1. Allgemeines
1.1 Was sind personenbezogene Daten
Personenbezogene Daten sind Angaben, die die Identität des Nutzers offenlegen oder offenlegen können. Wir halten uns an den Grundsatz der Datenvermeidung. Es wird soweit wie möglich auf die Erhebung von personenbezogenen Daten verzichtet.
1.2 Umgang mit personenbezogenen Daten
Personenbezogene Daten dienen ausschließlich der Vertragsbegründung, inhaltlichen Ausgestaltung, Durchführung oder Abwicklung des Vertragsverhältnisses (Art. 6 Abs. 1 S. 1 lit. b DSGVO).
Darüber hinaus werden personenbezogene Daten nur verarbeitet, soweit wir hierzu Ihre Einwilligung erhalten haben (Art. 6 Abs. 1 S. 1 lit. a DSGVO) bzw. es sich um Daten handelt, deren Verarbeitung für unsere berechtigten Interessen erforderlich ist und soweit die Abwägung ergibt, dass keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten Ihrerseits entgegenstehen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Wir können zur Verarbeitung Ihrer personenbezogenen Daten Auftragsverarbeiter verwenden, werden die personenbezogenen Daten darüber hinaus aber grundsätzlich nicht an Dritte weitergeben.
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt ausschließlich innerhalb der EU, soweit nachfolgend nicht etwas Abweichendes dargelegt ist.
1.3 Nutzungsdaten
Beim Besuch der Webseite werden allgemeine technische Informationen erhoben. Dies sind die verwendete IP-Adresse, Uhrzeit, Dauer des Besuchs, Browsertyp und ggf. die Herkunftsseite. Diese Nutzungsdaten werden technisch bedingt in einem Logfile registriert und können zum Zwecke der Statistikauswertung dieser Webseite benutzt und gespeichert werden. Eine Verknüpfung dieser Nutzungsdaten mit Ihren weiteren personenbezogenen Daten findet nicht statt. Die Speicherung der Nutzungsdaten erfolgt für maximal 30 Tage.
1.4 Verarbeitung von Daten im Rahmen von Beratungsleistungen für Geschäftskunden
Im Rahmen unserer Beratungsdienstleistungen für Geschäftskunden verarbeiten wir unter Umständen personenbezogene Daten, die wir nicht direkt von den betroffenen Personen, sondern von unseren Auftraggebern (Ihren Arbeitgebern oder Vertragspartnern) erhalten. Dies betrifft insbesondere Daten von deren Endkunden, Lieferanten oder Mitarbeitern.
Die Verarbeitung dieser Daten erfolgt ausschließlich zum Zweck der Erbringung unserer vertraglich vereinbarten Beratungsleistung, beispielsweise zur Analyse von Einkaufs- und Prozessdaten, um Optimierungspotenziale zu identifizieren und strategische Empfehlungen zu entwickeln. Je nach Auftrag können dies Kontakt-, Vertrags-, Einkaufs-, oder Kommunikationsdaten sein. Wir halten uns hierbei strikt an den Grundsatz der Datenminimierung und verarbeiten nur die für den jeweiligen Analysezweck unerlässlichen Daten.
Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der ordnungsgemäßen Erfüllung unserer vertraglichen Verpflichtungen gegenüber unserem jeweiligen Auftraggeber. Wir haben sorgfältig abgewogen und sind zu dem Schluss gekommen, dass dieses Interesse die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, deren Daten wir analysieren, nicht überwiegt, zumal die Verarbeitung ausschließlich intern zu Analysezwecken erfolgt.
