Datenschutz: Warum Zertifizierung?

  1. Haftung: Im Datenschutz haftet auch der Auftraggeber. Dieser sollte daher über verlässliche Angaben zum bestehenden Datenschutz-Niveau seiner Auftragnehmer verfügen.
  2. Vertrauen: Zertifizierung stellt eine vertrauensbildende Maßnahme nach innen und nach außen dar.
  3. Struktur: Zertifizierung überprüft Struktur und Sicherheit der eigenen Abläufe.
IITR CERT

Im Datenschutz haftet der Auftragsgeber bei einer Verarbeitung von personenbeziehbaren Daten dafür, dass ein von ihm beauftragtes Unternehmen über das notwendige, angemessene Datenschutz-Niveau verfügt. Der Auftraggeber ist weiterhin zum Nachweis verpflichtet, sich vorab darüber vergewissert zu haben.

Die Sicherstellung, wonach der ins Auge gefasste Auftragnehmer das geforderte Datenschutz-Niveau tatsächlich vorweist, kann auf dreierlei Weise erfolgen:

  1. Das eigene Unternehmen beauftragt einen Auditor, welcher das Datenschutzniveau des Auftragnehmers als ausreichend begutachtet.
  2. Ein zu beauftragendes Unternehmen kann einen glaubwürdigen Nachweis über das erforderliche Datenschutzniveau vorlegen. In der Regel wird hierzu eine Zertifizierung vorgelegt - beispielsweise ein CPS.
  3. Für Groß-Unternehmen besteht die Möglichkeit, auf eine ISO-Zertifizierung zurückzugreifen, welche zunächst gem. ISO27001 die eigene IT-Sicherheit begutachtet. Ab etwa April 2019 kann für den Datenschutz eine Zertifizierung gem. ISO27552 hinzugefügt werden.*

* wird allerdings aufgrund des hohen Aufwandes, und der damit verbundenen Kosten größeren Unternehmen vorbehalten sein müssen sowie Firmen, deren Betätigungsschwerpunkt ohnehin der Verarbeitung personenbeziehbarer Daten zuzurechnen ist.

- Certified Privacy Standard

Die IITR Datenschutz GmbH hat Kriterien für diesen Standard entwickelt, um Datenschutzkonformität sowohl herstellen als auch bescheinigen zu können.

Dieser CPS sieht eine Differenzierung nach Größe der Unternehmen, sowie Intensität der Datenverarbeitung vor.

CPS 100 100

CPS 100 für mittelständische
Unternehmen

Nachweis eines Datenschutz-Management-Systems orientiert an den DSGVO (Datenschutz-Grundverordnung).

Mehr erfahren →
CPS 600 600

CPS 600 für
kleine Unternehmen

Nachweis eines Datenschutz-Management-Systems orientiert an den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht her.

Mehr erfahren →

Die IITR Cert GmbH

Die IITR Cert GmbH bietet Unternehmen aus dem Umfeld kleinerer und mittlerer Unternehmen eine Bestätigung des jeweils erforderlichen Datenschutz-Niveaus an.

Unser Ziel ist es:

  1. Die rechtssichere Auftragsvergabe von Datenverarbeitungs-Vorgängen zwischen Dienstleistern zu ermöglichen, bzw. zu erleichtern.
  2. Die sich unmittelbar aus der DSGVO ergebenden Haftungsrisiken für die Geschäftsleitung zu minimieren, also eine Haftungsreduzierung zu bewerkstelligen.
  3. Eine Zertifizierung dient nach außen der Vertrauensbildung, die Bestätigung des eigenen Datenschutz-Niveaus stellt Sicherheit nach innen her.

Struktur

Mehr erfahren →

Struktur

Die IITR Cert GmbH ist eine juristisch und strukturell eigen­ständige Einheit mit der Aufgabe, die Unabhängigkeit von Weisungen bei der Zertifizierung im Datenschutz sicher­zustellen.

Diese Unabhängigkeit ist weiterhin Voraussetzung der notwendigen Objektivitätbei der Auditierung kleiner Unternehmen, welche lediglich die Beurkundung eines angemessen Datenschutz-Niveaus für sich anstreben.

