Datenschutzhinweise und Informationspflichten nach Artikel 13 und 14 DS-GVO
Die Europäische Datenschutz-Grundverordnung (DS-GVO) gilt zusammen mit dem Bundesdatenschutzgesetz (BDSG) für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung erfolgt durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Nach Art. 13, 14 DS-GVO ist jeder Verantwortliche verpflichtet, bestimmte Informationen den von der Verarbeitung betroffenen Personen zum Zeitpunkt der Erhebung Ihrer personenbezogenen Daten mitzuteilen.
Unsere Tätigkeit erfordert die Verarbeitung von personenbezogenen Daten. Gemäß den Artikeln 13 und 14 der DS-GVO hat der Verantwortliche einer betroffenen Person, deren Daten er verarbeitet, die in den genannten Artikeln genannten Informationen bereitzustellen. Mit diesem Hinweisblatt kommen wir dieser Informationspflicht nach und geben nachfolgend einen Überblick dazu, wie personenbezogenen Daten durch uns verarbeitet werden und welche Rechte der betroffenen Person nach der DS-GVO und dem BDSG zustehen.
Diese Datenschutzhinweise richten sich an alle Personen, die uns mit der Unternehmensberatung mandatieren.
Wer ist für die Datenverarbeitung verantwortlich und wer steht für Informationen zur Verfügung?
Verantwortlich für die Verarbeitung personenbezogener Daten ist die
HKP Unternehmensberatung
HKP Hidding Ketteler und Partner
Beratende Betriebswirte
Philipp-Reis-Str. 10
46397 Bocholt
Tel.: 0 28 71 / 23 52 00
Fax: 0 28 71 / 23 52 029
E-Mail: ch.hidding@hkp-nrw.de
Ein Datenschutzbeauftragter ist bei uns nicht benannt.
Welche personenbezogenen Daten werden erhoben und verarbeitet?
Wir verarbeiten insbesondere personenbezogene Daten, die wir im Rahmen der Mandatierung von unseren (zukünftigen) Mandanten erheben. Zudem verarbeiten wir – soweit erforderlich – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Handels- und Vereinsregister, Presse, Webseiten, Internet) zulässigerweise gewinnen oder die uns von unseren Bevollmächtigten oder von sonstigen Dritten (dazu mehr unter Punkt „An welche Empfänger werden die Daten übermittelt?“) berechtigt übermittelt werden.
Relevante personenbezogene Daten sind dabei Kontaktdaten (wie u.a. Vorname, Name, Anschrift, Funktion / Stellung im Unternehmen, E-Mail-Adresse, Telefonnummer, Geburtsdatum), Kontodaten sowie Informationen, die zur Bearbeitung des Mandats erforderlich sind. Wir verarbeiten zudem Kontaktdaten zu Ansprechpartnern sowie Informationen zur Beurteilung der Leistungsfähigkeit (einschließlich der Erfassung von Krankheitszeiten, soweit erforderlich) einzelner Mitarbeiter in dem Unternehmen unseres Mandanten. Mitunter erhalten wir auch detaillierte arbeitsrechtliche Daten zur unterstützenden Beratung im Rahmen von Sozialplänen etc. Während der Mandatierung können weitere Daten dazukommen.
Woher erhalten wir diese Daten?
Wir erhalten diese Daten durch unsere Mandanten, weil diese uns die Daten im Rahmen der Mandatierung mitteilen oder von deren Beratern (Steuerberatern, Banken, Rechtsanwälte etc.). Sollten wir Daten durch öffentlich zugängliche Quellen erhalten, so werden diese nur verarbeitet, wenn sie für unsere Beratungstätigkeit maßgeblich sind.
Zu welchem Zweck verarbeiten wir die Daten und auf welcher Rechtsgrundlage?
