DATEN
SCHUTZ
Geschäftsführung: Marion Rödler MBA; Ing. Mag. (FH) Wolfgang Zednicek
Datenschutzbeauftragter: Jörg Brühl
Kontakt für Datenschutzanfragen: E-Mail: datenschutz@directmind.at
Unseren Webservice für Datenschutzanfragen zu unserer Direktmarketingtätigkeit finden Sie unter: https://directmind.schuetzt-meine-daten.at
Firmenbuchnummer: 121235m
Umsatzsteueridentifikationsnummer: ATU 15517607
Firmenbuchgericht: Handelsgericht Wien
Wirtschaftskammer: Wirtschaftskammer Wien
Berufsverband: Fachgruppe Werbung und Marktkommunikation
Anschrift: DIRECT MIND GmbH, Technologiestraße 8, 1120 Wien
Staat: Österreich
INFORMATION ZUM DATENSCHUTZ
STRUKTUR DER DATENSCHUTZINFORMATION:
1. Allgemeines
2. Information zu unserer Verarbeitung von personenbezogenen Daten
2.1. Falls Sie eine postalische Werbeaussendung erhalten haben
2.2. Verarbeitungen von personenbezogenen Daten für unsere Kunden
2.3. Für Kunden, Partner, Mitarbeiter, Dienstleister, Interessenten, Bewerber
2.4. Wenn Sie uns eine E-Mail senden
2.5. Cookies auf unserer Website
2.6. Unsere Auftragsverarbeiter, sowie Informationen zur Datenschutzerklärung
2.7. Rechte, Prozess bei Anfragen zu den Betroffenenrechten und Datensicherheit
1. ALLGEMEINES
Ein wesentlicher Erfolgsfaktor für DIRECT MIND ist die strikte Beachtung des Datenschutzgesetzes. Denn darauf beruht das Vertrauen unserer Kunden.
Unsere Mitarbeiter verpflichten sich schriftlich zur Einhaltung des Datengeheimnisses und unterzeichnen mit Dienstbeginn unsere Datenschutzrichtlinien und unsere Datenschutzverpflichtungserklärung. Zugriffsrechte sind in den DIRECT MIND- Datensicherheitsmaßnahmen geregelt und werden ständig überwacht. Mit unseren Lieferanten und Dienstleistern sind gemäß Datenschutzgesetz die entsprechenden Vereinbarungen getroffen worden. Auch die Schutzmaßnahmen bezüglich Hard- und Software entsprechen den jeweils aktuellen Standards, um den widerrechtlichen Zugriff auf Daten zu verhindern.
DIRECT MIND GmbH (im Folgenden kurz „wir“) verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen und auf Grundlage von freiwilligen Verpflichtungen unsererseits (DSGVO, DSG, TKG 2003, Art. 151 GewO, Codex des Fundraisingverbandes Österreich, Codex des österreichischen Spendegütesiegels, den Verhaltensregeln nach Art. 40 DSGVO für Direktmarketingunternehmen und Adressverlage, dem Code of Conduct des Werberates und die Verpflichtungserklärung des deutschen Fundraisingverbandes).
2. INFORMATION ZU UNSEREN VERARBEITUNGEN VON PERSONENBEZOGENEN DATEN
2.1. Falls Sie eine postalische Werbeaussendung erhalten haben
2.1.1. Verarbeitung von personenbezogenen Daten als Direktmarketing Unternehmen
DIRECT MIND als Direktmarketing-Unternehmen ist rechtlich befugt, Adressen für die Organisation und Durchführung von Marketingaktionen Dritter beizustellen. Diese werden von uns vor jeder Aktion um die Eintragungen der Robinsonliste der Wirtschaftskammer Österreich bereinigt. Namen, Adressen und sonstige Information stammen von externen Direktmarketingunternehmen und Adressverlagen (Verantwortliche der Ursprungsdateisysteme und Inhaber von Kunden- und Interessendateien). Fragen bezüglich der Herkunft beantworten wir gerne unter datenschutz@directmind.at, über unseren Webservice https://directmind.schuetzt-meine-daten.at oder postalisch, sofern wir Daten von der anfragenden Person auf diese Art und Weise gespeichert haben.
Wir wählen für unsere diesbezügliche Tätigkeit die Formulierung „Adressen beistellen“, da unsere Kunden zum größten Teil zunächst keinen Zugriff auf die personenbezogenen Daten bekommen, die sie über uns beziehen: Wenn sie eine Aussendung zur Gewinnung von neuen UnterstützerInnen durchführen möchten, bekommen wir von ihnen die Werbemittel (Kuverts, Briefe, Zeitungen) bereitgestellt. Mit Hilfe unserer Auftragsverarbeiter (Lettershops, Druckereien) personalisieren wir dann diese Werbemittel und machen diese versandfertig. Erst wenn die betroffenen Personen auf die postalische Aussendung zum Beispiel mit einer Spende reagieren, gehen die Daten in die Datenbanken unserer Kunden über. Vorher haben unsere Kunden also keinen Zugriff auf die Daten.
Für alle Daten, die wir im Zuge dieser Tätigkeit verarbeiten, haben wir die schriftliche Bestätigung, dass die Daten zur Adressvermietung und Adressaufbereitung für Marketingzwecke unserer Kunden (Non-Profit-Organisationen) verwendet werden dürfen. Diese Daten verwenden wir nicht für andere oder eigene Zwecke und sie werden von uns in einem eigenen mandantenfähigen System gespeichert.
Ein Widerspruch gegen die Verarbeitung der Daten zu Direktmarketingzwecke oder der Löschung von Daten ist, jederzeit unbegründet möglich. Wenden Sie sich bezüglich Ihrer Rechte oder bei Fragen zum Datenschutz bitte an uns unter datenschutz@directmind.at, schreiben Sie an
DIRECT MIND GmbH
Technologiestraße 8
Postfach 207
A-1121 Wien
oder nützen Sie unseren Webservice: https://directmind.schuetzt-meine-daten.at
Allerdings besteht die Möglichkeit, dass wir die Daten bei zukünftigen Datenlieferungen erneut und auf legale Weise beziehen.
Ein Eintrag in die Robinsonliste bietet hier einen Weg um dies zu verhindern, falls kein Interesse an personalisierter Werbung besteht. Die Adresse lautet:
Wirtschaftskammer Österreich,
Fachverband Werbung und Marketingkommunikation,
Wiedner Hauptstraße 75, 1040 Wien.
Tel.: +43 5 90 900 3504
E-Mail: werbung@wko.at
Das Antragsformular finden Sie auch unter: https://apppool.wko.at/Robinsonliste/Registrierung.aspx
Mit einem Eintrag in die Robinsonliste kann keine postalische Aussendung aus dem Ausland, Eigenwerbung von Unternehmen/Organisationen (bei einer bestehenden Beziehung: Kunde/Spender), amtliche Information, politische Werbung, unadressierte Postwurfsendung und Werbung per E‑Mail, SMS, WhatsApp oder Fax ausgeschlossen werden.
Neben einem Eintrag in die Robinsonliste der Wirtschaftskammer ließe sich eine Datenverarbeitung unsererseits und eine Beistellung der Daten durchs uns für eine postalische Aussendung unserer Kunden, durch einen Eintrag in unsere Sperrliste (mit Namen und vollständiger Anschrift) vermeiden.
