Onlineveranstaltungen Datenschutz Sicherheit

Mit den nachfolgenden Informationen geben wir Ihnen als Teilnehmer (m/w/d) unserer Online Veranstaltungen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Rechte.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortlicher ist die

gärtner Büro und Wohnen GmbH
Große Bleichen 23
20354 Hamburg

Telefon +49 40 356009-0
E-Mail info@gaertnermoebel.de

Vertreten durch Frank Anger-Lindemann, Andreas Göpel, Wilke Lowin, Helge Voss

Unseren Datenschutzbeauftragten erreichen Sie unter:

GDI Gesellschaft für Datenschutz und Informationssicherheit mbH
Herr Dipl.-Inform. Olaf Tenti
Körnerstr. 45, 58095 Hagen

Telefon:  +49 (0) 2331/356832-0
E-Mail: datenschutz@gdi-mbh.eu

2. Welche Quellen nutzen wir?

Wir verarbeiten Daten, die Sie uns übermitteln oder die wir im Rahmen bestehender Verträge oder mit Ihrer Erlaubnis von Dritten erhalten haben.

Insbesondere werden folgende personenbezogenen Daten und Kategorien von Daten für die unter Ziffer 3 genannten Zwecke verarbeitet:

- Daten zu Ihrer Person als Benutzer: Vorname, Nachname, bzw. der gewählte Display Name, Unternehmen, Anschrift, Telefonnummer, E-Mail-Adresse, ggf. optional: Ihr Profilbild
- Daten zu der Veranstaltung: Gewünschte Online-Veranstaltung: Online-Schulung, Online-Meeting oder Videokonferenz, Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort
- Teilnahmedaten an der entsprechenden Veranstaltung: Text, Audio- und Videodaten

Es besteht ggf. die Möglichkeit, in einem „Online-Meeting“ die Chatfunktion zu nutzen. Insoweit werden die dort gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen.

Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera oder das Mikrofon kann jederzeit selbst durch den Benutzer abgeschaltet bzw. stummgestellt werden.

- Geräte-/ Hardwaredaten: IP-Adresse, MAC-Adresse, Client-Version

3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Im Folgenden informieren wir Sie darüber, wofür und auf welcher Rechtsgrundlage wir Ihre Daten verarbeiten.

3.1. Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO)

Wenn Sie selbst unser Mitarbeiter oder Kunde sind und an einer der unter Nr. 2 benannten Veranstaltungen teilnehmen möchten, erfolgt die Verarbeitung von personenbezogenen Daten zur Erfüllung des mit Ihnen abgeschlossenen Vertrages und ist hierfür auch erforderlich.

3.2. Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)

Wenn Ihr Arbeitgeber unser Kunde ist und Sie für die Schulung angemeldet hat oder anmelden ließ, verarbeiten wir Ihre Daten auf Basis einer Interessenabwägung. Wir haben ein berechtigtes Interesse an der Verarbeitung, um den Vertrag gegenüber Ihrem Arbeitgeber erfüllen zu können, und verarbeiten auch nur die dafür notwendigen Daten (s.o. unter 3.1.).

Wir können Ihre Daten außerdem auf Basis einer Interessenabwägung zur Wahrung weiterer berechtigter Interessen von uns oder von Dritten verwenden. Das kann insbesondere zu folgenden Zwecken erfolgen:

-    Allgemeine Geschäftssteuerung,
-    Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
-    Verhinderung und Aufklärung von Straftaten,
-    Gewährleistung der IT-Sicherheit und des IT-Betriebs,
-    Erfüllung von Verträgen mit Ihrem Arbeitgeber, bei der Sie aufgrund Ihrer Position und Aufgaben mitwirken.

Unser Interesse an der jeweiligen Verarbeitung ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken).

3.3. Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten erteilt haben (bspw. zu der Aufzeichnung der Veranstaltung), ist die jeweilige Einwilligung Rechtsgrundlage für die dort genannte Verarbeitung.

Eine Einwilligung kann jederzeit widerrufen werden. Das gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018 erteilt worden sind. Der Widerruf wirkt erst für die Zukunft. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Ein Widerruf kann an die unter Ziffer 1 benannte Stelle erfolgen.