1.5 Speicherdauer und Löschfristen
Wir speichern Ihre personenbezogenen Daten nach der Beendigung des Zwecks, für welchen die Daten erhoben wurden, nur so lange, wie dies auf Grund der gesetzlichen (insbesondere steuerrechtlichen) Vorschriften erforderlich ist. Soweit keine spezielleren Fristen genannt sind, gelten folgende Löschfristen:
- Server-Logfiles (Nutzungsdaten): 30 Tage nach Erhebung
- Kontaktformular-Anfragen: Löschung nach Bearbeitung und vollständiger Erledigung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
- Newsletter-Daten: Löschung nach Abmeldung vom Newsletter, sofern keine anderweitige Rechtsgrundlage besteht
- Geschäftskorrespondenz (E-Mails, Briefe): 6 Jahre gemäß § 257 HGB bzw. 10 Jahre bei steuerrechtlicher Relevanz gemäß § 147 AO
- Vertragsdaten: 10 Jahre nach Vertragsende gemäß § 147 AO
- Meeting-Aufzeichnungen (Zoom, Microsoft Teams): Löschung unmittelbar nach Zweckerfüllung bzw. Widerruf der Einwilligung
- Daten in OneDrive und Microsoft 365: Bis zur aktiven Löschung durch den Verantwortlichen bzw. bis zum Ende der Aufbewahrungspflicht
2. Ihre Rechte
2.1 Auskunft
Sie können von uns eine Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten und soweit dies der Fall ist haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO genannten weiteren Informationen.
2.2 Recht auf Berichtigung
Sie haben das Recht auf Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten und können gemäß Art. 16 DSGVO die Vervollständigung unvollständiger personenbezogener Daten verlangen.
2.3 Recht auf Löschung
Sie haben das Recht von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Wir sind verpflichtet diese unverzüglich zu löschen, insbesondere sofern einer der folgenden Gründe zutrifft:
- Ihre personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen ihre Einwilligung, auf die sich die Verarbeitung Ihrer Daten stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Ihre Daten wurden unrechtmäßig verarbeitet.
Das Recht auf Löschung besteht nicht, soweit Ihre personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung unserer Rechtsansprüche erforderlich sind.
2.4 Recht auf Einschränkung der Verarbeitung
Sie haben das Recht von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn
- Sie die Richtigkeit der Daten bestreiten und wir daher die Richtigkeit überprüfen,
- die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen und stattdessen die Einschränkung der Nutzung verlangen,
- wir die Daten nicht länger benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen,
- Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt haben, und noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren Gründen überwiegen.
2.5 Recht auf Datenübertragbarkeit
Sie haben das Recht die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung bei uns mithilfe automatisierter Verfahren erfolgt.
2.6 Widerrufsrecht
Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht, haben Sie das Recht diese Einwilligung jederzeit zu widerrufen.
2.7 Allgemeines und Beschwerderecht
Die Ausübung Ihrer vorstehenden Rechte ist für Sie grundsätzlich kostenlos. Sie haben das Recht sich bei Beschwerden direkt an die für uns zuständige Aufsichtsbehörde, den Landesdatenschutzbeauftragten, zu wenden.
2.8 Automatisierte Entscheidungsfindung einschließlich Profiling
Eine automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO, das heißt Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, finden bei uns nicht statt. Der auf dieser Website angebotene einkaufsRADAR-Schnellcheck (siehe 8.) dient ausschließlich Ihrer eigenen Orientierung und stellt keine automatisierte Entscheidung mit Rechtswirkung dar.
3. Datensicherheit
3.1 Datensicherheit
Sämtliche Daten auf unserer Website werden durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung und Verbreitung gesichert. Die Übertragung erfolgt verschlüsselt über TLS (HTTPS).
3.2 Cookies und externe Inhalte
Diese Website verwendet keine Cookies (keine Analyse-, Marketing- oder Drittanbieter-Cookies, keine Tracking-Pixel) und bindet keine Inhalte von Drittanbietern (Schriftarten, Skripte o. Ä.) nach – alle Ressourcen sind lokal bzw. auf unseren eigenen Servern eingebunden. Zur anonymen, cookielosen Reichweitenmessung setzen wir eine selbst betriebene Web-Analyse ein; Einzelheiten dazu unter 3.3. Beim Seitenaufruf werden darüber hinaus keine Verbindungen zu Dritten hergestellt und keine IP-Adressen an Dritte übermittelt. Es fallen lediglich die unter 1.3 beschriebenen, technisch notwendigen Server-Logfiles an.
