1. Hintergrund und Begriffe

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch die datenschutzrechtlich Verantwortliche gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).

Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:

Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)

Cookies

Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Der Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia)

Datensicherheit

Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogener Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO).

Datenverarbeitung

Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO).

Drittland

Drittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO).

Personenbezogene Daten und betroffene Person

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO).

Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO).

Verantwortlicher

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO).

Zählpixel

Zählpixel (auch Tracking-Pixel, Web Beacon u.a.) sind kleine Grafiken in HTML-E-Mails oder auf Webseiten, die eine Logdatei-Aufzeichnung und eine Logdateianalyse ermöglichen, die oft für statistische Auswertungen für das Online-Marketing verwendet werden (Quelle: Wikipedia).

2. Verantwortliche

Datenschutzrechtlich Verantwortliche ist die Perseus Technologies GmbH („Perseus“, „wir“) mit Sitz in der Hagelberger Straße 53-54 in 10965 Berlin.

3. Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten bestellt. Dieser ist schriftlich über die Anschrift des Unternehmenssitzes mit dem Vermerk “Datenschutzbeauftragter” oder per E-Mail unter datenschutz@perseus.de erreichbar.

4. Details der Datenverarbeitungen nach Betroffenengruppen

4.1. Webseitenbesucher

Sind Sie Besucher unseres Internetauftritts unter perseus.de (“Website”), verarbeiten wir Ihre personenbezogenen Daten wie folgt.

Wir nutzen dabei Dienste von Dritten. Unter diese Dienste fällt auch die Nutzung von Cookies (essentielle Cookies, funktionale Cookies, Analysen-, Statistiken-, Marketing- und sonstige Third-Party-Cookies). Konkrete Informationen zu den einzelnen Cookies und individuelle Einstellungsmöglichkeiten finden Sie unter „Individuell einstellen“ im Consent Management Tool.

 

Dort können Sie in Verarbeitungen einwilligen und Verarbeitungen auf Grundlage des berechtigten Interesses widersprechen. Sie können Ihre Präferenzen auch zu einem späteren Zeitpunkt      anpassen oder Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass ohne Ihre Einwilligung einzelne Funktionen der Websites nur eingeschränkt funktionieren können.

4.1.1. Bereitstellung der Website-Inhalte

Zweck

  • Herstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Durchführung der Session)
  • Wahrung und Verbesserung der Funktionalität der Website
  • Wahrung und Verbesserung der Informationssicherheit bzw. Datensicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) der Website (Datenspeicherung in Logfiles)

Kategorien verarbeiteter Daten

  • IP-Adresse des zugreifenden Systems
  • Verwendeter Browsertyp des Endgerätes und Version
  • Internet-Service-Provider des zugreifenden Systems
  • Datum, Uhrzeit und Erfolg des Zugriffs
  • Webseiten Dritter, von denen das System des Nutzers auf unsere Website gelangt
  • Webseiten Dritter, die vom System des Nutzers über unsere Website aufgerufen werden

Kategorien von Empfängern

  •  Website Hoster – Winter Business Net GmbH, Feithstr. 68, 58095 Hagen

Drittstaaten-Datentransfer

  • nein

Speicherdauer bzw. deren Kriterien

  • Session: Datenlöschung bei Beendigung der jeweiligen Sitzung
  • Logfiles: Datenlöschung nach 90 Tagen oder aber Anonymisierung

Rechtsgrundlagen

  • Art. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.1.2. Kontaktaufnahme

Als Besucher unserer Websites können Sie verschiedene Möglichkeiten nutzen, um mit uns in Kontakt zu treten. Derzeit sind dies: Kontaktformular, E-Mail, Telefon und Live-Chat. Die Kontaktaufnahme wird vorrangig über die Anwendungen von Freshworks realisiert. Die folgenden Systeme von Freshworks werden dabei genutzt: Freshsales als Customer-Relationship-Management-System (CRM-System), Freshdesk als Helpdesk-System sowie Freshchat als Chat-System.

Zweck

  • Annahme, Prüfung und Bearbeitung von Anfragen
  • Customer-Relationship-Management

Kategorien verarbeiteter Daten

  • Kontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name, E-Mail-Adresse und optional Telefonnummer
  • Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale      Medien, ggf. Telefonnummer
  • Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein

Kategorien von Empfängern

  • Freshworks Inc., 1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, USA
  • E-Mail und Telekommunikationsprovider, Social Media Kanäle

Drittstaaten-Datentransfer

  • In die USA zu Freshworks
  • Mit Freshworks wurde eine Vereinbarung auf Basis der EU-Standarddatenschutzklauseln abgeschlossen, die eine Übertragung der Daten mit geeigneten Garantien in Übereinstimmung mit Art. 46 DSGVO gewährleisten.

