Datenschutzerklärung

Inhaltsübersicht

1. Ansprechpartner

2. Unser Unternehmensverbund

3. Hinweis zur geschlechtergerechten Sprache

4. Ihre Rechte im Allgemeinen

5. Datenverarbeitungen bei uns im Allgemeinen

6. Allgemeiner Hinweis zu Cookies

7. Konkrete Datenverarbeitungen

7.1 Besuch unserer Internetseiten

7.1.1 Bereitstellen unserer Internetseiten

7.1.2 Cookie-Verwaltung

7.1.3 Kontaktformular

7.2 Krankentransport und Rettungsdienst

7.2.1 Auftragsdisposition

7.2.2 Dokumentation von medizinischen Maßnahmen

7.2.3 Standorterfassung für Einsatzplanung

7.2.4 Abrechnung von Krankenbeförderungen

7.2.5 Schulungsangebote (Erste-Hilfe-Kurse, Akademie)

7.3 Stellenbesetzungen

7.3.1 Bewerbungen

7.3.2 Kandidatenpool

7.4 Marketing-Kommunikation

7.4.1 Telefonmarketing (B2B)

7.4.2 Versand von Informationsunterlagen

7.5 Unsere Social Media-Profile

7.6 Lieferanten und Dienstleister

7.7 Allgemeine Infrastruktur

7.7.1 E-Mail-Postfach, Kontaktverzeichnis, Kalender

7.7.2 Telefonate

7.7.3 Briefpost

7.7.4 Faxen

7.7.5 Finanzbuchhaltung

7.7.6 Zahlungstransfers

7.7.7 IT-Administration

7.7.8 Dateispeicherung

7.7.9 Entsorgung von Datenträgern und Dokumenten

7.7.10 Rechtsverfolgung

7.7.11 Datenschutzmanagement

1     Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

Ambulanz Schrörs e.K., Fabriciusstraße 28, 22177 Hamburg
040 / 76 75 13 33
info@ambulanz-schroers.de

Fragen zu unseren Dienstleistungen richten Sie bitte direkt an unser Leitstelle:

040 / 19218
leitstelle@ambulanz-schroers.de

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten:

Rechtsanwalt David Heimburger
040 / 22863648
dh@davidheimburger.de

Diese Datenschutzinformation gilt für alle Themen außer dem Betrieb der Internetseite in gleicher Weise für die im Abschnitt „Unser Unternehmensverbund“ genannten Betriebe. Sollten Sie unsicher sein, welches der Unternehmen für Sie der richtige Ansprechpartner ist, wenden Sie sich gerne an die Ambulanz Schrörs e.K., die Ihre Frage zur Zuständigkeit beantworten wird.

2     Unser Unternehmensverbund

Zu unserem Verbund gehören neben der Ambulanz Schrörs e.K. folgende Unternehmen:

• Ambulanz Schrörs Hamburg-Bahrenfeld GmbH & Co KG, Theodorstr. 41 p, 22761 Hamburg
• Ambulanz Schrörs Hamburg-Harburg GmbH & Co KG, Schwarzenbergstrasse 31, 21073 Hamburg
• Ambulanz Schrörs Hamburg-Veddel GmbH & Co KG, Peutestrasse 17, 20539 Hamburg
• Ambulanz Schrörs Hamburg-Wandsbek GmbH & Co KG, Am Neumarkt 30, 22041 Hamburg
• Ambulanz Schrörs Harburg GmbH & Co KG, Zum Reiherhorst 21, 21435 Stelle
• Ambulanzservice Schrörs GmbH, Fabriciusstrasse 28, 22177 Hamburg

Jede dieser Organisationen ist für die von ihr verarbeiteten Daten allein verantwortlich. Alle genannten Unternehmen haben die Ambulanz Schrörs e.K. als Auftragsverarbeiterin mit der Ausführung verschiedener zentraler Dienstleistungen beauftragt.

Die einzelnen Gesellschaften sind die Verantwortlichen sowohl in ihrer Rolle als Arbeitgeber wie als Anbieter für konkrete Krankenbeförderungen. Die Gesellschaften haben aber die Ambulanz Schrörs e.K. beauftragt, für sie als zentrale Anlaufstelle die Aufgaben einer Leitstelle zu übernehmen. Ebenso wurde die Ambulanz Schrörs e.K. beauftragt, für die einzelnen Gesellschaften die Personalverwaltung inklusive des Bewerbermanagements zu übernehmen.

