Einleitung
Wir haben diese Datenschutzerklärung (Fassung 26.02.2026-313107498) erstellt, um Ihnen gemäß der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) sowie den geltenden nationalen Gesetzen zu erklären, welche personenbezogenen Daten (im Folgenden kurz „Daten“) wir als Verantwortliche verarbeiten.
Dazu gehören auch Daten, die von uns beauftragte Dienstleister (zum Beispiel Provider) in unserem Auftrag verarbeiten.
Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Die in dieser Datenschutzerklärung verwendeten Begriffe sind geschlechtsneutral zu verstehen.
Kurz gesagt: Wir informieren Sie ausführlich darüber, welche Daten wir über Sie verarbeiten.
Datenschutzerklärungen klingen häufig sehr technisch und enthalten viele juristische Fachbegriffe. Diese Datenschutzerklärung soll Ihnen die wichtigsten Inhalte so klar und verständlich wie möglich erklären.
Wenn es der besseren Verständlichkeit dient, erklären wir technische Begriffe, verweisen auf weiterführende Informationen und verwenden anschauliche Darstellungen.
Wir informieren Sie in klarer und einfacher Sprache darüber, dass wir personenbezogene Daten im Rahmen unserer Geschäftstätigkeit nur dann verarbeiten, wenn dafür eine gesetzliche Grundlage besteht.
Unklare oder stark verkürzte juristische Formulierungen möchten wir bewusst vermeiden.
Sollten dennoch Fragen offen bleiben, wenden Sie sich bitte an die unten genannte verantwortliche Stelle oder nutzen Sie die im Impressum angegebenen Kontaktdaten.
Anwendungsbereich
Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die wir in unserem Unternehmen verarbeiten.
Sie gilt außerdem für personenbezogene Daten, die von beauftragten Unternehmen (Auftragsverarbeitern) in unserem Auftrag verarbeitet werden.
Mit personenbezogenen Daten meinen wir Informationen im Sinne des Art. 4 Nr. 1 DSGVO. Das sind zum Beispiel Name, E‑Mail-Adresse und Postanschrift.
Die Verarbeitung personenbezogener Daten ermöglicht es uns, unsere Dienstleistungen und Produkte anzubieten und abzurechnen – sowohl online als auch offline.
Der Anwendungsbereich dieser Datenschutzerklärung umfasst:
- alle von uns betriebenen Websites und Online‑Shops
- unsere Social‑Media‑Auftritte und E‑Mail‑Kommunikation
- mobile Apps für Smartphones oder andere Geräte
Kurz gesagt: Diese Datenschutzerklärung gilt für alle Bereiche, in denen personenbezogene Daten innerhalb unseres Unternehmens über die genannten Kanäle verarbeitet werden. Sollten wir außerhalb dieser Bereiche mit Ihnen in eine rechtliche Beziehung treten, informieren wir Sie gegebenenfalls gesondert.
Rechtsgrundlagen
In dieser Datenschutzerklärung informieren wir Sie transparent über die rechtlichen Grundlagen, die uns erlauben, personenbezogene Daten zu verarbeiten. Diese Grundlagen ergeben sich aus der Datenschutz-Grundverordnung (DSGVO).
Bezogen auf das EU‑Recht gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
Wir verarbeiten Ihre Daten nur, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:
- Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO): Sie haben uns Ihre ausdrückliche Zustimmung gegeben, Ihre Daten für einen bestimmten Zweck zu verarbeiten. Beispiel: Sie geben Ihre Daten in ein Kontaktformular ein und stimmen der Speicherung zu.
- Vertrag (Artikel 6 Absatz 1 lit. b DSGVO): Wir müssen Ihre Daten verarbeiten, um einen Vertrag mit Ihnen zu erfüllen oder vorvertragliche Maßnahmen durchzuführen. Beispiel: Beim Abschluss eines Kaufvertrags benötigen wir personenbezogene Angaben.
- Rechtliche Verpflichtung (Artikel 6 Absatz 1 lit. c DSGVO): Wir sind gesetzlich verpflichtet, bestimmte Daten zu verarbeiten. Beispiel: Aufbewahrung von Rechnungen für steuerliche Zwecke.
- Berechtigte Interessen (Artikel 6 Absatz 1 lit. f DSGVO): Wir haben ein berechtigtes Interesse an der Verarbeitung Ihrer Daten, sofern Ihre Grundrechte und Freiheiten nicht überwiegen. Beispiel: Sicherer und wirtschaftlich effizienter Betrieb unserer Website.
