Wir legen großen Wert auf die Privatsphäre bei der Verarbeitung personenbezogener Daten. Mit den folgenden Informationen informieren wir unsere Vertragspartnern (Kunden, Lieferanten, Nachunternehmer etc.) sowie deren Mitarbeiter (im Folgenden: „Vertragspartner und ihre Erfüllungsgehilfen“) über die Verarbeitung der personenbezogenen Daten bei der Arching GmbH und über die diesen nach dem anwendbaren nationalen und europäischen Datenschutzrecht zustehenden Rechte.
1. Wer ist für die Datenverarbeitung verantwortlich?
Der für das Datenschutzrecht Verantwortliche im Sinne der EU-Datenschutzgrundverordnung („DSGVO“) sowie aller anderen anwendbaren datenschutzrechtlichen Bestimmungen der EU ist die Arching GmbH, Ziegeläcker 8, 74423 Obersontheim, Deutschland, E-Mail: bau@arching.de, mit der der Vertragspartner einen Vertrag über die Erbringung von Leistungen abgeschlossen oder angebahnt hat („Arching“ / „Verantwortlicher“).
2. Wie ist der Datenschutzbeauftragte zu erreichen?
Der/die betriebliche Datenschutzbeauftragte von Arching ist erreichbar unter:
Arching GmbH
Datenschutzbeauftragter
Ziegeläcker 8
74423 Obersontheim
E-Mail: bau@arching.de
3. Welche Datenkategorien werden genutzt und woher stammen diese?
Zu den von Arching verarbeiteten Kategorien an personenbezogenen Daten gehören insbesondere:
Personenbezogene Daten werden in aller Regel im Rahmen des Abschlusses und/oder der Durchführung des Vertrags erhoben. In bestimmten Konstellationen werden aufgrund gesetzlicher Vorschriften personenbezogene Daten auch bei anderen Stellen erhoben, soweit hierfür eine datenschutzrechtliche Erlaubnisgrundlage vorliegt. In diesem Fall werden wir den Vertragspartner bzw. den Erfüllungsgehilfen über die Datenerhebung gesondert informieren.
4. Für welche Zwecke werden personenbezogene Daten verarbeitet und auf welcher Rechtsgrundlage?
4.1. Zweck der Verarbeitung
Zweck der Verarbeitung der Daten ist die Durchführung des Vertragsverhältnisses sowie die Erfüllung damit im Zusammenhang stehender rechtlicher Verpflichtungen. Hierzu gehören unter anderem:
Auftragserteilung im Einzelfall; Klärung von Detailfragen; Erbringung der Leistungen; Entgegennahme der Leistungen; Abrechnung; Kundenbetreuung; Abgabe von Steuern; Aufbewahrung steuerlich relevanter Unterlagen; Aufbewahrung von Geschäfts- und Handelsbriefen.4.2. Rechtsgrundlagen
Arching verarbeitet personenbezogene Daten des Vertragspartners und ggf. dessen Erfüllungsgehilfen (z.B. Mitarbeiter) insbesondere unter Beachtung der DSGVO sowie aller weiteren maßgeblichen nationalen und europäischen Gesetze.
In erster Linie dient die Datenvereinbarung der Begründung, Durchführung und Beendigung des Vertragsverhältnisses. Die vorrangige Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 b) DSGVO.
Die Daten des Vertragspartners bzw. des Erfüllungsgehilfen verarbeitet Arching auch, um z.B. steuerrechtliche Pflichten erfüllen zu können. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 c) DSGVO.
Für den Fall, dass beim Vertragspartner bzw. dem Erfüllungsgehilfen oder bei einer anderen natürlichen Person lebenswichtige Interessen beeinträchtigt sind, die eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 Satz 1 d) DSGVO für diese Verarbeitung.
Soweit erforderlich, verarbeitet Arching die Daten des Vertragspartners bzw. des Erfüllungsgehilfen zudem auf Grundlage von Art. 6 Abs. 1 Satz 1 f) DSGVO, um berechtigte Interessen von Arching oder von Dritten (z. B. Behörden) zu wahren. Diese können in der Vertragserfüllung liegen, soweit die von der Datenverarbeitung betroffene Person nicht selbst Vertragspartner, sondern z.B. Mitarbeiter eines Vertragspartners ist. Arching verarbeitet personenbezogene Daten im Rahmen des berechtigten Interesses außerdem zur Gewährleistung der IT-Sicherheit und des IT-Betriebs oder für freiwillige Leistungen oder solche, die dem wirtschaftlichen Erfolg des Betriebs dienen. Bevor eine auf das berechtigte Interesse von Arching gestützte Datenverarbeitung stattfindet, wird jeweils eine sorgfältige Interessenabwägung durchgeführt, wobei diesbezüglich die Interessen des Vertragspartners bzw. des Erfüllungsgehilfen denen von Arching gegenübergestellt werden.
