Datenschutz

Datenschutzinformationen

Grundinformationen

Betroffene

Diese Datenschutzerklärung richtet sich an alle Personen, die mit dem hiesigen Verantwortlichen Kontakt im Zusammenhang mit dem Projekt „Transferstelle Cybersicherheit“ aufnehmen und in allen anderen Fällen, in denen der hiesige Verantwortliche auf diese Datenschutzinformationen Bezug nimmt. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortlicher

Verantwortlicher für die hier beschriebene Verarbeitung ist: Der Mittelstand. BVMW e.V., Potsdamer Straße 7 10785 Berlin, T: 030 5332060, E: info@bvmw.de, vertreten durch den Vorsitzenden der Bundesgeschäftsführung Senator a. D. Christoph Ahlhaus. Der Datenschutzbeauftragte ist wie folgt zu erreichen: dsb@dsgvo-nord.de

Rechte

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.

(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).

(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

Weitere Hinweise

(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Datenverarbeitung

(1) Die Betroffenen nehmen Kontakt auf über die sog. Landingpage zu diesem Projekt. Hinsichtlich der Landingpage wird auf folgendes hingewiesen:

Dpo23_internet

  • Der Verantwortliche hat für die Veröffentlichung dieser Internetseite Drittanbieter mit der Bereitstellung von Speicherplatz und der Auslieferung beauftragt. Damit diese Dienstleister ihren Auftrag erfüllen können, erhalten sie zwangsläufig einige Daten der Betroffenen. Hierbei werden folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Internetseite, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware; ggf. auch Kommunikations- und Interaktionsdaten aus dem Verhalten der Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus dem Anspruch, sich öffentlich präsentieren zu dürfen.
  • Der Verantwortliche stellt auf der Internetseite ein Formulartool zur Verfügung. Darüber findet eine Kommunikation zwischen Betroffenen und dem Verantwortlichen statt, wobei die Eingaben der Betroffenen dokumentiert und an den Verantwortlichen übermittelt werden.Hierbei werden die folgenden Daten verarbeitet: Daten über Inhalt, Art und Weise sowie Umfang der Eingaben in das jeweilige Formular. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
  • Sobald die Betroffenen die hiesige Internetseite öffnen, erscheint ein Banner, über den die Betroffenen Erklärungen zum Einsatz von datenverarbeitenden Tools abgegeben können. Ihre Erklärungen und ggf. spätere Modifikationen dieser Erklärungen werden dokumentiert. Hierbei werden in der Regel folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit der Erklärung, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Erklärung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 7 Absatz 1 DSGVO. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Die Betroffenen geben ihre Daten in ein Formular ein, wobei diese Daten genutzt werden, um mit den Betroffenen Kontakt aufzunehmen und ein Schuldverhältnis zu begründen, das auf die Vermittlung von Unterstützung in Cybersicherheitsfragen gerichtet ist. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(3) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den Interessenten die Wahl für ein Gespräch per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die Betroffenen einwilligen, führt er dann das Gespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vertragsgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(4) Sofern die Betroffenen einwilligen, ermittelt der Verantwortliche einen sog. Kooperationspartner, der in Cybersicherheitsfragen Unterstützung leisten kann, übermittelt ihm die in Absatz 2 beschriebenen Daten. Rechtsgrundlage ist die Einwilligung der Betroffenen; dies gemäß Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

(5) Der Verantwortliche erhält ggf. von den Kooperationspartnern und den hiesigen Betroffenen Rückmeldungen zum Projektverlauf, evaluiert diese und fasst diese anschließend zusammen und stellt sie ggf. den öffentlichen Stellen zur Verfügung, die das Projekt fördern, sowie ggf. den Kooperationspartnern. Rechtsgrundlage ist, soweit hier überhaupt personenbezogene Daten betroffen sind, Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das erforderliche, berechtigte Interesse daraus folgt, dass das durch die Bundesrepublik Deutschland geförderte Projekt aus Gründen der Haushaltsverantwortung und der Notwendigkeit der effektiven Stärkung der Cybersicherheit zwingend evaluiert werden muss.

