Worum geht es uns beim Datenschutz?
Jeder Betreiber einer Website ist nach dem Telemediengesetz dazu verpflichtet, in seinen Datenschutzhinweisen über Art, Umfang und Zwecke der Erhebung und Verwendung von personenbezogenen Daten zu informieren. Wir beraten unsere Kunden zu den Themen Datenschutz und Informationssicherheit; unser Ansatz dabei ist, dass die Themen im Unternehmen nicht nur in der Theorie stattfinden, sondern auch verstanden und gelebt werden.
Grundsätzlich sei noch bemerkt, dass wir für unseren Internetauftritt nicht nur das Mindestmaß an Maßnahmen einhalten, um den Datenschutz zu gewährleisten; wir haben anders herum alle Elemente, die personenbezogene Daten sammeln, abgeschaltet; bei der Auswahl der Tools haben wir uns durchgehend nur für Anbieter entschieden, die ohne personenbezogene Daten auskommen.
Hier also unsere Maßnahmen, um Deine Daten beim Besuch unserer Website zu schützen:
TISAX
TISAX ist ein in der europäischen Automobilindustrie definierter einheitlicher Standard für Informationssicherheit. Das VDA Information Security Assessment (VDA ISA) enthält wesentliche Merkmale des Managementsystems für Informationssicherheit (ISMS) gemäß ISO 27001.
Bei Nextwork wurde eine TISAX-Zertifizierung mit einem Assessment-Level 3 (AL3) und dem Zusatzmodul Datenschutz durch einen unabhängigen Prüfdienstleister durchgeführt. TISAX und die erzielten Prüfergebnisse sind nicht für die breite Öffentlichkeit bestimmt. Unternehmen, die bei ENX registriert sind, können die Details unserer Prüfung im ENX-Portal einsehen. TISAX ist eine eingetragene Marke und unterliegt der ENX Association.
Für zusätzlichen Schutz: Verwendung von Datenschutz-Plugins
Folgende installierte Plugins helfen uns dabei, dass über unsere Websites keine personenbezogene Daten gesammelt werden.
Disable Embeds (Deaktiviert Embeds, durch die Daten an Dienste wie YouTube, Facebook, Twitter und Co. übertragen werden können)
Remove Google Fonts References (entfernt Google Fonts aus dem Quellcode)
Disable Emojis (entfernt ein Fallback-Script zum Anzeigen von Emojis in ältereren Browser, das über ein externes CDN geladen wird)
Webseitenanalyse ohne Cookies
Für unsere Webseitenanalyse (wenn wir sie denn überhaupt machen) verwenden wir das datenschutzfreundliche „Statify“. Im direkten Vergleich mit Statistikdiensten wie Google Analytics und Piwik verarbeitet und speichert Statify keine personenbezogenen Daten wie IP-Adressen – Statify zählt Aufrufe, keine Besucher, deshalb kommt es auch ohne Cookies oder ähnliches aus.
E-Mails allgemein
Die in Deutschland geltenden gesetzlichen Anforderungen zwingen Unternehmen, ihre E-Mails über viele Jahre hinweg vollständig, originalgetreu, manipulationssicher und jederzeit verfügbar aufzubewahren. Dazu gehört jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Also auch alle E-Mails.
Beachte jedoch bitte, dass unverschlüsselte E-Mails, die über das Internet versendet werden, nicht hinreichend vor der unbefugten Kenntnisnahme durch Dritte geschützt sind. Für eine vertrauliche Kommunikation kannst Du entweder S/MIME nutzen, oder uns Daten mit Passwortschutz zusenden.
Zusätzlich speichern wir gesetzkonform alle E-Mails maximal zehn Jahre in unserem revisionssicherem E-Mail-Archiv. Wir tragen Sorge dafür, dass die Daten nach dem Stand der Technik vor der unberechtigten Kenntnisnahme Dritter gesichert sind. Schutzmaßnahmen sind u.a.: verschlüsselte Festplatten und verschlüsseltes Backup.
Google G-Suite (u.a. E-Mail und Drive)
Bei unserer Zusammenarbeit verwenden wir auch Dienste der Google Cloud. Die Daten werden grundsätzlich auf Servern von Google in der europäischen Union (EU) und ggf. auch in den U.S.A. gespeichert. Google hat umfangreiche Datenschutz-Maßnahmen getroffen und zusätzlich die EU-Standardvertragsklauselngeschlossen, die dafür sorgen, dass sich der Dienstleister zur Einhaltung europäischen Datenschutzrechts verpflichtet. Daher ist der Datenfluss gemäß Art. 45 DSGVO zulässig. Google Cloud (G-Suite) hat u.a. eine ISO27001 und sogar eine TISAX-Zertifizierung „Info High“(US) und „Info Very High“ (EU).