Sollte Arching personenbezogene Daten für einen oben nicht genannten Zweck verarbeiten wollen, wird Arching den Vertragspartner bzw. den Erfüllungsgehilfen zuvor darüber informieren und sich gegebenenfalls, soweit erforderlich, eine Einwilligung von diesem einholen. Bei einer Einwilligung ist Art. 6 Abs. 1 Satz 1 a) DSGVO die datenschutzrechtliche Rechtsgrundlage. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
5. Welche Rechte bestehen?
Soweit Arching personenbezogene Daten des Vertragspartners oder eines Erfüllungsgehilfen verarbeitet, sind diese „betroffene Personen“ im Sinne der DSGVO. Als betroffene Person stehen dem Vertragspartner bzw. dem Erfüllungsgehilfen die folgenden Rechte gegenüber Arching zu:
5.1. Recht auf Auskunft bezüglich der Verarbeitung
Der Vertragspartner bzw. der Erfüllungsgehilfe kann jederzeit im Rahmen der gesetzlichen Bestimmungen (vgl. u.a. Art. 15DSGVO) von Arching Auskunft darüber verlangen, ob personenbezogene Daten von Arching verarbeitet werden. Ist dies der Fall, hat der Vertragspartner bzw. der Erfüllungsgehilfe das Recht, über den Umfang der Datenverarbeitung Auskunft zu verlangen.
5.2. Recht auf Berichtigung
Der Vertragspartner bzw. der Erfüllungsgehilfe hat das Recht auf Berichtigung und/oder Vervollständigung der Daten gegenüber Arching, sofern die den Vertragspartner bzw. den Erfüllungsgehilfen betreffenden personenbezogenen Daten unrichtig oder unvollständig sind (vgl. u.a. Art. 16 DSGVO).
5.3. Recht auf Einschränkung der Verarbeitung
Der Vertragspartner bzw. der Erfüllungsgehilfe kann die Einschränkung der Verarbeitung der personenbezogenen Daten verlangen, sofern die Voraussetzungen hierfür vorliegen (vgl. u.a. Art. 18 DSGVO).
5.4. Recht auf Löschung
Der Vertragspartner bzw. der Erfüllungsgehilfe kann verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern die Voraussetzungen (vgl. u.a. Art. 17 DSGVO) hierfür vorliegen. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung aufgrund vertraglicher Pflichten dem Vertragspartner bzw. dem Erfüllungsgehilfen gegenüber oder aufgrund gesetzlicher Bestimmungen erforderlich ist.
5.5. Recht auf Unterrichtung
Hat der Vertragspartner bzw. der Erfüllungsgehilfe das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber Arching geltend gemacht, ist Arching (u.a. unter den Voraussetzungen von Art. 19 DSGVO) verpflichtet, allen Empfängern, denen die betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Arching unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
5.6. Recht auf Datenübertragbarkeit
Der Vertragspartner bzw. der Erfüllungsgehilfe hat das Recht (vgl. u.a. Art. 20 DSGVO), die betreffenden personenbezogenen Daten, die Arching bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hat der Vertragspartner bzw. der Erfüllungsgehilfe das Recht, diese Daten einem anderen Unternehmen ohne Behinderung durch Arching zu übermitteln, sofern die Voraussetzungen hierfür vorliegen.
5.7. Widerspruchsrecht
Der Vertragspartner bzw. der Erfüllungsgehilfe hat (u.a. aus Art. 21 DSGVO) das Recht, aus Gründen, die sich aus der besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 Satz 1 f) DSGVO oder einer vergleichbaren nationalen Vorschrift erfolgt, Widerspruch einzulegen. Folge des Widerspruchs ist es, dass Arching die den Vertragspartner bzw. den Erfüllungsgehilfen betreffenden personenbezogenen Daten nicht mehr verarbeitet, es sei denn, Arching kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Vertragspartners bzw. des Erfüllungsgehilfen überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Werden die den Vertragspartner bzw. Erfüllungsgehilfen betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben diese das Recht, jederzeit Werbe-Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen.
