Datenschutz

Hinweise zur Verarbeitung personenbezogener Daten für Vertragspartner, Stellenbewerber und Besucher (nachfolgend „Memorandum“)

Einleitung

Sehr geehrte Vertragspartner[1], Stellenbewerber und Besucher,

mit diesem Memorandum möchten wir Sie als betroffene Personen über die Grundsätze und Verfahren für die Verarbeitung Ihrer personenbezogenen Daten sowie über Ihre Rechte im Zusammenhang mit der Verarbeitung dieser Daten informieren, und zwar in Übereinstimmung mit der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; nachfolgend „DSGVO“) und dem Gesetz “Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung“ (hereinafter the “BDSG”).

Unser Unternehmen achtet auf eine transparente und faire Verarbeitung Ihrer personenbezogenen Daten und die Gewährleistung ihres angemessenen Schutzes in Übereinstimmung mit dem geltenden Recht, um eine faire und gerechte Verarbeitung sicherzustellen. Wir schützen Ihre personenbezogenen Daten mit höchster Sicherheit, um einen unbefugten oder unbeabsichtigten Zugriff auf Ihre personenbezogenen Daten, deren Zerstörung, Verlust, unbefugte Übermittlung oder unbefugte Verarbeitung zu verhindern. Zu diesem Zweck treffen wir geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das allen möglichen Risiken angemessen ist. Personen, die mit personenbezogenen Daten in Berührung kommen, sind verpflichtet, über die im Zusammenhang mit der Verarbeitung dieser Daten erhaltenen Informationen Verschwiegenheit zu bewahren.

Da in diesem Memorandum auf Begriffe aus dem Bereich des Datenschutzes verwiesen wird und zugleich Abkürzungen verwendet werden, ist im Teil Verzeichnis ausgewählter Begriffe und Abkürzungen dieses Memorandums für mehr Übersichtlichkeit eine Erklärung der verwendeten Begriffe und Abkürzungen enthalten.

Verantwortlicher

Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle ist EP Mehrum GmbH, Steuer-Nr. 143/134/01600, mit Sitz in Grünwald, PLZ 82031, eingetragen im Handelsregister des Amtsgerichts München unter HRB 261426, mit dem Sie in einem Beschäftigungsverhältnis (oder einem anderen Verhältnis) stehen oder mit dem Sie einen Geschäftsführer- oder Vorstandsvertrag geschlossen haben (nachfolgend der „Verantwortliche“) und das für die Erfüllung der Verpflichtungen aus den geltenden Datenschutzvorschriften verantwortlich ist.

Verzeichnis ausgewählter Begriffe und Abkürzungen

BEGRIFF UND ABKÜRZUNGBEDEUTUNG
Personenbezogene DatenAlle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Besondere Kategorien personenbezogener DatenPersonenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Betroffene PersonNatürliche Person, auf die sich die personenbezogenen Daten beziehen. Eine betroffene Person gilt als identifiziert oder identifizierbar, wenn ihre Identität anhand einer oder mehrerer personenbezogener Angaben direkt oder indirekt festgestellt werden kann.
VerantwortlicherDie natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Zweck der VerarbeitungDas Ziel und Sinn der Tätigkeit des Verantwortlichen
Mittel der VerarbeitungDie für die spezifische Verarbeitung personenbezogener Daten gewählten Instrumente und Verfahren.
RechtsgrundEine Voraussetzung, ohne die die Verarbeitung personenbezogener Daten auf keinen Fall möglich ist.
AuftragsverarbeiterEine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
EmpfängerEine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offenlegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Der Empfänger ist gesetzlich, vertraglich oder anderweitig befugt, personenbezogene Daten zu verarbeiten. Es handelt sich hierbei um andere Verantwortliche oder Auftragsverarbeiter wie Steuer-, Verwaltungs- oder Regulierungsbehörden. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

Verarbeitete personenbezogene Daten

Der Verantwortliche und der Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten, in Bezug auf den jeweiligen Rechtsgrund und den Zweck der Verarbeitung, insbesondere folgende Kategorien personenbezogener Daten:

  • Identifikations-, Authentifizierungs- und Adressdaten: Vor- und Zuname, Titel, Geburtsdatum, Angaben zum Ausweisdokument, Adresse des ständigen oder vorübergehenden Wohnsitzes, die Zustell- oder andere Kontaktadresse, Geburtsort und -land, Geschäftsadresse, Identifikationsnummer, in seltenen Fällen die Geburtsnummer, eigenhändige Unterschrift und elektronische Signatur;
  • Kontaktdaten: Telefonnummer, E-Mail-Adresse;
  • Elektronische Daten: IP-Adresse, Authentifizierungszertifikate und Zertifikate für elektronische Signaturen;
  • Weitere personenbezogene Daten im Zusammenhang mit dem Vertragsverhältnis: Bankkontonummer, Wert der Leistung, Kundenkontonummer (ferner zum Beispiel Angaben zur Ausbildung, Informationen über das Studium, Berufserfahrung, Spezifikation des Kaufgegenstandes, Dienstbarkeit, Ausschreibungsspezifikation);
  • Andere personenbezogene Daten, z.B. personenbezogene Daten im Zusammenhang mit dem Zugang zu den Räumlichkeiten des Verantwortlichen (Nr. der Zugangskarte, einschließlich der Bezeichnung, Tag der Übergabe und Übernahme), mit dem Leistungsgegenstand (z.B. Spezifikation des Kaufgegenstandes, der erbrachten Dienstleistungen), mit dem Antrag der betroffenen Person (z.B. Spezifikation der gemäß der DSGVO ausgeübten Rechte);
  • Ggf. besondere personenbezogene Daten (z.B. im Zusammenhang mit der epidemiologischen Situation in der Gesellschaft).

Quelle der verarbeiteten personenbezogenen Daten

Der Verantwortliche erhält Ihre personenbezogenen Daten vor allem von Ihnen im Zusammenhang mit der Beteiligung an der Einstellung neuer Mitarbeiter, bei der Aushandlung eines Vertrags und im Zusammenhang mit der Vertragserfüllung. Des Weiteren erhält der Verantwortliche Ihre personenbezogenen Daten aus öffentlich zugänglichen Quellen oder von staatlichen Behörden.

Zweck, Dauer und Rechtsgrund der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet Ihre personenbezogenen Daten vor allem zu den nachstehend aufgeführten Zwecken aus dem entsprechenden Rechtsgrund.

Der Zeitraum, für den der Verantwortliche berechtigt ist, Ihre personenbezogenen Daten zu verarbeiten, ist vom Zweck der Verarbeitung abhängig. Soweit wir gesetzlich zur Aufbewahrung verpflichtet sind, speichern wir Ihre Daten zudem über den gesetzlich vorgeschriebenen Zeitraum (Art. 6 Abs. 1 lit. c) DSGVO). Gesetzliche Vorgaben zur Speicherung können sich insbesondere aus den Aufbewahrungsfristen des Handelsgesetzbuchs (HGB) oder der Abgabenordnung (AO) ergeben. Die Aufbewahrungsfrist nach diesen Vorschriften beträgt in der Regel zwischen 6 und 10 Jahre ab dem Ende des Jahres in dem entsprechende Vorgang abgeschlossen wurde, z. B. wir Ihre Anfrage abschließend bearbeitet haben oder der Vertrag geendet ist. 

Die DSGVO unterscheidet in Artikel 6 insgesamt sechs Arten von Rechtsgründen der Verarbeitung personenbezogener Daten, wobei für den Verantwortlichen die vier nachstehend aufgeführten Rechtsgründe am wichtigsten sind.DerVerantwortliche verarbeitet Ihre personenbezogenen Daten:

  • die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erfüllung einer rechtlichen Verpflichtung, die sich aus den Steuer- und Rechnungslegungsvorschriften ergibt);
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt;
  • auf der Grundlage Ihrer Einwilligung, sofern kein anderer Rechtsgrund für die Verarbeitung personenbezogener Daten herangezogen werden kann (z.B. Aufbewahrung des Lebenslaufs).
VerarbeitungszweckRechtsgrund
Rekrutierung und Auswahl von MitarbeiternBerechtigtes Interesse Erfüllung eines Vertrags (erforderlich für die Durchführung der vor Abschluss des Arbeitsvertrags (eines ähnlichen Vertrags) getroffenen Maßnahmen)
Erfassung der Lebensläufe von BewerbernEinwilligung
Erfassung und Kontrolle der Zugänge zu Gebäuden und RäumlichkeitenBerechtigtes Interesse
Ausschreibungen von Dienstleistungen oder TätigkeitenBerechtigtes Interesse
Abschluss und Erfassung von Verträgen und Vereinbarungen, Aufträgen einschl. der entsprechenden Vollmachten, Beauftragungen sowie der Erfüllung der sich daraus ergebenden Verpflichtungen, einschließlich der Register der VertragspartnerErfüllung eines Vertrags Erfüllung einer rechtlichen Verpflichtung
Management und VermögensverwaltungErfüllung einer rechtlichen Verpflichtung Berechtigtes Interesse Erfüllung eines Vertrags
Unterlagen für die RechnungsstellungErfüllung einer rechtlichen Verpflichtung Berechtigtes Interesse
Verarbeitung personenbezogener Daten im Zusammenhang mit der Archivierung von DokumentenErfüllung einer rechtlichen Verpflichtung Berechtigtes Interesse
Verarbeitung personenbezogener Daten im Zusammenhang mit der Geltendmachung von Ansprüchen des VerantwortlichenBerechtigtes Interesse
Verarbeitung personenbezogener Daten im Zusammenhang mit Datenschutzkontrollen und Anträgen von betroffenen PersonenErfüllung einer rechtlichen Verpflichtung
Prüfung von Anträgen gemäß der Whistleblowing-Politik und der Politik zur Bekämpfung der Korruption  Berechtigtes Interesse
Verarbeitung personenbezogener Daten bei Epidemien und entsprechenden SofortmaßnahmenErfüllung einer rechtlichen Verpflichtung Notwendigkeit für den Schutz lebenswichtiger Interessen Notwendigkeit im öffentlichen Interesse
Führung von Aufzeichnungen über AuftragsverarbeiterBerechtigtes Interesse
Untersuchung und Erfassung von NotfällenErfüllung einer rechtlichen Verpflichtung Erfüllung eines Vertrags Berechtigtes Interesse

Ohne die Bereitstellung der für die Erfüllung eines Vertrags sowie die Erfüllung gesetzlicher Verpflichtungen erforderlichen personenbezogenen Daten ist kein Vertragsabschluss möglich. Gegen die Verarbeitung Ihrer personenbezogenen Daten zur Wahrung der berechtigten Interessen können Sie Widerspruch einlegen. Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Verantwortliche weist dabei darauf hin, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird.

Art und Mittel der Verarbeitung

Der Verantwortliche und der Auftragsverarbeiter, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten Ihre personenbezogenen Daten manuell (z.B. Ablage des Vertrags in Papierform in der entsprechenden Akte) und automatisch (mi Hilfe von IKT-Mitteln, z.B. eines PC in Microsoft Office 365 sowie im System des Verantwortlichen oder des Auftragsverarbeiters).  

Im Falle einer automatisierten Verarbeitung Ihrer personenbezogenen Daten verzichtet der Verantwortliche auf eine automatisierte Entscheidungsfindung einschließlich des Profilings, die Ihre Rechte beeinträchtigen könnten.

Auftragsverarbeiter

Der Verantwortliche verarbeitet Ihre personenbezogenen Daten durch seine Mitarbeiter, die Zugang zu den personenbezogenen Daten zur Erfüllung ihrer Arbeitsaufgaben benötigen und die verpflichtet sind, über sämtliche Tatsachen und Angaben, von denen sie im Rahmen ihrer Tätigkeit Kenntnis erhalten haben, Verschwiegenheit zu bewahren.

Des Weiteren haben die Mitarbeiter des Auftragsverarbeiters nur insoweitZugang zu Ihren personenbezogenen Daten, als dies für die Ausübung ihrer Tätigkeit für den Verantwortlichen erforderlich ist. Wir schließen mit allen unseren Auftragsverarbeitern immer eine schriftliche Datenverarbeitungsvereinbarung ab, die Garantien für die Sicherheit Ihrer personenbezogenen Daten enthält.

Kategorien der Verarbeiter Tätigkeiten
PersonalvermittlungsagenturenSicherstellung der Rekrutierung und Auswahl geeigneter Bewerber
IT-Dienstleister und SoftwareanbieterErbringung von IT-Dienstleistungen, Bereitstellung von Software, einschließlich Serviceunterstützung, Verwaltung, Entwicklung, Wartung des Systems und Erstellung von Analysen von Sicherheitsrisiken
Anbieter von Rechtsdienstleistungen und -beratungErbringung von Rechtsdienstleistungen und -beratung
Wirtschafts- und Steuerberater, WirtschaftsprüferErbringung von Dienstleistungen und Beratung

Empfänger von personenbezogenen Daten

Unter bestimmten Umständen kann der Verantwortliche Ihre personenbezogenen Daten an so genannte Empfänger (ein weiterer Verantwortlicher, Auftragsverarbeiter) sowie an Dritte übermitteln.

