Datenschutzhinweise für externe Dienstleister
Die vorliegenden Hinweise gemäß Art. 13 ff. DSGVO zum Datenschutz dienen der Informationspflicht bei Erhebung von personenbezogenen Daten externer Dienstleister der goetzpartners Gruppe, i.e. der goetzpartners Holding AG und ihren verbundenen Unternehmen.
Alle nachgenannten Personenbezeichnungen beziehen sich auf Angehörige aller Geschlechter.
Inhaltsverzeichnis
1. Name und Kontaktdaten des Verantwortlichen
2. Kontaktdaten des Datenschutzbeauftragten
3. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
3.1. Datenverarbeitung zur Erfüllung des zwischen Ihnen und uns geschlossenen Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
3.2. Datenverarbeitung zur Erfüllung eines Vertrags mit juristischen Personen (Art. 6 Abs. 1 lit. f DSGVO)
3.3. Datenverarbeitung zur Verwaltung von IT-Systemen (Art. 6 Abs. 1 lit. f DSGVO)
4. Verpflichtung zur Bereitstellung der Daten
5. Empfänger von Daten und Datenquellen
5.1. Kategorien von Empfängern von Daten
5.2. Datenquellen
6. Datenübermittlung in ein Drittland
7. Automatisierte Entscheidungsfindung einschließlich Profiling
8. Speicherdauer und Kriterien für die Festlegung der Dauer
9. Informationen zu Ihren Betroffenenrechten
10. Beschwerderecht bei einer Aufsichtsbehörde
1. Name und Kontaktdaten des Verantwortlichen
GP Holding GmbH
Prinzregentenstr. 56
D-80538 München
(im Folgenden „goetzpartners“, „wir“, „uns“).
2. Kontaktdaten des Datenschutzbeauftragten
Holzhofer Consulting GmbH
Martin Holzhofer
Lochhamer Str. 31
82152 Planegg
Tel.: (0 89) 1 25 01 56 00
3. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
3.1. Datenverarbeitung zur Erfüllung des zwischen Ihnen und uns geschlossenen Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
Wir verarbeiten Ihre personenbezogenen Daten grundsätzlich zur Begründung und Durchführung eines Dienst-/ oder Werkvertrages mit Ihnen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO, sofern Vertragspartei die betroffene Person ist.
Um den Dienst-/ oder Werkvertrag erfüllen zu können verarbeiten wir, sowie ggf. von uns beauftragte Dritte oder Auftragsverarbeiter, folgende Daten von Ihnen, sofern Sie uns diese im Laufe der Vertragsverhandlungen mitgeteilt haben oder die Daten im Laufe des Vertragsverhältnisses anfallen. Das sind:
- persönliche Angaben (Vorname, Name, Anschrift, Telefon, E-Mail-Adresse, Mobilfunknummer)
- Bankdaten (insb. Kontonummer/IBAN) zur Überweisung der Vergütung
- Ggf. Angaben zu einer möglichen Vorbeschäftigung
- Ggf. weitere Angaben in: Lebenslauf, Arbeitszeugnisse, Zertifikate zur Beurteilung der Qualifikation
Gesundheitsdaten werden ggf. abgefragt soweit dies gesetzlich, bspw. nach dem Infektionsschutzgesetz – IfSG erforderlich ist. Die Angaben weiterer Gesundheitsdaten erfolgen freiwillig auf der Grundlage Ihrer Einwilligung.
Alle Einwilligungen sind freiwillig und können gegenüber goetzpartners jederzeit widerrufen werden.
3.2. Datenverarbeitung zur Erfüllung eines Vertrags mit juristischen Personen (Art. 6 Abs. 1 lit. f DSGVO)
Um die Geschäftsbeziehung durchführen und pflegen zu können, insbesondere zur Durchführung der Vertragsvorbereitung und -erfüllung, verarbeiten wir, sowie ggf. von uns beauftragte Dritte oder Auftragsverarbeiter, die folgenden Daten:
- Kontaktinformationen des Ansprechpartners und ggf. weiterer Mitarbeiter beim Dienstleister
- Vorname, Name
- geschäftliche Anschrift
- geschäftliche Telefonnummer
- geschäftliche Mobilfunknummer
- geschäftliche E-Mailadresse
- Weitere Informationen deren Verarbeitung im Rahmen der Abwicklung einer Geschäftsbeziehung mit goetzpartners erforderlich sind oder die freiwillig von unseren Ansprechpartnern angegeben werden:
- ggf. Angaben zu Qualifizierungen und Expertisen
- Informationen, die aus öffentlich verfügbaren Quellen, Informationsdatenbanken oder von Auskunfteien erhoben werden
Rechtsgrundlage für die Verarbeitung Ihrer Daten ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Eine Interessenabwägung wurde durchgeführt und kam zu dem Ergebnis, dass die Interessen der Betroffenen nicht unsere Interessen an der Durchführung vorvertraglicher Maßnahmen sowie der Durchführung und Erfüllung der Verträge mit Dienstleistern überwiegen. Wir haben vorliegend ein berechtigtes Interesse an der Anbahnung, Durchführung und Abwicklung der Geschäftsbeziehung mit unseren Dienstleistern, wofür die Verarbeitung der oben genannten Daten erforderlich ist.