Die Verarbeitung erfolgt zu folgenden Zwecken:
- Zu Identifikationszwecken und Zuordnung des Mandats,
- Zur Kontaktaufnahme,
- Zur Ermöglichung und Durchführung der Beratungstätigkeit,
- Zur Rechnungserstellung,
- Zur Durchsetzung ggf. bestehender Ansprüche,
- Zur Erfüllung gesetzlicher Pflichten (z.B. Aufbewahrungspflichten).
Aufgrund welcher Rechtsgrundlage verarbeiten wir diese Daten?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der DS-GVO und dem BDSG.
Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Mandatsvertrages erforderlich und daher nach Art. 6 Abs. 1 Buchst. b DS-GVO rechtmäßig. Verarbeitungen zu Zwecken der Direktwerbung erfolgen nicht.
Teilweise kann die Verarbeitung auch aufgrund gesetzlicher Vorgaben erforderlich sein (z.B. im Rahmen der Steuergesetze, oder des HGB). Dann erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 Buchst. c DS-GVO.
An welche Empfänger werden die Daten übermittelt?
Innerhalb der HKP Unternehmensberatung erhalten diejenigen Stellen bzw. Bearbeiter Zugriff auf die Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen.
Die Offenlegung der personenbezogenen Daten gegenüber Dritten erfolgt nach Art. 6 Abs. 1 Buchst. b DS-GVO nur, soweit dies zur Erfüllung der vertraglichen Verpflichtung erforderlich ist. Wir geben in solchen Fällen ggf. Daten an die 123geplant.de GmbH weiter, aber auch an andere Dienstleister, die in unserem Auftrag Daten verarbeiten (Auftragsverarbeitung). Dies können z.B. Steuerberater oder Rechtsanwälte sein. Die Ergebnisse, die sich aus der Beratung ergeben, werden zudem an die von unseren Mandanten benannten Adressaten (sog. Stakeholder) weitergeleitet. Eine Weitergabe von Stammdaten (Name, Anschrift, Daten zu Ansprechpartnern) unserer Mandanten erfolgt zudem an die Wolters Kluwer Software und Service GmbH, bei der wir eine CRM-Software nutzen.
Mit Auftragsverarbeitern haben wir die erforderlichen Vereinbarungen zur Verarbeitung im Auftrag abgeschlossen und achten darauf, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und dass der Schutz der Rechte unserer Mandanten gewährleistet ist.
Eine Datenübermittlung kann zudem im Einzelfall auch an öffentliche Stellen und Institutionen erfolgen, z.B. an staatliche Sicherheits- und Strafverfolgungsbehörden, sofern eine gesetzliche oder behördliche Verpflichtung besteht.
Werden Daten auch in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Ländern außerhalb der Europäischen Union (sogenannte Drittländer) ist von uns nicht beabsichtigt. Sie kann im Einzelfall stattfinden, wenn unser Mandant uns einen Stakeholder mit Sitz in einem Drittland benannt hat oder wenn dies gesetzlich vorgeschrieben ist (z.B. im Rahmen steuerrechtlicher Meldepflichten).
Wie lange werden die Daten gespeichert?
Wir verarbeiten und speichern die personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden sie gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist zu einem der folgenden Zwecke erforderlich:
- Zur Erfüllung handels- oder steuerrechtlicher Aufbewahrungspflichten (z.B. aus Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO), wobei dort Aufbewahrungsfristen von bis zu zehn Jahren vorgesehen sind.
- Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen der gesetzlichen Verjährungsvorschriften.
Gibt es eine automatisierte Entscheidungsfindung (einschließlich „Profiling“)?
Automatisierte Entscheidungen im Einzelfall einschließlich „Profiling“ im Sinne von Art. 4 Nr. 4 DS-GVO erfolgen nicht.
Welche Rechte haben betroffene Personen hinsichtlich unserer Datenverarbeitung?
Betroffene Personen haben das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Beschränkungen aus §§ 34, 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO in Verbindung mit § 19 BDSG).