Datenschutzerklärung der Choice AG
Stand: November 2025
Einleitung
Der Schutz Ihrer personenbezogenen Daten ist uns sehr wichtig. In dieser Datenschutzerklärung erfahren Sie, wie die Choice AG Ihre personenbezogenen Daten erhebt, verwendet und schützt. Wir informieren Sie über die Art, den Umfang und den Zweck der Datenverarbeitung. Unser Ziel ist es, Ihnen Transparenz über die von uns durchgeführten Datenverarbeitungsvorgänge zu bieten.
Wichtige Informationen auf einen Blick
- Verantwortlich für die Datenverarbeitung: Choice AG, Thomas-Mann-Straße 16 – 20, 90471 Nürnberg.
- Zweck der Verarbeitung: Vertragserfüllung, Kommunikation, Marketing.
- Ihre Rechte: Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit.
- Kontakt Datenschutzbeauftragter: datenschutzbeauftragter@datenschutzexperte.de
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher für die Datenverarbeitung:
Choice AG
Thomas-Mann-Straße 16 – 20
90471 Nürnberg
Deutschland
Kontakt:
Telefon: +49 911 480499-0
E-Mail: info@choice.de
Website: www.choice.de
Vertretungsberechtigter Vorstand: Antonio Pardo (Vorsitzender), Bego Jasenac, Hannes Beyer
Handelsregister:
Amtsgericht Nürnberg, HRB 41407
Externer Datenschutzbeauftragter:
Herr Dominik Fünkner
Proliance GmbH
Leopoldstraße 21
80802 München
Deutschland
Kontakt: datenschutzbeauftragter@datenschutzexperte.de
Sie können sich jederzeit bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte direkt an unseren Datenschutzbeauftragten wenden.
2. Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung informiert Sie darüber, wie die Choice AG (nachfolgend „wir“ oder „Choice“) personenbezogene Daten verarbeitet. Sie gilt für:
- Besucher unserer Website: www.choice.de
- Geschäftspartner und Kunden (Unternehmen und deren Mitarbeiter)
- Nutzer unserer Plattformen (Fleetshop, Choice Connect)
- Interessenten (z. B. für Marketing-Kommunikation)
- Bewerber auf offene Stellen
- Besucher unserer Bürostandorte
- Newsletter-Empfänger
- Social-Media-Nutzer (Follower, Interaktionspartner)
Die Datenschutzerklärung erläutert, welche Daten wir erheben, zu welchen Zwecken wir sie verarbeiten, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Sie haben.
3. Rechtsgrundlagen der Datenverarbeitung
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis der folgenden Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG):
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG): Wenn Sie uns Ihre ausdrückliche Einwilligung gegeben haben, beispielsweise für den Erhalt von Newslettern, die Speicherung Ihrer Daten im Talentpool oder die Nutzung von Cookies zu Analyse- oder Marketingzwecken.
- Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung erforderlich ist, um einen Vertrag mit Ihnen zu erfüllen oder vorvertragliche Maßnahmen durchzuführen, beispielsweise bei der Bearbeitung von Anfragen über das Kontaktformular, im Rahmen von Bewerbungsverfahren oder der Bereitstellung von Dienstleistungen.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Wenn wir gesetzlich verpflichtet sind, Ihre Daten zu verarbeiten, beispielsweise zur Erfüllung steuerlicher Aufbewahrungspflichten oder zur Erfüllung von Sicherheitsanforderungen in unseren Bürostandorten (z.B. ArbSchG: zur Sicherstellung der Sicherheit von Mitarbeitenden und Besucher; StGB: Zur Unterstützung von Strafverfolgungsmaßnahmen bei sicherheitsrelevanten Vorfällen; BGB: Zur Abwehr oder Geltendmachung rechtlicher Ansprüche).
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn die Verarbeitung erforderlich ist, um unsere berechtigten Interessen zu wahren, beispielsweise: zur Verbesserung unserer Dienstleistungen durch Analyse und Optimierung von Prozessen, zur Sicherstellung der IT-Sicherheit und Missbrauchsprävention (z. B. Schutz vor Cyberangriffen und Erkennung von Betrugsversuchen), zur Geltendmachung rechtlicher Ansprüche (z. B. Durchsetzung von Forderungen oder Abwehr unberechtigter Ansprüche) oder zur Zutrittsdokumentation in unseren Bürostandorten zum Schutz von Mitarbeitern und Besuchern sowie zur Sicherstellung der Gebäudesicherheit.
