Unsere Webseite bedindet sich momentan im Umbau!

 

Logo M1 Kliniken

 

M1 MVZ GmbH
Lilienthalstraße 3A
12529 Schönefeld

Tel.: 0331 / 88 72 27 50
Fax: 0331 / 88 72 27 52
E-Mail: info@m1-mvz.de

 

Datenschutzerklärung

Datenschutzinformation

1 Ansprechpartner

Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) ist:

M1 MVZ GmbH

Lilienthalstraße 3A, 12529 Schönefeld

Telefon: 0331 / 88 72 27 50

E-Mail: info@m1-mvz.de

Fragen zu unseren Produkten und Dienstleistungen, Adressänderungen oder den Widerruf von Einwilligungen richten Sie bitte direkt an die M1 Med Beauty Berlin GmbH:

https://www.m1-beauty.de/fachzentren/

Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: datenschutz@m1-mvz.de oder per Post an M1 Med Beauty Berlin GmbH, z. Hdn. Datenschutzbeauftrager, Grünauer Straße 5, 12557 Berlin

2 Ihre Rechte im Allgemeinen

Wir fassen an dieser Stelle einmal die allgemeinen Rechte zusammen, die Ihnen nach der DSGVO mit Blick auf Ihre bei uns verarbeiteten Daten zustehen. Für die Erklärung der Rechtsbegriffe verweisen wir auf die geltenden Definitionen in der DSGVO. Sollte etwas unverständlich bleiben, fragen Sie gerne bei uns nach.

3 Datenverarbeitungen bei uns

Jede Form der Verarbeitung personenbezogener Daten setzt eine Rechtsgrundlage voraus, die uns diese Verarbeitung gestattet. Die Rechtsgrundlage ergibt sich in erster Linie aus dem Zweck, zu dem die Daten verarbeitet werden. Die Rechtmäßigkeit innerhalb einer Rechtsgrundlage bemisst sich regelmäßig nach dem konkreten Umfang der Datenverarbeitung und nach den von uns ergriffenen Maßnahmen zum Schutz Ihrer Daten.

Alle Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 DSGVO und für besonders schützenswerte Daten wie z.B. Gesundheitsdaten aus Art. 9 Abs. 2 DSGVO. Diese beiden Vorschriften nennen die Vorbereitung oder Erfüllung von vertraglichen, gesetzlichen oder auch gesellschaftlichen Pflichten als wichtigste Rechtsgrundlagen für die Datenverarbeitung. Daneben erfolgen viele Datenverarbeitungen in unserem berechtigten Interesse, wenn nicht mit Blick auf die konkreten Umstände die Interessen der Betroffenen überwiegen. Abschließend steht die Möglichkeit im Raum, dass die Datenverarbeitung auf Grundlage einer Einwilligung von Ihnen erfolgt (Art. 7 DSGVO) oder für Personen unter 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft (z.B. Internetseiten, Onlinespielen, Social Media-Plattformen) von den Kindern bzw. Jugendlichen in Verbindung mit der Zustimmung eines Erziehungsberechtigten (Art. 8).

Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sich keins unserer Angebote an Personen unter 18 Jahren richtet.

Teilweise ergibt sich unsere Pflicht, Sie um Ihre Einwilligung zu bitten, nicht allein aus dem Datenschutzrecht nach der DSGVO sondern aus dem strengeren Recht nach der EU ePrivacy-Richtlinie. Die Vorschriften dieser Richtlinie haben wir berücksichtigt, ohne im Folgenden ausdrücklich darauf hinzuweisen.

3.1 Unser Unternehmensverbund

Wir bieten unsere Leistungen im Verbund an mit der M1 Med Beauty Berlin GmbH als Dienstleistungsgesellschaft für Gesundheitsmanagement und Marketing (http://m1-beauty.de/) wie mit M1-Partnergesellschaften in anderen Ländern (siehe die Übersicht auf https://www.m1-beauty.de/fachzentren/#international). Grundsätzlich ist jede dieser Gesellschaften für die von ihr verarbeiteten Daten allein verantwortlich.

Viele Formen der Datenverarbeitung leistet die M1 Med Beauty Berlin GmbH in datenschutzkonformer Weise nach Artikel 28 DSGVO für uns als Auftragsverarbeiter.

Bei einigen Datenverarbeitungen greifen die Gesellschaften auch gleichberechtigt auf gemeinsame Daten zu, um Ihnen eine optimale und auch grenzüberschreitende Versorgung anbieten zu können. So eine gemeinsame Nutzung von Daten erfolgt auf Grundlage eines Vertrags über die gemeinsame Verantwortung nach Artikel 26 DSGVO. Wo immer eine Verarbeitung in Form einer gemeinsamen Verantwortung erfolgt, weisen wir Sie in der nachfolgenden Beschreibung der einzelnen Verarbeitungen darauf hin.