Andere Rechtsgrundlagen – wie die Wahrnehmung öffentlicher Aufgaben oder der Schutz lebenswichtiger Interessen – sind für unser Unternehmen in der Regel nicht relevant. Sollte eine solche Grundlage doch einmal einschlägig sein, weisen wir an der entsprechenden Stelle darauf hin.
Zusätzlich zur EU‑Verordnung gelten nationale Gesetze:
In Deutschland gilt das Bundesdatenschutzgesetz (BDSG).
Falls weitere nationale oder regionale Vorschriften anwendbar sind, informieren wir Sie in den jeweiligen Abschnitten dieser Datenschutzerklärung.
Kontaktdaten des Verantwortlichen
Wenn Sie Fragen zum Datenschutz oder zur Verarbeitung personenbezogener Daten haben, finden Sie hier die Kontaktdaten des Verantwortlichen gemäß Artikel 4 Absatz 7 DSGVO:
Benjamin Henning
Bahlenstrasse 33
40589 Duesseldorf
Deutschland
E‑Mail: contact@velvetai.chat
Telefon: 0049 211 49840198
Der Verantwortliche ist die Person oder Stelle, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Speicherdauer
Grundsätzlich speichern wir personenbezogene Daten nur so lange, wie es für die Erbringung unserer Dienstleistungen und Produkte notwendig ist.
Das bedeutet: Sobald der Zweck der Verarbeitung entfällt, löschen wir die betreffenden Daten.
In bestimmten Fällen sind wir gesetzlich verpflichtet, Daten auch nach Wegfall des ursprünglichen Zwecks aufzubewahren. Das betrifft zum Beispiel steuerliche oder handelsrechtliche Aufbewahrungspflichten.
Wenn Sie die Löschung Ihrer Daten verlangen oder eine erteilte Einwilligung widerrufen, werden die Daten so schnell wie möglich gelöscht, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht.
Wenn wir zu einzelnen Verarbeitungsvorgängen genauere Angaben zur Speicherdauer machen können, finden Sie diese in den jeweiligen Abschnitten weiter unten.
Rechte laut Datenschutz-Grundverordnung (DSGVO)
Gemäß Artikel 13 und 14 DSGVO informieren wir Sie über Ihre Rechte. Diese Rechte sollen sicherstellen, dass personenbezogene Daten fair und transparent verarbeitet werden.
- Sie haben laut Artikel 15 DSGVO ein Auskunftsrecht darüber, ob wir Daten von Ihnen verarbeiten. Ist das der Fall, haben Sie das Recht auf eine Kopie der Daten sowie auf Informationen über Zweck, Kategorien, Empfänger, Übermittlung in Drittländer, Speicherdauer, Berichtigung/Löschung/Einschränkung, Widerspruch, Beschwerderecht, Herkunft der Daten und Profiling.
- Sie haben laut Artikel 16 DSGVO das Recht auf Berichtigung unrichtiger Daten.
- Sie haben laut Artikel 17 DSGVO das Recht auf Löschung („Recht auf Vergessenwerden“).
- Sie haben laut Artikel 18 DSGVO das Recht auf Einschränkung der Verarbeitung.
- Sie haben laut Artikel 20 DSGVO das Recht auf Datenübertragbarkeit.
- Sie haben laut Artikel 21 DSGVO ein Widerspruchsrecht, insbesondere bei Verarbeitungen nach Art. 6 Abs. 1 lit. e oder lit. f DSGVO, bei Direktwerbung sowie bei Profiling.
- Sie haben laut Artikel 22 DSGVO unter Umständen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden.
- Sie haben laut Artikel 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.
Kurz gesagt: Sie haben umfassende Rechte. Wenn Sie diese ausüben möchten, kontaktieren Sie uns bitte.
Wenn Sie glauben, dass Ihre Daten unrechtmäßig verarbeitet werden oder Ihre Rechte verletzt wurden, können Sie sich an die zuständige Aufsichtsbehörde wenden. In Deutschland gibt es für jedes Bundesland einen Datenschutzbeauftragten. Für unser Unternehmen zuständig ist:
Nordrhein-Westfalen Datenschutzbehörde
Landesbeauftragte für Datenschutz: Bettina Gayk
Adresse: Kavalleriestraße 2–4, 40213 Düsseldorf
Telefonnr.: 0211 38424-0
E‑Mail‑Adresse: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de/
Datenübertragung in Drittländer
Wir übertragen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union (Drittländer), wenn Sie ausdrücklich eingewilligt haben oder eine gesetzliche Grundlage dies erlaubt. Dies kann auch zur Erfüllung eines Vertrags erforderlich sein.