Wenn Sie Ihre Datenschutzrechte in Anspruch nehmen möchten, können Sie sich an jede der verbundenen Gesellschaften wenden. Ihr Wunsch wird intern an den richtigen Verantwortlichen weitergeleitet.

3     Hinweis zur geschlechtergerechten Sprache

Wir bemühen uns, eine geschlechtergerechte Sprache zu verwenden. Teilweise verwenden wir für die vereinfachte Leseführung nur die männliche Form von Begriffen wie Benutzer statt Benutzende, Benutzer:innen oder Benutzerinnen und Benutzer. Wenn wir nur die männliche Form verwenden, soll der Begriff dennoch alle Geschlechter mit einschließen.

4     Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten personenbezogenen Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO (siehe dort Artikel 4). Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

• Sie können uns erteilte Einwilligungen in die Verarbeitung oder Weitergabe Ihrer Daten jederzeit für die Zukunft widerrufen (Artikel 7 Absatz 3 DSGVO).

• Sollte die Rechtsgrundlage für eine Verarbeitung Ihrer Daten ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO sein, dürfen Sie einen Widerspruch gegen die Datenverarbeitung nach Artikel 21 DSGVO einlegen. Soweit es sich bei der entsprechenden Datenverarbeitung um Direktwerbung handelt, müssen Sie Ihren Widerspruch in keiner Weise begründen; in allen anderen Fällen müssten Sie für Ihren Widerspruch Gründe darlegen, die sich aus Ihrer besonderen Situation ergeben.

• Sollten wir fehlerhafte Angaben zu Ihrer Person gespeichert haben, können Sie von uns die Berichtigung Ihrer Daten verlangen (Artikel 16 DSGVO).

• Sie können von uns Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten (Artikel 15 DSGVO, § 34 BDSG).

• Sie können von uns die Löschung Ihrer Daten oder die Einschränkung ihrer Verarbeitung verlangen, soweit Ihrem Wunsch keine höherrangigen Aufbewahrungspflichten entgegenstehen (Artikel 17 bzw. 18 DSGVO, § 35 BDSG).

• Sie können von uns verlangen, dass wir Ihnen die Daten, die Sie uns selbst zur Verfügung gestellt haben, in einem maschinenlesbarem Format zur Weitergabe an Dritte zur Verfügung stellen (Artikel 20 DSGVO).

• Sie dürfen sich bei einer Aufsichtsbehörde für den Datenschutz, z.B. dem Hamburgischen Datenschutzbeauftragten, über datenschutzrechtliche Sachverhalte bei uns beschweren.

5     Datenverarbeitungen bei uns im Allgemeinen

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Artikel 6 Absatz 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Artikel 9 Absatz 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Sollte eine der zuvor genannten Arten von Rechtsgrundlage einschlägig sein, bedarf die Verarbeitung keiner weiteren Zustimmung von Ihnen.

Außerdem kann eine Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgen (Artikel 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Artikel 8 DSGVO).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer digitalen Angebote an Personen unter 16 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht oder nicht allein aus der DSGVO sondern aus dem Telemedien-Telekommunikation-Datenschutzgesetz (TTDSG) oder dem Gesetz gegen den unlauteren Wettbewerb (UWG). Die Pflichten aus diesen Gesetzen haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist. Eine solche Übertragung nach außerhalb des EWRs nennt man im Datenschutzrecht einen Drittstaatentransfer.

6     Allgemeiner Hinweis zu Cookies

Cookies sind eine bestimmte Form von Texteinträgen, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“) oder eine Landeskennung wie „de“ für deutsche Sprache; teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht (eine sogenannte Cookie-ID).

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern primär nach § 25 TTDSG. Die Norm unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essenziellen) Cookies und solchen, die es nicht sind. Essenzielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essenzielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (z.B. wenn ein berechtigtes Interesse als Rechtsgrundlage vorliegt oder die Daten nicht personenbezogen sind).