Speicherdauer bzw. deren Kriterien

  • 3 Monate nach Abschluss der jeweiligen Anfrage

Rechtsgrundlagen

  • Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.3. Terminbuchung

Für Terminbuchungen für anschließende Live-Demonstrationen unserer Services über unsere Webseite nutzen wir den Dienst Calendly.

Zweck

  • Terminvereinbarung zu Live-Demonstrationen für Interessierte
  • Kalender und Kommentarfunktion

Kategorien verarbeiteter Daten

  • Kontaktdaten über Terminformular: Name, E-Mail-Adresse und Unternehmensname
  • Inhaltsdaten der Kontaktaufnahme (Titel, Kommentar)

Kategorien von Empfängern

  • Calendly, Inc. , 115 E Main St., Ste A1B Buford, GA 30518, USA (“Calendly”)

Drittstaaten-Datentransfer

  • In die USA zu Calendly
  • Mit Calendly wurde eine Vereinbarung auf Basis der EU-Standarddatenschutzklauseln abgeschlossen, die eine Übertragung der Daten mit geeigneten Garantien in Übereinstimmung mit Art. 46 DSGVO gewährleisten.

Speicherdauer bzw. deren Kriterien

  • 3 Monate nach Abschluss der jeweiligen Anfrage
  • neben den essentiell notwendigen Cookies kann die Zustimmung oder Ablehnung zu der Erfassung folgender Daten angegeben werden:
    • Performance Cookies – Daten zur Messung der Performance, Daten werden aggregiert und anonymisiert gesammelt
    • Funktionale Cookies – ermöglichen es der Website, erweiterte Funktionalität und Personalisierung bereitzustellen
    • Targeting Cookies – Cookies die von Werbepartnern gesetzt werden können, speichern keine direkten personenbezogenen Daten sondern basieren auf der eindeutigen Identifizierung des Browsers und des Gerätes

Rechtsgrundlagen

  • Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.4. Webseitenoptimierung und Reichweitenanalyse (Analysen und Statistiken)

Wir verarbeiten personenbezogene Daten der Website-Besucher für die Webseitenoptimierung und Reichweitenanalyse. Detaillierte Informationen zu diesen Datenverarbeitungen finden Sie im Consent-Management-Tool unter „Analysen und Statistiken“. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse).

4.1.5. Social Media und personalisierte Werbung

Auf der Website bieten wir die Möglichkeit, Inhalte direkt in sozialen Medien und Netzwerken zu teilen. Zum Social Media Sharing verwenden wir sogenannte Shariff-Social-Media-Buttons, sodass die Inhalte innerhalb ausgewählter sozialer Netzwerke unter Wahrung eines angemessenen Datenschutzes geteilt werden. Im Gegensatz zu üblichen Social Plugins, die bereits mit dem Besuch der Website Daten verarbeiten, wird bei Shariff der direkte Kontakt zum jeweiligen sozialen Netzwerk erst dann hergestellt, wenn Sie aktiv einen Social Button anklicken um einen Beitrag zu teilen.

Detaillierte Informationen zu diesen Datenverarbeitungen finden Sie im Consent-Management-Tool unter „Marketing- und sonstige Third-Party-Cookies“. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 a) DSGVO (Einwilligung).

4.2. Perseus-Kunden und deren Mitarbeitende

Sind Sie Perseus-Kunde, der Perseus-Services in Anspruch nimmt bzw. dessen Mitarbeiter (Betroffenengruppe), verarbeiten wir Ihre personenbezogenen Daten wie folgt.

Sofern Perseus personenbezogene Daten im Auftrag verarbeitet („Auftragsverarbeitung“) können die Kunden von Perseus und andere Bezieher der Perseus -Serviceleistungen sich die Darstellung zu eigen machen, ihrerseits die Betroffenen informieren und damit ihre eigenen Informationspflichten gemäß Artikel 13 und 14 DSGVO erfüllen.

