Datenschutzhinweise OneTrust

Die folgenden Datenschutzhinweise erfüllen die Informationspflichten gemäß den Anforderungen der Datenschutzgrundverordnung (nachfolgend „DSGVO“) und geben Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen bei Nutzung von OneTrust. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen können.

1. Wer ist für die Verarbeitung meiner Daten verantwortlich?

Für den Betrieb und die Wartung der Softwareplattform OneTrust, ist die Bertelsmann SE & Co. KGaA der Verantwortliche im Sinne der DSGVO (nachfolgend „Plattform-Verantwortlicher“).

Bertelsmann SE & Co. KGaA
Carl-Bertelsmann-Straße 270
33335 Gütersloh
Deutschland
datenschutz@bertelsmann.de

Für in OneTrust getätigte Eingaben und verarbeitete Daten, ist das jeweilige Unternehmen, das die entsprechenden Eingaben vorgenommen hat, der Verantwortliche im Sinne der DSGVO (nachfolgend „Content-Verantwortlicher“).
Informationen über die Identität des Content-Verantwortlichen können aus Ihrer Teilnahme-/Einladungs-E-Mail abgerufen oder vom Plattform-Verantwortlichen bereitgestellt werden.
Die oben erwähnten Unternehmen sind für die Verwendung personenbezogener Daten in OneTrust gemeinsam verantwortlich.
Sie können die Unternehmen zu den oben angegebenen Möglichkeiten und unter Bezugnahme auf Ihre Anfrage kontaktieren. Wenn Sie sich direkt an den zuständigen Datenschutzbeauftragten wenden möchten, fügen Sie den Zusatz "An den Datenschutzbeauftragten" hinzu.

2. Welche Daten werden erfasst?

OneTrust ist eine Softwareplattform, die ausschließlich für professionelle Zwecke und insbesondere zur datenschutzrechtlichen Dokumentation von Geschäftsaktivitäten eingesetzt wird. OneTrust verarbeitet daher nur Daten, die in Zusammenhang mit ihrem Arbeitsplatz stehen.
Der Plattform-Verantwortliche verarbeitet für den oben genannten Zweck Ihren Namen (Vor- und Nachname), Ihre E-Mail-Adresse und Ihre Firmenzugehörigkeit (also, die Information, dass Sie für ein bestimmtes Unternehmen arbeiten). Da es sich bei OneTrust um eine Softwareanwendung handelt, erfolgt der Zugriff über einen Webbrowser. Der Plattform-Verantwortliche verarbeitet daher auch Ihre IP-Adresse und darüber erfolgte Zugriffe.
Der Content-Verantwortliche verarbeitet zusätzlich zu den durch den Plattform-Verantwortlichen verarbeiteten Daten Ihre Benutzerrolle in OneTrust und die damit verbundenen Berechtigungen innerhalb des Tools. Darüber hinaus können sich Ihre Person betreffenden Daten in der vom Content-Verantwortlichen erstellten Dokumentation befinden (z.B. wenn Sie Ansprechpartner für einen bestimmten Geschäftsprozess sind) und als Prozess-, Geschäfts- und/oder Risikoverantwortlicher eingeordnet werden. In diesem Fall werden Sie vom Content-Verantwortlichen über diesen Umstand informiert.

3. Welche Cookies werden eingesetzt?

OneTrust verwendet nicht persistente Session-Cookies, um einen konsistenten Zugriff auf das Tool zu ermöglichen. Cookies sind kleine Textdateien, die beim Besuch von OneTrust auf Ihrem Rechner gespeichert werden. Sowohl bei einem erneuten Besuch, als auch während der Nutzung der Website ermöglicht das Cookie dem Tool, sich an Sie zu erinnern, sodass Sie sich nicht jedes Mal anmelden müssen, wenn Sie auf einen neuen Bereich im Tool zugreifen. Die von OneTrust verwendeten Cookies sind nicht persistent bzw. nicht dauerhaft, d.h., dass sie bei Schließung Ihres Browsers gelöscht werden. Sie haben die Möglichkeit die Funktionsweise von Cookies auf Ihrem Computer selbst zu steuern, indem Sie die Einstellungen Ihres Internetbrowsers anpassen. Bitte beachten Sie jedoch, dass bei Deaktivierung aller Cookies auf diese Weise, möglicherweise nicht alle Funktionen von OneTrust ordnungsgemäß funktionieren.

