Datenschutzinformation für die Webseite

Datenschutzinformation für Geschäftspartner

gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO)

Ausschließlich aus Gründen der besseren Lesbarkeit wird auf die
gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers
(m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten
gleichermaßen für alle Geschlechter.

Vorbemerkung

Mit dieser Datenschutzinformation informieren wir, die Pohl
Consulting Team GmbH mit Sitz in der Mengeringhäuser Straße 15, 34454
Bad Arolsen (nachfolgend auch „PCT“, „wir“ oder „uns“), unsere
Geschäftspartner über die Verarbeitung ihrer personenbezogenen Daten
und die ihnen als Betroffene der Datenverarbeitung nach den
Datenschutzbestimmungen zustehenden Rechte.

Betroffene unserer Datenverarbeitungstätigkeiten und Adressaten
dieser Datenschutzinformation sind mit Hinblick auf die Verarbeitung
von personenbezogenen Daten insbesondere Kunden und Interessenten sowie
die Beschäftigten unserer (potenziellen) Geschäftspartner, unserer
(potenziellen) Projekt-, Kooperations- und Vertragspartner, unserer
(potenziellen) Dienstleister, Lieferanten sowie sonstiger Unternehmen,
die mit uns interagieren und unser Unternehmen besuchen (nachfolgend
auch „Geschäftspartner“ oder „Betroffene“)

Personenbezogene Daten, die die PCT im Auftrag eines
Verantwortlichen verarbeitet, sind nicht Bestandteil dieser
Datenschutzinformation.

1. Verantwortliche für die Datenverarbeitung &
Datenschutzbeauftragter

1.1 Gemeinsam Verantwortliche für die Datenverarbeitung sind

1.2 Datenschutzbeauftragter

2. Welche Daten nutzen wir und wie erheben wir diese?

Wir verarbeiten hauptsächlich diejenigen Daten, die wir im
Zusammenhang mit der Begründung, Durchführung und/oder Beendigung der
Geschäftsbeziehung direkt von Ihnen (z. B. im Rahmen einer
Angebotsanfrage, Auftragserteilung oder Vertragsbeziehung sowie durch
sonstige Kontaktaufnahme über unsere Webseite, per E-Mail oder Telefon,
bei Messen oder vergleichbaren Veranstaltungen) erhalten.

Insofern wir Daten über einen Dritten (z. B. über einen Kollegen der
betroffenen Person, der diese als Ansprechpartner nennt), teilen wir
die Quelle bei der ersten Kommunikation mit.

Darüber hinaus verarbeiten wir – soweit erforderlich –
personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.
B. Handels- und Vereinsregister, Presse, Internet) zulässigerweise
gewinnen oder die uns von anderen Unternehmen unserer Gruppenmitglieder
oder von sonstigen Dritten (z. B. einer Kreditauskunftei) berechtigt
übermittelt werden.

Zu den von uns verarbeiteten personenbezogenen Daten zählen:

• • Personen-/Kontaktdaten (z. B. Anrede, Vorname, Nachname,
    Geschlecht, ggf. Firma, (Firmen-)Adresse, (Mobil-)Telefonnummer,
    Telefax, E-Mail, Beruf, Position, Titel, akademischer Grad)
  • Kundendaten (z. B. Kundenart, Kundennummer, Branche,
    Kaufverhalten, Liefer- und Zahlungsdaten, Daten zu gekauften Waren und
    Dienstleistungen)
  • Bei Mandatsträgern: Informationen zum Mandat,
    Handelsregistereintrag, Geburtsdatum, private Adresse
  • Teilnahmedaten an firmeninternen Veranstaltungen
  • Aufzeichnungen zu Geschäftsvorgängen,
    Geschäftspartnerhistorie, Projektdetails sowie Kommunikationsdaten im
    Zusammenhang mit Korrespondenz (E-Mails, Briefverkehr, Telefonate)
  • Vertrags- und Abrechnungsdaten (z. B. Bankverbindung, ggf.
    Kreditkarteninformationen, Steuer-Nummer/USt-Id., Rechnungsdaten,
    Auftragsdaten)
  • Daten aus der Erfüllung unserer vertraglichen Verpflichtungen
    (z. B. Umsatzdaten im Zahlungsverkehr)
  • Legitimationsdaten (z. B. Ausweispapiere) und
    Authentifikationsdaten (z. B. Unterschriftenprobe)
  • Informationen über Ihre finanzielle Situation (z. B.
    Bonitätsdaten)
  • Informationen, aus öffentlich verfügbaren Quellen und
    Informationsdatenbanken (z. B. Handelsregisterauszug)
  • Marketinginformationen (Kontakt- und Produktpräferenzen)
  • Je nach Geschäftsgegenstand ggf. auch Benutzerkennungen für
    geschützte Bereiche auf Systemen
  • Bezogen auf Social-Media-Aktivitäten: Die von ihnen
    mitgeteilten Daten bei Interaktion z. B, Kommentare zu Beiträgen;
    „Gefällt mir“-Markierungen, Folgen“-Funktion, Direktnachrichten, alle
    Informationen, die Sie in ihrem Profil angeben;
  • Daten im Rahmen der Verwaltung und Sicherheit der IT-Systeme
    und im Zusammenhang mit IT-Analysen, Fernwartungen und
    Fehlerbehebungen, wie etwa IP-Adresse, Geräteinformationen,
    Benutzername, Ereignis-, Anruf-, Chat- und Nutzungsprotokolle,
    Informationen zum Benutzerkonto und im Zusammenhang mit der
    Benutzerkontoverwaltung und -administration;
  • Daten im Zusammenhang mit Sicherheitsmaßnahmen, wie etwa bei
    Zutrittskontrollen;
  • Sowie ggf. weitere Daten, die wir im Zusammenhang mit der
    potenziellen oder bestehenden Geschäftsbeziehung verarbeiten und von
    Ihnen übermittelt werden.

3. Für welche Zwecke und auf welcher Rechtsgrundlage verarbeiten
wir Ihre Daten?

Wir verarbeiten personenbezogene Daten unter Beachtung der
Datenschutzgesetze, insbesondere der Datenschutzgrundverordnung (DSGVO)
und dem Bundesdatenschutzgesetz (BDSG).

a) Aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von
personenbezogen Daten für bestimmte Zwecke gegeben haben, ist die
Rechtmäßigkeit dieser Verarbeitung auf Basis ihrer Einwilligung
gegeben. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die
Zukunft widerrufen werden. Dies gilt auch für den Widerruf von
Einwilligungserklärungen, die vor der Geltung der DSGVO uns gegenüber
erteilt wurden. Bitte beachten Sie, dass der Widerruf erst für die
Zukunft wirkt, Verarbeitungen, die vor dem Widerruf erfolgt sind, sind
davon nicht betroffen.

Verarbeitungen auf Basis Ihrer Einwilligung erfolgen z. B. zur
Durchführung von Kundenbefragungen, Marketingkampagnen, Marktanalysen,
Gewinnspielen, Wettbewerben oder ähnlichen Aktionen und Events oder zum
Versand von Newslettern.