3.3. Datenverarbeitung zur Verwaltung von IT-Systemen (Art. 6 Abs. 1 lit. f DSGVO)
Sollte ausnahmsweise aus Gründen der Sicherstellung von IT-Security-Bedürfnissen Zugang zu unseren IT-Systemen erforderlich werden, werden weitere Ihrer Daten (z.B. Name, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Nutzerkennung (z.B. M365 Benutzername und Passwort), IP-Adresse, Metadaten der Dokumente) für die Verwaltung und Sicherheit des IT-Systems (IT-Sicherheit) verarbeitet. Dies schließt erstellte und archivierte Textdokumente (z.B. Korrespondenz) mit ein. Dies umfasst auch im Rahmen der Internetnutzung und der Nutzung des internen WLANs erfasste Daten.
Ohne diese Datenverarbeitung ist ein sicherer Betrieb des Systems und damit eine Zusammenarbeit mit unserem Unternehmen nicht möglich.
Rechtsgrundlage hierfür ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Eine Interessenabwägung wurde durchgeführt und kam zu dem Ergebnis, dass die Interessen der betroffenen externen Dienstleister, unter anderem aufgrund der von uns getroffenen technischen und organisatorischen Maßnahmen, nicht unsere Interessen an der einwandfreien und störungsfreien Funktion des IT-Systems überwiegen.
4. Verpflichtung zur Bereitstellung der Daten
Die Bereitstellung der personenbezogenen Daten ist für den Vertragsabschluss mit einer natürlichen Person bei goetzpartners erforderlich. Die Nichtbereitstellung hätte zur Folge, dass der Vertragsabschluss nicht zustande kommt.
5. Empfänger von Daten und Datenquellen
5.1. Kategorien von Empfängern von Daten
Soweit gesetzlich zulässig, geben wir personenbezogene Daten an folgende externe Empfänger weiter:
- mit der Auszahlung befasste Banken
- externe Dienstleister zur Finanzbuchhaltung
- Behörden im Falle von Überprüfungen
- IT-Dienstleister zur Aufrechterhaltung unserer IT-Infrastruktur
- Rechtsanwälte im Falle rechtlicher Beratung
- Betriebsprüfer
- Gerichte
- Sonstige Dritte im Zuge der Funktionsübertragung
Zur Verarbeitung von personenbezogenen Daten zu den hier genannten Zwecken (ausnahmsweiser Zugang zu IT Systemen) setzen wir folgende Kategorien von Empfänger als Auftragsverarbeiter i.S.d. Art. 28 DSGVO ein:
- Softwaredienstleister für Hosting und Betrieb von Online-Videokonferenzsystemen
- Dienstleister für Hosting von Servern für die Bereitstellung von webbasierten Diensten
- Dienstleister für den Betrieb des E-Mail-Servers
- Gegebenenfalls Softwaredienstleister für KI-basierte Cybersicherheitssoftware
- Weitere Softwaredienstleister
5.2. Datenquellen
Wir verarbeiten personenbezogene Daten, die wir im Rahmen des Vertragsabschlusses (Dienst- oder Werkvertrag) von Ihnen erhalten haben oder die Sie uns im Laufe des Vertragsverhältnisses mitgeteilt haben.
6. Datenübermittlung in ein Drittland
Eine Datenübermittlung in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums („Drittländer“) oder in Länder ohne Angemessenheitsbeschluss ergibt sich
im Rahmen der Administration, der Entwicklung und des Betriebs von IT-Systemen.
Die Übermittlung erfolgt nur auf Grundlage:
- eines Angemessenheitsbeschlusses der Europäischen Kommission i.S.d. Art. 45 DSGVO.
- eines genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland.
- von Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen wurden.
Derzeit findet im Zusammenhang mit der Begründung und Durchführung eines Dienst-/ oder Werkvertrages mit externen Dienstleistern eine Datenübermittlung in Länder außerhalb der EU und des Europäischen Wirtschaftsraums („Drittländer“) in folgenden Fällen statt:
- bei ausnahmsweisem Zugang zu unseren IT – Systemen: Übermittlung von Daten an Microsoft Corporation, 1 Microsoft Way, Redmond, Washington 98052-8300, USA u.a. im Zusammenhang mit der Nutzung unseres Videokonferenzsystems.