Zu den Empfängern, an die personenbezogene Daten standardmäßig übermittelt werden, gehören insbesondere:

  • Finanzämter
  • Gerichtsvollzieher
  • Gerichte
  • Polizei

Um einen Empfänger handelt es sich jedoch nicht, wenn die Behörden personenbezogene Daten im Rahmen eines bestimmten Untersuchungsauftrags benötigen; in einem solchen Fall handelt es sich um einen sog. Dritten.

Übermittlung personenbezogener Daten an Drittländer

Der Verantwortliche bzw. der Auftragsverarbeiter, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten Ihre personenbezogenen Daten vor allem in der Europäischen Union (nachfolgend „EU“), wo ein einheitlicher Schutz personenbezogener Daten in jedem Mitgliedstaat gewährleistet ist. In Ausnahmefällen können Ihre personenbezogenen Daten außerhalb der EU verarbeitet werden, zum Beispiel in einem Computersystem, dessen Server außerhalb der EU befindlich sind. In einem solchen Fall würden wir als Vertragspartner ein Unternehmen wählen, dass die Bedingungen für eine sichere Datenübertragung in Übereinstimmung mit den geltenden Rechtsvorschriften erfüllt. Wir werden Sie über die konkreten Maßnahmen und Verfahren sowie darüber, an wen, in welche Länder und unter welchen Bedingungen personenbezogene Daten weitergegeben/übermittelt werden, wie Ihre Daten geschützt werden bzw. welche Risiken damit verbunden sind, in geeigneter Weise informieren.

Rechte der betroffenen Person

  • Wenn die Verarbeitung personenbezogener Daten auf Ihrer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Im Zusammenhang mit dem Widerruf der Einwilligung teilt der Verantwortliche Ihnen mit, dass der Widerruf der Einwilligung weder die Rechtmäßigkeit der Verarbeitung personenbezogener Daten bis zum Zeitpunkt des Widerrufs noch die Verarbeitung von Daten aus anderen rechtlichen Gründen beeinträchtigt, für die Ihre Einwilligung nicht erforderlich ist.
  • Sie haben ein Auskunftsrecht hinsichtlich Ihrer personenbezogenen Daten und ein Recht auf nähere Informationen über deren Verarbeitung (Art. 15 DSGVO und 34 BDSG).
  • Sie haben ein Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten.
  • Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem gängigen und maschinenlesbaren Format zu erhalten, das ihre Übermittlung an einen anderen Verantwortlichen ermöglicht, falls wir diese Daten auf der Grundlage Ihrer Einwilligung oder im Zusammenhang mit dem Abschluss und der Erfüllung eines Vertrags erhalten haben und sie automatisiert verarbeitet werden.
  • Sie haben ein Widerspruchsrecht gegen die Verarbeitung einiger oder aller Ihrer personenbezogenen Daten.
  • Sie haben ein Recht auf Löschung Ihrer personenbezogenen Daten, wenn keine Rechtsgrundlage für eine Weiterverarbeitung besteht (Art. 17 DSGVO und 35 BDSG).
  • Sie haben das Recht, beim Datenschutzamt eine Beschwerde einzureichen.
  • Sie haben das Recht, keiner automatisierten individuellen Entscheidung, einschließlich Profiling, unterworfen zu werden.

Schließlich weisen wir darauf hin, dass sofern Sie von Ihren Rechten gemäß Art. 15 bis 22 DSGVO Gebrauch machen, wir die von Ihnen in diesem Zusammenhang übermittelten personenbezogenen Daten zum Zweck der Umsetzung dieser Rechte verarbeiten und um den Nachweis hierüber erbringen zu können. Diese Verarbeitungen beruhen auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c) DSGVO i. V. m. Art. 15 bis 22 DSGVO und § 34 Abs. 2 BDSG.

Aktualisierung des Memorandums

Da sich die Regeln und Bedingungen für die Verarbeitung und den Schutz Ihrer personenbezogenen Daten, insbesondere infolge von Gesetzesänderungen, ändern können bzw. da sich unsere Bedingungen, Verfahren und Methoden für die Verarbeitung und den Schutz Ihrer personenbezogenen Daten ändern können, werden wir Sie durch Aktualisierungen dieses Memorandums über solche Änderungen informieren, es sei denn, eine solche Änderung erfordert eine direkte Kontaktaufnahme mit Ihnen.