Findet eine Datenübertragung in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) statt, stellen wir sicher, dass der Datenschutz im Sinne der Artikel 44 – 49 DSGVO gesichert ist.

3.2 Allgemeiner Hinweis zu Cookies

Unsere Internetseiten verwenden sogenannte Cookies. Dabei handelt es sich um Textdateien, die von Ihrem Browser auf Ihrem Gerät gespeichert werden, wenn Sie eine Internetseite aufrufen. In einem Cookie können unterschiedliche Informationen gespeichert werden. Teilweise speichert ein Cookie nur ein Ja oder Nein („true“ oder „false“), teilweise wird eine Zeichenfolge gespeichert, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Internetseite ermöglicht.

Das Recht Cookies zu setzen bemisst sich nicht allein nach der DSGVO, sondern auch nach der ePrivacy-Richtlinie der EU und deren Umsetzung in nationales Recht. Die ePrivacy-Richtlinie unterscheidet zwischen für den Betrieb des Onlineangebots unbedingt erforderlichen (essentiellen) Cookies und solchen, die es nicht sind. Essentielle Cookies dürfen auch ohne Einwilligung gesetzt werden, nicht-essentielle Cookies setzen jedoch immer ein Einverständnis voraus – selbst wenn das nach der DSGVO nicht erforderlich ist (und z.B. ein berechtigtes Interesse als Rechtsgrundlage vorliegt)

Wegen der strengen Vorgaben der ePrivacy-Richtlinie fragen wir Sie beim Aufruf unserer Internetseite nach Ihrem Einverständnis in das Setzen der nicht-essentiellen Cookies.

Der Zweck eines jeden Cookies sowie die Rechtsgrundlage für dessen Einsatz nach der DSGVO ergeben sich aus der nachfolgenden Beschreibung der einzelnen Datenverarbeitung.

Ihnen stehen verschiedene Wege offen, die Annahme von Cookies auf Ihrem Gerät zu unterbinden:

  1. Der Standardfall dürfte sein, dass Sie beim Aufruf einer unserer Internetseiten über unseren Einwilligungsmanager entscheiden, welche Cookies Sie zulassen und welche nicht.
  2. Grundsätzlich können Sie Ihren Browser so einstellen, dass er nie Cookies annimmt. Durch einen solchen vollständigen Ausschluss gehen Ihnen mit großer Wahrscheinlichkeit Funktionen verloren, die auf Cookies beruhen, die Sie eigentlich gerne zulassen würden oder die eigentlich gar nicht zustimmungspflichtig sind.
  3. Sie können Internetseiten im Privatmodus Ihres Browsers aufrufen. Der Privatmodus blockiert ebenfalls das Setzen von Cookies in Ihrem Browserspeicher.
  4. Einige Browser bzw. Browser-Plug-Ins bieten Ihnen Möglichkeiten an, differenziertere Voreinstellungen zu treffen, welche Cookies Sie grundsätzlich standardmäßig akzeptieren wollen und welche nicht.
  5. Ein Spezialfall: Google bietet Ihnen ein Browser-Plug-In zum Download an, das das Setzen der Google Cookies unterbindet. Das entsprechende Plug-In finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de

3.3 Ärztliche Behandlungen

3.3.1 Patientenakte

Beschreibung: Soweit Sie sich bei uns über unsere ärztlichen Leistungen informieren oder bei uns in ärztliche Behandlung begeben, erfolgt die Verarbeitung Ihrer Daten streng nach den geltenden Regelungen rund um die ärztliche Schweigepflicht. Unsere Ärztinnen und Ärzte sowie unser medizinisches Personal sind sowohl durch das Strafrecht (§ 203 StGB) wie das Berufsrecht der Ärzte zur absoluten Verschwiegenheit verpflichtet.

Die Schweigepflicht umfasst auch die Aussage, ob Sie sich bei uns in Behandlung befinden bzw. befunden haben. Die Schweigepflicht reicht über den Abschluss des Behandlungsvertrags hinaus und gilt auch nach Ihrem Tod weiter. Auch gegenüber Ihren Angehörigen, Partnern, Freunden, Arbeitgebern oder anderen Ihnen nahestehenden Personen sind wir zur Verschwiegenheit verpflichtet, soweit Sie uns nicht schriftlich von der Schweigepflicht entbinden. Die Vertraulichkeit gilt auch gegenüber Versicherungen, soweit es sich nicht um eine gesetzliche Kranken- oder Unfallversicherung handelt. Gegenüber Strafermittlungsbehörden steht uns gemäß § 53 Strafprozessordnung ein Zeugnisverweigerungsrecht zu.

