DATENSCHUTZERKLÄRUNG DER G&L GEIßENDÖRFER & LESCHINSKY GMBH 1.

Allgemeines Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat bei uns einen besonders hohen Stellenwert. In dieser Datenschutzerklärung informieren wie Sie über die Datenverarbeitung in unserem Unternehmen, soweit diese Datenverarbeitung auch Ihre Daten betrifft. Sofern Sie zunächst eine Einführung in das Thema Datenschutz und allgemeine Informationen zu den in der Datenschutz-Grundverordnung verwendeten Begriffen wünschen, finden Sie beispielsweise auf dem Internetauftritt

des

Bundesdatenschutzbeauftragten,

abrufbar

unter

https://www.bfdi.bund.de/DE/Datenschutz/datenschutz-node.html, eine Vielzahl weiterer Hinweise. 2.

Informationen zum Verantwortlichen

2.1. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die G&L Geißendörfer & Leschinsky GmbH, Maarweg 149-161, 50825 Köln. Sie erreichen uns zu allgemeinen Fragen entweder telefonisch unter + 49 (0) 221 99809-0 oder per E-Mail an [email protected]. Weitere Informationen finden Sie auch auf unserer Webseite unter www.choirmanager.com. 2.2. Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte nach dem Datenschutzrecht (siehe Ziffer 4) erreichen Sie uns entweder postalisch unter unserer oben angegebenen Anschrift oder per E-Mail unter [email protected]. 3. 3.1.

Tätigkeiten, bei denen wir Ihre personenbezogenen Daten verarbeiten Besuch unserer Webseite (ohne Anmeldung) Wenn Sie unsere Webseite besuchen, ohne sich anzumelden, zu registrieren oder sonst Eingabefelder auf der Webseite auszufüllen, verarbeiten wir Ihre personenbezogenen Daten wie folgt:

3.1.1. Zum Zweck der Bereitstellung unserer Webseite verarbeiten wir die IP-Adresse, Zugriffszeitpunkt, Informationen

zu

Browser,

Betriebssystem,

Spracheinstellung

und

Bildschirmauflösung

aller

Webseitenbesucher. Die Verarbeitung ist zur Ermöglichung der Nutzung unserer Webseite technisch erforderlich (Art. 6 Abs. 1 b DS-GVO). Die Daten werden nach dem Ende Ihres Besuchs unserer Webseite gelöscht, soweit nicht einzelne Daten für einen der nachfolgend genannten Zwecke weiterverarbeitet werden. 3.1.2. Cookies Zur Analyse des Besucherverhaltens durch Google Analytics speichern wir Cookies auf dem Endgerät der Webseitenbesucher. So werden die IP-Adresse des Webseitenbesuchers (per Anonymisierungsfunktion gekürzt und anonymisiert), von welcher Internetseite ein Webseitenbesucher auf eine Internetseite gekommen ist (sogenannte Referrer), auf welche Unterseiten der Internetseite zugegriffen oder wie oft und für welche Verweildauer eine Unterseite betrachtet wurde, an Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übertragen und dort verarbeitet. Die Verarbeitung dort wird überwiegend zur Optimierung unserer Internetseite und zur Kosten-Nutzen-Analyse von Internetwerbung eingesetzt. Google nutzt die gewonnenen Daten und Informationen ferner unter anderem dazu, die Nutzung unserer Internetseite auszuwerten, um für uns Online-Reports über die Aktivitäten auf unseren Internetseiten zusammenzustellen, und um weitere mit der Nutzung unserer Internetseite in Verbindung stehende Dienstleistungen zu erbringen. Die Verarbeitung ist zur Wahrung unseres überwiegenden berechtigten Interesses (Art. 6 Abs. 1 f DS-GVO) erforderlich, Webseitenbesuchern ein möglichst

auf

die

persönlichen

Interessen

abgestimmtes

Nutzungserlebnis

der

Webseite

und

interessengerechte Produktempfehlungen und Werbung für unser Unternehmen und unsere Produkte bereitstellen zu können. Die Übertragung in die Vereinigten Staaten von Amerika erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des

Seite 2 von 5

Empfängers am „EU-US Privacy Shield“. Die Cookies werden spätestens nach zwei Jahren gelöscht, sofern keine anderweitige Einstellung in Ihrem Webbrowser eine frühere Löschung vorsieht. Sämtliche Cookies werden entsprechend der in Ihrem Web-Browser hinterlegten Einstellungen zugelassen, blockiert und gelöscht (z. B. beim Schließen des Browser-Fensters). Werden Cookies für unsere Website deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden. Sie können der Verarbeitung gem. dieser Ziffer 3.1.2 jederzeit gem. Ziffer 4.2.3 widersprechen, wenn die Voraussetzungen des Art. 21 DS-GVO vorliegen. Sie können ferner die Speicherung und Verarbeitung gem. dieser Ziffer 3.1.2 durch Voreinstellungen in Ihrem Browser verhindern, z. B. durch Einschalten der dort jeweils angebotenen Maßnahmen zum Schutz gegen Verfolgung Ihrer Aktivitäten. 3.2.