Insbesondere die Services bzw. Teilservices Perseus Phishing Check, Perseus Cyber Security Club und Incident Response Management können von Perseus im Rahmen von Auftragsverarbeitungen für die Kunden bzw. Bezugsberechtigten erbracht werden. Dabei ist dann zu beachten, dass die genannte Rechtsgrundlage für die Verarbeitung diejenige Rechtsgrundlage ist, auf deren Basis Perseus die Daten verarbeitet. Die Rechtsgrundlage für den Kunden bzw. den Bezugsberechtigten als datenschutzrechtlich Verantwortliche, für die Perseus die Daten ggf. im Auftrag verarbeitet, kann davon abweichen.

Die folgenden Services von Perseus sind davon umfasst:

Assessment

  • Perseus Phishing Check (PPC)
  • Security Baseline Check (SBC)
  • Cyber Risiko Dialog (CRD)

Awareness

  • Perseus Cyber Security Club (PCSS)
  • Gefahrenwarnung / Threat Alert

Cyber Claims

  • Incident Response Management (IRM)

Im Folgenden sind die Details der Datenverarbeitungen, deren Zwecke und Rechtsgrundlagen dafür, sofern zutreffend, die berechtigten Interessen, mögliche Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, ggf. Drittstaatentransfer und die Speicherdauer tabellarisch dargestellt.

4.2.1. Assessment

Perseus Phishing Check (Auftragsverarbeitung)

Zweck

Allgemein:
  • Zum Zwecke der Wahrung der Informationssicherheit (auch Cybersicherheit) und der Datensicherheit (technisch-organisatorischer Datenschutz) beim Auftraggeber
  • Analyse der Sensibilität der Mitarbeiter
  • Sensibilisierung der Mitarbeiter
Konkret:
  • Bereitstellung einer Webanwendung zur Administration der Phishing Checks
  • Durchführung von Phishing-Tests mit Mitarbeitenden von Firmenkunden
  • Versendung und Auswertung simulierter Phishing-Mails
  • Sensibilisierung für Phishing

Kategorien verarbeiteter Daten

  • Namen
  • E-Mail-Adresse
  • Firma
  • Ergebnisse der Phishing-Checks

Kategorien von Empfängern

  • Account-Administratoren beim jeweiligen Firmenkunde/Partner
  • Auftragsverarbeiter: Amazon Web Services Inc., Inboxroad

Drittstaaten-Datentransfer

  • USA (Amazon Web Services Inc.) auf Basis der EU-Standarddatenschutzklauseln Controller-Processor

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

Security Baseline Check

Zweck

  • Kontaktaufnahme
  • Terminvereinbarung
  • Durchführung SBC

Kategorien verarbeiteter Daten

  • Name
  • E-Mail Adresse

Kategorien von Empfängern

  • Kontaktpersonen Kunden/Partner
  • Auftragsverarbeiter: Amazon Web Services Inc, TeamViewer GmbH, Google Ireland Ltd., Calendly, Inc.

Drittstaaten-Datentransfer

  • USA (Amazon Web Services Inc., Calendly Inc.) auf Basis der EU-Standarddatenschutzklauseln Controller-Processor

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

Cyber Risiko Dialog

Zweck

  • Vertragsanbahnung, -durchführung, -koordination für den CRD

Kategorien verarbeiteter Daten

  • Name
  • E-Mail Adresse

Kategorien von Empfängern

  • Kontaktpersonen Kunden/Partner
  • Kooperationspartner Intelliant GmbH
  • Auftragsverarbeiter: Amazon Web Services Inc

Drittstaaten-Datentransfer

  • USA (Amazon Web Services Inc.) auf Basis der EU-Standarddatenschutzklauseln Controller-Processor

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

4.2.2. Awareness

 Perseus Cyber Security Club (Auftragsverarbeitung)

Zweck

  • Herstellung, Wahrung und Verbesserung der Cybersecurity- und Datenschutz-Compliance bei Kunden und Bezugsberechtigten
  • Technisch-organisatorischer Datenschutz (Datensicherheit) und Cyber Security (Informationssicherheit) zur Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und personenbezogener Daten
  • Durchführung und Auswertung von Online-Trainings
  • Malware Scan