Aufgaben

Mehr erfahren →

Aufgaben

CPS - Certified Privacy Standard

  • Weiterentwicklung und Überwachung der Standards CPS 100 sowie CPS 600.
  • Erstellung der für eine Zertifizierung sowie Bewertung erfordelichen Auditierungs-Vorgaben.
  • Bereitstellung einer Handreichung als Grundlage der Konformitäts-Bewertung.
  • Durchführung der Zertifizierungen nach CSP 100
  • Auditierung von Unternehmen nach CPS 600

42

In dem Kult-Roman „Per Anhalter durch die Galaxis“ des Schriftstellers Douglas Adams steht die „42“ für die letztendliche Antwort eines Supercomputers auf „Die Frage nach dem Sinn des Lebens, dem Universum und dem ganzen Rest“. Der Supercomputers Deep Thought sah sich allerdings außerstande, die zugrunde liegende Frage zu formulieren.

Die 42 stellt - zufällig? - die Bezifferung jenes Artikels der DSGVO dar, welcher die Zertifizierung Im Datenschutz regelt.

Artikel 42
DSGVO

Mehr erfahren →


Auslegung

Mehr erfahren →

Derzeitiger Stand Zertifizierung

Mehr erfahren →

Personen im Hintergrund

Ralf Zlamal - Geschäftsführung, Struktur, Umsetzung

Ralf Zlamal

Geschäftsführung, Struktur, Umsetzung

Pflege der Dokumentenbasis für das Handbuch, den Leitfaden sowie die notwendigen fachlichen Erklärungen

Dr. Sebastian Kraska - Bedarfsanalyse, Strategie, Realisierung

Dr. Sebastian Kraska

Bedarfsanalyse, Strategie, Realisierung

Zuständig für Zertifizierungsgesellschaft, Compliance- Kits, Datenschutz- Kit und Certified Privacy Standard CPS

Sie haben eine Frage?

*Bitte Pflichtfelder ausfüllen

Leider ist ein unerwarteter Fehler aufgetreten, versuchen Sie es bitte später noch einmal.

Leider ist ein unerwarteter Fehler aufgetreten, versuchen Sie es bitte später noch einmal.

Vielen Dank für Ihre Nachricht!

← Zurück ×

Auslegung

AKurzpapier Nr. 9 Zertifizierung nach Art. 42 DS-GVO Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) zur ersten Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses

Dokument im Volltext →

B28. Mai 2018 EUROPÄISCHE DATENSCHUTZ-AUFSICHT: POSITIONEN DER ART. 29 GRUPPE BESTÄTIGT

Link zum Artikel →

C 14. Dezember 2018 EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) - Annex 1

Start Date:
14 December 2018

End Date: 01 February 2019

Guidelines accreditation certification bodies →

Accreditation annex - public consultation →

Datenschutz-Standard CPS100 für mittelständische Unternehmen

Die Zertifizierung nach CPS100 ist orientiert an den Vorschriften der DSGVO. Die Voraussetzungen einer Zertifizierung sind in der Konformitätsbewertung CPS100 niedergelegt. Die Zertifizierung erfolgt durch eine unabhängige Stelle.

Konformitätsbewertung CPS 100

Datenschutz-Standard CPS100

Ein für den CPS100 zugrunde zulegendes Datenschutz-Management-System (DMS) stellt beispielsweise das Compliance-Kit stellt dar.

In der DSGVO ist die Nachweisbarkeit von Maßnahmen und Erklärungen in einem zeitlich zuordbaren Rahmen gefordert. Diese Nachweisbarbeit kann erbracht werden durch ein versionierendes DMS, welches die jeweils aktuelle Dokumentenlage festhält. Auf diese Weise wird u.a. der fortlaufende Stand der Konformität sichergestellt.

Datenschutz-Standard CPS600 für kleine Unternehmen

Der CPS600 findet Verwendung bei Unternehmen mit nicht mehr als 20 Firmenangehörigen, deren Betätigungsschwerpunkt nicht in der Verarbeitung sensibler personenbeziehbarer Daten liegt. Der CPS600 bescheinig die Einführung eines Datenschutz-Management-Systems orientiert an den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht“ niedergelegten Vorgaben. Die Voraussetzungen einer erfolgreichen Überprüfung nach CPS600 sind in der nachfolgenden Konformitätsbewertung CPS600 niedergelegt.

Konformitätsbewertung CPS 600

Datenschutz-Standard CPS600

Der CPS 600 setzt die Verwendung des Datenschutz-Kit mit seinem Datenschutz-Management-Systems (DMS) voraus. Dieses DMS verfügt über eine Versionierung des jeweils vorliegenden Dokumentenstandes.

Das Datenschutz-Kit ist somit in der Lage, die aktuelle Dokumentenlage des Unternehmens im Datenschutz zu dokumentieren. Der Standard CPS600 bestätigt den vorhandenen Zustandes des geforderten Datenschutzniveaus.

