DATENSCHUTZINFORMATION

Sicherheit und Schutz Ihrer personenbezogenen Daten

1 ANSPRECHPARTNER

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:
CR Energy AG
Heinrich-Hertz-Str. 1b, 14532 Kleinmachnow
Telefon: 033203 3207 0
E-Mail: info@cr-energy.de

Inhalt

1 ANSPRECHPARTNER
2 IHRE RECHTE IM ALLGEMEINEN
3 DATENVERARBEITUNGEN BEI UNS
3.1 UNSER UNTERNEHMENSVERBUND
3.2 DIREKTE KOMMUNIKATION MIT UNS
3.2.1 E-MAIL-KOMMUNIKATION
3.2.2 TELEFONATE
3.2.3 BRIEFPOST
3.2.4 TELEFAX
3.2.5 VISITENKARTEN
3.3 BESUCH UNSERER INTERNETSEITEN
3.3.1 DATENÜBERTRAGUNG IN DRITTLÄNDER
3.3.2 BEREITSTELLEN UNSERER INTERNETSEITEN
3.3.3 COOKIES
3.3.4 KONTAKTFORMULAR
3.4 IHR INVESTOREN-VERHÄLTNIS MIT UNS
3.4.1 AKTIONÄRE UND INTERESSENTEN
3.4.2 KONTAKTAUFNAHME MIT DER IR-ABTEILUNG DER GESELLSCHAFT
3.4.3 ANMELDUNG ZUR UND TEILNAHME AN DER HAUPTVERSAMMLUNG
3.4.4 IHRE TEILNAHME AN INFORMATIONSVERANSTALTUNGEN FÜR INVESTOREN
3.5 LIEFERANTEN UND DIENSTLEISTER
3.5.1 GESCHÄFTSBEZIEHUNG
3.5.2 NENNUNG IN PUBLIKATIONEN
3.6 STELLENBESETZUNGEN
3.6.1 BEWERBUNGEN
3.6.2 KANDIDATENPOOL
3.7 ALLGEMEINE INFRASTRUKTUR
3.7.1 BESUCHER
3.7.2 FINANZBUCHHALTUNG
3.7.3 ZAHLUNGSTRANSFERS
3.7.4 IT-ADMINISTRATION
3.7.5 DATEISPEICHERUNG (METADATEN)
3.7.6 ENTSORGUNG VON DATENTRÄGERN UND DOKUMENTEN

2 IHRE RECHTE IM ALLGEMEINEN

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO (entsprechend EU General Data Protection Regulation, GDPR), mit Blick auf Ihre bei uns verarbeiteten Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO. Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

1. Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

2. Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Art. 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.

3. Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Art. 16 DSGVO).

4. Sie können von uns jederzeit Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Art. 15 DSGVO).

5. Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Art. 17 bzw. 18 DSGVO).

6. Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbaren Format zur Weitergabe an Dritte zur Verfügung stellen (Art. 20 DSGVO).

7. Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. der Berliner Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

3 DATENVERARBEITUNGEN BEI UNS

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Alle Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Art. 9 Abs. 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Abschließend kann die Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Art. 7 DSGVO).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 18 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht allein aus dem Datenschutzrecht nach der DSGVO sondern aus dem strengeren Recht nach dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, TTDSG (entspricht der EU ePrivacy Richtlinie). Die Vorschriften dieser Richtlinie haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

3.1 UNSER UNTERNEHMENSVERBUND

Wir bieten unsere Leistungen im Verbund mit CR-Partnergesellschaften an (siehe unsere Übersicht auf cr-energy.de). Grundsätzlich ist jede dieser Gesellschaften für die von ihr verarbeiteten Daten allein verantwortlich.

Regelmäßig tritt eine Gesellschaft in datenschutzkonformer Weise nach Artikel 28 DSGVO für andere verbundene Unternehmen als Auftragsverabeiter auf.

In einigen Konstellationen greifen Gesellschaften auch gemeinsam auf Daten zu, um Ihnen eine optimale und auch grenzüberschreitende Versorgung anbieten zu können. So eine gemeinsame Nutzung von Daten erfolgt auf Grundlage eines Vertrags über die gemeinsame Verantwortung nach Artikel 26 DSGVO. Wo immer eine Verarbeitung in Form einer gemeinsamen Verantwortung erfolgt, weisen wir Sie in der nachfolgenden Beschreibung der einzelnen Verarbeitungen darauf hin.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.