Personenbezogene Daten in unserer Sperrliste werden ausschließlich verwendet um einen Widerspruch gegen die Verarbeitung dieser Daten unsererseits dauerhaft gewährleisten zu können. Sie werden also nicht für Marketing- oder andere Zwecke verwendet und nicht an Dritte weitergegeben – außer es besteht eine rechtliche Verpflichtung.
Rechtsgrundlage der Verarbeitung der Daten sind unsere berechtigten Interessen als Adressverlag und Direktmarketingunternehmen gemäß Art 6 Abs 1 lit f DSGVO, ausgeführt durch § 151 der Gewerbeordnung 1994 (betreffend die Ausübung des Gewerbes eines Adressverlags und Direktmarketingunternehmens), wonach Daten unter den dort genannten Bedingungen von uns für Marketingzwecke verarbeitet werden dürfen.
Die Aufbewahrungsdauer der von uns gespeicherten personenbezogenen Daten in diesem Rahmen definiert sich durch vertragliche Vorgaben, unter Berücksichtigung der jeweils aktuellen Sperrlisten und den Eintragungen in der Robinsonliste der Wirtschaftskammer Österreich. Wir löschen Daten darüber hinaus bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufs der Einwilligung und bei einem Widerspruch gegen die Verarbeitung, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bei der Organisation und Durchführung von Werbeaktionen unserer Kunden unterstützen uns Auftragsverarbeiter (Lettershops und Druckereien), die im Zuge ihrer Tätigkeiten Zugriff auf personenbezogenen Daten erlangen können, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Unsere Auftragsverarbeiter haben sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen uns gegenüber verpflichtet. Es wurden Auftragsverarbeitungsverträge gemäß Art 28 DSGVO abgeschlossen. Wir arbeiten also nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der datenschutzrechtlichen Bestimmungen erfolgt und den Schutz der personenbezogenen Rechte gewährleistet.
Falls unsere Kunden Sonderproduktionen wünschen, greifen wir auf eine Druckerei (einen Subauftragsverarbeiter, Datenimporteur im folgenden Vertrag) in einem Drittland zurück. Die Sicherheit der Daten (Name, Titel, postalische Anschrift, Referenznummer) ergibt sich aus einem von der EU Kommission erlassenen Standardvertrag der zwischen unserem Auftragsverarbeiter (Datenexporteur im folgenden Vertrag) in der EU und dieser Druckerei abgeschlossen wurde (Vertrag ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914&from=DE. Dieser kann nach Art. 46 Abs. 2 lit c DSGVO eine geeignete Garantie für eine solche Übermittlung sein. Die Druckerei im Drittland hat uns gegenüber schriftlich garantiert, dass sie keinem Gesetz und keiner Anordnung unterliegt, die sie daran hindert, das europäische Datenschutzniveau einzuhalten. Darüber hinaus ist das (Datenschutz-) Managementsystem der Druckerei (des Subauftragsverarbeiters) gemäß BS 10012 zertifiziert. Die Druckerei im Drittland löscht alle Daten spätestens 90 Tage nach dem Postaufgabetermin.
2.1.2. Bildung von Zielgruppen für Aussendungen unserer Kunden zur Neuspender*innengewinnung mit Hilfe von KI
Relevante Daten: Personenstammdaten, öffentlich verfügbare Daten, Marketingklassifikationsdaten, Historie
Relevante Daten für die KI-Analyse sind Personenstammdaten (Titel, Vor- und Nachnamen, postalische Anschrift, Geburtsdatum), öffentlich verfügbare Daten (Lage des Wohnorts, politischer Bezirk, Bundeslandkennzeichen, Zählsprengelkennzeichen, Gemeindekennzeichen), Marketingklassifikationsdaten (Grundstückspreise, Bildungsstand, Hausgröße, Altersklasse) und die Historie (wann und wie oft wurde die Adresse für den jeweiligen Kunden eingesetzt und wann bzw. wie oft haben wir die Adresse an den Kunden geliefert).
Analyse der Daten, Bildung einer Zielgruppe: Analyse der Daten mit Hilfe eines KI-Systems zur Errechnung der Spendenwahrscheinlichkeit je Kunde
Das KI – System unterstützt uns dabei herauszufinden, ob sich eine Person in unserer Direktmarketingdatenbank für die postalische Aussendung des jeweiligen Kunden interessieren bzw. spenden könnte. Ziel der KI-Entwicklung war es für jede Organisation eine Methodik zu entwickeln, der die bisherigen Analysen in der Adress-Auswahl verbessert. Die Aufgabenstellung lösten wir mit Hilfe neuronaler Netzwerke. Letztere bestehen aus sehr vielen „künstlichen Knotenpunkten“ (= sogenannte Neuronen) in einem (KI-) System. Diese „Punkte“ bekommen die vorliegende Information, führen Berechnungen durch (sie berechnen anhand des von uns gewünschten mathematischen Modells ob sich die Person für die Aussendungen des Kunden interessieren bzw. darauf spenden könnte) und geben das Ergebnis den anderen Punkten weiter. Diese Punkte, die über mehrere Ebenen verteilt sind, arbeiten also zusammen um die Fragestellung zu lösen. Am Ende erhalten wir dann ein Modell und so die Spendenwahrscheinlichkeit für den spezifischen Kunden je Person in unserer Direktmarketingdatenbank.
Speicherung des Ergebnisses: Die Spendenwahrscheinlichkeit wird vor jeder Kundenaussendung neu berechnet.
Wir führen vor jeder Kundenaussendung die Analyse neu durch und speichern die alte Spendenwahrscheinlichkeit nicht.
Wie selektieren wir die Daten dann für die postalischen Aussendungen? Anhand der errechneten Spendenwahrscheinlichkeit, aber auch unter Beachtung unserer Datenpolitik – sowie unter Beachtung der Robinsonliste der WKÖ und unserer Sperrliste.
Wenn wir Personen für eine Aussendung zur Neuspender*innengewinnung auswählen, dann ist natürlich die errechnete Spendenwahrscheinlichkeit sehr wichtig. Genauso bedeutend ist aber auch unsere Datenpolitik: Wir möchten Personen nicht zu oft anschreiben und berücksichtigen die Häufigkeit dementsprechend ebenfalls im Rahmen unseres Auswahlverfahrens. Personen, die auf der Robinsonliste der WKÖ stehen oder auf unserer Sperrliste, werden von jeder postalischen Aussendung ausgeschlossen.
Training des KI-Systems: Das ist wichtig für die höchste Güte und die Stabilität des Systems.
Wir haben das KI – System mit den genannten Daten trainiert und sehr viele Modelle gerechnet. Ein „Modell“ ist hierbei ein Plan, den das KI – System zur Lösung der Fragestellung entwickelt hat. Ein solcher Plan hat dann die „höchste Güte“, wenn er die besten Ergebnisse für das Problem liefert und wenige/keine Fehler macht. „Stabil“ ist dieser Plan dann, wenn er zuverlässig dasselbe (oder ein vergleichbares) Ergebnis liefert, wenn wir das Modell mit anderen Daten testen. Wir haben für unsere Analyse das Modell mit der höchsten Güte und der höchsten Stabilität, unter Berücksichtigung unserer Erfahrungswerte und nach dem Vergleich der erzielten Ergebnisse, ausgewählt.
Wer unterstützt uns bei der Erstellung des KI – Systems: +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter
Wir haben +innovations Application Development GmbH (Menzelgasse 21/1, 1160 Wien) als Auftragsverarbeiter mit der Erstellung des KI-Systems beauftragt.
Ist die KI – Analyse eine ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO? Nein – aus unserer Sicht nicht!