Wir weisen darauf hin, dass nach Auffassung des Europäischen Gerichtshofs ein angemessenes Datenschutzniveau in den USA nur dann besteht, wenn das jeweilige Unternehmen am EU‑US Data Privacy Framework teilnimmt.
Wenn ein Anbieter nicht daran teilnimmt, kann es sein, dass personenbezogene Daten nicht vollständig anonymisiert verarbeitet werden, staatliche Stellen Zugriff auf Daten erhalten oder Daten mit anderen Diensten desselben Anbieters verknüpft werden.
Wenn möglich, wählen wir Serverstandorte innerhalb der Europäischen Union. Weitere Informationen finden Sie in den jeweiligen Abschnitten dieser Datenschutzerklärung.
Sicherheit der Datenverarbeitung
Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen. Dazu gehören insbesondere Verschlüsselung, Zugriffsbeschränkungen und Schutz vor unbefugtem Zugriff.
Artikel 25 DSGVO spricht in diesem Zusammenhang von „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Das bedeutet, dass Datenschutz bereits bei der Entwicklung von Software und IT‑Systemen berücksichtigt werden muss.
TLS-Verschlüsselung mit HTTPS
Wir verwenden HTTPS, um Daten abhörsicher im Internet zu übertragen. Das bedeutet, dass die Übertragung aller Daten zwischen Ihrem Browser und unserem Webserver abgesichert ist.
Durch den Einsatz von TLS (Transport Layer Security) können wir den Schutz vertraulicher Daten sicherstellen. Sie erkennen die sichere Verbindung am Schloss‑Symbol in der Adresszeile und an „https://“.
Kommunikation
Wenn Sie mit uns Kontakt aufnehmen (Telefon, E‑Mail oder Online‑Formular), verarbeiten wir die übermittelten Daten zur Bearbeitung Ihrer Anfrage und zur Abwicklung des damit zusammenhängenden Geschäftsvorgangs. Die Daten werden nur so lange gespeichert, wie es erforderlich ist oder gesetzliche Pflichten bestehen.
Betroffene Personen
Betroffen sind alle Personen, die über die von uns bereitgestellten Kommunikationswege Kontakt zu uns aufnehmen.
Telefon
Wenn Sie uns anrufen, können Anrufdaten auf dem jeweiligen Endgerät und beim Telekommunikationsanbieter pseudonymisiert gespeichert werden. Außerdem können Name und Telefonnummer im Anschluss zur Anfragebeantwortung gespeichert werden. Die Daten werden gelöscht, sobald der Geschäftsfall beendet ist und gesetzliche Vorgaben dies erlauben.
Wenn Sie uns per E‑Mail kontaktieren, können Daten auf Ihrem Endgerät gespeichert werden und es kommt zur Speicherung auf dem E‑Mail‑Server. Die Daten werden gelöscht, sobald der Geschäftsfall beendet ist und gesetzliche Vorgaben dies erlauben.
Online-Formulare
Wenn Sie ein Online‑Formular nutzen, werden Daten auf unserem Webserver gespeichert und gegebenenfalls an eine E‑Mail‑Adresse von uns weitergeleitet. Die Daten werden gelöscht, sobald der Geschäftsfall beendet ist und gesetzliche Vorgaben dies erlauben.
Rechtsgrundlagen
Die Verarbeitung der Daten basiert auf:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen – professionelle Kommunikation)
Auftragsverarbeitungsvertrag (AVV)
Wir arbeiten nicht allein und nehmen auch Dienstleistungen anderer Unternehmen oder Personen in Anspruch. Wenn diese Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, gelten sie als Auftragsverarbeiter. In diesem Fall schließen wir einen Auftragsverarbeitungsvertrag (AVV) ab.
Wichtig: Auftragsverarbeiter dürfen Ihre personenbezogenen Daten ausschließlich nach unserer Weisung verarbeiten. Diese Weisung und die Pflichten werden im AVV geregelt.
Wer sind Auftragsverarbeiter?
Auftragsverarbeiter sind Unternehmen oder Personen, die personenbezogene Daten in unserem Auftrag verarbeiten. Beispiele sind Hosting‑ oder Cloudanbieter, Zahlungs‑ oder Newsletter‑Anbieter oder große Unternehmen wie Google oder Microsoft.