Compliance und Datenschutz mit der Google G Suite
Die G Suite erfüllt – laut Google – die Datenschutzempfehlungen der Artikel-29-Datenschutzgruppe sowie die EU-Standardvertragsklauseln mit dem Zusatz zur Datenverarbeitung und der Offenlegung der Unterauftragnehmer.
Mehr Informationen zu Privacy bei Google unter:
https://policies.google.com/privacy?hl=de
Microsoft Office 365 (u.a. E-Mail, OneDrive und Teams)
Bei unserer Zusammenarbeit verwenden wir auch Dienste der Microsoft Cloud. Die Daten werden grundsätzlich auf Servern von Microsoft in der europäischen Union (EU) – vorzugsweise in Deutschland (Frankfurt/Berlin) – ggf. auch in den U.S.A. gespeichert. Microsoft hat umfangreiche Datenschutz-Maßnahmen getroffen und zusätzlich die EU-Standardvertragsklauseln geschlossen, die dafür sorgen, dass sich der Dienstleister zur Einhaltung europäischen Datenschutzrechts verpflichtet. Daher ist der Datenfluss gemäß Art. 45 DSGVO zulässig. Die Microsoft Cloud hat außerdem u.a. eine ISO27001 und sogar eine TISAX-Zertifizierung „Info High“(US) und „Info Very High“ (EU).
Auszug aus den Richtlinien Compliance und Datenschutz mit der Microsoft Cloud:
Das Microsoft-Versprechen: kein unautorisierter Zugriff auf Ihre Daten
Eigentümer Ihrer Daten: Sie – und nur Sie
Verschlüsselung, Datenschutz, Datensicherheit, Compliance: gewährleistet durch Microsoft
Keine Nutzung Ihrer Kundendaten zu Werbezwecken
Sie erfahren, wie wir Ihre Daten verwalten und wo sich Ihre Daten befinden.
Sie erfahren, wie wir auf Zugriffsanforderungen seitens Regierungs- und Justizbehörden reagieren.
Wer Zugang zu Ihren Daten hat:
Microsoft Business Cloud Services unterliegen strengen Maßnahmen, um Kundendaten vor unerlaubtem Zugriff oder der Nutzung durch nicht befugte Personen zu schützen. Dies beinhaltet die Einschränkung des Zugriffs durch Microsoft-Mitarbeiter und Vertragspartner sowie die sorgfältige Definition von Rahmenbedingungen für Behördenanfragen. Jedoch können Sie auf Ihre eigenen Kundendaten jederzeit und aus jedem beliebigen Grund zugreifen. Der virtuelle Zugriff auf Kundendaten ist je nach Geschäftsanforderung durch rollenbasierte Zugriffssteuerung, mehrstufige Authentifizierung, minimalen permanenten Zugriff auf Produktionsdaten sowie weitere Kontrollen eingeschränkt. Der Zugriff auf Kundendaten wird außerdem streng protokolliert, und sowohl Microsoft als auch Drittanbieter führen regelmäßige Audits (und stichprobenartige Prüfungen) durch, um den ordnungsgemäßen Zugriff sicherzustellen.
Behördenanfragen zu Kundendaten:
Microsoft stellt sicher, dass es keine „Hintertürchen“ gibt und kein direkter oder ungehinderter Behördenzugriff auf Ihre Daten möglich ist. Für Auskunftsersuchen von Regierungs- und Justizbehörden gelten bestimmte Anforderungen.
Eingeschränkter Zugriff auf Kundendaten:
Microsoft implementiert wirksame Maßnahmen, um Kundendaten vor unangemessenem Zugriff oder der Nutzung durch nicht autorisierte – interne wie externe – Personen zu schützen. Außerdem wird verhindert, dass Kunden auf die Daten anderer Kunden zugreifen können.
Mehr Informationen zu Privacy bei Microsoft unter:
https://www.microsoft.com/de-de/trust-center/privacy/
Mehr Informationen zu den Microsoft Cloud-Diensten unter:
https://www.microsoft.com/de-de/cloud/
Deine Bewerbung
Bitte bewerbe Dich bei uns online über unser Bewerbermanagement-Softwareportal.