Ausnahmen von der Schweigepflicht gelten im Rahmen der gesetzlichen Kranken- und Berufsunfähigkeitsversicherung, bei Meldepflichten nach medizinischen Registergesetzen (Tumorregister, Implantateregister u.a.), bei Gefährdungen des Kindswohls (§ 4 KKG) und zur Abwehr schwerwiegender Straftaten, deren Vorbereitung uns bekannt wird (§ 138 StGB).

Das medizinische Personal wird bereits in seiner Berufsausbildung im Datenschutz geschult und auf diesen verpflichtet. Alle nicht-medizinischen Mitwirkenden verpflichten wir vor Aufnahme ihrer Tätigkeit bei uns auf den Datenschutz und schulen alle Beschäftigten im erforderlichen Umfang.

In technischer Weise gewährleisten wir Datensicherheit bei uns durch hohe Standards in der Informationssicherheit. Wir haben eine eigene IT-Abteilung und betreiben eigene Server an verschiedenen Standorten mit umfassenden Schutzmaßnahmen gegen Datenverlust oder unberechtigten Zugriff. Wir vermeiden das Speichern von Daten auf Endgeräten, die verloren gehen könnten.

Sämtliche Informationen zu den ärztlichen Behandlungen, die Sie bei uns in Anspruch nehmen, werden in unserem eigenem Krankenhausinformationssystem (KIS) erfasst. Auf das KIS haben neben uns die mit uns verbundenen ärztlichen Gesellschaften Zugriff. Wir bieten Ihnen Gesundheitsleistungen an verschiedenen Standorten und über verschiedene Gesellschaften an. Die Erfahrung zeigt, dass Patientinnen und Patient unsere Leistungen an mehreren Standorten in Anspruch nehmen und dabei nicht immer eigenständig den vollen Umfang ihrer vorherigen Behandlungen zur Verfügung stellen können. Der standortübergreifende Zugriff auf die Daten dient Ihrer medizinischen Sicherheit, da unseren Ärztinnen und Ärzten so an jedem Standort auch im europäischen Ausland der Zugriff auf Ihre Daten möglich ist.

Alle Beschäftigten sind streng darauf verpflichtet, nur auf die Patientendaten zuzugreifen, deren Einsicht für die Betreuung der Patientinnen und Patienten erforderlich ist.

Datenkategorien: Kontaktdaten (Name, Adresse, Telefon, E-Mail), Geburtsdatum, Versicherungsdaten (Versicherer, Versichertennummer), Angehörigendaten (Name, Verwandtschaftsbeziehung, Kontaktdaten, Schweigepflichtentbindungen), Hausarzt und andere Fachärzte, Termine und Behandlungshistorie, Aufklärungs- und Beratungsdokumentation, Diagnosedaten (medizinische Befunde (Vorgeschichte, Vorerkrankungen, persönliche Untersuchung) und Messwerte (z.B. Größe, Gewicht), medizinische Laborwerte, Röntgen-, Foto- und Videoaufnahmen), Zahnabdrücke und Modelle, Diagnosen und Behandlungsempfehlungen, Behandlungsdokumentation (Behandlungsverlauf, eingesetzte Medikamente und deren Dosierung, eingesetzte Implantate und deren Seriennummer), Ernährungsdaten (bei stationärer Versorgung)

Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.

Soweit Patientinnen oder Patienten ihre Rechte aus der DSGVO geltend machen wollen, wenden sie sich möglichst direkt an die M1 Med Beauty Berlin GmbH (https://www.m1-beauty.de/datenschutzerklaerung/). Es steht den betroffenen Personen aber frei, sich mit ihrem Anliegen auch direkt an die sie behandelnde Gesellschaft zu wenden.

Ein Drittstaatentransfer findet statt in die Schweiz und das Vereinigte Königreich von Großbritannien und Nordirland („UK“). Für die Schweiz besteht ein Angemessenheitsbeschluss nach Artikel 45 DSGVO, für UK gilt bis 31.12.2020 die unmittelbare Geltung der DSGVO fort.

Zweck + Rechtsgrundlage: Ärztliche Behandlungsdokumentation. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO (Gesundheitsbehandlung).

Speicherdauer: 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB)

3.3.2 Kundendatenbank (CRM)

Beschreibung: Wir pflegen Ihre Daten in unserer Kundendatenbank im Sinne eines Customer Relation Management (CRM). Im CRM speichern wir Ihre Vertrags- und Rechnungsdaten sowie die Historie Ihrer Kundenbeziehung mit uns. Über das CRM erfolgen auch die Terminvereinbarungen mit Ihnen. Aus dem CRM steuern wir die Kommunikation mit Ihnen, die unabhängig von unseren Marketing-Maßnahmen erfolgt (hierfür siehe die Verarbeitung „Newsletter-Anmeldung“), also z.B. Rechnungsversand oder Antworten auf direkte Fragen von Ihnen.