3.2 DIREKTE KOMMUNIKATION MIT UNS
3.2.1 E-MAIL-KOMMUNIKATION

Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absenderadresse, Zeitpunkt des Versands etc.) werden auf dem E-Mail-Server der CR Energy, der nach aktuellem Stand der Technik geschützt und gesichert ist, gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets).

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

E-Mail Verschlüsselung: E-Mails können unverschlüsselt, transportverschlüsselt und Ende-zu-Ende-verschlüsselt verschickt werden. Standard ist ein transportverschlüsselter Versand, einen gänzlich unverschlüsselten Versand bieten wir nicht an. Transportverschlüsselung bedeutet, dass die Kommunikation fast durchgängig verschlüsselt ist, die E-Mails aber unverschlüsselt auf den Servern der Postfachanbieter liegen.

Unsererseits entspricht die Standart-Verschlüsselung einer Transportverschlüsselung. Auf Ihrer Seite ist der Zugriff auf Ihre E-Mail-Inhalte davon abhängig, bei welchem Anbieter Sie Ihre E-Mails speichern und welche Dritten darauf zugreifen dürfen. Abhängig vom nationalen Standort Ihres Providers ist, welche staatlichen Einrichtungen auf Ihre E-Mails zugreifen dürfen.

Ende-zu-Ende-Verschlüsselung schließt auch den Zugriff beim Provider aus. Nur Sender und Empfänger können die Inhalte der E-Mails lesen.

Sensible Daten, deren Verlust oder Offenbarung gegenüber Unberechtigten ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, sollten nur Ende-zu-Ende-verschlüsselt übertragen werden. Daher fragen wir Sie ausdrücklich nach Ihrer Einwilligung, bevor wir zu besonders sensiblen Themen über E-Mails mit Ihnen kommunizieren, die nur transportverschlüsselt sind.

Sie können uns auch inhaltsverschlüsselte (Ende-zu-Ende verschlüsselte) Nachrichten zukommen lassen. Bitte teilen Sie uns vorab mit, auf welchem Weg Sie die Verschlüsselung durchführen wollen und wie die CR die Entschlüsselung vornehmen kann.

Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail.

Datenempfänger (ggf. Drittstaatentransfer): Ein Transfer in Drittstaaten findet nicht statt (außer Sie nutzen Ihrerseits einen Hosting-Dienstleister außerhalb des Europäischen Wirtschaftsraums oder halten sich dort auf).

Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail. Ein Versand von sensiblen Daten per E-Mails, die nicht Ende-zu-Ende-verschlüsselt sind, erfolgt auf Grundlage Ihrer Einwilligung.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.2.2 TELEFONATE

Beschreibung: Telefonieren wir miteinander, erfassen unsere Mobiltelefone bzw. unsere Telefonanlage zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs. Diese Daten in den Anruflisten werden fortlaufend von nachfolgenden Gesprächen gelöscht. Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und erfassen sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber im Personalbereich). Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Aufzeichnungen von Gesprächen finden nur im absoluten Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Die CR Energy AG betreibt eine handelsübliche Telefonanlage auf aktuellem Stand der Technik, eine Auftragsverarbeitung findet nicht statt. Datenempfänger sind Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Rechtsgrundlage für die Aufzeichnung oder das Mithören des Gesprächs ist Ihre Einwilligung.

Speicherdauer: Abhängig vom Inhalt des Gesprächs; regelmäßig nur wenige Tage. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen (§ 257 HGB).

3.2.3 BRIEFPOST

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungs- pflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen.

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.2.4 TELEFAX

Beschreibung: Die Verwendung von Telefaxdiensten entspricht nicht mehr den Datenschutzanforderungen, daher vermeiden wir die Nutzung und kommunizieren keine Faxnummer. Wir können in begründeten Ausnahmefällen dennoch ein klassisches Faxgerät in Form eines Fernkopierers verwenden. Schicken Sie uns ein Fax, wird das Dokument von unserem Empfangsgerät als Ausdruck zur Verfügung gestellt. Das Gerät erfasst die von Ihnen übertragenen Absenderdaten und dokumentiert sie zusammen mit dem Empfangszeitpunkt sowohl auf dem Ausdruck wie im Journal des Geräts. Senden wir Ihnen ein Fax, erfasst das Journal die Empfängernummer, Sendezeitpunkt, Seitenzahl und Übertragungserfolg.

