Datenschutz ist uns sehr wichtig!
Der Schutz Ihrer personenbezogenen Daten wird sehr ernst genommen. Mit den nachfolgenden Hinweisen kommen wir der transparenten Information zur Datenverarbeitung nach Artikel 12 DSGVO, sowie den Informationspflichten aus Art. 13 und 14 DSGVO nach.
Personenbezogene Daten sind solche Einzelangaben, die sich auf eine Person beziehen oder die geeignet sind, einen Bezug zu einer Person herzustellen, wie z. B. der Name, die Post-Adresse, eine Telefonnummer, eine E-Mail-Adresse, die Bankverbindung etc. Durch personenbezogene Daten kann unter Umständen somit auf die Identität einer Person rückgeschlossen werden.
1. Verantwortlicher
Diensteanbieter gem. § 13 Telemediengesetz (TMG) und verantwortliche Stelle gemäß Bundesdatenschutzgesetz (BDSG) und Datenschutzgrundverordnung (DSGVO) ist:
Hako GmbH
Unternehmenszentrale
Hamburger Straße 209-239
D-23843 Bad Oldesloe
Telefon: 0049-4531-806-0
Telefax: 0049-4531-806-338
E-Mail: info@hako.com
Web: www.hako.com
Geschäftsführer
Mario Schreiber (Vorsitzender)
Joachim Blache
Axel Jensen
Frank Ulbricht
2. Datenschutzbeauftragter
Bei Datenschutzfragen steht Ihnen unsere externe Datenschutzbeauftragte Astrid Bartel von der Vater Solution GmbH per E-Mail unter privacy@hako.com zur Verfügung.
3. Kategorien personenbezogener Daten
Wir verarbeiten nachfolgende Kategorien von Daten: Stammdaten (wie zum Beispiel Firma, ggf. Ansprechpartner, Adresse), Kommunikationsdaten (zum Beispiel E-Mailadressen, Telefonnummern, Faxnummern, Server-Log-Files), Vertragsdaten, Forderungsdaten, ggf. Zahlungs- und Verzugsinformationen.
4. Weitergaben von Daten
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur,
- wenn Sie hierzu Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 S. 1 a) DSGVO erteilt haben;
- wenn die Weitergabe zur Erfüllung von vertraglichen Pflichten gemäß Art. 6 Abs. 1 S. 1 b) DSGVO erforderlich ist;
- wenn wir zur Weitergabe der Daten gesetzlich verpflichtet i.S.d. Art. 6 Abs. 1 S. 1 c) DSGVO sind;
- wenn die Weitergabe der Daten im öffentlichen Interesse i.S.d. Art. 6 Abs. 1 e) DSGVO liegt oder;
- wenn die Weitergabe der Daten nach Art. 6 Abs. 1 S. 1 f) DSGVO zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht Ihre Interessen an dem Schutz Ihrer Daten überwiegen.
5. Drittempfänger
Um Ihre Anliegen zufriedenstellend bearbeiten zu können, kann es sein, dass wir Ihre personenbezogenen Daten an Drittempfänger weitergeben müssen. Hierbei beachten wir stets die unter Punkt 4 genannten Voraussetzungen. Drittempfänger können ggf. Vertragshändler der Hako GmbH sein.
6. Dauer der Speicherung personenbezogener Daten
Ihre Daten werden von uns so lange gespeichert, wie sie für die jeweiligen der Verarbeitung zugrunde liegenden Zwecke benötigt werden. Darüber hinaus speichern wir Daten nur, soweit wir hierzu rechtlich verpflichtet sind, z.B. aufgrund gesetzlicher Aufbewahrungs- und Dokumentationspflichten (aus HGB, StGB oder AO) nach Artikel 6 Abs. 1 lit. c DSGVO. Über abweichende Speicherdauern informieren wir Sie in den Unterabschnitten zu den speziellen Verarbeitungen.
7. Betroffenenrechte
Nach der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu:
Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
Auskunftsersuchen, den Widerruf erteilter Einwilligungen oder die Wahrnehmung Ihrer Betroffenenrechte richten Sie bitte an den unter 2. genannten Verantwortlichen. Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die verantwortliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Weiterhin besteht ein Beschwerderecht bei einer Aufsichtsbehörde. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
8. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung wird nicht angewandt.