Soweit Sie bei uns ein Benutzerkonto für unseren Webshop eingerichtet haben, greift unser CRM auf Ihre dort gespeicherten Daten zu. Haben wir Sie als Patientin oder Patienten in unsere Patientendatenbank (KIS) aufgenommen, greift unser CRM auf Ihre allgemeinen Daten im KIS (z.B. Ihre Kontaktdaten) zu. Ein Zugriff auf medizinische Diagnosedaten oder andere Details der ärztlichen Behandlung findet nicht statt.

Datenkategorien: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse), Bestellungen (Waren/Leistungen, Zahlungs- und Lieferkonditionen, Rechnungen), Termine, Geburtsdatum/Alter, Aktivitätenhistorie, Marketing-Einwilligungen

Datenempfänger (ggf. Drittstaatentransfer): Wir teilen die Daten mit den mit uns verbundenen Unternehmen, mit denen wir insoweit einen Vertrag über eine gemeinsame Verantwortung nach Artikel 26 DSGVO abgeschlossen haben. Die M1 Med Beauty Berlin GmbH trägt im Rahmen der vereinbarten Verantwortungsschwerpunkte die alleinige Verantwortung für den technischen Betrieb des KIS und dessen Absicherung gegen Datenschutzvorfälle. Die Verantwortung für die medizinische Patientendokumentation verbleibt bei der ärztlichen Gesellschaft, die als Behandler für die betroffene Person tätig wird.

Zweck + Rechtsgrundlage: Nutzung eines CRM-Systems, das uns eine ganzheitliche Betreuung unserer Kunden von der Kontaktaufnahme bis zur Abrechnung ermöglicht. Rechtsgrundlage ist ein berechtigtes Interesse, da die Nutzung des CRM die Rechte und Freiheiten der Betroffenen in nur unerheblichem Maß tangiert und zugleich das Serviceniveau steigert.

Speicherdauer: Wir speichern Ihr Kundenkonto bis zu sechs Jahre nach Abschluss des letzten Kundenkontakts. Insoweit erfüllen wir damit die Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht (§ 257 HGB).

3.3.3 Implantateregister

Beschreibung: Einige Patientinnen und Patienten erhalten von uns Implantate. Solche Implantate sind entsprechend den hohen Sicherheitsmaßstäben für Medizinprodukte alle mit einer individuellen Seriennummer versehen. Zusätzlich gilt seit 1. Januar 2020 für Ärzte die Pflicht, Implantate und die Namen der Patienten, die sie erhalten haben, dem gesetzlichen Implantateregister zu melden, das beim Deutschen Institut für Medizinische Dokumentation und Information, einer staatlichen Einrichtung des Bundesgesundheitsministeriums, geführt wird.

Die Umsetzung dieser Pflicht ruht, bis die entsprechende Rechtsverordnung für die Durchführung des Meldeverfahrens vom Bundesgesundheitsministerium erlassen wurde.

Weitere Informationen zum Implantateregister finden Sie hier: https://www.dimdi.de/dynamic/de/medizinprodukte/implantateregister-deutschland/

Datenkategorien: Name, Kontaktdaten, Art des Implantats, Zeitpunkt des Einsetzens, Hersteller des Implantats, Seriennummer, nach der Umsetzung möglicherweise weitere Informationen.

Datenempfänger (ggf. Drittstaatentransfer): Deutsches Institut für Medizinische Dokumentation und Information, Waisenhausgasse 36-38a, 50676 Köln. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Erfüllung der Rechtspflicht aus dem Implantatregistergesetz. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. h DSGVO.

Speicherdauer: Wird durch Rechtsverordnung festgelegt.

3.3.4 Implantate mit RFID-Chip

Beschreibung: Einige Patientinnen und Patienten erhalten Implantate mit einem sogenannten RFID-Chip (Radio Frequenzy Identification). In den Chips ist allein die Seriennummer des Implantats gespeichert. Über den Chip ist es über das entsprechende Lesegerät möglich, die Seriennummer über eine kleine Distanz hinweg auszulesen.

Diese Funktion ist hilfreich, wenn eine Patientin oder ein Patient z.B. bei Beschwerden oder Sorgen wegen Ihres Implants ihren Implantepass nicht zur Verfügung hat. Dann kann die Seriennummer über ein entsprechendes Lesegerät unkompliziert ausgelesen werden.

