Datenschutzerklärung Plattform

I. Vorwort

Die Performance Gateway GmbH, im Folgenden auch „Performance Gateway“ oder „wir“, stellt unter der Subdomain app.performancegateway.de eine Plattform für wirksame Kommunikation bereit. Der Schutz Ihrer personenbezogenen Daten hat für uns einen hohen Stellenwert. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den anwendbaren datenschutzrechtlichen Vorgaben, insbesondere der DS-GVO sowie den ergänzend anwendbaren nationalen Datenschutzbestimmungen.

Die Plattform der Performance Gateway GmbH ist ein System für wirksame Kommunikation, das strukturierte Methoden, KI-gestützte Analyse und praktische Anwendung verbindet, um Gesprächsqualität messbar, entwickelbar und organisationsweit skalierbar zu machen. Das derzeit zentrale Produkt innerhalb der Plattform ist der „VITAL-TALK® Coach“. Die Plattform kann künftig um weitere Produkte, Funktionen, Module und Leistungsbestandteile erweitert werden.

Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten im Zusammenhang mit der Registrierung, dem Login, der Nutzung und der technischen Bereitstellung der Plattform verarbeitet werden, zu welchen Zwecken dies erfolgt, auf welchen Rechtsgrundlagen die Verarbeitung beruht, an welche Empfänger Daten gegebenenfalls übermittelt werden, wie lange Daten gespeichert werden und welche Rechte Ihnen zustehen.

Diese Datenschutzerklärung betrifft die Plattform der Performance Gateway GmbH unter app.performancegateway.de sowie die damit unmittelbar verbundenen plattformbezogenen Verarbeitungen.

Diese Datenschutzerklärung gilt maßgeblich für die Nutzung der Plattform durch Verbraucher. Soweit die Plattform im geschäftlichen Kontext für Unternehmen bereitgestellt und genutzt wird, gelten ergänzende vertragliche, organisatorische und verarbeitungsspezifische Unterlagen, insbesondere Auftragsverarbeitungsverträge, kundenseitige Informationspflichten und weitere gesonderte Datenschutzhinweise. Diese Datenschutzerklärung enthält in diesem Fall gleichwohl die grundlegenden Informationen zu den plattformbezogenen Verarbeitungen. Unternehmenskunden bleiben grundsätzlich selbst dafür verantwortlich, betroffene Personen über die in ihrem Verantwortungsbereich stattfindenden Verarbeitungen zu informieren, soweit dies rechtlich erforderlich ist.

Von dieser Datenschutzerklärung abzugrenzen sind insbesondere:

die öffentliche Website der Performance Gateway GmbH unter performancegateway.de,
allgemeine geschäftliche Verarbeitungen außerhalb der reinen Plattformnutzung,
Bestell-, Vertrags-, Abrechnungs-, Buchhaltungs- und sonstige kaufmännische Vorgänge außerhalb der unmittelbaren Plattformnutzung,
Bewerbungsverfahren,
Social-Media-Präsenzen als eigenständige Verarbeitungskontexte,
gesonderte Informationspflichten für weitere, nicht plattformspezifische Verarbeitungskontexte,
sonstige allgemeine Informationspflichten gemäß Art. 13 und 14 DS-GVO außerhalb der reinen Plattform-Nutzung.

Für diese Konstellationen gelten ergänzend beziehungsweise gesondert insbesondere die Datenschutzerklärung Website, die Informationspflichten DS-GVO sowie gegebenenfalls weitere von der Performance Gateway GmbH bereitgestellte, übermittelte oder veröffentlichte Datenschutzhinweise.

Diese Datenschutzerklärung Plattform ist in ihrer jeweils aktuellen Fassung unter https://performancegateway.de/datenschutz/datenschutzerklaerung-plattform abrufbar.

Zusätzlich gelten für die Nutzung der Plattform die Nutzungsbedingungen der Performance Gateway GmbH, welche auf der Website (https://performancegateway.de/nutzungsbedingungen) abrufbar sind. Soweit diese Datenschutzerklärung und die Nutzungsbedingungen in Teilen denselben Sachverhalt betreffen, gelten beide Regelwerke nebeneinander in ihrem jeweiligen sachlichen Anwendungsbereich.

II. Stand, Änderungen und Aktualisierungen der Datenschutzerklärung

Um die Implementierung neuer Technologien und Maßnahmen zu ermöglichen und damit unsere Datenschutzerklärung stets den rechtlichen Vorschriften entspricht, passen wir diese gelegentlich an. Daher bitten wir Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir informieren Sie, sobald durch die Änderungen ein Mitwirkungshandlung Ihrerseits, z. B. eine Einwilligung, oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Stand: 30. März 2026 | Ver.: 01.00 | Klassifizierung: 01 – ÖFFENTLICH

III. Verantwortlicher

Performance Gateway GmbH
Querstraße 2
63303 Dreieich
Deutschland
Telefon: 06103 / 2085208
E-Mail: datenschutz@performancegateway.de
Registergericht: Amtsgericht Offenbach am Main
Registernummer: HRB 58231

IV. Externer Datenschutzbeauftragter

wavesun-technologies
Patrick Bäcker (Inhaber wavesun-technologies)
Am Lerchenberg 13
63322 Rödermark
Deutschland
Telefon: 06074 / 3709395
E-Mail: info@wavesun-technologies.de

V. Grundlegende Begriffsdefinitionen

,,Auftragsverarbeiter“: Bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

,,Dritter“: Bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

,,Empfänger“: Bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

,,Personenbezogene Daten“: Bezeichnen alle Informationen (im Folgenden auch ,,Daten“), die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden auch „betroffene Person“) beziehen (bspw. Name, Vorname, E-Mail-Adresse, IP-Adresse, etc.).

,,Verantwortlicher“: Bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

,,Verarbeitung“: Bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

VI. Rechtsgrundlagen für die Verarbeitung

Wir verarbeiten die vorab genannten personenbezogenen Daten unter Einhaltung der jeweils anwendbaren gesetzlichen Datenschutzanforderungen, insbesondere nach den folgenden Rechtsgrundlagen der Datenschutz-Grundverordnung (,,DS-GVO“):

a. Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO sowie gegebenenfalls Art. 9 Abs. 2 lit. a DS-GVO, sofern besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet werden)

Soweit Sie uns eine Einwilligung für bestimmte Verarbeitungen erteilen, verarbeiten wir Ihre Daten auf dieser Grundlage. Dies betrifft insbesondere Fälle, in denen eine Einwilligung gesetzlich erforderlich ist oder von uns gesondert eingeholt wird. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung nicht berührt.

b. Zur Erfüllung von vertraglichen Pflichten oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DS-GVO)

Wir verarbeiten personenbezogene Daten, soweit dies für die Registrierung, den Login, die Einrichtung und Führung des Nutzerkontos, die Nutzung der Plattform, die Nutzung des „VITAL-TALK® Coach“, die Nutzung weiterer Plattformfunktionen, die Bearbeitung plattformbezogener Supportanfragen, die Durchführung vorvertraglicher Maßnahmen oder die Erfüllung vertraglicher Pflichten erforderlich ist.

c. Aufgrund rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DS-GVO)

Wir verarbeiten personenbezogene Daten, soweit dies zur Erfüllung rechtlicher Verpflichtungen erforderlich ist, denen die Performance Gateway GmbH unterliegt. Dies betrifft insbesondere handels- und steuerrechtliche Aufbewahrungspflichten, Nachweispflichten, die Erfüllung datenschutzrechtlicher Betroffenenrechte sowie gegebenenfalls weitere gesetzliche Verpflichtungen.

d. Im Rahmen des berechtigten Interesses / der Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO)

Wir verarbeiten personenbezogene Daten, soweit dies zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist und Ihre Interessen oder Grundrechte und Grundfreiheiten nicht überwiegen. Dies betrifft insbesondere die Gewährleistung von IT-Sicherheit, Stabilität, Fehleranalyse, Missbrauchsverhinderung, Support, Systempflege, technische Administration, Abwehr von Angriffen, Wahrung und Durchsetzung rechtlicher Ansprüche, die Nachvollziehbarkeit sicherheitsrelevanter Vorgänge sowie die funktionsfähige und sichere Bereitstellung der Plattform.

e. Nationale Datenschutzregelungen

Zusätzlich zu den Regelungen der DS-GVO gelten in Deutschland nationale Regelungen, zu denen insbesondere das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zählen. Diese beinhalten spezielle Datenschutzregelungen auf nationaler Ebene, nach denen wir Ihre Daten verarbeiten. Weitere rechtliche Vorgaben (wie beispielsweise die EU KI-Verordnung) werden, sofern rechtlich erforderlich, im Rahmen dieser Datenschutzerklärung oder gesonderter Informationen berücksichtigt.

VII. Sicherheitsmaßnahmen (technische und organisatorische Maßnahmen, TOM ́s)

Die Sicherheit Ihrer personenbezogenen Daten hat für die Performance Gateway GmbH hohe Priorität. Nach den gesetzlichen Vorgaben und unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes möglicher Risiken treffen wir geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DS-GVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den von der Performance Gateway GmbH getroffenen Maßnahmen zählen insbesondere organisatorische und technische Schutzmaßnahmen zur Begrenzung und Kontrolle von Zugriffen, zur Absicherung der Systeme und Kommunikationswege, zur Behandlung sicherheitsrelevanter Ereignisse sowie zur Wahrung von Betroffenenrechten und Löschprozessen. Bereits bei der Auswahl von Hardware, Software und Verfahren sowie bei datenschutzrelevanten Änderungen berücksichtigen wir datenschutzfreundliche Voreinstellungen und die Grundsätze datenschutzgerechter Technikgestaltung i. S. v. Art. 25 DS-GVO, soweit dies einschlägig ist.

Zu den Sicherheitsmaßnahmen zählen nach dem derzeitigen Stand insbesondere:

verschlüsselte Übertragung von Daten mittels HTTPS und aktuellen TLS-Versionen,
serverseitige Absicherung der Anwendung,
rollenbasierte Rechtevergabe und Trennung von Nutzer- und Administrationsfunktionen,
getrennte Umgebungen für Entwicklung und Produktion,
Einsatz sicherer Passwort-Hashes,
optional nutzbare Zwei-Faktor-Authentifizierung auf Profilbasis,
Absicherung der Anwendung durch Validierungs- und Berechtigungslogiken,
Begrenzung automatisierter Angriffe durch Rate-Limiting,
Verschlüsselung auf Infrastruktur-Ebene bei den eingesetzten Hosting- und Cloud-Diensten,
versionsbasiertes Deployment, kontrollierte Releases und Rollback-Möglichkeiten.

Darüber hinaus bestehen technische und konzeptionelle Maßnahmen zur Begrenzung missbräuchlicher Eingaben und Ausgaben innerhalb der KI-gestützten Funktionen. Dies betrifft insbesondere feste System-Instructions, Nutzer- und Thread-Zuordnung, technische Kontextbegrenzung, Schutzmechanismen gegen Prompt-Injection und Maßnahmen zur Begrenzung von Antworten außerhalb des vorgesehenen Performance-Gateway-Konzepts.

VIII. Technische Bereitstellung der Plattform, Hosting und Domainbetrieb

a. Art und Zweck der Verarbeitung

Zur sicheren und effizienten Bereitstellung der Plattform nutzt die Performance Gateway GmbH Hosting-, Infrastruktur-
und Domainleistungen von:

ALL-INKL.COM – Neue Medien Münnich (Inhaber René Münnich)
Hauptstraße 68
02742 Friedersdorf
Deutschland
Telefon: 035872 / 35310
E-Mail: info@all-inkl.com

Mit diesem Anbieter wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen.

Die Plattform sowie die Domain werden über die Infrastruktur von ALL-INKL.COM – Neue Medien Münnich gehostet. Die Server dieses Dienstleisters befinden sich nach den vorliegenden Angaben ausschließlich in Deutschland.

Die technische Bereitstellung umfasst insbesondere:

den Aufbau und die Aufrechterhaltung der Verbindung zur Plattform,
die serverseitige Verarbeitung von Anfragen,
die Auslieferung angeforderter Inhalte,
die Sicherstellung von Stabilität, Integrität und Verfügbarkeit,
die Fehleranalyse und Störungsbeseitigung,
die technische Absicherung gegen missbräuchliche oder schädliche Zugriffe.

Die Plattform ist von der öffentlichen Website zu unterscheiden. Während die öffentliche Website der Produktdarstellung
dient, erfolgt die eigentliche Produktnutzung innerhalb der Plattform unter app.performancegateway.de.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO. Soweit die Hosting- und Domainleistungen zur vertraglichen Bereitstellung der Plattform erforderlich sind, ist ergänzend Art. 6 Abs. 1 lit. b DS-GVO einschlägig. Die Verarbeitung durch ALL-INKL.COM – Neue Medien Münnich erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

c. Datenkategorien

Im Rahmen der technischen Bereitstellung können insbesondere folgende Daten verarbeitet werden:

IP-Adresse,
Datum und Uhrzeit des Zugriffs,
angeforderte URL beziehungsweise Ressource,
Domain beziehungsweise Hostname,
HTTP-Statuscodes,
Browsertyp und Browserversion,
verwendetes Betriebssystem,
Geräte- und Clientinformationen,
User-Agent,
weitere technisch erforderliche Header- und Protokolldaten.

d. Empfänger

Empfänger der Daten sind:

interne Stellen der Performance Gateway GmbH, die mit dem technischen Betrieb der Plattform befasst sind,
ALL-INKL.COM – Neue Medien Münnich,
weitere von der Performance Gateway GmbH eingesetzte Auftragsverarbeiter, soweit dies für Hosting, Domainbetrieb, Administration, Wartung, Support, Fehleranalyse, Sicherheit und plattformbezogene Bereitstellung erforderlich ist.

e. Speicherfristen

Die Daten werden nur so lange gespeichert, wie dies für die technischen Bereitstellungszwecke erforderlich ist. Soweit die Daten zugleich in Server-Logfiles oder sicherheitsbezogenen Protokollen enthalten sind, gelten ergänzend die dort genannten Speicherfristen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich im engeren Sinne vorgeschrieben. Ohne die Verarbeitung insbesondere der IP-Adresse und der weiteren technisch erforderlichen Kommunikationsdaten ist der Zugriff auf und die Nutzung der Plattform jedoch nicht möglich.

g. Drittlandübermittlungen

Nach den vorliegenden Angaben ist im Zusammenhang mit ALL-INKL.COM – Neue Medien Münnich eine Drittlandübermittlung ausgeschlossen, da die Hosting- und Domainleistungen ausschließlich in Deutschland erbracht werden.