Inhalt eines Auftragsverarbeitungsvertrages
Ein AVV muss (auch elektronisch) „schriftlich“ abgeschlossen werden. Er regelt unter anderem Bindung an uns als Verantwortlichen, Rechte und Pflichten, Kategorien betroffener Personen, Art der Daten, Zweck der Verarbeitung, Dauer und Ort.
Pflichten des Auftragsverarbeiters
Zu den wichtigsten Pflichten gehören insbesondere Datensicherheit, technische und organisatorische Maßnahmen, Verzeichnis der Verarbeitungstätigkeiten, Zusammenarbeit mit Aufsichtsbehörden, Risikoanalyse und Regeln für Sub‑Auftragsverarbeiter.
Cookies
Verwendung von Cookies
Unsere Website verwendet ausschließlich technisch notwendige HTTP-Cookies. Diese Cookies sind erforderlich, damit die Website ordnungsgemäß funktioniert und grundlegende technische Funktionen bereitgestellt werden können.
Cookies sind kleine Textdateien, die von einer Website im Browser des Endgeräts gespeichert werden. Sie enthalten keine Programme, keine ausführbaren Inhalte und keine Schadsoftware.
Welche Cookies setzen wir ein?
Wir setzen ausschließlich sogenannte notwendige Cookies ein. Diese sind technisch erforderlich, um die Stabilität, Sicherheit und Funktionsfähigkeit der Website zu gewährleisten.
Es werden insbesondere keine:
- Analyse-Cookies
- Tracking-Cookies
- Marketing-Cookies
- Profiling-Cookies
- Drittanbieter-Cookies zu Werbezwecken
Es erfolgt keine Reichweitenmessung, kein Nutzertracking und keine personenbezogene Auswertung zu Werbezwecken.
Cookie-Einwilligung
Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist nach § 25 Abs. 2 TTDSG keine Einwilligung erforderlich. Aus diesem Grund wird kein Cookie-Banner eingeblendet.
Sollten zukünftig weitere, einwilligungspflichtige Cookies eingesetzt werden, wird vor deren Aktivierung eine entsprechende Einwilligung eingeholt.
Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der technischen Bereitstellung der Website sowie zur Sicherstellung von Stabilität und Sicherheit.
Speicherdauer
Technisch notwendige Cookies werden entweder nach Ende der Sitzung automatisch gelöscht (Session-Cookies) oder nur so lange gespeichert, wie dies für die jeweilige technische Funktion erforderlich ist.
Rechtsgrundlage
Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist § 25 Abs. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien und sicheren Bereitstellung der Website).
Webhosting Einleitung
Was ist Webhosting?
Beim Besuch einer Website werden bestimmte Informationen automatisch verarbeitet und gespeichert. Um eine Website anzuzeigen, verbindet sich Ihr Browser mit einem Webserver, auf dem die Website gespeichert ist. Diese Aufgabe übernehmen oft Hosting‑Provider.
Warum verarbeiten wir personenbezogene Daten?
Die Verarbeitung dient insbesondere dem sicheren Betrieb der Website, der IT‑Sicherheit sowie der anonymen Auswertung zur Verbesserung und ggf. zur Rechtsverfolgung.
Welche Daten werden verarbeitet?
Typischerweise werden in Logfiles gespeichert: URL der Seite, Browsertyp und Version, Betriebssystem, Referrer‑URL, Hostname und IP‑Adresse, Datum und Uhrzeit.
Wie lange werden Daten gespeichert?
In der Regel werden diese Daten zwei Wochen gespeichert und danach gelöscht. Eine Einsichtnahme durch Behörden bei rechtswidrigem Verhalten kann nicht ausgeschlossen werden.
Rechtsgrundlage
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Mit dem Hosting‑Provider besteht in der Regel ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Netlify Webhosting
Wir verwenden für unsere Website den Webhosting-Anbieter Netlify. Dienstanbieter ist das amerikanische Unternehmen Netlify Inc., 2325 3rd Street, Suite 29, San Francisco, CA 94104, USA.
Netlify verarbeitet personenbezogene Daten unter Umständen auch in den USA. Netlify ist aktiver Teilnehmer des EU-US Data Privacy Frameworks. Damit bestehen Regeln für die Übermittlung personenbezogener Daten von EU-Bürgern in die USA. Weitere Informationen finden Sie hier: EU-US Data Privacy Framework – Information der EU-Kommission.