Achtung: Bewerbungen die per E-Mail gesendet werden, können nicht mehr gelöscht werden.
Das Portal wird von der Firma Personio betrieben, mit denen wir einen Vertrag zu Auftragsverarbeitung geschlossen haben. Die Bewerbung kannst Du mit oder ohne Registrierung absenden. Eine Registrierung ist nur dann notwendig, wenn Du Deine Bewerbung später nachverfolgen möchtest. In diesem Fall musst du Dich mit Ihrem Name, E-Mail-Adresse und einem zu wählenden Passwort bei softgarden registrieren. Du kannst im Falle einer Registrierung den Status Deiner Bewerbung überprüfen, Bewerbungen zurückziehen oder löschen. Wenn Du die Bewerbung zurückziehst, bleiben die Daten Deines persönlichen Profils im System gespeichert, auch wenn es nicht zu einer Einstellung kommt. Um sie zu löschen, musst Du Dich einloggen und die Daten explizit löschen. Im Rahmen Deiner Bewerbung kannst Du Angaben in verschiedenen Eingabefeldern machen. Die „Pflicht-Felder“ sind mit einem * gekennzeichnet. Darüber hinaus können in „Kann-Feldern“ weitere freiwillige Angaben gemacht werden. Mit der Bewerbung erklären Sie sich einverstanden, dass die von Ihnen angegebenen, personenbezogenen Daten bei uns und der Firma Personio zum Zweck der Erfüllung des Bewerbungsauswahlverfahrens verarbeitet werden.
Deine Bewerbungsdaten werden bei Personio in einem deutschen Rechenzentrum vorgehalten. Du kannst bei Deiner Bewerbung darüber entscheiden, ob wir Deine Daten nur für den jeweiligen Bewerbungsprozess verwenden sollen oder ob wir die Daten für die eventuelle Berücksichtigung von weiteren offenen Stellen für einen Zeitraum von 6 bis 12 Monaten speichern dürfen. Ohne Deine Einverständniserklärung, werden Deine Bewerbungsunterlagen nach sechs Monaten automatisch gelöscht.
Erfassung allgemeiner Informationen
Wenn du auf unsere Webseite zugreifst, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen deines Internet Service Providers und Ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche grundsätzlich keine Rückschlüsse auf deine Person zulassen. Diese Informationen sind technisch notwendig, um von dir angeforderte Inhalte von Webseiten korrekt auszuliefern und fallen bei Nutzung des Internets zwingend an. Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen nehmen wir nicht vor.
E-Mail-Logfiles des Providers: Enthält: MetaDaten (Sender, Empfänger, Zeitpunkt, IP, Größe), Vorhaltezeit: 3 Tage
Webserver-Logfile des Providers: Enthält: Domain, IP, Anfragen, Useragent, Timestamp, Status Code, Vorhaltezeit: 3 Tage
Rechtsgrundlage: Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Empfänger: Empfänger der Daten sind nur die verantwortliche Stelle und ggf. technische Dienstleister, die für den Betrieb und die Wartung unserer Webseite als Auftragsverarbeiter tätig werden. Speicherdauer: Die Daten werden gelöscht, sobald diese für den Zweck der Erhebung nicht mehr erforderlich sind. Dies ist für die Daten, die der Bereitstellung der Webseite dienen, grundsätzlich der Fall, wenn die jeweilige Sitzung beendet ist. Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet. Zudem können einzelne Dienste und Services nicht verfügbar oder eingeschränkt sein. Aus diesem Grund ist ein Widerspruch ausgeschlossen.
Extended Validation SSL Zertifikat
Eigentlich gar nicht notwendig, da keine Datenübertragung stattfindet. Aber die grüne Adressleiste macht einfach was her. Um die Sicherheit Deiner Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren über HTTPS mit einem Extended Validation SSL Zertifikat. Als höchste verfügbare SSL-Klasse, wird somit sowohl das Sicherheitsschloss als auch die grüne Adresszeile in allen gängigen Browsern aktiviert. EV SSL-Zertifikate bieten die stärkste verfügbare Verschlüsselungsstufe und ermöglichen der Organisation hinter einer Website, Besuchern der Website ihre eigene verifizierte Identität zu präsentieren.
Kein Kontaktformular
Wir verwenden kein Kontaktformular auf unserem Internetauftritt. Wenn du mit uns in Kontakt treten möchtest, sende uns einfach eine E-Mail.