Konformitätsbewertung CPS 600 →

Derzeitiger Stand Zertifizierung

Für die Zielgruppe der mittleren bis kleineren Unternehmen, um die es hier gehen soll verbleibt eine durch staatliche Zertifizierung nicht abgedeckte Angebotslücke Dies löst Schwierigkeiten aus, sofern eine Verarbeitung personenbeziehbarer Daten stattfinden soll und man dabei auf Auftragsverarbeitung zurückgreifen will, oder gar angewiesen sein sollte.

Weder ist bisher widerspruchsfrei gelöst, welche Behörde eine Akkreditierung eines Zertifizierers durchzuführen hat. Es stehen nicht einmal einer Zertifizierung von Unternehmen zu unterlegende Kriterien zur Diskussion. Anscheinend soll der Weg einer gegenseitigen Vertrauensbildung für Unternehmen garnicht beschritten werden. Lediglich Produkte und Dienstleistungen sollen einer Zertifizierung geöffnet werden. Demzufolge werden keine Standards genannt oder in Aussicht gestellt, um Unternehmen eine Möglichkeit des Nachweises zu eröffnen, den Anforderungen der nunmehr eingeführten Mithaftung eines Auftraggebers bei der Verarbeitung personenbeziehbarer Daten zu entsprechen.

Anstelle der ausbleibenden Möglichkeit einer offiziellen Zertifizierung vor allem von kleinen Unternehmen wird es unabwendbar, privatrechtliche Zertifizierungen in den Markt einzuführen.

Diese dienen sowohl dem Nachweis einer eigenen, datenschutzkonformen Aufstellung und stellen zusätzlich ein Instrument der Haftungsreduzierung dar für den Fall, dass man von einer Datenpanne bei sich, oder bei seinem Unterauftragnehmer betroffen sein könnte.

Diese Zertifizierung dient weiterhin der Vermeidung eines ansonsten drohenden Marktausschlusses von kleinen Unternehmen.

Da keine amtliche Zertifizierung von Unternehmen angeboten wird verbiebe denen nur noch das Instrument einer Auditierung, welche einer Auftragsvergabe auch noch vorangehen müsste.

Bei fehlenden Zertifizierungs-Angeboten wird eine Auditierung erforderlich, weil jeder Geschäftsführer eines jeden Unternehmens sich zukünftig vor Auftragsvergabe aus persönlichen Haftungsgründen von dem angemessenen Datenschutzniveau seines Auftragnehmers überzeugt haben muss. Die erfolgreiche Vergewisserung muss begründbar sein und vor Auftragsvergabe schriftlich niedergelegt werden.

Diese Prozedur einer vorherigen Auditierung wird umständlich und könnte zum Marktausschluss all jener kleiner Unternehmen führen, die sich die ansonsten nur für Groß-Unternehmen gedachte, langwierige und aufwendige, mithin teure ISO 27001 / ISO 27552- Zertifizierung schlichtweg nicht werden leisten können.

Damit begründen wir als IITR Cert GmbH, eine privatrechtliche Zertifizierung mit den dafür notwendigen Instrumenten anzubieten.

Artikel 42 - Zertifizierung

  1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizie­rungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nach­zuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunter­nehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
  2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsver­arbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Über­mittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Ver­antwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger recht­lich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Per­sonen.
  3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
  4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verant­wortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und be­rührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
  5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Auf­sichtsbehörde gemäß Artikel 58 Absatz 3 oder - gemäß Artikel 63 - durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
  6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verar­beitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Ar­tikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätig­keiten.
  7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifi­zierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizie­rung nicht oder nicht mehr erfüllt werden.
  8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzei­chen in ein Register auf und veröffentlicht sie in geeigneter Weise.

Link zu DSGVO →

Impressum

IITR Cert GmbH
Eschenrieder Str. 62c
82194 Gröbenzell
Tel.: +49 (0)89 1891 7360
E-Mail: email@iitr.de

Pflichtangaben: Sitz: Gröbenzell, Registergericht: Amtsgericht München, Handelsregisternummer: HRB 188513, Geschäftsführer: Ralf Zlamal, Eckehard Kraska, Dr. Sebastian Kraska.

Inhaltlich Verantwortlicher gemäß § 55 Abs. 2 RStV: Dr. Sebastian Kraska (Anschrift wie oben).