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen. Ein solcher Widerspruch kann jedoch ausgeschlossen oder eingeschränkt sein, soweit die Verarbeitung zwingend für die technische Bereitstellung, Sicherheit oder Integrität der Plattform erforderlich ist.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

IX. Server-Logfiles

a. Art und Zweck der Verarbeitung

Beim Aufruf und bei der Nutzung der Plattform werden Zugriffe auf den Webserver in Server-Logfiles protokolliert. Dies dient der technischen Administration, der Sicherstellung eines störungsfreien Betriebs, der IT-Sicherheit, der Fehleranalyse, der Missbrauchsabwehr und der Nachvollziehbarkeit sicherheitsrelevanter Ereignisse.

Nach den vorliegenden Angaben werden insbesondere folgende Informationen verarbeitet:

technische Metadaten wie IP-Adressen,
Zeitstempel von Zugriffen,
aufgerufene URLs beziehungsweise Domains,
HTTP-Statuscodes,
Browser- und Clientinformationen.

Zusätzlich können technische Protokolle zu FTP-Zugriffen, Dateiaktionen, PHP- beziehungsweise Skriptfehlern sowie aggregierten Statistikdaten zu Zugriffen, Hits und Traffic anfallen.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO. Soweit gesetzliche Verpflichtungen betroffen sind, gilt ergänzend Art. 6 Abs. 1 lit. c DS-GVO.

c. Datenkategorien

Verarbeitet werden insbesondere:

IP-Adressen,
Zeitstempel,
URLs beziehungsweise Domains,
HTTP-Statuscodes,
User-Agent,
Browser- und Clientinformationen,
technische Datei- und Zugriffsmetadaten,
PHP- beziehungsweise Skriptfehlermeldungen,
FTP-bezogene technische Zugriffsdaten,
aggregierte Statistikdaten.

d. Empfänger

Empfänger der Daten sind:

interne administrativ oder technisch zuständige Stellen der Performance Gateway GmbH,
ALL-INKL.COM – Neue Medien Münnich,
die Accio Media GmbH im Rahmen der technischen Entwicklung, Administration, Wartung und Support der Plattform,
weitere technisch eingebundene Auftragsverarbeiter, soweit erforderlich.

e. Speicherfristen

Systemlogs des Hosting-Dienstleisters werden nach dem derzeitigen Stand grundsätzlich nach 30 Tagen automatisch gelöscht. Eine darüber hinausgehende Speicherung kommt nur in Betracht, soweit dies im Einzelfall rechtlich zulässig und erforderlich ist, insbesondere zur Aufklärung konkreter Sicherheitsvorfälle, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder soweit gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Verarbeitung dieser Daten ist für den sicheren technischen Betrieb der Plattform erforderlich.

g. Drittlandübermittlungen

Nach den vorliegenden Angaben ist im Zusammenhang mit den Hoster-Server-Logfiles eine Drittlandübermittlung ausgeschlossen.

h. Widerspruch und sonstige spezifische Hinweise

Ein Widerspruch kann ausgeschlossen oder eingeschränkt sein, soweit die Verarbeitung zur Sicherheit, Stabilität und Nachvollziehbarkeit des Plattformbetriebs erforderlich ist oder konkrete überwiegende schutzwürdige Gründe für die weitere Speicherung vorliegen.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

X. Technische Entwicklung, Administration, Wartung und Support der Plattform

a. Art und Zweck der Verarbeitung

Die Plattform wird technisch entwickelt, administriert, gewartet und supportet durch:

Accio Media GmbH
Lautenschlägerstr. 14
63450 Hanau
Deutschland
Telefon: 06181 / 5022585
E-Mail: info@acciomedia.com

Mit diesem Dienstleister wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen.

Soweit dies im Rahmen der technischen Entwicklung, Administration, Wartung, Weiterentwicklung, Supportleistung, Störungsbeseitigung und Sicherheitsbearbeitung erforderlich ist, verarbeitet die Accio Media GmbH personenbezogene Daten im Auftrag der Performance Gateway GmbH. Der Zugriff erfolgt nur insoweit, als dies zur Erfüllung der übernommenen Leistungen erforderlich ist.

Diese Verarbeitung betrifft die technische und organisatorische Betreuung der Plattform. Sie umfasst nicht automatisch allgemeine geschäftliche Kommunikations-, Abrechnungs- und Verwaltungsprozesse außerhalb der Plattformnutzung. Für weitergehende Verarbeitungskontexte gelten ergänzend die Informationspflichten DS-GVO sowie gegebenenfalls weitere gesondert bereitgestellte Datenschutzhinweise.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO. Soweit die Leistungserbringung gegenüber Nutzenden betroffen ist, kann ergänzend Art. 6 Abs. 1 lit. b DS-GVO einschlägig sein. Die Auftragsverarbeitung erfolgt auf Grundlage von Art. 28 DS-GVO.

c. Datenkategorien

Soweit technisch erforderlich, können insbesondere folgende Daten betroffen sein:

technische Zugriffsdaten,
Protokolldaten,
Logfile-Daten,
Sitzungs- und Fehlerdaten,
Account- und Metadaten,
technische Betriebsdaten der Plattform,
Daten, die im Rahmen von Support, Wartung oder Fehleranalyse technisch sichtbar oder zugänglich werden.

d. Empfänger

Empfänger der Daten ist die Accio Media GmbH, soweit dies zur Entwicklung, Administration, Wartung, Weiterentwicklung, Supportleistung, Störungsbeseitigung oder Fehleranalyse der Plattform erforderlich ist.

e. Speicherfristen

Eine eigenständige, von den Primärsystemen losgelöste Speicherfrist findet insoweit nicht automatisch statt. Soweit Daten im Rahmen von Wartung, Fehleranalyse oder Support in technischen Kontexten verarbeitet werden, gelten die jeweiligen system- oder vorgangsbezogenen Speicherfristen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Verarbeitung ist technisch und organisatorisch erforderlich, um die Plattform ordnungsgemäß zu administrieren, zu warten, weiterzuentwickeln und sicher zu betreiben.

g. Drittlandübermittlungen

Nach den vorliegenden Angaben ist im Zusammenhang mit der Accio Media GmbH eine Drittlandübermittlung ausgeschlossen.

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie Widerspruch einlegen. Ein solcher Widerspruch kann jedoch ausgeschlossen oder eingeschränkt sein, soweit zwingende schutzwürdige Gründe für die technische Administration, Sicherheit und Funktionsfähigkeit der Plattform vorliegen.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XI. Registrierung, Nutzerkonto, Login, Sitzungsverwaltung, Passwort-Zurücksetzung und Zwei-Faktor-Authentifizierung

a. Art und Zweck der Verarbeitung

Für die Nutzung der Plattform ist die Einrichtung und Verwaltung eines Nutzerkontos bzw. Accounts erforderlich. Dabei verarbeitet die Performance Gateway GmbH die für Registrierung, Benutzer- oder Administrator-Authentifizierung, Kontoführung, Sitzungsverwaltung, Sicherheitsprüfung und gegebenenfalls Zwei-Faktor-Authentifizierung erforderlichen Daten.

Nach dem derzeitigen Stand werden insbesondere folgende Account- und Stammdaten verarbeitet:

Identifikator (technische ID),
Vorname,
Nachname,
Adresse,
Stadt,
Postleitzahl,
Rolle,
Produktberechtigung beziehungsweise Freigabe der Produktnutzung,
E-Mail-Adresse,
Zeitpunkt der E-Mail-Bestätigung,
Passwort,
Zwei-Faktor-Authentifizierungsdaten wie Recovery-Codes und Bestätigungsstatus,
Erstellungs- und Änderungszeitpunkte.

Passwörter werden ausschließlich gehasht gespeichert.

Zusätzlich werden Daten zur Passwort-Zurücksetzung verarbeitet, insbesondere:

E-Mail-Adresse,
Zurücksetz-Token,
Erstellungszeitpunkt.

Diese Daten dienen ausschließlich dem sicheren Passwort-Reset und werden nach Ablauf automatisiert gelöscht.
Für die Sitzungsverwaltung werden insbesondere folgende Daten verarbeitet:

Session-ID,
Benutzer-ID,
IP-Adresse,
Browser- beziehungsweise Gerätekennung,
Sitzungsdaten,
Zeitpunkt der letzten Aktivität.

Diese Daten dienen ausschließlich der sicheren Sitzungsverwaltung und werden automatisiert nach Ablauf der jeweiligen
Sitzung gelöscht.

Die Zwei-Faktor-Authentifizierung kann profilbezogen optional aktiviert werden. Sie erfolgt mittels app-basierter Einmalcodes.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit sie für Registrierung, Login, Konto- und Sitzungsverwaltung sowie die Nutzung der Plattform erforderlich ist. Ergänzend erfolgt eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO, soweit dies der IT-Sicherheit, Missbrauchsverhinderung, Rechteprüfung und sicheren Zugangsverwaltung dient.

c. Datenkategorien

Verarbeitet werden insbesondere:

Identifikationsdaten,
Kontaktdaten,
Adressdaten,
Rollen- und Berechtigungsdaten,
Authentifizierungsdaten,
Passwort-Reset-Daten,
Sitzungsdaten,
Sicherheits- und Metadaten,
Zeitstempel.

d. Empfänger

Empfänger der Daten sind:

interne zuständige Stellen der Performance Gateway GmbH,
eingesetzte technische Auftragsverarbeiter, soweit dies für Kontoführung, Authentifizierung, sichere Bereitstellung, technische Wartung und Plattformbetrieb erforderlich ist.

e. Speicherfristen

Account- und Stammdaten werden grundsätzlich für die Dauer des Bestehens des Nutzerkontos gespeichert. Passwort-Reset-Daten werden nach Ablauf automatisiert gelöscht. Sitzungsdaten werden nach Ablauf der jeweiligen Sitzung automatisiert gelöscht. Für die Löschfolgen nach Kontolöschung gelten ergänzend die in dieser Datenschutzerklärung und gesondert bereitgestellten Hinweisen beschriebenen Regelungen zur Kontolöschung.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung der für Registrierung, Login und Kontoführung erforderlichen Daten ist notwendig, damit die Plattform genutzt werden kann.

g. Drittlandübermittlungen

In diesem Zusammenhang erfolgt keine gesonderte beabsichtigte Drittlandübermittlung außerhalb der in dieser Datenschutzerklärung beschriebenen Microsoft-Verarbeitungen.

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch nach Art. 21 DS-GVO einlegen. Sicherheitsbezogene Teilverarbeitungen können Widersprüche ausschließen oder einschränken, soweit die Verarbeitung zwingend zur sicheren Nutzungs- und Zugangsverwaltung erforderlich ist.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XII. Einsatz von Cookies und ähnlichen Technologien

a. Art und Zweck der Verarbeitung

Im Rahmen der Plattformnutzung werden Cookies und ähnliche Technologien eingesetzt. Diese dienen teilweise der technisch erforderlichen Bereitstellung der Plattform sowie teilweise der Abbildung einzelner plattformbezogener Funktionen.

Nach dem derzeitigen Stand betrifft dies insbesondere folgende Cookies und vergleichbare Technologien:

„performance_gateway_session“
Dieses Cookie ist technisch erforderlich. Es dient als ,,Session-Identifier“ innerhalb der Anwendung. Es enthält eine eindeutige, zufällig generierte Session-ID, die serverseitig einer Session-Instanz zugeordnet wird. Die eigentlichen Sitzungsdaten werden nicht im Cookie selbst, sondern serverseitig gespeichert. Das Cookie fungiert ausschließlich als Referenzschlüssel. Es dient insbesondere der Wiedererkennung einer Browser-Session, der Persistenz von Zuständen, etwa des Login-Status, von Formulardaten oder des CSRF-Kontexts, sowie der Sicherstellung konsistenter Requests innerhalb einer Sitzung.
„XSRF-TOKEN“
Dieses Cookie ist technisch erforderlich. Es enthält ein CSRF-Token, das von der Anwendung generiert wird. Es wird verwendet, um sicherzustellen, dass zustandsverändernde HTTP-Anfragen tatsächlich vom legitimen Client stammen. Es dient insbesondere dem Schutz vor CSRF-Angriffen, der Validierung der Herkunft von Requests sowie der Sicherstellung der Integrität von Benutzeraktionen.
„lastClosedRate“ im Local Storage
Zusätzlich speichert die Anwendung einen Eintrag im Local Storage des Browsers. Dieser Eintrag ist funktional. Der Wert enthält einen Zeitstempel, der dokumentiert, wann ein Nutzer eine Bewertungsanfrage aktiv abgelehnt oder geschlossen hat. Die Speicherung erfolgt ausschließlich clientseitig im Browser und wird nicht automatisch an den Server übertragen. Die Speicherung dient insbesondere der Vermeidung wiederholter Anzeige von Bewertungsanfragen, der Verbesserung der Benutzerfreundlichkeit durch Reduktion von Störungen sowie der Steuerung eines Intervalls, nach dem die Bewertungsanfrage erneut angezeigt werden darf. Nach den vorliegenden Angaben wird das Bewertungsfenster nach einer zufallsbasierten Logik angezeigt, sobald ein Nutzer mindestens 15 Gespräche geführt hat. Entscheidet sich der Nutzer, zu diesem Zeitpunkt keine Bewertung abzugeben und das Fenster zu schließen, wird diese Entscheidung lokal gespeichert und die Bewertungsanfrage frühestens 15 Tage später erneut nach der vorgesehenen Logik angezeigt.

Diese Cookies und ähnlichen Technologien dienen insgesamt insbesondere:

der Anmeldung und Authentifizierung,
der sicheren Aufrechterhaltung der Sitzung,
dem Schutz vor unzulässigen oder manipulierten Aktionen,
der technisch erforderlichen Nutzerführung,
der Unterstützung plattforminterner Funktionen, insbesondere im Zusammenhang mit der Anzeige, Steuerung und
zeitversetzten erneuten Einblendung von Bewertungslogiken.

b. Rechtsgrundlage für die Datenverarbeitung

Soweit Informationen in Endeinrichtungen gespeichert oder aus diesen ausgelesen werden, richtet sich die Zulässigkeit
nach § 25 TDDDG.

