Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten“) innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile auf (nachfolgend gemeinsam bezeichnet als „Onlineangebot“). Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).

Grundinformationen Betroffene

Diese Datenschutzerklärung richtet sich an alle Personen, die mit dem Verantwortlichen per WhatsApp Kontakt aufnehmen bzw. kommunizieren. Das gilt sowohl für Beschäftigte, einschl. Bewerber*innen, als auch für Kund*innen, einschl. Interessent*innen. Der Verantwortliche verfügt über weitere Datenschutzinformationen mit eigenem Anwendungsbereich, die diese Erklärung ergänzen. Auf diese wird Bezug genommen. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortlicher für die hier beschriebene Verarbeitung ist: Connecttime Media GmbH, Sörnewitzer Str. 30, 01689 Weinböhla, vertreten durch den Geschäftsführer Marcus Skramusky, Tel.: +49 162 7437213, E-Mail: info@connecttime.de

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.

(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).

(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.

(2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.

(3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.

(4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.

(5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO.

Hong-Kong ist eine Sonderverwaltungszone der Volksrepublik China, die auf Grundlage von Artikel 31 der Verfassung der Volksrepublik China eingerichtet ist. Hierbei ist es wichtig, zu verstehen, dass Hong-Kong kein souveräner Staat ist, sondern zur Volksrepublik China gehört. Die Autonomie beschränkt sich weitestgehend auf die Zollverwaltung und die Handelspolitik. In diesem hat die Sonderverwaltungszone Hong-Kong zwar ein lokales Datenschutzgesetz verabschiedet, nämlich das Personal Data (Privacy) Ordinance (PDPO), das auch grundlegende Datenschutzprinzipien kennt (z.B. Zweckbindung, Datenminimierung usw.). Jedoch ist mit Blick darauf, dass die Volksrepublik China außerhalb der Handels- und Zollpolitik, häufig Einfluss auf Hong-Kong nimmt, ist davon auszugehen, dass v.a. die chinesischen Ermittlungsbehörden Zugriff auf personenbezogene Daten nehmen, sofern sie in Hong-Kong verarbeitet werden. Mit Blick darauf, dass die Volksrepublik China im Demokratie-Index des Economists den Rang 156 belegt, wird deutlich, dass hier weder dieselben rechtsstaatlichen noch dieselben demokratischen Grundsätze gelten, die in der Europäischen Union verankert sind. Eine Datenübermittlung nach Hong-Kong ist daher sehr riskant.

In den USA ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.

(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.

(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Der Verantwortliche hat an mehreren Stellen (Internetseite, social-media-Profile, Facebook, Instagram, google, TikTok, QR-Codes auf Pkw usw.) die Möglichkeit eröffnet, per WhatsApp mit ihm in Kontakt zu treten. Hierfür können die Betroffenen beispielsweise einen Button anklicken, einen QR-Code abscannen oder auf einen Link klicken usw. Wenn die Betroffenen diese Handlung ausführen, wird das mobile Endgerät, über das sie diese Handlung ausführen, versuchen, die mobile Applikation WhatsApp zu öffnen.

Verfügen die Betroffenen ...

● ... über keinen WhatsApp-Account auf dem betroffenen, mobilen Endgerät, werden sie lediglich zu einer Internetseite weitergeleitet, die ihnen die

Möglichkeit eröffnet, diese mobile Applikation herunterzuladen.

● ... über einen WhatsApp-Account auf dem betroffenen, mobilen Endgerät, wird ein Chat zwischen dem WhatsApp-Account des Betroffenen und dem

WhatsApp-Account des Verantwortlichen geöffnet.