Der Einsetzen eines Implantats mit RFID-Chip stellt keine Datenverarbeitung dar. Kommen aber Patientinnen oder Patienten zu uns und wünschen von uns das Auslesen der Seriennummer, ist dieser Vorgang eine Datenverarbeitung, die wir nur mit dem Einverständnis der Implantsträger vollziehen.

Datenkategorien: Seriennummer des Implantats, daran anschließend Hersteller und Modell des Implantats

Datenempfänger (ggf. Drittstaatentransfer): keiner

Zweck + Rechtsgrundlage: Ermittlung der Seriennummer eines Implantats mit RFID-Chip. Rechtsgrundlage ist Einwilligung nach Artikel 9 Abs. 2 lit. a DSGVO.

Speicherdauer: 10 Jahre (siehe Patientenakte)

3.4 Direkte Kommunikation mit uns

3.4.1 E-Mail-Kommunikation

Beschreibung: Schicken Sie uns eine E-Mail, gelangt diese in mindestens eins unserer E-Mail-Postfächer. Der Inhalt Ihrer E-Mail und die sie begleitenden Metadaten (Absenderadresse, Zeitpunkt des Versands etc.) werden auf den E-Mail-Servern unseres Hosting-Anbieters, der M1 Med Beauty Berlin GmbH, gespeichert. Zudem können sie nach Abruf vom Server in den E-Mail-Programmen auf den Geräten gespeichert sein, die Zugriff auf das Postfach haben (Computer, Smartphones, Tablets).

Die konkrete Verarbeitung der personenbezogenen Daten in einer E-Mail ist abhängig vom thematischen Inhalt der E-Mail und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name, E-Mail-Adresse; Zeitpunkt der Zustellung bzw. des Versands; sonstige Metadaten, die bei der E-Mail-Kommunikation typischerweise anfallen; weitere personenbezogene Angaben im Inhalt der E-Mail wie z.B. weitere Kontaktdaten in E-Mail-Signaturen, Anfragen, Bestellungen, Angebote oder Reklamationen per E-Mail

Datenempfänger (ggf. Drittstaatentransfer): Unser E-Mail-Hosting-Dienstleister als Auftragsverarbeiter. Ein Transfer in Drittstaaten findet nicht statt (außer Sie nutzen Ihrerseits einen Hosting-Dienstleister außerhalb des Europäischen Wirtschaftsraums oder halten sich dort auf).

Zweck + Rechtsgrundlage: Kommunikation per E-Mail. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Beantworten Ihrer E-Mail.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.4.2 Telefonate

Beschreibung: Telefonieren wir miteinander, erfassen unsere Mobiltelefone bzw. unsere Telefonanlage zu dem Anruf Ihre Nummer sowie den Zeitpunkt des Gesprächs. Diese Daten in den Anruflisten werden fortlaufend von nachfolgenden Gesprächen gelöscht. Sollte der Inhalt des Gesprächs das nahelegen, erstellen wir eine Gesprächsnotiz und erfassen sie an der entsprechend passenden Stelle (z.B. in der Kundendatenbank oder für Bewerber im Personalbereich). Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Aufzeichnungen von Gesprächen finden nur im absoluten Ausnahmefall statt und nachdem wir Ihre ausdrückliche Einwilligung dazu eingeholt haben.

Datenkategorien: Telefonnummer; Zeitpunkt des Gesprächs; ggf. Gesprächsinhalte

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefonat. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des Gesprächs; regelmäßig nur wenige Tage. Einzelne Gesprächsnotizen können unter die handelsrechtliche Aufbewahrungspflicht für Geschäftsbriefe von sechs Jahren fallen (§ 257 HGB).

3.4.3 Briefpost

Beschreibung: Schicken Sie uns einen Brief, wird dieser regelmäßig von uns mit einem Schreiben beantwortet, das wir am Computer erstellen und als Datei speichern. Häufig scannen wir Ihr Schreiben, um es im Rahmen digitaler Büroführung zu archivieren. Die konkrete Verarbeitung der personenbezogenen Daten in unserer Korrespondenz ist abhängig vom thematischen Inhalt der Schreiben und den sich daraus ergebenden Aufbewahrungspflichten. Denkbar ist, dass wir Ihre Daten in unser Kontaktverzeichnis für Kunden, Geschäftspartner und sonstige Ansprechpartner aufnehmen.

Datenkategorien: Name + Anschrift; personenbezogene Angaben im Inhalt der Schreiben wie z.B. weitere Kontaktdaten in Ihrem Briefkopf, Anfragen, Bestellungen, Angebote, Reklamationen oder sonstige Themen

Datenempfänger (ggf. Drittstaatentransfer): Postdienstleister. Ein Transfer in Drittstaaten findet nur statt, wenn die Sendung an eine Adresse außerhalb des Europäischen Wirtschaftsraums geht. Der Datenschutz ist in diesen Fällen durch internationale Vereinbarungen zum Postgeheimnis gewährleistet.