Die Sicherheit der Übertragung entspricht der Sicherheit moderner Telefonnetze, die auch Faxdaten als sogenanntes Voice (Fax) over IP übertragen. Innerhalb des Netzes eines einzelnen Netzanbieters (z.B. Deutsche Telekom) sind die Daten verschlüsselt, an den Netz- übergabestellen erfolgt eine unverschlüsselte Übertragung.

Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang, Seitenzahl, Übertragungserfolg; ggf. personenbezogene Inhalte des gesendeten Dokuments.

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.2.5 VISITENKARTEN

Beschreibung: Wenn Sie uns eine Visitenkarte übergeben, übernehmen wir die darauf gemachten Daten zu Ihrer Person in unser Kontaktverzeichnis oder unsere Kundendatenbank (CRM). Unsere Kontaktverzeichnisse werden als Teil der E-Mail-Postfächer betreiben.

Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen.

Datenempfänger (ggf. Drittstaatentransfer): Keiner bzw. verbundene Unternehmen über das gemeinsam betriebene CRM (siehe die entsprechende Verarbeitung).

Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben. 6

3.3 BESUCH UNSERER INTERNETSEITEN
3.3.1 DATENÜBERTRAGUNG IN DRITTLÄNDER

Im Zusammenhang mit der Nutzung einiger unserer Dienste werden möglicherweise Daten in Drittländer übertragen, auf Rechtsgrundlage des EU-US Data Privacy Framework. Nähere Informationen dazu finden sich in den Beschreibungen der einzelnen Dienste. Derzeit wird von den betroffenen Unternehmen die Datensicherheit nach den Vorgaben der EU-Datenschutzregelungen zugesichert oder sofern noch nicht abgeschlossen, an EU-Standardvertragsklauseln gearbeitet. Sofern eine Datenübertragung nach außerhalb des EWR stattfindet, ist diese durch geeignete datenschutzrechtliche Garantien abgesichert, da der Anbieter mit uns eine Vereinbarung gemäß den EU-Standardvertragsklauseln abgeschlossen hat oder sich dieser Abschluss in Bearbeitung befindet. Die Datenerfassung können Sie entsprechend Ihrer Cookie-Einstellungen weitestgehend einschränken. Die Liste der US-Unternehmen mit einem EU-US Data Privacy Framework Zertifikat finden Sie unter: https://www.dataprivacyframework.gov/s/participant-search

3.3.2 BEREITSTELLEN UNSERER INTERNETSEITEN

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Als Redaktionssystem nutzen wir WordPress.

Datenkategorien: IP-Adresse in anonymisierter Form, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Gerätetyp, Sprache und Version der Browsersoftware Datenempfänger. Unser Webhosting-Dienstleister ist Fa. IONOS, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Zusätzlich findet eine Verarbeitung durch WebAnalytics statt. Angaben zum Datenschutz bei IONOS finden Sie unter: https://www.ionos.de/hilfe/datenschutz/datenverarbeitung-von-webseitenbesuchern-ihres-11-ionos-produktes/11-ionos-webhosting/. Im Falle von Angriffen auf unsere Seiten Weitergabe an Ermittlungsbehörden und von uns beauftragte Forensiker. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Die Daten werden aus berechtigtem Interesse erhoben, um die Sicherheit und Stabilität des Angebots zu gewährleisten und den Webseitenbesuchern ein Höchstmaß an Qualität bereitstellen zu können sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Fall eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat. Der Session-Cookie ist ein essentieller Cookie, der auch nach dem TTDSG / der ePrivacy Richtlinie keiner Einwilligung bedarf.
Speicherdauer: 8 Wochen.

3.3.3 COOKIES

Unsere Internetseiten verwenden sogenannte Cookies. Dabei handelt es sich um meist kleine Datenpakete, die von Ihrem Browser auf Ihrem Gerät (Computer, Smartphone o. ä.) gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht.