Hierbei wird die Telefonnummer und ggf. weitere, vom Betroffenen eingegebene Profildaten verarbeitet. Zweck ist die Anbahnung eines Vertragsverhältnisses, entweder eines Beschäftigungs- und/oder eines Kundenvertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Die Betroffenen erhalten über diesen Chat dann eine Disclaimer-Nachricht, die über die Grundsätze der Datenverarbeitung informiert, insbesondere darüber, dass das WhatsApp lizenzierte Partner Automations-Tool WATI der Clare.AI Limited (Hong Kong, Volksrepublik China) eingesetzt werden soll. Hierbei wird der Einwilligungsstatus (nämlich, ob trotz der Hinweise die Kommunikation fortgesetzt wird) verarbeitet. Zweck ist die Erfüllung der rechtlichen Verpflichtungen nach Artikel 7 Absatz 1 DSGVO (soweit es den Einsatz des externen Dienstleisters Clare.AI Limited betrifft) und nach Artikel 5 Absatz 2 DSGVO i.V.m. Artikel 49 DSGVO (soweit es die Übermittlung in die Sonderverwaltungszone der Volksrepublik China – Hong-Kong) betrifft. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Nur wenn die Betroffenen dann die Kommunikation aufnehmen, indem sie aktiv eine Nachricht übermitteln, wird dieses Automations-Tool eingesetzt und kommuniziert automatisiert mit den Betroffenen, dies nach den Vorgaben des Verantwortlichen. Zweck ist die Anbahnung und Durchführung von Vertragsverhältnissen. Rechtsgrundlage ist grundsätzlich Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Soweit es aber den Einsatz des Automations-Tool WATI der Clare.AI Limited betrifft, ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage.

Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Soweit es aber den Einsatz des Automations-Tool WATI der Clare.AI Limited betrifft, ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage.

Nur sofern die Betroffenen keine Beschäftigten, sondern Kund*innen oder potenzielle Kund*innen sind, gilt ergänzend, dass der Verantwortliche die Betroffenen werblich WhatsApp oder per E-Mail anspricht. Dafür verwendet der Verantwortliche folgende Daten: Name und Mobilnummer oder E-Mail-Adresse. Zweck ist die werbliche Ansprache der Betroffenen, die sich in einem Vertragsverhältnis mit dem Betroffenen befinden. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem vorgenannten Zweck i.V.m. ErwG 47 folgt. Die Betroffenen werden darauf hingewiesen, dass sie dieser Verarbeitung jederzeit und ohne Begründung widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:

1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden Daten

ausnahmsweise zehn Jahre aufbewahrt, sofern sie sich aus internen Unterlagen (Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege) ergeben. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

3. Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

4. Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen (vgl. oben „Rechte“), werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB bzw. § 31 Absatz 2 Ziffer 1 i.V.m. Absatz 3 OWiG i.V.m. Artikel 83 Absätze 4 und 5 DSGVO.

5. Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse an der Verarbeitung folgt aus dem Bedürfnis des Verantwortlichen, sich später gegen zivilrechtliche Ansprüche verteidigen zu können. Dieses Speicherungsinteresse endet mit dem Wegfall der Verjährungsfrist gemäß §§ 193, 195 BGB.

Drittanbieter: Es wird der Messengerdienst „WhatsApp“ der WhatsApp Ireland Limited (Irland – EU) eingesetzt. Sofern hierüber Daten verarbeitet werden, ist nicht auszuschließen, dass diese Daten an folgende Unternehmen übermittelt werden:

Unternehmen mit Sitz in der EU Meta Platforms Ireland Limited (Irland – EU). Facebook Germany GmbH (Deutschland – EU) o FB Spain S.L. (Spanien – EU)

Unternehmen mit Sitz in Ländern, für die es einen Angemessenheitsbeschluss i.S.v. Artikel 45 DSGVO gibt: Facebook Israel Limited (Israel) Facebook UK Limited (Vereinigtes Königreich)

Hier ist die Übermittlung an Stellen außerhalb der EU nach Artikel 45 DSGVO gerechtfertigt.

sonstige Unternehmen mit Besonderheiten:

WhatsApp LLC (USA). Dieser Übermittlung steht nicht entgegen, dass die WhatsApp, Inc. ihren Sitz außerhalb der EU hat. Bei allen Daten, die keine Beschäftigtendaten sind, ist die Übermittlung gemäß Artikel 45 DSGVO gerechtfertigt. Bei Beschäftigtendaten gilt, dass sich der Unterauftragsverarbeiter gemäß den EU-Standardvertragsklauseln verpflichtet hat, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist. Facebook Singapur Pie Limited (Singapur). Dieser Übermittlung steht nicht entgegen, dass die Meta Plattforms, Inc. ihren Sitz außerhalb der EU hat. Denn die Drittanbietern hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Datenübermittlung gemäß Artikel 46 DSGVO gerechtfertigt ist.