4. Welche Daten werden zu welchen Zwecken erfasst?

Die verwendeten Daten (siehe oben unter Ziffer 2) richten sich nach dem Zweck, für den sie verarbeitet werden. Die Zwecke der Verarbeitung von personenbezogener Daten in OneTrust unterscheiden sich leicht aufgrund der gemeinsamen Verarbeitung zwischen dem Plattform- und dem Content-Verantwortlichen.

Die Zwecke der Verarbeitung durch den Plattform-Verantwortlichen sind:

Schaffung und Sicherstellung des Plattformzugangs
Sicherstellung der Systemleistung
Unterstützung, Schulung und Fehlerbehebung

Die Zwecke der Verarbeitung durch den Content-Verantwortlichen, werden in der Regel ausschließlich vom Content-Verantwortlichen bestimmt. Sie umfassen regelmäßig, jedoch nicht abschließend:

Betrieb und Benutzerverwaltung
Ermöglichung der Beteiligung an Dokumentationen
Darstellung der Unternehmensrealität (Geschäfts-, Prozess- und/oder Risikoeigentum)
Benachrichtigung über Änderungen und als Kontaktmöglichkeit

Weitere Informationen zu diesen Zwecken der Datenverarbeitung finden Sie in den nachfolgenden Abschnitten der Datenschutzhinweise.

4.1 Technische Bereitstellung durch den Plattform-Verantwortlichen

4.1.1 Beschreibung und Umfang der Datenverarbeitung

Für die Bereitstellung von OneTrust, einschließlich regelmäßiger Leistungs- und Sicherheitschecks, werden Server-Log-Files und IP-Adressen beim Zugriff auf die Plattform gespeichert. Diese Log-Files enthalten Informationen und möglicherweise personenbezogene Daten, wie bereits unter Ziffer 2 dargestellt. Die Log-Files werden nur zu Zwecken der technischen Bereitstellung von OneTrust verwendet, nicht mit anderen Daten zusammengeführt und sind nur dem Plattform-Controller zugänglich. Die Verarbeitung der Log-Files dient ebenfalls der regelmäßiges Überprüfung der Plattform, um Betrug, Hacking und andere Formen von schadhaftem Verhalten aufzudecken.

4.1.2 Zweck und Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage der Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in dem ungestörten und belastbaren Betrieb sowie einem funktionierenden Zugang zur Softwareplattform. Angesichts der geringen Auswirkungen auf die betroffene Person, der begrenzten Menge der verarbeiteten und verwendeten Daten und der geringen Anzahl von Personen, die Zugang zu diesen Daten haben, überwiegt unser Interesse an der Verarbeitung.

4.1.3 Dauer der Speicherung

Nach Aufruf der Webseite werden die Server-Log-Files und die darin enthaltene IP-Adresse 90 Tage gespeichert. Eine Auswertung während dieser Speicherdauer erfolgt durch den Plattform-Verantwortlichen ausschließlich im Falle eines Störfalls oder Angriffs.

4.1.4 Widerspruchs- und Beseitigungsmöglichkeit

4.2 Kontaktformular, E-Mail- oder Telefonkontakt durch den Plattform-Verantwortlichen

4.2.1 Beschreibung und Umfang der Datenverarbeitung

Im Tool stehen Ihnen verschiedene Möglichkeiten zur Verfügung, um mit dem Plattform-Verantwortlichen (nachfolgend "wir") in Kontakt zu treten. Sofern Sie eine dieser Möglichkeiten nutzen, werden die damit verbundenen Daten (z.B. Ihre E-Mail-Adresse oder Ihre Telefonnummer, die Sie angeben und/oder verwenden) und natürlich Ihre Anfrage erfasst, um eine Bearbeitung Ihres Anliegens gewährleisten zu können. Eine zusammenhängende Speicherung und Verwendung Ihrer personenbezogenen Daten und Ihrer Anfrage, dient der ordnungsgemäßen und schnellstmöglichen Bearbeitung Ihres Anliegens.

Soweit für die Bearbeitung Ihres Anliegens erforderlich, können Ihre Daten auch an Dritte weitergeleitet werden, vorausgesetzt wir benötigen deren Unterstützung zur Bearbeitung Ihres Anliegens. In diesem Fall stellen wir sicher, dass der Empfänger ein angemessenes Datenschutzniveau aufweist.