Soweit der Einsatz eines Cookies oder einer ähnlichen Technologie unbedingt erforderlich ist, um einen von dem Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen, erfolgt der Endeinrichtungszugriff auf Grundlage der gesetzlichen Erlaubnistatbestände des § 25 Abs. 2 TDDDG.

Soweit aufbauend personenbezogene Daten verarbeitet werden, erfolgt dies insbesondere:

auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit die Verarbeitung für die Bereitstellung der Plattform oder einer vom Nutzer gewünschten Funktion erforderlich ist,
auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO, soweit die Verarbeitung der Sicherheit, Stabilität, Missbrauchsverhinderung oder einer sonstigen berechtigten Funktionssteuerung dient.

Soweit im Einzelfall nicht technisch erforderliche Cookies oder ähnliche Technologien eingesetzt werden und deren Einsatz auf einer freiwilligen Entscheidung oder Einwilligung des Nutzers beruht, erfolgt der Endeinrichtungszugriff auf Grundlage der insoweit einschlägigen Einwilligungserfordernisse. Es wird auf § 25 Abs. 1 TDDDG verwiesen. Die anschließende personenbezogene Verarbeitung in diesen Fällen beruht auf Art. 6 Abs. 1 lit. a DS-GVO.

Für den technisch erforderlichen Einsatz von „performance_gateway_session“ und „XSRF-TOKEN“ ist die Einwilligung des Nutzers nicht erforderlich nach den Voraussetzungen des § 25 Abs. 2 TDDDG.

Für den funktionalen Local-Storage-Eintrag „lastClosedRate“ erfolgt die Speicherung nach dem derzeitigen Stand im berechtigten Interesse (Art. 6 Abs. 1 lit. f DS-GVO) der Performance Gateway GmbH an einer nutzerfreundlichen, störungsarmen und technisch sinnvollen Steuerung der Bewertungsabfrage. Soweit die Bewertungsfunktion im konkreten Nutzungskontext zugleich der Ausgestaltung einer vom Nutzer genutzten Plattformfunktion dient, kann ergänzend Art. 6 Abs. 1 lit. b DS-GVO einschlägig sein.

c. Datenkategorien

Je nach technischer Ausgestaltung können insbesondere folgende Daten betroffen sein:

Sitzungskennungen,
sicherheitsrelevante Token,
technische Zustandsdaten,
Cookie- oder sonstige Endeinrichtungsdaten,
Informationen zur Anmeldung,
Informationen zur sitzungsbezogenen Sicherheitsprüfung,
Informationen darüber, dass eine Gesprächsbewertung zu einem späteren Zeitpunkt erneut angezeigt werden soll, clientseitig gespeicherte Zeitstempel im Local Storage.

d. Empfänger

Empfänger sind:

interne zuständige Stellen der Performance Gateway GmbH,
eingesetzte technische Auftragsverarbeiter, soweit dies für Sitzungsverwaltung, Sicherheitsfunktionen und Plattformbetrieb erforderlich ist.

Der Eintrag „lastClosedRate“ wird nach den vorliegenden Angaben ausschließlich clientseitig im Browser gespeichert und nicht automatisch an den Server übertragen.

e. Speicherfristen

Für die vorstehend genannten Technologien gelten nach dem derzeitigen Stand insbesondere folgende Speicherfristen:

„performance_gateway_session“: 10080 Minuten, also 7 Tage,
„XSRF-TOKEN“: 10080 Minuten, also 7 Tage,
„lastClosedRate“ im Local Storage: Es handelt sich hierbei nicht um einen regulären Cookie. Der Eintrag verbleibt grundsätzlich so lange im Browser des Nutzers, bis er durch den Nutzer, den Browser oder durch Überschreiben entfernt wird. Dies hat technisch bedingte Hintergründe (Local Storage Variablen haben keine automatische Ablauffunktion).

Soweit einzelne Cookies oder ähnliche Technologien andere Funktionszwecke abbilden, richtet sich die Speicherdauer nach dem jeweiligen Zweck der betreffenden Technologie.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Ohne technisch erforderliche sitzungs- oder sicherheitsbezogene Technologien kann die Plattform ganz oder teilweise nicht genutzt werden. Soweit nicht technisch erforderliche Cookies oder ähnliche Technologien eingesetzt werden, erfolgt dies nur unter den hierfür jeweils geltenden rechtlichen Voraussetzungen.

g. Drittlandübermittlungen

Es erfolgen in diesem Zusammenhang keine gesonderten, über die in dieser Datenschutzerklärung bereits beschriebenen Fälle hinausgehenden Drittlandübermittlungen.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Soweit Endeinrichtungszugriffe technisch unbedingt erforderlich sind, bestehen insoweit keine gesonderten Wahlmöglichkeiten wie bei nicht erforderlichen Technologien.

Soweit der Einsatz nicht technisch erforderlicher Cookies oder ähnlicher Technologien auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden nach den Grundsätzen von Art. 7 Abs. 3 DS-GVO.

Soweit nachgelagerte personenbezogene Verarbeitungen auf Art. 6 Abs. 1 lit. f DS-GVO beruhen, besteht nach Maßgabe des Art. 21 DS-GVO ein Widerspruchsrecht. Sicherheitsbezogene Teilverarbeitungen können Widersprüche jedoch ausschließen oder einschränken, soweit die Verarbeitung zwingend zur sicheren Nutzungs- und Zugangsverwaltung erforderlich ist.

Nutzer können Cookies und sonstige browserbezogene Speicherinhalte grundsätzlich auch eigenständig über die Einstellungen ihres jeweiligen Browsers löschen, einschränken oder verwalten. Dies gilt insbesondere für gespeicherte Cookies, Website-Daten sowie gegebenenfalls browserseitige Speicherinhalte wie Local Storage. Die konkrete Vorgehensweise richtet sich nach dem jeweils verwendeten Browser und den Einstellungen des jeweiligen Browseranbieters. Bitte beachten Sie, dass die Löschung oder Deaktivierung technisch erforderlicher Cookies oder vergleichbarer Technologien dazu führen kann, dass einzelne Funktionen der Plattform ganz oder teilweise nicht mehr ordnungsgemäß genutzt werden können.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XIII. Anzeige und Verarbeitung freiwilliger Gesprächsbewertungen

a. Art und Zweck der Verarbeitung

Die Performance Gateway GmbH kann Nutzern innerhalb der Plattform ein Bewertungsfenster beziehungsweise eine Bewertungsfunktion anzeigen, über das oder die Gespräche freiwillig bewertet werden können. Nutzer können dabei insbesondere Sterne vergeben und optional eine Nachricht eingeben, die an die Performance Gateway GmbH übermittelt wird.

Die Gesprächsbewertung dient insbesondere:

der freiwilligen Rückmeldung zur Nutzung und Qualität von Gesprächen,
der Verbesserung der Nutzungs- und Gesprächserfahrung,
der Erkennung von Optimierungsbedarfen,
der freiwilligen Übermittlung zusätzlicher Hinweise des Nutzers an die Performance Gateway GmbH.

Die Bewertung eines Gesprächs ist freiwillig. Gleiches gilt für die optionale Eingabe und Übermittlung einer Nachricht im Rahmen des Bewertungsfensters.

b. Rechtsgrundlage für die Datenverarbeitung

Die Anzeige der Bewertungsmöglichkeit wird auf Art. 6 Abs. 1 lit. f DS-GVO gestützt, da die Performance Gateway GmbH ein berechtigtes Interesse daran hat, freiwillige Rückmeldungen zur Nutzung und Qualität der Plattform einzuholen. Soweit die Bewertungsfunktion zugleich als Bestandteil der plattformbezogenen Nutzerführung und Weiterentwicklung einzuordnen ist, kann ergänzend Art. 6 Abs. 1 lit. b DS-GVO einschlägig sein.

Soweit Nutzer freiwillig eine Bewertung abgeben und insbesondere eine optionale Nachricht an die Performance Gateway GmbH übermitteln, erfolgt die Verarbeitung insoweit auf Grundlage der darin liegenden Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO.

Die clientseitige Speicherung, dass eine Bewertung später erfolgen soll oder das Bewertungsfenster nach einem bestimmten Zeitraum erneut angezeigt wird, wird nach dem derzeitigen Stand auf das berechtigte Interesse der Performance Gateway GmbH gemäß Art. 6 Abs. 1 lit. f DS-GVO gestützt, um die nutzerseitige Entscheidung zur zeitversetzten Bewertung abzubilden und die Bewertungsfunktion nutzerfreundlich auszugestalten.

c. Datenkategorien

Verarbeitet werden insbesondere:

Sternebewertung beziehungsweise Bewertungsstufe,
optional eingegebene Nachricht,
Bezug zum bewerteten Gespräch,
Zeitstempel der Bewertung,
technische Zuordnungs- und Kontextdaten,
Informationen dazu, dass die Bewertungsanfrage geschlossen oder später erneut angezeigt werden soll.

d. Empfänger

Empfänger der Daten sind:

interne zuständige Stellen der Performance Gateway GmbH,
eingesetzte technische Auftragsverarbeiter, soweit dies für die technische Bereitstellung, Speicherung oder
Bearbeitung der Bewertungsfunktion erforderlich ist.

e. Speicherfristen

Bewertungsdaten und freiwillig übermittelte Nachrichten werden grundsätzlich so lange gespeichert, wie dies für den jeweiligen Bewertungs- und Bearbeitungszweck erforderlich ist oder bis eine Löschung des Kontos beziehungsweise eine rechtlich zulässige Löschung erfolgt. Clientseitige Informationen zur zeitversetzten erneuten Anzeige der Bewertungsanfrage werden entsprechend der technischen Ausgestaltung gespeichert. Für „lastClosedRate“ gilt nach den vorliegenden Angaben grundsätzlich eine Speicherung bis zur Löschung durch den Nutzer, den Browser oder durch Überschreiben.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Abgabe einer Gesprächsbewertung und die Eingabe einer Nachricht sind freiwillig. Ohne eine solche Angabe kann die Plattform weiterhin genutzt werden. Soweit jedoch eine Bewertung abgegeben oder eine Nachricht versendet werden soll, ist die Verarbeitung der hierfür erforderlichen Daten notwendig.

g. Drittlandübermittlungen

Eine Drittlandübermittlung im Rahmen der Bewertungsfunktion findet nach dem derzeitigen Stand nicht statt.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Die Bewertung erfolgt freiwillig. Die Übermittlung einer optionalen Nachricht an die Performance Gateway GmbH erfolgt ebenfalls freiwillig. Soweit die Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden nach den Grundsätzen von Art. 7 Abs. 3 DS-GVO. Soweit einzelne Teilverarbeitungen auf Art. 6 Abs. 1 lit. f DS-GVO beruhen, besteht ein Widerspruchsrecht nach Maßgabe des Art. 21 DS-GVO

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XIV. Analyse-, Tracking- oder Reichweitenmessungs-Tools

a. Art und Zweck der Verarbeitung

Nach dem derzeitigen Stand setzt die Performance Gateway GmbH innerhalb der Plattform keine Analyse-, Tracking- oder Reichweitenmessungs-Tools ein, die über technisch erforderliche Funktionen, sicherheitsbezogene Maßnahmen oder die in dieser Datenschutzerklärung gesondert beschriebenen plattforminternen Funktionen hinausgehen.
Insbesondere erfolgt derzeit keine gesonderte Verhaltensanalyse zu Marketing-, Werbe-, Profilbildungs- oder klassischer Reichweitenmessung außerhalb der für den Betrieb der Plattform erforderlichen technischen und funktionalen Zusammenhänge.

b. Rechtsgrundlage für die Datenverarbeitung

Mangels Einsatzes gesonderter Analyse-, Tracking- oder Reichweitenmessungs-Tools findet derzeit keine eigenständige Verarbeitung personenbezogener Daten zu diesen Zwecken statt.

c. Datenkategorien

Derzeit werden im Zusammenhang mit gesonderten Analyse-, Tracking- oder Reichweitenmessungs-Tools keine zusätzlichen personenbezogenen Daten verarbeitet.

d. Empfänger

Derzeit bestehen keine gesonderten Empfänger im Zusammenhang mit solchen Analyse-, Tracking- oder Reichweitenmessungs-Tools.

e. Speicherfristen

Derzeit bestehen hierfür keine gesonderten Speicherfristen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Eine gesonderte Bereitstellung personenbezogener Daten zu Analyse-, Tracking- oder Reichweitenmessungszwecken erfolgt derzeit nicht.

g. Drittlandübermittlungen

Derzeit erfolgen keine gesonderten Drittlandübermittlungen im Zusammenhang mit solchen Analyse-, Tracking- oder Reichweitenmessungs-Tools.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Mangels Einsatzes gesonderter Analyse-, Tracking- oder Reichweitenmessungs-Tools bestehen derzeit keine diesbezüglichen besonderen Widerrufs- oder Widerspruchskonstellationen. Sollten künftig entsprechende Tools eingesetzt werden, wird die Performance Gateway GmbH die hierüber erforderlichen Informationen rechtzeitig in dieser Datenschutzerklärung ergänzen und, soweit rechtlich erforderlich, entsprechende Einwilligungs- oder Wahlmechanismen vorsehen.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XV. Nutzung der Plattformfunktionen, Chats, Methoden, KI-Interaktionen und Thread-Metadaten

a. Art und Zweck der Verarbeitung

Im Rahmen der Plattformnutzung können Nutzende plattformspezifische Funktionen, Methoden, Chat- beziehungsweise Interaktionsbereiche und KI-gestützte Kommunikations-, Analyse- und Bewertungsfunktionen nutzen. Das derzeit zentrale Produkt ist der „VITAL-TALK® Coach“. Die Plattform kann künftig um weitere Produkte ergänzt werden.

Die Plattform ist so ausgestaltet, dass neue Chats beziehungsweise neue Interaktionskontexte jeweils eigenständig angelegt werden, um die Nutzung zweckgebunden, strukturiert und datensparsam zu halten und die Wirksamkeit des Performance-Gateway-Konzepts sicherzustellen.