9. Informationen zum Widerspruchsrecht
Ein Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten, auf Grund von Artikel 6 Abs. 1 e) (Datenverarbeitung im öffentlichen Interesse) oder f) (Datenverarbeitung zur Wahrung berechtigter Interessen auf Grundlage einer Interessenabwägung) ist gemäß Artikel 21 DSGVO jederzeit möglich. Im Falle eines Widerspruches werden die personenbezogenen Daten nicht mehr verarbeitet, es sei denn, es werden zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Bitte richten Sie Ihren Widerspruch an die E-Mailadresse privacy@hako.com.
Sofern Sie uns gegenüber eine Einwilligung in die Verarbeitung personenbezogener Daten erteilt haben, können Sie diese jederzeit uns gegenüber widerrufen. Selbstverständlich gilt dies auch für uns gegenüber vor dem 25. Mai 2018 (vor der Geltung der DSGVO) erteilte Einwilligungserklärungen. Der Widerruf einer Einwilligung kann immer erst für die Zukunft Geltung entfalten. Die Rechtmäßigkeit der Verarbeitung wird durch einen Widerruf nicht rückwirkend beseitigt.
Bitte richten Sie Ihren Widerspruch an die E-Mailadresse privacy@hako.com.
10. Aufsichtsbehörde
Die Anschrift der für uns zuständigen Aufsichtsbehörde lautet:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel,
Tel.: +49 431 988-1200, Fax: +49 431 988-1223
E-Mail: mail@datenschutzzentrum.de
Homepage: www.datenschutzzentrum.de
Nachfolgend werden Sie über die Erhebung, die Verarbeitung und die Nutzung Ihrer personenbezogenen Daten informiert, wenn Sie diese Webseiten besuchen und die dort angebotenen Services und Dienstleistungen nutzen.
1. Datensicherheit
Wir sichern unsere Website und sonstigen Systeme durch geeignete technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen. Trotz regelmäßiger Kontrollen ist ein vollständiger Schutz gegen alle Gefahren jedoch nicht möglich.
Unsere Website verwendet zur Verschlüsselung den Industriestandard SSL (Secure Sockets Layer). Dadurch wird die Vertraulichkeit Ihrer persönlichen Angaben über das Internet gewährleistet. Ob eine verschlüsselte Übertragung stattfindet, erkennen Sie anhand des geschlossenen Schlüssel-/bzw. Schloss-Symbols in der Anzeige Ihres Browsers.
2. Speicherung von Zugriffsdaten
(1) Bei jedem Zugriff auf unseren Internetauftritt werden Zugriffsdaten in einer Protokolldatei auf dem Server unseres Providers gespeichert.
(2) Dieser Datensatz besteht z.B. aus Ihrer IP-Adresse, Datum und Uhrzeit der Anforderung, dem Namen der angeforderten Datei, der übertragenen Dateimenge und dem Zugriffsstatus, einer Beschreibung des verwendeten Webbrowsers und Betriebssystems sowie dem Namen Ihres Internet Service Providers.
(3) Diese Daten werden aus technischen Gründen erhoben. Eine Auswertung findet ausschließlich zu statistischen Zwecken und ohne Personenbezug (Besucherzahlen und Seitenpopularität) statt. Eine Löschung erfolgt automatisch nach spätestens 14 Tagen.
3. Erhebung personenbezogener Daten bei informatorischer Nutzung (Cookies)
4. Google Analytics (Tracking)
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sogenannte „Cookies“ - Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Website-Aktivitäten für die Website-Betreiber zusammenzustellen und um weitere mit der Website-Nutzung und der Internet-Nutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen.
Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können.
Diese Website verwendet Google Analytics mit der Erweiterung _anonymizeIp(), das heißt, dass IP-Adressen nur verkürzt gespeichert werden. Dieses Verfahren schließt einen direkten Personenbezug im Allgemeinen aus.
Ein Auftragsverarbeitungsvertrag mit Google über diese Verarbeitung ist abgeschlossen.
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1, a) DSGVO. Wir verarbeiten Ihre Daten, um Ihnen eine komfortable Nutzung unserer Webseiten zur Verfügung zu stellen und die Funktionalität der Webseite auf die Anforderungen der Besucher anzupassen und zu verbessern.
5. Kontaktformular
Bei Ihrer Kontaktaufnahme per E-Mail oder über das Kontaktformular wird Ihre E-Mail-Adresse und, falls Sie dies angeben, Ihr Name und Ihre Telefonnummer von uns gespeichert, um Ihre Fragen zu beantworten.
Sie haben auf unserer Website die Möglichkeit, uns über das Formular "Kontakt" verschlüsselt eine E-Mail mit Ihrem Anliegen zuzusenden. Hier können Sie z.B. Fragen zu unserem Unternehmen, unseren Produkten oder unseren Dienstleistungen stellen.