Bevor wir nicht-essenzielle Cookies auf Ihrem Endgerät speichern, fragen wir Sie entsprechend den Vorgaben des § 25 TTDSG nach Ihrem Einverständnis.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

1. Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht. Teilweise können wir Ihnen nur eine pauschale Annahme oder Ablehnung aller Cookies bzw. von Cookie-Gruppen anbieten.
2. Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen und die Sie eigentlich gerne zulassen würden oder die gar nicht zustimmungspflichtig sind.
3. Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher bzw. löscht alle Cookies automatisch am Ende der Sitzung (Session).
4. Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeit, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
5. Ein Spezialfall: Google bietet ein Browser-Plug-In an, das das Setzen der verschiedenen Cookies von Google unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

7     Konkrete Datenverarbeitungen

7.1   Besuch unserer Internetseiten

7.1.1   Bereitstellen unserer Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Im Falle von Angriffen auf unsere Seiten Weitergabe an von uns beauftragte Forensiker und Ermittlungsbehörden. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat. Der Session-Cookie ist ein essenzieller Cookie, der auch nach § 25 TTDSG keiner Einwilligung bedarf.

Speicherdauer: 7 Tage

7.1.2   Cookie-Verwaltung

Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung in Ihrem Browser-Cache nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits in einem Cookie auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie den entsprechenden Cookie (namens COOKIEBAR_1) über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.

Datenkategorien: Einwilligungsstatus

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht. Dieser Cookie darf auch nach § 25 TTDSG ohne Ihre Einwilligung gesetzt werden, da die Cookie-Auswahl als eine essenzielle Funktion anzusehen ist.

Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies nach 12 Monaten

7.1.3   Kontaktformular

Beschreibung: Unsere Internetseiten verfügen über ein Kontaktformular, über das Sie uns Nachrichten schicken können. Ihre Eingaben werden technisch als eine E-Mail an uns geschickt (auch wenn Sie selbst keine E-Mail-Adresse als Absender hinterlegt haben).

Sobald Sie Ihre Nachricht abschicken, entspricht die Datenverarbeitung dem Schicken einer E-Mail an unsere zentrale Kontaktadresse. Während Sie sich auf der Internetseite befinden und Ihre Angaben in das Formular eingeben, entspricht die Datenverarbeitung dem Aufruf einer beliebigen Internetseite von uns.

Datenkategorien: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail- Postfach“.

Datenempfänger (ggf. Drittstaatentransfer): Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail-Postfach“.

Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist je nach dem Inhalt Ihrer Kontaktaufnahme die Vorbereitung einer Vertragserfüllung oder ein berechtigtes Interesse.

Speicherdauer: Siehe die Verarbeitungen „Bereitstellen einer Internetseite“ und „E-Mail- Postfach“.

7.2   Krankentransport und Rettungsdienst

7.2.1   Auftragsdisposition

Beschreibung: Aufträge für Krankentransport und Rettungsdienst werden von unserer Leitstelle in einer cloudbasierten Dispositions-Datenbank erfasst. Die Teams auf den Fahrzeugen greifen über die korrespondierende App für Mobilgeräte auf die Datenbank zu und erhalten so alle erforderlichen Angaben zu den Aufträgen.

Die App nutzt die Standortfunktion des Mobilgeräts, damit die Auftragsplanung den aktuellen Fahrzeugstandort berücksichtigen kann.

Alle Anrufe in der Leitstelle werden aufgezeichnet, um damit den Dokumentationsanforderungen aus dem Krankentransportrecht nachzukommen.

Die Teams auf den Fahrzeugen nehmen von den medizinischen und sonstigen Rahmenbedingungen des Transports im für die Beförderung erforderlichem Umfang Kenntnis durch Gespräch mit den Patienten, medizinischem oder Pflegepersonal, Angehörigen oder anderen mit der beförderten Person in Beziehung stehenden Ansprechpartnern oder durch Einsichtnahme in medizinische Akten bzw. Arztbriefe. Im Rahmen einer einfachen Krankenbeförderung erstellen die Teams keine Dokumentation zu den Details des Transports, sondern bereiten sich durch die Informationserhebung nur auf Herausforderungen im Rahmen des Transports vor.

Datenkategorien: Name, Ort und Zeit für Transportbeginn und Transportende, ggf. Indikation für Krankentransport oder andere ergänzende Angaben zu den Umständen der Beförderung

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für den Betrieb der Dispositions-Datenbank, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Organisation und Abwicklung von Krankentransporten und Rettungseinsätzen. Rechtsgrundlage ist Erfüllung des Beförderungsvertrags und Einhaltung der gesetzlichen und behördlichen Vorschriften für den Krankentransport.

Speicherdauer: Die Auftragsdokumentation wird zehn Jahre gespeichert und folgt damit den Vorgaben aus dem ärztlichem Behandlungsrecht. Die Aufzeichnung der Anrufe in der Leitstelle werden drei Monate gespeichert. Der Fahrzeugstandort wird nicht gespeichert, sondern nur während des Transports in Echtzeit angezeigt. Medizinische oder sonstige Umstände des Transports werden nur gespeichert, wenn es zu besonderen Ereignissen kommt, die einer solchen Dokumentation bedürfen.

