Veranstaltungs-Transparenzerklärung
Grundinformationen
Betroffene
Diese Datenschutzerklärung richtet sich an alle Personen, die diese Webseite besuchen und die, die mit dem Verantwortlichen (siehe unten) einen Vertrag über die Teilnahme an der Veranstaltung „Zukunftstag Mittelstand“ schließen, unabhängig davon, ob diese Verträge kostenpflichtig sind oder nicht. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortlicher
Verantwortlicher für die hier beschriebene Verarbeitung ist: Der Mittelstand, BVMW e. V., Potsdamer Straße 7, 10785 Berlin, vertreten durch den Vorsitzenden der Bundesgeschäftsführung, Senator a.D. Christoph Ahlhaus, Telefon: +49 30 533206–0, Telefax: +49 30 533206–50, E‑Mail: info@bvmw.de. Wir haben einen Datenschutzbeauftragten benannt: Manuel Langeheinecke (dsgvoNORD GmbH Kiel, Schleswig-Holstein). Diesen können Sie wie folgt erreichen: Postalisch unter unserer Firmenadresse mit dem Vermerk „Datenschutzbeauftragter”, per Mail unter dsb@dsgvo-nord.de oder via Internet unter https://dsgvo-nord.de.
Rechte
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln. Die Garantie folgt dann aus Artikel 45 DSGVO.
(4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA, der Republik Indien und der Russischen Föderation ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Weitere Hinweise
(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
Datenverarbeitung
(1) Die Anbahnung des Vertrages verläuft wie folgt: Die Betroffenen melden sich über ein Online-Formular zur o.g. Veranstaltung an. Entweder nehmen die Betroffenen mit dem Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet der Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind die Kontaktdaten (Name, Kontaktdaten wie E‑Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Nachfragen usw.). Der Verantwortliche nutzt die Kontaktdaten, um die Teilnahme zu bestätigen. Der Verantwortliche speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
(2) Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Einladung, Hinweise zur Veranstaltung, Ticketübermittlung), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.
(3) Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:
1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden für zehn Jahre aufbewahrt. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.
2. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
3. Daten, die die Erteilung einer Einwilligung beweisen, werden für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Der Aufbewahrungszeitraum von drei Jahren folgt aus § 31 Absatz 2 Ziffer 1 OWiG i.V.m Artikel 83 DSGVO.
(4) Ergänzend zu Absatz 2 besteht die Möglichkeit, dass bei der Veranstaltung Film‑, Foto- und/oder Tonaufnahmen angefertigt werden. Diese Aufzeichnungen werden in den sozialen Netzwerken Facebook, Instagram, LinkedIn, Xing, X (ehemals Twitter), YouTube veröffentlicht, wobei – mit Ausnahme von XING – ein Datentransfer in die USA nicht ausgeschlossen werden kann. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, mithin die Einwilligung der Betroffenen. Der Verarbeitung steht auch nicht entgegen, dass ggf. auch sensible Daten nach Artikel 9 Absatz 1 DSGVO verarbeitet werden. Denn hier greift die Ausnahme nach Artikel 9 Absatz 2 lit. a DSGVO, weil die Einwilligung auch die Verarbeitung dieser Daten umfasst (z. B. Gesundheitsdaten aus dem Tragen einer Brille).
(5) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche die Betroffenen werblich per E‑Mail anspricht. Dafür verwendet der Verantwortliche Name und E‑Mail-Adresse. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem vorgenannten Zweck i.V.m. ErwG 47 folgt. Die Betroffenen werden darauf hingewiesen, dass sie dieser Verarbeitung jederzeit und ohne Begründung widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
(6) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche die Betroffenen werblich per Post anspricht. Dafür verwendet der Verantwortliche Name und Postanschrift. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem vorgenannten Zweck i.V.m. ErwG 47 folgt. Die Betroffenen werden darauf hingewiesen, dass sie dieser Verarbeitung jederzeit und ohne Begründung widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
(7) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche die Betroffenen werblich per Telefon anspricht. Dafür verwendet der Verantwortliche Name und Postanschrift. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO, mithin die Einwilligung. Die Betroffenen werden darauf hingewiesen, dass sie ihre Einwilligung jederzeit und ohne Begründung widerrufen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Hierfür genügt eine formlose Nachricht an einen der o.g. Kontaktkanäle.
Auftragsverarbeiter und Dritte, die Daten erhalten
Die folgenden Drittanbieter erhalten personenbezogene Daten:
Drittanbieter: Es wird das soziale Netzwerk „Facebook“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt, um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.facebook.com/business/gdpr. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht im Rahmen der Einwilligungserteilung bei Anmeldung zur Veranstaltung.
Drittanbieter: Es wird das soziale Netzwerk „Instagram“ der Meta Platforms Ireland Limited (Irland – EU) eingesetzt, um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit der Verantwortliche und die Anbieterin des hier vorgestellten sozialen Netzwerks bzw. Mediums gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde der Anbieter des sozialen Netzwerks bzw. Mediums nach Artikel 28 DSGVO beauftragt. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://help.instagram.com/519522125107875. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht im Rahmen der Einwilligungserteilung bei Anmeldung zur Veranstaltung.