Meta Platforms Inc. (USA) Dieser Übermittlung steht nicht entgegen, dass die Meta Plattforms, Inc. ihren Sitz außerhalb der EU hat. Bei allen Daten, die keine Beschäftigtendaten sind, ist die Übermittlung gemäß Artikel 45 DSGVO gerechtfertigt. Bei Beschäftigtendaten gilt, dass sich der Unterauftragsverarbeiter gemäß den EU-Standardvertragsklauseln verpflichtet hat, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist.

Die Einzelheiten sind hier erklärt: https://www.whatsapp.com/legal/privacy-policy-eea#privacy-policy-how-we-work-with-other-meta-companies.

Drittanbieter: Es wird das Automations-Tool „WATI“ der Clare.AI Limited (Volksrepublik China, Sonderverwaltungszone: Hong-Kong) eingesetzt. Diese Anbieterin erbringt Leistungen im Bereich automatisierten Kommunikation bei WhatsApp und ist ein Kooperationspartner der Anbieterin von WhatsApp. Die Daten selbst werden nicht in Hong-Kong gespeichert, sondern in der Cloud “Google Cloud“ der Google LLC (USA), die hier als Unterauftragsverarbeiterin agiert und die Daten in den USA und Singapur speichert. Soweit die Daten in den USA gespeichert werden, ist dies gemäß Artikel 45 DSGVO gerechtfertigt und in den übrigen Fällen gemäß Artikel 46 DSGVO. Nur vorsorglich wird darauf hingewiesen, dass die Anbieterin selbst ihren Sitz in der Volksrepublik China, Sonderverwaltungszone: Hong-Kong hat. Grundsätzlich findet hierhin keine dem Verantwortliche bekannte Datenübermittlung statt. Nur vorsorglich und nur für den Fall, dass dies entgegen der Kenntnislage des Verantwortliche geschehen würde, stünde dies der Beauftragung auch nicht entgegen, weil die Verarbeitung erfolgt, wenn die Betroffenen in Kenntnis aller Risiken darin im Einzelfall einwilligen. Hierbei wird nochmals auf die nachfolgenden Risiken hingewiesen: Hong-Kong ist eine Sonderverwaltungszone der Volksrepublik China, die auf Grundlage von Artikel 31 der Verfassung der Volksrepublik China eingerichtet ist. Hierbei ist es wichtig, zu verstehen, dass Hong-Kong kein souveräner Staat ist, sondern zur Volksrepublik China gehört. Die Autonomie beschränkt sich weitestgehend auf die Zollverwaltung und die Handelspolitik. In diesem hat die Sonderverwaltungszone Hong-Kong zwar ein lokales Datenschutzgesetz verabschiedet, nämlich das Personal Data (Privacy) Ordinance (PDPO), das auch grundlegende Datenschutzprinzipien kennt (z.B. Zweckbindung, Datenminimierung usw.). Jedoch ist mit Blick darauf, dass die Volksrepublik China außerhalb der Handels- und Zollpolitik, häufig Einfluss auf Hong-Kong nimmt, ist davon auszugehen, dass v.a. die chinesischen Ermittlungsbehörden Zugriff auf personenbezogene Daten nehmen, sofern sie in Hong-Kong verarbeitet werden. Mit Blick darauf, dass die Volksrepublik China im Demokratie-Index des Economists den Rang 156 belegt, wird deutlich, dass hier weder dieselben rechtstaatlichen noch dieselben demokratischen Grundsätze gelten, die in der Europäischen Union verankert sind. Eine Datenübermittlung nach Hong-Kong ist daher sehr riskant.

Glossar

Es folgt ein Glossar. Nicht alle Sachverhalte, die im Glossar erläutert werden, spielen notwendiger Weise eine Rolle auf der hier vorgestellten Internetseite. Sie dienen nur dem allgemeinen Verständnis und damit der Transparenz.

Personenbezogene Daten: Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.

Verarbeitung personenbezogener Daten: Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.

Einwilligung: Das ist eine nachweisbare Willenserklärung, die vor einer Verarbeitung personenbezogener Daten freiwillig abgegeben wird und die eine konkrete Verarbeitung der personenbezogenen Daten des erklärenden Betroffenen gestattet.