7.2.2   Dokumentation von medizinischen Maßnahmen

Beschreibung: Sollten rettungsdienstliche oder medizinische Maßnahmen im Rahmen des Einsatzes erforderlich werden, werden diese entsprechend den medizinrechtlichen Vorschriften dokumentiert. Die Dokumentation erfolgt in Papierform und wird anschließend auf der Leitstelle verwahrt.

Zu einer solchen Dokumentation zählt auch die Erfassung einer anonymen Geburt, die über ein Pseudonym erfasst wird, das die Gebärende wählen kann. Die Abrechnung erfolgt in diesen Fällen über das entsprechende Bundesamt und nicht über die (anonyme) Gebärende oder ihre Krankenversicherung.

Datenkategorien: Name, Ort und Zeit für Beginn und Ende des Einsatzes, Krankenversicherung und Versicherungsstatus, medizinischer Sachverhalt und getroffene Maßnahmen

Datenempfänger (ggf. Drittstaatentransfer): Medizinische Einrichtung, der die versorgte Person übergeben wird. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Organisation und Abwicklung von Krankentransporten und Rettungseinsätzen. Rechtsgrundlage ist Erfüllung der Hilfspflichten im Krankentransport/ Rettungsdienst und Einhaltung der gesetzlichen und behördlichen Vorschriften für den Krankentransport/ Rettungsdienst.

Speicherdauer: Die Dokumentation der medizinischen Maßnahmen wird zehn Jahre gespeichert und folgt damit den Vorgaben aus dem ärztlichem Behandlungsrecht.

7.2.3   Standorterfassung für Einsatzplanung

Beschreibung: Unsere Fahrzeuge sind mit Navigationsgeräten ausgestattet, die ihren Standort fortlaufend an einen Dienstleister für Flottenmanagement senden. Diese Standorterfassung liefert sowohl den Fahrern wie der Leitstelle deutlich präzisere Informationen zur Planung der Ankunftszeiten als die Standorterfassung über die Apps der Dispositions-Datenbank.

In diesem Flottenmanagement werden nur Fahrzeuge erfasst, keine Personen. Ein Personenbezug kann nur indirekt hergestellt werden über einen Abgleich mit der Einsatzplanung.

Datenkategorien: Fahrzeugstandort

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für das Flottenmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Optimierung der Einsatzplanung durch möglichst präzise Berechnung der Ankunftszeiten am Einsatzort. Rechtsgrundlage ist ein berechtigtes Interesse, da optimierte Zeiten auch den Beförderten durch verkürzte Wartezeiten zugute kommen und der direkte Bezug zwischen beförderter Person und Standort nur über einen Abgleich mit der Dispositions-Datenbank möglich ist.

Speicherdauer: Die Standortdaten werden drei Monate gespeichert.

7.2.4   Abrechnung von Krankenbeförderungen

Beschreibung: Bei der Abrechnung der Krankenbeförderungen ist zwischen gesetzlich und privat Versicherten zu unterscheiden.

Für die Beförderung von gesetzlich Versicherten ist eine Krankenbeförderungsschein (eine entsprechende ärztliche Verordnung) auszustellen und dem Team auf dem Fahrzeug zu übergeben. Diese Verordnungen geben wir an unseren Abrechnungsdienstleister weiter, der die Beförderungen in unserem Namen mit den gesetzlichen Krankenversicherungen abrechnet.

Bei der Beförderung von Privatpatienten erfassen wir die Anschrift und geben diese im Zusammenhang mit der Beförderungsdokumentation an unseren Abrechnungsdienstleister weiter, der an die Beförderten in unserem Namen Privatrechnungen verschickt.

Datenkategorien: Name, Anschrift, Versicherungsstatus, Krankenversicherung, Versicherungsnummer, Beförderungstag- und strecke, ggf. zusätzliche medizinische Leistungen während der Beförderung

Datenempfänger (ggf. Drittstaatentransfer): Abrechnungsdienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Abrechnung der Krankenbeförderung nach den Vorgaben der gesetzlichen und privaten Krankenversicherung. Rechtsgrundlage ist Erfüllung des Beförderungsvertrags.

Speicherdauer: Buchungsbelege sind nach den Vorgaben des Steuerrechts 10 Jahre lang aufzubewahren.