Zusätzlich verwendet Netlify sogenannte Standardvertragsklauseln (Standard Contractual Clauses – SCC) gemäß Art. 46 Abs. 2 und 3 DSGVO. Diese von der EU-Kommission bereitgestellten Mustervorlagen sollen sicherstellen, dass Ihre Daten auch bei einer Übermittlung in Drittländer (z. B. USA) dem europäischen Datenschutzniveau entsprechen. Weitere Informationen sowie die Standardvertragsklauseln finden Sie u. a. hier: Durchführungsbeschluss (EU) 2021/914 – Standardvertragsklauseln.
Netlify stellt zudem einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO bereit. Dieser dient als datenschutzrechtliche Grundlage für die Verarbeitung im Rahmen des Hostings und verweist inhaltlich auf die EU-Standardvertragsklauseln. Den Vertrag finden Sie hier: Netlify Data Processing Addendum.
Weitere Informationen zur Datenverarbeitung durch Netlify finden Sie in der Datenschutzerklärung von Netlify: Netlify Privacy Policy.
Partnerprogramme Einleitung
Was sind Partnerprogramme?
Wir verwenden Partnerprogramme (Affiliate‑Programme). Dabei setzen wir Links. Wenn Sie einen Link anklicken und eine Aktion (z. B. Kauf) ausführen, erhalten wir eine Provision.
Warum verwenden wir Partnerprogramme?
Partnerprogramme helfen, unsere Arbeit an Inhalten zu finanzieren. Partnerlinks passen thematisch zu unserer Website.
Welche Daten werden verarbeitet?
Damit die Zuordnung funktioniert, kann ein Link einen Wert in der URL tragen. Je nach Anbieter können weitere Daten verarbeitet werden.
Dauer der Datenverarbeitung
Die Dauer hängt vom Anbieter ab und kann mehrere Jahre betragen. Details finden Sie in den jeweiligen Anbieter‑Datenschutzerklärungen.
Widerspruchsrecht
Sie haben Rechte auf Auskunft, Berichtigung und Löschung. Ansprechpartner sind auch die jeweiligen Anbieter. Cookies können im Browser gelöscht oder deaktiviert werden.
Rechtsgrundlage
Bei Einwilligung: Art. 6 Abs. 1 lit. a DSGVO. Zusätzlich: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), soweit zulässig und nur bei erteilter Einwilligung.
Erklärung verwendeter Begriffe
Wir bemühen uns, die Datenschutzerklärung klar zu formulieren. Bei technischen und rechtlichen Themen ist das nicht immer einfach. Wenn Begriffe der DSGVO entnommen sind, geben wir sie vollständig wieder und erläutern sie anschließend.
Aufsichtsbehörde
Begriffsbestimmung nach Artikel 4 der DSGVO
„Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
Erläuterung: Aufsichtsbehörden sind staatliche, unabhängige Einrichtungen, die die Einhaltung der Datenschutzgesetze überwachen. In Deutschland gibt es für jedes Bundesland eine eigene Datenschutzbehörde.
Auftragsverarbeiter
Begriffsbestimmung nach Artikel 4 der DSGVO
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Erläuterung: Ein Auftragsverarbeiter verarbeitet Daten nicht für eigene Zwecke, sondern im Auftrag des Verantwortlichen. Beispiele sind Hosting‑ oder Cloudanbieter.
Betroffene Aufsichtsbehörde
Begriffsbestimmung nach Artikel 4 der DSGVO
„betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
a)
der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
b)
diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c)
eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
Erläuterung: Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslands, in dem der Verantwortliche seinen Sitz hat.
Biometrische Daten
Begriffsbestimmung nach Artikel 4 der DSGVO
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
Erläuterung: Dazu zählen z. B. Fingerabdrücke, Gesichtserkennung oder Stimmerkennung.
Dateisystem
Begriffsbestimmung nach Artikel 4 der DSGVO
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
Erläuterung: Eine organisierte Datensammlung, z. B. eine Datenbank.
Dienst der Informationsgesellschaft
Begriffsbestimmung nach Artikel 4 der DSGVO
„Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19);
Erläuterung: Gemeint sind typischerweise Online‑Dienste.
Dritter
Begriffsbestimmung nach Artikel 4 der DSGVO
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
Erläuterung: Ein Dritter ist jede Stelle außerhalb der unmittelbar Beteiligten.
Einschränkung der Verarbeitung
Begriffsbestimmung nach Artikel 4 der DSGVO
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
Erläuterung: Daten dürfen gespeichert bleiben, aber nicht weiter genutzt werden.
Einwilligung
Begriffsbestimmung nach Artikel 4 der DSGVO
„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Erläuterung: Eine Einwilligung kann z. B. über ein Cookie‑Banner erfolgen und kann jederzeit widerrufen werden.