WebFonts auf eigenem Server
Wir setzen WebFonts zur visuellen Gestaltung unserer Website ein. Zur Einbindung der von uns benutzten Schriftarten, stellt Dein Browser eine Verbindung zu unserem Server her um die für unsere Website benötigte Schriftart zu laden. Hierbei werden keinerlei personenbezogene Daten gespeichert.
Externe Links
Wir verweisen auf andere Webseiten und Dienste mit Hilfe von sog. externen Links und verzichten auf den Einsatz von Plugins, bei denen unter Umständen eine unmittelbare Weitergabe von Daten sattfindet. Wir bemühen uns sicherzustellen, dass die verlinkten Seiten einen entsprechenden Datenschutz- und Sicherheitsstandard einhalten. Wir weisen aber darauf hin, dass wenn Du einen dieser Links verwendest, auf eine andere Webseite gelangst, wie dies üblich ist. Diese Webseite ist außerhalb des Geltungsbereichs unserer Datenschutzhinweise. Informiere Dich daher über die Art und Weise der Datenerhebung auf der dort bereitgestellten Datenschutzerklärung.
Terminkalenderlösung für Erstberatung
Für unsere Erstberatung bieten wir eine schnelle Möglichkeit um einen Termin direkt in unseren Kalender zu buchen. Hierfür nutzen wir den Cloud-Dienst Calendly. Calendly ist so entworfen, dass nur auf das nötige Minimum an Daten zugegriffen wird. Zum Beispiel prüft die Calendly-Anwendung nur die Dauer und den Frei/Beschäftigt-Status der Ereignisse in unserem Kalender. Calendly ist so entwickelt, dass Informationen über die Termine in unserem Kalender einschließlich Personen, deren E-Mail-Adressen, Terminnamen oder sonstige Information nicht bei Calendly gespeichert werden. Näheres dazu findest Du unter diesem Link.
Einbindung von Videos von Vimeo
Wir verwenden für die Einbindung von Videos vornehmlich Vimeo. Durch die Einbindung kommt es – technisch bedingt – zu Aufrufen der Server des Anbieters Vimeo. Für die damit verbundene Verwendung von Daten Endgerätes verweisen wir auf die Datenschutzhinweise von Vimeo. Diese findest du hier: https://vimeo.com/privacy
Vimeo garantiert nach eigenen Angaben ein angemessenes Datenschutzniveau. Rechtsgrundlage für die Einbindung der Vimeo-Videos und die damit einhergehende Drittlandsverarbeitung ist die Ausnahmeregelung in Art. 49 Abs. 1 lit. b) DSGVO.
Präsenz in sozialen Netzwerken
Basierend auf unserem berechtigten wirtschaftlichen Interesse an Kommunikation, Marketing, sowie Präsenz unterhalten wir eine Onlinepräsenz innerhalb des sozialen Netzwerkes „Instagram“ und verarbeiten in diesem Rahmen Daten der dort aktiven Nutzer bzw. „Follower“, um mit Ihnen zu kommunizieren oder um Informationen über uns anzubieten. Eine Verarbeitung zu anderen Zwecken findet unsererseits nicht statt.
Wir weisen jedoch darauf hin, dass zugleich eine Verarbeitung personenbezogener Daten der Nutzer des sozialen Netzwerks durch Instagram zu eigenen Zwecken und Interessen stattfindet. Aus diesem Grund haben wir das Page Controller Addendum der Facebook Ireland Limited, dessen Produkt Instagram ist, akzeptiert. Mit dieser Vereinbarung erkennt Instagram die gemeinsame Verantwortung mit Blick auf sog. Insights-Daten an und übernimmt wesentliche datenschutzrechtliche Pflichten zur Wahrung der Betroffenenrechte.