Webseiten-Datenschutzerklärung und zugleich Information der Betroffenen gemäß Artikel 13 und Artikel 14 EU-Datenschutzgrundverordnung

Allgemeine Angaben

Angaben zur verantwortlichen Stelle

Unternehmen:

IITR Cert GmbH

Gesetzlicher Vertreter:

Ralf Zlamal, Eckehard Kraska ,Dr. Sebastian Kraska

Firmenadresse:

Eschenrieder Str. 62c, 82194 Gröbenzell

Kontaktdaten Datenschutz:

email@iitr.de

Allgemeine Datenverarbeitungs-Informationen

Betroffene Daten:
Personenbezogene Daten werden nur erhoben, wenn Sie uns diese von sich aus mitteilen. Darüber hinaus werden keine personenbezogenen Daten erhoben. Eine über die Reichweite der gesetzlichen Erlaubnistatbestände hinausgehende Verarbeitung Ihrer personenbezogenen Daten erfolgt nur auf Grundlage Ihrer ausdrücklichen Einwilligung.

Verarbeitungszweck:

Vertragsdurchführung.

Kategorien von Empfängern:

Öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften.
Externe Dienstleister oder sonstige Auftragnehmer.
Weitere externe Stellen soweit der Betroffene seine Einwilligung erteilt hat oder eine Übermittlung aus überwiegendem Interesse zulässig ist.

Drittlandtransfers:

Es werden keine Auftragsverarbeiter außerhalb der Europäischen Union eingesetzt.

Dauer Datenspeicherung:

Die Dauer der Datenspeicherung richtet sich nach den gesetzlichen Aufbewahrungspflichten und beträgt in der Regel 10 Jahre.

Spezifische Angaben zur Webseite

Einsatz eines Newsletters
Im Rahmen der Registrierung unseres Newsletters teilen Sie uns Ihre E-Mail-Adresse und optional weitere Daten mit. Diese Angaben verwenden wir ausschließlich, um Ihnen den Newsletter zuzusenden. Ihre bei der Newsletter-Anmeldung eingegebenen Daten bleiben bei uns gespeichert, bis Sie sich wieder von unserem Newsletter abmelden. Eine Abmeldung ist jederzeit über den dafür vorgesehenen Link im Newsletter oder eine entsprechende Mitteilung an uns möglich. Mit der Abmeldung widersprechen Sie der Nutzung Ihrer E-Mail-Adresse.

Einsatz von Google Analytics
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen. Speziell für Browser auf mobilen Geräten klicken Sie bitte diesen Link, um die anonymisierte Erfassung durch Google Analytics auf dieser Webseite für Ihren Browser mittels eines so genannten „Opt-Out-Cookies“ zukünftig zu verhindern.

Google AdWords Conversion Tracking
Diese Webseite benutzt Google AdWords Conversion Tracking, einen Webanalysedienst der Google Inc. („Google“). Google AdWords Conversion Tracking verwendet ebenfalls „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseitenaktivitäten für die Webseitenbetreiber zusammenzustellen und um weitere mit der Webseitennutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall die Daten mit anderen Daten von Google in Verbindung bringen. Sie können die Verwendung von Cookies generell verhindern, wenn Sie in Ihrem Browser die Speicherung von Cookies untersagen.

Einsatz von Google-Tool zum Schutz unserer Formulare
Wir verwenden Dienste des Anbieters Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) um festzustellen, ob unsere Kontakt- oder Newsletter-Formulare von einem autorisierten Besucher oder einem möglichen Angreifer ausgefüllt werden. Google prüft dies anhand folgender Daten: IP-Adresse des verwendeten Endgeräts, besuchte Webseite, Datum und Dauer des Besuchs, Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs, Google-Account (wenn eingeloggt), Mausbewegungen sowie Aufgaben, bei denen Sie Bilder identifizieren müssen. Es besteht ein berechtigtes Interesse auf unserer Seite an dieser Datenverarbeitung, die Sicherheit unserer Webseite zu gewährleisten und uns vor automatisierten Eingaben (Angriffen) zu schützen. Weitere Informationen finden Sie unter folgendem Link: https://www.google.com/policies/privacy/. Eine Widerspruchsmöglichkeit finden Sie hier: https://adssettings.google.com/authenticated.

Angaben zu weiteren Datenverarbeitungsverfahren


Spezifische Angaben zum Bewerbungsverfahren

Betroffene Daten:

Bewerbungsangaben

Verarbeitungszweck:

Durchführung Bewerbungsverfahren

Kategorien von Empfängern:

Öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften.
Externe Dienstleister oder sonstige Auftragnehmer.
Weitere externe Stellen soweit der Betroffene seine Einwilligung erteilt hat oder eine Übermittlung aus überwiegendem Interesse zulässig ist.