- Zwecke des Beschäftigungsverhältnisses (Art. 88 DSGVO i. V. m. § 26 BDSG): Wenn die Verarbeitung erforderlich ist, um ein Beschäftigungsverhältnis zu begründen, durchzuführen oder zu beenden, beispielsweise im Rahmen von Bewerbungsverfahren.
- Technisch notwendige Dienste (§ 25 Abs. 2 TDDDG): Wenn die Verarbeitung erforderlich ist, um technisch notwendige Dienste bereitzustellen, beispielsweise für das Session-Management, die Consent-Verwaltung oder die IT-Sicherheit.
4. Allgemeines zur Datenübermittlung in Drittstaaten
Im Rahmen unserer Geschäftstätigkeit und zur Bereitstellung unserer Dienstleistungen setzen wir teilweise Dienstleister ein, die ihren Sitz außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) haben. Dies betrifft insbesondere Dienstleister in den USA.
Rechtsgrundlagen für Drittlandtransfers:
Wir übermitteln personenbezogene Daten nur dann in Drittstaaten, wenn dies rechtlich zulässig ist und ein angemessenes Datenschutzniveau gewährleistet wird. Dabei stützen wir uns auf folgende Garantien:
4.1 Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
Für bestimmte Länder hat die EU-Kommission festgestellt, dass dort ein angemessenes Datenschutzniveau besteht. In diesem Fall ist keine weitere Genehmigung erforderlich.
Beispiele:
- USA: EU-U.S. Data Privacy Framework (DPF) – gilt für zertifizierte US-Unternehmen
- Vereinigtes Königreich (UK): Angemessenheitsbeschluss seit 2021
- Schweiz, Kanada, Japan, Israel u. a.
Wichtig: Wir übermitteln Daten nur auf Basis eines Angemessenheitsbeschlusses (DPF, sofern zertifiziert) oder geeigneter Garantien (SCC inkl. ggf. zusätzlicher Maßnahmen).
Wir arbeiten nur mit US-Unternehmen zusammen, die zertifiziert sind. Eine Liste der Unternehmen, die nach dem EU-U.S. Data Privacy Framework zertifiziert sind, finden Sie unter: https://www.dataprivacyframework.gov
4.2 Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Wenn kein Angemessenheitsbeschluss vorliegt oder zusätzliche Sicherheit gewünscht ist, schließen wir mit unseren Dienstleistern die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCC) ab. Diese verpflichten den Empfänger, ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten.
4.3 Auftragsverarbeitungsverträge (Art. 28 DSGVO)
Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge (AVV) abgeschlossen. Diese regeln:
- Die Art und den Umfang der Datenverarbeitung
- Technische und organisatorische Maßnahmen zum Datenschutz
- Die Pflicht zur Vertraulichkeit
- Die Rechte und Pflichten beider Parteien
- Die Löschung von Daten nach Abschluss des Auftrags
Beispiele für Drittlandtransfers:
Dienstleister | Land | Garantie |
OpenAI | USA | Standardvertragsklauseln |
Google (Gemini) | USA | EU-U.S. Data Privacy Framework + Standardvertragsklauseln |
Anthropic (Claude) | USA | Standardvertragsklauseln |
Microsoft (Power Automate, Copilot) | USA | EU-U.S. Data Privacy Framework + Standardvertragsklauseln |
Superpowered Labs (VAPI AI) | USA | Standardvertragsklauseln |
5. Allgemeines zum Einsatz von Künstlicher Intelligenz (KI)
Wir setzen Künstliche Intelligenz (KI) ein, um unsere Dienstleistungen zu verbessern, Prozesse zu automatisieren und Ihnen einen besseren Service zu bieten. Dabei legen wir großen Wert auf Transparenz und Datenschutz.
5.1 Übersicht: Wo und wie setzen wir KI ein?