Über den Widerspruch kann der Vertragspartner bzw. der Erfüllungsgehilfe von Arching GmbH gemäß Ziffer 1 kontaktieren.
5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sofern der Vertragspartner bzw. der Erfüllungsgehilfe eine datenschutzrechtliche Einwilligungserklärung abgegeben hat, kann diese jederzeit gegenüber Arching widerrufen werden (vgl. u.a. Art. 7 DSGVO). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde
Dem Vertragspartner bzw. dem Erfüllungsgehilfen steht das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Staat des jeweiligen Aufenthaltsortes, des jeweiligen Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, zu, wenn der Auftragsnehmer bzw. der Erfüllungsgehilfe der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen die DSGVO verstößt (vgl. u.a. Art. 77 DSGVO).
6. Offenlegung von Daten gegenüber Dritten
6.1. Generelle Informationen
Arching sorgt dafür, dass nur die Personen und Stellen die personenbezogenen Daten des Vertragspartners bzw. des Erfüllungsgehilfen erhalten, die diese zur Erfüllung von vertraglichen und gesetzlichen Pflichten benötigen. Arching wird die persönlichen Daten generell nur im Rahmen der geltenden Datenschutzgesetze an Dienstleister, Geschäftspartner und andere Dritte weitergeben.
Arching kann personenbezogene Daten gegenüber den von Arching beauftragten Dienstleistern offenlegen und diese verpflichten, personenbezogene Daten im Namen von Arching zu verarbeiten (Auftragsverarbeitung). Die Auftragsverarbeiter sind den Weisungen von Arching unterworfen und unterliegen strengen vertraglichen Beschränkungen in Bezug auf die Verarbeitung von personenbezogenen Daten.
Arching kann personenbezogene Daten außerdem gegenüber einem Dritten offenlegen, wenn Arching dies aufgrund eines Gesetzes oder Rechtsverfahrens muss oder um Leistungen zu erbringen und zu verwalten. Ist eine Weiterleitung von Informationen für die Zusammenarbeit und somit Bereitstellung von Leistungen zwischen Arching und dem Vertragspartner erforderlich oder erklärt dieser bzw. sein Erfüllungsgehilfen seine Einwilligung, sind wir ebenfalls befugt Daten preiszugeben. Auch wenn Betriebsprüfungen anstehen, ist eine Offenlegung meist nicht zu vermeiden.
6.2. Weitere Empfängerkategorien
Arching bedient sich zur Erfüllung der vertraglichen und gesetzlichen Pflichten zum Teil unterschiedlicher Dienstleister. Diese können z.B. sein:
IT-Dienstleister (Auftragsverarbeitung); externe Buchhalter (Auftragsverarbeitung); Subunternehmer (ggf. Auftragsverarbeitung); Steuerberater; Rechts- und Patentanwälte; Behörden (z. B. Sozialversicherungsträger, Finanzbehörden, Gerichte); Bank des Vertragspartners (SEPA-Zahlungsträger); Drittschuldner im Falle von Pfändungen; Insolvenzverwalter im Falle einer Insolvenz.
7. Wann löscht Arching die personenbezogenen Daten?
Arching löscht personenbezogene Daten des Vertragspartners bzw. des Erfüllungsgehilfen, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind und auch keine rechtlichen Nachweis- oder vertragliche bzw. gesetzliche Aufbewahrungspflichten bestehen. Nach Beendigung des Vertragsverhältnisses bleiben die personenbezogenen Daten gespeichert, solange Arching dazu aufgrund vertraglicher bzw. gesetzlicher Aufbewahrungspflichten verpflichtet ist. Außerdem ist es möglich, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen Arching geltend gemacht werden können (gesetzliche Verjährungsfrist von drei oder bis zu dreißig Jahren).
8. Werden die personenbezogenen Daten in ein Drittland übermittelt?
Sollte Arching personenbezogene Daten an Unternehmen außerhalb des EWR übermitteln, erfolgt die Übermittlung grundsätzlich nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien (z. B. verbindliche unternehmensinterne Datenschutzvorschriften oder EU-Standardvertragsklauseln) vorhanden sind. Ohne angemessene Datenschutzgarantien kann eine Übermittlung in ein Drittland ausnahmsweise auch dann erfolgen, wenn die Voraussetzungen von Art. 49 DSGVO vorliegen.