Kategorien verarbeiteter Daten

  • Dateiinformationen, wie z. B. Dateipfad, Dateiname, Hashwert von Dateien, Dateieigentümer, Datums- und Zeitstempel
  • Netzwerkinformationen, wie z. B. Hostname, voll qualifizierter Domainname, IP-Adresse, MAC-Adresse
  • Prozessinformationen, wie z. B. Dateipfad, Prozessname, Hashwert von Prozessen, Prozesseigentümer, Datums- und Zeitstempel
  • Account-Informationen, wie z. B. Account-Namen, vollständiger Name des Account-Inhabers, Zugehörigkeit zu lokalen Gruppen, Account-Status, Spracheinstellungen,
  • Endpunkt-Netzwerkaktivität, wie z. B. Ziel-IP-Adresse, Ziel-Port, Prozessname, Bildpfad, Hostname, Quellport/Quell-IP-Adresse,
  • Geräteidentität, wie z. B. Distinguished Name (DN) des Gerätes, Zugehörigkeit des Gerätes zu Gruppen aus Active Directory, Name des zuletzt eingeloggten Nutzer-Accounts
  • Teilnahmestatus und Ergebnisse der Online-Trainings (Dashboard)

Kategorien von Empfängern

  • Administratoren (z.B. Vorgesetzte, Manager oder IT-Mitarbeiter) der Kundenunternehmen  bzw. der Bezugsberechtigten
  • Nachweispflichtige Organisationseinheiten der Kundenunternehmen  bzw. Bezugsberechtigten
  • Auftragsverarbeiter: Amazon Web Services Inc., Dynamic Edge Software Ltd., Google Ireland Ltd., Sendinblue SAS

Drittstaaten-Datentransfer

  • nein

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.
  • Malware Scan: Alle empfangenen Emails werden nach 5 Tagen automatisch gelöscht. Diese Frist wird vorgehalten um bei eventuellen Ausfallzeiten Überprüfungen zu gewährleisten sobald der Grund des Ausfalls kompensiert ist. Des weiteren wird diese Frist benötigt um mögliche Rückfragen zu Resultaten von Kunden beantworten zu können.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

Gefahrenwarnung / Threat Alert

Zweck

  • Bereitstellung von Informationen zu Sicherheitslücken und Cybervorfällen

Kategorien verarbeiteter Daten

  • Name
  • Mailadresse

Kategorien von Empfängern

  • Administratoren (z.B. Vorgesetzte, Manager oder IT-Mitarbeiter) der Kundenunternehmen  bzw. der Bezugsberechtigten
  • Auftragsverarbeiter: Freshworks Inc. (Freshdesk)

Drittstaaten-Datentransfer

  • USA (Freshworks  Inc.) auf Basis der EU-Standarddatenschutzklauseln Controller-Processor

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

4.2.3. Cyber Claims

Zweck

Allgemein:
  • Herstellung, Wahrung und Verbesserung der Cybersecurity- und Datenschutz-Compliance bei Kunden und Bezugsberechtigten
  • Technisch-organisatorischer Datenschutz (Datensicherheit) und Cybersecurity (Informationssicherheit) zur Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und personenbezogener Daten
Konkret:
  • Analyse und Rekonstruktion von Sicherheitsvorfällen
  • Erteilung von Handlungsempfehlung
  • Wiederherstellung der Systeme, Anwendungen, Informationen und Daten
  • Dokumentation der Sicherheitsvorfälle
  • Forensische Beweissicherung
  • Kontinuierliche Verbesserung („PDCA-Zyklus“)

Kategorien verarbeiteter Daten

  • Alle personenbezogenen Verbindungs- und Inhaltsdaten (Stamm- und Transaktionsdaten), die in den kompromittierten Systemen des Kunden bzw. Bezugsberechtigten verarbeitet werden, besteht potentieller Zugriff
  • Alle personenbezogenen Daten, die zur Analyse oder forensischen Beweissicherung in Perseus-Systeme übertragen werden

Kategorien von Empfängern

  • Order processor: SEC Consult Deutschland Unternehmensberatung GmbH and TeamViewer Germany GmbH

Drittstaaten-Datentransfer

  • Nein

Speicherdauer bzw. deren Kriterien

  • Die Aufbewahrung der personenbezogenen Daten erfolgt bis zum Zweckfortfall und danach werden sie gelöscht, sofern nicht eigene gesetzliche Aufbewahrungspflichten zu erfüllen sind. Ist das der Fall, werden die Daten bis zum Ablauf der Fristen aufbewahrt und danach gelöscht.