Zweck + Rechtsgrundlage: Kommunikation per Brief. Rechtsgrundlage ist je nach Inhalt der Korrespondenz Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt der Korrespondenz; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.4.4 Telefax

Beschreibung: Wir verwenden ein klassisches Faxgerät in Form eines Fernkopierers. Schicken Sie uns ein Fax, wird das Dokument von unserem Empfangsgerät als Ausdruck zur Verfügung gestellt. Das Gerät erfasst die von Ihnen übertragenen Absenderdaten und dokumentiert sie zusammen mit dem Empfangszeitpunkt sowohl auf dem Ausdruck wie im Journal des Geräts. Senden wir Ihnen ein Fax, erfasst das Journal die Empfängernummer, Sendezeitpunkt, Seitenzahl und Übertragungserfolg.

Die Sicherheit der Übertragung entspricht der Sicherheit moderner Telefonnetze, die auch Faxdaten als sogenanntes Voice (Fax) over IP übertragen. Innerhalb des Netzes eines einzelnen Netzanbieters (z.B. Deutsche Telekom) sind die Daten verschlüsselt, an den Netzübergabestellen erfolgt eine unverschlüsselte Übertragung.

Datenkategorien: Telefonnummer, ggf. Absendername, Zeitpunkt Versand bzw. Empfang, Seitenzahl, Übertragungserfolg; ggf. personenbezogene Inhalte des gesendeten Dokuments

Datenempfänger (ggf. Drittstaatentransfer): Telekommunikationsanbieter, die unter das Fernmeldegeheimnis fallen. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Kommunikation per Telefax. Rechtsgrundlage ist je nach Inhalt des Gesprächs Vorbereitung oder Erfüllung eines Vertrags oder ein berechtigtes Interesse am Austausch mit Ihnen.

Speicherdauer: Abhängig vom Inhalt des gesendeten Dokuments; grundsätzlich verlangt das Handelsrecht eine Aufbewahrung von Geschäftsbriefen für sechs Jahre (§ 257 HGB).

3.4.5 Visitenkarten

Beschreibung: Wenn Sie uns eine Visitenkarte übergeben, übernehmen wir die darauf gemachten Daten zu Ihrer Person in unser Kontaktverzeichnis oder unsere Kundendatenbank (CRM).

Datenkategorien: Name, Kontaktdaten (Adresse, Telefon, Fax, E-Mail), Unternehmen, Geschäftsfeld Ihres Unternehmens, Ihre Stellenbezeichnung, Ihr Zuständigkeitsbereich, Ort, Zeit und Umstand der Kontaktaufnahme sowie ggf. besondere Hinweise zu Ihrer Erreichbarkeit oder den angesprochenen geschäftlichen Themen

Datenempfänger (ggf. Drittstaatentransfer): Unser E-Mail-Hosting-Dienstleister, die M1 Med Beauty Berlin GmbH als Auftragsverarbeiter, da wir Kontaktverzeichnisse als Teil der E-Mail-Postfächer betreiben (Outlook Exchange Server)

Zweck + Rechtsgrundlage: Pflege von Kontakten. Rechtsgrundlage ist ein berechtigtes Interesse, da Sie uns freiwillig Ihre Visitenkarte übergeben haben.

Speicherdauer: Wir speichern Ihre Daten bis Sie uns um deren Löschung bitten – außer es ist zwischenzeitlich eine Geschäftsbeziehung zwischen uns entstanden, aus der sich für uns eigenständige Aufbewahrungspflichten zu Ihren Kontaktdaten ergeben.

3.5 Besuch unserer Internetseiten

Beschreibung: Damit ein Webserver unsere Internetseite Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.

Als Redaktionssystem nutzen wir Wordpress, dass für die technische Auslieferung der Seiten ein sogenanntes Session-Cookie in Ihren Browser setzt (PHPSESSID; Speicherdauer: Ende des aktuellen Besuchs auf unseren Seiten)

Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem

Datenempfänger (ggf. Drittstaatentransfer): Unser Webhosting-Dienstleister, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Im Falle von Angriffen auf unsere Seiten Weitergabe an Ermittlungsbehörden und von uns beauftragte Forensiker. Ein Transfer in Drittstaaten findet nicht statt.

Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat. Der Session-Cookie ist ein essentieller Cookie, der auch nach der ePrivacy-Richtlinie keiner Einwilligung bedarf.