Nach dem derzeitigen Stand werden Gesprächs- und Nachrichteninhalte nicht in der eigenen Datenbank gespeichert. In der eigenen Datenbank werden vielmehr nur Thread-Metadaten wie insbesondere Nutzerbezug, Assistant-Bezug, technische Azure OpenAI-Bezugswerte und Titel gespeichert. Die eigentlichen Nachrichten- und Gesprächsinhalte verbleiben technisch in den hierfür genutzten Thread-Kontexten innerhalb der eingesetzten Microsoft-Dienste.

Diese Verarbeitung dient insbesondere:

der Durchführung der gewünschten Interaktion,
der Bereitstellung strukturierter Kommunikationsmethoden,
der KI-gestützten Reaktion, Analyse und Bewertung innerhalb des zulässigen Nutzungskontexts,
der Verwaltung der Interaktionskontexte,
der datensparsamen technischen Trennung einzelner Gesprächskontexte.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit sie für die Bereitstellung und Nutzung der Plattformfunktionen erforderlich ist. Ergänzend ist Art. 6 Abs. 1 lit. f DS-GVO einschlägig, soweit die Verarbeitung der Systemsicherheit, Funktionsfähigkeit, Fehleranalyse und Missbrauchsverhinderung dient.

c. Datenkategorien

Verarbeitet werden insbesondere:

Thread-Metadaten,
Nutzerbezüge,
technische Interaktions- und Kontextdaten,
eingegebene Kommunikationsinhalte,
KI-bezogene Ausgabedaten innerhalb des Interaktionskontexts.

d. Empfänger

Empfänger sind:

interne zuständige Stellen der Performance Gateway GmbH,
Microsoft Ireland Operations Limited im Rahmen der eingesetzten Dienste, soweit dies für die Durchführung der
jeweiligen Interaktion erforderlich ist,
die Accio Media GmbH im Rahmen der technischen Entwicklung, Administration, Wartung und Support der
Plattform,
weitere Auftragsverarbeiter, soweit dies technisch erforderlich ist.

e. Speicherfristen

Thread-Metadaten werden gespeichert, solange dies für Bereitstellung, Zuordnung und technische Funktionsfähigkeit erforderlich ist. Die eigentlichen Gesprächs- und Interaktionsinhalte werden nicht in der eigenen Datenbank gespeichert. Für die Löschfolgen nach Kontolöschung, Vertragskündigung oder regulärem Vertragsende gelten ergänzend die in dieser Datenschutzerklärung und den gesonderten Hinweisen beschriebenen Regelungen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Soweit Sie die Chat-, Methoden- und KI-Funktionen nutzen möchten, ist die Verarbeitung der hierfür erforderlichen Eingaben, Kontextdaten und Metadaten notwendig.

g. Drittlandübermittlungen

Nach den vorliegenden Angaben werden die eingesetzten Microsoft-Dienste in der Region „Germany West Central“ (Frankfurt am Main, Westdeutschland) betrieben. Wegen der internationalen Konzernstruktur von Microsoft und möglicher konzerninterner Zugriffe oder Supportkonstellationen kann eine Drittlandübermittlung gleichwohl nicht in jeder Konstellation vollständig ausgeschlossen werden. Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage geeigneter Garantien, insbesondere der von Microsoft bereitgestellten Standardvertragsklauseln gemäß Art. 46 DS-GVO und der ergänzenden vertraglichen Regelungen des „Microsoft Products and Services Data Protection Addendum“. Soweit im Einzelfall ein Angemessenheitsbeschluss nach Art. 45 DS-GVO einschlägig ist, bleibt dieser unberührt. Ergänzend berücksichtigt die Performance Gateway GmbH die von Microsoft beschriebenen technischen und organisatorischen Schutzmaßnahmen, insbesondere Verschlüsselungsmaßnahmen und weitere Sicherheitsmechanismen nach Art. 32 DS-GVO.

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch nach Art. 21 DS-GVO einlegen. Ein solcher Widerspruch kann jedoch ausgeschlossen oder eingeschränkt sein, soweit die Verarbeitung zwingend für die technische Bereitstellung, Sicherheit oder Integrität der Plattform erforderlich ist.

Bitte geben Sie keine vertraulichen personenbezogenen Daten, keine besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO (beispielsweise Gesundheitsdaten) und keine sonstigen sensiblen Daten auf der Plattform ein.

Die Ergebnisse, Hinweise und Ausgaben innerhalb des Chats, insbesondere im Rahmen des „VITAL-TALK® Coach“, dienen der Orientierung. Sie können im Einzelfall variieren. Wichtige Inhalte, Bewertungen, Handlungshinweise oder Schlussfolgerungen müssen eigenständig geprüft werden. Die Entscheidung darüber, ob und wie Eingaben, Ausgaben, Bewertungen oder Vorschläge übernommen werden, trifft ausschließlich der jeweilige Nutzer.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung oder ein Profiling mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DS-GVO findet derzeit nicht statt. Soweit KI-gestützte Rückmeldungen, Strukturierungen, Scores oder Einschätzungen innerhalb der Plattform erzeugt werden, erfolgt dies derzeit nicht als automatisierte Entscheidung mit solcher Wirkung.

XVI. KI-Funktionen, Microsoft Azure OpenAI, Schutzmechanismen und Zweckbindung

a. Art und Zweck der Verarbeitung

Für bestimmte KI-gestützte Funktionen der Plattform nutzt die Performance Gateway GmbH Dienste von Microsoft, insbesondere „Microsoft Azure OpenAI“. Die KI-Funktionen dienen der Durchführung der angeforderten Plattformfunktionen, der strukturierten Interaktionsverarbeitung, der Unterstützung bei Kommunikations- und Gesprächssituationen, der Ausgabe KI-gestützter Antworten sowie der produktbezogenen Analyse innerhalb des vorgesehenen Nutzungskontexts.

Nach den vorliegenden Angaben werden Nutzerdaten im Rahmen der eingesetzten Azure-Dienste nicht für Trainings- oder Verbesserungszwecke der Modelle verwendet. Die Verarbeitung erfolgt ausschließlich zur Bereitstellung des Dienstes im jeweils angeforderten Nutzungskontext.

Vertragspartner innerhalb der europäischen Vertragsstruktur ist:

Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
D18 P521
Irland

Zum Schutz vor unerwünschten oder systemfremden Antworten bestehen nach dem derzeitigen Stand insbesondere
folgende Maßnahmen:

feste System-Instructions,
Nutzer- und Thread-Zuordnung,
technische Kontextbegrenzung,
Schutzmechanismen gegen Prompt-Injection,
integrierte Inhalts- und Sicherheitsfilter,
Maßnahmen zur Begrenzung von Antworten außerhalb des Performance-Gateway-Konzepts, soweit technisch und systemisch umgesetzt.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit sie für die Bereitstellung der angeforderten KI-gestützten Funktionen, die Durchführung der gewünschten Interaktionen sowie die vertraglich geschuldete Nutzung der Plattform erforderlich ist.

Soweit darüber hinaus technische Stabilität, Systemsicherheit, Integrität der Verarbeitung, Missbrauchsverhinderung, Fehleranalyse, Störungsbearbeitung, die Abwehr manipulativer Eingaben, die Begrenzung unzulässiger Ausgaben oder die sichere und funktionsfähige Bereitstellung der KI-gestützten Funktionen betroffen sind, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO.

c. Datenkategorien

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

Interaktions- und Eingabedaten,
Inhalte innerhalb der KI-gestützten Nutzung,
Thread- und Kontextdaten,
technische Metadaten,
KI-Ausgaben.

d. Empfänger

Empfänger ist insbesondere Microsoft Ireland Operations Limited im Rahmen der eingesetzten Azure-Dienste. Soweit die Performance Gateway GmbH im Rahmen der Plattformnutzung Verantwortlicher ist, verarbeitet Microsoft Ireland Operations Limited die Daten als Auftragsverarbeiter. Für abweichende Rollen- und Vertragskonstellationen, insbesondere im Unternehmenskontext, gelten ergänzend die Regelungen dieser Datenschutzerklärung zur B2B-Nutzung und Auftragsverarbeitung sowie gegebenenfalls weitere vertragliche oder gesonderte datenschutzrechtliche Hinweise.

e. Speicherfristen

Die Speicherfristen richten sich nach der jeweiligen technischen Verarbeitung in den eingesetzten Microsoft-Diensten sowie nach den in der Plattform verarbeiteten Metadaten. Gesprächsinhalte werden nach dem derzeitigen Stand nicht in der eigenen Datenbank gespeichert.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Ohne die Verarbeitung der jeweils eingegebenen Inhalte und der zugehörigen technischen Kontextdaten können die KI-gestützten Funktionen nicht bereitgestellt werden.

g. Drittlandübermittlungen

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung ganz oder teilweise auf Art. 6 Abs. 1 lit. f DS-GVO beruht, besteht ein Widerspruchsrecht nach Maßgabe des Art. 21 DS-GVO. Ein Widerspruch kann jedoch im Einzelfall ausgeschlossen oder eingeschränkt sein, soweit zwingende schutzwürdige Gründe für die Verarbeitung vorliegen. Dies gilt insbesondere, soweit technische Stabilität, Systemsicherheit, Integrität der Verarbeitung, Missbrauchsverhinderung, Fehleranalyse, Störungsbearbeitung, der Schutz vor manipulativen Eingaben oder die sichere und funktionsfähige Bereitstellung der KI-gestützten Funktionen betroffen sind.

i. Automatisierte Entscheidungsfindung und Profiling

XVII. Spracheingabe, Audiodaten und Microsoft Azure Speech

a. Art und Zweck der Verarbeitung

Die Plattform unterstützt Spracheingaben. Dabei werden Audiodaten zur Umwandlung in Text verarbeitet. Dies erfolgt über „Microsoft Azure Speech“. Die Audiodaten werden serverseitig an den Sprachdienst übermittelt, dort automatisch in Text umgewandelt und anschließend an die Anwendung zurückgegeben.

Eine dauerhafte oder längerfristige Speicherung der Audiodaten durch die Anwendung ist nach den vorliegenden Angaben nicht vorgesehen. Die Audiodaten werden nach Abschluss der Verarbeitung nicht in der eigenen Datenbank persistiert.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit die Spracheingabe und die damit verbundene Audioverarbeitung für die Bereitstellung der vom Nutzer gewünschten Plattformfunktion erforderlich sind.

Soweit darüber hinaus technische Stabilität, Systemsicherheit, Integrität der Verarbeitung, Missbrauchsverhinderung, Fehleranalyse, Störungsbearbeitung oder die sichere und funktionsfähige Bereitstellung der Spracheingabe betroffen sind, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO.

c. Datenkategorien

Verarbeitet werden insbesondere:

Sprach- und Audiodaten,
daraus erzeugte Textdaten,
technische Übertragungs- und Kontextdaten.

d. Empfänger

Empfänger ist insbesondere Microsoft Ireland Operations Limited im Rahmen des Dienstes „Microsoft Azure Speech“ sowie interne zuständige Stellen und technische Auftragsverarbeiter, soweit dies für die Bereitstellung der Funktion erforderlich ist.

e. Speicherfristen

Nach dem derzeitigen Stand werden die Audiodaten nur flüchtig zur Transkription verarbeitet und nicht in der eigenen Datenbank dauerhaft gespeichert.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Wenn Sie die Spracheingabe nutzen möchten, ist die Verarbeitung der Audiodaten zwingend erforderlich. Wenn Sie diese Funktion nicht nutzen möchten, können Sie stattdessen textbasierte Eingaben verwenden.

g. Drittlandübermittlungen

Nach den vorliegenden Angaben werden die eingesetzten Microsoft-Dienste in der Region „Germany West Central“ (Frankfurt am Main, Westdeutschland) betrieben. Wegen der internationalen Konzernstruktur von Microsoft und möglicher konzerninterner Zugriffe oder Supportkonstellationen kann eine Drittlandübermittlung gleichwohl nicht in jeder Konstellation vollständig ausgeschlossen werden. Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage geeigneter Garantien, insbesondere der von Microsoft bereitgestellten Standardvertragsklauseln gemäß Art. 46 DS-GVOund der ergänzenden vertraglichen Regelungen des „Microsoft Products and Services Data Protection Addendum“. Soweit im Einzelfall ein Angemessenheitsbeschluss nach Art. 45 DS-GVO einschlägig ist, bleibt dieser unberührt. Ergänzend berücksichtigt die Performance Gateway GmbH die von Microsoft beschriebenen technischen und organisatorischen Schutzmaßnahmen, insbesondere Verschlüsselungsmaßnahmen und weitere Sicherheitsmechanismen nach Art. 32 DS-GVO.

h. Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung ganz oder teilweise auf Art. 6 Abs. 1 lit. f DS-GVO beruht, besteht ein Widerspruchsrecht nach Maßgabe des Art. 21 DS-GVO. Ein Widerspruch kann jedoch im Einzelfall ausgeschlossen oder eingeschränkt sein, soweit zwingende schutzwürdige Gründe für die Verarbeitung vorliegen. Dies gilt insbesondere, soweit technische Stabilität, Systemsicherheit, Integrität der Verarbeitung, Missbrauchsverhinderung, Fehleranalyse, Störungsbearbeitung oder die sichere und funktionsfähige Bereitstellung der Spracheingabe betroffen sind.

Die Spracheingabe ist eine zusätzliche Nutzungsfunktion. Wenn Sie diese Funktion nicht nutzen möchten, können Sie stattdessen textbasierte Eingaben verwenden.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XVIII. Scores, Reifegrade, Bewertungen und Entwicklungsverläufe

a. Art und Zweck der Verarbeitung

Die Plattform ist darauf ausgerichtet, die Qualität von Kommunikation messbar, entwickelbar und nachvollziehbar zu machen. Nach den vorliegenden Angaben erhalten Nutzende im Rahmen der Nutzung Gesprächs-Scores angezeigt. Zudem ist die weitere Entwicklung der Plattform darauf ausgerichtet, dass Scoring-Ergebnisse und Auswertungen von Gesprächen in einer gesonderten Funktion auch den Verlauf von Ergebnissen sowie Vorher-Nachher-Vergleiche und ähnliche entwicklungsbezogene Darstellungen abbilden können.