7.2.5   Schulungsangebote (Erste-Hilfe-Kurse, Akademie)

Beschreibung: Melden Sie sich für einen unserer Erste-Hilfe-Kurse oder ein anderes Angebot unserer eigenen Akademie an, erfassen wir Ihre Daten im erforderlichen Umfang für Buchung, Abrechnung und Durchführung des Schulungsangebots.

Datenkategorien: Name, Kontaktdaten, gebuchte Veranstaltung (Thema und Termin), Rechnungsdaten, Zahlungsstatus

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Verwaltung unserer Schulungsangebote. Rechtsgrundlage ist Vorbereitung bzw. Erfüllung des Ausbildungsvertrags.

Speicherdauer: Wir speichern die Daten Ihrer Kursbuchung sechs Jahre gemäß den Vorschriften im Handelsrecht zur Aufbewahrung von Geschäftsbriefen oder zehn Jahre nach den steuerrechtlichen Aufbewahrungsfristen.

7.3   Stellenbesetzungen

7.3.1   Bewerbungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen zurückschicken oder vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

7.3.2   Kandidatenpool

Beschreibung: Sollten wir Ihnen aktuell keine passende Stelle anbieten können, Sie aber bei künftig zu besetzende Stellen erneut im Auswahlprozess berücksichtigen wollen, bitten wir um Ihr Einverständnis Ihre Bewerbungsunterlagen über den Abschluss des aktuellen Bewerbungsverfahrens hinaus aufbewahren zu dürfen. Sollten wir mehr als zwei Jahre nicht auf Sie zurückkommen können, werden wir Ihre Einwilligung zur weiteren Aufbewahrung erneut einholen oder Ihre Unterlagen zurückschicken bzw. löschen.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Foto, Profil-URL in beruflichen Netzwerken (z.B. Xing); Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für künftige Stellenbesetzung. Rechtsgrundlage ist Einwilligung.

Speicherdauer: 2 Jahre seit letztem Kontakt bzw. letzter Einwilligung

7.4   Marketing-Kommunikation

7.4.1   Telefonmarketing (B2B)

Beschreibung: Soweit von einem potentiellen Geschäftskunden (B2B) eine mutmaßliche Einwilligung für werbende Anrufe durch uns angenommen werden kann, bieten wir Ihnen unsere Leistungen auch per Telefonanruf an (Telefonmarketing). Bei Krankenhäusern, Dialysezentren und vergleichbaren Gesundheitsdienstleistern, die regelmäßig eine Vielzahl von Krankentransporten bestellen, aus Hamburg oder dem Landkreis Harburg gehen wir wegen des unmittelbaren Bezugs zu unseren Leistungen und der allgemeinen Unterversorgung mit verfügbaren Beförderungsleistungen in dieser Region regelmäßig vom Vorliegen einer mutmaßlichen Einwilligung aus.

Die Kontaktdaten unserer Ansprechpartner haben wir regelmäßig dem Internetauftritt des potentiellen Kunden entnommen oder über die Zentrale des Unternehmens genannt bekommen.

Datenkategorien: Name, Telefonnummer, Unternehmen/Organisation, Zeitpunkt der Kontaktaufnahme; ggf. Werbesperre

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Persönliches Vorstellen des Leistungsportfolios und seiner Konditionen in einem Telefongespräch mit potentiellen Kunden, deren Einverständnis für einen Anruf ausdrücklich oder mutmaßlich vorliegt. Rechtsgrundlage ist eine mutmaßliche Einwilligung im Sinne des § 7 Absatz 2 Nr. 2 UWG.

Speicherdauer: Eine Speicherung erfolgt, wenn Sie Ihre (mutmaßliche) Einwilligung ausdrücklich widerrufen, in Form einer Werbesperre in unseren Kontakten. Ansonsten folgt die Datenspeicherung den gesondert beschriebenen Verarbeitungen für Telefonate und Kontaktverzeichnis.

7.4.2   Versand von Informationsunterlagen

Beschreibung: Wir verschicken Informationen zu unseren Leistungen per Post an potentielle Geschäftskunden (siehe Beschreibung im Abschnitt Telefonmarketing). Die Adressdaten dazu werden teilweise von sogenannten Lettershops für uns gedruckt, die insoweit als Auftragsverarbeiter im Sinne der DSGVO für uns tätig werden.