Speicherdauer: 7 Tage

3.6 Lieferanten und Dienstleister

Beschreibung: Wir stehen mit Lieferanten und Dienstleistern in Geschäftsbeziehungen, zu deren Abwicklung personenbezogene Daten verarbeitet werden, soweit die Unternehmen Selbstständige oder Personengesellschaften sind oder wir mit konkreten Ansprechpartnern kommunizieren.

Datenkategorien: Kontakt-, Vertrags- und Rechnungsdaten

Datenempfänger (ggf. Drittstaatentransfer): Steuerberater, Wirtschaftsprüfer, Rechtsanwälte in ihrer Funktion als Berufsgeheimnisträger sowie im Falle einer Steuerprüfung die Finanzbehörden

Zweck + Rechtsgrundlage: Ordnungsgemäße Geschäftsführung. Rechtsgrundlagen sind sowohl Vertragserfüllung wie gesetzliche Pflichten und berechtigte Interessen.

Speicherdauer: Rechnungsdaten sind gemäß Steuerrecht 10 Jahre aufzubewahren (§ 147 AO); Vertragsdaten sind je nach Art des Vertrags unterschiedlich lang aufzubewahren. Bei Urheberrechten reichen solche Fristen bis zu 70 Jahre über den Tod des Urhebers hinaus.

3.7 Stellenbesetzungen

Beschreibung: Bewerben Sie sich bei uns auf eine Stelle, verarbeiten wir Ihre Bewerbungsunterlagen bis zum Abschluss des Bewerbungsverfahrens ausschließlich zur Entscheidung über Ihre Einstellung. Den Zugang zu Ihren Unterlagen beschränken wir auf die Personen, die wir sinnvoller Weise in die Entscheidung über Ihre Einstellung einbeziehen.

Kommt es zu einer Einstellung, gehen Ihre Bewerbungsunterlagen in Ihre Personalakte über. Kommt es nicht zu einer Einstellung, werden wir Sie entweder um Ihre Einwilligung in die Aufnahme in unseren Kandidatenpool bitten oder Ihre Unterlagen vernichten, sobald nach dem Antidiskriminierungsrecht nicht mehr mit Widerspruch gegen unsere Entscheidung zu rechnen ist.

Datenkategorien: Name + Kontaktdaten (E-Mail, Telefon, Anschrift), Profil-URL in beruflichen Netzwerken (z.B. Xing), Foto; Angaben im Bewerbungsschreiben, im Lebenslauf, in Zeugnissen und Referenzen, Ausbildungsnachweise und berufliche Qualifikationen, Notizen zu Bewerbungsgesprächen (telefonisch und persönlich), ggf. Ergebnisse aus Einstellungstests

Datenempfänger (ggf. Drittstaatentransfer): keine

Zweck + Rechtsgrundlage: Entscheidungsgrundlage für Stellenbesetzung. Rechtsgrundlage ist Vorbereitung einer Vertragserfüllung (Arbeitsvertrag) und im Anschluss ein berechtigtes Interesse an der Abwehr von Widersprüchen gegen ablehnende Entscheidungen.

Speicherdauer: 6 Monate nach Abschluss des ursprünglichen Bewerbungsverfahrens

3.8 Allgemeine Infrastruktur

3.8.1 Finanzbuchhaltung

Beschreibung: Alle Zahlungen werden in der Finanzbuchhaltung erfasst. Mit der Durchführung der Finanzbuchhaltung haben wir einen externen Dienstleister beauftragt.

Datenkategorien: Name, Kunden- oder Lieferantennummer, Bankverbindung oder Kreditkartendaten, Reisedaten (Zeitpunkt, Ziel, Unterkunft, Transportmittel, Kosten), Bewirtungen (Datum, Ort/Bewirtungsbetrieb, bewirtete Personen, Bewirtungsgrund, Kosten), Angaben zu sonstigen Auslagen (Anschaffungen, Geschenke)

Datenempfänger (ggf. Drittstaatentransfer): Unser Dienstleister für die Finanzbuchhaltung, der aber über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Verwaltung aller Zahlungsvorgänge. Rechtsgrundlage ist Vertragserfüllung oder Rechtspflicht (Steuer- und Handelsrecht).

Speicherdauer: Die Daten in der Finanzbuchhaltung bewahren wir 10 Jahre auf (§ 147 AO).

3.8.2 Zahlungstransfers

Beschreibung: Zahlungen über ein Bank- oder Kreditkartenkonto von uns sind entsprechend in den Kontounterlagen dokumentiert.

