Information zur Datenverarbeitung
im Hinblick auf die Nutzung der Webseite https://www.talent-assessment.tools
Stand Juli 2024
Mit diesen Informationen zur Datenverarbeitung klären wir Sie nachfolgend im Sinne der Art. 12 und 13 DSGVO über die Datenverarbeitung auf unserer Webseite auf.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitungen ist im Sinne des Art. 4 Nr. 7 DSGVO
CYQUEST GmbH
Heußweg 25
20255 Hamburg
vertr. d. d. Geschäftsführer
Joachim Diercks, Ramin Mirhachemzadeh
Telefon: +49 (0)40 85 40 7 -0
E-Mail: contact@cyquest.net
2. Datenschutzbeauftragter
Als Datenschutzbeauftragter der CYQUEST GmbH ist gemäß Art. 37 DSGVO, § 38 BDSG benannt:
Stefan Schmahl
s.schmahl@cyquest.net
3. Gegenstand des Datenschutzes
Gegenstand des Datenschutzes sind personenbezogene Daten. Dies sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen. Hierunter fallen z.B. Angaben wie Namen, Postanschrift, E-Mail-Adresse oder Telefonnummer, ggf. aber auch Nutzungsdaten wie beispielsweise die IP-Adresse oder Inhaltsdaten wie Nachrichten über das Kontaktformular.
4. Umfang und Zweck der Datenerhebung und -speicherung
Im Folgenden klären wir über den Umfang der Datenerhebung und -speicherung sowie -nutzung (im Folgenden „Datenverarbeitung“, verwendet im Sinne des Art. 4 Nr. 2 DSGVO) und über den Zweck der jeweiligen Datenverarbeitung im Rahmen der Webseite auf.
5. Datenverarbeitung im Rahmen der Webseitennutzung
Die Nutzung dieser Webseite ist im Grundsatz ohne Angaben von personenbezogenen Daten möglich. Eine Ausnahme stellt die IP-Adresse dar. Diese benötigen wir zwingend kurzfristig.
5.1. IP-Adressen
Ohne Internet-Protokoll-Adressen, kurz „IP-Adressen“, würde – sehr vereinfacht ausgedrückt – das Internet nicht funktionieren. Eine IP-Adresse stellt nämlich in Computernetzen eine Adresse dar, damit darüber Webserver und/oder einzelne Endgeräte angesprochen und erreicht werden können. Ohne IP-Adresse können der Webserver und die Endgeräte nicht kommunizieren – und somit nichts anzeigen. Der Webserver, auf dem die Webseite gehostet wird, wird also mit einer Datenanfrage – von Ihnen, Sie wollen schließlich die Webseite nutzen – angepingt. Um die Daten zu liefern, muss der Webserver die IP-Adresse kennen. Folglich muss der Webserver in diesem Moment der Datenabfrage Ihre IP-Adresse verarbeiten. Dazu erhält der Webserver die Information, welche Webseite bzw. Datei abgerufen, welcher Browser und welches Betriebssystem dazu genutzt wurde. Normalerweise werden diese Daten vollständig in den sog. Webserver-Logfiles langfristig gespeichert. Die CYQUEST GmbH speichert Ihre IP-Adressen hingegen außer zum Zeitpunkt der geschilderten notwendigen Verarbeitung aus technischen Gründen nicht weiter. Vielmehr wird bei allen zugreifenden IPv4-Adressen der letzte Block auf „0“ geändert und bei allen IPv6-Adressen nur die ersten beiden Blöcke gespeichert sowie die letzten beiden sechs Blöcke auf „::“ geändert.
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da wir Ihre IP-Adresse benötigen, um Ihnen überhaupt die Webseite und die darin enthaltenen Informationen übermitteln zu können.
5.2. Cookies
5.3. Google Analytics
Auf unserer Webseite ist der Trackingdienst Google Analytics eingebunden. Über die konkrete Art der Einbindung, Nutzungs- und Funktionsweise dieses Dienstes klären wir im Folgenden auf.