4.2.2 Zweck und Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung Ihrer Kontaktdaten ist Art. 6 Abs. 1 lit. f DSGVO. In der Bearbeitung Ihres konkreten Anliegens und weiteren Kommunikation liegen unsere berechtigten Interessen. Für den Zeitraum der Bearbeitung und Beantwortung Ihrer Anfrage bestehen daher keine Gründe, die zum Ausschluss der Datenverarbeitung führen würden, es sei denn, Sie widersprechen der Verarbeitung.

4.2.3 Dauer der Speicherung

Nach der Beantwortung Ihrer Anfrage und der Beendigung weiterführender Kommunikation, werden Ihre zur Verfügung gestellten Informationen und Daten gelöscht. Anderes gilt, wenn Ihre Anfrage auf die Ausübung Ihrer Betroffenenrechte abzielt. In diesem Fall werden wir die Aufzeichnungen so lange wie nötig führen, um nachweisen zu können, dass wir Ihrer Anfrage nachgekommen sind. Für Betroffenenanfragen hinsichtlich der Geltendmachung Ihrer Rechte nach Kapitel III der DSGVO gilt eine Verjährungsfrist von drei Jahren gem. § 195 des Bürgerlichen Gesetzbuches.

4.2.4 Widerspruchs- und Beseitigungsmöglichkeit

Sie haben das Recht, Widerspruch gegen die Verarbeitung Ihrer Daten nach Maßgabe des Art. 21 DSGVO einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, wenden Sie sich bitte an die unter Ziffer 1 angegebenen Kontaktadresse. Sofern Sie der Verarbeitung Ihrer Daten widersprechen, werden wir wahrscheinlich nicht mehr in der Lage sein Ihre Anfrage zu bearbeiten.

4.3 Betrieb und Support durch den Plattform-Verantwortlichen

4.3.1 Beschreibung und Umfang der Datenverarbeitung

Bei Problemen während der Nutzung von OneTrust werden Support und Unterstützung durch den Plattform-Verantwortlichen gewährleistet. Die in diesem Rahmen verarbeiteten Daten können alle möglichen in der Dokumentation selbst enthaltenen, zusätzlich zu den unter Ziffer 2 genannten, Daten umfassen. Soweit erforderlich, können Ihre Daten auch an Dritte weitergeleitet werden, vorausgesetzt wir benötigen deren Unterstützung zur Bearbeitung Ihres Anliegens. In diesem Fall stellen wir sicher, dass der Empfänger ein angemessenes Datenschutzniveau aufweist.

4.3.2 Zweck und Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 lit. f DSGVO. In der Bereitstellung angemessener Supportleistungen liegt unser berechtigtes Interesse. Für den Zeitraum dieser Verarbeitung bestehen keine Gründe, die zum Ausschluss der Datenverarbeitung führen würden, es sei denn, Sie widersprechen der Verarbeitung.

4.3.3 Dauer der Speicherung

Nach der Beantwortung Ihrer Anfrage und der Beendigung weiterführender Kommunikation werden Ihre zur Verfügung gestellten Informationen und Daten gelöscht. Anderes gilt, wenn Ihre Anfrage auf die Ausübung Ihrer Betroffenenrechte abzielt. In diesem Fall werden wir die Aufzeichnungen so lange wie nötig führen, um nachweisen zu können, dass wir Ihrer Anfrage nachgekommen sind. Für Betroffenenanfragen hinsichtlich der Geltendmachung Ihrer Rechte nach Kapitel III der DSGVO gilt eine Verjährungsfrist von drei Jahren gem. § 195 des Bürgerlichen Gesetzbuches.

4.3.4 Widerspruchs- und Beseitigungsmöglichkeit

4.3 Benutzerverwaltung

4.3.1 Beschreibung und Umfang der Datenverarbeitung

OneTrust dient der Dokumentation von Verarbeitungsaktivitäten, sodass Benutzer eine wichtige Rolle für die Nutzung der Plattform darstellen. Der Plattform-Verantwortliche stellt das ordnungsgemäße Funktionieren von Rollen und Berechtigungen sicher, während der Content-Verantwortliche für die entsprechenden Zuweisungen der Rollen und Berechtigungen verantwortlich ist. Der Content-Verantwortliche ist somit der Verantwortliche für die Benutzerverwaltung, einschließlich des Anlegens und Deaktivierens von Benutzerkonten, der Neuzuordnung von Personen und der Erteilung von Berechtigungen.
Die Daten Ihres Benutzerkontos (E-Mail, Name, Firmenzugehörigkeit und Berechtigungen der Benutzerrolle) werden zu diesem Zweck durch den Content-Verantwortlichen verarbeitet. Der Zugriff auf Ihre Daten durch den Plattform-Verantwortlichen kann bei Auftreten von Fehlfunktionen oder Störfällen hinsichtlich der Rollen und Berechtigungen nicht ausgeschlossen werden, zwecks Wiederherstellung des ordnungsgemäßen Zustands. Diese Einbindung kann zur zusätzlichen Erhebung von Login-Daten führen, welche exklusiv dem Plattform-Verantwortlichen zur Verfügung stehen.