Sollten Sie die Zusendung solcher Unternehmensinformationen stoppen wollen, empfehlen wir Ihnen, bei uns eine Werbesperre einrichten zu lassen statt eine Datenlöschung zu verlangen. Löschen wir Ihre Daten, kann es passieren, dass Ihre Daten erneut in unsere Datenbank gelangen. Versehen wir Ihre Daten mit einer Werbesperre, können wir den Versand unterbinden.

Datenkategorien: Name, Organisation, Funktion, Abteilung, Anschrift; ggf. Werbesperre

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für den Adressdruck und Versand (Lettershop), der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Information über Leistungen unseres Unternehmens. Die Rechtsgrundlage ist ein berechtigtes Interesse, da Unternehmensinformationen per Post nach den entsprechenden wettbewerbsrechtlichen Vorgaben grundsätzlich gestattet sind. Direktwerbung auf Grundlage eines berechtigten Interesses kann aber ohne Angabe von Gründen für die Zukunft widersprochen werden.

Speicherdauer: Die Adressdaten werden nicht länger für den Versand von Werbemitteln gespeichert, sobald sie der Zusendung auf Basis des berechtigten Interesses widersprochen haben und die Datenlöschung verlangt wird. Ansonsten folgt die Datenspeicherung den gesondert beschriebenen Verarbeitungen für Postversand und Kontaktverzeichnis.

7.5   Unsere Social Media-Profile

Beschreibung: Wir betreiben bei Facebook ein Unternehmensprofil (auch Fanpage genannt). So eine Fanpage ermöglicht es uns, unsere Organisation bei Facebook vorzustellen, mit Ihnen auf dieser Social Media-Plattform in Kontakt zu treten und über Anzeigen auf diesen Plattformen auf unsere Leistungen und Angebote hinzuweisen.

Meta stellt uns über die Nutzung unserer Fanpage Analysedaten zur Verfügung (Page Insights genannt). Dadurch gewinnen wir einen Eindruck davon, wie erfolgreich die einzelnen unserer Kommunikationsmaßnahmen sind.

Zu den Details der Datenverarbeitung bei Meta gilt die Datenschutzinformation von Meta: https://www.facebook.com/about/privacy

Entsprechend einem Urteil des Europäischen Gerichtshofs erfolgt die Nutzung dieser Analysedaten in einer gemeinsamen Verantwortung mit Meta nach Artikel 26 DSGVO. Meta hat entsprechend eine Vereinbarung zur gemeinsamen Verantwortung zur Verfügung gestellt (https://www.facebook.com/legal/terms/page_controller_addendum). Meta hat in der Vereinbarung die alleinige Verantwortung für alle Fragen der Datenverarbeitung übernommen. Wenn Sie Ihre Rechte aus der DSGVO mit Blick auf die in Page Insights verarbeiteten Daten in Anspruch nehmen wollen, sollten Sie sich direkt über Ihr Meta-Konto an Meta wenden. Entsprechend den gesetzlichen Regeln zur gemeinsamen Verantwortung steht es Ihnen aber auch frei, sich mit Ihrem Anliegen an uns zu wenden. Wir würden Ihr Anliegen dann an Meta weiterreichen.

Datenkategorien: Meta-Benutzername; Kommentare, Likes und Seitenaufrufe innerhalb von Facebook sowie Zeitpunkt der Aktion

Datenempfänger (ggf. Drittstaatentransfer): Meta Platforms Inc., für uns als europäische Organisation ansprechbar über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Meta garantiert einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Analyse des Nutzungsverhaltens auf unserer Fanpage. Rechtsgrundlage ist die Einwilligung, die Sie im Rahmen Ihre Meta-Registrierung erteilt haben.

Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Meta.

7.6   Lieferanten und Dienstleister

Beschreibung: Von unseren Lieferanten und Dienstleistern, die Selbstständige oder Personengesellschaften sind, oder unseren Ansprechpartnern bei solchen Organisationen, verarbeiten wir als Kunde personenbezogene Daten, um mit Ihnen über die Abwicklung des Auftrags kommunizieren zu können.

Neben der inhaltlichen Kommunikation werden Ihre Daten typischerweise verarbeitet in den gesondert beschriebenen Verarbeitungen im Abschnitt Allgemeine Infrastruktur.

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger.