Es kann vorkommen, dass wir zu einem späteren Zeitpunkt weitere
Daten von Ihnen erheben bzw. auf andere Weise nutzen möchten. Sollte
dieser Fall eintreten, werden wir Sie um Ihre Einwilligung gem. Art. 6
Abs. 1 lit. a i. V. m. Art. 7 DSGVO bitten und Sie entsprechend
informieren. Sofern Sie uns diese Einwilligung erteilen, kann diese
jederzeit formlos widerrufen werden.

b) Im Rahmen der Erfüllung eines Vertrages oder zur Durchführung
vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Wir verarbeiten Ihre personenbezogenen Daten in erster Linie zur
Begründung, Durchführung und Beendigung der Geschäftsbeziehung, mithin
zur Erfüllung vertraglicher Verpflichtungen und der Erbringung der
damit zusammenhängenden Leistungen oder im Rahmen einer entsprechenden
Vertragsanbahnung z. B. für Vertragsverhandlungen, zur
Angebotserstellung oder für den elektronischen Zahlungsverkehr mittels
z. B. Online-Banking oder PayPal zum Ausgleich von Verbindlichkeiten.
Die konkreten Zwecke richten sich hierbei nach der jeweiligen Leistung
oder dem Produkt, auf welches sich die Geschäftsbeziehung oder die
Vertragsanbahnung bezieht.

c) Zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit.
c DSGVO)

Wir verarbeiten Ihre Daten zur Erfüllung von rechtlichen
Verpflichtungen z. B. zur Erfüllung steuerrechtlicher Kontroll- und
Meldepflichten, zur Erfüllung von gesellschafts-, datenschutz- und
zivilrechtlicher Verpflichtungen, bei Prüfungen durch Behörden und zur
Einhaltung der gesetzlichen Aufbewahrungsfristen. Darüber hinaus kann
die Offenlegung personenbezogener Daten aufgrund von behördlichen bzw.
gerichtlichen Maßnahmen zu Zwecken der Beweiserhebung, Strafverfolgung
oder Durchsetzung zivilrechtlicher Ansprüche erforderlich werden.

d) Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)

Soweit notwendig verarbeiten wir Ihre personenbezogenen Daten
innerhalb unserer Geschäftsbeziehungen aufgrund einer
Interessenabwägung, wonach die Verarbeitung zulässig ist, wenn sie zur
Wahrung der berechtigten Interessen von uns oder von Dritten
erforderlich ist und Interessen oder Grundrechte und Grundfreiheiten
der betroffenen Person, die den Schutz personenbezogener Daten
erfordern, nicht überwiegen. Folgende Verarbeitungen stützen wir dabei
auf die dazu bezeichneten berechtigten Interessen:

• Maßnahmen zur Gewährleistung der IT-Sicherheit
  (Anti-Spam-Prüfungen, Firewall, IDS, IPS, Nutzungsprotokollierung):
  Unser berechtigtes Interesse liegt in der Sicherstellung der
  Vertraulichkeit, Integrität und Verfügbarkeit der
  Unternehmens-IT-Systeme und von Unternehmens- und Kundendaten; in der
  Reduzierung von Betriebsunterbrechungen, finanziellen Schäden und
  Reputationsverlusten durch Schadsoftware, Cyberangriffe, Datenverluste,
  Systemausfälle; im Schutz der Daten (Dritter) vor Identitätsdiebstahl,
  unbefugten Zugriff, Missbrauch und Sabotage; in der Erfüllung
  gesetzlicher und regulatorischer IT-Sicherheitsanforderungen; in der
  Fehlerdiagnose und Störungsbehebung bei technischen Problemen; in der
  Nachvollziehbarkeit von Datenverarbeitungsaktivitäten.
• Maßnahmen zur Gewährleistung der IT-Sicherheit
  (Anti-Spam-Prüfungen, Firewall, IDS, IPS, Nutzungsprotokollierung):
  Unser berechtigtes Interesse liegt in der Sicherstellung der
  Vertraulichkeit, Integrität und Verfügbarkeit der
  Unternehmens-IT-Systeme und von Unternehmens- und Kundendaten; in der
  Reduzierung von Betriebsunterbrechungen, finanziellen Schäden und
  Reputationsverlusten durch Schadsoftware, Cyberangriffe, Datenverluste,
  Systemausfälle; im Schutz der Daten (Dritter) vor Identitätsdiebstahl,
  unbefugten Zugriff, Missbrauch und Sabotage; in der Erfüllung
  gesetzlicher und regulatorischer IT-Sicherheitsanforderungen; in der
  Fehlerdiagnose und Störungsbehebung bei technischen Problemen; in der
  Nachvollziehbarkeit von Datenverarbeitungsaktivitäten.
• Maßnahmen zur Sicherstellung und Wahrung des Hausrechts und zur
  Sammlung von Beweismitteln (Videoüberwachung): Unser berechtigtes
  Interesse liegt in der Prävention, Dokumentation und Aufklärung von
  Straftaten und Versicherungsfällen; in der Geltendmachung rechtlicher
  Ansprüche und Verteidigung bei rechtlichen Streitigkeiten; in Gebäude-
  und Anlagesicherheitsmaßnahmen, Objekt- und Diebstahlschutz.
• Maßnahmen zur Durchführung des Gebäude- und
  Sicherheitsmanagements (Besuchermanagement, Zutrittsverwaltung): Unser
  berechtigtes Interesse liegt in der Ermöglichung einer reibungslosen
  Organisation von Besuchen; in der Erhöhung der Sicherheit durch
  Kenntnis über anwesende Dritte im Gebäude (z. B. im Brand- oder
  Evakuierungsfall); in der Prävention eines unbefugten Zutritts des
  Betriebsgebäudes und sensibler Unternehmensbereiche; in der
  Sicherstellung einer geordneten Zutrittskontrolle zum Schutz von
  Personen, Daten und Unternehmenswerten; in der Kontrolle über den
  Verbleib von Zutrittsmitteln (Schlüsseln) und Nachvollziehbarkeit der
  Schlüsselvergabe; in der Absicherung gegenüber versicherungsrechtlichen
  und haftungsrechtlichen Anforderungen (z. B. bei Diebstahl oder
  Sabotage).
• Betrieb von Social-Media-Kanälen: Unser berechtigtes Interesse
  liegt in der Erweiterung der Reichweite und digitalen Präsenz; in der
  Verstärkung der Kundenbindung und Dialogförderung; in der Verbreitung
  relevanter Informationen zu Produkten, Leistungen, Stellenangeboten; in
  der Beobachtung und Evaluation von Nutzerinteraktionen zur Verbesserung
  der Kommunikationsstrategie; im Aufbau und in der Pflege von
  Geschäftsbeziehungen.
• Führen einer Kunden-Datenbank (CRM): Unser berechtigtes Interesse
  liegt in der systematischen Kundenbetreuung und -pflege; in der
  professionellen Abwicklung von Kundenkommunikation und Anfragen; in der
  Effizienzsteigerung in Vertriebs- und Marketingprozessen; in der
  Verbesserung der Kundenbindung durch individuelle Betreuung; in der
  Optimierung der Geschäftsprozesse; in der Verwaltung von Kunden-,
  Anbieter- und Geschäftspartnerverzeichnisse.
• Maßnahmen zur Gewährleistung der Betriebssicherheit und zur
  Geschäftssteuerung (Controlling, ERP): Unser berechtigtes Interesse
  liegt in der effizienten Planung, Steuerung und Kontrolle der
  Unternehmensaktivitäten; in der Sicherstellung einer wirtschaftlichen
  Unternehmensführung und eines effizienten Wertschöpfungsprozesses; in
  der rechtzeitigen und bedarfsgerechten Planung und Steuerung
  betrieblicher Ressourcen; in der frühzeitigen Erkennung von Risiken und
  Handlungsbedarf; in der Optimierung von Entscheidungsprozessen und
  Automatisierung zentraler Geschäftsprozesse.
• Maßnahmen zur Gewährleistung der Betriebssicherheit und zur
  Geschäftssteuerung (Controlling, ERP): Unser berechtigtes Interesse
  liegt in der effizienten Planung, Steuerung und Kontrolle der
  Unternehmensaktivitäten; in der Sicherstellung einer wirtschaftlichen
  Unternehmensführung und eines effizienten Wertschöpfungsprozesses; in
  der rechtzeitigen und bedarfsgerechten Planung und Steuerung
  betrieblicher Ressourcen; in der frühzeitigen Erkennung von Risiken und
  Handlungsbedarf; in der Optimierung von Entscheidungsprozessen und
  Automatisierung zentraler Geschäftsprozesse.
• Maßnahmen zur Unternehmenskommunikation: Unser berechtigtes
  Interesse liegt in der Aufrechterhaltung einer reibungslosen
  Kommunikation mit Kunden, Geschäftspartnern und innerhalb des
  Unternehmens; in der Sicherstellung der Erreichbarkeit von Mitarbeitern
  und Ansprechpartnern; in der effizienten Organisation von Terminen; in
  einer schnellen Reaktionsfähigkeit auf Anfragen und Geschäftsvorfälle;
  in der Fehlerdiagnose und Wartung im Störungsfall (z. B. bei Problemen
  mit der Telefonanlage).

