Datenschutzerklärung
1. Einleitung
1.1. Verantwortlicher
Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist DFKB - Deutsche Fachkräfteberatung GmbH, Heinrich-Zille-Straße 45 | 14943 Luckenwalde Deutschland, E-Mail: info@dfkberatung.com. Gesetzlich vertreten durch die Geschäftsführer Steffen Mayer und Mohamed Ali Ben Haj.
1.2. Datenschutzbeauftragter
Mohamed Ali Ben Haj: Datenschutz@dfkberatung.com
2. Sicherheitskonzept
Primäres Ziel der auf organisatorischer und technischer Ebene umgesetzten Schutzmaßnahmen ist, DFKB - Deutsche Fachkräfteberatung GmbH und ihre Kunden vor Schäden zu bewahren, die stetige Arbeitsfähigkeit der Mitarbeiter sicherzustellen und Datenverluste zu verhindern. Hierzu gehört auch der sichere Umgang mit sensiblen Informationen.
Es ist die Pflicht aller Mitarbeiter, die höchste Stufe an Sicherheit zu gewährleisten.
Im Folgenden werden die technischen und organisatorischen Maßnahmen zum Schutz der Daten beschrieben, die die DFKB - Deutsche Fachkräfteberatung GmbH standardmäßig ergreift, um die Anforderungen aus Art. 32 DSGVO zu erfüllen.
3. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1. Zugangskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:
- - Authentifikation mit Benutzer und Passwort
- - Einsatz von Firewalls
- - Einsatz von VPN-Technologie bei Remote-Zugriffen
3.2. Zugriffskontrolle
Folgende implementierte Maßnahmen stellen sicher, dass ausschließlich Befugte Zugriff auf personenbezogene Daten haben:
- - Protokollierung der Vernichtung von Daten
- - Protokollierung von Zugriffen auf Anwendungen (insbesondere bei der - Eingabe, Änderung und Löschung von Daten)
- - Anzahl der Administratoren ist extreme beschränkt
- - Verwaltung der Benutzerrechte durch Systemadministratoren
4. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
4.1. Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
- - Einrichtungen von VPN-Tunneln
- - Protokollierung von Zugriffen und Abrufen
- - Bereitstellung von Daten über verschlüsselte Verbindungen (HTTPS)
4.2. Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
- - Protokollierung der Eingabe, Änderung und Löschung von Daten
- - Aufbewahrung von Formularen, deren Daten in automatisierte Verarbeitungen übernommen worden sind
- - Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- - Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten
5. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
- - Erstellung eines Backup- & Recovery Konzepts
- - Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- . Trennung von Betriebssystemen und Daten
6. Regelmäßige Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
6.1. Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
- - Bestellung eines Datenschutzbeauftragten
- - Verpflichtung der Mitarbeiter auf das Datengeheimnis
- - Regelmäßige Schulungen der Mitarbeiter im Datenschutz
- - Führen einer Übersicht über die Datenverarbeitung (Art. 30 DSGVO)
6.2. Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
- - Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
- - Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
- - Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
- - Einsatz von Firewalls
6.3. Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Anweisungen verarbeitet werden können:
- - Schriftliche Anweisungen an den Auftragnehmer oder Anweisungen in Textform.
- - Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen.
- - Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten.
7. Datenverarbeitung auf unserer Website
7.1. Nutzung der Website
Bei der bei der informatorischen Nutzung der Website, also wenn Seitenbesucher uns nicht gesondert Informationen übermitteln, erheben wir die personenbezogenen Daten, die der Browser an unseren Server übermittelt, um die Stabilität und Sicherheit unserer Website zu gewährleisten. Darin liegt unser berechtigtes Interesse, so dass Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.
Diese Daten sind:
- - IP-Adresse
- - Datum und Uhrzeit der Anfrage
- - Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- - Inhalt der Anforderung (konkrete Seite)
- - Zugriffsstatus/HTTP-Statuscode
- - jeweils übertragene Datenmenge
- - Website, von der die Anforderung kommt
- - Browser
- - Betriebssystem und dessen Oberfläche
- - Sprache und Version der Browser Software.
Diese Daten werden außerdem in Logfiles gespeichert. Sie werden gelöscht, wenn ihre Speicherung nicht mehr erforderlich ist, spätestens nach 14 Tagen.