(6) Der Verantwortliche verwendet Namen und E-Mail-Adressen, um die Betroffenen werblich anzusprechen. Rechtsgrundlage ist, soweit hier überhaupt personenbezogene Daten betroffen sind, Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das erforderliche, berechtigte Interesse daraus folgt, dass zwischen den Betroffenen und dem hiesigen Verantwortlichen ein, wenn auch unentgeltliches Schuldverhältnis besteht, in dessen Zusammenhang ein Interesse an Direktmarketing besteht.

(7) Sobald der Betroffene widerspricht oder – soweit vorab erteilt – seine Einwilligung widerruft, endet die Verarbeitung. Die Daten, die bis zu diesem Zeitpunkt entstanden sind, werden anschließend gelöscht. Die Rechtsgrundlage folgt aus Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a,e DSGVO.

(8) Von der Löschung gemäß Absatz 4 sind diejenigen Daten ausgenommen, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung.  Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(9) Sofern die Betroffenen einwilligen, werden etwaige Videokonferenzen aufgezeichnet und für sieben Tagen, wie im Einwilligungstext beschrieben, zum Abruf bereitgehalten. Rechtsgrundlage ist die Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Auftragsverarbeiter und Dritte, die Daten erhalten

Die folgenden Drittanbieter erhalten personenbezogene Daten:

Drittanbieter: Es wird das WordPress Cookie-Consent-Plugin Borlabs Cookie des Entwicklers Benjamin A. Bornschein (Deutschland – EU) eingesetzt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://de.borlabs.io/borlabs-cookie/

Drittanbieter: Es wird das Cloud-Tool „Hetzer“ der Hetzner Online GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

Drittanbieter: Es wird das Automatisierungs-Tool „cleverreach“ der CleverReach GmbH & Co. KG (EU-Deutschland), die nach Artikel 28 DSGVO beauftragt wurde, zur vertragsbezogenen Kommunikation eingesetzt.

Drittanbieter: Es wird das Cloud-Tool „Microsoft365/OneDrive“ dder Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Der Beauftragung steht nicht entgegen, dass der Drittanbieter außerhalb der Europäischen Union sitzt. Denn die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zoom.us/webinar. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise maßgeblich.

Drittanbieter: Zur Durchführung der Abstimmung wird das Tool „lamapoll“ der Lamano GmbH & Co. KG (Deutschland – EU) eingesetzt, die auch gemäß Artikel 28 DSGVO beauftragt wurde.

Drittanbieter: Zur Durchführung der Veranstaltung wird das Tool „Eventbrite“ der Eventbrite Operations (IE) Ltd (Irland – EU) eingesetzt. Der Beauftragung steht nicht entgegen, dass dabei auch Daten zur Eventbrite, Inc. (USA) übermittelt werden. Denn die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist.

Drittanbieter: Unsere Webseite verwendet „Matomo“ (ehemals „Piwik“), einen Webanalysedienst der InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand. Matomo speichert Cookies auf Ihrem Endgerät, die es uns ermöglichen, die Nutzung unserer Webseite zu analysieren. Die so erhobenen Informationen werden ausschließlich auf unserem Server gespeichert, und zwar folgende Daten:

  • zwei Bytes der IP-Adresse des aufrufenden Systems des Nutzers
  • die aufgerufene Webseite
  • die Website, von der der Nutzer auf die aufgerufene Webseite gelangt ist (Referrer)
  • die Unterseiten, die von der aufgerufenen Webseite aus aufgerufen werden
  • die Verweildauer auf der Webseite
  • die Häufigkeit des Aufrufs der Webseite

Unsere Webseite verwendet Matomo mit der Einstellung „Anonymize Visitors’ IP addresses“. IP-Adressen werden nicht vollständig gespeichert, sondern 2 Bytes der Adresse werden maskiert (z.B. 192.168.xxx.xxx). Auf diese Weise ist eine Zuordnung der gekürzten IP-Adresse zum aufrufenden Rechner nicht mehr möglich. Die mittels Matomo von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen von uns erhobenen Daten zusammengeführt.

You may choose to prevent this website from aggregating and analyzing the actions you take here. Doing so will protect your privacy, but will also prevent the owner from learning from your actions and creating a better experience for you and other users.