Ausübung der Rechte der betroffenen Person

Im Falle Ihres Antrags zur Ausübung eines der im Teil Rechte der betroffenen Person dieses Memorandums aufgeführten Rechte ist der Verantwortliche stets verpflichtet, einen solchen Antrag der betroffenen Person zu bearbeiten, wobei er die Information ohne unnötigen Verzug nach Erhalt des Antrags, in jedem Fall jedoch innerhalb eines Monates nach Erhalt des Antrags bereitstellen muss. Diese Frist kann in Ausnahmefällen um zwei Monate verlängert werden, wovon die betroffene Person vom Verantwortlichen unter Angabe der Gründe für die Verlängerung zu unterrichten ist.

Sie können Ihre Anfragen wie folgt senden: an den Geschäftssitz des Verantwortlichen  an die E-Mail-Adresse info@epmehrum.de alternativ können Sie auch folgende Telefonnummer verwenden: +49 89 25 00 63 41 0

Um die Wahrnehmung Ihrer Rechte zu erleichtern, haben wir für Sie das Musterformular Antrag der betroffenen Person vorbereitet.

Wenn Sie den begründeten Verdacht haben, dass ein Verstoß gegen die Datenschutzvorschriften vorliegt, haben Sie das Recht, eine Beschwerde beim Datenschutzamt einzulegen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr 2-4, 40213 Düsseldorf, Telefon: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de 

[1] Natürliche Personen, Vertreter juristischer Personen

Hinweise zur Verarbeitung personenbezogener Daten für Mitarbeiter und Organmitglieder (nachfolgend „Memorandum“)

Einleitung

Liebe Mitarbeiterinnen und Mitarbeiter, liebe Organmitglieder,

mit diesem Memorandum möchten wir Sie als betroffene Personen über die Grundsätze und Verfahren für die Verarbeitung Ihrer personenbezogenen Daten sowie über Ihre Rechte im Zusammenhang mit der Verarbeitung dieser Daten informieren, und zwar in Übereinstimmung mit der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; nachfolgend „DSGVO“) und dem Gesetz “Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung“ (hereinafter the “BDSG”).

Unser Unternehmen achtet auf eine transparente und faire Verarbeitung Ihrer personenbezogenen Daten und die Gewährleistung ihres angemessenen Schutzes in Übereinstimmung mit dem geltenden Recht, um eine faire und gerechte Verarbeitung sicherzustellen. Wir schützen Ihre personenbezogenen Daten mit höchster Sicherheit, um einen unbefugten oder unbeabsichtigten Zugriff auf Ihre personenbezogenen Daten, deren Zerstörung, Verlust, unbefugte Übermittlung oder unbefugte Verarbeitung zu verhindern. Zu diesem Zweck treffen wir geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das allen möglichen Risiken angemessen ist. Personen, die mit personenbezogenen Daten in Berührung kommen, sind verpflichtet, über die im Zusammenhang mit der Verarbeitung dieser Daten erhaltenen Informationen Verschwiegenheit zu bewahren.

Da in diesem Memorandum auf Begriffe aus dem Bereich des Datenschutzes verwiesen wird und zugleich Abkürzungen verwendet werden, ist im Teil Verzeichnis ausgewählter Begriffe und Abkürzungen dieses Memorandums für mehr Übersichtlichkeit eine Erklärung der verwendeten Begriffe und Abkürzungen enthalten.

Verantwortlicher

Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle ist EP Mehrum GmbH, Steuer-Id.-Nr. 143/134/01600, mit Sitz in Grünwald, PLZ 82031, eingetragen im Handelsregister des Amtsgerichts München unter HRB 261426, mit dem Sie in einem Beschäftigungsverhältnis (oder einem anderen Verhältnis) stehen oder mit dem Sie einen Geschäftsführer- oder Vorstandsvertrag geschlossen haben (nachfolgend der „Verantwortliche“) und das für die Erfüllung der Verpflichtungen aus den geltenden Datenschutzvorschriften verantwortlich ist.