Um Ihr Anliegen bearbeiten zu können, bitten wir Sie in unserer Eingabemaske um Angabe von personenbezogenen Daten. Hierzu zählen Ihr Name sowie Ihre E-Mail-Adresse und weitere Informationen wie den Gegenstand Ihrer Anfrage und Ihren Mitteilungstext. Neben den Pflichtfeldern können Sie auch zusätzliche Informationen angeben. Optional können Anschrift und/oder Telefonnummer angegeben werden.
Diese abgefragten Informationen ermöglichen uns, auf Ihr Anliegen umfassend eingehen zu können. Die Mitteilung der von Ihnen in diesem Zusammenhang angegebenen Daten erfolgt ausdrücklich auf freiwilliger Basis.
Die uns übermittelten personenbezogenen Daten aus Ihren o.g. Angaben sowie der Zeitpunkt der Kontaktaufnahme werden ausschließlich für den Zweck verwendet, zu dem Sie uns diese bei der Kontaktierung zur Verfügung stellen – insbesondere die Bearbeitung Ihrer Anfrage. Die von Ihnen erteilten Informationen werden ausschließlich dazu verwendet, Ihre Anfrage zu bearbeiten. Die Daten werden ohne Ihre ausdrückliche Einwilligung nicht für andere Zwecke verwendet oder an Dritte weitergegeben. Ausgenommen hiervon sind – sofern es zur Erfüllung Ihre Anfrage notwendig ist – Partnerfirmen der Hako GmbH. Dies können beispielsweise sein: Unsere Zulieferer, Transport- und Logistikpartner und unsere Handelspartner. Sofern keine gesetzlichen Aufbewahrungspflichten bestehen, werden Ihre personenbezogenen Daten nach Abwicklung des Anliegens gelöscht.
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 b) DSGVO. Wir verarbeiten Ihre Daten, um Ihre Anfrage beantworten zu können.
6. Haftung für Links
Unsere Seiten enthalten Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
7. Datenverarbeitung bei YouTube
Wir stellen auf einem Kanal öffentliche Videos zur Verfügung. Der Einbettungsmodus der Videos erfolgt im „erweiterten Datenschutzmodus“, das bedeutet, dass bis zum Ansehen des Videos keine Daten an Youtube versendet werden. Das Anklicken und Anschauen der Videos führt zu einer Datenerfassung bei YouTube, auf die der Verantwortliche dieser Webseite keinen Einfluss hat.
Die Datenerhebung bei der Nutzung von Youtube ist in den Google Datenschutzerklärungen und Nutzungsbedingungen zu lesen.
8. Datenverarbeitung bei Facebook
Unsere Seite verwendet einen Link auf unseren Auftritt in dem sozialen Netzwerk Facebook. Wenn Sie unsere Seite aufrufen, erfährt Facebook nicht von Ihrem Besuch auf unserer Website. Wenn Sie den Link anklicken, werden Sie zu Facebook weiter geleitet. Dadurch erfährt Facebook auch, dass Sie unsere Seite besucht haben.
Von der nach Betätigen des Links möglichen Erhebung und Verwendung Ihrer Daten durch Facebook haben wir keine Kenntnis und darauf auch keinen Einfluss. Nähere Informationen entnehmen Sie gegebenenfalls der Datenschutzerklärung von Facebook.
9. Datenverarbeitung bei Linkedin
Unsere Seite verwendet Links auf unseren Auftritt in dem sozialen Netzwerk Linkedin der LinkedIn Ireland Unlimited Company. Wenn Sie unsere Seite aufrufen, erfährt Linkedin nicht von Ihrem Besuch auf unserer Website. Wenn Sie den Link anklicken, werden Sie zu Linkedin weiter geleitet. Dadurch erfährt Linkedin auch, dass Sie unsere Seite besucht haben.
Von der nach Betätigen des Links möglichen Erhebung und Verwendung Ihrer Daten durch Linkedin haben wir keine Kenntnis und darauf auch keinen Einfluss. Nähere Informationen entnehmen Sie gegebenenfalls der Datenschutzerklärung von Linkedin.
Neben den allgemeinen Hinweisen zur Datenverarbeitung und den Hinweisen zur Verarbeitung Ihrer Daten auf der Homepage der Hako GmbH, beschreiben wir Ihnen im Folgenden, wie wir Ihre personenbezogenen Daten bei der Nutzung des Online Shops verarbeiten.