7.2. Webhosting
Unsere Website hostet auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) Ucraft - Soft Construct LLC 308 S Brand blvd, Glendale, California, USA, 91204(Datenschutzerklärung:https://www.ucraft.com/privacy-policy). Der Anbieter verarbeitet dabei die über die Website übermittelten personenbezogene Daten, z.B. auf Inhalts-, Nutzungs-, Meta-/Kommunikationsdaten oder Kontaktdaten. Es ist unser berechtigtes Interesse, eine Website zur Verfügung zu stellen, so dass die Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.
7.3. Kontaktformular
Bei Kontaktaufnahme über das Kontaktformular auf unserer Website speichern wir die dort abgefragten Daten und den Inhalt der Nachricht.
Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse, an uns gerichtete Anfragen zu beantworten. Rechtsgrundlage für die Verarbeitung ist deshalb Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.
7.4. Stellenanzeigen
Wir veröffentlichen Stellen, die in unserem Unternehmen frei sind, auf unserer Website, auf mit der Website verbundenen Seiten oder auf Websites von Dritten.
Die Verarbeitung der im Rahmen der Bewerbung angegebenen Daten erfolgt zur Durchführung des Bewerbungsverfahrens. Soweit diese für unsere Entscheidung, ein Beschäftigungsverhältnis zu begründen, erforderlich sind, ist die Rechtsgrundlage Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 1 BDSG. Die zur Durchführung des Bewerbungsverfahrens erforderlichen Daten haben wir entsprechend gekennzeichnet oder weisen auf sie hin. Wenn Bewerber diese Daten nicht angeben, können wir die Bewerbung nicht bearbeiten.
Weitere Daten sind freiwillig und nicht für eine Bewerbung erforderlich. Falls Bewerber weitere Angaben machen, ist Grundlage ihre Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Schließlich verarbeiten wir die Daten der Bewerber für weitere Bewerbungsverfahren, wenn sie uns dazu ihre Einwilligung erteilt haben. In diesem Fall ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Die Daten der Bewerber geben wir an die zuständigen Mitarbeiter der Personalabteilung, an unsere Recruiting Partnern und an die im Übrigen im Bewerbungsverfahren beteiligten Mitarbeiter weiter.
Wenn wir im Anschluss an das Bewerbungsverfahren ein Beschäftigungsverhältnis mit dem Bewerber eingehen, löschen wir die Daten erst nach Beendigung des Beschäftigungsverhältnisses. Andernfalls löschen wir die Daten spätestens sechs Monate nach Ablehnung eines Bewerbers. Wenn Bewerber uns ihre Einwilligung erteilt haben, ihre Daten auch für weitere Bewerbungsverfahren zu verwenden, löschen wir ihre Daten erst ein Jahr nach Eingang der Bewerbung.
7.5. Buchung von Beratungen
Seitenbesucher können auf unserer Website kostenlose Beratungen bei uns buchen. Dafür verarbeiten wir neben den eingegebenen Daten Meta- oder Kommunikationsdaten. Wir haben ein berechtigtes Interesse daran, Interessenten eine benutzerfreundliche Möglichkeit zur Vereinbarung von Beratungsterminen anzubieten. Deshalb ist Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 S. 1 lit. f DSGVO.
7.6. Tools von Drittanbietern
7.6.1. Videos von YouTube
Wir verwenden das Tool Videos von YouTube für Videos auf unserer Website. Der Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Anbieter verarbeitet Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen) und Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) in den USA. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Verarbeitung erfolgt auf der Basis von Einwilligungen. Betroffene können ihre Einwilligung jederzeit widerrufen, indem sie uns z.B. unter den in unserer Datenschutzerklärung angegebenen Kontaktdaten kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Rechtsgrundlage der Übermittlung in ein Land außerhalb des EWR ist eine Einwilligung. Weitere Informationen sind in der Datenschutzerklärung des Anbieters unter https://policies.google.com/privacy abrufbar.