Bei der Einstufung einer Analyse als „ausschließlich automatisierte Entscheidungsfindung nach Art. 22 Abs 1 DSGVO“ müssen unter anderen die Auswirkungen auf die betroffenen Personen betrachtet werden“. Diese müssen „erheblich“ sein - man spricht hierbei von der sogenannten „Erheblichkeitsschwelle“. Diese ist sehr hoch: Es ist auf eine schwerwiegende Folge für die Betroffenen abzustellen, zum Beispiel die Auflösung eines Vertrages oder eine Einreiseverweigerung in ein Land. Des Weiteren beeinträchtige die Datenverarbeitung eine Person dann erheblich, wenn ihre Wirkung umfassend bzw. erwähnenswert sei - die Entscheidung müsse die Umstände, das Verhalten oder die Entscheidungen der betroffenen Personen erheblich beeinträchtigen, die betroffene Person über einen längeren Zeitraum oder dauerhaft beeinträchtigen oder im schlimmsten Fall zum Ausschluss oder zur Diskriminierung von Personen führen. Dies können wir im Rahmen unserer KI-Analyse nicht feststellen. Die Konsequenz für die betroffenen Personen aus der KI - Analyse ist der Erhalt von postalischen Aussendungen oder eben kein Erhalt von postalischen Aussendungen. Ein gewisser bürokratischer Aufwand für die betroffenen Personen ist denkbar (wenn sie zum Beispiel ihr Recht auf Widerspruch/Löschung umsetzen möchte), aber keine Auswirkungen mit dem notwendigen Schweregrad, so dass von einer rechtlichen oder erheblichen Beeinträchtigung der betroffenen Person gesprochen werden kann - betroffene Personen können immer Werbeaussendungen adressiert mit Daten aus den Karteien von Adressverlagen durch eine Eintragung in die Robinsonliste der WKÖ ablehnen.
Gibt es eine Datenübermittlung in ein Drittland? Nein!
Das KI-System läuft auf unseren Servern in Österreich. Es gibt keinen Datentransfer in ein Drittland oder an eine internationale Organisation.
Rechtsgrundlage für die KI – Analyse: unser berechtigtes Interesse und das berechtigte Interesse unserer Kunden
Wir haben ein berechtigtes Interesse nach Art. 6 Abs 1 lit f DSGVO an der Durchführung von KI – Analysen zur Bildung von Zielgruppen für Aussendungen zur Gewinnung von neuen Unterstützer*innen unserer Kunden, die gemeinnützige Ziele verfolgen und daher auf Spenden angewiesen sind. Eine bessere Zielgruppenanalyse mit Hilfe von KI von unserer Seite erhöht die Anzahl der gewonnenen Spender*innen je postalischer Aussendung, reduziert so die Kosten und erhöht die verfügbaren Mittel für die gemeinnützigen oder mildtätigen Projekte. Deshalb haben auch unsere Kunden ein berechtigtes Interesse an unserer Zielgruppenanalyse mit Hilfe von KI.
Rechtsgrundlage für das Training der KI: Zweckänderung nach Art. 6 Abs 4 DSGVO, berechtigtes Interesse
Der originäre Zweck unserer Datenerhebung ist die Durchführung, Planung und Organisation von postalischen Werbeaktionen Dritter. Der Zweck der Weiterverarbeitung der Daten ist das Training des KI – Systems, um eine Analyse zu entwickeln, um den ursprünglichen Zweck der Datenerhebung effizienter und besser umsetzen zu können. Beide Zwecke sind unter dem übergeordneten Zweck „Direktwerbung“ subsumierbar (der Zweck „Training“ und der Zweck „Analyse zur Zielgruppenbestimmung“ zeigen in dieselbe Richtung) – also auch in Anbetracht des Zusammenhangs, in dem die personenbezogenen Daten bezogen wurden. Es werden keine Daten im Sinne des Art. 9 Abs 1 DSGVO oder Art. 10 DSGVO verarbeitet. Für die betroffenen Personen hat diese Weiterverarbeitung keine Konsequenzen. Im Rahmen des Trainings wird nur die Parametrisierung der KI verändert. Ein Training mit anonymisierten Daten war nicht möglich, da zu erwarten ist, dass die postalische Anschrift eine erklärende Variable für das KI-System sein kann.
2.1.3. Ergebnis Datenschutzfolgeabschätzung für unsere Verarbeitungen als Direktmarketingunternehmen
Wir erhalten personenbezogene Daten zur Organisation und Durchführung von postalischen Direktmarketingaktionen unserer Kunden im Rahmen von Lizenzierungsvereinbarungen oder Mietvereinbarungen von Inhabern der Ursprungsdateisysteme oder von Inhabern von Kunden- und Interessentendateisysteme (im Folgenden kurz Adressverlage). Diese müssen sich vertraglich verpflichten, dass die bereitgestellten Daten datenschutzkonform gewonnen wurden und dass diese Daten von uns zum vorliegenden Verarbeitungszweck verarbeitet werden dürfen (im Zuge der Unbedenklichkeitserklärung im Sinne des § 151 Abs 5 GewO). Wir erhalten von den Adressverlagen zudem Marketinganalysedaten. Hier sind wir vertraglich verpflichtet, dass wir diese Daten nur für Marketingzwecke verwenden und nicht weitergeben (im Rahmen der Unbedenklichkeitserklärung im Sinne des § 151 Abs 6 GewO 1994 idgF).
Den Betroffenen erwächst im Rahmen der Direktmarketingverarbeitungen vor allem deswegen ein gewisses Risiko, da die verschiedenen Akteure und Verarbeiter ihrer Daten unbekannt sein könnten und die Betroffenen deswegen ihre Rechte nicht ausüben könnten, bzw. nicht wüssten an wen sie ihre Rechte zu adressieren haben. Dieses Risiko wird von unserer Seiten so stark wie möglich reduziert. In allen Aussendungen unserer Kunden wird auf den verantwortlichen Adressverlag, auf uns und in der Folge auch auf den Kunden verwiesen (ungeachtet dessen, dass dieser zum Zeitpunkt der Postaufgabe keinen Zugriff auf die Daten hat). Bei allen drei Akteuren kann der Betroffene seine Rechte geltend machen und wird im Zuge dessen an die jeweiligen Ansprechstellen verwiesen. Der Betroffene kann so jederzeit Widerspruch gegen die Datenverarbeitungen einlegen und seine Daten löschen lassen. Alle erhaltenen Daten werden von uns in einem mandantenfähigen System gespeichert. Die Rückführbarkeit der Daten ist in jedem Fall gegeben. Personen, welche keine postalische Werbeaussendung möchten und die eine Eintragung in die Robinsonliste der Wirtschaftskammer durchführen haben lassen, werden regelmäßig aus unseren Systemen gelöscht. Die Verarbeitungen sind im Rahmen unseres berechtigten Interesses als Gewerbetreibender nach Art. 151 GewO somit legitim und verhältnismäßig.
2.1.4. Zertifizierung gemäß den Verhaltensregeln für Direktmarketingunternehmen
DIRECT MIND GmbH wurde am 23.03.2021 nach den Verhaltensregeln gem. Art. 40 DSGVO für die Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994 (Hrsg: FV Werbung und Marktkommunikation, WKÖ) zertifiziert.
Diese Zertifizierung stellt eine aufrechte Überwachung im Sinne des Art. 41 DSGVO der in diesem Zertifikat angeführten Verhaltensregel gemäß Art 40 DSGVO dar.