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern auch nach dem der ePrivacy-Richtlinie der EU, der Rechtsprechung des EuGH und deren Umsetzung in nationales Recht wie in Deutschland dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Die ePrivacy-Richtlinie unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essentiellen) Cookies und solchen, die es nicht sind. Essentielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essentielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z.B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt). Das TTDSG definiert die Zulässigkeit der Speicherung in Abhängigkeit von Ihrer Einwilligung.

Wegen der strengen Vorgaben der ePrivacy-Richtlinie und des TTDSG fragen wir Sie beim Aufruf unserer Internetseite nach Ihrem Einverständnis in das Setzen der nicht-essentiellen Cookies.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.

Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen, die Sie eigentlich gerne zulassen würden oder die eigentlich gar nicht zustimmungspflichtig sind.

Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher.

Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeiten an, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.

Ein Spezialfall: Google bietet Ihnen ein Browser-Plug-In zum Download an, das das Setzen der Google-Cookies unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

Informationen zu den durch uns verwendeten Cookies finden Sie auf: https://cr-energy.de/cookie-richtlinie-eu/ 

3.3.4 KONTAKTFORMULAR

Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular. Darüber können Sie uns Nachrichten schicken, z. B. wenn Sie keine eigene E-Mail-Adresse haben oder diese für die Nachricht an uns nicht verwenden möchten. Ihre freiwilligen Eingaben werden technisch als eine E-Mail an uns geschickt (auch wenn Sie selbst keine E-Mail-Adresse als Absender hinterlegt haben).

Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.

Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.

Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Kommunikation“.

3.4 IHR INVESTOREN-VERHÄLTNIS MIT UNS
3.4.1 AKTIONÄRE UND INTERESSENTEN

Beschreibung: Die Verarbeitungen von Daten betreffen insbesondere Aktionäre oder Interessenten, die mit uns im Zusammenhang mit Beteiligungen an unserem Geschäftsmodell bzw. unseren Aktien in Kontakt treten, kommunizieren, unsere Unternehmensnachrichten per E-Mail empfangen/empfangen wollen oder an Aktionärsveranstaltungen wie der Hauptversammlung oder anderen Investorenveranstaltungen teilnehmen, teilgenommen haben oder zukünftig teilnehmen wollen.

Bei inhaltlichen Fragen können Sie sich an die IR-Abteilung des Unternehmens wenden. Diese erreichen Sie unter Telefon: 033203 3207 0 oder E-Mail: ir@cr-energy.de. Weitere Kontaktangaben finden Sie unter „Verantwortlicher“ oben auf dieser Seite.

3.4.2 KONTAKTAUFNAHME MIT DER IR-ABTEILUNG DER GESELLSCHAFT

Beschreibung: Um sich als Interessent über unsere Gesellschaft zu informieren oder als Aktionär oder Stimmrechtsvertreter Ihre Auskunftsrechte wahrnehmen zu können, beantwortet die IR-Abteilung Ihre Anfragen, sofern diese nicht dem Corporate-Governance Kodex wiedersprechen. Davon ist regelmäßig bei Fragen nach aktuellen Ereignissen auszugehen, sofern diese durch die Gesellschaft dem Kapitalmarkt gegenüber noch nicht kommuniziert wurden. Anfragen können gestellt werden über Telefon, Fax, E-Mail, das Kontaktformular der Unternehmenswebseite, Briefpost oder nach Vereinbarung bei einem persönlichen Gespräch.

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen. Weitere Informationen finden Sie unten unter E-Mail Kommunikation.

Inhalte aus Telefonaten werden nicht mitgeschnitten und möglichst direkt beantwortet. Sofern sich die Anfrage, z.B. aus Zeitgründen nicht in der gebotenen Sorgfalt beantworten lässt, können wir Sie um Übermittlung einer E-Mail zur späteren Beantwortung bitten. Weitere Informationen finden Sie unten unter Telefonate.

Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Informationen zu Ihren Unternehmensanteilen bei uns, Daten zu Berufsprofilen, Aktivitätenhistorie, Ihre IP-Adresse, Zeitpunkt der Kommunikation und weitere Daten, die Sie uns im Rahmen Ihrer Anfrage zur Verfügung stellen.