Ergänzend ist zu diesem Anbieter auszuführen:

Es wird dort eine Unternehmens- und/oder Produktseite angeboten: Diese Formulierung bedeutet, dass der Verantwortliche eine Unternehmens- bzw. Produktseite bei dem sozialen Medium unterhält, die auch auf der Internetseite verlinkt ist. Sofern die Betroffenen diesen Link (gemeint ist der Link zur Unternehmens- bzw. Produktseite) anklicken, gelangen sie zu dem Profil des Verantwortlichen.

Es wird auf der Internetseite ein Plugin eingesetzt: Diese Formulierung bedeutet, dass der Verantwortliche auf der Internetseite ein Plugin eines Anbieters eines sozialen Netzwerks bzw. Mediums eingebunden hat. Sofern die Betroffenen dieses Plugin anklicken, gelangen sie zum Profil des Verantwortlichen. Der Verantwortliche nutzt dabei die sog. Zwei-Klick-Lösung. Das heißt, dass nach dem Klick zunächst grundsätzlich keine personenbezogenen Daten an den hier vorgestellten Anbieter des Plug-ins weitergegeben werden. Der Anbieter ist anhand der Gestaltung des Plugins (z.B. durch das Logo) zu erkennen. Der Verantwortliche ermöglicht den Betroffenen, über den Button direkt mit dem Anbieter des Plug-ins zu kommunizieren. Nur wenn sie auf das markierte Feld klicken und es dadurch aktivieren, erhält der Anbieter die Information, dass die Betroffenen diese Internetseite aufgerufen haben. Erst dann werden die oben näher bezeichneten Daten übermittelt. Durch die Aktivierung des Plug-ins werden also personenbezogene Daten der Betroffenen an den hier vorgestellten Anbieter übermittelt. Diese Datenweitergabe erfolgt unabhängig davon, ob die Betroffenen ein Konto bei dem hier vorgestellten Anbieter besitzen und dort eingeloggt sind. Wenn sie bei dem Anbieter eingeloggt sind, werden ihre durch den hiesigen Verantwortlichen erhobenen Daten direkt dem Konto zugeordnet, das die Betroffenen bei dem hier vorgestellten Anbieter unterhalten. Es ist ratsam, sich nach Nutzung eines sozialen Netzwerks regelmäßig auszuloggen, insbesondere jedoch vor Aktivierung des Buttons, da die Betroffenen so eine Zuordnung zu Ihrem Profil bei dem Anbieter vermeiden können.

Es werden sog. Ads eingesetzt: Diese Formulierung bedeutet, dass der Verantwortliche sog. „Ads“ in einem sozialen Medium einsetzt. Mithilfe der Werbemittel dieses Tools kann der hiesige Verantwortliche im Rahmen dies ggf. vorgestellten sozialen Netzwerks bzw. Mediums auf seine Angebote aufmerksam machen. Er kann in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Er verfolgt damit das Interesse, den Betroffenen Werbung anzuzeigen, die für sie von Interesse ist, diese Internetseite für sie interessanter zu gestalten sowie eine faire Berechnung von Werbe-Kosten durchzuführen. Diese Werbemittel werden durch den hier vorgestellten Anbieter ausgeliefert. Sofern die Betroffenen über eine Anzeige, die dieser Anbieter ihnen präsentiert, auf diese Internetseite gelangen, wird durch das Tool ein Cookie auf dem Rechner der Betroffenen gespeichert. Diese Cookies sollen nicht dazu dienen, die Betroffenen persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequency), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert. Aufgrund des eingesetzten Tools baut der Browser der Betroffenen automatisch eine direkte Verbindung mit dem Server des hier vorgestellten Anbieters auf. Der Verantwortliche hat keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools erhoben werden. Er teilt aber seinen Kenntnisstand mit: Durch die Einbindung der Werbemittel dieses Tools erhält der hier vorgestellte Anbieter die Information, dass die Betroffenen den entsprechenden Teil dieses Internetauftritts aufgerufen oder eine Anzeige des Verantwortlichen angeklickt haben. Sofern die Betroffenen bei einem Dienst dieses Anbieters registriert sind, kann er den Besuch Ihrem Account zuordnen. Aber selbst wenn die Betroffenen nicht bei dem hier vorgestellten Anbieter registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter ihre IP-Adresse in Erfahrung bringt und speichert. Die Betroffenen können die Teilnahme an diesem Tracking-Verfahren auf verschiedene Weise verhindern: Entweder durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass die Betroffenen keine Anzeigen von Drittanbietern erhalten. Oder durch Deaktivierung der Cookies.