4.3.2 Zweck und Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 lit. f DSGVO. In der Einhaltung der Datenschutzvorschriften und -pflichten, insbesondere der Dokumentationspflicht, liegt unser berechtigtes Interesse. Sofern diese Dokumentation eine Zusammenarbeit oder Beteiligung erfordert, besteht kein übergeordnetes Interesse, welches die Datenverarbeitung überwiegt und ausschließt.

4.3.3 Dauer der Speicherung

Die in diesem Abschnitt aufgezählten Daten werden für den Zeitraum, in dem Ihr Konto aktiv genutzt wird, verarbeitet und gespeichert. Ihr Konto wird entweder nach Beendigung Ihrer Verantwortung für Datenschutzdokumentationen, spätestens jedoch mit Ende Ihres Arbeitsverhältnisses gelöscht. Zusätzlich zu diesem Zeitraum bleiben die Daten der deaktivierten Nutzer nach Maßgabe des § 195 des Bürgerlichen Gesetzbuches drei Jahre lang gespeichert, zwecks Zuordnung unseres Verantwortungsbereichs und Nachweisbarkeit.

4.3.4 Widerspruchs- und Beseitigungsmöglichkeit

Sie haben das Recht, Widerspruch gegen die Verarbeitung Ihrer Daten nach Maßgabe des Art. 21 DSGVO einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, wenden Sie sich bitte an die unter Ziffer 1 angegebenen Kontaktadresse. Sofern Sie der Verarbeitung Ihrer Daten widersprechen, werden Sie nicht mehr in der Lage sein Dokumentationen für Ihren Arbeitgeber erstellen zu können.

4.4 Nutzung des Tools zur Dokumentation durch den Content-Verantwortlichen

4.4.1 Beschreibung und Umfang der Datenverarbeitung

Das Tool wird von den Tochtergesellschaften des Plattform-Verantwortlichen als Grundlage zur Dokumentation datenschutzrelevanter Geschäftsaktivitäten und -prozesse eingesetzt. Zu diesem Zweck verarbeitet der Content-Verantwortliche in der Regel Daten, wie Namen, E-Mail-Adressen, Firmenzugehörigkeit und Verantwortlichkeiten, die mit Ihrem Job verbunden sein könnten (z.B. Kontaktperson, Risiko, Geschäft- oder Prozessverantwortlicher).

Die Nutzung sowie die Eingaben durch die jeweiligen Mitarbeiter des Content-Controllers sind nicht vorgegeben und können daher nach eigenen Umständen, Ermessen und/oder Wünschen erfolgen. Daher können nebst den unter diesem Abschnitt beispielhaft aufgezählten Daten, auch weitere personenbezogene Daten abhängig von der Art des Verfahrens- bzw. Geschäftsprozesses, verarbeitet werden.

4.4.2 Zweck und Rechtsgrundlage der Datenverarbeitung

4.4.3 Dauer der Speicherung

4.4.4 Widerspruchs- und Beseitigungsmöglichkeit

5. Wer erhält meine Daten?

Innerhalb der Einheiten der Verantwortlichen erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der unter Ziffer 4 dargestellten Zwecke benötigen. Auch von den Verantwortlichen eingesetzte Dienstleister (sogenannte „Auftragsverarbeiter“), insbesondere darunter der Anbieter dieses Tools (OneTrust), als auch der Hosting-Provider (MS Azure), können Zugriff auf Ihre Daten erhalten. Über Verträge zur Auftragsverarbeitung sind die Weisungsgebundenheit, die Datensicherheit und der vertrauliche Umgang mit Ihren Daten durch diese Dienstleister sichergestellt.
Eine Datenweitergabe an weitere Empfänger, wie z.B. Werbepartner, Rechtsanwälte oder andere Geschäftspartner (sogenannte „Dritte“) außerhalb des Verantwortungsbereichs der verantwortlichen Unternehmen, findet nicht statt, es sei denn, dies ist gesetzlich vorgeschrieben oder Sie haben eingewilligt.