4. Inwiefern führt die PCT Risikoprüfungen durch und arbeitet mit
Auskunfteien zusammen?

Die PCT führt ggf. vor Vertragsabschluss eine Risikoprüfung durch,
wenn sie Leistungen erbringen soll, die erst später vergütet werden.
Zweck ist, sich vor Zahlungsausfällen zu schützen. Zur Prüfung
verwenden wir Daten zu Ihrer Person und Zahlungserfahrungen aus
bestehenden Verträgen. Dabei handelt es sich um Angaben wie Name,
Adresse, Geburtsdatum und Kundennummer, die Laufzeit Ihrer Verträge,
Ihre Auftragshistorie, Zahlungsabwicklungen und Umsatzzahlen. Sollten
Informationen unseres Konzerns für eine Prüfung nicht ausreichen, holen
wir auch Auskünfte von Auskunfteien und Inkassounternehmen ein. Dazu
übermitteln wir an diese Namen, Adresse, Geburtsdatum und IBAN. Falls
wir Daten von Auskunfteien oder Inkassounternehmen erhalten, nutzen wir
im Bedarfsfall zusätzlich das Scoring. Dabei wird die
Wahrscheinlichkeit berechnet, mit der ein Kunde seinen
Zahlungsverpflichtungen vertragsgemäß nachkommen wird. Das Scoring
beruht auf einem mathematisch-statistisch anerkannten und bewährten
Verfahren. Das Ergebnis der Risikoprüfung speichern wir für ein Jahr.

Rechtsgrundlage dieser Datenverarbeitungen ist Art. 6 Abs. 1 lit. f
DSGVO. Unser berechtigtes Interesse liegt darin, sich vor
Zahlungsausfällen und wirtschaftlichen Risiken wie Betrug und
Zahlungsausfällen zu schützen, insbesondere wenn es in Vorleistung
geht; die Zahlungsfähigkeiten neuer oder bestehender Vertragspartner
einzuschätzen und über Vertragskonditionen zu entscheiden.

Mit folgenden Wirtschaftsauskunfteien arbeiten wir zusammen:
Creditreform Kassel / Fulda Schlegel & Busold KG.

5. Wer bekommt Ihre Daten?

Innerhalb unseres Unternehmens haben grundsätzlich nur diejenigen
Personen Zugriff auf Ihre Daten, die diese zur Begründung, Durchführung
und Beendigung unserer Geschäftsbeziehung bzw. zur Erfüllung unserer
vertraglichen und gesetzlichen Pflichten sowie zur Durchführung unserer
internen Prozesse brauchen (z. B. Vertrieb, Einkauf, Logistik,
Finanzbuchhaltung). Dabei kann es sich auch um mehrere Abteilungen in
unserem Hause handeln, abhängig davon, welche Leistungen oder Produkte
Sie von uns beziehen. Weiterhin hat unsere IT-Abteilung zur
ausschließlich technischen Verarbeitung Zugriff auf Ihre Daten.

Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen,
können im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO zu
diesem Zweck Daten von Ihnen erhalten.

Im Rahmen der Verarbeitung Ihrer Aufträge oder zur Vertragserfüllung
ist es zum Teil erforderlich, dass wir bestimmte Daten an unsere
entsprechenden Lieferanten, Hersteller oder Distributoren oder
übermitteln, die ihren Sitz in Deutschland, dem europäischen Ausland
bzw. dem europäischen Wirtschaftsraum haben. Dabei handelt es sich z.
B. um Ihren Namen, ggf. Ihren Vornamen und Ihre
Organisationszugehörigkeit sowie Ihre Kontaktdaten in Ihrer
Organisation.

Weiterhin werden Ihre Daten im Rahmen einer gemeinsamen
Verantwortung im Bedarfsfall innerhalb unserer verbundenen Unternehmen
weitergegeben. Detaillierte Informationen dazu finden Sie in Anlage 1.

Insofern ein elektronischer Zahlungsverkehr stattfindet, um
gegebenenfalls noch beleghaft eingereichte Zahlungsaufträge auf EDV-
Medien zu erfassen und den Verrechnungsverkehr zwischen den
Kreditinstituten oder Zahlungsdienstleistern im beleglosen
Datenträgeraustauschverfahren abzuwickeln, erhalten die zuständigen
Mitarbeiter/Abteilungen im Unternehmen (Buchhaltung), das zuständige
Geldinstitut oder div. Zahlungsdienstleister wie PayPal Ihre dazu
erforderlichen Daten.

Im Rahmen einer Social-Media-Interaktion erhalten die Anbieter der
Plattform ebenfalls Ihre Daten.

Eine Datenweitergabe außerhalb des Unternehmens erfolgt ansonsten
nur, wenn gesetzliche Bestimmungen dies erfordern oder Sie eingewilligt
haben. So müssen wir z. B. unter Umständen im Rahmen unserer
gesetzlichen Verpflichtungen bestimmte Daten gegenüber entsprechend
berechtigten (öffentlichen) Stellen und Institutionen wie der
Finanzbehörde offenlegen.

6. Werden Daten in ein Drittland oder an eine internationale
Organisation übermittelt?

Grundsätzlich werden Ihre personenbezogenen Daten ausschließlich
innerhalb Deutschlands, der Europäischen Union und des Europäischen
Wirtschaftsraums („EWR“) verarbeitet, wo die Bestimmungen der DSGVO
gelten. Eine Datenübermittlung an Länder, Staaten oder internationale
Organisationen außerhalb des EWR („Drittstaat“) findet i. d. R. nicht
statt.

Insofern jedoch einer unserer Dienstleister oder die Dienstleister
ggf. ebenfalls Dienstleister nutzen, die ihren Firmensitz,
Mutterkonzern oder Rechenzentren in einem Drittstaat haben, übermittelt
die PCT Ihre personenbezogenen Daten möglicherweise in ein sogenanntes
Drittland, in dem die DSGVO-Bestimmungen nicht gelten. Eine
Datenübermittlung in Drittstaaten wird in solchen Fällen nur
durchgeführt, sofern die Bedingungen des Kapitels 5 (Art. 44 – 50) der
DSGVO sowie die sonstigen Bestimmungen der DSGVO umgesetzt und
eingehalten werden.

Dies betrifft vor allem den Anbieter für unser unternehmensweites
Kommunikationssystem (Microsoft) und für unsere Firewall bzw. für unser
IDS/IPS.

Zwar achten wir darauf, dass dabei möglichst Server innerhalb von
Deutschland und der EU für die Speicherung der Daten verwendet werden,
es kann jedoch nicht ausgeschlossen werden, dass Ihre Daten in diesem
Zusammenhang in ein Drittland (z. B. die USA) weitergegeben und dort
verarbeitet werden.

Wir haben mit all unseren derartigen Dienstleistern entsprechende
Verträge geschlossen und zudem vertraglich vereinbart, dass auch mit
deren Vertragspartnern immer Garantien gemäß Kapitel 5 (Art. 44 – 50)
der DSGVO zum Datenschutz unter Einhaltung des europäischen
Datenschutzniveaus bestehen müssen. Auf Anfrage stellen wir Ihnen eine
Kopie dieser Garantien zur Verfügung.