Es werden sog. Pixel eingesetzt:  Diese Formulierung bedeutet, dass der Verantwortliche sog. Pixel einsetzt.Das ist ein Analysetool, mit dem der Verantwortliche die Effektivität von Werbung messen kann. Es wird i.d.R. dazu eingesetzt, Handlungen von Menschen auf einer Webseite zu verstehen und nachzuvollziehen. Der Verantwortliche hat den Pixel auf dieser Internetseite implementiert, indem er den Pixel-Code im Header der Internetseite platziert hat. Wenn die Betroffenen dann die Internetseite besuchen und eine Handlung ausführen (bspw. einen Kauf abschließen), wird der Pixel ausgelöst und die Handlung wird gemeldet. Auf diese Weise erfährt der Verantwortliche, wenn ein Betroffener eine Handlung vornimmt und kann dies auswerten. Es gibt zudem die Möglichkeit des erweiterten Abgleichs, die der Verantwortliche ebenfalls nutzt und deren Einsatz ebenfalls von der Einwilligung umfasst ist. Der Pixel ermöglicht es auch, Betroffenendaten (bspw. Vorname, Nachname, E-Mail-Adresse, usw.) an die Anbieterinnen zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Betroffenen, die dieses soziale Medium nicht nutzen, zu erheben oder Nutzer zu erfassen, die während des Besuchs dieser Internetseite nicht bei bei diesem sozialen Medium eingeloggt sind. Dadurch werden die Betroffenen über dieses soziale Medium verfolgt.

Google Analytics

Wir verwenden Google Analytics, um die Website-Nutzung zu analysieren. Die daraus gewonnenen Daten werden genutzt, um unsere Website sowie Werbemaßnahmen zu optimieren. 

Google Analytics wird uns von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Google verarbeitet die Daten zur Website-Nutzung in unserem Auftrag und verpflichtet sich vertraglich zu Maßnahmen, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten zu gewährleisten.

Während Ihres Website-Besuchs werden u.a. folgende Daten an Google übermittelt:

  • Aufgerufene Seiten
  • Bestellungen inkl. des Umsatzes und der bestellten Produkte
  • Die Erreichung von „Website-Zielen“ (z.B. Kontaktanfragen und Newsletter-Anmeldungen)
  • Ihr Verhalten auf den Seiten (beispielsweise Verweildauer, Klicks, Scrolltiefe)
  • Ihr ungefährer Standort (Land und Stadt)
  • Ihre Internetadresse (IP-Adresse)
  • Technische Informationen wie Browser, Internetanbieter, Endgerät und Bildschirmauflösung
  • Herkunftsquelle Ihres Besuchs (d.h. über welche Website bzw. über welches Werbemittel Sie zu uns gekommen sind)
  • Eine zufallsgenerierte User-ID

Es werden keine persönliche Daten wie Name, Anschrift oder Kontaktdaten an Google Analytics übertragen.

Diese Daten werden an Server von Google in den USA übertragen. Wir weisen darauf hin, dass in den USA datenschutzrechtlich nicht das gleiche Schutzniveau wie innerhalb der EU garantiert werden kann. 

Google Analytics speichert Cookies in Ihrem Webbrowser für die Dauer von zwei Jahren seit Ihrem letzten Besuch. Diese Cookies enthaltene eine zufallsgenerierte User-ID, mit der Sie bei zukünftigen Website-Besuchen wiedererkannt werden können.

Die aufgezeichneten Daten werden zusammen mit der zufallsgenerierten User-ID gespeichert, was die Auswertung pseudonymer Nutzerprofile ermöglicht. Diese nutzerbezogenen Daten werden automatisch nach 14 Monaten gelöscht. Sonstige Daten bleiben in aggregierter Form unbefristet gespeichert.

Sollten Sie mit der Erfassung nicht einverstanden sein, können Sie diese mit der einmaligen Installation des Browser-Add-ons zur Deaktivierung von Google Analytics unterbinden oder durch das Ablehnen der Cookies über unseren Cookie-Einstellungs-Dialog.