Google Analytics ist ein Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (künftig: Google). Google ermittelt als Dienstleister das Nutzungsverhalten von Besuchern einer Webseite und ermöglicht uns zu erkennen, ob und wie wir unsere Webseite und deren Nutzerführung verbessern können, welche Teile besonders relevant sind, welche weniger. Somit können wir Inhalte und Funktionen der Webseite für Sie – und uns – optimieren. Hierzu werden von Google Cookies gesetzt.
Wir verarbeiten bei Ihrem Besuch über Google Analytics die folgenden Daten:
- IP-Adresse (gekürzt)
- Browser-Typ
- Aufenthaltsdauer auf unserer Seite
- verwendetes Betriebssystem
- aufgerufene Seiten unseres Webangebots
- Klick- und Scrollverhalten auf unseren Seiten
- Herkunftsquelle des Besuches (andere Webseite, Werbemittel)
- Uhrzeit der Serveranfrage
- Ihren groben Standort (basierend auf der IP-Adresse), etwa auf Stadt/Landkreis-Ebene genau
In unserem Auftrag wird Google die oben genannten Informationen benutzen, um die Nutzung der Website auszuwerten und um uns Reports über die Websiteaktivitäten zusammenzustellen. Dabei wird keine User-ID aktiviert und genutzt. Ein Cross-Device-Tracking über eine User-ID ist damit nicht möglich.
Darüber hinaus haben wir Google untersagt, die im Rahmen der Auftragsverarbeitung gewonnenen Daten zu einer eigenen Analyse zu nutzen. Google kann unsere Daten nicht zur Analyse und Auswertung des Online-Verhaltens zur Produktverbesserung oder zum Benchmarking (Branchen-Analyse) nutzen. Ebenso haben wir dem technischen Support und den Key-Accountern den Zugriff auf unsere Daten untersagt.
Diese Form der Datenverarbeitung erfolgt auf Grundlage des berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, das grundsätzliche Nutzungsverhalten der Besucher auf der Webseite nachvollziehen zu können. Dazu zählt, erkennen zu können, welche Angebote von Nutzern besonders stark oder weniger stark frequentiert werden oder von woher Nutzer zu unserer Webseite gelangen. Diese Erkenntnisse benötigen wir, um die Angebote auf der Webseite dem Nutzungsverhalten entsprechend zu optimieren und so das eigene unternehmerische Geschäft stärken zu können. Da wir – anders als etwa Dienstleister mit einem Messestand – keine optische Beobachtung der Besucherströme vornehmen und so erkennen können, welche Bereiche unsers Angebots besonders interessant sind, greifen wir auf Google Analytics zurück, um diese Beobachtung und Auswertung der Besucherströme (nicht: des einzelnen, identifizierbaren Besuchers) vornehmen zu können. Ein entgegenstehenden berechtigtes, überwiegenden Interesse der Nutzer daran, dass ihr nicht-personenbezogenes Nutzungsverhalten auf der Webseite analysiert wird, ist nicht ersichtlich. Die Cookies werden auf Basis von § 25 Abs. 2 TTDSG gesetzt.
Die im Rahmen von Google Analytics verarbeiteten Daten werden für zwei Monate gespeichert und dann gelöscht, sofern Sie in diesem Zeitraum unsere Webseite nicht noch einmal besuchen; dann nämlich beginnt der Zwei-Monats-Zeitraum erneut.
Die verwendeten Cookies werden spätestens nach 13 Monaten gelöscht.
Widerspruch
Wenn Sie dieser Datenverarbeitung widersprechen möchten, können Sie das ganz konkret auf sehr einfachem Wege tun:
Sie können auch ein Browser-Plugin installieren, dass die Datenverarbeitung mit Google Analytics verhindert.
Daneben können Sie die Speicherung der Cookies von Google Analytics (wie auch von anderen Cookies) durch eine entsprechende grundsätzliche Einstellung der Browser-Software verhindern (unter „Einstellungen“ bei den meisten Browsern zu finden).
5.4. Datenverarbeitung bei Anfragen via Kontaktformular oder E-Mail
Wenn Sie uns per Kontaktformular oder per E-Mail kontaktieren, übermitteln Sie uns in der Regel die folgenden personenbezogenen Daten:
- E-Mail-Adresse
- Vor- und Zuname
- ggf. Telefonnummer
- Ihr Anliegen
- bei Übersendung einer E-Mail: ggf. angehängte Dokumente
Wir nutzen diese Daten, um Ihr Anliegen zu bearbeiten. Diese Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. b DSGVO.