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren; Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

7.7   Allgemeine Infrastruktur

7.7.1   E-Mail-Postfach, Kontaktverzeichnis, Kalender

Beschreibung: Für E-Mail, Kontaktverzeichnis und Kalender nutzen wir Microsoft Exchange Online, wo die diese Datengruppen gebündelt erfasst werden. E-Mails, die Sie uns schicken oder von uns erhalten, Ihre Kontaktdaten und Termine mit Ihnen werden sowohl auf den Servern unseres Hostinganbieters gespeichert wie als lokale Kopie auf den Endgeräten, die mit wir mit unseren Exchange-Konten verbunden haben.

Datenkategorien: Name, Kontaktdaten (E-Mail, Telefon, Adresse, Fax), Ihr Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen; Zeitpunkt des Versands bzw. Empfangs einer E-Mail; Inhalt der E-Mail (Texte, Dokumente, Bilder, sonstige Dateien); sonstige typische Metadaten einer E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd.; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter oder andere Gesellschaften überträgt, garantiert Microsoft einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Nutzung von miteinander synchronisiertem E-Mail-Postfach, Kalender und Kontaktverzeichnis. Die Rechtsgrundlage ist berechtigtes Interesse, da ohne eine solche digitale Infrastruktur die Teilhabe am modernen Geschäftsleben nicht in vertretbar effizienter Weise möglich wäre.

Speicherdauer: Wir speichern die E-Mails und Einträge so lange, wie es zur Erfüllung eines Zwecks notwendig ist. Je nach Inhalt einer E-Mail, Geschäftsbeziehung zu einem Kontakt oder Hintergrund zu einem Termin können das sehr unterschiedliche Zwecke sein; dementsprechend vielfältig sind die Aufbewahrungsfristen.

Ein Beispiel: Wenn Ihre E-Mail der Vorbereitung eines Vertragsabschlusses dient, greift die Pflicht aus dem Handelsgesetzbuch (HGB) Geschäftsbriefe sechs Jahre lang aufzubewahren.

7.7.2   Telefonate

Beschreibung: Telefonieren wir miteinander, erfasst unsere cloudbasierte Telefonanlage bzw. unsere Mobiltelefone zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs.

Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und dokumentieren sie an der entsprechend passenden Stelle (z.B. in der Auftragsdisposition oder für Bewerber und Beschäftigte im Personalbereich). Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Alle Anrufe in der Leitstelle werden aufgezeichnet, um damit den Dokumentationsanforderungen aus dem Krankentransportrecht nachzukommen.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Mobilfunkanbieter sowie der Anbieter unserer cloudbasierten Telefonanlage, die unter das Fernmeldegeheimnis nach dem TTDSG fallen. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen. Die Rechtsgrundlage für das Aufzeichnen der Gespräche mit der Leitstelle sind gesetzliche Verpflichtungen aus dem Krankentransportrecht.

Speicherdauer: Abhängig vom Inhalt des Gesprächs. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen.

7.7.3   Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten für weitere Kommunikation in unser Kontaktverzeichnis aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.

7.7.4   Faxen

Beschreibung: Für das Faxen verwenden wir kein klassisches Gerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, erhalten wir das Dokument als einen Anhang an eine E-Mail. Die begleitende E-Mail dokumentiert die von Ihnen übertragenen Absenderdaten und den Empfangszeitpunkt.

Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang; ggf. personenbezogene Inhalte des gesendeten Dokuments

Datenempfänger (ggf. Drittstaatentransfer): Siehe E-Mail-Kommunikation

Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre.

7.7.5   Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Dabei wird die Person des Zahlenden bzw. Zahlungsempfängers dokumentiert. Bei juristischen Personen umfasst das teilweise auch die Namen und Kontaktdaten von Ansprechpartnern für den Vorgang.

Teilweise ergeben sich auch aus dem Zahlungsgrund Aussagen über Personen oder die Aktivität einer Person (z.B. bei Gehalts-/Honorarzahlungen, Reisebuchungen, Aufwandserstattungen)

Wir nutzen für unsere Buchhaltung eine cloudbasierte Software.

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Zahlungsgrund, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die cloudbasierte Buchhaltungssoftware, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf. nach den Vorgaben des Steuerrechts

7.7.6   Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontoauszügen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir nach den Vorgaben des Steuerrechts 10 Jahre auf.