Nutzung unseres Dienstes „Choir Manager“

3.2.1. Zum Zweck der Bereitstellung des Dienstes „Choir Manager“ und der Erfüllung des diesbezüglichen Nutzungsverhältnisses verarbeiten wir die folgenden Daten aller Nutzer des Dienstes, die sich als Chor Manager registrieren: Name, Vorname, E-Mail-Adresse, Passwort-Hash, Sprache und Zeitzone, Chorname, gekürzter Chorname, Chorgröße und Chorstimmen. Von Nutzern, die sich als Sänger registrieren, verarbeiten wir Name, Vorname, E-Mail-Adresse, Passwort-Hash, Chorname der Chöre, denen der Sänger angehört, und Chorstimme. Darüber hinaus können alle Nutzer freiwillig Angaben zu Anschrift und Geburtsdatum machen, sowie ein Foto hochladen. Ferner werden die Nutzungsdaten des Dienstes „Choir Manager“ verarbeitet, insbesondere die Inhalte und Zusagen von Terminen. Zusätzlich können Nutzer beliebige Dateien hochladen, die mit den anderen Mitgliedern eines Chors geteilt werden und die auch jede Art von personenbezogenen Daten enthalten können. Diese Daten werden verarbeitet, um die Benutzerverwaltung und Authentifizierung des Dienstes zu realisieren, die Kommunikation zwischen den Nutzern, die demselben Chor angehören, sowie die Nutzung der Funktionen des Dienstes (z.B. TerminManagement, Kontaktmanagement, Abrufbarkeit von Dateien) zu ermöglichen. Personenbezogene Daten werden an folgende Empfänger oder Kategorien von Empfängern übermittelt: a)

Alle vorgenannten personenbezogenen Daten werden für den Manager und alle Sänger des jeweiligen Chors, dem der Nutzer angehört, zum Abruf (Download) bereitgehalten, um die Nutzung der Funktionalität des Dienstes zu ermöglichen.

b)

Alle vorgenannten personenbezogenen Daten werden an Amazon Web Services Inc., 410 Terry Avenue North, Seattle WA 98109, United States als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um den Dienst „Choir Manager“ technisch bereitzustellen (Hosting). Der Serverstandort ist in Deutschland.

c)

Name, Vorname, E-Mail-Adresse und Inhalt der Email werden an SendGrid Inc. 1801 California Street, Suite 500, Denver, CO 80202, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um innerhalb der Choir Manager-Applikation den Versand der E-Mails an andere Chormitglieder und den Versand von Nachrichten zur Verwaltung des Benutzerkontos technische umzusetzen. Die Übertragung in die Vereinigten Staaten von Amerika erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“.

d)

Benutzername und E-Mail-Adresse von Benutzern, die eine Supportanfrage gestellt haben, sowie im Einzelfall und falls erforderlich weitere damit zusammenhängende vorgenannte Daten werden an Zendesk Inc., 1019 Market St, San Francisco, CA 94103, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um Support-Anfragen sowie sonstige Fragen an uns entgegenzunehmen und zu beantworten. Die Übertragung

in

die

Vereinigten

Staaten

von

Amerika

erfolgt

auf

der

Grundlage

eines

Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“. e)

Benutzername und E-Mail-Adresse von Benutzerkonten, die von einer erkannten Störung betroffen sind, werden an Sentry, 132 Hawthorne St, San Francisco, CA 94107, USA als Auftragsverarbeiter (Art. 28 DSGVO) übermittelt, um Fehler in der Software oder deren Betrieb zu erkennen und unseren Programmierern technische Informationen zur Fehlerkorrektur bereitzustellen. Die Übertragung in die Vereinigten Staaten

Seite 3 von 5

von Amerika erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“. f)

Benutzername und E-Mail-Adresse von Benutzerkonten, die von einer erkannten Störung betroffen sind, werden an Atlassian Pty Ltd., 341 George Street, Sydney, NSW, 2000, Australia als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um Informationen über Probleme und Fehlfunktionen im Choir Manager innerhalb unseres Teams auszutauschen, den Lösungsweg abzustimmen und den Status der Behebung und Auslieferung der Korrekturen zu überwachen. Die Serverstandorte sind in den USA und in Irland. Die Übertragung

in

die

Vereinigten

Staaten

von

Amerika

erfolgt

auf

der

Grundlage

eines

Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“. g)