7. Wie lange werden Ihre Daten gespeichert?

Wir verarbeiten und speichern Ihre Daten solange es zur Erfüllung
der unter Abschnitt 3 genannten Zwecke erforderlich ist und solange
dies für Begründung, Durchführung und Beendigung unserer
Geschäftsbeziehung bzw. für die Erfüllung unserer (vor-)vertraglichen
und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten,
dass viele unserer Geschäftsbeziehungen langfristig ausgerichtet sind.
Sind die Daten für diese vertraglichen oder gesetzlichen Pflichten
nicht mehr erforderlich, werden diese regelmäßig gelöscht bzw.
vernichtet, es sei denn, deren – befristete – Weiterverarbeitung ist
erforderlich zu folgenden Zwecken:

• • Erfüllung handels- und steuerrechtlicher
  Aufbewahrungspflichten, die sich z.B. ergeben können aus:
  Handelsgesetzbuch (HGB), Abgabenordnung (AO), Geldwäschegesetz (GwG).
  Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation
  betragen in der Regel zwei bis zehn Jahre. Fristen zur Aufbewahrung
  bzw. Dokumentation betragen beispielsweise bei Buchungsbelegen zehn
  Jahre und bei Handels- oder Geschäftsbriefen sechs Jahre.
• • Erhaltung von Beweismitteln im Rahmen der gesetzlichen
  Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen
  Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre
  betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Sofern die Datenverarbeitung im berechtigten Interesse von uns oder
einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht,
sobald dieses Interesse nicht mehr besteht und sofern dem keine
Aufbewahrungs- und Dokumentationspflichten entgegenstehen.

Personenbezogene Daten, die auf Basis von Einwilligungen erhoben
wurden, werden bis zum Widerruf der Einwilligung verarbeitet. Der
Widerruf einer Einwilligung berührt nicht die Rechtmäßigkeit der bis
zum Widerruf verarbeiteten Daten.

8. Welche Rechte haben Sie?

Jede betroffene Person hat das Recht auf Auskunft gem. Art. 15
DSGVO, das Recht auf Berichtigung gem. Art. 16 DSGVO, das Recht auf
Löschung gem. Art. 17 DSGVO, das Recht auf Einschränkung der
Verarbeitung gem. Art. 18 DSGVO, das Recht auf Mitteilung gem. Art. 19
DSGVO sowie das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO.

Darüber hinaus besteht ein Beschwerderecht bei einer
Datenschutzaufsichtsbehörde gem. Art. 77 DSGVO, wenn Sie der Ansicht
sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht
rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines
anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
Die für uns zuständige Datenschutzaufsichtsbehörde erreichen Sie unter:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit,
Postfach 3163, 65021 Wiesbaden, Telefon: +49 611 1408 0.

Darüber hinaus besteht ein Beschwerderecht bei einer
Datenschutzaufsichtsbehörde gem. Art. 77 DSGVO, wenn Sie der Ansicht
sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht
rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines
anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
Die für uns zuständige Datenschutzaufsichtsbehörde erreichen Sie unter:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit,
Postfach 3163, 65021 Wiesbaden, Telefon: +49 611 1408 0.

Soweit die Verarbeitung Ihrer personenbezogenen Daten gem. Art. 6
Abs. 1 Satz 1 lit. f DSGVO zur Wahrung berechtigter Interessen erfolgt,
haben Sie darüber hinaus gem. Art. 21 DSGVO das Recht, aus Gründen, die
sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch
gegen die Verarbeitung dieser personenbezogenen Daten einzulegen. Wir
verarbeiten diese personenbezogenen Daten dann nicht mehr, es sei denn,
es bestehen zwingende schutzwürdige Gründe für die Verarbeitung. Diese
müssen Ihre Interessen, Rechte und Freiheiten überwiegen, oder die
Verarbeitung muss der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen dienen.

Um Ihre Rechte geltend zu machen oder sofern Sie weitere Fragen zur
Datenverarbeitung haben, können Sie sich unter den in Abschnitt 1
dieser Datenschutzinformation angegebenen Kontaktdaten an unseren
Datenschutzbeauftragten wenden.

9. Gibt es eine Pflicht zur Bereitstellung von Daten?

Die Bereitstellung Ihrer personenbezogenen Daten zur Begründung und
Durchführung der Geschäftsbeziehung ist weder gesetzlich noch
vertraglich vorgeschrieben, noch sind Sie verpflichtet, diese Daten
bereitzustellen.

Die Bereitstellung Ihrer personenbezogenen Daten zur Begründung und
Durchführung der Geschäftsbeziehung ist weder gesetzlich noch
vertraglich vorgeschrieben, noch sind Sie verpflichtet, diese Daten
bereitzustellen.

Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages
oder die Ausführung des Auftrages ablehnen müssen oder einen
bestehenden Vertrag nicht mehr durchführen können und ggf. beenden
müssen.

Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages
oder die Ausführung des Auftrages ablehnen müssen oder einen
bestehenden Vertrag nicht mehr durchführen können und ggf. beenden
müssen.

10. Findet eine automatisierte Entscheidungsfindung oder ein
Profiling statt?

Zur Begründung, Durchführung und Beendigung der Geschäftsbeziehung
nutzen wir keine automatische Entscheidungsfindung gem. Art. 22 DSGVO.
Ein Profiling findet bei uns grundsätzlich ebenfalls nicht statt.

Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir
Sie hierüber und über Ihre diesbezüglichen Rechte gesondert
informieren, sofern dies gesetzlich vorgegeben ist.

Anlagen

Anlage 1: Datenschutzinformation zur gemeinsamen Verantwortlichkeit
gem. Art. 26 Abs. 2 DSGVO

Anlage 2: Verantwortliche B

Anlage 1: Datenschutzinformation zur gemeinsamen Verantwortlichkeit

gem. Art. 26 Abs. 2 DSGVO

1. Präambel

Zwischen den Verantwortlichen besteht in den Bereichen Kundendaten
und Marketing eine Zusammenarbeit gem. Art. 26 DSGVO i. V. m. Art. 4
Nr. 7 DSGVO (Zusammenarbeit zweier oder mehrerer Verantwortlicher bei
der Verarbeitung personenbezogener Daten). Da es im Rahmen dieser
Zusammenarbeit möglich oder notwendig ist, dass die gemeinsam
Verantwortlichen Zugriff auf ihre personenbezogenen Daten erhalten,
sind diese bezüglich der nachfolgend beschriebenen Prozesse gemeinsam
für den Schutz ihrer personenbezogenen Daten verantwortlich.
Nachfolgend werden weiterhin die wesentlichen Inhalte der Vereinbarung
zwischen den Verantwortlichen zur Erfüllung ihrer Pflichten gemäß der
DSGVO dargestellt.

2. Allgemeine Angaben

2.1 Gemeinsam Verantwortliche

2.2 Zwecke und Beschreibung der Verarbeitung

Die Verarbeitung dient dem Zweck der geordneten Verarbeitung der
Kundendaten von der Kontaktaufnahme durch die Verantwortlichen oder den
Betroffenen mittels üblicher Methoden (u. a. Kontaktformular Website)
über die Abwicklung des Auftrags bis zur Abrechnung und der folgenden
Kundenpflege sowie allen weiteren relevanten Tätigkeiten bezogen auf
Kunden. Diese sind unter anderem, jedoch nicht abschließend:
Ausschreibungen, Bonitätsprüfungen, CRM, Treueprogramme,
Kundenbefragungen, Kundenmailings und Kundenschulungen.