3.3 Reichweitenmessung mit Plausible Analytics (selbst gehostet)
Zur statistischen Auswertung der Nutzung unserer Website setzen wir Plausible Analytics ein. Wir betreiben Plausible selbst gehostet auf unserem eigenen Server in Deutschland (Hetzner, siehe 7.). Es findet keine Übermittlung an Dritte und keine Übermittlung in Drittländer statt; wir sind zugleich Verantwortlicher und Betreiber der Analyse, ein Auftragsverarbeitungsvertrag ist daher nicht erforderlich.
Plausible arbeitet ohne Cookies und ohne geräteübergreifende Wiedererkennung. Es werden keine personenbezogenen Daten dauerhaft gespeichert: Die IP-Adresse wird ausschließlich flüchtig verarbeitet, um über einen täglich wechselnden, nicht zurückrechenbaren Hash-Wert (gebildet aus IP-Adresse, Browserkennung und einem täglich rotierenden Zufallswert) einen anonymen Besuch zu zählen; die IP-Adresse selbst wird nicht gespeichert. Erfasst werden lediglich anonyme Kennzahlen wie aufgerufene Seiten, Herkunfts-/Verweisquelle, ungefähre Region (auf Länder-/Stadt-Ebene, aus der IP abgeleitet, ohne deren Speicherung), Gerätetyp und Browser sowie das Erreichen bestimmter Ziele (z. B. die Durchführung des einkaufsRADAR-Schnellchecks). Eine Identifizierung einzelner Personen ist damit nicht möglich; ein Einwilligungs- bzw. Cookie-Banner ist für diese Verarbeitung nicht erforderlich.
Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten, statistischen Auswertung und Verbesserung unseres Online-Angebots gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Sie können der Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen (siehe 2.6); aufgrund der beschriebenen Anonymisierung werden ohnehin keine personenbezogenen Nutzungsprofile gebildet.
4. Kontaktformular
Wenn Sie uns über das Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (vertragliche oder vorvertragliche Anfragen), Art. 6 Abs. 1 S. 1 lit. f DSGVO (unser berechtigtes Interesse an der Beantwortung Ihrer Anfrage) oder Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO, soweit diese eingeholt wurde.
Diese Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
5. Präsenz auf Social-Media-Plattformen
Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit Nutzern zu kommunizieren und sie über unsere Leistungen zu informieren. Beim Aufruf der jeweiligen Netzwerke gelten die Datenschutzrichtlinien der Betreiber:
Diese Social-Media-Plattformen können ggf. personenbezogene Daten außerhalb der EU verarbeiten, wir verweisen insoweit auf die vorstehenden Datenschutzerklärungen der Social-Media-Plattformen. Die jeweiligen Social-Media-Plattformen können ggf. aus Ihrem Nutzungsverhalten und den sich hieraus ergebenden Interessen und Aktionen Ihrerseits Nutzungsprofile erstellen und Cookies auf Ihrem Rechner speichern, in denen Ihr Nutzungsverhalten gespeichert ist. Wenn Sie auf der jeweiligen Social-Media-Plattform einen Account besitzen und eingeloggt sind, kann Ihr Nutzungsverhalten sogar geräteunabhängig gespeichert werden. Ihr Nutzungsprofil kann verwendet werden, um z.B. Werbeanzeigen zu platzieren, die mutmaßlich Ihren Interessen entsprechen.
Für einzelne Social-Media-Plattformen (insbesondere LinkedIn) besteht ein Verhältnis gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO hinsichtlich der Verarbeitung sog. Insights-Daten (Nutzungsstatistiken). In diesen Fällen erfolgt die Datenverarbeitung auf Grundlage einer Vereinbarung über die gemeinsame Verantwortlichkeit, welche insbesondere regelt, dass der jeweilige Plattformbetreiber primär für die Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO sowie für die Gewährleistung der Betroffenenrechte gemäß Art. 15–22 DSGVO verantwortlich ist. Weitere Informationen zur Vereinbarung über die gemeinsame Verantwortlichkeit bei LinkedIn finden Sie unter https://legal.linkedin.com/pages-joint-controller-addendum.