Die Austrian Standards plus GmbH (akkreditierte Überwachungsstelle gem. Art. 41 Abs 1 DSGVO) stellt dieses Überwachungszertifikat aus und überwacht die Einhaltung.
Diese Zertifizierung und die damit einhergehende Einhaltung der Verhaltensregeln ist ein Nachweis für uns, dass wir personenbezogene Daten als Direktmarketingunternehmen nach Treu und Glauben im Sinne des Art 5 Abs 1 lit a DSGVO verarbeiten.
2.2. Verarbeitungen von personenbezogenen Daten für unsere Kunden
Wir verarbeiten nur jene personenbezogenen Daten, die wir von den Auftraggebern im Rahmen unserer rechtmäßigen Verarbeitungstätigkeit bereitgestellt bekommen. Wir haben uns verpflichtet, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten.
Wir haben als Auftragsverarbeiter entsprechende Verträge laut § 28 DSGVO mit jedem Auftraggeber abgeschlossen und geeignete technische und organisatorische Maßnahmen implementiert, um eine datenschutzkonforme Verarbeitung der personenbezogenen Daten und den Schutz dieser Daten zu gewährleisten. Wir löschen die personenbezogenen Daten nach der Erfüllung unserer Verarbeitungstätigkeit. Die Auftraggeber verpflichten sich vertraglich, dass die uns zur Auftragsverarbeitung bereitgestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen erhoben wurden und dass sie zur Datenverarbeitung berechtigt sind.
2.3. Für Kunden, Partner, Mitarbeiter, Dienstleister, Interessenten, Bewerber
2.3.1. Allgemeiner Überblick:
Personenbezogene Daten verarbeiten wir zur Vertragserfüllung, Verrechnung, Geltendmachung der Vertragsansprüche, für Zwecke des Kundenservice, im Rahmen der Personalentwicklung und Personalverwaltung, zur Verwaltung unserer IT-Systeme, zur Durchführung und Organisation unserer Veranstaltungen, zur Öffentlichkeitsarbeit und für Werbezwecke. Die Daten werden hierfür, so weit zulässig, erhoben, gespeichert, verarbeitet und genutzt. Weitere Informationen zu einzelnen Verarbeitungen sind in den nachstehenden Punkten zu finden.
Wir verarbeiten hierbei fallweise folgende Kategorien personenbezogener Daten: Personenstammdaten, Kommunikationsdaten, Personalverwaltungsdaten, Vertragsdaten, Bankverbindungsdaten, Kommunikationsinhalte, Qualifikationsdaten, Finanzdaten, Online Marketingdaten, Ausweisdokumente, Zugangsdaten, Fotos, Nutzer generierte Inhalte, Log/ Protokolldaten. Die personenbezogenen Daten werden je nach Verarbeitungszweck in unterschiedlichen Systemen gespeichert. Nähere Angaben hierzu sind in den jeweiligen Informationen zu den Verarbeitungen zu entnehmen.
Die rechtlichen Grundlagen für die Verarbeitung von personenbezogenen Daten sind einerseits Vertragserfüllung, berechtigte Interessen, die Erfüllung unserer rechtlichen bzw. vertraglichen Verpflichtungen, sowie andererseits die Einwilligung der betroffenen Person (Newsletter, Cookies).
Wir verarbeiten personenbezogene Daten auf der Grundlage unserer berechtigten Interessen nach Art 6 Abs. 1 lit. f DSGVO, im Rahmen des gesetzlich zulässigen, für Öffentlichkeitsarbeit, um Informationen bereitzustellen und um unsere Dienstleistungen und Produkte zu bewerben. Nach Erwägungsgrund 47 DSGVO ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung ebenso ein berechtigtes Interesse.
Hierbei tragen ein ansprechender Webauftritt, sowie das Versenden von Aussendungen und die Kommunikation mit unseren Kunden und Interessenten maßgeblich zu unserem Unternehmenserfolg bei und sind somit hierfür auch erforderlich. Auch haben wir ein „berechtigtes Interesse“ darin, die Anforderungen unserer Kunden besser zu verstehen, um sie noch zielgerichteter unterstützen zu können.
Auch die Datenspeicherung oder Datenverarbeitung zur Gewährleistung der Funktionsfähigkeit unserer IT-Systeme kann, neben der rechtlichen Verpflichtung gemäß Art 6 Abs. 1 lit c DSGVO iVm Art 32. DSGVO (Sicherheit der Verarbeitung), auch auf unser berechtigtes Interesse nach Art 6 Abs. 1 lit. f DSGVO beruhen. Eine möglichst hohe Funktionalität dieser Systeme trägt ebenso zum Unternehmenserfolg bei.
Ein Widerspruch gegen diese Verarbeitungen, sofern sich diese auf unsere „berechtigten Interessen“ stützen, ist jederzeit unbegründet durch eine Nachricht an datenschutz@directmind.at möglich.
Personenbezogene Daten löschen wir bei einem Wegfall des Verarbeitungszweckes, im Falle eines Widerrufes der Einwilligung, bei einem besonderen Widerspruch, soweit die betroffene Datenverarbeitung auf unsere berechtigten Interessen gestützt wird, sowie nach einer rechtlichen Löschungsverpflichtung. Mittels Widerrufs der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
2.3.2. Datenverarbeitung im Rahmen des Bewerbungsprozesses
Wir verarbeiten personenbezogene Daten um den Bewerbungsprozess mit unseren Bewerbern durchführen zu können und um einen möglichst passenden Kandidaten für die Ausschreibung finden zu können. Rechtsgrundlage hierfür ist unser berechtigtes Interesse, (Art 6 Abs 1 lit f DSGVO) einen möglichst effizienten Bewerbungsprozess durchzuführen, sowie die Notwendigkeit zur Durchführung vorvertraglicher Maßnahmen (Art 6 Abs 1 lit b DSGVO). Wir schalten hierbei Anzeigen auf stepstone.at und karriere.at, welche als unsere Auftragsverarbeiter tätig sind. Die betroffenen Daten erheben wir im Rahmen des Bewerbungsprozesses (auch über stepstone.at und karriere.at) oder des Vorstellungsgesprächs entweder durch deren Bereitstellung durch den Bewerber oder durch Aufzeichnungen, die während des Gesprächs angefertigt werden. Die betroffenen Datenkategorien sind Personenstammdaten, Kommunikationsdaten, Qualifikationsdaten, Daten zum persönlichen, beruflichen, schulischen Werdegang, Gesprächsnotizen, Daten für vorvertragliche Maßnahmen (möglicher Eintritt, angestrebtes Stundenmaß, Gehaltsvorstellung). Eine Übermittlung dieser Daten ist nicht verpflichtend, aber ohne sie können wir den Bewerbungsprozess nicht durchführen. Falls erforderlich kann es sein, dass einzelne, für die Ausschreibung relevante Vertreter aus den Fachabteilungen sowie unser IT-Auftragsverarbeiter (im Rahmen der Betreuung unserer IT-Systeme) Zugriff auf die Daten erhalten.
Die Bewerbungsunterlagen werden gelöscht, wenn sie für den Verarbeitungszweck nicht mehr relevant sind oder längstens nach 6 Monaten für den Fall eines Diskriminierungsverfahrens als Beweisgrundlage.
Die Bewerbungsunterlagen werden so lange aufbewahrt, wie gesetzliche Aufbewahrungspflichten bestehen oder so lange etwaige rechtliche Ansprüche noch nicht verjährt sind.