Darüber hinaus dient die Verarbeitung für gemeinsame Tätigkeiten im
Bereich Marketing. Diese umfassen alle relevanten Tätigkeiten im Rahmen
des Marketings, insbesondere aller Aktivitäten, die den Absatz durch
Veranstaltungen, Kontakt mit Kunden und Interessenten, Werbung,
Beobachtung und Lenkung des Marktes sowie durch entsprechende Steuerung
fördern. Dies sind unter anderem, jedoch nicht abschließend:
Gewinnspiele, Messen, Kundenveranstaltungen, Newsletterversand, Social
Media, Website mit Webtracking, Webshops, Publikationen.

Die Parteien führen in allen relevanten Bereichen des
Tätigkeitsbereich Kundendaten und Marketing eine intensive
Zusammenarbeit durch. Es ist jedoch festzuhalten, dass keine
übergreifende zentrale Kunden- und Marketingabteilung für die Parteien
zusammen besteht. Die Parteien verfügen mitunter über eigene
diesbezügliche Stellen bzw. Abteilungen. Bei der Zusammenarbeit ist
keine stringente Trennung gegeben. Aus unterschiedlichen Gründen werden
Bereiche beim jeweiligen Partner mitverarbeitet.

3. Betroffene Personengruppen

Betroffene Personengruppen finden sich oben unter Abschnitt 2 im
Hauptdokument.

4. Kategorien von personenbezogenen Daten

Kategorien von personenbezogenen Daten finden sich oben unter
Abschnitt 3 im Hauptdokument.

5. Gemeinsame Verantwortlichkeit und Zuordnung der Zuständigkeiten
bei Prozessabschnitten

Auch wenn eine gemeinsame Verantwortlichkeit besteht, haben die
Verantwortlichen die datenschutzrechtlichen Pflichten entsprechend
ihrer jeweiligen Zuständigkeit für die einzelnen, nachfolgend
dargestellten, Prozessabschnitte zu erfüllen.

5.1 Im Rahmen der gemeinsamen Verantwortlichkeit ist der
Verantwortliche A für die Verarbeitung personenbezogener Daten bei den
folgenden Prozessabschnitten zuständig:

• Erhebung der Daten: Erhebung der jeweils projektbezogenen
  personenbezogenen Daten der entsprechenden Betroffenengruppen;
  Informationspflichten gem. Art. 13, 14 und 26 Abs. 2 Satz 2 DSGVO.
• Speicherung der Daten: Speicherung der Daten in eigenen Systemen.
• Verarbeitung / Nutzung der Daten: Erfassung und Bearbeitung /
  Auswertung der Daten der oben benannten Personengruppen. Weitergabe der
  Daten an die entsprechenden Abteilungen der Verantwortlichen s. unter
  Anlage 2 bzw. an Dritte in Form einzubeziehender Dienstleister für die
  Betreuung von Kunden, Kunden- und Messeveranstaltungen, für den
  Newsletterversand und Social Media Anbieter und sonstige
  Marketingaktivitäten. Ausdrucken, Kopieren, Archivieren, Löschen und
  Vernichten der Daten und Unterlagen im Rahmen der gesetzlichen Vorgaben.

5.2 Im Rahmen der gemeinsamen Verantwortlichkeit ist der
Verantwortliche B für die Verarbeitung personenbezogener Daten bei den
folgenden Prozessabschnitten zuständig:

• Erhebung der Daten: Erhebung der jeweils projektbezogenen
  personenbezogenen Daten der entsprechenden Betroffenengruppen;
  Informationspflichten gem. Art. 13, 14 und 26 Abs. 2 Satz 2 DSGVO.
• Speicherung der Daten: Speicherung der Daten in eigenen Systemen.
• Verarbeitung / Nutzung der Daten: Erfassung und Bearbeitung /
  Auswertung der Daten der oben benannten Personengruppen. Weitergabe der
  Daten an die entsprechenden Abteilungen der Verantwortlichen s. unter
  Anlage 2 bzw. an Dritte in Form einzubeziehender Dienstleister für die
  Betreuung von Kunden, Kunden- und Messeveranstaltungen, für den
  Newsletterversand und Social Media Anbieter und sonstige
  Marketingaktivitäten. Ausdrucken, Kopieren, Archivieren, Löschen und
  Vernichten der Daten und Unterlagen im Rahmen der gesetzlichen Vorgaben.

5.3 Für die nachfolgend dargestellten Prozessabschnitte sind die
Verantwortlichen gemeinsam zuständig:

• Festlegung des Zweckes der Datenverarbeitung (DV), Festlegung der
  betroffenen Kategorien personenbezogener Daten, Gewährleistung der
  Betroffenenrechte gem. Art. 15, 16, 17, 18, 19, 20 und 21 DSGVO,
  Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  gem. Art. 32 DSGVO, Risikobewertung und (falls erforderlich)
  Durchführung von Datenschutzfolgeabschätzungen (DSFA) gem. Art. 35
  DSGVO, sowie Abstimmung mit den Aufsichtsbehörden, Bewertung und
  Überwachung von Auftragsverarbeitern gem. Art. 28 DSGVO, Bereitstellung
  und Dokumentation von Verarbeitungsverzeichnissen (VVZ) gem. Art. 30
  DSGVO, Bewertung und Kommunikation bei Datenschutzverletzungen gem.
  Art. 33, 34 DSGVO.

6. Vereinbarungen der Verantwortlichen bzgl. ihrer
datenschutzrechtlichen Pflichten

6.1 Informationspflichten gem. Art. 13 und 14 DSGVO

Entsprechend den vertraglichen Vereinbarungen stellen die
Verantwortlichen den betroffenen Personen die gem. Art. 13 und 14 DSGVO
erforderlichen Informationen in transparenter und leicht verständlicher
Form zur Verfügung. Hierbei lässt jeder Verantwortliche dem anderen
Verantwortlichen sämtliche dafür notwendigen Informationen aus seinem
Wirkungsbereich zukommen.

6.2 Anlaufstelle für die Geltendmachung von Betroffenenrechten
gemäß DSGVO

Die Verantwortlichen können eine Anlaufstelle benennen, an die sich
Betroffene wenden können, um ihre Rechte gemäß der DSGVO geltend zu
machen. Unabhängig von dieser Vereinbarung können betroffene Personen
ihre Rechte gem. Art. 26 Absatz 3 DSGVO grundsätzlich immer gegenüber
jedem der Verantwortlichen geltend machen. Die Verantwortlichen
informieren sich unverzüglich gegenseitig über von Betroffenen geltend
gemachten Ansprüche, und stellen einander alle für die Bearbeitung
notwendigen Informationen zur Verfügung.

6.3 Technische und organisatorische Maßnahmen

Die Verantwortlichen haben vereinbart, alle gesetzlichen Vorgaben
gem. Art. 32 DSGVO mithilfe von geeigneten technischen und
organisatorischen Maßnahmen zu erfüllen, um ein angemessenes
Schutzniveau für die Verarbeitung personenbezogenen Daten gewährleisten
zu können.

6.4 Weitere datenschutzrechtliche Verpflichtungen gemäß DSGVO

Die Verantwortlichen haben sich verpflichtet, sich gegenseitig bei
der Einhaltung der vertraglich vereinbarten Festlegungen sowie aller
anwendbaren datenschutzrechtlichen Bestimmungen gegenseitig zu
unterstützen und entsprechend abzustimmen. Insbesondere betrifft dies
die folgenden Bereiche:

• Maßnahmen bei etwaigen Datenschutzverletzungen;
• Zusammenarbeit mit den zuständigen Datenschutzbehörden;
• Zusammenarbeit mit den zuständigen Datenschutzbehörden;
• Abstimmung bei etwaigen Löschungen personenbezogener Daten
  (gesetzliche Aufbewahrungsfristen, etc.);
• Abstimmung bei etwaigen Löschungen personenbezogener Daten
  (gesetzliche Aufbewahrungsfristen, etc.);
• Zusammenarbeit mit den jeweiligen Datenschutzbeauftragten;
• Verpflichtung aller mit der Datenverarbeitung beschäftigen
  Personen zur Wahrung der Vertraulichkeit.