5.5. Microsoft Teams
Wir nutzen das Tool „Microsoft Teams“, um Webinare durchzuführen. Microsoft Teams“ ist ein Service der Microsoft Ireland Operations Limited.
Soweit Sie die Internetseite von „Microsoft Teams“ aufrufen, ist der Anbieter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen. Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.
5.5.1. Datenverarbeitung
Bei der Nutzung von „Microsoft Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie bei der Anmeldung bzw. bei der Teilnahme an einem Webinar machen. Sie können sich bspw. mit einem Pseudonym anmelden, wenn Sie nicht möchten, dass wir – und unser Dienstleister Microsoft – Ihren Namen verarbeiten.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
- Angaben zum Benutzer: z. B. Anzeigename („Display name“), ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache
- Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort
- Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Webinar die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Webinar anzuzeigen.
5.5.2. Umfang der Verarbeitung
Wir verwenden „Microsoft Teams“, um Webinare durchzuführen. Wenn wir Webinare aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Die Chatinhalte werden bei der Verwendung von Microsoft Teams protokolliert. Wenn Sie nicht möchten, dass eine von Ihnen im Rahmen des Webinars gesendet Chatnachricht für 24 Monate bei uns gespeichert wird, löschen Sie diese am besten zum Ende des Webinars.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Webinaren Art. 6 Abs. 1 lit. b) DSGVO, da Sie sich für das Webinar angemeldet haben.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung der Webinare.
5.5.3. Weitergabe an Dritte
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Webinaren verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass die Liste der Teilnehmenden im Webinar von anderen Teilnehmenden eingesehen werden kann und somit der Name und die Mailadresse, mit der Sie sich angemeldet haben, von anderen gesehen werden können.
Weitere Empfänger: Der Anbieter von „Microsoft Teams“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit „Microsoft Teams“ vorgesehen ist.
5.5.4. Datenverarbeitung außerhalb der Europäischen Union
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende am Webinar einem Drittland aufhalten.
Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
6. Weitere Verarbeitung von Interessendaten
Darüber hinaus verarbeitet die CYQUEST GmbH die unter Ziffer 5.3 genannten Daten als Interessentendaten zur Kundengewinnung ferner nach Art. 6 Abs. 1 lit. f DSGVO, wenn mit der Anfrage ein Interesse an den Leistungen der CYQUEST GmbH bekundet wurde. Die CYQUEST GmbH hat ein berechtigtes Interesse daran, Informationen zu Interessenten zu halten und bei Bedarf reaktivieren zu können. Die Personalmarketing- und Recruiting-Branche unterliegt zuweilen äußerst langwierigen Planungszyklen. Erfahrungsgemäß können zwischen einem ersten Austausch bezüglich eines Projektes, einem diesbezüglichen Termin und/oder der Abgabe eines Angebots und der Wiederaufnahme derartiger Gespräche mehrere Jahre vergehen. Für die CYQUEST GmbH ist es entscheidend, dass auch in solchen Fällen nach mehreren Jahren noch auf die vorhergangenen Angebote und das Besprochene zurückgegriffen werden kann. Zu berücksichtigen ist an dieser Stelle auch, dass es sich bei den Namen und den Kontaktdaten der Ansprechpartner zwar um personenbezogene Daten handelt, allerdings nur solche im Rahmen des beruflichen Kontexts und im Rahmen ihrer beruflichen Funktion. Infolgedessen ist kein überwiegend berechtigtes Interesse der Interessenten, die selbst ihr Interesse an den Leistungen der CYQUEST GmbH bekundet haben, zu erkennen, dass deren Kontakt- und Inhaltsdaten nicht in dem vorstehenden Sinn verarbeitet werden.
Das Vorstehende gilt auch für den Fall, dass Sie telefonisch oder persönlich (z.B. im Rahmen einer Messe) Ihr Interesse bekunden und wir entsprechende Daten von Ihnen erhalten.