Bitte beachten Sie, dass sich unser Online-Shop-Angebot ausschließlich an Gewerbekunden richtet. Ein Vertrieb an Privatkunden ist in diesem Shop nicht vorgesehen.
1. Zwecke der Verarbeitung:
- Angebot von Maschinen (Reinigungsgeräte)
- Beantwortung von Kundenfragen
- Weiterleitung der Kundenanfragen an die jeweilige Verkaufsstelle
- Bearbeitung der eingehenden Bestellungen
- Rechnungstellung an den Kunden
- Anbindung der Logistik zum Versand der Käufe
2. Rechtsgrundlage:
Art. 6, Abs. 1, lit. b (vorvertragliche Maßnahmen und Erfüllung eines Vertrages)
Art. 6, Abs. 1, lit. f (berechtigtes Interesse) für das Setzen von funktionalen Cookies zur Darstellung des Shop-Angebotes und für die Warenkorbfunktionen des Shops
3. Kategorien personenbezogener Daten:
- IP-Adressen, Logfiles von allen Besuchern der Webseite (siehe Datenschutzerklärung der Homepage)
- Namen, Kontaktdaten, Firmenadressen von Kunden, die ein Produkt im Shop kaufen.
(Bank- und Zahlungsartendetails können von Hako nicht eingesehen werden)
4. Empfänger:
Hako - intern: Bestellungen werden aus dem Shop-System übermittelt, die Rechnungsbearbeitung erfolgt dann in den ERP-Systemen der Hako GmbH.
Possehl Online Solutions (Zurverfügungstellung der Shop Software)
Übergabe der Lieferanschriften an die Logistikpartner (IDS-Logistik oder dhl)
Zahlungsdienstleister "Stripe" und Sofort GmbH (ebenfalls vermittelt über Stripe)
5. Speicherdauer:
Daten im Shop-System werden nach Ablauf von 3 Jahren automatisch gelöscht. Rechnungen und Rechnungsdaten unterliegen den gesetzlichen Aufbewahrungsfristen.
6. Drittlandübermittlung:
Webadvice (Schweiz) für Support und Wartung – für die Datenübermittlung in die Schweiz besteht ein Angemessenheitsbeschluss der EU-Kommission. Die Datenverarbeitung findet ausschließlich in der europäischen Union statt.
Ihre Daten werden nicht gesammelt und ausgewertet, um Persönlichkeits-, Verhaltens-, Bewegungsprofile o. Ä. zu erstellen, d. h. es findet kein Profiling statt.
Über unsere Homepage können Sie den Webshop der Hako Service GmbH erreichen. Informationen zu den Datenschutzbestimmungen finden Sie auf der Website www.hako-service.de.
Auftragsverarbeitung gemäß Art. 28 DS-GVO
Vereinbarung
Zwischen der
- Verantwortlicher - nachstehend Auftraggeber genannt -
und der
Hako GmbH
Hamburger Straße 209-239
23843 Bad Oldesloe
- Auftragsverarbeiter - nachstehend Auftragnehmer genannt -
1. Gegenstand und Dauer des Auftrags
(1) Gegenstand
Der Gegenstand des Auftrags ergibt sich aus dem Antrag zum Kauf des Hako-Fleet-Managements bzw. aus der Annahme des Angebots
(2) Dauer
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Antrags auf Kauf oder des Rahmenvertrages.
2. Konkretisierung des Auftragsinhalts
(1) Art und Zweck der vorgesehenen Verarbeitung von Daten:
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben im Antrag auf Kauf und dem Anhang.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind.
(2) Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
Personenstammdaten/Adressdaten/Kontaktdaten
Kommunikationsdaten (z. B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
(3) Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
Kunden
Interessenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
3. Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2) Soweit vom Leistungsumfang umfasst, sind Löschen, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
Als Datenschutzbeauftragte beim Auftragnehmer wird Frau Astrid Bartel [Hako GmbH, Hamburger Straße 209-239, 23843 Bad Oldesloe, Telefon: +49-4531-806-0, Telefax: +49-4531-806-338, privacy@hako.com] benannt.
Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige
Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:
der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen
8. Mitteilung bei Verstößen des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
9. Weisungsbefugnis des Auftraggebers
(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10. Löschung und Rückgabe von personenbezogenen Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der vereinbarten Laufzeit des Antrags auf Kauf oder des Rahmenvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
10. Gerichtsstand
(1) Gerichtsstand ist der Ort des Auftraggebers.