Für die USA liegt ein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 46 Abs. 3 DSGVO vor, der sich auf das EU-US Data Privacy Framework (DPF) erstreckt. Für Datenexporte an Empfänger in den USA, die nach dem DPF zertifiziert sind, wird das Datenschutzniveau demnach als angemessen betrachtet. Microsoft hat sich nach dem DPF zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten.
7. Automatisierte Entscheidungsfindung einschließlich Profiling
Ihre personenbezogenen Daten werden seitens goetzpartners nicht zur Durchführung von automatisierten Einzelfallentscheidungen einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO verarbeitet.
8. Speicherdauer und Kriterien für die Festlegung der Dauer
Personenbezogene Daten werden grundsätzlich nur so lange aufbewahrt, wie dies zur Erfüllung der hier genannten Zwecke erforderlich ist, bzw. wie es die vom Gesetzgeber vorgegeben Aufbewahrungsfristen vorsehen.
Im Falle des Abschlusses eines Dienst-/oder Werkvertrages mit externen Dienstleistern werden personenbezogene Daten grundsätzlich für die Dauer des Vertragsverhältnisses gespeichert. Personenbezogene Daten werden gegebenenfalls auch für die Ausführung einer Aufgabe, die im öffentlichen Interesse oder in der Ausübung der Amtsgewalt liegt, gespeichert.
Daneben werden personenbezogene Daten gegebenenfalls auch für die Dauer der Ausübung oder Verteidigung von Rechtsansprüchen gespeichert. Für diese Fälle werden die Daten nach Beendigung des Vertragsverhältnisses grundsätzlich zum Ablauf der gesetzlichen Verjährungsfrist (drei Jahre ab Entstehung/Kenntnis vom Anspruch) aufbewahrt.
Einzelne Unterlagen können darüber hinaus ggf. für die Dauer von bis zu sechs Jahren (gemäß Einkommenssteuergesetz und Abgabenordnung) bzw. bis zu zehn Jahren (gemäß Handelsgesetzbuch) aufbewahrt werden.
Sollte ausnahmsweise unser W-Lan genutzt werden: Bei Nutzung des internen W-LANs werden Protokolldaten („Logfiles“) über Art und Umfang der Nutzung der Dienstleistungen für 24 Stunden gespeichert. Hierzu gehören z.B. die IP-Adresse/MAC-Adresse des Nutzers, personenbezogene Berechtigungskennungen, Standortdaten, sowie Beginn und Ende der jeweiligen Verbindung nach Datum und Uhrzeit sowie sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation notwendige Verkehrsdaten.
9. Informationen zu Ihren Betroffenenrechten
Für die Verarbeitung Ihrer Daten ist die GP Holding GmbH, Prinzregentenstr. 56, 80538 München verantwortlich, soweit nicht anders ausgewiesen.
Sie können jederzeit von uns Auskunft (Art. 15 DSGVO) zu den über Sie gespeicherten Daten und deren Berichtigung (Art. 16 DSGVO) im Fall von Fehlern verlangen. Des Weiteren können Sie die Einschränkung der Verarbeitung (Art. 18 DSGVO), die Übertragbarkeit (Art. 20 DSGVO) der uns durch Sie bereitgestellten Daten in einem maschinenlesbaren Format oder die Löschung Ihrer Daten (Art. 17 DGSVO) – soweit sie nicht mehr benötigt werden – verlangen. Außerdem haben Sie jederzeit das Recht, der Nutzung Ihrer Daten, die auf öffentlichen oder berechtigten Interessen beruhen, zu widersprechen (Art. 21 DSGVO).
Soweit wir Ihre Daten auf der Grundlage einer von Ihnen abgegebenen Einwilligung verarbeiten, können Sie jederzeit mit Wirkung für die Zukunft diese Einwilligung widerrufen (Art. 7 Abs. 3 DSGVO). Ab dem Eingang Ihres Widerrufs verarbeiten wir Ihre Daten nicht mehr für die im Rahmen der Einwilligung angegebenen Zwecke.
Sofern Sie von Ihren Betroffenenrechten Gebrauch machen möchten, richten Sie Ihr Anliegen bitte an:
GP Holding GmbH
Prinzregentenstr. 56
D-80538 München
E-Mail-Adresse: info@goetzpartners.com
E-Mail-Adresse: datenschutzbeauftragter@holzhofer-consulting.de
10. Beschwerderecht bei einer Aufsichtsbehörde
Zudem können Sie sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden. Für uns ist grundsätzlich das Bayerische Landesamt für Datenschutzaufsicht, Postfach 1349, D-91504 Ansbach, zuständig. Alternativ können Sie auf die für Sie örtlich zuständige Aufsichtsbehörde zugehen.
Stand: Juni 2024