2.3.3. Verwaltung unserer (Geschäfts-) Kontakte
-
- CRM-Systeme zur Kundenverwaltung
Zur Verwaltung unserer Kunden, unserer Geschäftspartner und unserer Auftragsverarbeiter speichern wir diese, je nach dem Zweck der Verarbeitung, zur Verwaltung unserer Kontakte und zur Geschäftsanbahnung in unterschiedlichen Systemen. Gespeicherte Daten sind Personenstammdaten, Kommunikationsdaten, Eigenschaften (z.Bsp. Personenstatus, zuständiger Kontakt, erhält die Person Touchpoints), Position in der Firma/Organisation, Organisationseinheit. Innerhalb diese Systeme erfolgt keine automatisierte Verarbeitung (wie zum Beispiel Profiling).
-
- CRM-Datenbank für Geschäftsprozesse
Dies ist eine webbasierte Lösung für Geschäftsprozesse. Die Applikation setzt auf einer SQL-Datenbank auf und wird über den Browser bedient. Sie dient der Dokumentation und der Abrechnung von Geschäftsprozessen. Die verarbeiteten Daten sind Personenstammdaten, Kommunikationsdaten, Kundenstammdaten, Angebote, Ausgangsrechnungen, Anfragen, Aufträge, Eingangsrechnungen, Zahlungskonditionen, Kontoverbindungen und UID Nummern. Der Hersteller der Datenbank, mit einem Sitz in der EU, kann im Zuge der bestehenden Wartungs- und Supportverträge Zugriff auf die personenbezogenen Daten erlangen.
Rechtsgrundlage für die Verwaltung unserer Kontakte und der Darstellung unserer Geschäftsprozesse ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, da eine hohe Funktionalität und ein leichtes Auffinden der Kontakte und der damit einhergehenden effizienten Kommunikation und Abwicklung der Geschäftsprozesse zu unserem Unternehmenserfolg beitragen. Des Weiteren verwalten wir die Kontakte auf Grund von Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung und auch vorvertragliche Maßnahmen) und auch auf Grund von rechtlichen Verpflichtungen nach Art. 6 Abs 1 lit. c DSGVO.
Personenbezogene Daten im Zuge der Verwaltung unserer Kontakte löschen wir nach Widerspruch, sofern keine gesetzliche Aufbewahrungspflicht besteht, nach Zweckerfüllung (Vertragsende, Ende der Geschäftsbeziehung), sowie gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO) ergeben, sowie bis zur Beendigung eines allfälligen Rechtsstreits und fortlaufender Gewährleistungs- und Garantiefristen.
2.3.4. Newsletteranmeldung
Auf unserer Website ist es möglich, sich für unseren Newsletter anzumelden. Eine Abmeldung ist jederzeit durch den Abmeldelink im Newsletter möglich. Die auf freiwilliger Basis an uns übermittelten personenbezogenen Daten (Vor- und Nachnamen, E-Mail-Adresse) werden für Zwecke der Bearbeitung bzw. der Kontaktaufnahme und der Zusendung von Werbeaktionen gespeichert.
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des Art. 96 Abs. 3 TKG sowie des Art 6 Abs. 1 lit. a (Einwilligung) DSGVO. Im Zuge der Gestaltung und des Versands von Newslettern beauftragen wir Auftragsverarbeiter, die dementsprechend Zugriff auf die personenbezogenen Daten erhalten. Es erfolgt keine Übermittlung von Daten an Dritte im Sinne des Art 4 Abs 10 DSGVO oder an Empfänger in Drittländer.
2.3.5. Newsletter/ E-Mail-Versand
Zur Durchführung von elektronischen Aussendungen und dem Versand von Marketing – E-Mails verarbeiten wir folgende Datenkategorien: Personenstammdaten, Kommunikationsdaten, sowie gegebenenfalls die Kundenhistorie und die Geschäftshistorie im Rahmen einer aufrechten Geschäftsbeziehung. Dies beinhaltet die Verwaltung von Empfängerlisten und die Dokumentation zu Nachweiszwecken. Das E-Mail-Marketing/ Newsletterversand ist ein Tool zur Kundenbindung, zur Information bestehender Kunden/ Geschäftspartner, zur Geschäftsanbahnung und ein Tool zur Öffentlichkeitsarbeit. Rechtsgrundlagen dieser Datenverarbeitungen sind die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, so wie Art. 6 Abs 1 lit. b DSGVO (Vertragsbeziehung).
Ein Widerruf gegen diese Datenverarbeitungen ist jederzeit durch eine Nachricht an datenschutz@directmind.at, sowie durch einen Link im Newsletter möglich. Zur Durchführung von elektronischen Aussendungen und dem Versand von Marketing – E-Mails beauftragen wir vertraglich Auftragsverarbeiter mit dem Sitz im EU-Inland. Die Daten werden so lange gespeichert, wie für den Zweck erforderlich: Bis Widerruf oder dem Ende der (Geschäfts-) Beziehung.
2.3.6. Analyse Newsletter
Zur Verbesserung der Erreichbarkeit und zur Datenpflege werden die Newsletter hinsichtlich der Öffnungsrate, der Klickrate, des Klickverhalten, Abmeldungen (hard- und soft bounces), der Mobile Devices, des Internet Browsers und des Betriebssystems analysiert. Hierzu beauftragen wir einen Auftragsverarbeiter mit dem Sitz im EU-Land. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Wir führen diese Verarbeitung durch um möglichst zielgerichtete Aktionen durchführen zu können und um unseren Datenbestand möglichst aktuell halten zu können. Damit sollen vor allem den Interessen unserer KundInnen, unserer Geschäftspartner und unserer InteressentInnen bestmöglich entsprochen und Streuverluste vermieden werden. Dies soll auch dafür sorgen, dass die eingesetzten finanziellen Mittel möglichst kostensparend eingesetzt werden können.
Ein Widerspruch gegen diese Datenverarbeitungen ist jederzeit durch eine Nachricht an datenschutz@directmind.at, sowie durch einen Link im Newsletter. Die Daten löschen wir nach Widerspruch, bzw. nach Zweckerfüllung.
2.3.7. Webinare
Webinare veranstalten wir zur Kundenbindung, zur Schulung, zum Austausch und zur Geschäftsanbahnung. Hierfür verarbeiten wir Personenstammdaten und Kommunikationsdaten. Zur Durchführung der Webinare ziehen wir ZOOM als Auftragsverarbeiter hinzu – weitere Informationen hierzu sind in dem entsprechenden Punkt über Zoom zu finden.
Rechtsgrundlage für die Datenverarbeitung im Rahmen der Webinare sind die Zustimmung der Teilnehmer der Webinare gemäß Art. 6 Abs. 1 lit. a DSGVO. Ein Widerspruch gegen die Datenverarbeitung ist jederzeit möglich – durch eine Nachricht an datenschutz@directmind.at, sowie durch das Verlassen des Webinars.
Die Teilnehmerlisten der Webinare löschen wir nach 3 Monaten, sofern keine aufrechten (Geschäfts-) Beziehung besteht. Ansonsten speichern wir die Daten bis Widerspruch oder Zweckerfüllung.
2.3.8. Followup nach Webinar
Nach einem Webinar wird den Teilnehmern ein Fragebogen zur Analyse des Webinars per E-Mail zugeschickt. Auf freiwilliger Basis kann dieser ausgefüllt werden, die generierten Daten werden zur Verbesserung unserer Webinare und zur Geschäftsanbahnung verwendet. Für den Versand verarbeiten wir Personenstammdaten und Kommunikationsdaten – im Fragebogen werden keine personenbezogenen Daten abgefragt, sondern allgemeine Fragen zum Webinar und zum Interesse der Teilnehmer an unseren Produkten. Im Rahmen des Versands des Fragebogens ziehen wir fallweise einen Auftragsverarbeiter mit dem Sitz innerhalb der EU hinzu.