__________________________________ _________________________________
Ort, Datum, Unterschrift Ort, Datum, Unterschrift
Auftraggeber Auftragnehmer
Anlage – Technisch-organisatorische Maßnahmen
1. Organisatorische Maßnahmen
Mitarbeiter sind nachweislich auf das Datengeheimnis, ggf. auf das Fernmeldegeheimnis, verpflichtet.
Es existieren verfahrensunabhängige Plausibilitäts- und Sicherheitsprüfungen (z.B. technisch unterstützt oder durch Externe)
2. Vertraulichkeit
Alarmanlage
Türsicherung (elektrischer Türöffner, Zahlenschloss usw.)
Schlüsselregelung (Schlüsselverwaltung: Schlüsselausgabe etc.)
Sicherheitsschlösser
Manuelles Schließsystem
Werkschutz/Pförtner
Empfang mit Anmeldung
Feuerfeste Türen
Absicherung von Gebäudeschächten
Passwortvergabe
Länge des Passworts: 8 Zeichen
Anzahl der Fehleingaben: 3
Authentifikation mit Benutzername/Passwort
Einsatz von VPN-Technologie
Schriftliches Berechtigungskonzept vorhanden
Zuordnung von Benutzerrechten/Erstellen von Benutzerprofilen
Verwaltung der Rechte durch System-Administrator
Anzahl der Administratoren auf das "Notwendigste" reduziert
Automatische Sperrung des Arbeitsplatzes
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Einsatz von Akten-/Datenträgervernichtern bzw. Dienstleistern unter Beachtung von DIN 66399
Verschlüsselung von Datenträgern
Sichere Aufbewahrung von Datenträgern
Ordnungsgemäße Vernichtung von Datenträgern
Löschungskonzept für Daten
Protokollierung der Vernichtung
Einrichtungen von Standleitungen bzw. VPN-Tunneln
Firewall: Die nach dem Stand der Technik erforderlichen Firewall-Technologien sind implementiert und werden auf dem aktuellen Stand gehalten
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
Protokollierung von Übermittlungen
Vorhandene Vereinbarungen zur Auftragsverarbeitung
Kontrolle der Vertragsausführung
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Regelung zu Wartungen (speziell Fernwartung)
3. Integrität
Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration
4. Verfügbarkeitskontrolle
Unterbrechungsfreie Stromversorgung (USV)
Überspannungsschutz
Schutz gegen Umwelteinflüsse (Sturm, Wasser)
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
Feuer- und Rauchmeldeanlagen
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
Testen von Datenwiederherstellung
Über unsere Homepage gelangen Sie zum Anmeldeportal www.hako-messe.com. Datenschutzrelevante Informationen finden Sie unter https://www.hako-messe.com/datenschutz/.
Neben den allgemeinen Hinweisen zur Datenverarbeitung und den Hinweisen zur Verarbeitung Ihrer Daten auf der Homepage der Hako GmbH, beschreiben wir Ihnen im Folgenden, wie wir Ihre personenbezogenen Daten bei der Nutzung für Marketingmaßnahmen verarbeiten.
1. Zweck der Verarbeitung:
Verkaufsförderung auch von Produkten, von kooperativen Zusammenschlüssen.
2. Rechtsgrundlage:
• Art. 6, Abs. 1, S. 1, lit. f (wirtschaftliches Interesse) Direktwerbung. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung wird als eine einem berechtigten Interesse dienende Verarbeitung betrachtet (EG 47 DSGVO)
• Art. 6, Abs. 1, S.1, lit. a Einwilligungen für Newsletterempfang
3. Kategorien personenbezogener Daten: Namen und Kontaktdaten von Kundinnen und Kunden der Hako GmbH, sowie deren Mitarbeitende
4. Empfänger der personenbezogenen Daten:
• interne Empfänger (andere Fachabteilungen, konzerninterne Weitergabe)
• externe Empfänger (ggf. Werbeagenturen für Mailingaktionen oder andere Marketingmaßnahmen)
5. Regelfrist der Löschung: Ihre Daten werden nach den gesetzlichen Grundlagen zur Aufbewahrung nach den handelsrechtlichen Bestimmungen gespeichert. Interne Löschfristen sind über die zentrale Kundenverwaltung eingerichtet. Auftragsverarbeiter sind vertraglich verpflichtet, Datensätze nach der konkreten Verarbeitung zu löschen.
Die Verarbeitung der dienstlichen Kontaktdaten ist unter anderem für Vertragsabschlüsse erforderlich. Ein Widerspruch der betroffenen Personen kann auch bei deren Arbeitgebern geltend gemacht werden.
Eine automatisierten Entscheidungsfindung (einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO) kommt nicht zur Anwendung.