6. Werden meine Daten außerhalb der EU bzw. des EWR verarbeitet (Drittlandtransfer)?

Sollte einer der unter Ziffer 5 genannten Anbieter seinen Sitz außerhalb der EU/EWR haben, so kann ein solcher Drittlandtransfer dazu führen, dass Ihre Daten in ein Land übermittelt werden, welches nicht den gleichen Datenschutzstandard wie die EU bzw. der EWR gewährleistet. Daher muss der Datenexporteur (der jeweilige Verantwortliche) durch zusätzliche Sicherheitsvorkehrungen eine Erhöhung des Datenschutzniveaus sicherstellen. Sie können eine Kopie der angewandten zusätzlichen Sicherheitsvorkehrungen anfordern, indem Sie sich an die unter Ziffer 1 angegebenen Kontaktadresse wenden.
Für die Bereitstellung des Tools wird OneTrust auf Microsoft Azure-Servern in Frankfurt und Dublin gehostet. Im Rahmen von Remote-Support-Leistungen kann es jedoch zu Zugriffen außerhalb der EU/EWR kommen. Sowohl OneTrust, als auch Microsoft sind nach dem EU-US-Privacy-Shield zertifiziert, um ein angemessenes Datenschutzniveau zu gewährleisten.

7. Welche Datenschutzrechte habe ich?

Ihnen stehen alle Rechte nach Kapitel III der DSGVO zu. Sie können gegenüber jedem Verantwortlichen, der Ihre Daten verarbeitet, ausgeübt werden. Diese Rechte umfassen:

Auskunftsrecht: Sie können Auskunft zu allen über Sie gespeicherten Daten und deren Verarbeitung durch den jeweiligen Verantwortlichen verlangen
Recht auf Berichtigung: Sie können die Berichtigung Ihrer Daten verlangen, sofern diese unrichtig und/oder veraltet sind
Recht auf Löschung: Sie haben das Recht Löschung Ihrer Daten durch den Verantwortlichen zu verlangen. Im Falle einer Löschung informiert der Verantwortliche jeden Empfänger, dem die Daten mitgeteilt wurden, über die Löschung („Recht auf Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung: Bei Vorliegen einer der in Art. 18 DSGVO aufgeführten Gründen, können Sie die Einschränkung der Verarbeitung Ihrer Daten verlangen
Recht auf Datenübertragbarkeit: Bei Vorliegen der gesetzlichen Voraussetzungen, können Sie eine Kopie Ihrer Daten in einem strukturierten, maschinenlesbaren und gebräuchlichen Format anfordern
Widerspruchsrecht:Sie haben das Recht, Widerspruch gegen die Verarbeitung Ihrer Daten nach Maßgabe des Art. 21 DSGVO einzulegen aus Gründen, die sich aus Ihrer besonderen Situation ergeben, soweit Rechtsgrundlage der Verarbeitung Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) ist

Wenn Sie eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke erteilt haben, können Sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf ist zu richten an die unter Ziffer 1 genannten Kontaktadresse.
Daneben haben Sie die Möglichkeit, sich an eine Datenschutzbehörde zu wenden und dort Beschwerde einzureichen. Sie können sich sowohl bei der für den jeweiligen Verantwortlichen zuständigen Behörde, als auch an die für Ihren Wohnort zuständige Datenschutzbehörde wenden.

8. Aus welcher Quelle stammen meine Daten?

Soweit Sie Ihre Daten nicht selbst unmittelbar zur Verfügung gestellt haben, werden diese im Regelfall von Ihren Kollegen, die an einer Dokumentation beteiligt sind, erhoben. Die Erhebung sowie die Dokumentation zu diesen Zwecken liegt im alleinigen Ermessen des Contet-Verantwortlichen. Wir führen diese Daten nicht mit Informationen zusammen, die wir möglicherweise von anderen Stellen erhalten.

9. Schlussbestimmungen / Version

Die Softwareplattform OneTrust unterliegt der ständigen Verbesserung und Veränderung in sowohl technischen als auch konzeptionellen Bereichen. Dies kann Auswirkungen auf die hierin enthaltenen Informationen über die Verarbeitung personenbezogener Daten haben. Die Angaben spiegeln die Ist-Situation vom 01. April 2019 wider.