7.7.7   IT-Administration

Beschreibung: Wir nehmen für die Administration, Wartung und Pflege unserer Informationstechnologie Dienstleister in Anspruch. Diese Dienstleister beschäftigen sich nicht inhaltlich mit den bei uns verarbeiteten personenbezogenen Daten. Aber bei der Pflege von Datenbanken und anderen Systemeinheiten kann es dazu kommen, dass Personendaten von den Dienstleistern zur Kenntnis genommen werden. Alle unsere Dienstleister sind über entsprechende Verträge ausdrücklich und entsprechend der Sensibilität der Daten, auf die sie Zugriff nehmen können, auf die Vertraulichkeit verpflichtet worden.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): IT-Dienstleister, die über einen Auftragsverarbeitungsvertrag oder eine andere Form der Vertraulichkeitsverpflichtung auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme kompetenter Dienstleister für professionelle IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

7.7.8   Dateispeicherung

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsoft 365 als Cloud-Lösung für die Dateispeicherung (in Teams, Sharepoint bzw. OneDrive). Bestandteil der Microsoft 365-Dienste ist Microsoft Graph, eine automatische Analysefunktion, die die Metadaten aller Dateien auswertet, um deren Wiederauffindbarkeit zu verbessern.

Umfassende Informationen über die Verwendung der von Microsoft erfassten Daten finden Sie in den Datenschutzinformationen von Microsoft (https://privacy.microsoft.com/de-de/privacystatement).

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Datenempfänger (ggf. Drittstaatentransfer): Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland; Microsoft ist über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet. Soweit die EU-Tochter Daten an die US-Mutter Microsoft Corp. oder andere Microsoft-Gesellschaften überträgt, garantiert Microsoft einen Umgang mit den Daten auf EU-Datenschutzniveau durch den Abschluss von Standarddatenschutzklauseln.

Zweck + Rechtsgrundlage: Dateispeicherung in einem Hochleistungsrechenzentrum sowie Einsatz moderner Suchfunktionalitäten. Rechtsgrundlage ist ein berechtigtes Interesse, da die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

7.7.9   Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert oder über die verschlossenen Tonnen eines professionellen Aktenvernichters entsorgt. Die Qualitätsstufe des eingesetzten Schredders und das Niveau der mit dem Dienstleister vereinbarten Dokumentenvernichtung entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer IT-Administration durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht oder an einen professionellen Vernichter von Speichermedien übergeben. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

7.7.10 Rechtsverfolgung

Beschreibung: Für den Fall, dass wir in eine rechtliche Auseinandersetzung mit Ihnen geraten, geben wir Daten zu Ihrer Person und den Umständen der Auseinandersetzung an Rechtsanwälte und ggf. an Behörden oder Gerichte weiter.

Datenkategorien: Name, Kontaktdaten, Angaben zum Streitgegenstand

Datenempfänger (ggf. Drittstaatentransfer): Rechtsanwälte, Behörden, Gerichte, Gerichtsvollzieher. Alle Empfänger sind als staatliche Einrichtung oder als Berufsgeheimnisträger auf die Vertraulichkeit verpflichtet. Ein Drittstaatentransfer findet nicht statt so.

Zweck + Rechtsgrundlage: Rechtsverfolgung. Rechtsgrundlage ist das berechtigte Interesse daran, bei Bedarf Rechtsbeistand bei Anwälten und ggf. Behörden oder Gerichten zu suchen.

Speicherdauer: Die genannten Empfänger Ihrer Daten verarbeiten diese nach ihren eigenen Vorgaben in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.

7.7.11 Datenschutzmanagement

Beschreibung: Machen Sie uns gegenüber Ihre Rechte aus dem Datenschutz geltend, dokumentieren wir die damit einhergehende Kommunikation und Prozesse in unserer Datenschutzmanagementanwendung.

Datenkategorien: Name, Kontaktdaten, Angaben zum Datenschutzbegehren

Datenempfänger (ggf. Drittstaatentransfer): Unser Datenschutzbeauftragter, der gesetzlich auf die Vertraulichkeit verpflichtet ist, sitzt im EWR. Unser Dienstleister für die Cloud-Anwendung für das Datenschutzmanagement, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist, sitzt im EWR. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Datenschutzmanagement. Rechtsgrundlage ist die gesetzliche Rechenschaftspflicht aus der DSGVO.

Speicherdauer: Wir speichern die Daten zu einer rechtlichen Auseinandersetzung bis zum endgültigen Abschluss der Auseinandersetzung inklusive aller einschlägigen Verjährungs- und Widerspruchsfristen. Sollte die Wiederholung einer vergleichbaren Auseinandersetzung mit Ihnen oder anderen Personen denkbar sein, speichern wir zumindest die verfahrensentscheidenden Unterlagen – ggf. in anonymisierter Form – entsprechend länger.