Die Verarbeitung personenbezogener Daten durch Instagram dient nach eigenen Angaben den Marktforschungs- und Werbezwecken, so dass Instagram z.B. anhand des Nutzungsverhaltens und sich daraus ergebender Interessen der Nutzer Nutzungsprofile erstellen kann. Die Nutzungsprofile können wiederum verwendet werden, um z.B. Werbeanzeigen innerhalb und außerhalb der Netzwerke zu schalten, die mutmaßlich den Interessen der Nutzer entsprechen. Zu diesen Zwecken werden im Regelfall seitens Instagram Cookies auf dem Endgerät des Nutzers gespeichert, in denen das Nutzungsverhalten und die Interessen der Nutzer gespeichert werden. Ferner können in den Nutzungsprofilen auch Daten unabhängig der von den Nutzern verwendeten Geräte gespeichert werden (insbesondere, wenn die Nutzer Mitglieder der jeweiligen Plattformen sind und bei diesen eingeloggt sind). Dabei können Daten der Nutzer außerhalb des Raumes der Europäischen Union verarbeitet werden. Hierdurch können sich für die Nutzer Risiken ergeben, weil so z.B. die Durchsetzung der Rechte der Nutzer erschwert werden könnte.
Detaillierte Informationen zur Art und Umfang der Verarbeitung personenbezogener Daten seitens Instagram können Sie in den Hinweise (https://help.instagram.com/478745558852511) von Instagram LLC, 1601 Willow Rd, Menlo Park CA, 94025 USA nachlesen. Einstellungs- und Widerspruchsmöglichkeiten zu den Cookies, die seitens Instagram gesetzt werden, finden Sie hier (https://help.instagram.com/1896641480634370?ref=ig).“
Eingesetzte Auftragsverarbeiter
Folgende Organisationen, Unternehmen bzw. Personen wurden von uns u.a. mit der Verarbeitung von Daten beauftragt: domainfactory GmbH, Oskar-Messter-Str. 33, 85737 Ismaning (Hoster), Google LLC, Amphitheatre Parkway, Mountain View, CA 94043, USA (E-Mail), Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Office 365), weclapp GmbH, Frauenbergstraße 31 – 33, 35039 Marburg (Ticketsystem), Personio GmbH, Rundfunkplatz 4, 80335 München (Bewerberportal).
Recht auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch
Du hast das Recht, jederzeit Auskunft über Deine bei mir gespeicherten personenbezogenen Daten zu erhalten. Ebenso hast Du das Recht auf Berichtigung, Sperrung oder, abgesehen von der vorgeschriebenen Datenspeicherung zur Geschäftsabwicklung, Löschung Deiner personenbezogenen Daten. Bitte wende Dich dazu an meinen Datenschutzbeauftragten. Die Kontaktdaten findest Du ganz unten. Damit eine Sperre von Daten jederzeit berücksichtigt werden kann, müssen diese Daten zu Kontrollzwecken in einer Sperrdatei vorgehalten werden. Du kannst auch die Löschung der Daten verlangen, soweit keine gesetzliche Archivierungsverpflichtung besteht. Soweit eine solche Verpflichtung besteht, sperren wir Deine Daten auf Wunsch. Du kannst Änderungen oder den Widerruf einer Einwilligung durch entsprechende Mitteilung an mich mit Wirkung für die Zukunft vornehmen.
Änderung unserer Datenschutzbestimmungen
Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.
Verantwortliche Stelle im Sinne der Datenschutzgesetze
Nextwork GmbH, Sophienstraße 20, 80333 München
Registergericht: München HRB175997
https://www.nextwork.de/impressum
Beschwerderecht bei einer Aufsichtsbehörde
Du hast das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Du kannst dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat Deines Aufenthaltsorts, Deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. Wir freuen uns, wenn Du aber als erstes auf uns zukommst.
Fragen an den Datenschutzbeauftragten
Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten kannst Du jederzeit folgende Rechte ausüben:
• Auskunft über Deine bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO),
• Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),
• Löschung Deine bei uns gespeicherten Daten (Art. 17 DSGVO),
• Einschränkung der Datenverarbeitung, sofern wir Deine Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO),
• Widerspruch gegen die Verarbeitung Deiner Daten bei uns (Art. 21 DSGVO) und
• Datenübertragbarkeit, sofern Du in die Datenverarbeitung eingewilligt hast oder einen Vertrag mit uns abgeschlossen hast (Art. 20 DSGVO).S
• Sofern Du uns eine Einwilligung erteilt hast, kannst Du diese jederzeit mit Wirkung für die Zukunft widerrufen.
Wenn Du Fragen zum Datenschutz hast, wende dich direkt an unseren Datenschutzbeauftragten: datenschutz@nextwork.de
Du brauchst auch eine Datenschutzerklärung für Deine Webseite?
Wir empfehlen hierfür den Datenschutzerklärungs-Generator der activeMind AG.
Gute Erklärungen und Hintergrundinformationen findest Du auch beim Datenschutz-Guru.