Einsatzbereich | KI-Anbieter | Zweck | Rechtsgrundlage | Speicherdauer | Drittlandübermittlung |
Website-Chatbot | DentroInnovation OÜ, Estland / OpenAI LLC, USA / Anthropic, USA | Beantwortung von Kundenanfragen | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 30 Tage | USA (SCC) |
E-Mail-Bearbeitung | Microsoft Power Automate, EU-Region / OpenAI LLC, USA | Automatische Bearbeitung von Anfragen | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | 30 Tage (OpenAI), temporär (Power Automate) | USA (SCC; Data Privacy Framework) |
Interne Prozessautomatisierung | Microsoft 365 (Copilot), EU-Region / OpenAI LLC, USA | Unterstützung bei administrativen Aufgaben | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Gemäß interner Richtlinien (Microsoft 365) | USA (Data Privacy Framework; SCC) |
KI-gestützte Telefonie | Superpowered Labs Inc. (VAPI AI), USA / OpenAI LLC, USA / Assembly, USA / Deepgram, USA / ElevenLabs, USA | Transkription und Analyse von Telefonaten, automatisierte Anrufbearbeitung | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 30 Tage | USA (SCC) |
Wichtiger Hinweis: Wir verarbeiten personenbezogene Daten durch KI-Systeme nur im notwendigen Mindestmaß und ausschließlich für die angegebenen Zwecke. Eine Nutzung Ihrer Daten für das Training von KI-Modellen erfolgt nicht, da dies vertraglich ausgeschlossen wurde.
5.2 Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Wir setzen KI nicht ein, um automatisierte Einzelentscheidungen zu treffen, die für Sie rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen (z. B. automatische Ablehnung von Vertragsanfragen oder Bonitätsprüfungen ausschließlich durch KI).
Wie KI-Systeme uns unterstützen:
Unsere KI-Systeme unterstützen Mitarbeiter bei der Bearbeitung von Anfragen, indem sie:
- Anfragen vorstrukturieren und kategorisieren
- Antwortvorschläge generieren
- Informationen aus Dokumenten extrahieren
- Routineaufgaben automatisieren
Die finale Entscheidung über geschäftskritische Vorgänge (z. B. Vertragsabschlüsse, Ablehnungen, Bonitätsentscheidungen) trifft jedoch immer ein Mitarbeiter.
Hinweis: Weitere Informationen zu Ihren Rechten in Bezug auf die Verarbeitung Ihrer Daten durch KI finden Sie im Abschnitt 14. Betroffenenrechte.
6. Datenschutzinformationen für Besucher der Webseite
6.1 Allgemeines zur Datenverarbeitung auf unserer Website
Beim Besuch unserer Website www.choice.de werden automatisch Informationen verarbeitet, die technisch notwendig sind, um Ihnen die Website anzuzeigen und deren Funktionen bereitzustellen. Darüber hinaus setzen wir Dienste ein, die uns helfen, die Website zu verbessern, zu analysieren und Ihnen relevante Inhalte anzuzeigen.
6.2 Cookies und ähnliche Technologien
Was sind Cookies und ähnliche Technologien?
Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Website besuchen. Ähnliche Technologien umfassen Methoden wie Local Storage, Session Storage oder Pixel-Tags, die ebenfalls Daten auf Ihrem Endgerät ablegen oder auslesen können. Diese Technologien ermöglichen es, Sie bei einem erneuten Besuch wiederzuerkennen, bestimmte Einstellungen zu speichern oder Ihr Nutzerverhalten zu analysieren.
Welche Arten von Cookies und ähnlichen Technologien setzen wir ein?
Kategorie | Beschreibung | Einwilligung erforderlich |
Notwendig | Erforderlich, um die Grundfunktionen der Website bereitzustellen (z. B. Session-Management, Consent-Verwaltung, IT-Sicherheit). | Nein |
Funktional | Ermöglichen erweiterte Funktionen und eine komfortablere Nutzung (z. B. Schriftarten, CDN, Chatbot). | Ja |
Analyse | Helfen uns, das Verhalten der Nutzer auf unserer Website zu verstehen und die Website zu verbessern. | Ja |
Marketing | Ermöglichen personalisierte Werbung und die Erfolgsmessung von Werbekampagnen. | Ja |
Wie können Sie den Einsatz dieser Technologien verwalten?
Unser Consent-Banner ermöglicht es Ihnen, individuell zu entscheiden, welche Kategorien von Cookies und ähnlichen Technologien Sie zulassen möchten. Dabei steuert das Banner alle einwilligungsbedürftigen Inhalte, einschließlich Technologien zur Analyse, Marketing und Funktionalität. Die Einwilligung wird protokolliert und kann jederzeit über den Link ‚Cookie-Einstellungen‘ am Ende jeder Seite widerrufen werden. Bitte beachten Sie, dass technisch notwendige Cookies gemäß § 25 Abs. 2 TDDDG keine Einwilligung erfordern.