Empfänger
Begriffsbestimmung nach Artikel 4 der DSGVO
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
Erläuterung: Empfänger sind Stellen, die Daten erhalten (z. B. wir oder Dienstleister).
Genetische Daten
Begriffsbestimmung nach Artikel 4 der DSGVO
„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
Erläuterung: Genetische Daten entstehen z. B. durch Analyse von Blut‑ oder Speichelproben.
Gesundheitsdaten
Begriffsbestimmung nach Artikel 4 der DSGVO
„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
Erläuterung: Gesundheitsdaten betreffen z. B. Befunde, Diagnosen oder Medikamentenangaben.
Grenzüberschreitende Verarbeitung
Begriffsbestimmung nach Artikel 4 der DSGVO
„grenzüberschreitende Verarbeitung“ entweder
a)
eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b)
eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
Erläuterung: Das liegt vor, wenn Datenverarbeitung EU‑weit mehrere Staaten betrifft.
Hauptniederlassung
Begriffsbestimmung nach Artikel 4 der DSGVO
„Hauptniederlassung“
a)
im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
b)
im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
Erläuterung: Die Hauptniederlassung ist der zentrale Sitz eines Unternehmens innerhalb der EU.
Internationale Organisation
Begriffsbestimmung nach Artikel 4 der DSGVO
„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
Erläuterung: Beispiele sind EU oder UNO.
Maßgeblicher und begründeter Einspruch
Begriffsbestimmung nach Artikel 4 der DSGVO
„maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;
Erläuterung: Eine Behörde kann Einspruch erheben, wenn Risiken für Betroffene bestehen.
Personenbezogene Daten
Begriffsbestimmung nach Artikel 4 der DSGVO
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Erläuterung: Personenbezogene Daten sind Daten, mit denen man Sie identifizieren kann (z. B. Name, Adresse, E‑Mail). Auch IP‑Adressen gelten als personenbezogene Daten.
Profiling
Begriffsbestimmung nach Artikel 4 der DSGVO
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
Erläuterung: Profiling bedeutet, dass Daten automatisiert ausgewertet werden, um Eigenschaften oder Interessen abzuleiten (z. B. für Werbung).
Pseudonymisierung
Begriffsbestimmung nach Artikel 4 der DSGVO
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
Erläuterung: Pseudonymisierung bedeutet, dass Daten ohne Zusatzinformationen nicht mehr direkt zugeordnet werden können. Sie ist nicht identisch mit vollständiger Anonymisierung.
Unternehmen
Begriffsbestimmung nach Artikel 4 der DSGVO
„Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
Erläuterung: Ein Unternehmen ist jede Stelle, die wirtschaftlich tätig ist – unabhängig von der Rechtsform.
Unternehmensgruppe
Begriffsbestimmung nach Artikel 4 der DSGVO
„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
Erläuterung: Mehrere verbundene Unternehmen mit einem Mutterunternehmen.
Verantwortlicher
Begriffsbestimmung nach Artikel 4 der DSGVO
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Erläuterung: Der Verantwortliche entscheidet, warum und wie Daten verarbeitet werden.
Verarbeitung
Begriffsbestimmung nach Artikel 4 der DSGVO
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Anmerkung: Mit „Verarbeitung“ ist jede Art des Umgangs mit Daten gemeint, vom Speichern bis zum Löschen.
Verbindliche interne Datenschutzvorschriften
Begriffsbestimmung nach Artikel 4 der DSGVO
„verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
Erläuterung: Diese Regeln (oft „Binding Corporate Rules“) legen interne Datenschutzstandards für Datentransfers in Drittländer fest.
Verletzung des Schutzes personenbezogener Daten
Begriffsbestimmung nach Artikel 4 der DSGVO
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
Erläuterung: Beispielsweise ein Datenleck oder Cyberangriff. Bei Risiko müssen Behörden und ggf. Betroffene informiert werden.
Vertreter
Begriffsbestimmung nach Artikel 4 der DSGVO
„Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
Erläuterung: Unternehmen außerhalb der EU müssen ggf. einen EU‑Vertreter benennen.
Schlusswort
Vielen Dank, dass Sie diese Datenschutzerklärung gelesen haben. Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir informieren Sie nach bestem Wissen über Zwecke, Umfang und Gründe der Datenverarbeitung. Wenn Sie Fragen haben, kontaktieren Sie uns bitte jederzeit über die oben angegebenen Kontaktdaten.