Rechtsgrundlagen

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO

4.2.4. Zahlungsabwicklung für Perseus-Services

Zum Zweck der Zahlungsabwicklung setzen wir die externen Zahlungsdienstleistungen Stripe, Quaderno und FastBill ein.

Zweck

  • Zahlungsabwicklung (Zahlungen per Kreditkarte und SEPA-Lastschriften)
  • Automatische Erstellung von Rechnungen
  • Semi-automatischen Erstellung von Rechnungen

Kategorien verarbeiteter Daten

  • Bestandsdaten
  • Insbesondere Konto- bzw. Zahlungskarteninhaber
  • Bankdaten inkl. Konto- oder Kreditkartennummer
  • Rechnungsbetrag
  • Transaktionsnummer
  • Kontakt- und Vertragsdaten

Kategorien von Empfängern

  • Stripe Payments Europe Ltd., (Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Ireland, „Stripe“)
  • Quaderno des Anbieters Recrea Systems, SLU (Fernando Guanarteme 111, 35010 Las Palmas, Spanien, “Quaderno”)
  • FastBill GmbH (Wildunger Str. 6, 60487 Frankfurt a. M. „FastBill“) (keine Endkunden, sondern sonstige Vertragspartner)

Stripe, Quaderno und Fastbill verarbeiten Ihre Daten in unserem Auftrag. Zum Schutz Ihrer Daten haben wir mit Stripe, Quaderno und Fastbill einen Auftragsverarbeitungsvertrag abgeschlossen.

Drittstaaten-Datentransfer

  • nein

Speicherdauer bzw. deren Kriterien

  •  Nach Wegfall der gesetzlichen Aufbewahrungspflichten von 6 bzw. 10 Jahren

Rechtsgrundlagen

  • Art. 6 Abs. 1 b), c) und f) DSGVO (Vertragserfüllung, Erfüllung einer rechtlichen Verpflichtung und berechtigtes Interesse)

4.3. Newsletter-Abonnenten

Sind Sie ein Newsletter-Abonnent, der Perseus-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:

Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.

Wir nutzen ein Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unseren Newsletter bekommen, wenn Sie das wirklich wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken eines in dieser E-Mail enthaltenen Links bestätigen, dass Sie unsere werblichen E-Mails bzw. unseren Newsletter tatsächlich erhalten möchten.

4.3.1. Newsletter-Abonnement

Wir versenden Newsletter an die von den Abonnenten bereitgestellten E-Mail-Adressen durch die Nutzung des Systems Mailchimp.

Zweck

  •  Rechtssicherer Versand des Newsletters

Kategorien verarbeiteter Daten

  • E-Mail-Adresse (verpflichtend im Kontaktformular)
  • Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache
  • Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular

Kategorien von Empfängern

  • The Rocket Science Group LLC, 675 Ponce de Leon Ave. NE, Suite 5000, Atlanta, GA 30308, USA als Auftragsverarbeiter

Drittstaaten-Datentransfer

  • In die USA (Rocket Science)

Mit Rocket Science wurde eine Vereinbarung auf Basis der EU-Standarddatenschutzklauseln als geeignete Garantien gemäß Art. 46 DSGVO vereinbart, so dass die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß Art. 45 DSGVO gegeben sind.

Speicherdauer bzw. deren Kriterien

  •  Nach Abmeldung vom Newsletter (jederzeit möglich)

Rechtsgrundlagen

  • Art. 6 Abs. 1 a) und b) DSGVO (Vertragserfüllung und Einwilligung)

4.3.2. Statistische Auswertung Newsletter

Wir führen statistische Auswertungen zur Versendung und Reaktion auf unsere Newsletter durch. Dabei nutzen wir die Systeme „MailChimp“ und „Mandrill“. Wir werten das Nutzerverhalten im Bezug zum Newsletter-Abonnement aus (z.B. wann wird eine Nachricht geöffnet, welche Links werden angeklickt) und führen statistische Analyse der Newsletter-Kampagnen durch.

Zweck

  • Gestaltung von werbewirksamen, sicheren und leserfreundlichen Newslettern
  • Sicherung des Versands für die Zufriedenheit der Newsletter-Abonnenten und damit der Kundengewinnung

Kategorien verarbeiteter Daten

  • Mail-Adresse
  • Ggfs. Name und Unternehmen
  • Technische Informationen (Zeitpunkt des Abrufs, IP-Adresse, Browsertyp und Betriebssystem)

Diese Daten werden ausschließlich pseudonymisiert erhoben und nicht mit Ihren weiteren persönlichen Daten verknüpft.