Anlage 2: Verantwortliche B

Datenschutzinformation für Bewerber

gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO)

Ausschließlich aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Sehr geehrter Bewerber,

wir freuen uns über Ihr Interesse an unserem Unternehmen. Gemäß den datenschutzrechtlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung, möchten wir Sie im Folgenden über die Verarbeitung Ihrer personenbezogenen Daten durch die Pohl Consulting Team GmbH mit Sitz in der Mengeringhäuser Straße 15, 34454 Bad Arolsen (nachfolgend auch „PCT“, „wir“ oder „uns“) im Rahmen des Bewerbungsprozesses und Ihre diesbezüglichen Rechte informieren.

1. Verantwortliche für die Datenverarbeitung & Datenschutzbeauftragter

1.1 Gemeinsam Verantwortliche für die Datenverarbeitung sind

1.2 Datenschutzbeauftragter

2. Zwecke und Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit anwendbaren Gesetzen, vor allem der Datenschutz-Grundverordnung („DSGVO“), und dem Bundesdatenschutzgesetz („BDSG“), gestützt unter anderem auf die folgenden Rechtsgrundlagen:

• Für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses:
  Soweit erforderlich, verarbeiten wir Ihre personenbezogenen Daten vornehmlich zur Begründung eines Beschäftigungsverhältnisses (Art. 6 Abs. 1 Satz 1 lit. b, Art. 88 DSGVO in Verbindung mit § 26 Abs. 1 BDSG).
• Zur Wahrung berechtigter Interessen:
  Teilweise verarbeiten wir Ihre personenbezogenen Daten, um berechtigte Interessen von uns oder Dritten zu wahren. Ein berechtigtes Interesse besteht etwa dann, wenn Ihre personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen des Bewerbungsverfahrens (z. B. Geltendmachung oder Abwehr von Ansprüchen im Rahmen der Beweispflicht in einem Verfahren nach dem Allgemeinen Gleichbehandlungsgesetz (AGG)) erforderlich sind (Art. 6 Abs. 1 Satz 1 lit. f DSGVO).
• Auf Grundlage Ihrer Einwilligung:
  Sie können uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke, etwa zur Berücksichtigung Ihrer personenbezogenen Daten und Bewerbung für weitere relevante offene Stellen in der Zukunft, erteilen (Art. 6 Abs. 1 Satz 1 lit. a, Art. 9 Abs. 2 lit. a, Art. 88 DSGVO in Verbindung mit § 26 Abs. 2 BDSG). Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 8 dieser Datenschutzinformation).
• Für Zwecke des Beschäftigungsverhältnisses:
  Kommt es zu einem Beschäftigungsverhältnis zwischen Ihnen und uns, werden wir gemäß Art. 88 DSGVO in Verbindung mit § 26 Abs. 1 BDSG die bereits von Ihnen erhaltenen personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses weiterverarbeiten, soweit dies für die Anbahnung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung bzw. Erfüllung der sich aus einem Gesetz ergebenden Rechte und Pflichten erforderlich ist.

3. Kategorien personenbezogener Daten

Wir verarbeiten nur solche Daten, die im Zusammenhang mit Ihrer Bewerbung und einem Vorstellungsgespräch stehen. Diese können unter anderem die folgenden personenbezogenen Daten bzw. Datenkategorien betreffen:

• Personenbezogene Angaben und Kontaktinformationen: z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und -ort, Geschlecht, Ehestand und Staatsangehörigkeit, Visa und Arbeitserlaubnis (soweit erforderlich), Bankverbindung (zur Erstattung von Reisekosten), interne Aufzeichnungen über das Vorstellungsgespräch;
• Besondere Kategorien personenbezogener Daten: z. B. Angaben zum Familienstand, die Rückschlüsse über Ihre sexuelle Orientierung erlauben können; Angaben zu Ihrer Gesundheit wie etwa Schwerbehindertenstatus; Fotos, die Rückschlüsse auf Ihre ethnische Herkunft und ggf. Ihre Sehkraft und/oder Religion erlauben;
• Ausbildungs-, Leistungs- und Beschäftigungsdaten: z. B. Angaben zu Ihrer beruflichen Qualifikation und Schulausbildung, Angaben zur beruflichen Weiterbildung, Zeugnisse;
• Sonstige Bewerbungsunterlagen: z. B. Bewerbungsschreiben, Lebenslauf, Foto;
• Sowie ggf. weitere Daten, die Sie uns im Zusammenhang mit Ihrer Bewerbung und im Vorstellungsgespräch übermitteln.

Die Bereitstellung Ihrer personenbezogenen Daten im Rahmen von Bewerbungsprozessen erfolgt freiwillig. Wir können eine Entscheidung zur Begründung eines Beschäftigungsverhältnisses jedoch nur treffen bzw. ein Beschäftigungsverhältnis mit Ihnen nur begründen, sofern Sie solche personenbezogenen Daten angeben, die zur Durchführung der Bewerbung erforderlich sind.

4. Quellen der personenbezogenen Daten

Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Kontaktaufnahme bzw. Ihrer Bewerbung von Ihnen per Post, E-Mail oder über unser Bewerberportal unter der URL https://www.pct.eu/stellenangebote.html oder dem Bewerberportal unter der URL https://www.gbc-gruppe.com/karriere erhalten. In bestimmten Fällen erheben wir personenbezogene Daten über Dritte, insbesondere über berufliche Netzwerke wie LinkedIn oder Xing und über Personalvermittler.

5. Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten

Wir geben Ihre personenbezogenen Daten innerhalb unseres Unternehmens ausschließlich an die Bereiche und Personen weiter, die diese Daten zur Erfüllung der (vor)vertraglichen und gesetzlichen Pflichten bzw. zur Umsetzung unseres berechtigten Interesses benötigen.

Weiterhin werden Ihre Daten im Rahmen einer gemeinsamen Verantwortung im Bedarfsfall innerhalb unserer Unternehmensgruppe weitergegeben. Detaillierte Informationen dazu finden Sie in Anlage 1.

Gegebenenfalls nutzen wir Dienstleister für die Verarbeitung Ihrer personenbezogenen Daten (wie etwa für unser Bewerbermanagementsystem, IT-Dienstleister und Rechenzentren), wobei Ihre personenbezogenen Daten ausschließlich in unserem Auftrag und auf Basis datenschutzrechtlicher Vereinbarungen verarbeitet werden. Für weitere Informationen können Sie sich gerne an uns wenden.

Eine Datenweitergabe an Empfänger außerhalb der PCT erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder uns Ihre Einwilligung vorliegt.

6. Übermittlungen in ein Drittland

Grundsätzlich werden Ihre personenbezogenen Daten ausschließlich innerhalb Deutschlands, der Europäischen Union und des Europäischen Wirtschaftsraums („EWR“) verarbeitet, wo die Bestimmungen der DSGVO gelten. Eine Datenübermittlung an Länder, Staaten oder internationale Organisationen außerhalb des EWR („Drittstaat“) findet i. d. R. nicht statt.

Insofern jedoch einer unserer Dienstleister oder die Dienstleister ggf. ebenfalls Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentren in einem Drittstaat haben, übermittelt die PCT Ihre personenbezogenen Daten möglicherweise in ein sogenanntes Drittland, in dem die DSGVO-Bestimmungen nicht gelten. Eine Datenübermittlung in Drittstaaten wird in solchen Fällen nur durchgeführt, sofern die Bedingungen des Kapitels 5 (Art. 44 – 50) der DSGVO sowie die sonstigen Bestimmungen der DSGVO umgesetzt und eingehalten werden.

Dies betrifft vor allem unser unternehmensweites Kommunikationssystem.

Zwar achten wir darauf, dass dabei möglichst Server innerhalb von Deutschland und der EU für die Speicherung der Daten verwendet werden, es kann jedoch nicht ausgeschlossen werden, dass Ihre Daten in diesem Zusammenhang in ein Drittland (z. B. die USA) weitergegeben und dort verarbeitet werden.