Wir verarbeiten die personenbezogenen Daten ausschließlich zur Kommunikation mit Ihnen über die von Ihnen gewählte Social-Media-Plattform sowie zur Optimierung unserer Onlinepräsenz und achten darauf, dass hier keine Interessen Ihrerseits betroffen sind, welche dieses berechtigte Interesse unsererseits überwiegen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Soweit Sie bereits dem jeweiligen Betreiber der Social-Media-Plattform eine wirksame Einwilligung zur entsprechenden Datenverarbeitung gegeben haben, erfolgt die Verarbeitung Ihrer personenbezogenen Daten auch auf Basis dieser Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
6. Dienste von Drittanbietern
6.1 Social-Media-Links
Wir haben bei den über Links von dieser Website zu erreichenden Drittanbietern eigene Social-Media-Seiten (z. B. LinkedIn, Xing). Durch die Nutzung der Links gelangen Sie auf die jeweiligen Internetseiten der Drittanbieter. Wir empfehlen zur Vermeidung einer unnötigen Datenweitergabe vor der Nutzung eines entsprechenden Links sich selbst bei dem jeweiligen Drittanbieter auszuloggen, damit nicht schon durch die Verwendung des Links u.U. Nutzungsprofile durch den Drittanbieter erstellt werden können.
6.2 Brevo (ehemals Sendinblue)
Für unseren Newsletter (Einkaufsletter) sowie die Anmelde-Strecken (Webinar, Webinar-Reihe, Whitepaper) nutzen wir den Anbieter Brevo (betrieben von der Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin). Um den angebotenen Newsletter zu beziehen bzw. sich anzumelden, können Sie sich über unsere Formulare eintragen. Dabei nutzen wir das sogenannte Double-Opt-In-Verfahren: Es wird zunächst eine Bestätigungsmail an Ihre angegebene E-Mail-Adresse gesendet, mit der Bitte um Bestätigung. Die Anmeldung wird erst wirksam, wenn Sie den in der Bestätigungsmail enthaltenen Aktivierungslink anklicken. Jede Anmelde-Strecke wird nur für ihren jeweiligen Zweck genutzt; eine Aufnahme in den Einkaufsletter erfolgt ausschließlich, wenn Sie dies zusätzlich aktiv angekreuzt haben.
Ihre Daten werden an Brevo übermittelt. Dabei ist es Brevo untersagt, Ihre Daten für andere Zwecke als für den Versand zu nutzen. Eine Weitergabe oder ein Verkauf Ihrer Daten ist Brevo nicht gestattet. Brevo ist ein zertifizierter Anbieter, der nach den Anforderungen der DSGVO und des BDSG sorgfältig ausgewählt wurde.
Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmelde-Link in der jeweiligen E-Mail. Die Datenschutzerklärung von Brevo können Sie hier einsehen: https://www.brevo.com/de/datenschutz-uebersicht/
6.3 Zoom
Gelegentlich nutzen wir das Tool Zoom (betrieben von der Zoom Video Communications Inc., 55 Almaden Blvd, San Jose, CA 95113, USA), um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen. Soweit Sie die Internetseite und/oder die App von Zoom aufrufen/nutzen, befinden Sie sich im Verantwortungsbereich von Zoom. Zoom kann hierbei personenbezogene Daten, auch außerhalb der Europäischen Union (insbesondere den USA), verarbeiten, u.a. Benutzerdaten (Name, E-Mail-Adresse, Profilbild), Meeting-Metadaten (Thema, Teilnehmer-IP-Adressen, Geräteinformationen) sowie – bei Aktivierung – Text-, Audio- und Videodaten. Die Angabe des Namens oder eines Pseudonyms ist Voraussetzung zum Beitritt. Aufzeichnungen erfolgen nur mit vorheriger Einwilligung aller Teilnehmer. Die Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO. Datenschutzerklärung: https://explore.zoom.us/de/privacy/
6.4 Microsoft Teams
Unsere Webinare führen wir in der Regel über Microsoft Teams (betrieben von der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA) durch. Den Zugangslink erhalten Sie nach Ihrer Anmeldung per E-Mail. Soweit Sie Microsoft Teams aufrufen/nutzen, befinden Sie sich im Verantwortungsbereich von Microsoft. Microsoft kann während der Online-Meetings personenbezogene Daten, auch außerhalb der Europäischen Union (insbesondere den USA), verarbeiten: Angaben zum Benutzer (z. B. Anzeigename, ggf. E-Mail-Adresse, Profilbild, bevorzugte Sprache), Meeting-Metadaten (Datum, Uhrzeit, Meeting-ID, ggf. Telefonnummern, Ort) sowie – bei Nutzung von Chat, Mikrofon und Kamera – Text-, Audio- und Videodaten. Kamera und Mikrofon können Sie jederzeit selbst abschalten bzw. stummstellen. Aufzeichnungen erfolgen nur mit Ihrer Einwilligung. Die Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO. Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement
6.5 Calendly
Zur Terminbuchung nutzen wir auf unserer Website den Dienst Calendly (betrieben von der Calendly LLC, 271 17th St NW, Atlanta, GA 30363, USA). Wenn Sie auf den entsprechenden Buchungsbutton drücken, werden Sie mit unserem Terminaccount bei Calendly verbunden. Nach Wahl Ihres Termins, der Bestätigung und der Eintragung Ihrer Kontaktdaten und Ihres Anliegens erhalten Sie von Calendly eine Bestätigungs-E-Mail. Ihre Angaben werden zwecks Bearbeitung und für Anschlussfragen bei uns gespeichert und verbleiben dort, bis Sie zur Löschung auffordern, Ihre Einwilligung widerrufen oder der Zweck entfällt (z. B. erfolgter Termin). Die Daten werden auf Servern von Calendly in den USA gespeichert. Die Nutzung erfolgt nur mit Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Mit Calendly besteht ein Auftragsverarbeitungsvertrag. Datenschutz: https://calendly.com/pages/privacy
6.6 Nutzung von WhatsApp Business
Wir können WhatsApp Business zur Kommunikation mit Ihnen nutzen. Anbieter ist die WhatsApp LLC, 1601 Willow Road, Menlo Park, Kalifornien 94025, USA; verantwortlich für den europäischen Raum ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Die von Ihnen zum Zwecke der Kommunikation eingegebenen Daten (Vorname, Nachname und Mobilfunknummer) werden bei uns und auf den Servern von WhatsApp gespeichert. WhatsApp speichert und verarbeitet personenbezogene Daten und gibt diese ggf. an Unternehmen innerhalb und außerhalb der Meta-Unternehmensgruppe weiter. Weitere Informationen: https://www.whatsapp.com/legal/#privacy-policy. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), die Sie jederzeit widerrufen können.
6.7 Microsoft 365 Apps for Business und OneDrive
Wir nutzen Microsoft 365 Apps for Business (betrieben von der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA; verantwortlich für den europäischen Raum ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland) zur Erstellung, Bearbeitung und Speicherung von geschäftlichen Dokumenten, E-Mails und sonstigen Daten (u.a. Word, Excel, PowerPoint, Outlook sowie den Cloud-Speicherdienst OneDrive). Die personenbezogenen Daten, die wir von Ihnen erhalten (z.B. Namen, E-Mail-Adressen, Dokumentinhalte, Vertragsdaten), werden hierbei auch außerhalb der EU, insbesondere in den USA, durch Microsoft verarbeitet. Microsoft nutzt zur Absicherung der Datenübermittlung in die USA EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (effiziente Bürokommunikation), Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) oder Ihre Einwilligung (lit. a), soweit eingeholt. Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement
6.8 Keeper Security
Zur sicheren Übermittlung vertraulicher Informationen nutzen wir – soweit erforderlich – den Passwortmanager und die sichere Datenaustauschplattform Keeper Security (betrieben von der Keeper Security, Inc., 333 N Green Street, Suite 811, Chicago, IL 60607, USA). Keeper Security verwendet eine Ende-zu-Ende-Verschlüsselung und eine Zero-Knowledge-Architektur, sodass nur Sie und die von Ihnen autorisierten Empfänger Zugriff auf die geteilten Inhalte haben; Keeper selbst kann auf die verschlüsselten Daten nicht zugreifen. Die Datenverarbeitung erfolgt auch außerhalb der EU, insbesondere in den USA; Keeper ist ISO 27001/27017/27018 zertifiziert und SOC 2 Type II geprüft und nutzt geeignete Garantien gemäß Art. 46 DSGVO. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (sichere, vertrauliche Datenübermittlung), lit. b (Vertragserfüllung) oder Ihre Einwilligung (lit. a). Datenschutzerklärung: https://www.keepersecurity.com/de_DE/privacypolicy.html
6.9 E-Mail-Versand
Wir nutzen E-Mail zur Kommunikation mit Ihnen sowie zum Versand von Dokumenten, Angeboten und sonstigen geschäftlichen Informationen. Dabei werden folgende personenbezogene Daten verarbeitet: E-Mail-Adresse (Absender und Empfänger), Name (sofern angegeben), Inhalt der E-Mail sowie ggf. angehängte Dateien und Metadaten (Datum, Uhrzeit, IP-Adressen der beteiligten Mailserver).