Verzeichnis ausgewählter Begriffe und Abkürzungen

BEGRIFF UND ABKÜRZUNGBEDEUTUNG
Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Besondere Kategorien personenbezogener DatenPersonenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Betroffene PersonNatürliche Person, auf die sich die personenbezogenen Daten beziehen. Eine betroffene Person gilt als identifiziert oder identifizierbar, wenn ihre Identität anhand einer oder mehrerer personenbezogener Angaben direkt oder indirekt festgestellt werden kann.
VerantwortlicherDie natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter  Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Zweck der VerarbeitungDas Ziel und Sinn der Tätigkeit des Verantwortlichen
Mittel der VerarbeitungDie für die spezifische Verarbeitung personenbezogener Daten gewählten Instrumente und Verfahren.
RechtsgrundEine Voraussetzung, ohne die die Verarbeitung personenbezogener Daten auf keinen Fall möglich ist.
AuftragsverarbeiterEine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
EmpfängerEine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offenlegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Der Empfänger ist gesetzlich, vertraglich oder anderweitig befugt, personenbezogene Daten zu verarbeiten. Es handelt sich hierbei um andere Verantwortliche oder Auftragsverarbeiter wie Steuer-, Verwaltungs- oder Regulierungsbehörden. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

Verarbeitete personenbezogene Daten

Der Verantwortliche und der Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten, in Bezug auf den jeweiligen Rechtsgrund und den Zweck der Verarbeitung, insbesondere folgende Kategorien personenbezogener Daten:

  • Identifikations-, Authentifizierungs- und Adressdaten: Vor- und Zuname, Titel, Geburtsdatum, Angaben zum Ausweisdokument, Adresse des ständigen oder vorübergehenden Wohnsitzes, die Zustell- oder andere Kontaktadresse, Staatsangehörigkeit, Geburtsort und -land, Geburtsnummer, eigenhändige Unterschrift und elektronische Signatur;
  • Kontaktdaten: Telefonnummer, E-Mail-Adresse, Datenbox-ID;
  • Elektronische Daten: IP-Adresse, Authentifizierungszertifikate, Zertifikate für elektronische Signaturen;
  • Personenbezogene Daten im Zusammenhang mit dem Beschäftigungsverhältnis (oder einem ähnlichen Verhältnis): Bankkontonummer, Gehaltsdaten, Ausbildung, strafrechtliche Angelegenheiten, Identifikationsdaten von Kindern, Familienmitgliedern, Fremdsprachenkenntnisse, Personalnummer;
  • In bestimmten Fällen besondere Kategorien von personenbezogenen Daten.

Quelle der verarbeiteten personenbezogenen Daten

Der Verantwortliche erhält Ihre personenbezogenen Daten vor allem von Ihnen bei der Aushandlung Ihres Arbeitsvertrages oder des Geschäftsführer- oder Vorstandsvertrages und im Zusammenhang mit dessen Erfüllung. Des Weiteren erhält der Verantwortliche Ihre personenbezogenen Daten aus öffentlich zugänglichen Quellen (z.B. aus dem Handels- und Gewerberegister) oder von staatlichen Behörden.

Zweck und Dauer der Verarbeitung personenbezogener Daten

Der Verantwortliche verarbeitet Ihre personenbezogenen Daten vor allem zu den nachstehend aufgeführten Zwecken aus dem entsprechenden Rechtsgrund.

Der Zeitraum, für den der Verantwortliche berechtigt ist, Ihre personenbezogenen Daten zu verarbeiten, ist vom Zweck der Verarbeitung abhängig (z.B. die Lohn- oder Buchhaltungsunterlagen mit den für die Rentenversicherung erforderlichen Daten werden vom Verantwortlichen 30 Jahre lang aufbewahrt, wenn sie Altersrentner betreffen, dann werden sie 10 Jahre lang aufbewahrt).

Demonstrative Aufzählung der Verarbeitungszwecke:

  • Verarbeitung personenbezogener Daten von Arbeitnehmern im Zusammenhang mit der Personalverwaltung;
  • Verarbeitung personenbezogener Daten von Arbeitnehmern im Zusammenhang mit der Lohnverwaltung;
  • Verarbeitung personenbezogener Daten im Zusammenhang mit der Sicherstellung von arbeitsmedizinischen Untersuchungen;
  • Verarbeitung personenbezogener Daten von Organmitgliedern zum Zwecke der Eintragung in öffentliche Register;
  • Verarbeitung personenbezogener Daten im Zusammenhang mit der Archivierung von Dokumenten;
  • Verarbeitung personenbezogener Daten im Zusammenhang mit der Geltendmachung von Ansprüchen des Verantwortlichen.

Rechtsgrund der Verarbeitung personenbezogener Daten

Die DSGVO unterscheidet in Artikel 6 insgesamt sechs Arten von Rechtsgründen der Verarbeitung personenbezogener Daten, wobei für den Verantwortlichen die vier nachstehend aufgeführten Rechtsgründe am wichtigsten sind. Der Verantwortliche verarbeitet Ihre personenbezogenen Daten:

  • die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erstellung von Unterlagen für die gesetzlichen Kranken- und Sozialversicherungsbeiträge);
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt;
  • auf der Grundlage Ihrer Einwilligung, sofern kein anderer Rechtsgrund für die Verarbeitung personenbezogener Daten herangezogen werden kann (z.B. Einwilligung zur Nutzung von Fotos).