Rechtsgrundlage für das „Followup“ ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Wir möchten unsere Webinare laufend verbessern und sind deshalb auf das Feedback der Teilnehmer angewiesen. Des Weiteren ist es für uns relevant, ob bei den Teilnehmern ein Interesse an unseren Leistungen besteht. Darüber hinaus ist das Ausfüllen des Fragebogens freiwillig. Durch die Nichtausfüllung entstehen den Teilnehmern keine Nachteile.
Eine Analyse über die Zustellbarkeit der E-Mail im Rahmen des Fragebogenversands wird analog zur „Newsletteranalyse“ durchgeführt.
Die Fragebögen werden anonymisiert ausgewertet. Wenn ein Interesse der Teilnehmer an unseren Produkten besteht, werden diese in unserem System zur Geschäftsanbahnung angelegt. Die ausgefüllten Fragebögen werden nach Zweckerlöschung vernichtet.
2.3.9. Gemeinsame Verantwortung im Zuge der Geschäftsanbahnung
Fallweise erhalten wir von Ehrenamt24 GmbH & Co. KG (Mühlweg 2b, 82054 Sauerlach, Deutschland) Kontaktdaten, die wir dann für die Durchführung von Webinaren und zur Geschäftsanbahnung verwenden. Wir haben mit Ehrenamt24 eine Vereinbarung nach Art. 26 DSGVO abgeschlossen (gemeinsame Verantwortung) und die Verantwortlichkeiten in zwei Wirkbereiche unterteilt: Ehrenamt24 garantiert, dass diese Kontaktdaten unter Berücksichtigung aller anwendbaren Gesetze von uns zur Geschäftsanbahnung genutzt werden können (Wirkbereich A) – wir verarbeiten die personenbezogenen Daten zur Geschäftsanbahnung und zur Bewerbung unserer Leistungen (Wirkbereich B). Jede Partei ist entsprechend ihres Wirkungsbereichs verantwortlich für die Daten.
2.3.10. Zoom
Wir nutzen das Tool „Zoom“ um Online-Meetings und Webinare ortsungebunden durchzuführen (Zweck der Verarbeitung). Zoom Video Communications Inc (kurz: Zoom) stellt den Dienst bereit, ist unser Auftragsverarbeiter und verarbeitet personenbezogene Daten zur Sicherstellung der Funktion der Dienste und zur Erstellung von Nutzungsstatistiken. Hier sind weitere Informationen zu Zoom zu finden: https://zoom.us/de-de/privacy.html.
Die Teilnahme an einem ZOOM-Meeting ist freiwillig. Rechtsgrundlage ist dementsprechend die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Wenn man nicht an einem solchen Meeting teilnehmen möchte, sollte dies dem Organisator mitgeteilt werden, damit dieser, wenn möglich, andere Kommunikationswege anbieten kann. Mit der Teilnahme an einem Zoom-Meeting wird die Einwilligung in die Datenverarbeitung zum eingangs genannten Zwecks erteilt. Ein Widerruf ist jederzeit durch Verlassen der Videokonferenz möglich.
Folgende personenbezogene Daten werden im Rahmen eines Online-Meetings oder Webinars über Zoom verarbeitet:
-
- Falls ein Zoom-Konto genutzt wird: Vor- und Nachnamen, welcher beim Beitreten zu einem Meeting auch geändert werden kann, sowie optional das Profilbild
- Ohne Zoom Konto: Der gewählte Name für die Videokonferenz. Dieser kann auch ein Pseudonym sein.
- Bei der Einwahl mit einem Telefon: Angabe zur Inbound/Outbound -Rufnummer, weiters der Ländername, sowie Start- und Endzeit.
- Angaben zum Meeting, wie zum Beispiel das Thema oder die Dauer
- Inhaltsdaten des Meetings: Die Aktivitäten (Bsp.: Chat-Nachrichten, freigegebene Bildschirminhalte, Interaktionen) im Rahmen der Videokonferenz werden an die Teilnehmer des Meetings weitergeleitet und von diesen möglicherweise gespeichert.
Bei einer Aktivierung des Mikrofons oder der Kamera auf dem Endgerät: Im Zuge dessen werden Audio- und Videodaten allen Teilnehmern zur Verfügung gestellt. Die Kamera oder das Mikrofon kann jederzeit deaktiviert bzw. die Aktivierung abgelehnt werden. Wir haben unter Umständen keinen Einfluss darauf, ob anderen Teilnehmer die Videokonferenz aufzeichnen. Dementsprechend könnten auch Dateien mit Video-/ Audioaufnahmen des Zoom-Meetings und der Inhalte und Aktivitäten des Meetings entstehen.
Empfänger der Daten sind alle Teilnehmer des Zoom-Meetings: Dritte, die hierzu eingeladen werden, sowie wir.
Zoom überträgt personenbezogene Daten ins EU/EWR-Ausland, um sie zum Beispiel in dortigen Rechenzentren zu verarbeiten. Sie verpflichten sich die personenbezogenen Daten in einem Gebiet zu verarbeiten, das nach Feststellung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten bietet oder geeignete Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten zu implementieren. Dies umfasst die Übertragung gemäß den geltenden Übertragungsmechanismen, der Standardvertragsklausel der Europäischen Kommission.
Die in einer Videokonferenz über Zoom gespeicherten personenbezogenen Daten werden von uns nicht gespeichert – auf Daten die von den Teilnehmern lokal gespeichert werden haben wir keinen Einfluss. Zur Sicherstellung der Funktion der Dienste und ggfs. zu deren Verbesserung speichert Zoom Verkehrs- und Nutzungsdaten und alle für ein Zoom-Konto relevanten Daten werden solange gespeichert, wie das Zoom- Konto existiert.
2.3.11. Touchpointmarketing
Über on- und offline Kanäle verschicken wir Grüße zu Geburtstagen, Jubiläen, Feiertagen oder sonstigen besonderen Anlässen. Hierfür verarbeiten wir Personenstammdaten, Kommunikationsdaten, sowie die Historie der Kunden- oder der Geschäftsbeziehung. Rechtsgrundlage für diese Verarbeitung ist die Zustimmung der Betroffenen gemäß Art. 6 Abs. 1 lit. a DSGVO, aber auch unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an einer guten engen Beziehung zu unseren Kunden und Geschäftspartnern. Ein Widerspruch gegen diese Verarbeitung ist jederzeit durch eine Nachricht an datenschutz@directmind.at oder an unsere postalische Anschrift möglich, sowie bei einem elektronischen Gruß über einen Abmeldelink. Für diese Verarbeitung ziehen wir fallweise Auftragsverarbeiter in der EU hinzu.
2.3.12. Registrierungsformulare
Auf einigen Seiten unserer Website haben unsere Besucher die Möglichkeit, Registrierungsformulare für von DIRECT MIND angebotene Dienstleistungen (z. B. unseren Newsletter, Whitepapers-Download etc.) auszufüllen. Beim Ausfüllen dieser Formulare müssen Besucher in der Regel ihren Namen, ihre E-Mail-Adresse, ihr Unternehmen sowie andere für das Bereitstellen dieser Dienste erforderliche Information angeben. Darüber hinaus können Benutzer freiwillig weitere Information angeben, die es uns ermöglichen, ihnen einen noch persönlicheren Service zu bieten. Soweit es nach den einschlägigen gesetzlichen Bestimmungen zulässig ist, können wir Website-Nutzer mit Hilfe der von ihnen übermittelten Information auch direkt kontaktieren, um die von DIRECT MIND angebotenen Produkte vorzustellen. Die Nutzer können der vorstehend beschriebenen Verwendung ihrer Daten jederzeit und ohne Angabe eines Grundes per E-Mail oder per Brief widersprechen.