Datenempfänger (ggf. Drittstaatentransfer): Kein Drittstaatentransfer, sofern Sie sich nicht in einem Drittstaat aufhalten oder einen Hosting-Anbieter mit Sitz in einem Drittland nutzen. Datenempfänger können auch Telekommunikationsanbieter sein, die unter das Fernmeldegeheimnis fallen

Wir behalten uns vor, unsere Antwort auf Ihre Anfrage rechtlich prüfen zu lassen, was mit einer Weiterleitung Ihrer Anfrage incl. Ihrer Daten an einen Rechtsanwalt verbunden sein kann.

Zweck + Rechtsgrundlage: Zweck ist ein berechtigtes Interesse am Beantworten Ihrer E-Mail und die Informationsweitergabe zur Beantwortung Ihrer Anfrage. Rechtsgrundlage ist die Einhaltung der Vorgaben aus dem Aktienrecht. Die Rechtmäßigkeit der Datenverarbeitung ergibt sich entsprechend aus Art. 6 Abs. 1 lit. c DSGVO.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB). Bei (auch zu erwartenden) Rechtsstreitigkeiten beträgt die Aufbewahrungsfrist bis zu 30 Jahren. Telefonate werden nicht aufgezeichnet, Ihre Rufnummer bleibt für die Dauer von wenigen Tagen pseudonymisiert im IR-Telefon gespeichert, Gesprächsnotizen werden nur mit Ihrem Einverständnis gespeichert, für eine weitere Verarbeitung genutzt und mit Erfüllung des Verarbeitungszwecks entsorgt.

3.4.3 ANMELDUNG ZUR UND TEILNAHME AN DER HAUPTVERSAMMLUNG

Beschreibung: Die Gesellschaft organisiert und veranstaltet regelmäßig Hauptversammlungen für die Inhaber der Unternehmens-Aktien und verarbeitet Daten, die von Ihnen oder anderen Mitteilungspflichtigen im Rahmen von Stimmrechtsmitteilungen nach dem Wertpapierhandelsgesetz übertragen werden. Zur Abwicklung und Durchführung der Hauptversammlungen nutzen wir externe Dienstleister, z.B. Dienstleister zur Organisation der Hauptversammlung, für Druck und Versand der Aktionärsmitteilungen, sowie für die Durchführung der Hauptversammlung (im Wesentlichen die Überprüfung der Teilnahme, technische Infrastruktur für die Abstimmungen und Dokumentation der Hauptversammlungen) und Rechtsberater. Die beauftragten Dienstleister erhalten von uns nur für die Verarbeitung erforderliche, personenbezogenen Daten. Sie verarbeiten die Daten ausschließlich nach unserer Weisung.

Aktionäre und Hauptversammlungsteilnehmer können Ihre im Teilnehmerverzeichnis enthaltenen Daten während der Versammlung und ggf. bis zu zwei Jahre danach einsehen. Sofern ein Aktionär verlangt, dass Gegenstände auf die Tagesordnung gesetzt werden, erfolgt durch uns eine Bekanntmachung dieser Gegenstände unter Angabe des Namens des Aktionärs bei Vorliegen der Voraussetzungen gemäß den aktienrechtlichen Vorschriften.

Auch Gegenanträge und Wahlvorschläge von Aktionären werden gemäß den aktienrechtlichen Vorschriften unter Angabe des Namens des Aktionärs auf der Homepage der Gesellschaft veröffentlicht, sofern die Voraussetzungen vorliegen. Schließlich kann uns die Verpflichtung treffen, Ihre personenbezogenen Daten weiteren Empfängern zu übermitteln, wie etwa bei der Veröffentlichung von Stimmrechtsmitteilungen nach den Bestimmungen des Wertpapierhandelsgesetzes, oder an Behörden zur Erfüllung gesetzlicher Mitteilungspflichten (z.B. an Finanz- oder Strafverfolgungsbehörden).

Datenkategorien: Kontaktdaten von Aktionären, Stimmrechtsvertretern und Gästen (Name, E-Mail-Adresse, Telefonnummer, Adresse), Informationen zu Ihren Unternehmensanteilen bei uns, Inhalte aus eingereichten Unterlagen, Aktivitätenhistorie.