Für Versand und Empfang unserer geschäftlichen E-Mails nutzen wir den E-Mail-Sicherheitsdienst NoSpamProxy (betrieben von der Net at Work GmbH, Am Hoppenhof 32 A, 33104 Paderborn, Deutschland) zur Spam- und Schadsoftware-Filterung sowie zur Transportverschlüsselung. Die Verarbeitung erfolgt auf Servern in Deutschland; es besteht ein Auftragsverarbeitungsvertrag. Datenschutzerklärung: https://www.nospamproxy.de/de/datenschutz/
Die Übertragung von E-Mails erfolgt in der Regel verschlüsselt mittels TLS. Eine vollständige Sicherheit kann dennoch nicht garantiert werden, da E-Mails auf dem Übertragungsweg durch Dritte eingesehen werden können. Für besonders vertrauliche Informationen empfehlen wir die Nutzung verschlüsselter Übertragungswege (z.B. Keeper Security). Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen), lit. f (effiziente Geschäftskommunikation) oder Ihre Einwilligung (lit. a). E-Mails werden so lange gespeichert, wie dies zur Zweckerfüllung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen (i. d. R. 6 bis 10 Jahre gemäß § 257 HGB bzw. § 147 AO).
6.10 Externer IT-Dienstleister (Managed Services)
Den Betrieb und die Wartung unserer IT-Infrastruktur (insbesondere Microsoft 365, E-Mail-Sicherheit, E-Mail-Archivierung, Datensicherung und Geräte-Monitoring) haben wir an einen externen IT-Dienstleister übertragen: die prozessoren GmbH, Joseph-Seifried-Straße 8, 80995 München. Dieser wird für uns als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig; ein entsprechender Auftragsverarbeitungsvertrag (AVV) liegt vor. Im Rahmen der Managed Services kommen u. a. folgende Komponenten zum Einsatz: Microsoft 365 (siehe 6.7), NoSpamProxy (E-Mail-Sicherheit, siehe 6.9), MailStore (revisionssichere E-Mail-Archivierung, gehostet in nach ISO 27001 zertifizierten Rechenzentren in Deutschland) sowie Acronis Cyber Backup (Datensicherung der Microsoft-365-Daten, Hosting in Deutschland). Die genannten Dienstleister verarbeiten personenbezogene Daten ausschließlich auf unsere Weisung und auf Grundlage entsprechender Verträge.
7. Externes Hosting
Unsere Website und das zugehörige Anmelde-/Schnellcheck-Backend werden bei der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) auf Servern in Deutschland betrieben. Die personenbezogenen Daten, die auf unserer Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich insbesondere um IP-Adressen, Meta- und Kommunikationsdaten, Websitezugriffe sowie weitere technisch erforderliche Daten handeln, die beim Besuch einer Webseite anfallen.
Die Inanspruchnahme eines Hosters erfolgt im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter. Die Rechtsgrundlage hierfür ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.