2.3.13. Foto- und Videoaufnahmen bei unseren Veranstaltungen
Bei unseren Veranstaltungen (Sommerfest, Kabarett, Workshops, Seminare, … etc.) können Foto- und Videoaufnahmen angefertigt werden.
Die Aufnahmen werden zur Steigerung unseres Bekanntheitsgrades im Rahmen der Öffentlichkeitsarbeit sowie zur detaillierteren Darstellung unserer Aktivitäten in verschiedenen Medien, wie Homepage, Social Media, Newsletter und in unseren Drucksorten, verwendet.
Rechtliche Grundlage im Sinne des Art 6 Abs 1 lit f DSGVO ist unser berechtigtes Interesse, nämlich Öffentlichkeitsarbeit und Darstellung unserer Aktivitäten zur Erhöhung unseres Bekanntheitsgrades.
Es besteht das Recht gegen die Verarbeitung Widerspruch zu erheben. Der Widerspruch kann per E-Mail an datenschutz@directmind.at oder per Post an obenstehende Adresse gerichtet werden – oder direkt an den Fotografen adressiert werden, der die Aufnahmen macht.
Nachdem wir im Vorfeld einer Veranstaltung auf das Anfertigen und auf die Verwendung der Fotos hinweisen und weil wir bei der Anfertigung von Fotos und auch bei der Veröffentlichung derselben darauf achten, dass keine schutzwürdigen Interessen von abgebildeten Personen verletzt werden, ist davon auszugehen, dass unser Interesse an der Anfertigung und Verwendung der Fotos nicht übermäßig in die Rechte und Freiheiten der natürlichen Personen eingreift. Sofern aus besonders berücksichtigungswürdigen Gründen die Rechte und Freiheiten einer abgebildeten Person verletzt sein sollten, werden wir durch geeignete Maßnahmen die weitere Verarbeitung unterlassen. Eine Löschung auf der Website oder in Social-Media-Kanälen erfolgt im Rahmen der technischen Möglichkeiten.
Die Aufnahmen werden zur Steigerung unseres Bekanntheitsgrades im Rahmen der Öffentlichkeitsarbeit (z.B. auf Marketingmaterialien, Werbespots, Folder etc.) und zur Darstellung in elektronischen Medien – Website, Social-Media-Kanäle wie Facebook, Twitter, Instagram, YouTube und Newsletter – sowie in unseren Drucksorten (Kuvert, Brief, Zeitung), verwendet.
Aktuell gehen wir davon aus, dass ein(e) Fotograf(in), der/die Fotoaufnahmen unserer Veranstaltungen anfertigt, mit uns gemeinsam verantwortlich für die Verarbeitung (der Fotoaufnahme, Bearbeitung und Entwicklung) ist. Letztendlich entscheidet er/sie ohne unser Zutun über inhaltliche Fragen dieser Verarbeitung. Etwa wie lange die Fotos gespeichert werden, wer Zugriff auf die Fotos in ihren/seinen Räumlichkeiten hat und wer fotografiert wird. Im Rahmen einer zukünftigen Veranstaltung werden wir an dieser Stelle die diesbezüglichen Kontaktdaten und die wesentlichen Inhalte der Vereinbarung gemäß Art. 26 DSGVO bekanntgeben.
2.4. Wenn Sie uns eine E-Mail senden
Zur Sicherstellung einer angemessenen Informations- und Systemsicherheit, zur Erkennung von Schadsoftware und zur für den IT-Support greifen wir auf folgende Auftragsverarbeiter zurück:
-
- Sophos Limited, The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP, UK (Virenscanner, Sandboxing, Endpointprotection), dataprotection@sophos.com
- alliT GmbH, Technologiepark 17, 4320 Perg, Österreich (IT-Support, Rechenzentrum), ISO/IEC-27001 – zertifiziert, datenschutz@allit.at
Beide Auftragsverarbeiter können im Zuge ihrer Tätigkeit Zugriff auf alle personenbezogenen Daten erhalten, die uns über E-Mail übermittelt werden: E-Mail- und IP-Adresse des Empfängers und des Senders, Anzahl der Empfänger, Betreff, Datum und Uhrzeit des Eingangs beim Server, Dateibezeichnung allfälliger Anhänge, Größe der Nachricht, Risikoklassifizierung für Spam und Zustellstatus. Rechtsgrundlage für diese Verarbeitung ist unsere gesetzliche Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung).
Darüber hinaus speichern wir E-Mails in unserem Mailstore. Hierbei werden die E-Mails in verschiedenen Gruppen unterteilt und nach festgelegten Fristen archiviert und gelöscht.
2.5. Cookies auf unserer Website
2.5.1. Vorab – der Schutz Ihrer Privatsphäre
Wir empfehlen Ihnen, Ihre Privatsphäre zu schützen und dementsprechend mindestens folgende Einstellungen vornehmen:
-
-
- Deaktivierung der Widget-Funktion (Widgets sind meistens ein Teil einer Anwendung um deren schnelleren Start zu ermöglichen)
- Deaktivierung von Cookies –Informationen sind zum Beispiel hier zur finden:https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-kontrollieren-und-verwalten-11996
- Verhinderung des seitenübergreifenden Trackings (zum Beispiel durch Nutzung des Ghostery-AddOn im Browser)
- Löschen des Browserverlaufs
-
Darüber hinaus kann dem Einsatz von Cookies, die zur Reichweitenmessung und zu Werbezwecke dienen, über die Dienste folgender Netzwerbeinitiativen widersprochen werden:
2.5.2. Essenzielle Cookies
2.6. Unsere Auftragsverarbeiter, sowie Informationen zur Datenschutzerklärung
2.6.1. Ändern/Aktualisieren persönlicher Information
Jede von DIRECT MIND gesendete E-Mail erlaubt dem Benutzer, die von ihm bei der Registrierung für eine DIRECT MIND- Dienstleistung oder bei der Kontaktaufnahme via Website zur Verfügung gestellten Information zu ändern, zu bearbeiten oder zu entfernen.
2.6.2. Einsatz externer Auftragsverarbeiter
Für bestimmte Tätigkeiten im Zusammenhang mit unserer Website oder für postalische Aussendungen beauftragen wir externe Auftragsverarbeiter (ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) mit der Datenverarbeitung (z.B. Rechenzentren, Druckereien). Diese Auftragsverarbeiter verarbeiten die Daten ausschließlich nach unseren Weisungen, sind damit ebenfalls an diese Datenschutzerklärung gebunden und werden von uns kontrolliert. Die Auftragsverarbeiter dürfen die verarbeiteten Daten keinesfalls für ihre eigenen Zwecke nutzen. Im Folgenden geben wir jene Auftragsverarbeiter an, mit denen wir ständig und regelmäßig zusammenarbeiten und die in den vorangegangenen Punkten noch nicht genannt wurden:
-
-
- VSG Direktwerbung GmbH (Industriestraße B18, 2345 Brunn/Gebirge) als Lettershop zu Personalisierung der Drucksorten
- Emarsys eMarketing Systems AG (Märzstraße 1, 1150 Wien) zur Planung, Analyse und Durchführung der E-Mail-Kommunikation
- alliT GmbH (Technologiepark 17, 4320 Perg, Österreich) für den IT-Support
- buero bauer – Orientierung und Identität GmBH (Weyringergasse 36/1, 1040 Wien) für unseren Webauftritt
- Klischeeanstalt Merkur GmbH (Zieglergasse 39, 1070 Wien) zur Personalisierung der Drucksorten
-
2.6.3. Benachrichtigung bei Änderung der Datenschutzerklärung
Bei jeder künftigen Aktualisierung dieser Datenschutzhinweise werden wir diese Änderungen auf unserer Website bekannt geben. So sind unsere Benutzer immer darüber informiert, welche Information wir sammeln, wie diese Information verwendet wird, ob sie Dritten mitgeteilt werden und wenn ja, in welcher Weise.
