Fairfamily Logo
Kostenloses Erstgespräch

Lieferanten-Transparenzerklärung

Grundinformationen

 

Betroffene
Diese Datenschutzerklärung richtet sich an alle Personen, die gegenüber dem Verantwortlichen (siehe unten) Leistungen bringen, unabhängig davon, ob diese Verträge kostenpflichtig sind oder nicht. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortlicher
Verantwortlicher für die hier beschriebene Verarbeitung ist: FAIRFAMILY GmbH, Bei den Mühren 1, 20457 Hamburg, Telefon: 040-3346678 – 0, Telefax: 040- 3346678 -99, E-Mail: info@fairfamily.de, Geschäftsführung: Felix Anrich, Randolph Moreno Sommer. Der externe Datenschutzbeauftragte ist über die o.g. Postanschrift mit Adresszusatz „persönlichvertraulich- z.Hd. Datenschutzbeauftragter“ oder über request@thenextstanhope.de zu erreichen.

Rechte (1)
 Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren. (2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). (3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet. Übermittlung in Länder außerhalb der Europäischen Union (1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen. (2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO. (3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EUStandardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EUDatenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EUStandardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO. (4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO. (5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger. (6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.

Weitere Hinweise
 (1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt. (2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

Datenverarbeitung
(1)Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit dem Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet der Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie EMail- Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Der Verantwortliche prüft auf dieser Grundlage das Angebot des Betroffenen. Der Verantwortliche speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. (2) Nach Zustandekommen des Vertrages erhebt der Verantwortliche die weiteren Kommunikationsdaten (Auslieferung Leistung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. (3) Nach Ende des Vertrages werden die Kundendaten wie folgt aufbewahrt:

1. Daten, die für die Besteuerung des Verantwortlichen relevant sind, werden grundsätzlich für sechs Jahre aufbewahrt. Hiervon abweichend werden für zehn Jahre aufbewahrt. Die jeweilige Frist beginnt in dem Jahr, in dem das Dokument entstanden ist. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO.

2. Sofern die Verarbeitung der Daten auf einer Einwilligung beruht, werden die Daten, die auf Grundlage der Einwilligung verarbeitet werden, bis zum Widerruf der Einwilligung oder bis der mit ihrer Verarbeitung verbundene Zweck erlischt, aufbewahrt. Der Zweck wird in der jeweiligen Einwilligungserklärung genannt. Rechtsgrundlage ist Artikel 88 DSGVO i.V.m. § 26 Absatz 2 BDSG2018.

3. Daten, die die Erteilung einer Einwilligung beweisen für drei Jahre aufbewahrt, wobei diese Frist am 31. Dezember des Kalenderjahres beginnt, in dem entweder die Einwilligung widerrufen wird oder die Daten aus anderen Gründen gelöscht werden. Zweck ist die Erfüllung einer rechtlichen Aufbewahrungsverpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(4) Ergänzend zu Absatz 1 gilt, dass der Verantwortliche den potenziellen Lieferanten die Wahl für ein Vorgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potentiellen Lieferanten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vorgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. (5) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an eine externe Steuerberatungskanzlei übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. Soweit Daten bei der Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings. (6) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche Daten aus der Buchhaltung an den Anbieter einer externen Buchhaltungssoftware übermittelt. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus der Erforderlichkeit der Wahrnehmung externer, steuerrechtlicher Beratung/Betreuung. (7) Ergänzend zu Absatz 2 gilt, dass der Verantwortliche den potenziellen Lieferanten die Wahl für ein Vertragsgespräch in Präsenz, per Telefon oder per Videokonferenz lässt. Falls sie sich für die Videokonferenz entscheiden, holt er die dafür erforderliche Einwilligung ein. Dabei wird der Einwilligungsstatus sowie der Name verarbeitet. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Für den Fall, dass die potenziellen Lieferanten einwilligen, führt er dann das Vorgespräch per Videokonferenz durch. Dabei werden Bild- und Tondaten verarbeitet. Zweck ist die Durchführung eines Vertragsgesprächs. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Auftragsverarbeiter und Dritte, die Daten erhalten
Die folgenden Drittanbieter erhalten personenbezogene Daten:

Drittanbieter: Es wird das Cloud-Tool „Microsoft365/OneDrive“ der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.microsoft.com/de-de/microsoft- 365/onedrive/online-cloud-storage Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn der Anbieter hat sich gemäß den EUStandardvertragsklauseln (vgl. Artikel 46 DSGVO) und den „Additional Safeguards Addendum to Standard Contractual Clauses“ verpflichtet. Drittanbieter: Es wird das Cloud-Tool „Google Drive/Google Workspace“ der Google Ireland Limited (Irland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass möglicherweise Daten an die Google LLC, etwa durch Wartung, übertragen werden könnten. Denn einerseits ist dies vertraglich ausgeschlossen und andererseits erfolgt die Verarbeitung der personenbezogenen Daten nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO).

Drittanbieter: Es wird das ERP- bzw. CRM-System „Hubspot der er HubSpot, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.hubspot.de/products/crm?. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.

Drittanbieter: Es wird das Terminbuchung-Tool „HubSpot“ der HubSpot, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.hubspot.de/products/sales/schedule-meeting. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.

Drittanbieter: Es wird das Terminbuchung-Tool „Calendly“ der Calendly LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://calendly.com/features. Dem Einsatz dieses Drittanbieters steht nicht entgegen, dass dieser seinen Sitz außerhalb der EU hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.

Drittanbieter: Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://zoom.us/webinar. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn die Verarbeitung der personenbezogenen Daten erfolgt nur, wenn die Betroffenen der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Insoweit sind die oben genannten Risikohinweise maßgeblich.

Drittanbieter: Es wird das Buchhaltungs-Tool „easybill“ der easybill GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.easybill.de/funktionen.

Drittanbieter: Es wird das Buchhaltungs-Tool „getmyinvoices“ der fino data services GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.getmyinvoices.com/de (unter dem Reiter „Funktionen“).

Drittanbieter: Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt. Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass die ggf. außerhalb der EU verarbeitet werden, etwa unter Mitwirkung der Slack Technologies Inc. (USA). Denn die Slack Technologies Inc. hat sich gemäß Artikel 46 DSGVO verpflichtet.

Drittanbieter: Es wird das Kollaborations-Tool „Monday.com“ der Monday.com Ltd. (Israel) eingesetzt. er Verarbeitung steht auch nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Eine etwaige, dahin stattfindende Übermittlung ist durch Artikel 45 DSGVO gerechtfertigt.

Drittanbieter: Es wird das Automatisierungs-Tool „KlickTipp“ der KLICK-TIPP LIMITED (England) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://www.klick-tipp.com/handbuch. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt. Denn der Anbieter sitzt in einem Land, für das die EU-Kommission beschlossen hat, dass es ein angemessenes Schutzniveau bietet (vgl. Artikel 45 DSGVO).

Drittanbieter: Es wird das Automatisierungs-Tool „Intercom“ der SendGrid, Inc. (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Näheres zur Art und Weise der Verarbeitung bei diesem Drittanbieter ist hier beschrieben: https://sendgrid.com/solutions/email-marketing/automation/. Der Verarbeitung steht nicht entgegen, dass der Anbieter außerhalb der Europäischen Union sitzt.Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet. Datenverarbeitung und Drittanbieter im Detail: Wir setzen das Kommunikationstool „Wowing“ ein. Anbieter ist die PSP Pauli Services & Products GmbH, Nelkenweg 3, 73269 Hochdorf. Wir haben diesen Anbieter beauftragt an Ihre E-Mail-Adresse ggf. kurze Videobotschaften, die wir aufgenommen haben, zu senden. Näheres zum Funktionsumfang finden Sie hier: www.wowing.io.