6.3 Eingesetzte Dienste und Tools
6.3.1 Kategorie: Notwendig
Diese Dienste sind technisch erforderlich, um die Website bereitzustellen. Sie benötigen keine Einwilligung.
Dienst | Anbieter | Zweck | Verarbeitete Daten | Drittlandübermittlung | Speicherdauer |
Webhosting & Server-Logfiles | Hetzner Online GmbH, Deutschland | Technische Bereitstellung der Website, IT-Sicherheit, Erkennung und Abwehr von Angriffen | IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Referrer-URL, Browser-Typ, Betriebssystem | Nein | 7 Tage (danach Anonymisierung) |
Usercentrics | Usercentrics GmbH, Deutschland | Verwaltung von Cookie-Einwilligungen | Zeitstempel, IP-Adresse (verschlüsselt), Einwilligungsstatus | Nein | 12 Monate |
WordPress Session-Cookie | Hetzner Online GmbH, Deutschland | Verwaltung der Benutzersitzung, Speicherung temporärer Daten während des Besuchs | Session-ID (pseudonym) | Nein | Bis zum Ende der Sitzung |
Cloudflare | Cloudflare Inc., USA | Schutz vor Angriffen, Optimierung der Ladezeiten | IP-Adresse, Geräteinformationen | USA (Data Privacy Framework) | Temporär (während der Sitzung) |
6.3.2 Kategorie: Funktional
Diese Dienste verbessern die Nutzererfahrung, sind aber nicht zwingend erforderlich.
Dienst | Anbieter | Zweck | Verarbeitete Daten | Drittlandübermittlung | Speicherdauer |
Google Fonts | Google LLC, USA | Darstellung von Schriftarten | IP-Adresse, Browser-Typ | USA (Data Privacy Framework) | Keine dauerhafte Speicherung |
jsDelivr | Volentio JSD Limited, Vereinigtes Königreich | Content Delivery Network (CDN) zur Optimierung der Ladezeiten | IP-Adresse, aufgerufene Ressource, Zeitstempel | Vereinigtes Königreich (Angemessenheitsbeschluss) | Temporär während der Sitzung |
KI-gestützter Chatbot | DentroInnovation OÜ, Estland / OpenAI LLC, USA | Unterstützung der Nutzer durch Beantwortung von Anfragen und Navigation | Chat-Inhalte, IP-Adresse, Zeitstempel, Browser-Informationen | USA (SCC) | 30 Tage (OpenAI) |
Google reCAPTCHA | Google LLC, USA | Schutz vor Spam und automatisierten Anfragen | IP-Adresse, Browser-Fingerprint, Mausbewegungen, Zeitstempel | USA (Data Privacy Framework) | Temporär während der Sitzung |
Google Photos | Google LLC, USA | Bereitstellung von Bildern über die Plattform | IP-Adresse, Geräteinformationen | USA (Data Privacy Framework) | Keine dauerhafte Speicherung |
Withgoogle Websites | Google LLC, USA | Bereitstellung von Ressourcen über Google-Dienste | IP-Adresse, Geräteinformationen | USA (Data Privacy Framework) | Temporär während der Sitzung |
Google Skripte | Google LLC, USA | Diverse Google-Skripte zur Bereitstellung von Funktionen der Webseite | IP-Adresse, Geräteinformationen | USA (Data Privacy Framework) | Temporär während der Sitzung |
6.3.3 Kategorie: Analyse
Diese Dienste helfen uns zu verstehen, wie Besucher unsere Website nutzen. Sie benötigen eine Einwilligung.
Dienst | Anbieter | Zweck | Verarbeitete Daten | Drittlandübermittlung | Speicherdauer |
Usercentrics Analytics | Usercentrics GmbH, Deutschland | Analyse der Einwilligungsraten und Nutzerinteraktionen mit dem Consent-Banner | IP-Adresse, Einwilligungsstatus, Zeitstempel | Nein | 12 Monate |
6.3.4 Kategorie: Marketing
Diese Dienste ermöglichen personalisierte Werbung und die Erfolgsmessung von Werbekampagnen. Sie benötigen eine Einwilligung.