Wir haben mit all unseren derartigen Dienstleistern entsprechende Verträge geschlossen und zudem vertraglich vereinbart, dass auch mit deren Vertragspartnern immer Garantien gemäß Kapitel 5 (Art. 44 – 50) der DSGVO zum Datenschutz unter Einhaltung des europäischen Datenschutzniveaus bestehen müssen. Auf Anfrage stellen wir Ihnen eine Kopie dieser Garantien zur Verfügung.

7. Dauer der Datenspeicherung

Wir speichern Ihre personenbezogenen Daten, solange dies für die Entscheidung über Ihre Bewerbung erforderlich ist. Kommt es im Anschluss an das Bewerbungsverfahren zu einem Beschäftigungs-, Ausbildungs- oder Praktikantenverhältnis, speichern wir Ihre Daten, solange diese für die Erbringung des damit verbundenen Arbeitsverhältnisses erforderlich sind.

Sollten wir Sie nicht für die Besetzung einer Stelle berücksichtigen können, werden Ihre personenbezogenen Daten bzw. Bewerbungsunterlagen spätestens sechs Monate nach Beendigung des Bewerbungsverfahrens (nach der Bekanntgabe der Absageentscheidung) gelöscht, sofern nicht eine längere Speicherung rechtlich erforderlich oder zulässig ist. Wir unterliegen verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch sowie aus arbeitsrechtlichen Vorschriften ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen fünf (5) bis zehn (10) Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei (3) Jahre, in gewissen Fällen aber auch bis zu dreißig (30) Jahre betragen können. Wir speichern Ihre personenbezogenen Daten darüber hinaus nur, soweit dies gesetzlich oder im konkreten Fall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen für die Dauer eines Rechtsstreits erforderlich ist.

Insofern Sie uns Ihre Einwilligung zur Speicherung Ihrer Bewerbung in unserem Talentpool nicht schon vorab erteilt haben, erhalten Sie gegebenenfalls im Anschluss an das Bewerbungsverfahren eine Einladung zur Aufnahme Ihrer Daten in unseren Talentpool. Dies erlaubt uns, Sie auch in Zukunft bei passenden Vakanzen bei unserer Bewerberauswahl zu berücksichtigen. Liegt uns eine entsprechende Einwilligung Ihrerseits vor, werden wir Ihre Bewerbungsdaten für 6 Monate ab Erteilung Ihrer Einwilligung in unserem Talentpool gespeichert und danach entsprechend gelöscht.

8. Ihre Rechte

Sie haben das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Mitteilung nach Art. 19 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage Ihrer Einwilligung erfolgt, sind Sie nach Art. 7 DSGVO berechtigt, die Einwilligung jederzeit und ohne Angabe von Gründen für die Zukunft zu widerrufen. Nicht davon betroffen sind Verarbeitungen, die vor dem Widerruf erfolgt sind. Bitte beachten Sie zudem, dass wir bestimmte Daten für die Erfüllung gesetzlicher Vorgaben ggf. für einen bestimmten Zeitraum aufbewahren müssen (s. Ziffer 7 dieser Datenschutzinformation).

Soweit die Verarbeitung Ihrer personenbezogenen Daten nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO zur Wahrung berechtigter Interessen erfolgt, haben Sie darüber hinaus gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung dieser personenbezogenen Daten einzulegen. Wir verarbeiten diese personenbezogenen Daten dann nicht mehr, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung. Diese müssen Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung muss der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen.

Um Ihre Rechte geltend zu machen oder sofern Sie weitere Fragen zur Datenverarbeitung haben, können Sie sich unter den in Abschnitt 1 angegebenen Kontaktdaten an uns wenden.

9. Automatisierte Entscheidungsfindung / Profiling

Für den Bewerbungsprozess und Anbahnung des Beschäftigungsverhältnisses nutzen wir keine automatische Entscheidungsfindung gemäß Art. 22 DSGVO. Ein Profiling findet bei uns grundsätzlich ebenfalls nicht statt.

Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber und über Ihre diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.

10. Änderungen an diesen Datenschutzinformationen

Die PCT behält sich das Recht vor, diese Datenschutzinformationen jederzeit zu ändern.

Anlagen

• Anlage 1: Datenschutzinformation zur gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 DSGVO
• Anlage 2: Verantwortliche B

Anlage 1: Datenschutzinformation zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 2 DSGVO

1. Präambel

Zwischen den Verantwortlichen besteht im Bereich Bewerbungen eine Zusammenarbeit gem. Art. 26 DSGVO in Verbindung mit Art. 4 Nr. 7 DSGVO (Zusammenarbeit zweier oder mehrerer Verantwortlicher bei der Verarbeitung personenbezogener Daten). Da es im Rahmen dieser Zusammenarbeit möglich oder notwendig ist, dass die gemeinsam Verantwortlichen Zugriff auf ihre personenbezogenen Daten erhalten, sind diese bezüglich der nachfolgend beschriebenen Prozesse gemeinsam für den Schutz ihrer personenbezogenen Daten verantwortlich. Nachfolgend werden weiterhin die wesentlichen Inhalte der Vereinbarung zwischen den Verantwortlichen zur Erfüllung ihrer Pflichten gemäß der DSGVO dargestellt.

2. Allgemeine Angaben

2.1 Gemeinsam Verantwortliche

2.2 Zwecke und Beschreibung der Verarbeitung

Zweck der Datenverarbeitung ist die Besetzung offener Stellen bei allen Verantwortlichen durch ein koordiniertes Bewerbungsmanagement. Die Bewerberdaten dienen der Beurteilung der Eignung und werden benötigt, um über die Einladung zu einem Vorstellungsgespräch zu entscheiden.

Es werden Bewerberdaten von allen Parteien gemeinsam verarbeitet, um möglichst viele Synergien zu nutzen. So werden auch gemeinsame Kampagnen durchgeführt, auf deren Ergebnisse in Form der gewonnenen Bewerberdaten gemeinsam zugegriffen wird.

Die Bewerbungen gehen entweder auf dem Postweg, per E-Mail oder über die Homepage bei den jeweils Verantwortlichen, bzw. über das zentrale Bewerbungsportal unter https://www.gbc-gruppe.com/karriere ein. Bei eventuellen telefonischen Bewerbungen werden die Bewerber aufgefordert, einen der zuvor beschriebenen Wege zu verwenden.

Im Fall der Papierform wird die Post durch das Office-Management geöffnet, mit einem Eingangsstempel versehen, eingescannt und in das Bewerbermanagementtool eingepflegt. Bei Online-Bewerbungen wird bereits im ersten Übermittlungsprozess die Bestätigung der Kenntnisnahme der bereitgestellten Datenschutzerklärung sowie der Information zur Weitergabe der Daten innerhalb der GBC-Gruppe und Partnern eingeholt.

Die Daten werden größtenteils automatisiert erhoben bzw. durch Mitarbeiter im jeweiligen Bewerbungsmanagementsystem eingegeben. Hierbei wird als Tool eine entsprechende Anwendung eingesetzt. Die Daten werden dem jeweiligen Verantwortlichen zur Verfügung gestellt und von diesem bearbeitet.

Im Fall einer negativen Entscheidung wird der Bewerber sofort unterrichtet. In einem positiven Fall wird mit dem Bewerber zunächst ein Gespräch über eine Videokonferenz gesucht. Im weiteren Verlauf wird der Bewerber zu einem persönlichen Gespräch eingeladen. Führt dieses zur Einstellung, werden die Bewerbungsunterlagen in einen Personalstamm eingebracht.