Ohne die Erteilung der für die Erfüllung eines Vertrags sowie die Erfüllung gesetzlicher Verpflichtungen erforderlichen personenbezogenen Daten ist kein Vertragsabschluss nicht möglich. Gegen die Verarbeitung Ihrer personenbezogenen Daten zur Wahrung der berechtigten Interessen können Sie Widerspruch einlegen. Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Verantwortliche weist dabei darauf hin, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird.

Art und Mittel der Verarbeitung

Der Verantwortliche und der Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten Ihre personenbezogenen Daten manuell (z.B. Ablage des Arbeitsvertrags in Papierform in der Personalakte des Arbeitnehmers) und automatisch (mi Hilfe von IKT-Mitteln, z.B. eines PC in Microsoft Office 365 sowie im System des Verantwortlichen oder des Auftragsverarbeiters).

Im Falle einer automatisierten Verarbeitung Ihrer personenbezogenen Daten verzichtet der Verantwortliche auf eine automatisierte Entscheidungsfindung einschließlich des Profilings, die Ihre Rechte beeinträchtigen könnten.

Auftragsverarbeiter

Der Verantwortliche verarbeitet Ihre personenbezogenen Daten durch seine Mitarbeiter, die Zugang zu den personenbezogenen Daten zur Erfüllung ihrer Arbeitsaufgaben benötigen und die verpflichtet sind, über sämtliche Tatsachen und Angaben, von denen sie im Rahmen ihrer Tätigkeit Kenntnis erhalten haben, Verschwiegenheit zu bewahren.

Des Weiteren haben die Mitarbeiter des Auftragsverarbeiters nur insoweit Zugang zu Ihren personenbezogenen Daten, als dies für die Ausübung ihrer Tätigkeit für den Verantwortlichen erforderlich ist. Wir schließen mit allen unseren Auftragsverarbeitern immer eine schriftliche Datenverarbeitungsvereinbarung ab, die Garantien für die Sicherheit Ihrer personenbezogenen Daten enthält. Hierzu gehören zum Beispiel ein Unternehmen, das die Lohnbuchhaltung für den Verantwortlichen durchführt, ein IT-Dienstleister und Softwarelieferant, die Programmierer- oder andere technische Unterstützungsdienste anbieten.

Empfänger von personenbezogenen Daten

Unter bestimmten Umständen kann der Verantwortliche Ihre personenbezogenen Daten an so genannte Empfänger (ein weiterer Verantwortlicher, Auftragsverarbeiter) sowie an Dritte übermitteln.

Zu den Empfängern gehören beispielsweise Behörden, an die personenbezogene Daten von Arbeitnehmern standardmäßig zum Zweck der Führung von Steuerunterlagen oder der Berechnung der Sozial- oder Krankenversicherung übermittelt werden:

  • Sozialversicherungsverwaltung,
  • Krankenkassen,
  • Steuerbehörden und ggf. Gerichtsvollzieher im Zusammenhang mit den laufenden Melde- und Steuerpflichten des Arbeitgebers.

Um einen Empfänger handelt es sich jedoch nicht, wenn die Behörden personenbezogene Daten im Rahmen eines bestimmten Untersuchungsauftrags benötigen; in einem solchen Fall handelt es sich um einen sog. Dritten.

Übermittlung personenbezogener Daten an Drittländer

Der Verantwortliche bzw. der Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verarbeiten Ihre personenbezogenen Daten vor allem in der Europäischen Union (nachfolgend „EU“), wo ein einheitlicher Schutz personenbezogener Daten in jedem Mitgliedstaat gewährleistet ist. In Ausnahmefällen können Ihre personenbezogenen Daten außerhalb der EU verarbeitet werden, zum Beispiel in einem Computersystem, dessen Server außerhalb der EU befindlich sind. In einem solchen Fall würden wir als Vertragspartner ein Unternehmen wählen, dass die Bedingungen für eine sichere Datenübertragung in Übereinstimmung mit den geltenden Rechtsvorschriften erfüllt. Wir werden Sie über die konkreten Maßnahmen und Verfahren sowie darüber, an wen, in welche Länder und unter welchen Bedingungen personenbezogene Daten weitergegeben/übermittelt werden, wie Ihre Daten geschützt werden bzw. welche Risiken damit verbunden sind, in geeigneter Weise informieren.