Die Verarbeitung dient insbesondere:

der Rückmeldung zur Wirksamkeit von Kommunikationsverhalten,
der strukturierten Bewertung innerhalb des Produktkonzepts,
der Darstellung von Entwicklungsständen und Entwicklungsverläufen,
der nutzerbezogenen Nachvollziehbarkeit plattforminterner Ergebnisse,
der späteren Auswertung von Gesprächsverläufen und Ergebnisentwicklungen.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO. Soweit ergänzende technische Auswertungs- oder Sicherheitszwecke betroffen sind, ist Art. 6 Abs. 1 lit. f DS-GVO einschlägig.

c. Datenkategorien

Verarbeitet werden insbesondere:

Score-Daten,
Reifegrade,
Bewertungsdaten,
Kategorien beziehungsweise Zuordnungen,
Zeitstempel,
Nutzerbezüge,
ableitbare Entwicklungsverläufe innerhalb der Plattform,
Vergleichsdaten im Sinne von Vorher-Nachher-Betrachtungen, soweit diese Funktion technisch umgesetzt ist.

d. Empfänger

Empfänger sind:

interne zuständige Stellen der Performance Gateway GmbH,
eingesetzte technische Auftragsverarbeiter, soweit dies für Speicherung, technische Darstellung, plattforminterne Bereitstellung, Support oder Administration erforderlich ist.

e. Speicherfristen

Scores, Reifegrade, Bewertungen und vergleichbare Ergebnisdaten werden grundsätzlich so lange gespeichert, wie dies für die plattformbezogene Bereitstellung, Nachvollziehbarkeit und Nutzung dieser Funktionen erforderlich ist oder bis eine Löschung des betroffenen Kontos beziehungsweise eine sonstige rechtlich zulässige Löschung erfolgt.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Verarbeitung der hierfür erforderlichen Daten ist notwendig, weil die Ermittlung, Anzeige und gegebenenfalls Speicherung von Scores, Reifegraden, Bewertungen und Entwicklungsverläufen nach dem derzeitigen Stand zum Funktionsumfang der Plattform beziehungsweise des jeweiligen Produkts, insbesondere des „VITAL-TALK® Coach“, gehören. Ohne diese Verarbeitung können die entsprechenden plattformimmanenten Analyse-, Bewertungs- und Entwicklungsfunktionen nicht oder nicht vollständig bereitgestellt werden.

g. Drittlandübermittlungen

Es erfolgt keine zusätzliche, hiervon losgelöste mögliche Drittlandübermittlung außerhalb der eingesetzten Microsoft-Dienste in der genannten Region und der hierfür geltenden vertraglichen Datenschutzmechanismen.

h. Sonstige spezifische Hinweise

Scores, Reifegrade, Bewertungen, Entwicklungsverläufe und vergleichbare Ergebnisse sind nach dem derzeitigen Stand integraler Bestandteil der plattformbezogenen Analyse-, Bewertungs- und Entwicklungsfunktionen, insbesondere im Zusammenhang mit dem Produkt „VITAL-TALK® Coach“. Sie dienen der strukturierten Rückmeldung, der Nachvollziehbarkeit von Gesprächsverläufen, der Darstellung von Entwicklungen sowie gegebenenfalls der vergleichenden Auswertung im zeitlichen Verlauf.

Diese Ergebnisse sind kontextbezogen und können im Einzelfall variieren. Sie beruhen auf den jeweils eingegebenen Inhalten, dem konkreten Nutzungskontext, den zugrunde liegenden Systemlogiken sowie den für die Plattform vorgesehenen methodischen und technischen Rahmenbedingungen. Sie ersetzen keine eigenverantwortliche fachliche, tatsächliche, organisatorische, rechtliche oder sonstige Bewertung durch den Nutzer.

Soweit die Verarbeitung ganz oder teilweise auf Art. 6 Abs. 1 lit. f DS-GVO beruht, besteht ein Widerspruchsrecht nach Maßgabe des Art. 21 DS-GVO. Ein Widerspruch kann jedoch im Einzelfall ausgeschlossen oder eingeschränkt sein, soweit zwingende schutzwürdige Gründe für die Verarbeitung vorliegen, insbesondere wenn die Verarbeitung für die technische Bereitstellung, Integrität, Sicherheit, Funktionsfähigkeit oder Nachvollziehbarkeit der plattformimmanenten Bewertungs- und Entwicklungsfunktionen erforderlich ist.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung oder ein Profiling mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DS-GVO findet nicht statt. Soweit Scores, Reifegrade, Bewertungen oder Entwicklungsverläufe innerhalb der Plattform erzeugt oder dargestellt werden, dienen diese der plattforminternen Rückmeldung, Analyse und Entwicklungsunterstützung und entfalten für sich genommen keine rechtliche oder vergleichbar erhebliche Wirkung.

XIX. Kontaktaufnahme, Support und Kommunikation im Zusammenhang mit der Plattform

a. Art und Zweck der Verarbeitung

Wenn Sie die im Zusammenhang mit der Plattform angegebenen Kontaktmöglichkeiten nutzen, insbesondere per E-Mail oder Telefon, verarbeiten wir Ihre personenbezogenen Daten zur Bearbeitung Ihres Anliegens, zur Kommunikation mit Ihnen sowie zur damit verbundenen technischen, fachlichen und organisatorischen Administration.

Dies betrifft insbesondere Anfragen an folgende E-Mail-Adressen der Performance Gateway GmbH:

support@performancegateway.de für Supportanfragen und sonstige Anliegen im Zusammenhang mit der
Nutzung der Plattform,
business@performancegateway.de für Anfragen von Unternehmenskunden und sonstige geschäftliche
Anfragen im Zusammenhang mit der Plattform,
datenschutz@performancegateway.de für allgemeine Datenschutzanfragen, Betroffenenanfragen sowie
Anfragen zu datenschutzbezogenen Unterlagen.
info@performancegateway.de für allgemeine Anfragen zur Performance Gateway GmbH.
architects@performancegateway.de für Anfragen von Trainern und Coaches.

Zielt Ihre Anfrage auf die Registrierung, Bereitstellung, Nutzung, technische Unterstützung oder sonstige Durchführung der Plattform beziehungsweise eines plattformbezogenen Produkts, insbesondere des „VITAL-TALK® Coach“, ab, werden Ihre Daten zur Bearbeitung dieses Anliegens sowie zur Durchführung vorvertraglicher Maßnahmen oder zur Durchführung des jeweiligen Nutzungs- oder Vertragsverhältnisses verarbeitet.

Besteht bereits ein Nutzungs- oder Vertragsverhältnis, werden die Daten zusätzlich zur Durchführung, Betreuung und Abwicklung dieses Verhältnisses verarbeitet.

Soweit sich aus einer ursprünglich plattformbezogenen Anfrage eine weitergehende allgemeine geschäftliche Kommunikation, eine Vertragsanbahnung, ein Vertragsverhältnis, ein Bestellvorgang, ein Abrechnungs- oder Buchhaltungsvorgang oder ein sonstiger allgemeiner geschäftlicher Verarbeitungskontext entwickelt, gelten ergänzend die <a „/datenschutz/informationspflichtends-gvo/“>Informationspflichten DS-GVO sowie separat von der Performance Gateway GmbH ausgehändigte, übermittelte oder veröffentlichte gesonderte Datenschutzhinweise.

Soweit die Anfrage datenschutzrechtliche Themen betrifft, gelten ergänzend die einschlägigen gesetzlichen Vorgaben zur Bearbeitung von Betroffenenanfragen sowie gegebenenfalls weitere gesondert bereitgestellte datenschutzbezogene Hinweise.

b. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage ist je nach Inhalt Ihrer Anfrage Art. 6 Abs. 1 lit. b DS-GVO, soweit die Anfrage auf vorvertragliche Maßnahmen, die Registrierung, die Nutzung der Plattform, Support im Rahmen eines bestehenden Nutzungsverhältnisses oder ein sonstiges Vertragsverhältnis gerichtet ist.

Soweit die Verarbeitung der allgemeinen Kommunikation, der Bearbeitung sonstiger Anfragen, der technischen oder organisatorischen Koordination oder der sachgerechten Bearbeitung Ihres Anliegens dient, ist Art. 6 Abs. 1 lit. f DS-GVO einschlägig.

Wenn die Verarbeitung aufgrund einer Einwilligung erfolgt, ist Art. 6 Abs. 1 lit. a DS-GVO einschlägig sowie gegebenenfalls Art. 9 Abs. 2 lit. a DS-GVO, sofern besondere Kategorien personenbezogener Daten verarbeitet werden.

Soweit gesetzliche Aufbewahrungspflichten bestehen, ist ergänzend Art. 6 Abs. 1 lit. c DS-GVO einschlägig.

Soweit im Zusammenhang mit der technischen Übermittlung, Speicherung oder Bearbeitung externe Dienstleister personenbezogene Daten weisungsgebunden in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

c. Datenkategorien

Je nach Art der Anfrage verarbeiten wir insbesondere:

Name und Vorname,
Kontaktdaten, insbesondere E-Mail-Adresse und gegebenenfalls Telefonnummer,
Kommunikationsinhalte, insbesondere Nachrichtentexte, Anhänge und sonstige mitgeteilte Informationen,
Datum, Uhrzeit und Umfang der Kommunikation sowie zugehörige Metadaten,
Angaben zum Nutzerkonto, zur Plattformnutzung oder zum konkreten Anliegen, soweit dies für die Bearbeitung erforderlich ist,
sonstige von Ihnen mitgeteilte Informationen.

d. Empfänger

Empfänger der Daten sind interne Stellen der Performance Gateway GmbH, deren Zuständigkeit Ihre Anfrage betrifft, insbesondere Support-, Fach-, Datenschutz-, Verwaltungs- oder sonstige zuständige Stellen.

Gegebenenfalls können auch technische, organisatorische oder kommunikative Dienstleister Empfänger sein, soweit dies für die Bearbeitung Ihrer Anfrage erforderlich ist. Soweit diese personenbezogene Daten in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

Soweit Ihre Anfrage einen plattformbezogenen technischen Sachverhalt betrifft, können Daten im erforderlichen Umfang auch an entsprechend eingebundene technische Auftragsverarbeiter weitergeleitet oder für diese zugänglich werden, soweit dies zur Bearbeitung, Prüfung, Fehleranalyse oder technischen Unterstützung erforderlich ist.

e. Speicherfristen

Die Daten werden gelöscht, sobald Ihr Anliegen abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

Soweit sich aus Ihrer Anfrage eine weitergehende allgemeine geschäftliche Kommunikation, eine Vertragsanbahnung, ein Vertragsverhältnis, ein Bestellvorgang, ein Abrechnungs- oder Buchhaltungsvorgang oder ein sonstiger allgemeiner geschäftlicher Verarbeitungskontext entwickelt, können ergänzend die hierfür geltenden Speicher- und Aufbewahrungspflichten einschlägig sein. Für diese weitergehenden Verarbeitungskontexte gelten ergänzend die <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie separat von der Performance Gateway GmbH ausgehändigte, übermittelte oder veröffentlichte gesonderte Datenschutzhinweise.

Soweit sich Ihre Anfrage unmittelbar auf die Nutzung der Plattform oder auf plattformbezogene Funktionen bezieht, gelten ergänzend die einschlägigen Speicherregelungen dieser <a „/datenschutz/datenschutzerklaerung-plattform/“>Datenschutzerklärung Plattform.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung der für die Bearbeitung Ihrer Anfrage erforderlichen Daten ist notwendig, damit wir Ihr Anliegen sachgerecht bearbeiten können.

Ohne die erforderlichen Angaben kann eine Bearbeitung Ihrer Anfrage gegebenenfalls nicht oder nur eingeschränkt erfolgen.

g. Drittlandübermittlungen

Soweit Ihre Anfrage ausschließlich plattformbezogen innerhalb der von uns eingesetzten Systeme und Dienstleister verarbeitet wird, richtet sich die Frage etwaiger Drittlandübermittlungen nach den hierfür in dieser Datenschutzerklärung dargestellten Regelungen, insbesondere zu den eingesetzten Microsoft-Diensten.

Soweit die Kommunikation in allgemeine geschäftliche Kommunikations-, Verwaltungs-, Vertrags-, Bestell- oder Abrechnungsprozesse übergeht, gelten ergänzend die hierfür bereitgestellten Informationspflichten DS-GVO sowie separat von der Performance Gateway GmbH ausgehändigte, übermittelte oder veröffentlichte gesonderte Datenschutzhinweise.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie der Verarbeitung nach Maßgabe des Art. 21 DS-GVO widersprechen.

Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a DS-GVO sowie gegebenenfalls Art. 9 Abs. 2 lit. a DS-GVO beruht, können Sie die Einwilligung nach Maßgabe des Art. 7 Abs. 3 DS-GVO mit Wirkung für die Zukunft widerrufen.

Soweit Ihre Anfrage die Durchführung vorvertraglicher Maßnahmen oder ein bestehendes Nutzungs- oder Vertragsverhältnis betrifft, kann die Verarbeitung insoweit erforderlich sein, um Ihr Anliegen sachgerecht zu bearbeiten oder das jeweilige Verhältnis durchzuführen.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XX. B2B-Nutzung und Auftragsverarbeitung

a. Art und Zweck der Verarbeitung

Soweit die Plattform im geschäftlichen Kontext durch Unternehmen genutzt wird, ist die Performance Gateway GmbH grundsätzlich Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO für den jeweiligen Unternehmenskunden, der insoweit Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO ist, sofern keine abweichenden Regelungen, Rollenverteilungen oder sonstigen vertraglichen Grundlagen bestehen.