7. Zweckgebundene Datenverarbeitung, Empfänger, Weitergabe
Wir beachten den Grundsatz der zweckgebundenen Datenverarbeitung. Sämtliche vorgenannten Daten verarbeiten wir nur zu den bereits genannten Zwecken.
Empfänger von Daten sind etwa Google Ireland Ltd. und der Hoster der Webseite sowie die von uns verwendeten Software-as-a-Services, die wir im Rahmen unserer allgemeinen Geschäftsprozesse einsetzen.
Sie können auf Nachfrage jederzeit eine Liste der konkreten Empfänger erhalten.Aus Gründen unserer eigenen IT- und Datensicherheit möchten wir jedoch die Empfänger von Daten nicht öffentlich an dieser Stelle namentlich benennen.
Sie können sich jedoch sicher sein, dass wir jeden Anbieter, der für uns Daten im Auftrag verarbeitet, über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet haben und dass wir, wenn und soweit eine Übermittlung der Daten in einen sogenannten unsicheren Drittstaat wie die USA erfolgt, diese Übermittlung nur unter den Voraussetzungen der Art. 44 ff. DSGVO in zulässiger Art und Weise erfolgt.
Selbstverständlich erhalten nicht alle Empfänger alle Ihre Daten, sondern nur im Rahmen der Zwecke des jeweiligen Empfängers.
Eine Weitergabe der personenbezogenen Daten an Dritte außerhalb des hier geschilderten Rahmens erfolgt ohne eine ausdrückliche Einwilligung nicht.
Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet sind.
8. Dauer der Verarbeitung, Löschung
8.1. Löschfristen im Rahmen der Webseitennutzung
Ihre IP-Adresse wird, wie erläutert, unmittelbar nach der technisch notwendigen Verarbeitung anonymisiert und damit im Sinne der DSGVO auch gelöscht.
8.2. Löschfristen Google Analytics
Die Daten, die wir im Rahmen des Nutzungsprofils von Google Analytics erheben, werden automatisch nach 14 Monaten gelöscht.
8.3. Löschfristen hinsichtlich Interessentendaten
Interessentendaten werden regelmäßig nicht vor einem Ablauf von 10 Jahren gelöscht. Der Grund für diesen langen Aufbewahrungszeitraum ergibt sich aus den oben aufgeführten Zwecken. Allerdings werden die Interessentendaten spätestens ein Jahr nach dem letzten Kontaktpunkt ausschließlich auf den Zweck der Nutzung der Daten im Falle der erneuten Ansprache durch den Interessenten beschränkt. Ein Kontaktpunkt meint beispielsweise die Teilnahme an einem Webinar, die Interaktion mit einem Mitarbeiter auf einer Messe, via soziale Medien, per E-Mail oder telefonisch.
Die Frist beginnt mit Schluss des Kalenderjahres, in dem das jeweilige Datum erhoben wurde.
9. Betroffenenrechte
Als Betroffener haben Sie – unabhängig von vorstehenden Ausführungen – folgende Rechte uns gegenüber:
Sie haben das Recht, Auskunft bezüglich der von Ihnen bei uns verarbeiteten Daten zu verlangen.
Sie können jederzeit der Verarbeitung Ihrer Daten widersprechen, soweit die Voraussetzungen des Art. 21 DSGVO vorliegen, und eine etwaige daneben erteilte Einwilligung zur Verarbeitung der Daten jederzeit widerrufen. Wenn die Einwilligung zur Datenverarbeitung widerrufen bzw. der Verwendung der Daten widersprochen wird, berührt dies die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs bzw. des Widerspruchs nicht.
Weiter können Sie jederzeit die von uns verarbeiteten Daten berichtigen, beschränken oder löschen lassen. Wir weisen ausdrücklich darauf hin, dass es gesetzliche Verpflichtungen – wie Aufbewahrungspflichten – geben kann, Daten weiter zu speichern. In diesem Fall können die Daten nur beschränkt werden. Dies meint, dass die Daten ausschließlich zu dem Zweck des Nachkommens der gesetzlichen Pflichten verarbeitet und sonst nicht genutzt werden.
Darüber hinaus steht Ihnen auch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das Recht zur Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 DSGVO zu.
Wenden Sie sich zur Ausübung und bei Fragestellungen jederzeit unter datenschutz@cyquest.net an uns.