Drittanbieter: Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt, um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.linkedin.com/legal/privacy- policy?trk=hb_ft_priv.. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht im Rahmen der Einwilligungserteilung bei Anmeldung zur Veranstaltung.
Drittanbieter: Es wird das soziale Netzwerk „Xing“ der New Work SE (Deutschland – EU), um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://privacy.xing.com/de.
Drittanbieter: Es wird das soziale Netzwerk „X“ der X Corp. eingesetzt, um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der X Holdings Corp. (USA) stattfindet. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://x.com/de/privacy. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht im Rahmen der Einwilligungserteilung bei Anmeldung zur Veranstaltung.
Drittanbieter: Es wird das Videowiedergabe-Tool „YouTube“ der Google Ireland Ltd. (Irland — EU) eingesetzt, um dort Film‑, Ton- und Fotoaufnahmen der Veranstaltung zu veröffentlichen. Die Anbieterin wurde nach Artikel 28 DSGVO beauftragt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Google LLC (USA) stattfindet. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass eine Datenübermittlung zur oder eine Einbindung der in den USA sitzenden Muttergesellschaft nicht ausgeschlossen werden kann. Denn die Verarbeitung der personenbezogenen Daten über dieses Tool erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Dies geschieht im Rahmen der Einwilligungserteilung bei Anmeldung zur Veranstaltung.
Drittanbieter: Zur Anfertigung von Fotos wird ein externer Fotograf eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurde.
Drittanbieter: Zur Anfertigung von Filmaufnahmen wird ein externer Videograf eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurde.
Drittanbieter: Zur Anfertigung von Tonaufnahmen wird ein externer Tondienstleister eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurde.
Drittanbieter: Für Zwecke der der Anmeldungsverwaltung und Durchführung der Veranstaltung setzen wir das CRM-tool Salesforce ein. Anbieter dieses tools ist die Salesforce, Inc., die in Deutschland durch die Salesforce.com Germany GmbH, Erika-Mann-Str. 63, 80636 München, Deutschland vertreten wird. Nähere Informationen zum Datenschutz in diesem Unternehmen finden Sie unter: https://www.salesforce.com/gdpr/overview/. Der Anbieter wurde gemäß Artikel 28 DSGVO beauftragt. Der Beauftragung steht auch nicht entgegen, dass die Salesforce, Inc. ihren Sitz außerhalb der Europäischen Union hat. Denn für den Fall, dass die Daten außerhalb der USA verarbeitet werden, berufen wir uns auf Artikel 47 DSGVO i.V.m. Salesforce’s Processor Binding Corporate Rules for the Processing of Personal Data, vgl. https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/misc/Salesforce-Processor-BCR.pdf.
Drittanbieter: Es wird der Eventorganisationsdienst „Doo“ der doo GmbH (Deutschland — EU) eingesetzt.
Drittanbieter: Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das Analyse-Tool „Google Analytics“ der Google Ireland Ltd. (Irland — EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://support.google.com/analytics/answer/9306384?hl=de. Hierzu sei ergänzt: Die IP-Adresse wird durch den Anbieter innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server des Anbieters in den USA übertragen und dort gekürzt. Die im Rahmen des Einsatzes dieses Tools vom Browser übermittelte IP-Adresse wird nicht mit anderen Daten durch den Anbieter zusammengeführt. Das Tool wird zudem für eine geräteübergreifende Analyse von Besucherströmen eingesetzt, die über eine User-ID durchgeführt wird. Die Betroffenen können in ihrem Kundenkonto unter „Meine Daten“, „persönliche Daten“ die geräteübergreifende Analyse deaktivieren. Informationshalber sei darauf hingewiesen, dass dieses Tool mit der Erweiterung „_anonymizeIp()“ verwendet wird. Dadurch werden IP-Adressen gekürzt weiterverarbeitet, eine Personenbeziehbarkeit kann damit ausgeschlossen werden. Soweit den über die Betroffenen erhobenen Daten ein Personenbezug zukommt, wird dieser also sofort ausgeschlossen und die personenbezogenen Daten damit umgehend gelöscht. Der Verarbeitung steht nicht entgegen, dass die Daten in die USA übermittelt werden, ggf. im Zusammenwirken mit der Google LLC (USA). Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO).
Drittanbieter: Im Zusammenhang mit der Analyse des Nutzungsverhaltens wird das zentrale Steuerungs-Tool „Google Tag-Manager“ der Google Ireland Ltd. (Irland — EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://marketingplatform.google.com/intl/de/about/tag-manager/. Hierzu sei ergänzt: Durch dieses Tool kann der Verantwortliche verschiedene Codes und Dienste geordnet und vereinfacht auf dieser Internetseite einbinden. Dieses Tool implementiert dabei die tags bzw. löst die damit eingebundenen tags aus. Beim Auslösen eines tags verarbeitet der Anbieter unter Umständen auch personenbezogene Daten. Dabei kann nicht ausgeschlossen, dass der Anbieter die Daten auch an einen Server in einem Drittland übermittelt. Der Verarbeitung steht dennoch nicht entgegen, dass die Daten in die USA übermittelt werden, ggf. im Zusammenwirken mit der Google LLC (USA). Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO).