im Hinblick auf die Nutzung der Webseite https://www.penseo.de,
der Verarbeitung von Interessentendaten
sowie im Hinblick auf Recruitingverfahren
Stand: Juli 2024
Verantwortlich für die Datenverarbeitungen auf dieser Webseite ist im Sinne des Art. 4 Nr. 7 DSGVO
Penseo GmbH
Eppendorfer Weg 210
20251 Hamburg
vertr. d. d. Geschäftsführer
Dr. Johannes Georg, Morten Hartmann
Telefon: +49 (0)40 228677499
E-Mail: info@penseo.de
- Im Folgenden Penseo GmbH -
Bei Fragen zum Datenschutz wenden Sie sich an:
Penseo GmbH
Eppendorfer Weg 210
20251 Hamburg
E-Mail: datenschutz@penseo.de
Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen. Hierunter fallen z.B. Angaben wie Namen, Postanschrift, E-Mail-Adresse oder Telefonnummer, ggf. aber auch Nutzungsdaten wie beispielsweise die IP-Adresse oder Inhaltsdaten wie Ihre Lebenslaufdaten.
Im Folgenden klären wir über den Umfang der Datenerhebung und -speicherung sowie -nutzung (im Folgenden „Datenverarbeitung“, verwendet im Sinne des Art. 4 Nr. 2 DSGVO) und über den Zweck der jeweiligen Datenverarbeitung im Rahmen der Webseite (Ziffer 5), der Interessentenanfragen (Ziffer 6) sowie im Rahmen von Recruitingverfahren (Ziffer 7).
Die Nutzung dieser Webseite ist im Grundsatz ohne Angaben von personenbezogenen Daten möglich. Eine Ausnahme stellt die IP-Adresse dar. Diese benötigen wir zwingend kurzfristig.
Ohne Internet-Protokoll-Adressen, kurz „IP-Adressen“, würde – sehr vereinfacht ausgedrückt – das Internet nicht funktionieren. Eine IP-Adresse stellt nämlich in Computernetzen eine Adresse dar, damit darüber Webserver und/oder einzelne Endgeräte angesprochen und erreicht werden können. Ohne IP-Adresse können der Webserver und die Endgeräte nicht kommunizieren – und somit nichts anzeigen. Der Webserver, auf dem die Webseite gehostet wird, wird also mit einer Datenanfrage – von Ihnen, Sie wollen schließlich die Webseite nutzen – angepingt. Um die Daten zu liefern, muss der Webserver die IP-Adresse kennen. Folglich muss der Webserver in diesem Moment der Datenabfrage Ihre IP-Adresse verarbeiten. Dazu erhält der Webserver die Information, welche Webseite bzw. Datei abgerufen, welcher Browser und welches Betriebssystem dazu genutzt wurde. Normalerweise werden diese Daten vollständig in den sog. Webserver-Logfiles langfristig gespeichert. Die Penseo GmbH speichert Ihre IP-Adressen hingegen außer zum Zeitpunkt der geschilderten notwendigen Verarbeitung aus technischen Gründen lediglich für bis zu 24 Stunden, um Brute-Force-Attacken erkennen, Hackerangriffe identifizieren und abwehren sowie ggf. Straftaten verfolgen zu können. Danach werden die IP-Adressen in den Logfiles automatisch anonymisiert, indem das letzte Oktett auf 0 gesetzt wird.
Rechtsgrundlage für diese Datenverarbeitung ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, da wir Ihre IP-Adresse benötigen, um Ihnen überhaupt die Webseite und die darin enthaltenen Informationen übermitteln zu können.
Wir speichern die IP-Adressen bis zu 24 Stunden seit ihrer Erhebung in den Logfiles des Webservers auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, durch das Speichern der IP-Adressen missbräuchliche Nutzungen, die die technische Sicherheit und Verfügbarkeit des Webservers beeinträchtigen (wie beispielsweise DDoS-Angriffe), entgegenzuwirken, z.B. durch Sperrlisten. Ein entgegenstehendes, überwiegendes Interesse der Nutzer daran, dass die IP-Adressen sofort gelöscht werden, ist nicht ersichtlich. Schließlich können wir die IP-Adresse selbst nicht zu konkreten Personen in Beziehung setzen. Hierzu bedürfte es eines Auskunftsanspruchs, einer Anordnung eines Gerichts und der Herausgabe der Daten der Provider. Wir verfügen über einen derartigen Auskunftsanspruch in der Regel nicht. Insoweit liegt nur ein geringfügiger Eingriff in das Persönlichkeitsrecht vor.
Für die Vereinbarung von Terminen haben wir auf unserer Webseite den Dienst von Calendly LLC, 1315 Peachtree St. NE, Atlanta, GA 30309, USA eingebunden. Für die Darstellung der Terminauswahl verarbeitet Calendly die hierzu technisch erforderlichen IP-Adressen und Verbindungsdaten.
Um Ihnen die Terminauswahl zu ermöglichen, setzt Calendly ein Session-Cookie ein, welcher mittels einer Session-ID die Terminauswahl erst ermöglicht. Dieser Cookie erhebt keine personenbezogenen Daten von Ihnen. (Weshalb dieser Session-Cookie ein technisch notwendiger Cookie ist, erklären wir Ihnen unter Ziffer 5.2.)
Sofern Sie einen Termin buchen möchten, müssen Sie uns die folgenden Daten übermitteln:
Diese Daten werden ausschließlich zur Vereinbarung des gewünschten Termins und zur Kontaktaufnahme mit Ihnen zum Termin verarbeitet.
Rechtsgrundlage für diese Datenverarbeitung ist hier Art. 6 Abs. 1 lit. b DSGVO, da wir ohne die Verarbeitung der von Ihnen bereitgestellten personenbezogenen Daten schließlich nicht auf den von Ihnen gewünschten Termin und Ihren damit verbundenen Kontaktwunsch eingehen können.
Die Calendly LLC ist uns über einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO verpflichtet. Durch die EU-Standardvertragsklauseln wird die Datensicherheit der Datenverarbeitung in den USA gewährleistet.
Weitere Informationen zur Datenverarbeitung durch Calendly LLC finden Sie in den Datenschutzbestimmungen von Calendly LLC unter https://calendly.com/pages/privacy.
Mit dem Newsletter informieren wir Sie unter anderem über Neuigkeiten zu Penseo sowie Aktuelles zu betrieblichen Versorgungssystemen.
Wenn Sie sich zu unserem Newsletter anmelden, benötigen wir selbstverständlich Ihre E-Mail-Adresse zur Übersendung des Newsletters.
Soweit basiert die Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO.
Daneben erfassen wir statistisch, welche Abonnenten den Newsletter geöffnet und welche Abonnenten auf Links in dem Newsletter geklickt haben, um nachvollziehen zu können, welche Inhalte für unsere Nutzer interessant sind.
Diese Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DSGVO.
Ihre Einwilligung holen wir im Rahmen des Double-Opt-In Verfahrens ein. Dabei melden Sie sich zunächst zu unserem Newsletter an, um so dann eine E-Mail mit einem Hinweis auf diese Information zur Datenverarbeitung und einen Bestätigungslink zu erhalten. Erst nach dem Klick auf den Bestätigungslink sind Sie in den Newsletter-Verteiler aufgenommen. Dies tun wir, um sicherzustellen, dass tatsächlich Sie Ihre E-Mail-Adresse bei uns eingetragen haben und den Newsletter erhalten wollen und um eben dies im Zweifel nachweisen zu können.
Zu den vorgenannten Nachweiszwecken protokollieren wir Ihre Anmeldung zum Newsletter, indem wir den Anmelde- und den Bestätigungszeitpunkt sowie Ihre vollständige IP-Adressen zum Zeitpunkt der Anmeldung bzw. Bestätigung speichern. Diese Daten verarbeiten wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an dem Nachweis der Anmeldung Ihrer Person am Newsletter im Falle etwaiger Rechtsstreitigkeiten haben. Ein überwiegendes berechtigtes Interesse Ihrerseits, dass wir diese Daten nicht verarbeiten, ist nicht ersichtlich. Vielmehr ist der Vorgang des Double-Opt-Ins auch in Ihrem Interesse, da nur so sichergestellt werden kann, dass nicht unbefugte Dritte eine Anmeldung für Sie vornehmen.
Des Weiteren möchten wir Ihnen mitteilen, dass wir den Newsletter-Service Mailchimp der Rocket Science Group LLC zum Zwecke des Versands unseres Newsletters einsetzen. Die Rocket Science Group LLC (675 Ponce De Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA) ist ein US-Unternehmen. Ihre Daten werden in Folge dessen in den USA verarbeitet. Die Rocket Science Group LLC ist jedoch im Hinblick auf den Dienst Mailchimp Privacy Shield zertifiziert. Im Übrigen wird die Datenverarbeitung über einen Auftragsverarbeitungsvertrag datenschutzrechtlich abgesichert.
Wenn Sie die oben genannten Einwilligungen nicht erteilen oder einen Datentransfer im vorgenannten Rahmen in die USA nicht möchten, dann können wir das verstehen, können Ihnen dann aber leider den Bezug des Newsletters nicht anbieten.
Selbstverständlich können Sie sich jederzeit vom Newsletter abmelden. Siehe dazu auch Ziffer 9.2.
Wenn Sie uns als Interessent per E-Mail, per Telefon oder auf einer Messe kontaktieren, dann verarbeiten wir ggf. die folgenden Daten von Ihnen:
Wir verarbeiten Interessentendaten zur Durchführung von vorvertraglichen Maßnahmen im Sinne von Art. 6 Abs. 1 lit. b DSGVO, so zum Beispiel bei einer ersten Kontaktaufnahme per E-Mail. Schildern Sie als Interessent mit Ihrer Nachricht, Ihrem Anruf oder dem Gespräch jedoch weiteres Interesse an unseren Leistungen, so werden die Kontaktdaten und der Grund der Anfrage in das CRM-System übernommen. Diese Verarbeitung erfolgt auf Basis von Art. 6 I f) DSGVO. Wir haben ein berechtigtes Interesse daran, Kontakt zu Interessenten zu halten und zu intensivieren. Dies ist nur möglich, wenn die Daten nicht unmittelbar gelöscht werden. Ein entgegenstehendes Interesse des Interessenten ist in diesem Fall nicht ersichtlich, da Sie uns die Daten selbst im Rahmen einer Interessensbekundung übergeben haben.
Im Folgenden klären wir Sie über den Umfang der Datenerhebung und -speicherung sowie deren Nutzung und über den Zweck der Datenverarbeitung im Rahmen von Recruitingverfahren auf.
Zur Personalgewinnung betreiben wir auch aktive Rekrutierungen (sog. „Sourcing“), d.h. wir suchen aktiv in sozialen Netzwerken, in Foren oder an sonst allgemein zugänglichen Orten insbesondere online nach potentiellen Mitarbeitern.
Im Rahmen dieser aktiven Rekrutierungsverfahren verarbeiten wir die von den Betroffenen offensichtlich öffentlich gemachten Daten wie:
Diese Kandidatendaten verarbeiten wir auf Grundlage von Art. 6 Abs. 1 lit. f iVm. Art. 9 Abs. 2 lit. e DSGVO. Wir haben ein berechtigtes Interesse daran, personenbezogene Daten von potentiellen Mitarbeitern, die diese selbst offensichtlich öffentlich gemacht haben, zu Zwecken der Personalgewinnung zu verarbeiten. Ein entgegenstehendes überwiegendes Interesse der Kandidaten, dass diese Daten nicht durch uns zu diesen Zwecken erhoben werden, ist nicht ersichtlich, da nur durch die Betroffenen selbst öffentlich gemachte Daten, welche der Sozialsphäre zuzuordnen sind, verarbeitet werden. Entsprechend den gesetzlichen Vorgaben werden diese auch nur dann über den hier in den Löschfristen benannten Zeitraum aufbewahrt, wenn hierfür eine Einwilligung der Betroffenen eingeholt wird.
Von einer Benachrichtigung derjenigen Kandidaten, deren Daten im Rahmen eines aktiven Rekrutierungsverfahrens zu den Zwecken der Anlage eines Kandidatenpools verarbeitet, aber welche schlussendlich nicht im Hinblick auf die in Rede stehende Stelle angesprochen und deren Daten entsprechend den Löschfristen nach Ziffer 9.4.1 gelöscht werden, wird aufgrund der Unverhältnismäßigkeit des damit verbundenen Aufwands gemäß Art. 14 Abs. 5 lit. b DSGVO abgesehen und gleichsam nach Art. 14 Abs. 5 lit. b DSGVO an dieser Stelle über die vorgenommene Datenverarbeitung informiert.
Wenn Sie nach einer aktiven Ansprache durch uns in die weitere Verarbeitung Ihrer Daten einwilligen und darüber hinaus weitere relevante Bewerbungsunterlagen zukommen lassen, verarbeiten wir diese als Bewerberdaten gemäß der Ziffer 7.2.
Wenn Sie sich bei uns auf eine Stelle oder initiativ bewerben oder uns nach einer aktiven Ansprache eine Einwilligung zur weiteren Verarbeitung Ihrer Daten erteilen und uns darüber hinaus weitere relevante Bewerbungsunterlagen zukommen lassen, dann verarbeiten wir auf der Grundlage von § 26 BDSG zur möglichen Begründung eines Beschäftigungsverhältnisses regelmäßig die folgenden Daten von Ihnen:
Die einschlägige Rechtsgrundlage ist Art. 6 Abs. 1 lit. b, 88 DSGVO iVm. § 26 BDSG, da die Bewerbung zur Begründung eines Beschäftigtenverhältnisses erfolgt.
Wir beachten den Grundsatz der zweckgebundenen Datenverarbeitung. Sämtliche vorgenannten Daten verarbeiten wir nur zu den bereits genannten Zwecken.
Empfänger von Daten sind
jeweils im Rahmen des unter Ziffer 5 beschriebenen Verarbeitungsumfangs und -zwecks.
Daneben können auch unser Webserver-Hoster als auch unser Hosting-Provider für unseren E-Mail-Server Empfänger von Daten sein.
Sie können auf Nachfrage jederzeit eine Liste der konkreten Empfänger erhalten. Aus Gründen unserer eigenen IT- und Datensicherheit möchten wir jedoch die Empfänger von Daten nicht öffentlich an dieser Stelle namentlich benennen.
Sie können sich jedoch sicher sein, dass wir jeden Anbieter, der für uns Daten im Auftrag verarbeitet, über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet haben und dass wir, wenn und soweit eine Übermittlung der Daten in einen sogenannten unsicheren Drittstaat wie die USA erfolgt, diese Übermittlung nur unter den Voraussetzungen der Art. 44 ff. DSGVO in zulässiger Art und Weise erfolgt.
Selbstverständlich erhalten nicht alle Empfänger alle Ihre Daten, sondern nur im Rahmen der Zwecke des jeweiligen Empfängers.
Eine Weitergabe der personenbezogenen Daten an Dritte außerhalb des hier geschilderten Rahmens erfolgt ohne eine ausdrückliche Einwilligung nicht.
Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder, wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet sind.
Ihre IP-Adresse, die wir in den Webserver-Logfiles zum Verbindungsaufbau zwischenspeichern, wird innerhalb von 24 Stunden nach der Erhebung automatisch anonymisiert.
Die Daten, die wir im Rahmen des Nutzungsprofils von Universal Analytics (Google Analytics) erheben, werden automatisch nach 14 Monaten gelöscht.
Die im Rahmen des Online-Terminkalenders Calendly sowie im Rahmen des Intercom Live-Chat-Widgets verarbeiteten Daten löschen wir unmittelbar nach Erledigung des Anliegens. Äußern Sie im Rahmen von Calendly bzw. im Rahmen von dem Live-Chat via Intercom Ihr Interesse an unseren Leistungen, löschen wir Ihre Daten innerhalb der Löschfristen für Interessentendaten nach Ziffer 9.3.
Die Daten, die Sie uns zum Zwecke des Newsletter Abonnements mitteilen, verwenden wir zum Zweck des Newsletter-Versands bis Sie sich von unserem Newsletter abmelden. Diese Daten löschen wir umgehend nach Ihrer Abmeldung.
Interessentendaten werden zwei Jahre nach dem letzten Kontaktpunkt gelöscht.
Ein Kontaktpunkt meint beispielsweise die Teilnahme an einem Webinar, die Interaktion mit einem Mitarbeiter auf einer Messe, via soziale Medien, per E-Mail oder telefonisch. Der lange Speicherzeitraum ist in den teilweise langen Planungs- und Budgetzyklen begründet.
Sind Aufbewahrungsfristen nach § 257 HGB zu erfüllen, werden die Daten bis zu 6 Jahre aufbewahrt und anschließend gelöscht. In dem Fall werden die Daten in der Verwendung nach Ablauf der zwei Jahre gemäß Art. 18 DSGVO auf die Erfüllung der Aufbewahrungspflicht beschränkt und nach Ablauf der o.g. Fristen gelöscht.
Ist eine Löschung einzelner Daten und Datensätze nur mit einem unverhältnismäßigen Aufwand, bezogen auf die Extraktion und Separierung, im Hinblick auf unterschiedlichen Löschfristen möglich, so werden diese Daten einheitlich nach Erledigung des Anliegens beschränkt und nach Ablauf von 6 Jahren nach den letzten Kontaktpunkt gelöscht.
Die Frist beginnt mit Schluss des Kalenderjahres, in dem das jeweilige Datum erhoben wurde.
Kandidatendaten aus Sourcingverfahren werden, soweit keine Ansprache erfolgt und keine Einwilligung der Betroffenen zu einer weiteren Verarbeitung eingeholt wird, sechs Monate nach Beginn des Sourcingprozesses gelöscht.
Nach Abschluss eines Bewerbungsverfahrens werden die Bewerberdaten derjenigen, die zur Besetzung der vermittelten Stellen abgelehnt wurden, erst nach Ablauf von acht Monaten nach der Besetzung (Beschäftigungsantritt) der vermittelten Stelle gelöscht. Hintergrund für diesen Zeitraum ist, dass die Probezeit regelmäßig sechs Monate beträgt. Sollte das neu begründete Arbeitsverhältnis binnen dieses Zeitraums wieder beendet werden, so soll die Möglichkeit bestehen, auf die weiteren Bewerber zurückkommen zu können.
Für etwaige längere Aufbewahrungen der Bewerbungsunterlagen werden Einwilligungen im Einzelfall eingeholt.
Als Betroffener haben Sie – unabhängig von vorstehenden Ausführungen – folgende Rechte uns gegenüber:
Sie haben das Recht, Auskunft bezüglich der von Ihnen bei uns verarbeiteten Daten zu verlangen.
Sie können jederzeit der Verarbeitung Ihrer Daten widersprechen, soweit die Voraussetzungen des Art. 21 DSGVO vorliegen, und eine etwaige daneben erteilte Einwilligung zur Verarbeitung der Daten jederzeit widerrufen. Wenn die Einwilligung zur Datenverarbeitung widerrufen bzw. der Verwendung der Daten widersprochen wird, berührt dies die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs bzw. des Widerspruchs nicht.
Weiter können Sie jederzeit die von uns verarbeiteten Daten berichtigen, beschränken oder löschen lassen. Wir weisen ausdrücklich darauf hin, dass es gesetzliche Verpflichtungen – wie Aufbewahrungspflichten – geben kann, Daten weiter zu speichern. In diesem Fall können die Daten nur beschränkt werden. Dies meint, dass die Daten ausschließlich zu dem Zweck des Nachkommens der gesetzlichen Pflichten verarbeitet und sonst nicht genutzt werden.
Darüber hinaus steht Ihnen auch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das Recht zur Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 DSGVO zu.
Wenden Sie sich zur Ausübung und bei Fragestellungen jederzeit unter datenschutz@penseo.de an uns.
Für die Datenverarbeitungen auf unserer Facebook-Seite, insbesondere für die Nutzung der Facebook-Insights, sind wir und Facebook gemeinsam verantwortlich. Die Zusammenarbeit mit der Facebook Ireland Limited in datenschutzrechtlicher Hinsicht erfolgt auf der Grundlage eines abgeschlossenen Vertrags über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. (Den Vertrag können Sie hier einsehen.)
Demnach ist die Facebook Ireland Limited für die rechtskonforme Verarbeitung der Daten nach der DSGVO und damit für die Informationspflichten bezüglich der Datenverarbeitung und als primäre Anlaufstelle hinsichtlich Ihrer Betroffenenrechte verantwortlich. Die Informationen zur Datenverarbeitung von Facebook können Sie hier abrufen.
Die im Rahmen der Facebook-Insights für uns nicht personenbeziehbaren Daten verarbeiten wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, die Nutzung unserer Facebook-Seite statistisch auszuwerten, um die Inhalte weiterzuentwickeln und zu optimieren.
Datenschutzrechtlich Verantwortlich ist die Penseo GmbH.