Kategorien von Empfängern

  • The Rocket Science Group LLC (675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA, „Rocket Science“) als Auftragsverarbeiter

Drittstaaten-Datentransfer

  • In die USA (Rocket Science)

Mit Rocket Science wurde eine Vereinbarung auf Basis der EU-Standarddatenschutzklauseln als geeignete Garantien gemäß Art. 46 DSGVO vereinbart, so dass die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß Art. 45 DSGVO gegeben sind.

Speicherdauer bzw. deren Kriterien

  • Auswertungsdaten werden spätestens nach 12 Monate gelöscht (nach der Abbestellung des Newsletters oder Deaktivierung der Abbildung von Grafiken im E-Mail-Programm)

Rechtsgrundlagen

  • Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.4. Webinar-Teilnehmende

Sind Sie ein Webinar-Teilnehmer, verarbeiten wir Ihre personenbezogenen Daten wie folgt.

Sie können an einem Webinar teilnehmen, wenn Sie sich zuvor dazu über unsere Internetseite dazu angemeldet haben. Die Durchführung und Nachbereitung der Webinare erfolgt durch Nutzung von Zoom.

In den virtuellen Seminarräumen werden personenbezogene Daten der Dozenten und Teilnehmer (gemeinsam „Beteiligte“) verarbeitet. Die Dozenten und Teilnehmer sind damit datenschutzrechtlich Betroffene.

Beim Eintritt in den virtuellen Seminarraum und dem Login durch die Teilnehmer und Dozenten vergeben sich diese ein virtuelles Namensschild, um für die anderen Beteiligten am Webinar erkennbar und ansprechbar zu sein.

Bei der Durchführung der Webinare werden von den Dozenten und Teilnehmern Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten an alle am Webinar Beteiligte übertragen, sofern die jeweilige Funktion vom Dozenten oder aber vom Teilnehmer freigeschaltet bzw. aktiv genutzt wird. Die Daten werden nur zu Übertragung, sowie zur Dokumentation der Teilnehmenden gespeichert und verarbeitet; nach Ende der Übertragung findet ansonsten keine grundsätzliche Speicherung der Webinare statt.

Die Beteiligten haben die Möglichkeit, bilateral oder öffentlich zu chatten. Zugriff auf die Inhalte der Chatnachrichten haben dabei nur die beiden Beteiligten des bilateralen Chats bzw. die Teilnehmer des jeweiligen Webinars.

Wir nutzen gelegentlich die Möglichkeit, Webinare aufzuzeichnen und die aufgezeichneten Inhalte im Nachgang den Beteiligten zur Verfügung zu stellen und darüber hinaus das Webinar intern zu dokumentieren. Sollte eine solche Aufzeichnung durch uns erfolgen, wird dies im Webinar selbst angekündigt, so dass die Teilnehmer entscheiden können, ob sie Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten von sich freischalten bzw. aktiv nutzen und somit für die Aufzeichnung zu Verfügung stellen.

Wir erheben personenbezogene Daten der Teilnehmer über deren Aufenthalt im virtuellen Seminarraum, deren Verweildauern und Nutzung von Angeboten. Dies entspricht in etwa dem Beobachten der Teilnehmer in einem realen Raum.

Webinar-Teilnehmer über Freshworks und Zoom

Zweck

  • Technische Umsetzung der Webinare (Übertragung von Namen, Kamerabildern, Ton, Bildschirminhalten und Chat-Nachrichten)
  • Aufzeichnung von Webinaren
  • Ausstellung von Teilnahmebescheinigungen
  • Nachbereitung der Webinare (z.B. Bereitstellung von Seminarunterlagen, Bewertung der Dozenten)
  • Resonanz der Beteiligten festzustellen und ggf. Verbesserungsmaßnahmen ableiten

Kategorien verarbeiteter Daten

  • Kontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name, E-Mail-Adresse und optional Telefonnummer
  • Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer
  • Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein

Kategorien von Empfängern

  • Freshworks Inc., 1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, USA (“Freschworks”)
  • Zoom Video Communications, Inc., 55 Almaden Blvd, Suite 600, San Jose, CA 95113 (“Zoom”)

Drittstaaten-Datentransfer

  • In die USA (Freshworks und Zoom)

Mit Zoom und Freshworks wurden Vereinbarungen auf Basis der EU-Standarddatenschutzklauseln als geeignete Garantien gemäß Art. 46 DSGVO vereinbart, so dass die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß Art. 45 DSGVO gegeben sind.