Elektronische Bewerbungen werden über ein dafür eigenes E-Mail-Postfach abgewickelt. Das weitere Verfahren ist identisch zum Postweg. In beiden Fällen werden die elektronischen Daten nach sechs (6) Monaten gelöscht, außer es liegt das Einverständnis des Bewerbers für eine längere Speicherung im Bewerberpool vor.

3. Betroffene Personengruppen

Betroffene Personengruppen der Verantwortlichen A und B sind Bewerber.

4. Kategorien von personenbezogenen Daten

Wir verarbeiten nur solche Daten, die im Zusammenhang mit Ihrer Bewerbung und einem Vorstellungsgespräch stehen. Diese können unter anderem die folgenden personenbezogenen Daten bzw. Datenkategorien betreffen:

• Personenbezogene Angaben und Kontaktinformationen, wie z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und -ort, Geschlecht, Ehestand und Staatsangehörigkeit, Visa und Arbeitserlaubnis (soweit erforderlich), Bankverbindung (zur Erstattung von Reisekosten), interne Aufzeichnungen über das Vorstellungsgespräch;
• Besondere Kategorien personenbezogener Daten, wie z. B. Angaben zum Familienstand, die Rückschlüsse über Ihre sexuelle Orientierung erlauben können; Angaben zu Ihrer Gesundheit wie etwa Schwerbehindertenstatus; Fotos, die Rückschlüsse auf Ihre ethnische Herkunft und ggf. Ihre Sehkraft und/oder Religion erlauben;
• Ausbildungs-, Leistungs- und Beschäftigungsdaten, wie z. B. Angaben zu Ihrer beruflichen Qualifikation und Schulausbildung, Angaben zur beruflichen Weiterbildung, Zeugnisse;
• Sonstige Bewerbungsunterlagen, wie z. B. Bewerbungsschreiben, Lebenslauf, Foto;
• Sowie ggf. weitere Daten, die Sie uns im Zusammenhang mit Ihrer Bewerbung und im Vorstellungsgespräch übermitteln.

Die Bereitstellung Ihrer personenbezogenen Daten im Rahmen von Bewerbungsprozessen erfolgt freiwillig. Wir können eine Entscheidung zur Begründung eines Beschäftigungsverhältnisses jedoch nur treffen bzw. ein Beschäftigungsverhältnis mit Ihnen nur begründen, sofern Sie solche personenbezogenen Daten angeben, die zur Durchführung der Bewerbung erforderlich sind.

5. Gemeinsame Verantwortlichkeit und Zuordnung der Zuständigkeiten bei Prozessabschnitten

Auch wenn eine gemeinsame Verantwortlichkeit besteht, haben die Verantwortlichen die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeit für die einzelnen, nachfolgend dargestellten, Prozessabschnitte zu erfüllen.

5.1 Verantwortlicher A ist zuständig für:

• Erhebung der Daten: Erhebung der jeweils projektbezogenen personenbezogenen Daten der entsprechenden Betroffenengruppen; Informationspflichten gem. Art. 13, 14 und 26 Abs. 2 Satz 2 DSGVO.
• Speicherung der Daten: Speicherung der Daten im Bewerbermanagement-System bzw. in eigenen Datenspeichern.
• Verarbeitung / Nutzung der Daten: Erfassung und Bearbeitung der oben benannten Daten im Bewerbungsmanagement-System. Ggf. Weitergabe der Daten an die entsprechenden Verantwortlichen. Im Einstellungsfall: Weitergabe der Daten an die HR-Abteilung. Ausdrucken, Kopieren, Archivieren, Löschen und Vernichten der Daten und Unterlagen im Rahmen der gesetzlichen Vorgaben.

5.2 Verantwortlicher B ist zuständig für:

• Erhebung der Daten: Erhebung der jeweils projektbezogenen personenbezogenen Daten der entsprechenden Betroffenengruppen; Informationspflichten gem. Art. 13, 14 und 26 Abs. 2 Satz 2 DSGVO.
• Speicherung der Daten: Speicherung der Daten im Bewerbermanagement-System bzw. in eigenen Datenspeichern.
• Verarbeitung / Nutzung der Daten: Erfassung und Bearbeitung der oben benannten Daten im Bewerbungsmanagement-System. Ggf. Weitergabe der Daten an die entsprechenden Verantwortlichen. Im Einstellungsfall: Weitergabe der Daten an die HR-Abteilung. Ausdrucken, Kopieren, Archivieren, Löschen und Vernichten der Daten und Unterlagen im Rahmen der gesetzlichen Vorgaben.

5.3 Gemeinsame Zuständigkeit besteht für:

• Festlegung des Zweckes der Datenverarbeitung (DV)
• Festlegung der betroffenen Kategorien personenbezogener Daten
• Gewährleistung der Betroffenenrechte gemäß Art. 15, 16, 17, 18, 19, 20 und 21 DSGVO
• Dokumentation der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO
• Risikobewertung und ggf. Durchführung von Datenschutzfolgeabschätzungen (DSFA) gemäß Art. 35 DSGVO
• Abstimmung mit den Aufsichtsbehörden
• Bewertung und Überwachung von Auftragsverarbeitern gemäß Art. 28 DSGVO
• Bereitstellung und Dokumentation von Verarbeitungsverzeichnissen (VVZ) gemäß Art. 30 DSGVO
• Bewertung und Kommunikation bei Datenschutzverletzungen gemäß Art. 33, 34 DSGVO

6. Vereinbarungen der Verantwortlichen bzgl. ihrer datenschutzrechtlichen Pflichten

6.1 Informationspflichten gemäß Art. 13 und 14 DSGVO

Entsprechend den vertraglichen Vereinbarungen stellen die Verantwortlichen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in transparenter und leicht verständlicher Form zur Verfügung. Hierbei lässt jeder Verantwortliche dem anderen Verantwortlichen sämtliche dafür notwendigen Informationen aus seinem Wirkungsbereich zukommen.

6.2 Anlaufstelle für die Geltendmachung von Betroffenenrechten gemäß DSGVO

Die Verantwortlichen können eine Anlaufstelle benennen, an die sich Betroffene wenden können, um ihre Rechte gemäß der DSGVO geltend zu machen. Unabhängig von dieser Vereinbarung können betroffene Personen ihre Rechte gemäß Art. 26 Absatz 3 DSGVO grundsätzlich immer gegenüber jedem der Verantwortlichen geltend machen. Die Verantwortlichen informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachten Ansprüche, und stellen einander alle für die Bearbeitung notwendigen Informationen zur Verfügung.

6.3 Technische und organisatorische Maßnahmen

Die Verantwortlichen haben vereinbart, alle gesetzlichen Vorgaben gemäß Art. 32 DSGVO mithilfe von geeigneten technischen und organisatorischen Maßnahmen zu erfüllen, um ein angemessenes Schutzniveau für die Verarbeitung personenbezogenen Daten gewährleisten zu können.

6.4 Weitere datenschutzrechtliche Verpflichtungen gemäß DSGVO

Die Verantwortlichen haben sich verpflichtet, sich gegenseitig bei der Einhaltung der vertraglich vereinbarten Festlegungen sowie aller anwendbaren datenschutzrechtlichen Bestimmungen gegenseitig zu unterstützen und entsprechend abzustimmen. Insbesondere betrifft dies die folgenden Bereiche:

• Maßnahmen bei etwaigen Datenschutzverletzungen;
• Zusammenarbeit mit den zuständigen Datenschutzbehörden;
• Erstellung und Pflege von Verarbeitungsverzeichnissen;
• Abstimmung bei etwaigen Löschungen personenbezogener Daten (gesetzliche Aufbewahrungsfristen, etc.);
• Einschaltung von Auftragsverarbeitern;
• Zusammenarbeit mit den jeweiligen Datenschutzbeauftragten;
• Verpflichtung aller mit der Datenverarbeitung beschäftigten Personen zur Wahrung der Vertraulichkeit.

Anlage 2: Verantwortliche B