Datenempfänger (ggf. Drittstaatentransfer): Kein Drittstaatentransfer. Aktionäre und Stimmrechtsvertreter können durch Einsicht in das Teilnehmerverzeichnis Informationen über andere, anwesende Aktionäre und Stimmrechtsvertreter erhalten. Ein weiterer Empfänger ist ein durch uns mit dem Ablauf der Hauptversammlung beauftragtes Dienstleistungsunternehmen, Die Firma Link Market Services GmbH, Landshuter Allee 10, 80637 München, T. +49 (0)89 21 027-0, E. info@linkmarketservices.de. Link Market Services ist durch uns weisungsgebunden, es wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.

Zweck + Rechtsgrundlage: Die Gesellschaft schafft mit den entsprechenden Datenverarbeitungen die Voraussetzungen für die Einhaltung der Aktionärsrechte und zur Informationsweitergabe. Die Datenverarbeitung erfolgt zu dem Zweck, die Anmeldung und Teilnahme der Aktionäre an der Hauptversammlung (z.B. Prüfung der Teilnahmeberechtigung, Erstellung des Teilnehmerverzeichnisses) abzuwickeln und den Aktionären die Ausübung ihrer Rechte im Rahmen der Hauptversammlung (einschließlich Erteilung und Widerruf von Vollmachten) zu ermöglichen. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten sind umfangreiche Passagen aus dem Aktiengesetz entsprechend in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO. Ein weiteres, berechtigtes Interesse liegt vor, wenn wir illegale Aktivitäten, Betrug oder ähnliche Bedrohungen verhindern oder aufdecken wollen, um uns vor einem Schaden zu schützen.

Speicherdauer: Je nach Datenverarbeitung gelten die aktien-, handels- und steuerrechtlichen Aufbewahrungspflichten. Grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB). Bei (auch zu erwartenden) Rechtsstreitigkeiten beträgt die Aufbewahrungsfrist bis zu 30 Jahren.

3.4.4 IHRE TEILNAHME AN INFORMATIONSVERANSTALTUNGEN FÜR INVESTOREN

Beschreibung: Die Gesellschaft nimmt regelmäßig an Investorenveranstaltungen teil. Hier werden Informationen über die Gesellschaft kommuniziert und bei Interesse auf freiwilliger Basis Kontaktdaten ausgetauscht, z.B. für die Weiterleitung von weitergehenden Informationen. Diese Daten können für die weitere Bearbeitung in einem CRM-System gespeichert werden.

Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Informationen zu Ihren Unternehmensanteilen bei uns, Daten zu Berufsprofilen, Aktivitätenhistorie.

Datenempfänger (ggf. Drittstaatentransfer): Kein Drittstaatentransfer. Auf Wunsch Eintragung in den Unternehmensnewsletter, weitere Informationen dazu siehe dort.

Zweck + Rechtsgrundlage: Zweck ist das berechtigte Interesse Gesellschaft an Networkingprozessen und Beteiligungen durch Investoren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Je nach Datenverarbeitung gelten die aktien-, handels- und steuerrechtlichen Aufbewahrungspflichten.

3.5 LIEFERANTEN UND DIENSTLEISTER
3.5.1 GESCHÄFTSBEZIEHUNG

Beschreibung: Wir stehen mit Lieferanten und Dienstleistern in Geschäftsbeziehungen, zu deren Abwicklung personenbezogene Daten verarbeitet werden, soweit die Unternehmen Selbstständige oder Personengesellschaften sind oder wir mit konkreten Ansprechpartnern kommunizieren.

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten.

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger sowie im Falle einer Steuerprüfung die Finanzbehörden.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren (§ 147 AO); Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

3.5.2 NENNUNG IN PUBLIKATIONEN

Beschreibung: In von uns veröffentlichten Publikationen nennen wir Autorinnen und Autoren entsprechend 10

dem Recht der Urheber auf ihre Nennung namentlich. Die Nennung erstreckt sich auch auf die begleitende Marketing- und Öffentlichkeitsarbeit. Soweit Autorinnen und Autoren eine in Bezug auf die Veröffentlichung relevante Institution repräsentieren, wird auch die Zugehörigkeit zu dieser Institution genannt.