Benutzername und E-Mail-Adresse von Benutzerkonten, die von einer erkannten Störung betroffen sind oder eine Supportanfrage gestellt haben, werden an Slack Technologies, Inc, 500 Howard Street, San Francisco, CA 94105, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um Informationen über Probleme und Fehlfunktionen im Choir Manager bzw. den Inhalt der Supportanfrage innerhalb unseres Teams auszutauschen. Die Übertragung in die Vereinigten Staaten von Amerika erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“.

h)

Benutzername und E-Mail-Adresse von Benutzerkonten, die von einer Störung betroffen sind oder eine Supportanfrage gestellt haben, werden über den Dienst Google-Mail an Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, um Mitteilung zu neu eingegangenen Supportanfragen und aufgetretenen Störungen an unsere Mitarbeiter zu versenden. Die Übertragung in die Vereinigten Staaten von Amerika erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“. Die Verarbeitung ist zur Vertragsdurchführung bzw. Vertragserfüllung erforderlich (Art. 6 Abs. 1 b DS-GVO). Die Daten, die im Nutzerkonto gespeichert und verarbeitet, und gem. lit. a) und b) übermittelt werden, werden binnen 90 Tagen nach der Löschung des Nutzerkontos durch den Nutzer gelöscht, sofern sämtliche wechselseitigen Forderungen erfüllt sind. Abweichend davon werden Dateien, die ein Nutzer hochgeladen hat, um diese über den „Choir Manager“ mit den anderen Mitgliedern eines Chors zu teilen, erst dann gelöscht, wenn diese separat durch den Nutzer, der die Datei hochgeladen hat, oder einen Manager des Chors gelöscht wurde. Diejenigen Daten, die gem. lit. c) bis h) verarbeitet und übermittelt werden, werden unabhängig von der Löschung oder dem Fortbestehen des Nutzerkontos zum Ende des dritten Kalenderjahres nach Abschluss der jeweiligen Verarbeitungssituation (z.B. Supportanfrage) bei den Empfängern der Daten turnusmäßig automatisch gelöscht.

3.2.2. Cookies im Rahmen des Choir Manager Zum Zweck der Bereitstellung des Dienstes Choir Manager setzen wir folgende Cookies. Ein SessionID Cookie speichert eine zufällige Identifikationsnummer, um den jeweils korrekt authentifizierten Benutzer wiederzuerkennen und Benutzer zu unterscheiden, die gleichzeitig auf den Dienst zugreifen. Ein weiterer Cookie speichert die vom Benutzer gewählte Spracheinstellung (z.B. Deutsch oder Englisch), und ein CSRF (cross-site request forgery) Cookie speichert eine weitere zufällige Identifikationsnummer, mit der die Datenübertragung zwischen Webserver und Benutzer gegen bestimmte Angriffe abgesichert wird. Die Verarbeitung ist zur Ermöglichung der sicheren Nutzung des Dienstes technisch erforderlich (Art. 6 Abs. 1 b DS-GVO). Eine Übertragung an Dritte erfolgt nicht. Die Cookies werden am Ende der Browser-Sitzung (d.h. beim Beenden des Browser-Programms), im Fall des SessionID Cookies spätestens nach zwei Wochen gelöscht, sofern keine anderweitige Einstellung in Ihrem Webbrowser eine andere Speicherfrist vorsieht.

Seite 4 von 5

3.3.

Bearbeitung von Telefonanfragen Zur Bearbeitung allgemeiner telefonischer Anfragen und zur Beantwortung telefonischer KundenSupportanfragen verarbeiten wir Namen, Vornamen, Telefonnummer, Kundennummer des Anrufers, die weiteren telefonisch vom Anrufer mitgeteilten personenbezogenen Daten sowie Angaben zum Inhalt der telefonischen Anfrage. Die Verarbeitung ist zur Erledigung des Anliegens des Anrufers erforderlich (Art. 6 Abs. 1 b DS-GVO). Je nach Inhalt des Anliegens wird die Verarbeitung wird unverzüglich nach Abschluss der Bearbeitung des Anliegens des Anfragenden eingeschränkt auf die Verarbeitung für den spezifischen Zweck des Anliegens (z. B. Nutzung unserer Produkte durch den Kunden, Werbung für unsere Leistungen im Rahmen der Neukundenakquise). Nach der Erfüllung des jeweiligen Zwecks sowie aller gesetzlichen, insbesondere handels- und steuerrechtlichen Aufbewahrungspflichten werden die Daten automatisch gelöscht.

3.4.