Drittlandtransfers:

Es werden keine Auftragsverarbeiter außerhalb der Europäischen Union eingesetzt.

Dauer Datenspeicherung:

Bewerbungsdaten werden nach Mitteilung der Entscheidung in der Regel binnen vier Monaten gelöscht, soweit nicht eine Einwilligung in eine längere Datenspeicherung im Rahme der Aufnahme in den Bewerberpool vorliegt.


Spezifische Angaben zur Verarbeitung von Kundendaten/Interessentendaten

Betroffene Daten:

Zur Vertragsdurchführung mitgeteilte Daten; ggfs. darüber hinaus gehende Daten zur Verarbeitung auf Basis Ihrer ausdrücklichen Einwilligung.

Verarbeitungszweck:

Vertragsdurchführung, u.a. Angebote, Aufträge, Verkauf und Rechnungsstellung, Qualitätssicherung.

Kategorien von Empfängern:

Öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften.
Externe Dienstleister oder sonstige Auftragnehmer, u.a. zur Datenverarbeitung und Hosting, für Versand, Transport und Logistik, Dienstleister zum Druck und Versand von Informationen und Call Center.
Weitere externe Stellen soweit der Betroffene seine Einwilligung erteilt hat oder eine Übermittlung aus überwiegendem Interesse zulässig ist.

Drittlandtransfers:

Es werden keine Auftragsverarbeiter außerhalb der Europäischen Union eingesetzt.

Dauer Datenspeicherung:

Die Dauer der Datenspeicherung richtet sich nach den gesetzlichen Aufbewahrungspflichten und beträgt in der Regel 10 Jahre.


Spezifische Angaben zur Verarbeitung von Beschäftigtendaten

Betroffene Daten:

Zur Vertragsdurchführung mitgeteilte Daten; ggfs. darüber hinaus gehende Daten zur Verarbeitung auf Basis Ihrer ausdrücklichen Einwilligung.

Verarbeitungszweck:

Vertragsdurchführung im Rahmen des Beschäftigungsverhältnisses

Kategorien von Empfängern:

Öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften, u.a. Finanzamt, Sozialversicherungsträger.
Externe Dienstleister oder sonstige Auftragnehmer, u.a. zur Datenverarbeitung und Hosting, zur Entgeltabrechnung, zur Reisekostenabrechnung, zu Versicherungsleistungen.
Weitere externe Stellen soweit der Betroffene seine Einwilligung erteilt hat oder eine Übermittlung aus überwiegendem Interesse zulässig ist.

Drittlandtransfers:

Es werden keine Auftragsverarbeiter außerhalb der Europäischen Union eingesetzt.

Dauer Datenspeicherung:

Die Dauer der Datenspeicherung richtet sich nach den gesetzlichen Aufbewahrungspflichten und beträgt in der Regel 10 Jahre.


Spezifische Angaben zur Verarbeitung von Lieferantendaten

Betroffene Daten:

Zur Vertragsdurchführung mitgeteilte Daten; ggfs. darüber hinaus gehende Daten zur Verarbeitung auf Basis Ihrer ausdrücklichen Einwilligung.

Verarbeitungszweck:

Vertragsdurchführung, u.a. Anfragen, Einkauf, Qualitätssicherung.

Kategorien von Empfängern:

Öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschrifte.
Externe Dienstleister oder sonstige Auftragnehmer, u.a. zur Datenverarbeitung und Hosting, Buchhaltung, Zahlungsabwicklung.
Weitere externe Stellen soweit der Betroffene seine Einwilligung erteilt hat oder eine Übermittlung aus überwiegendem Interesse zulässig ist.

Drittlandtransfers:

Es werden keine Auftragsverarbeiter außerhalb der Europäischen Union eingesetzt.

Dauer Datenspeicherung:

Die Dauer der Datenspeicherung richtet sich nach den gesetzlichen Aufbewahrungspflichten und beträgt in der Regel 10 Jahre.

Weitere Informationen und Kontakte
Darüber hinaus können Sie jederzeit ihre Ansprüche auf Auskunft, Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder der Wahrnehmung Ihres Widerspruchsrechts gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit geltend machen. Unter dem Link Impressum finden Sie die Möglichkeit, uns per E-Mail oder Brief zu kontaktieren. Sie haben ferner das Recht, sich bei Beschwerden an die Datenschutz-Aufsichtsbehörde zu wenden.