4. Wer erhält meine Daten?

Eine Weitergabe Ihrer Daten erfolgt nur, soweit eine Rechtsgrundlage dies gestattet. Die unter Ziffer 2 genannten Daten werden an öffentliche Stellen übermittelt, soweit eine gesetzliche Verpflichtung besteht bzw. Sie zu dieser Übermittlung Ihre Einwilligung erteilt haben. Solche öffentlichen Stellen können insbesondere die Finanzbehörden, die Zollverwaltung, aber auch die Gewerbeaufsichtsbehörden sein.

Innerhalb unseres Hauses erhalten diejenigen Stellen Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder zur Erfüllung ihrer jeweiligen Aufgaben benötigen.

In den vorgenannten Grenzen behalten wir uns vor, dritte Dienstleister einzubinden, die im Rahmen der Leistungserbringung in unserem Auftrag und nach Weisung tätig werden (Auftragsverarbeiter). Diese Dienstleister können im Rahmen der Leistungserbringung personenbezogene Daten empfangen bzw. mit personenbezogenen Daten in Berührung kommen und stellen Dritte bzw. Empfänger i. S. d. DSGVO dar. In einem solchen Fall tragen wir dafür Sorge, dass unsere Dienstleister hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen vorhanden sind und Verarbeitungen so durchgeführt werden, dass sie im Einklang mit den Anforderungen der DSGVO stehen und den Schutz der Rechte der betroffenen Person gewährleisten (vgl. Art. 28 DSGVO).

Ein solcher Auftragsverarbeiter ist in unserem Fall

Microsoft Teams:
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
USA

https://www.microsoft.com/

5. Wie lange werden die Daten gespeichert?

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie dies für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist.

Sofern keine weitergehenden Aufbewahrungspflichten bestehen, werden die vorgenannten Daten, sofern systemseitig möglich, nach der Erreichung des Zwecks routinemäßig gelöscht. Andernfalls wird der Personenbezug durch Anonymisierung entfernt und ein Zugriff auf Ihre Daten gesperrt.

Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.

Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z. B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.

6. Werden die Daten an Drittländer übermittelt?

Wir setzen zum Organisieren und zur Durchführung von Online-Veranstaltungen Software von Anbietern mit Sitz in Drittstaaten und/oder Software von Anbietern mit Subunternehmern/Dienstleistern in Drittstaaten ein.

Dabei kann nicht ausgeschlossen werden, dass Ihre Daten oder Teile Ihrer Daten in Drittstaaten (z. B. in die USA) übermittelt werden.

Soweit eine Übermittlung von personenbezogenen Daten außerhalb einer Auftragsverarbeitung an Dritte und/oder Empfänger erfolgt, stellen wir sicher, dass dies ausschließlich in Übereinstimmung mit den gesetzlichen Anforderungen und nur bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer hierzu gegebenenfalls erforderlichen Einwilligung geschieht.

Für die USA besteht ein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 3 DSGVO. An Unternehmen und Organisationen in den USA, die sich für das EU-U.S. Data Privacy Framework zertifiziert haben, können damit ab sofort personenbezogene Daten aus der EU übermittelt werden, ohne dass weitere Schutzmaßnahmen erforderlich sind. Dieser Angemessenheitsbeschluss dient somit als Grundlage für die Datenübermittlung an die von uns eingesetzten Dienstleister in den USA.

Falls kein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 3 DSGVO vorliegt oder das Unternehmen oder die Organisation in den USA sich nicht für das EU-U.S. Data Privacy Framework zertifiziert hat, schließen wir mit den jeweiligen Dienstleistern/Anbietern zum Schutz Ihrer Daten von der EU-Kommission erlassene Standarddaten-schutzklauseln im Sinne des Art. 46 Abs. 2 lit. c DSGVO. Ferner haben einige unserer Dienstleister für ihre Unternehmensgruppe oder derselben Gruppe von Unternehmen verbindliche interne Datenschutz-vorschriften (BCR) im Sinne des Art. 47 DSGVO implementiert, die von der jeweils zuständigen Aufsichtsbehörde genehmigt wurden.

Stand 2024-08