Bearbeitung von Anfragen über soziale Medien Zur Bearbeitung von Anfragen, die über unsere Präsenzen in den sozialen Netzwerken Facebook, Twitter, LinkedIn, Xing oder Google+ an uns gerichtet werden, verarbeiten wir die personenbezogenen Daten, die Sie bei dem jeweiligen sozialen Netzwerk hinterlegt haben. Die Verarbeitung Ihrer Daten ist zur Bearbeitung Ihrer Anfrage erforderlich (Art. 6 Abs. 1 b DS-GVO). Je nach Inhalt des Anliegens wird die Verarbeitung unverzüglich nach Abschluss der Bearbeitung des Anliegens des Anfragenden eingeschränkt auf die Verarbeitung für den spezifischen Zweck des Anliegens (z. B. Nutzung unserer Produkte durch den Kunden, Werbung für unsere Leistungen im Rahmen der Neukundenakquise). Nach der Erfüllung des jeweiligen

Zwecks

sowie

aller

gesetzlichen,

insbesondere

handels-

und

steuerrechtlichen

Aufbewahrungspflichten werden die Daten gelöscht. 3.5.

Bearbeitung von E-Mails Zur Bearbeitung sämtlicher Anfragen, die uns per E-Mail erreichen, verarbeiten wir Namen, Vornamen, EMail-Adresse, Kundennummer oder Benutzerkennung des Senders, die weiteren in der E-Mail vom mitgeteilten personenbezogenen Daten sowie Angaben zum Inhalt des Anliegens. Diese Daten werden über den Dienst Google-Mail an Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, USA als Auftragsverarbeiter (Art. 28 DS-GVO) übermittelt, der den E-Mail-Dienst technisch für uns bereitstellt (Hosting). Die Verarbeitung ist zur Erledigung des Anliegens erforderlich (Art. 6 Abs. 1 b DS-GVO). Die Übertragung

in

die

Vereinigten

Staaten

von

Amerika

erfolgt

auf

der

Grundlage

eines

Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) aufgrund der Teilnahme des Empfängers am „EU-US Privacy Shield“. Je nach Inhalt des Anliegens wird die Verarbeitung wird unverzüglich nach Abschluss der Bearbeitung des Anliegens des Anfragenden eingeschränkt auf die Verarbeitung für den spezifischen Zweck des Anliegens (z. B. Nutzung unserer Produkte durch den Kunden, Werbung für unsere Leistungen im Rahmen der Neukundenakquise). Nach der Erfüllung des jeweiligen Zwecks sowie aller gesetzlichen, insbesondere handels- und steuerrechtlichen Aufbewahrungspflichten werden die Daten gelöscht. 4.

Ihre Rechte als von der Datenverarbeitung betroffene Person

4.1. Ihre Rechte uns gegenüber können jederzeit per Post an unsere oben in Ziffer 2.1 genannte Anschrift oder per E-Mail an die oben in Ziffer 2.2 genannte E-Mail Adresse geltend machen. Bitte haben Sie Verständnis dafür, dass wir telefonisch keine Anfragen zu personenbezogenen Daten bearbeiten, da in der Regel die Identität des Anrufers nicht mit hinreichender Sicherheit festgestellt werden kann. 4.2. Sie haben uns gegenüber hinsichtlich der Sie betreffenden personenbezogenen Daten folgende Rechte: 4.2.1. Sie können Ihr Recht auf Auskunft (Art. 15 DS-GVO), Recht auf Berichtigung (Art. 16 DS-GVO), Recht auf Löschung (Art. 17 DS-GVO) und Recht auf Einschränkung der Verarbeitung, d. h. Sperrung für bestimmte Zwecke (Art. 18 DS-GVO) bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen jederzeit uns gegenüber geltend machen.

Seite 5 von 5

4.2.2. Ihr Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) sieht ferner vor, dass Sie bei Vorliegen der gesetzlichen Voraussetzungen verlangen können, dass wir Ihnen – oder soweit technisch machbar einem von Ihnen benannten anderen Verantwortlichen – die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. 4.2.3. Sie haben ein Recht zum Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) zu bestimmten Verarbeitungszwecken, insbesondere Werbezwecken. Soweit wir eine Verarbeitung Ihrer Daten auf der Grundlage einer Interessenabwägung (gem. Art. 6 Abs. 1 f DS-GVO) vornehmen, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen diese Verarbeitung Widerspruch einzulegen. Solche Gründe liegen insbesondere vor, wenn diese Ihren Interessen ein besonderes Gewicht verleihen und deswegen unsere Interessen überwiegen, beispielsweise dann, wenn uns diese Gründe nicht bekannt sind und daher im Rahmen der Interessenabwägung nicht berücksichtigt werden konnten. 4.3. Sie haben zudem das Recht, sich bei Fragen oder Beschwerden hinsichtlich unserer Verarbeitung Ihrer personenbezogenen Daten an die zuständige Datenschutz-Aufsichtsbehörde zu wenden.