7.6.2. Google Analytics
Wir verwenden das Tool Google Analytics für Analyse. Der Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Dublin, D04e5w5, Ireland. Der Anbieter verarbeitet Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) und Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen) in den USA. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Verarbeitung erfolgt auf der Basis von Einwilligungen. Betroffene können ihre Einwilligung jederzeit widerrufen, indem sie uns z.B. unter den in unsere Datenschutzerklärung angegebenen Kontaktdaten kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Rechtsgrundlage der Übermittlung in ein Land außerhalb des EWR ist Standardvertragsklauseln. Die Sicherheit der in das Drittland (also einem Land außerhalb des EWR) übermittelten Daten ist gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassene Standard Datenschutzklauseln gewährleistet (Art. 46 Abs. 2 lit. c DSGVO), die wir mit dem Anbieter vereinbart haben. Die Daten werden gelöscht, wenn der Zweck ihrer Erhebung entfallen ist und keine Aufbewahrungspflicht entgegensteht. Weitere Informationen sind in der Datenschutzerklärung des Anbieters unter https://policies.google.com/privacy?hl=de abrufbar.
8. Datenverarbeitung auf Social Media-Plattformen
Wir sind in Social Media-Netzwerken präsent, um dort unse unsere Leistungen vorzustellen. Die Betreiber dieser Netzwerke verarbeiten Daten ihrer Nutzer regelmäßig zu Werbezwecken. Unter anderem erstellen sie aus ihrem Onlineverhalten Nutzerprofile, die beispielsweise dazu verwendet werden, um auf den Seiten der Netzwerke und auch sonst im Internet Werbung zu zeigen, die den Interessen der Nutzer entspricht. Dazu speichern die Betreiber der Netzwerke Informationen zu dem Nutzungsverhalten in Cookies auf dem Rechner der Nutzer. Es ist außerdem nicht auszuschließen, dass die Betreiber diese Informationen mit weiteren Daten zusammenführen. Weitere Informationen sowie Hinweise, wie Nutzer der Verarbeitung durch die Seitenbetreiber widersprechen können, erhalten Nutzer in den unten aufgeführten Datenschutzerklärungen der jeweiligen Betreiber. Es kann auch sein, dass die Betreiber oder ihre Server in Nicht-EU-Staaten sitzen, so dass sie Daten dort verarbeiten. Hierdurch können sich für die Nutzer Risiken ergeben, z.B. weil die Durchsetzung ihrer Rechte erschwert wird oder staatliche Stellen Zugriff auf die Daten nehmen.
Wenn Nutzer der Netzwerke mit uns über unsere Profile in Kontakt treten, verarbeiten wir die uns mitgeteilten Daten, um die Anfragen zu beantworten. Darin liegt unser berechtigtes Interesse, so dass Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.
8.1. Facebook
Wir haben ein Profil auf Facebook. Betreiber ist Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://www.facebook.com/policy.php. Eine Möglichkeit, der Datenverarbeitung zu widersprechen, ergibt sich über Einstellungen für Werbeanzeigen: https://www.facebook.com/settings?tab=ads.
Wir sind auf Grundlage einer Vereinbarung gemeinsam im Sinne von Art. 26 DSGVO mit Facebook für die Verarbeitung der Daten der Besucher unseres Profils verantwortlich. Welche Daten genau verarbeitet werden, erklärt Facebook unter https://www.facebook.com/legal/terms/information_about_page_insights_data. Betroffene können ihre Rechte sowohl gegenüber uns als auch gegenüber Facebook wahrnehmen. Nach unserer Vereinbarung mit Facebook sind wir aber dazu verpflichtet, Anfragen an Facebook weiterzuleiten. Betroffene erhalten also eine schnellere Rückmeldung, wenn sie sich direkt an Facebook wenden.
8.2. Instagram
Wir unterhalten ein Profil auf Instagram. Betreiber ist Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://help.instagram.com/519522125107875.
8.3. YouTube
Wir unterhalten ein Profil auf YouTube. Betreiber ist Google Ireland Limited Gordon House, Barrow Street Dublin 4. Ireland. Die Datenschutzerklärung ist hier abrufbar: https://policies.google.com/privacy?hl=de.
8.4. LinkedIn
Wir unterhalten ein Profil auf LinkedIn. Betreiber ist LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Die Datenschutzerklärung ist hier abrufbar: https://www.linkedin.com/legal/privacy-policy?_l=de_DE. Eine Möglichkeit, der Datenverarbeitung zu widersprechen, ergibt sich über die Einstellungen für Werbeanzeigen: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.