Diese Datenschutzerklärung enthält auch in diesen Konstellationen die grundlegenden Informationen zu den plattformbezogenen Verarbeitungen. Unternehmenskunden haben ihre Informationspflichten, insbesondere nach Art. 13 und 14 DS-GVO, gegenüber betroffenen Personen grundsätzlich selbst zu erfüllen, soweit dies ihren eigenen Verantwortungsbereich betrifft.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt in diesen Fällen auf Grundlage des jeweiligen Auftragsverarbeitungsverhältnisses, der zugrunde liegenden vertraglichen Vereinbarungen sowie der Weisungen des jeweiligen Verantwortlichen, soweit keine abweichende datenschutzrechtliche Rollenverteilung besteht. Maßgeblich sind insoweit insbesondere Art. 28 DS-GVO sowie die weiteren jeweils einschlägigen datenschutzrechtlichen Vorgaben.

c. Datenkategorien

Die konkret betroffenen Datenkategorien richten sich nach dem jeweiligen Nutzungskontext des Unternehmenskunden, insbesondere nach den in der Plattform verarbeiteten Konto-, Metadaten-, Chat-, Bewertungs- und Supportdaten. Ergänzende Informationen können sich aus dem jeweiligen Auftragsverarbeitungsvertrag sowie den zugehörigen Vertrags- und Nutzungsbedingungen ergeben.

d. Empfänger

Soweit die Performance Gateway GmbH im B2B-Kontext als Auftragsverarbeiter tätig ist, können die von ihr eingesetzten technischen Dienstleister, insbesondere ALL-INKL.COM – Neue Medien Münnich, Accio Media GmbH und Microsoft Ireland Operations Limited, innerhalb der jeweiligen Vertrags- und Verarbeitungskette als Unterauftragsverarbeiter eingebunden sein.

e. Speicherfristen

Die Speicherfristen richten sich ergänzend nach den jeweiligen vertraglichen Vereinbarungen, Weisungen und Löschkonzepten im B2B-Kontext. Weitergehende oder konkretisierende Informationen können sich aus dem jeweiligen Auftragsverarbeitungsvertrag sowie den zugehörigen Vertrags- und Nutzungsbedingungen ergeben.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Erforderlichkeit der Bereitstellung personenbezogener Daten richtet sich nach dem jeweiligen Nutzungs-, Vertrags- und Verarbeitungskontext.

g. Drittlandübermittlungen

Informationen zu etwaigen Drittlandübermittlungen im Unternehmenskontext ergeben sich ergänzend aus dem jeweiligen Auftragsverarbeitungsvertrag sowie den zugehörigen Vertrags- und Nutzungsbedingungen. Unberührt davon bleiben die in dieser Datenschutzerklärung enthaltenen allgemeinen Angaben zu den im Rahmen der Plattform eingesetzten Dienstleistern und den damit verbundenen Datenverarbeitungen.

h. Sonstige spezifische Hinweise

Anfragen von Unternehmenskunden zu Auftragsverarbeitungsverträgen und ergänzenden datenschutzrechtlichen Unterlagen können, soweit diese nicht bereits im Rahmen der Bestellung oder Vertragsdokumentation bereitgestellt wurden, insbesondere an datenschutz@performancegateway.de oder business@performancegateway.de gerichtet werden.

i. Automatisierte Entscheidungsfindung und Profiling

Es gelten die plattformspezifischen Regelungen dieser Datenschutzerklärung.

XXI. Informationspflichten für allgemeine geschäftliche Verarbeitungen

a. Art und Zweck der Verarbeitung

Ergänzend zu dieser Datenschutzerklärung stellt die Performance Gateway GmbH gesonderte Informationspflichten gemäß Art. 13 und 14 DS-GVO für weitere Verarbeitungskontexte bereit, die nicht lediglich durch die Registrierung, den Login oder die bloße Nutzung der Plattform ausgelöst werden.

Dies betrifft insbesondere personenbezogene Daten von:

Interessenten,
Kunden,
Ansprechpartnern bei Kunden,
Lieferanten,
Dienstleistern,
sonstigen Geschäftspartnern.

Dort informiert die Performance Gateway GmbH insbesondere über allgemeine geschäftliche Kommunikations- und Verwaltungsprozesse, Angebots- und Vertragsprozesse, Rechnungswesen, Buchhaltung, interne Organisation, Dokumentation geschäftlicher Vorgänge sowie sonstige nicht rein plattformbezogene Verarbeitungen.

Hierzu können insbesondere auch eingesetzte Kommunikations-, Kollaborations-, Office-, Verwaltungs- und Buchhaltungssysteme gehören, soweit diese Verarbeitungskontexte nicht unmittelbar durch die bloße Nutzung der Plattform ausgelöst werden.

Die nähere Beschreibung dieser Verarbeitungstätigkeiten erfolgt aus Gründen der sauberen Abgrenzung nicht in dieser Datenschutzerklärung Plattform, sondern in den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO.

Darüber hinaus können im Einzelfall weitere gesondert von der Performance Gateway GmbH bereitgestellte, übermittelte oder veröffentlichte Datenschutzhinweise Anwendung finden, soweit sie einen spezifischen Verarbeitungskontext betreffen.

b. Rechtsgrundlage für die Datenverarbeitung

Die für diese Verarbeitungskontexte einschlägigen Rechtsgrundlagen ergeben sich aus den jeweils anwendbaren Einzelfällen und werden in den Informationspflichten DS-GVO sowie gegebenenfalls in weiteren gesonderten Datenschutzhinweisen näher beschrieben.

c. Datenkategorien

Die konkret betroffenen Datenkategorien richten sich nach dem jeweiligen geschäftlichen Verarbeitungskontext und ergeben sich ergänzend aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls aus weiteren gesonderten Datenschutzhinweisen oder im Einzelfall bereitgestellten Unterlagen.

d. Empfänger

Empfänger richten sich nach dem jeweiligen geschäftlichen Verarbeitungskontext und den dafür eingesetzten internen Stellen und externen Dienstleistern. Ergänzende Informationen ergeben sich aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls aus weiteren gesonderten Datenschutzhinweisen.

e. Speicherfristen

Die Speicher- und Aufbewahrungsfristen richten sich nach dem jeweiligen geschäftlichen Verarbeitungskontext, den einschlägigen gesetzlichen Pflichten und den berechtigten Interessen der Performance Gateway GmbH. Ergänzende Informationen ergeben sich aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls aus weiteren gesonderten Datenschutzhinweisen oder im Einzelfall bereitgestellten Unterlagen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Erforderlichkeit der Bereitstellung personenbezogener Daten richtet sich nach dem jeweiligen geschäftlichen Verarbeitungskontext.

g. Drittlandübermittlungen

Ob und in welchem Umfang Drittlandübermittlungen im jeweiligen geschäftlichen Verarbeitungskontext stattfinden, ergibt sich ergänzend aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls aus weiteren gesonderten Datenschutzhinweisen oder im Einzelfall bereitgestellten Unterlagen.

h. Sonstige spezifische Hinweise

Soweit ein konkreter Verarbeitungskontext nicht durch diese Datenschutzerklärung Plattform, sondern durch gesonderte Informationspflichten oder sonstige Datenschutzhinweise geregelt wird, sind diese ergänzend und gegebenenfalls vorrangig heranzuziehen.

i. Automatisierte Entscheidungsfindung und Profiling

Soweit im jeweiligen geschäftlichen Verarbeitungskontext keine abweichenden Angaben gemacht werden, findet eine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DS-GVO derzeit nicht statt.

XXII. Abrechnung und kaufmännische Vorgänge

a. Art und Zweck der Verarbeitung

Plattformspezifische Bestell-, Vertrags-, Abrechnungs- und sonstige kaufmännische Vorgänge sind von der unmittelbaren technischen Nutzung der Plattform abzugrenzen. Soweit im Zusammenhang mit der Plattform Bestellungen, Vertragsschlüsse, Vertragsänderungen, Vertragsdurchführungen, Rechnungsstellungen, Zahlungszuordnungen, buchhalterische Erfassungen, Debitoren- oder Kreditorenprozesse, steuerrechtlich relevante Verarbeitungen oder sonstige kaufmännische Bearbeitungen erfolgen, verarbeitet die Performance Gateway GmbH personenbezogene Daten zur Begründung, Durchführung, Dokumentation und Abwicklung dieser Vorgänge.

Dies betrifft insbesondere:

die Bearbeitung von Bestellungen und Vertragsschlüssen,
die Verwaltung bestehender Vertragsverhältnisse,
die Erstellung und Zuordnung von Rechnungen,
die Bearbeitung von Zahlungs- und Abrechnungsvorgängen,
die buchhalterische und steuerrechtliche Erfassung,
die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten,
die Klärung von Rückfragen im Zusammenhang mit Verträgen, Rechnungen oder Zahlungen,
die Durchsetzung, Abwehr oder Geltendmachung vertraglicher oder gesetzlicher Ansprüche.

Diese Verarbeitungen gehören nicht zur unmittelbaren technischen Plattformnutzung im engeren Sinne. Für diese weitergehenden Verarbeitungskontexte gelten ergänzend die Informationspflichten DS-GVO sowie gegebenenfalls weitere gesonderte Datenschutzhinweise oder im Einzelfall von der Performance Gateway GmbH ausgehändigte, übermittelte oder veröffentlichte Unterlagen.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung erfolgt je nach Einzelfall insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit sie für die Durchführung vorvertraglicher Maßnahmen, den Abschluss oder die Durchführung eines Vertrags erforderlich ist.

Soweit gesetzliche Pflichten bestehen, insbesondere handels- oder steuerrechtliche Aufbewahrungs-, Nachweis- oder Dokumentationspflichten, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. c DS-GVO.

Soweit die Verarbeitung der ordnungsgemäßen kaufmännischen Verwaltung, der internen Organisation, der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder sonstigen berechtigten geschäftlichen Interessen dient, erfolgt sie ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO.

Soweit im Zusammenhang mit der technischen oder organisatorischen Bearbeitung externe Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

c. Datenkategorien

Je nach konkretem Vorgang können insbesondere folgende Daten verarbeitet werden:

Stamm- und Kontaktdaten,
Vertragsdaten,
Bestell- und Buchungsdaten,
Rechnungsdaten,
Zahlungs- und Abrechnungsdaten,
Kommunikationsdaten,
steuer- und buchhaltungsrelevante Angaben,
Zeitstempel, Bearbeitungs- und Zuordnungsdaten,
sonstige für den jeweiligen kaufmännischen Vorgang erforderliche Informationen.

Ergänzende oder konkretisierende Informationen können sich aus den jeweils einschlägigen <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie aus weiteren gesonderten Datenschutzhinweisen oder im Einzelfall übermittelten Unterlagen ergeben.

d. Empfänger

Empfänger der Daten sind interne Stellen der Performance Gateway GmbH, soweit deren Zuständigkeit den jeweiligen kaufmännischen, vertraglichen, buchhalterischen oder administrativen Vorgang betrifft.

Darüber hinaus können Daten an externe Dienstleister, Berater oder sonstige Stellen offengelegt werden, soweit dies für die Bearbeitung, Durchführung, Dokumentation oder rechtliche Absicherung des jeweiligen Vorgangs erforderlich ist. Soweit externe Stellen personenbezogene Daten weisungsgebunden in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

Weitergehende Informationen zu Empfängern können sich ergänzend aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO, aus sonstigen gesonderten Datenschutzhinweisen oder aus im Einzelfall bereitgestellten Unterlagen ergeben.

e. Speicherfristen

Die Speicherfristen richten sich nach dem jeweiligen kaufmännischen, vertraglichen, steuerrechtlichen oder buchhalterischen Kontext. Maßgeblich sind insbesondere gesetzliche Aufbewahrungspflichten, vertragliche Erforderlichkeiten, Nachweispflichten sowie rechtliche Interessen an der Geltendmachung, Ausübung oder Verteidigung von Ansprüchen.

Soweit keine speziellere Frist eingreift, werden personenbezogene Daten nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist. Ergänzend können insbesondere handels- und steuerrechtliche Aufbewahrungspflichten, etwa nach § 257 HGB und § 147 AO, einschlägig sein.

Weitere oder konkretisierende Informationen ergeben sich ergänzend aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls aus weiteren gesonderten Datenschutzhinweisen oder im Einzelfall übermittelten Unterlagen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung der für Bestell-, Vertrags-, Abrechnungs-, Zahlungs- oder sonstige kaufmännische Vorgänge erforderlichen personenbezogenen Daten ist notwendig, soweit der jeweilige Vorgang durchgeführt, bearbeitet, dokumentiert oder rechtlich abgesichert werden soll.

Ohne die erforderlichen Angaben kann der jeweilige Vorgang gegebenenfalls nicht oder nicht vollständig bearbeitet oder durchgeführt werden.

g. Drittlandübermittlungen

Soweit im Rahmen kaufmännischer oder abrechnungsbezogener Vorgänge Drittlandübermittlungen relevant werden, richten sich diese nach dem jeweils einschlägigen Verarbeitungskontext und den hierfür maßgeblichen Unterlagen. Ergänzende Informationen ergeben sich insbesondere aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie aus sonstigen gesonderten Datenschutzhinweisen oder im Einzelfall übermittelten Unterlagen.

Unberührt bleiben die in dieser Datenschutzerklärung bereits enthaltenen allgemeinen Angaben zu den im Rahmen der Plattform eingesetzten Dienstleistern und den damit verbundenen Datenverarbeitungen.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DS-GVO beruht, können Sie der Verarbeitung nach Maßgabe des Art. 21 DS-GVO widersprechen.

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. a DS-GVO beruht, können Sie eine erteilte Einwilligung nach Maßgabe des Art. 7 Abs. 3 DS-GVO mit Wirkung für die Zukunft widerrufen.

Soweit die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen, zur Begründung oder Durchführung eines Vertrags oder zur Erfüllung gesetzlicher Pflichten erforderlich ist, kann die Verarbeitung insoweit nicht durch Widerruf oder Widerspruch entfallen, soweit zwingende rechtliche oder vertragliche Gründe entgegenstehen.

Ergänzend gelten die <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls weitere gesonderte Datenschutzhinweise oder im Einzelfall übermittelte Unterlagen.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang nach dem derzeitigen Stand nicht statt. Ein Profiling erfolgt in diesem Zusammenhang nach dem derzeitigen Stand ebenfalls nicht.

XXIII. KI-Verordnung

a. Art und Zweck der Berücksichtigung regulatorischer Anforderungen

Die Performance Gateway GmbH berücksichtigt bei der Ausgestaltung, Bereitstellung, Nutzung und Weiterentwicklung der Plattform neben den Anforderungen der DS-GVO auch die einschlägigen regulatorischen Anforderungen der Verordnung (EU) 2024/1689 über künstliche Intelligenz.