Um eine datenschutzkonforme Verarbeitung zu gewährleisten, haben wir mit unserem Hoster einen Vertrag über Auftragsverarbeitung (AVV) geschlossen. Dieser stellt sicher, dass der Hoster die Daten unserer Website-Besucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
8. Einsatz von KI-gestützten Werkzeugen
Zur Unterstützung bei der Erstellung, Übersetzung und Optimierung von Inhalten (z. B. Texte, Bilder, Konzepte) setzen wir KI-gestützte Werkzeuge ein. Die Verarbeitung erfolgt dabei auf Grundlage unseres berechtigten Interesses an einer effizienten und zeitgemäßen Inhaltserstellung gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Unser Grundsatz ist es hierbei, die Verarbeitung personenbezogener Daten zu vermeiden oder auf ein Minimum zu reduzieren. Die von uns eingegebenen Informationen (sog. „Prompts") werden so gestaltet, dass sie nach Möglichkeit keine Angaben enthalten, die einen Rückschluss auf eine identifizierbare Person zulassen. Sollte dies in einem Ausnahmefall unumgänglich sein, geschieht dies nur auf Basis einer ausdrücklichen Einwilligung oder einer anderen einschlägigen Rechtsgrundlage.
einkaufsRADAR-Schnellcheck: Auf unserer Website bieten wir einen Selbst-Check an. Sie beantworten dabei über Auswahlfelder einige Fragen (Branche, Größe des Einkaufsteams, Einkaufsvolumen sowie eine Selbsteinschätzung anhand vorgegebener Kategorien). Aus diesen Angaben erstellt ein KI-Dienst serverseitig eine Einschätzung. Wir nutzen dafür das EU-Gateway der Langdock GmbH (Greifswalder Str. 212, 10405 Berlin); die Anfrage wird über dessen EU-Infrastruktur an ein KI-Modell weitergeleitet und innerhalb der EU verarbeitet. Es werden ausschließlich anonyme, gerasterte Angaben verarbeitet – keine personenbezogenen Daten (kein Name, keine E-Mail) und insbesondere nicht Ihre IP-Adresse, da die Anfrage über unseren Server und nicht aus Ihrem Browser erfolgt. Eine Identifizierung Ihrer Person ist damit ausgeschlossen. Eine Übermittlung in ein Drittland außerhalb der EU findet nicht statt; die über die Programmierschnittstelle (API) übermittelten Eingaben werden vom Anbieter nicht zum Training seiner Modelle verwendet.
Wir weisen darauf hin, dass einige der von uns für die Inhaltserstellung genutzten Dienste Daten in den USA verarbeiten. Für diese Dienste stellen wir sicher, dass die Anbieter unter dem EU-U.S. Data Privacy Framework zertifiziert sind oder andere geeignete Garantien vorliegen. Im Einzelnen setzen wir folgende Dienste ein:
- ChatGPT (OpenAI) – OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Datenschutz: openai.com/policies/privacy-policy. Die Verarbeitung kann in den USA stattfinden; OpenAI ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
- Gemini (Google) – Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutz: policies.google.com/privacy. Die Daten können auch in den USA verarbeitet werden; Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
- Claude (Anthropic) – Anthropic, PBC, 350 Kansas St, San Francisco, CA 94103, USA. Datenschutz: anthropic.com/legal/privacy. Die Verarbeitung kann in den USA stattfinden; Anthropic ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
- Mistral AI – Mistral AI, 15 rue des Halles, 75001 Paris, Frankreich. Datenschutz: mistral.ai/privacy-policy. Als europäischer Anbieter unterliegt Mistral AI direkt der DSGVO; die Verarbeitung findet innerhalb der EU statt.
9. Kontaktaufnahme
Zur Kontaktaufnahme bezüglich des Datenschutzes können Sie sich gern an uns unter Verwendung der nachfolgenden Kontaktmöglichkeiten wenden. Verantwortlicher im Sinne der DSGVO:
Michael Albrecht
Taradeauerstr. 7b
85244 Röhrmoos
E-Mail: hallo@michael-albrecht.biz
Telefon: +49 178 8153 114