wer­den. Somit wird dem Umstand vorge­beugt, dass die Vor­gaben des Daten­schutzes und der Daten­sicher­heit erst nach dem Bere­it­stellen von IT-Sys­te­men durch teure und zeitaufwendi­ge Zusatzpro­gram­mierun­gen umge­set­zt wer­den müssen. Bere­its bei der Her­stel­lung wer­den Möglichkeit­en wie Deak­tivierung von Funk­tion­al­itäten, Authen­tifizierung oder Ver­schlüs­selun­gen berück­sichtigt.
• Pri­va­cy by default
Weit­er­hin sind die Pro­duk­te von der Daten­schützerei im Aus­liefer­ungszu­s­tand bere­its daten­schutzfre­undlich vor­eingestellt, sodass nur die per­so­n­en­be­zo­ge­nen Dat­en ver­ar­beit­et wer­den, die für den ver­fol­gten Zweck erforder­lich sind.
• Kom­mu­nika­tion per E‑Mail
Soll­ten Sie mit der Daten­schützerei per E‑Mail in Kon­takt treten wollen, weisen wir darauf hin, dass die Ver­traulichkeit der über­mit­tel­ten Infor­ma­tio­nen nicht gewährleis­tet ist. Der Inhalt von E‑Mails kann von Drit­ten einge­se­hen wer­den. Wir empfehlen Ihnen daher, uns ver­trauliche Infor­ma­tio­nen auss­chließlich über den Post­weg zukom­men zu lassen.

8. Rechte der Betroffenen

Sie haben das Recht auf Auskun­ft über die zu Ihrer Per­son gespe­icherten Dat­en, die Mit­nahme dieser Dat­en (Recht auf Daten­porta­bil­ität) sowie ggf. Rechte auf Berich­ti­gung, Ein­schränkung der Ver­ar­beitung, Wider­spruch, Sper­rung oder Löschung dieser Dat­en.
Sie haben das Recht, Ein­willi­gun­gen, die Sie der Daten­schützerei erteilt haben, jed­erzeit mit der Wirkung für die Zukun­ft zu wider­rufen. Das bedeutet, dass die ein­willi­gungskon­forme Ver­ar­beitung bis zum Ein­gang des Wider­rufs bei der Daten­schützerei recht­mäßig erfol­gt ist.
Zudem haben Sie das Recht, sich bei der zuständi­gen Daten­schutza­uf­sichts­be­hörde (siehe Abschnitt 14) zu beschw­eren, wenn Sie davon aus­ge­hen, dass wir Ihre per­so­n­en­be­zo­ge­nen Dat­en nicht recht­skon­form ver­ar­beit­en.
Weit­er­hin kön­nen Sie jedes spez­i­fis­che Recht ausüben, das sich aus den Daten­schutzge­set­zen des Lan­des ergibt, in dem Sie Ihren gewöhn­lichen Wohn­sitz haben.
Auf die Spe­icher­dauer sowie die Löschung der Dat­en nach Ver­tragsende wird in Abschnitt 9 eingegangen.

9. Speicherung, Speicherdauer und Löschen von Daten

Die Ver­trags- und Reg­istrierungs­dat­en, die Dat­en zum tech­nis­chen Betrieb sowie die Pro­tokoll­dat­en wer­den auf dem Daten­schützerei Serv­er in Deutsch­land gespe­ichert. Eine Weit­er­leitung der Dat­en in Drittstaat­en (Nicht-EU/EWR) erfol­gt nicht.
Wir verpflicht­en uns gemäß DSGVO und DSG, sämtliche Ver­trags- und Reg­istrierungs­dat­en, sämtliche Gesund­heits­dat­en, sämtliche Dat­en zum tech­nis­chen Betrieb und sämtliche Pro­tokoll­dat­en nach Kündi­gung Ihres Ver­trages zu löschen, soweit dem nicht eine unternehmens- oder steuer­rechtliche Auf­be­wahrungspflicht ent­ge­gen­ste­ht oder die Dat­en zur Gel­tend­machung und Abwehr von Recht­sansprüchen benötigt wer­den. Dat­en zum tech­nis­chen Betrieb wer­den nur so lange vorge­hal­ten, wie es tech­nisch notwendig ist, max­i­mal jedoch drei Monate. Ver­trags- und Reg­istrierungs­dat­en, die für die Erbringung der Leis­tung sowie zur Auf­tragsab­wick­lung und Kun­den­be­treu­ung erhoben wer­den, wer­den direkt nach der Kündi­gung der Geschäfts­beziehung gelöscht, sofern die Dat­en nicht auf­grund ein­er geset­zlichen Auf­be­wahrungs­frist gespe­ichert wer­den müssen.

10. Durchsetzung

Wir stellen Ihnen die geeigneten Mit­tel bere­it, um Ihre per­so­n­en­be­zo­ge­nen Dat­en während der tat­säch­lichen Auf­be­wahrungs­frist kor­rekt und auf dem aktuellen Stand zu hal­ten. Auch bere­its erteilte oder eingeschränk­te Berech­ti­gun­gen zur Nutzung per­so­n­en­be­zo­gen­er Dat­en kön­nen auf diesen Wegen aktu­al­isiert wer­den.
Die Daten­schützerei über­prüft regelmäßig und durchgängig die Ein­hal­tung dieser Daten­schutzbes­tim­mungen. Erhält die Daten­schützerei for­male Beschw­erde­schriften, wird sie mit dem Ver­fass­er bezüglich sein­er Bedenken Kon­takt aufnehmen, um eventuelle Beschw­er­den hin­sichtlich der Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en zu lösen. Die Daten­schützerei verpflichtet sich, dazu koop­er­a­tiv mit den entsprechen­den Behör­den, ein­schließlich lokaler Daten­schutzbe­hör­den, zusammenzuarbeiten.

11. Änderungen an dieser Datenschutzerklärung

Bitte beacht­en Sie, dass diese Daten­schutzerk­lärung von Zeit zu Zeit ergänzt und geän­dert wer­den kann. In der Regel wer­den nur ger­ingfügige Änderun­gen vorgenom­men. Soll­ten die Änderun­gen wesentlich sein, wer­den wir eine aus­führlichere Benachrich­ti­gung aus­geben. Jede Ver­sion dieser Daten­schutzbes­tim­mungen ist anhand ihres Datums- und Ver­sion­s­standes in der Fußzeile dieser Daten­schutzerk­lärung (Stand) zu iden­ti­fizieren. Außer­dem archivieren wir alle früheren Ver­sio­nen dieser Daten­schutzbes­tim­mungen zu Ihrer Ein­sicht auf Nach­frage beim Daten­schutzbeauf­tragten der Neuge­bauer & Oester­mann GmbH

12. Verantwortlich für die die Datenschützerei

Frau Bet­ti­na Oester­mann
Hol­be­in­str. 12
27753 Del­men­horst

13. Datenschutzbeauftragter

Bei Fra­gen hin­sichtlich der Ver­ar­beitung Ihrer per­so­n­en­be­zo­ge­nen Dat­en kön­nen Sie sich an den Daten­schutzbeauf­tragten wen­den, der Ihnen im Falle von Auskun­ft­ser­suchen oder Beschw­er­den zur Ver­fü­gung steht.

14. Zuständige Aufsichtsbehörde

Für die Daten­schützerei ist die

Lan­des­beauf­tragte für den Daten­schutz Nieder­sach­sen
Prinzen­straße 5
30159 Han­nover
Tele­fon 0511–120 4500
Fax 0511–120 4599

als Auf­sichts­be­hörde zuständig.