Speicherdauer bzw. deren Kriterien

  • Nach dem Ende des jeweiligen Webinars werden die Chatinhalte automatisch gelöscht.
  • Nach Aggregation und Ausstellung von Teilnahmebescheinigungen werden die Daten im virtuellen Seminarraum gelöscht.

Rechtsgrundlagen

  • Art. 6 Abs. 1 a), b) und f) DSGVO (Einwilligung, Vertragserfüllung und berechtigtes Interesse)

Am Ende der Webinare wird den Teilnehmern regelmäßig die Bewertung der Dozenten ermöglicht. Dazu wird der Dienst Google Formulare genutzt. Es ist organisatorisch ausgeschlossen, dass die Individuell abgegebene Bewertung der Teilnehmer sichtbar gemacht wird. Wir erhalten eine aggregierte Bewertung der Dozentin bzw. des Dozenten.

Feedback über Google Formulare

Zweck

  • Resonanz der Beteiligten feststellen und ggf. Verbesserungsmaßnahmen ableiten

Kategorien verarbeiteter Daten

  • Antwort-Auswahl
  • IP-Adressen

Kategorien von Empfängern

  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Drittstaaten-Datentransfer

  • In die USA zu Google

Mit Google wurden Vereinbarungen auf Basis der EU-Standarddatenschutzklauseln als geeignete Garantien gemäß Art. 46 DSGVO vereinbart, so dass die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß Art. 45 DSGVO gegeben sind.

Speicherdauer bzw. deren Kriterien

  •  Manuelle Löschung innerhalb von 90 Tagen nach Erfassung.

Rechtsgrundlagen

  •  Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.5. Bewerber

Sind Sie ein Bewerber, verarbeiten wir Ihre personenbezogenen Daten wie folgt.

Wir nutzen als technische Plattform das Recruting-System Personio.

Bewerbermanagement

Zweck

  • Teilnahme am Bewerbungsverfahren auf die vakante Stelle
  • Abwicklung des Bewerbungsverfahrens
  • Durchführung vorvertraglicher Maßnahmen

Kategorien verarbeiteter Daten

  • Name (Vor- sowie Nachname)
  • E-Mail-Adresse
  • Telefonnummer
  • Gehaltswunsch
  • Verfügbarkeit
  • Bereitgestellte Dokumente (z.B. Anschreiben, Ihren Lebenslauf und Zeugnisse)
  • Inhalte der hochgeladenen Daten (z.B. Geburtsdatum, Adresse, etc.)

Kategorien von Empfängern

  • Autorisierte Mitarbeiter aus dem Personalbereich
  • In das Bewerbungsverfahren involvierte Mitarbeitende
  • Mitarbeitende der Personio GmbH (Auftragsverarbeiter)

Drittstaaten-Datentransfer

  • nein

Speicherdauer bzw. deren Kriterien

  • Nach Beendigung des Zwecks
  • Speicherdauer 6 Monate nach Beendigung des Bewerbungsverfahrens
  • Anschließend erfolgt bei Ablehnung der Bewerber die Löschung bzw. die Anonymisierung der Daten oder aber bei Einstellung die Überführung der Daten in die Personalakte

Rechtsgrundlagen

  •  Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung).

5. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:

5.1. Auskunftsrecht, Art. 15 DSGVO

Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen:

  • Verarbeitungszwecke;
  • Kategorie der personenbezogenen Daten, die verarbeitet werden;
  • Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden;
  • Geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.

5.2. Recht auf Berichtigung

Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

5.3. Recht auf Einschränkung der Verarbeitung

Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

5.4. Recht auf Löschung

Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

5.5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber Perseus als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber Perseus das Recht zu, über diese Empfänger unterrichtet zu werden.

5.6. Recht auf Datenübertragbarkeit

Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

5.7. Widerspruchsrecht

Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

6. Aktualität und Veränderungen dieser Datenschutzerklärung

Es gilt diese Datenschutzerklärung in ihrer jeweils gültigen Fassung. Die  aktuelle Datenschutzerklärung kann jederzeit auf der Internetseite unter https://www.perseus.de/datenschutzerklaerung/ abgerufen und ausgedruckt werden.

Stand: August 2023