Dies betrifft im hiesigen Plattformkontext insbesondere:

die transparente und zweckgebundene Gestaltung KI-gestützter Funktionen,
die Begrenzung der Nutzung auf den vorgesehenen Funktions- und Anwendungskontext,
die Berücksichtigung menschlicher Kontrolle und eigenverantwortlicher Prüfung von Ergebnissen,
Maßnahmen gegen missbräuchliche oder manipulative Nutzung, insbesondere gegen Prompt Injection,
Maßnahmen zur Begrenzung unerwünschter, sachfremder oder unzulässiger Ausgaben.

Nach dem derzeit bekannten Funktions- und Einsatzkontext geht die Performance Gateway GmbH davon aus, dass die Plattform kein eigenes KI-Modell mit allgemeinem Verwendungszweck im Sinne der Verordnung (EU) 2024/1689 darstellt, sondern eine zweckgebundene Plattformanwendung beziehungsweise ein KI-gestütztes System, das auf extern bereitgestellten KI-Diensten aufsetzt. Diese Einordnung ersetzt keine eigenständige rechtliche Prüfung im jeweiligen Einzelfall.

b. Rechtsgrundlage und rechtliche Einordnung

Die Erwähnung der KI-Verordnung dient der Transparenz über die regulatorische Einordnung sowie über die Gestaltungs- und Schutzlogik der Plattform. Sie begründet keine eigenständige datenschutzrechtliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Die datenschutzrechtlichen Rechtsgrundlagen ergeben sich vielmehr aus den konkreten Abschnitten dieser Datenschutzerklärung. Die KI-Verordnung tritt daneben als eigenständiger unionsrechtlicher Regulierungsrahmen hinzu.

c. Relevante Inhalte

Im hiesigen Kontext sind insbesondere folgende Rahmenbedingungen zu berücksichtigen:

KI-gestützte Ausgaben werden innerhalb der Plattform als solche kenntlich gemacht.
Nutzer sollen keine vertraulichen personenbezogenen Daten, keine besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO und keine sonstigen sensiblen Daten eingeben, soweit dies nicht zwingend erforderlich und rechtlich zulässig ist.
KI-gestützte Ausgaben orientieren sich an dem vorgesehenen Funktions- und Anwendungskontext der Plattform, insbesondere am Produktkonzept des „VITAL-TALK® Coach“ sowie den hierfür vorgesehenen systemischen und organisatorischen Vorgaben.
KI-gestützte Ausgaben dienen der Unterstützung, Strukturierung, Rückmeldung, Analyse, Bewertung oder Orientierung innerhalb der Plattform.
KI-gestützte Ausgaben sind kontextbezogen und können im Einzelfall variieren.
KI-gestützte Ausgaben ersetzen keine eigenverantwortliche tatsächliche, fachliche, organisatorische oder rechtliche Bewertung durch den Nutzer.
Nutzer müssen eigenverantwortlich prüfen, welche Ausgaben sie verwenden, übernehmen oder weiterverarbeiten.

d. Empfänger

Eine eigenständige Offenlegung personenbezogener Daten allein wegen der regulatorischen Einordnung nach der KI-Verordnung erfolgt nicht. Empfänger personenbezogener Daten richten sich nach den jeweils einschlägigen konkreten Verarbeitungsvorgängen dieser Datenschutzerklärung.

e. Speicherfristen

Aus der bloßen Berücksichtigung der KI-Verordnung folgen keine eigenständigen Speicherfristen. Maßgeblich bleiben die jeweils für den konkreten Verarbeitungsvorgang genannten Speicherregelungen dieser Datenschutzerklärung.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Aus der bloßen regulatorischen Berücksichtigung der KI-Verordnung folgt keine eigenständige Pflicht zur Bereitstellung personenbezogener Daten. Ob und in welchem Umfang personenbezogene Daten bereitzustellen sind, richtet sich nach der jeweils konkret genutzten Plattformfunktion.

g. Drittlandübermittlungen

Aus der bloßen Berücksichtigung der KI-Verordnung folgen keine von den übrigen Verarbeitungsvorgängen losgelösten Drittlandübermittlungen. Maßgeblich bleiben insoweit die in dieser Datenschutzerklärung dargestellten Hinweise zu den konkret eingesetzten Dienstleistern und Funktionen.

h. Sonstige spezifische Hinweise

Die vorstehenden Hinweise zur KI-Verordnung stellen keine Rechtsberatung für Plattformnutzer oder Unternehmenskunden dar.

Soweit Plattformnutzer die Plattform im eigenen Verantwortungsbereich, insbesondere im Unternehmenskontext, einsetzen, müssen diese ihre jeweilige Rolle nach der Verordnung (EU) 2024/1689, ihren konkreten Einsatzkontext sowie etwaige daraus folgende Pflichten eigenständig prüfen, rechtlich einordnen und gegebenenfalls dokumentieren. Dies gilt insbesondere für die Frage, ob aus Sicht des jeweiligen Nutzungskontexts eine eigene Einordnung als Betreiber eines KI-Systems oder eine sonstige regulatorische Verantwortlichkeit in Betracht kommt. Die konkrete Anwendung der KI-Verordnung ist rollen- und kontextabhängig.

Die Performance Gateway GmbH kann Unternehmenskunden und sonstige Nutzer hierzu auf Anfrage im Rahmen der verfügbaren Unterlagen, Systeminformationen und vertraglichen Dokumentation unterstützen. Eine eigenständige rechtliche Bewertung des jeweiligen Einsatzszenarios bleibt hiervon unberührt.

i. Automatisierte Entscheidungsfindung und Profiling

Nach Auffassung der Performance Gateway GmbH ist die Plattform nach dem derzeit bekannten Funktionsumfang nicht darauf ausgelegt, allein auf Grundlage KI-gestützter Verarbeitung eigenständig rechtliche oder vergleichbar erhebliche Entscheidungen ohne menschliche Letztentscheidung zu treffen. Im Übrigen gelten die plattformspezifischen Regelungen dieser Datenschutzerklärung zur automatisierten Entscheidungsfindung und zum Profiling.

XXIV. Allgemeine Hinweise zu Empfängern, Auftragsverarbeitung, Drittlandübermittlungen und Speicherdauern

a. Art und Zweck der Verarbeitung

Wir legen personenbezogene Daten nur offen, soweit hierfür eine Rechtsgrundlage besteht, die Offenlegung für die jeweilige Verarbeitung erforderlich ist, wir rechtlich hierzu verpflichtet sind, die Offenlegung zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist, berechtigte Interessen die Offenlegung erfordern und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen oder Sie in die Offenlegung eingewilligt haben.

b. Rechtsgrundlage für die Datenverarbeitung

Soweit externe Dienstleister personenbezogene Daten als Auftragsverarbeiter in unserem Auftrag verarbeiten, erfolgt dies, soweit rechtlich erforderlich, auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DS-GVO.

Dies gilt insbesondere für den genannten Hosting-Dienstleister und die weiteren eingesetzten technischen Dienstleister. Dies gilt außerdem für weitere im Rahmen allgemeiner geschäftlicher Verarbeitungskontexte eingesetzte Dienstleister, die in den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO näher beschrieben werden.

c. Datenkategorien

Je nach Verarbeitungskontext können insbesondere folgende Datenkategorien betroffen sein:

Konto- und Stammdaten,
Sitzungsdaten,
technische Protokolldaten,
Chat- und Interaktionsdaten,
Sprachdaten,
Bewertungs- und Score-Daten,
Support- und Kommunikationsdaten,
vertragliche oder abrechnungsbezogene Begleitdaten.

d. Empfänger

Dies gilt insbesondere für folgende Dienstleister:

ALL-INKL.COM – Neue Medien Münnich,
Accio Media GmbH,
Microsoft Ireland Operations Limited im Rahmen der eingesetzten Azure-Dienste.

Weitere Empfänger und Dienstleister können sich ergänzend aus den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO, aus sonstigen gesonderten Datenschutzhinweisen oder aus im Einzelfall bereitgestellten Unterlagen ergeben.

e. Speicherfristen

Soweit in dieser Datenschutzerklärung keine konkrete Speicherfrist genannt ist, speichern wir personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist, gesetzliche Aufbewahrungspflichten bestehen oder berechtigte Interessen eine darüber hinausgehende Speicherung rechtfertigen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Erforderlichkeit der Bereitstellung richtet sich nach dem jeweiligen Verarbeitungskontext.

g. Drittlandübermittlungen

Soweit in dieser <a „/datenschutz/datenschutzerklaerung-plattform/“>Datenschutzerklärung Plattform nichts Abweichendes angegeben ist, erfolgt die plattformbezogene Verarbeitung grundsätzlich innerhalb Deutschlands beziehungsweise innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums.

Nach den vorliegenden Angaben erfolgt die Verarbeitung über ALL-INKL.COM – Neue Medien Münnich ausschließlich in Deutschland. Dies gilt ebenso für die Tätigkeit der Accio Media GmbH.

Für die eingesetzten Microsoft-Dienste werden nach den vorliegenden Angaben die Regionen „Germany West Central“ (Frankfurt am Main, Westdeutschland) genutzt. Wegen der internationalen Konzernstruktur von Microsoft kann eine Drittlandübermittlung jedoch nicht in jeder Konstellation vollständig ausgeschlossen werden. Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage geeigneter Garantien, insbesondere der von Microsoft bereitgestellten Standardvertragsklauseln gemäß Art. 46 DS-GVO und der ergänzenden vertraglichen Regelungen des ,,Microsoft Products and Services Data Protection Addendum“. Soweit im Einzelfall ein Angemessenheitsbeschluss nach Art. 45 DS-GVO einschlägig ist, bleibt dieser unberührt. Ergänzend berücksichtigt die Performance Gateway GmbH die von Microsoft beschriebenen technischen und organisatorischen Schutzmaßnahmen, insbesondere Verschlüsselungsmaßnahmen und weitere Sicherheitsmechanismen nach Art. 32 DS-GVO.

Für weitergehende Kommunikations-, Verwaltungs-, Bestell-, Abrechnungs-, B2B- oder sonstige allgemeine geschäftliche Verarbeitungskontexte gelten ergänzend die jeweils einschlägigen gesonderten Datenschutzhinweise, insbesondere die <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls weitere gesondert von der Performance Gateway GmbH bereitgestellte, übermittelte oder veröffentlichte Datenschutzhinweise.

h. Widerruf, Widerspruch und sonstige spezifische Hinweise

Für die jeweiligen Widerspruchs- und Widerrufsmöglichkeiten gelten die Angaben in den konkreten Einzelabschnitten dieser Datenschutzerklärung.

i. Automatisierte Entscheidungsfindung und Profiling

Es gelten die in dieser Datenschutzerklärung beschriebenen plattformspezifischen Regelungen.

XXV. Automatisierte Entscheidungsfindung und Profiling

a. Art und Zweck der Verarbeitung

Soweit in dieser Datenschutzerklärung nicht ausdrücklich anders angegeben, findet im Zusammenhang mit dem Betrieb und der Nutzung dieser Plattform keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO statt.

Ein Profiling durch die Performance Gateway GmbH mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DS-GVO findet nach dem derzeitigen Stand ebenfalls nicht statt.

Hiervon unberührt bleiben Verarbeitungen, die im Einzelfall gesondert rechtlich zu bewerten sind, insbesondere in unternehmensbezogenen Einsatzkontexten, bei kundenseitiger Nutzung im B2B-Bereich oder in sonstigen Konstellationen, in denen Plattformnutzer oder Unternehmenskunden eigene Verarbeitungskontexte schaffen oder eigenständig verantworten. Solche Konstellationen werden gegebenenfalls ergänzend in den <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO, in weiteren gesonderten Datenschutzhinweisen oder in vertraglichen Unterlagen behandelt.

b. Rechtsgrundlage für die Datenverarbeitung

Eine eigenständige Rechtsgrundlage für eine automatisierte Entscheidungsfindung ist nicht einschlägig, da eine solche Verarbeitung mit rechtlicher oder vergleichbar erheblicher Wirkung nach dem derzeitigen Stand nicht erfolgt.

c. Datenkategorien

Soweit innerhalb der Plattform Scores, Reifegrade, Bewertungen, Entwicklungsverläufe oder vergleichbare Ergebnisse erzeugt werden, handelt es sich nach dem derzeitigen Stand um Orientierungs-, Bewertungs- und Entwicklungsdaten innerhalb der Plattform.

d. Empfänger

Empfänger solcher Ergebnisse sind die jeweils berechtigten Nutzer sowie die technisch erforderlichen internen und externen Stellen im Rahmen der Plattformbereitstellung.

e. Speicherfristen

Es gelten die jeweils einschlägigen Speicherfristen der betroffenen Datenkategorien.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung richtet sich nach dem jeweiligen Nutzungskontext.

g. Drittlandübermittlungen

Es gelten die allgemeinen Hinweise dieser Datenschutzerklärung.

h. Sonstige spezifische Hinweise

Die innerhalb der Plattform erzeugten Ergebnisse, insbesondere Scores, Reifegrade, Bewertungen, Entwicklungsverläufe, KI-gestützte Rückmeldungen und vergleichbare Ausgaben, dienen der strukturierten Orientierung, Rückmeldung, Analyse und Entwicklungsunterstützung innerhalb der Plattform. Sie ersetzen keine eigenständige fachliche, rechtliche, organisatorische oder sonstige Bewertung durch die Nutzer.

XXVI. Kontolöschung, Vertragsende und Löschfolgen

a. Art und Zweck der Verarbeitung

Die Performance Gateway GmbH ermöglicht die Löschung von Nutzerkonten. Die Kontolöschung dient der Beendigung des Zugangs zur Plattform und der Umsetzung datenschutzrechtlicher Löschvorgaben.

b. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung im Zusammenhang mit der Kontolöschung, dem Vertragsende und den hiermit verbundenen Löschfolgen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO, soweit sie für die Beendigung des Nutzungsverhältnisses, die technische Abwicklung der Kontolöschung, die Sperrung des Kontos sowie die Durchführung der vertraglich geschuldeten Beendigungsprozesse erforderlich ist.

Soweit personenbezogene Daten nach einer Kontolöschung oder nach Vertragsende nicht sofort gelöscht werden dürfen, weil gesetzliche Aufbewahrungspflichten, Nachweis- oder Dokumentationspflichten bestehen, erfolgt die weitere Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DS-GVO.

Soweit eine befristete weitere Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zur Missbrauchsabwehr, zur IT-Sicherheit, zur Aufklärung sicherheitsrelevanter Vorfälle oder zur technisch erforderlichen Nachvollziehbarkeit und Wiederherstellung notwendig ist, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO.

Im Übrigen richten sich Löschung und Fortbestand einzelner Datenverarbeitungen nach den gesetzlichen Vorgaben, insbesondere nach Art. 17 DS-GVO, sowie nach den in dieser Datenschutzerklärung beschriebenen gesetzlichen und vertraglichen Anforderungen.

c. Datenkategorien

Betroffen sein können insbesondere:

Kontodaten,
plattformbezogene Metadaten,
Chats,
Nachrichten,
Inhalte,
technische Zuordnungsdaten,
gegebenenfalls aufbewahrungspflichtige Begleitdaten.

d. Empfänger

Empfänger der Daten sind interne zuständige Stellen sowie technisch eingebundene Auftragsverarbeiter, soweit dies zur Umsetzung der Löschung erforderlich ist.

e. Speicherfristen

Bitte beachten Sie, dass die Kontolöschung nicht rückgängig gemacht werden kann. Mit der Löschung Ihres Kontos verlieren Sie den Zugriff auf die Plattform und ihre Funktionen.

Nach Löschung des Kontos oder nach Beendigung des Vertragsverhältnisses gelten nach dem derzeitigen Stand folgende Löschfolgen:

Chats, Nachrichten und sonstige auf der Plattform erstellte Inhalte werden unverzüglich entfernt.
Kontodaten und sonstige kontobezogene Zugangsdaten werden unverzüglich gesperrt, sodass ein weiterer
Zugriff auf die Plattform nicht mehr möglich ist.
Die vollständige Löschung der Kontodaten erfolgt grundsätzlich innerhalb von 30 Tagen.
Die zeitliche Verzögerung bis zur vollständigen Löschung ergibt sich aus technischen Sicherungskopien, die innerhalb dieses Zeitraums überschrieben werden.

Bei regulärem Vertragsablauf oder nach Kündigung gelten dieselben Grundsätze. Auch in diesen Fällen werden Chats und sonstige plattformbezogene Inhalte unverzüglich entfernt. Kontodaten werden unverzüglich gesperrt und grundsätzlich innerhalb von 30 Tagen gelöscht.

Von der unverzüglichen Entfernung, Sperrung oder vollständigen Löschung ausgenommen sind nur solche Daten,

zu deren Aufbewahrung die Performance Gateway GmbH gesetzlich verpflichtet ist,
die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind,
oder die aus sonstigen zwingenden rechtlichen Gründen weiter gespeichert werden müssen.

Abrechnungsdaten und sonstige aufbewahrungspflichtige Daten bleiben hiervon unberührt. Für diese gelten ergänzend die <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls weitere gesonderte Datenschutzhinweise oder im Einzelfall bereitgestellte Unterlagen.

f. Erfordernis der Bereitstellung Ihrer personenbezogenen Daten

Die Bereitstellung der für die Kontolöschung erforderlichen Zuordnungsdaten ist notwendig, um die Löschung dem richtigen Konto zuordnen zu können.

g. Drittlandübermittlungen

In diesem Zusammenhang erfolgt keine gesonderte beabsichtigte Drittlandübermittlung außerhalb der in dieser Datenschutzerklärung beschriebenen Microsoft-Verarbeitungen.

h. Sonstige spezifische Hinweise

Falls Sie nach der Löschung ein neues Konto anlegen möchten oder Ihr Vertrag noch aktiv ist, wenden Sie sich bitte an support@performancegateway.de.

i. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DS-GVO findet in diesem Zusammenhang derzeit nicht statt. Ein Profiling erfolgt in diesem Zusammenhang derzeit ebenfalls nicht.

XXVII. Aufbewahrungspflichten und Löschung von Daten

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist, wir hierzu gesetzlich verpflichtet sind oder eine weitere Verarbeitung aus sonstigen rechtlich zulässigen Gründen erforderlich bleibt. Sofern personenbezogene Daten nicht unmittelbar gelöscht werden, weil gesetzliche Aufbewahrungspflichten bestehen, berechtigte Interessen eine befristete weitere Speicherung rechtfertigen oder eine Löschung aus technischen oder rechtlichen Gründen nicht sofort vollständig umgesetzt werden kann, wird deren Verarbeitung auf die jeweils fortbestehenden Zwecke beschränkt.

Die Performance Gateway GmbH prüft die Erforderlichkeit der weiteren Speicherung jeweils nach Maßgabe des konkreten Verarbeitungskontexts. Soweit personenbezogene Daten für die ursprünglichen Zwecke nicht mehr benötigt werden und keine rechtlichen oder sonstigen zulässigen Gründe für eine weitere Verarbeitung bestehen, werden sie gelöscht oder ihre Verarbeitung wird auf die noch zulässigen Zwecke beschränkt. Soweit eine sofortige vollständige Löschung nicht möglich oder nicht zulässig ist, erfolgt eine weitere Verarbeitung nur in dem Umfang, in dem dies rechtlich geboten oder zulässig ist.

Die weitere Aufbewahrung beziehungsweise eingeschränkte Weiterverarbeitung kann sich insbesondere aus Art. 6 Abs. 1 lit. c DS-GVO ergeben, soweit gesetzliche Aufbewahrungs-, Nachweis- oder Dokumentationspflichten bestehen. Soweit eine befristete weitere Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zur Aufklärung sicherheitsrelevanter Vorfälle, zur Missbrauchsabwehr, zur technischen Wiederherstellung oder zur Wahrung sonstiger berechtigter Interessen erforderlich ist, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO. Im Übrigen richten sich Löschung und Fortbestand einzelner Datenverarbeitungen nach den gesetzlichen Vorgaben, insbesondere nach Art. 17 DS-GVO, sowie nach den in dieser Datenschutzerklärung beschriebenen spezialgesetzlichen, technischen und vertraglichen Anforderungen.

Von Aufbewahrung, Löschung oder eingeschränkter Weiterverarbeitung betroffen sein können grundsätzlich sämtliche in dieser Datenschutzerklärung genannten Datenkategorien, soweit deren weitere Speicherung im Einzelfall erforderlich oder rechtlich geboten ist. Dies betrifft insbesondere:

Konto- und Stammdaten,
Sitzungsdaten,
technische Protokoll- und Logdaten,
Chat-, Interaktions- und Metadaten,
Sprach- und Transkriptionsdaten, soweit einschlägig,
Bewertungs- und Score-Daten,
Support- und Kommunikationsdaten,
Vertrags-, Bestell-, Abrechnungs- und sonstige geschäftsbezogene Begleitdaten.

Empfänger im Zusammenhang mit Aufbewahrung, Löschung, Sperrung oder eingeschränkter Weiterverarbeitung richten sich nach dem jeweiligen Aufbewahrungs- und Löschungskontext. Dies können insbesondere interne zuständige Stellen der Performance Gateway GmbH sowie technisch oder organisatorisch eingebundene Auftragsverarbeiter sein, soweit dies zur rechtmäßigen Aufbewahrung, Löschung, Sperrung, technischen Wiederherstellung, Nachweisführung, Sicherheitsbearbeitung oder Rechtsverteidigung erforderlich ist. Für weitergehende allgemeine geschäftliche Verarbeitungskontexte gelten ergänzend die <a „/datenschutz/informationspflichten-ds-gvo/“>Informationspflichten DS-GVO sowie gegebenenfalls weitere gesonderte Datenschutzhinweise oder im Einzelfall bereitgestellte Unterlagen.

Sind personenbezogene Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten sowie für die jeweiligen ursprünglichen Verarbeitungszwecke nicht mehr erforderlich, werden sie regelmäßig gelöscht, es sei denn, eine befristete und eingeschränkte Weiterverarbeitung ist insbesondere zu folgenden Zwecken erforderlich:

Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten, insbesondere nach § 257 HGB und § 147 AO,
Erhaltung von Beweismitteln im Rahmen gesetzlicher Verjährungsvorschriften, insbesondere nach § 195 ff. BGB,
Einhaltung weiterer gesetzlicher Aufbewahrungs- und Speicherpflichten,
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
Aufklärung und Nachverfolgung sicherheitsrelevanter Vorfälle,
technische Wiederherstellung und Störungsbearbeitung im Rahmen rechtlich zulässiger Backup- und Sicherungskonzepte.

Nach dem derzeit bekannten Stand gilt ergänzend:

Passwort-Reset-Daten werden nach Ablauf automatisiert gelöscht.
Sitzungsdaten werden nach Ablauf der jeweiligen Sitzung automatisiert gelöscht.
Personenbezogene technische und anwendungsbezogene Logfiles werden grundsätzlich 30 Tage gespeichert.
Tägliche Backups werden eingesetzt.
Für die konkrete Aufbewahrungsdauer der Backups besteht nach dem derzeitigen Stand keine einheitlich verbindlich festgelegte starre Frist für alle Backup-Konstellationen.
Kontodaten werden nach Kontolöschung oder Vertragsende nach Maßgabe der hierfür in dieser Datenschutzerklärung beschriebenen Regelungen gesperrt und gelöscht, soweit keine Aufbewahrungspflichten oder sonstigen zulässigen Gründe entgegenstehen.

Die Bereitstellung personenbezogener Daten richtet sich nach dem jeweiligen Verarbeitungs-, Aufbewahrungs- und Löschungskontext. Soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen oder Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, kann eine sofortige vollständige Löschung im Einzelfall ausgeschlossen sein.

Für Drittlandübermittlungen im Zusammenhang mit Aufbewahrungs-, Sicherungs- oder Wiederherstellungsprozessen gelten die allgemeinen Hinweise dieser Datenschutzerklärung zu den eingesetzten Microsoft-Diensten und den dort beschriebenen vertraglichen und technischen Schutzmechanismen, soweit solche Dienste betroffen sind.

Weitere Hinweise zur Löschung Ihrer personenbezogenen Daten können sich ergänzend aus den einzelnen Abschnitten dieser Datenschutzerklärung ergeben, insbesondere zu:

Kontolöschung,
Supportkommunikation,
Abrechnung und kaufmännischen Vorgängen,
allgemeinen geschäftlichen Verarbeitungskontexten.

Eine automatisierte Entscheidungsfindung oder ein Profiling nach Art. 22 DS-GVO mit rechtlicher oder vergleichbar erheblicher Wirkung findet in diesem Zusammenhang derzeit nicht statt.

XXVIII. Betroffenenrechte

XXVIII.1. Recht auf Widerruf von erteilten Einwilligungen gemäß Art. 7 Abs. 3 DS-GVO

Sie haben das Recht, Ihre erteilte(n) Einwilligung(en) – auch teilweise – jederzeit mit Wirkung für die Zukunft uns gegenüber zu widerrufen. Durch den Widerruf der Einwilligung(en) wird die Rechtmäßigkeit der aufgrund der Einwilligung(en) bis zum Widerruf erfolgten Verarbeitung(en) nicht berührt. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser / diesen Einwilligung(en) beruhte, für die Zukunft nicht mehr fortführen dürfen, sofern keine rechtlichen Verpflichtungen oder vertraglichen Bestimmungen entgegenstehen.

XXVIII.2. Auskunftsrecht gemäß Art. 15 DS-GVO

Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in regelmäßigen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können (vgl. Erwägungsgrund 63 DS-GVO). Das Auskunftsrecht beinhaltet insbesondere die nachstehenden Informationen:

Den Zweck der Verarbeitung
Die Datenkategorien
Die Empfänger / Kategorien von Empfängern, insbesondere Empfänger von internationalen Organisationen oder Drittländern; sofern ein Drittland involviert ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.
Alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.
Alle verfügbaren Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO.
Das Bestehen eines Rechts auf
• Berichtigung oder
• Löschung der sie betreffenden personenbezogenen Daten oder
• auf Einschränkung der Verarbeitung durch den Verantwortlichen oder
• eines Widerspruchsrechts gegen diese Verarbeitung und
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit über die am Anfang dieser Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden.

XXVIII.3. Recht auf Berichtigung gemäß Art. 16 DS-GVO

Jeder Betroffene hat das Recht, von unserem Unternehmen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Möchte eine betroffene Person dieses Recht auf Berichtigung in Anspruch nehmen, kann sie sich hierzu jederzeit über die am Anfang dieser Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden.

XXVIII.4. Recht auf Löschung (Recht auf Vergessenwerden) gemäß Art. 17 DS-GVO

Jeder Betroffene hat das Recht auf Löschung und Vergessenwerden und kann von uns verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und so weit die Verarbeitung nicht erforderlich ist:

Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten veranlassen möchte, kann sie sich hierzu jederzeit über die am Anfang dieser Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden. Der Verantwortliche wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.

XXVIII.5. Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DS-GVO

Jeder Betroffene hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die beim Verantwortlichen gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit über die am Anfang dieser Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden. Der Verantwortliche wird die Einschränkung der Verarbeitung veranlassen.

XXVIII.6. Recht auf Datenübertragbarkeit gemäß Art. 20 DS-GVO

Jeder Betroffene hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den derzeitig Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.

Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit über die am Anfang dieser Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden.

XXVIII.7. Recht auf Widerspruch gemäß Art. 21 DS-GVO

Jeder Betroffene hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung seiner betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Verarbeitet der Verantwortliche personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber dem Verantwortlichen der Verarbeitung für Zwecke der Direktwerbung, so wird der Verantwortliche die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei dem Verantwortlichen zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person jederzeit über die am Anfang dieser
Datenschutzhinweise angegebene Kontaktmöglichkeit an uns wenden.

XXVIII.8. Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DS-GVO

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Die für uns zuständige Aufsichtsbehörde lautet:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Wilhelmstraße 7
65185 Wiesbaden
Telefon: 0611 / 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Homepage: https://www.datenschutz.hessen.de

Selbstverständlich können Sie sich wie vorstehend beschrieben auch an jede andere Datenschutz-Aufsichtsbehörde wenden.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DS-GVO.

PDF herunterladen