Dienst | Anbieter | Zweck | Verarbeitete Daten | Drittlandübermittlung | Speicherdauer |
Google Analytics (GA4) | Google LLC, USA | Analyse des Nutzerverhaltens, wird als Marketing-Tool eingestuft | IP-Adresse (anonymisiert), Cookie-ID, Geräteinformationen, Klickpfade | USA (Data Privacy Framework) | Cookies: 14 Monate, Daten: 26 Monate |
Google Tag Manager | Google LLC, USA | Verwaltung und Einbindung von Tags zur Verbesserung von Marketing- und Tracking-Funktionen | IP-Adresse, Browser-Informationen | USA (Data Privacy Framework) | Keine dauerhafte Speicherung |
Google Ads Conversion Tracking | Google LLC, USA | Erfolgsmessung von Werbekampagnen | IP-Adresse, Cookie-ID, Klick-ID (GCLID), aufgerufene Seiten, Conversion-Ereignisse, Zeitstempel | USA (Data Privacy Framework) | Cookies: 90 Tage; Daten: 540 Tage |
Google Ads Remarketing | Google LLC, USA | Personalisierte Werbung auf anderen Websites | IP-Adresse, Cookie-ID, aufgerufene Seiten, Interaktionen mit Inhalten | USA (Data Privacy Framework) | Cookies: 540 Tage |
Google DoubleClick | Google LLC, USA | Programmatische Werbung, Display-Werbung | IP-Adresse, Cookie-ID, aufgerufene Seiten, Interaktionen mit Werbeanzeigen, Zeitstempel | USA (Data Privacy Framework) | Cookies: 540 Tage |
LinkedIn Insight Tag | LinkedIn Corporation, USA | Analyse von Interaktionen auf LinkedIn | IP-Adresse, Cookie-ID, Klickpfade | USA (Data Privacy Framework) | Cookies: 180 Tage |
Google Adsense for YouTube | Google LLC, USA | Personalisierte Werbung auf YouTube | IP-Adresse, Cookie-ID, aufgerufene Videos | USA (Data Privacy Framework) | Cookies: 540 Tage |
YouTube Images | Google LLC, USA | Darstellung von Vorschaubildern für eingebettete Videos | IP-Adresse, Cookie-ID | USA (Data Privacy Framework) | Cookies: 540 Tage |
Wichtiger Hinweis:
Bei aktivierter Einwilligung können wir pseudonyme Nutzungsprofile für Remarketing erstellen. Sie können diese Einwilligung jederzeit widerrufen und dem Profiling widersprechen.
6.4 Kontaktformular
Beschreibung:
Wenn Sie uns über das Kontaktformular kontaktieren, werden Ihre Daten zur Bearbeitung Ihrer Anfrage verarbeitet.
System | Zweck | Verarbeitete Daten | Drittlandübermittlung | Speicherdauer |
Fluent Forms | Bereitstellung des Kontaktformulars | Anrede (optional), Vorname, Nachname, Firma (optional), E-Mail-Adresse, Telefonnummer (optional), Unternehmen (optional), Nachrichteninhalt, IP-Adresse | USA (Data Privacy Framework) | Temporär |
Salesforce CRM | Speicherung und Verwaltung von Anfragen | Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Nachrichteninhalt, Zeitpunkt, IP-Adresse | USA (Data Privacy Framework) | 3 Jahre (ohne Vertragsabschluss) |
Google reCAPTCHA | Schutz vor Spam und automatisierten Anfragen | IP-Adresse, Browser-Fingerprint, Mausbewegungen, Klickverhalten, Zeitstempel | USA (Data Privacy Framework) | Temporär (während der Sitzung) |
KI-gestützte E-Mail-Bearbeitung | Automatische Bearbeitung und Beantwortung von Anfragen | E-Mail-Inhalte, Name, E-Mail-Adresse, Zeitstempel | USA (SCC) | 30 Tage (OpenAI), temporär (Power Automate) |
Wichtige Hinweise:
- Die KI-Systeme nutzen Ihre Daten nicht für das Training von KI-Modellen. Dies ist vertraglich ausgeschlossen.
- Bitte geben Sie im Kontaktformular keine sensiblen Daten ein (z. B. Gesundheitsdaten, Bankdaten, Passwörter).