Datenkategorien: Name, akademische Titel; teilweise Institution und berufliche Kontaktdaten.

Datenempfänger (ggf. Drittstaatentransfer): Druckereien, Dritte, denen die Publikation übermittelt wird.

Zweck + Rechtsgrundlage: Kenntlichmachung der Urheberschaft. Rechtsgrundlage ist für den Namen Erfüllung des Autorenvertrags und ggf. hinsichtlich der Kontaktdaten ein berechtigtes Interesse, da hier nur berufliche Kontaktdaten zu fachrelevanten Ansprechpartnern veröffentlicht werden.

Speicherdauer: Nach Auslieferung gedruckter Publikationen ist eine nachträgliche Löschung durch uns nicht möglich.

3.6 STELLENBESETZUNGEN
3.6.1 BEWERBUNGEN

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu
Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests.

Datenempfänger (ggf. Drittstaatentransfer): Sofern Sie uns übermitteln, findet ein Datenaustausch zwischen der CR Energy AG mit dem betreffenden Tochterunternehmen statt. Sofern sich dieses in einem Drittland befindet, haben wir den Drittstaatentransfer Ihrer Bewerbungsdaten über einen Auftragsverarbeitungsvertrag (AVV) nach Art. 26 DSGVO abgesichert.

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens.

3.6.2 KANDIDATENPOOL

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests.

Datenempfänger (ggf. Drittstaatentransfer): Keiner.

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung.
Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung.

3.7 ALLGEMEINE INFRASTRUKTUR
3.7.1 BESUCHER

In unseren Praxisräumen halten sich regelmäßig mehrere Patienten zugleich auf und es lässt sich nicht vollständig verhindern, dass andere Patienten hören können, was wir mit Ihnen außerhalb der geschlossenen 11

Behandlungsräume besprechen. Das beginnt mit Ihrem Namen, wenn wir Sie begrüßen oder zur Behandlung im Wartezimmer aufrufen. Soweit Ihnen ein herausgehobener Schutz Ihrer Daten wichtig ist, vereinbaren Sie gerne für alle Gespräche ein Pseudonym als Namen und weisen Sie uns darauf hin, dass auch Gespräche im Empfangsbereich wie Terminvereinbarungen und ähnliches nur hinter geschlossenen Türen mit Ihnen geführt werden. Teilweise kann diese Art der Betreuung mit etwas längeren Wartezeiten einhergehen, da wir jeweils erst einen verfügbaren Raum finden müssen.

3.7.2 FINANZBUCHHALTUNG

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Mit der Durchführung der Finanzbuchhaltung haben wir einen externen Dienstleister beauftragt.

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke).

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Finanzbuchhaltung, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf (§ 147 AO).

3.7.3 ZAHLUNGSTRANSFERS

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontounterlagen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext).

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf (§ 147 AO).

3.7.4 IT-ADMINISTRATION

Beschreibung: Teilweise nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten.

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

3.7.5 DATEISPEICHERUNG (METADATEN)

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Microsoft Office-Dokumente (Word, Excel, PowerPoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Ersteller-Signatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsoft Office 16 als lokale Lösung für die Dateispeicherung.

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung.

Datenempfänger (ggf. Drittstaatentransfer): Keiner.

Zweck + Rechtsgrundlage: Dateispeicherung und Kollaboration an Office-Dokumenten. Rechtsgrundlage ist ein berechtigtes Interesse an der Speicherung von uns zur Verfügung gestellten Dateien.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei.

3.7.6 ENTSORGUNG VON DATENTRÄGERN UND DOKUMENTEN

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder durch ein Entsorgungsunternehmen vernichtet. Die Qualitätsstufe des eingesetzten Schredders und des Entsorgungsunternehmens entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen. Mit dem Entsorgungsunternehmen haben wir einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen.

Speichermedien (Festplatten; z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer eigene IT-Abteilung durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht und anschließend physisch zerstört. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten.

Datenempfänger (ggf. Drittstaatentransfer): Keine zusätzlichen Datenempfänger, ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO.

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

Nach oben scrollen