Rechte der betroffenen Person

  • Wenn die Verarbeitung personenbezogener Daten auf Ihrer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Im Zusammenhang mit dem Widerruf der Einwilligung teilt der Verantwortliche Ihnen mit, dass der Widerruf der Einwilligung weder die Rechtmäßigkeit der Verarbeitung personenbezogener Daten bis zum Zeitpunkt des Widerrufs noch die Verarbeitung von Daten aus anderen rechtlichen Gründen beeinträchtigt, für die Ihre Einwilligung nicht erforderlich ist.
  • Sie haben ein Auskunftsrecht hinsichtlich Ihrer personenbezogenen Daten und ein Recht auf nähere Informationen über deren Verarbeitung (Art. 15 DSGVO und 34 BDSG).
  • Sie haben ein Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten.
  • Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem gängigen und maschinenlesbaren Format zu erhalten, das ihre Übermittlung an einen anderen Verantwortlichen ermöglicht, falls wir diese Daten auf der Grundlage Ihrer Einwilligung oder im Zusammenhang mit dem Abschluss und der Erfüllung eines Vertrags erhalten haben und sie automatisiert verarbeitet werden.
  • Sie haben ein Widerspruchsrecht gegen die Verarbeitung einiger oder aller Ihrer personenbezogenen Daten.
  • Sie haben ein Recht auf Löschung Ihrer personenbezogenen Daten, wenn keine Rechtsgrundlage für eine Weiterverarbeitung besteht (Art. 17 DSGVO und 35 BDSG).
  • Sie haben das Recht, beim Datenschutzamt eine Beschwerde einzureichen.
  • Sie haben das Recht, keiner automatisierten individuellen Entscheidung, einschließlich Profiling, unterworfen zu werden.

Schließlich weisen wir darauf hin, dass sofern Sie von Ihren Rechten gemäß Art. 15 bis 22 DSGVO Gebrauch machen, wir die von Ihnen in diesem Zusammenhang übermittelten personenbezogenen Daten zum Zweck der Umsetzung dieser Rechte verarbeiten und um den Nachweis hierüber erbringen zu können. Diese Verarbeitungen beruhen auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c) DSGVO i. V. m. Art. 15 bis 22 DSGVO und § 34 Abs. 2 BDSG.

Aktualisierung des Memorandums

Da sich die Regeln und Bedingungen für die Verarbeitung und den Schutz Ihrer personenbezogenen Daten, insbesondere infolge von Gesetzesänderungen, ändern können bzw. da sich unsere Bedingungen, Verfahren und Methoden für die Verarbeitung und den Schutz Ihrer personenbezogenen Daten ändern können, werden wir Sie durch Aktualisierungen dieses Memorandums über solche Änderungen informieren, es sei denn, eine solche Änderung erfordert eine direkte Kontaktaufnahme mit Ihnen.

Ausübung der Rechte der betroffenen Person

Im Falle Ihres Antrags zur Ausübung eines der im Teil Rechte der betroffenen Person dieses Memorandums aufgeführten Rechte ist der Verantwortliche stets verpflichtet, einen solchen Antrag der betroffenen Person zu bearbeiten, wobei er die Information ohne unnötigen Verzug nach Erhalt des Antrags, in jedem Fall jedoch innerhalb eines Monates nach Erhalt des Antrags, bereitstellen muss. Diese Frist kann in Ausnahmefällen um zwei Monate verlängert werden, wovon die betroffene Person vom Verantwortlichen unter Angabe der Gründe für die Verlängerung zu unterrichten ist.

Sie können Ihre Anfragen wie folgt senden: an den Geschäftssitz des Verantwortlichen an die E-Mail-Adresse: info@epmehrum.de. Alternativ können Sie auch folgende Telefonnummer: +49 89 25 00 63 41 0verwenden bzw. sich an Ihren Personalleiter wenden.

Um die Wahrnehmung Ihrer Rechte zu erleichtern, haben wir für Sie das Musterformular Antrag der betroffenen Person vorbereitet.

Wenn Sie den begründeten Verdacht haben, dass ein Verstoß gegen die Datenschutzvorschriften vorliegt, haben Sie das Recht, eine Beschwerde beim Datenschutzamt einzulegen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr 2-4, 40213 Düsseldorf, Telefon: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de