Datenkategorien: Name, Bankverbindung, Zahlungstag, Zahlungsbetrag, Zahlungsgrund (Buchungstext)

Datenempfänger (ggf. Drittstaatentransfer): Unsere kontoführenden Finanzinstitute, die über das Bankgeheimnis und die Bankenaufsicht gesetzlich auf den Datenschutz verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Bargeldloser Zahlungsverkehr; Rechtsgrundlage ist Vertragserfüllung.

Speicherdauer: Kontoauszüge bewahren wir 10 Jahre auf (§ 147 AO).

3.8.3 IT-Administration

Beschreibung: Administration, Wartung und Pflege unserer Informationstechnologie erbringt die M1 Med Beauty Berlin GmbH für uns als Auftragsverarbeiter.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): M1 Med Beauty Berlin GmbH, die über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Inanspruchnahme professioneller IT-Administration. Rechtsgrundlage ist ein berechtigtes Interesse, da die Dienstleister über adäquate Vertraulichkeitsverpflichtungen auf den Datenschutz verpflichtet wurden.

Speicherdauer: Eine eigenständige Speicherung findet nicht statt.

3.8.4 Dateispeicherung (Metadaten)

Beschreibung: Neben der Datenerfassung in einzelnen (zuvor beschriebenen) Datenbanken speichern wir Dokumente auf unseren Speichermedien. Das umfasst typischer Weise Office-Dokumente (Word, Excel, Powerpoint), PDF-Dateien, Bilder, Filme, Layouts, sonstige Formate von Text-, Tabellen- und Präsentations-Dateien sowie letztlich jede Art von Datei, deren Einsatz im Rahmen unserer Geschäftsprozesse angebracht ist.

Die Datenschutzfragen zum Inhalt der Dateien richtet sich nach den jeweils einschlägigen Verarbeitungszwecken. Parallel ergibt sich durch die Speicherung der Dateien und die regelmäßig daran anhaftenden Metadaten (primär die Erstellersignatur) eine eigenständige Verarbeitung. Office-Dokumente enthalten insbesondere personenbezogene Metadaten, wenn gemeinsam an ihnen gearbeitet wird (Kollaboration) und dafür die Kommentar- und Notizfunktionen sowie der Änderungsmodus genutzt werden.

Wir nutzen Microsofts Office 365 als lokale Lösung für die Dateispeicherung (nicht als Cloud-Lösung).

Datenkategorien: Jede Art von Daten, hier aber Fokus auf Metadaten: Signatur des Dateierstellers, Signaturen von Dateibearbeitern (auch in Kommentaren + Notizen); Zeitpunkt der Erstellung, Bearbeitung bzw. Speicherung

Datenempfänger (ggf. Drittstaatentransfer): Keiner

Zweck + Rechtsgrundlage: Dateispeicherung und Kollaboration an Office-Dokumenten. Rechtsgrundlage ist ein berechtigtes Interesse an der Speicherung von uns zur Verfügung gestellten Dateien.

Speicherdauer: Abhängig von der Speicherzeit für die einzelne Datei

3.8.5 Entsorgung von Datenträgern und Dokumenten

Beschreibung: Auch die Löschung bzw. Vernichtung von Daten stellt eine Datenverarbeitung dar. Papierdokumente mit entsprechend schützenswerten personenbezogenen Daten werden bei uns geschreddert. Die Qualitätsstufe des eingesetzten Schredders entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zu vernichtenden Unterlagen.

Speichermedien (Festplatten; z.B. aus Servern, Computern, Smartphones, Tablets, USB-Sticks, Speicherkarten), auf denen zuvor schützenswerte personenbezogene Daten gespeichert waren, werden, wenn Sie nicht mehr zur Speicherung dieser Daten genutzt werden sollen, von unserer eigene IT-Abteilung durch mehrfaches, mindestens dreifaches, vollständiges Überschreiben sicher gelöscht und anschließend physisch zerstört. Das Niveau des Lösch- oder Zerstörungsvorgangs entspricht der Risiko- bzw. Vertraulichkeitseinstufung der zuvor auf dem Medium gespeicherten Daten.

Datenkategorien: Jede Art von Daten

Datenempfänger (ggf. Drittstaatentransfer): Dienstleister für die professionelle Vernichtung von Papierdokumenten und Speichermedien, die über Auftragsverarbeitungsverträge auf die Einhaltung des Datenschutzes verpflichtet sind. Ein Drittstaatentransfer findet nicht statt.

Zweck + Rechtsgrundlage: Risikokonforme Vernichtung bzw. Löschung von personenbezogenen Daten. Rechtsgrundlage ist die gesetzliche Pflicht zur Datenminimierung und -löschung aus der DSGVO:

Speicherdauer: Eine über die Löschung/Vernichtung hinausgehende Speicherung findet nicht statt.

Letzte Aktualisierung: 30.4.2020