2.7. Rechte, Prozess bei Anfragen zu den Betroffenenrechten und Datensicherheit
2.7.1. Einwilligung und Recht auf Widerruf
Ist für die Verarbeitung Ihrer Daten Ihre Zustimmung notwendig, verarbeiten wir diese erst nach der ausdrücklichen Zustimmung.
Ihre Zustimmung kann jederzeit unter folgender E-Mail-Adresse widerrufen werden: datenschutz@directmind.at, sowie postalisch an die eingangs genannte Anschrift. In einem solchen Fall werden die bisher gespeicherten Daten gelöscht (sofern keine gesetzlichen Aufbewahrungsfristen geltend gemacht werden), gesperrt (sofern kein Widerspruch erfolgt), in seltenen Fällen anonymisiert und in weiterer Folge lediglich für statistische Zwecke ohne Personenbezug weiterverwendet. Mittels des Widerrufs der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
2.7.2. Datenverarbeitungen im Rahmen von Datenschutzanfragen
Im Rahmen der Bearbeitung von Datenschutzanfragen, verarbeiten wir jene personenbezogenen Daten, welche uns durch das jeweilige Ansuchen bekannt gegeben wurden, um diesbezügliche Suchabfragen in unseren Systemen durchzuführen. Des Weiteren speichern wir das von uns angefertigte Schreiben und den jeweiligen Antrag ab um im Zweifelsfall einen Nachweis für die Erfüllung unserer Pflicht gemäß DSGVO erbringen zu können. Gegebenenfalls geben wir dieses Schreiben als Einschreiben auf.
Im Zuge dieser Vorgehensweise speichern wir, gegebenenfalls neben den Daten aus unserer Datenbank, welche zum Beispiel in einem Auskunftsschreiben notiert sein könnten, auch die Daten, welche Sie uns im Zuge des Antrages mitgeteilt wurden (zum Beispiel: Name, Anschrift, E-Mail-Adresse, Telefonnummer) und, sofern vorhanden, die Einschreibebestätigung der Österreichischen Post. Einen Identifikationsnachweis in Form eines Lichtbildausweises speichern wir nicht ab. Wir vermerken im Antwortschreiben nur die Ausweisnummer um bei Fragen hinsichtlich der Identifikation darauf verweisen zu können.
Diese personenbezogenen Daten finden keinen Eingang in unsere Datenbank, dienen ausschließlich der Durchführung von Suchanfragen zur Beantwortung des Datenschutzbegehrens und der Dokumentation der Erfüllung unserer Pflichten laut DSGVO, werden also nicht für andere Zwecke verwendet und nicht an Dritte im Sinne des Art. 4 Abs. 10 DSGVO weitergegeben – außer es gibt hierfür einen zwingenden rechtlichen Grund. Der Zugriff auf die so gespeicherten Daten ist innerhalb unserer Systeme stark reglementiert. Eine Datenübermittlung an einen Empfänger in einem Drittland findet nicht statt. Es besteht im Rahmen der Beantwortung der Datenschutzbegehren keine automatisierte Entscheidungsfindung.
Die auf diese Art und Weise gespeicherten Daten löschen wir nach einer bestimmten Frist automatisch. Diese bemisst sich nach Art. 24 Abs. 4 DSG (3 Jahre, solange kein Verfahren vorliegt).
Die Übermittlung von Auskunftsschreiben kann über unseren firmeninternen sftp-Server erfolgen. Hierbei erhält der Antragsteller oder die Antragstellerin einen Link, über welchem das Schreiben – nach der Eingabe eines Passwortes – bezogen werden kann.
Dieser Link ist ein Monat gültig. Beim Zugriff auf unseren Server speichern wir die IP-Adresse des Zugreifenden, die Uhrzeit des Zugriffs und das Datum des Zugriffs. Rechtsgrundlage hierfür ist unsere gesetzliche Verpflichtung nach Art. 6 Abs 1 lit c DSGVO in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung). Diese Daten löschen wir nach einem Monat vollständig.
2.7.3. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um die gespeicherten personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust oder Zerstörung und gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend des technischen Fortschritts fortlaufend verbessert.
Unsere Sicherheitsmaßnahmen umfassen insbesondere folgende Maßnahmen:
-
-
- Maßnahmen zur Sicherung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
-
1.1. Zugangskontrolle und Zutrittskontrolle
1.2. Datenträgerkontrolle
1.3. Speicherkontrolle
1.4. Zugriffskontrolle
1.5. Trennungsgebot
1.6. Pseudonymisierung (Art. 32 Abs. 1 lit. a, Art. 25 Abs. 1 DSGVO)
-
-
- Maßnahmen zur Sicherung der Integrität (Art. 32 Abs. 1 lit. b DSGVO)
-
2.1. Weitergabekontrolle
2.2. Eingabekontrolle
-
-
- Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
-
3.1. Verfügbarkeitskontrolle
3.2. Rasche Wiederherstellbarkeit (§ 32 Abs. 1 lit. c DSGVO)
3.3. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung (§ 32 Abs. 1 lit. d, Art. § 25 Abs. 1 DSGVO)
3.4. Übergreifende organisatorische Maßnahmen
2.7.4. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft über die betreffenden personenbezogenen Daten. Soweit keine gesetzliche Aufbewahrungspflicht besteht, haben Sie das Recht auf Löschung dieser Daten sowie Widerspruch gegen die Verarbeitung. Ferner haben Sie das Recht auf Berichtigung der Daten sowie auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Beschwerde bei der Österreichischen Datenschutzbehörde (1030 Wien, Barichgasse 40 – 42).
Bitte beachten Sie, dass nach höchstgerichtlicher Rechtsprechung das Recht auf Auskunft ein höchstpersönliches Recht ist. Eine Auskunft kann nur über die zur eigenen Person verarbeiteten Daten verlangt werden – dieses Recht gewährt kein Recht auf Auskunft über personenbezogener Daten Dritter. Eine Vertretung ist möglich, allerdings sind an das Vorliegen der Bevollmächtigung sehr strenge Maßstäbe anzulegen.
Wenn möglich und wenn Sie Ihre Rechte wahrnehmen wollen, schreiben Sie uns am besten selbst.
Wenden Sie sich bezüglich Ihrer Rechte oder bei Fragen zum Datenschutz bitte an uns unter datenschutz@directmind.at oder schreiben Sie an:
DIRECT MIND GmbH
Technologiestraße 8
Postfach 207
A-1121 Wien
Unseren Webservice für Datenschutzanfragen zu unserer Direktmarketingtätigkeit finden Sie unter: https://directmind.schuetzt-meine-daten.at
Stand April 2021
Test