- Wenn Sie uns über das Kontaktformular kontaktieren, werden Ihre angegebenen Daten zur Bearbeitung Ihrer Anfrage sowie – sofern von Ihnen gewünscht – für die Zusendung von Informationen zu unseren Produkten und Dienstleistungen verarbeitet. Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage und zur damit verbundenen Kommunikation verarbeitet. Darüber hinaus können wir die Daten verwenden, um unseren Kundenservice zu verbessern, indem wir häufige Anfragen analysieren und unsere Prozesse optimieren. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
7. Datenschutzinformationen für Geschäftspartner, Kunden und weitere Personengruppen
7.1 Allgemeines zur Datenverarbeitung im Geschäftsverkehr
Wir verarbeiten personenbezogene Daten von Geschäftspartnern und Kunden (insbesondere Unternehmen und deren Mitarbeiter), um Geschäftsbeziehungen anzubahnen, durchzuführen und abzuwickeln. Dies umfasst alle Maßnahmen, die für die Vertragserfüllung erforderlich sind.
7.2 Verarbeitete Daten und Zwecke
Im Rahmen unserer Geschäftsbeziehungen verarbeiten wir verschiedene Kategorien personenbezogener Daten. Die folgende Tabelle gibt Ihnen einen Überblick über die wichtigsten Datenkategorien, deren Verwendungszwecke und die jeweiligen Speicherdauern:
Datenkategorie | Beispiele | Zweck | Speicherdauer |
Stammdaten | Name, Vorname, Firma, Position, Anschrift | Identifikation, Kommunikation, Vertragsabwicklung | Dauer der Geschäftsbeziehung + 3-10 Jahre |
Kontaktdaten | E-Mail-Adresse, Telefonnummer, Mobilnummer | Kommunikation, Vertragsabwicklung | Dauer der Geschäftsbeziehung + 3-10 Jahre |
Vertragsdaten | Vertragsart, Vertragsnummer, Laufzeit, Konditionen, Bestelldaten, Lieferdaten | Vertragserfüllung, Dokumentation | 6-10 Jahre (HGB, AO) |
Zahlungsdaten | Bankverbindung, Rechnungsadresse, Zahlungsart, Zahlungshistorie | Zahlungsabwicklung, Buchhaltung | 10 Jahre (steuerliche Aufbewahrungspflichten) |
Kommunikationsdaten | E-Mails, Telefonate, Briefe, Chat-Verläufe, Notizen | Kundenbetreuung, Dokumentation, Qualitätssicherung | Mind. 3 Jahre (gesetzliche Verjährungsfrist) |
CRM-Daten | Korrespondenzhistorie, Interessensprofile, Kundenzufriedenheit | Kundenbeziehungsmanagement, Serviceoptimierung | Dauer der Geschäftsbeziehung + 3 Jahre |
Fahrzeugbezogene Daten | Fahrzeug-Identifikationsnummer (FIN), Kennzeichen, Fahrzeugtyp, Zustandsprotokolle, Kilometerstand | Fahrzeugverwaltung, Vertragsabwicklung, Schadensmanagement | 6-10 Jahre |
Versicherungsdaten | Versicherungsunternehmen, Versicherungsnummer, Versicherungsbestätigung | Abwicklung von Versicherungsfällen, Schadensregulierung | Bis zur Abwicklung + 3 Jahre |
Schadensdaten | Unfallberichte, Schadensfotos, Gutachten, Ordnungswidrigkeiten, Verkehrsverstöße | Schadensabwicklung, Geltendmachung von Ansprüchen | Bis zur Abwicklung + 3 Jahre |
Bonitätsdaten | Bonitätsauskünfte, Scoring-Werte, Zahlungsverhalten | Prüfung der Zahlungsfähigkeit, Risikominimierung | Bis Vertragsende + 3 Jahre |
Connected Car-Daten | Telemetriedaten, Standortdaten, Nutzungsdaten (sofern technisch verfügbar und vertraglich vereinbart) | Fahrzeugmanagement, Wartungsplanung, Schadensprävention | Gemäß vertraglicher Vereinbarung |
7.3 Empfänger und Kategorien von Empfängern
Ihre Daten werden innerhalb unseres Unternehmens nur an Personen weitergegeben, die diese zur Erfüllung ihrer Aufgaben benötigen. Darüber hinaus geben wir Daten an folgende externe Empfänger weiter:
Empfängerkategorie | Beispiele | Zweck | Drittlandübermittlung |
Verbundene Unternehmen | KMS Mobility Solutions GmbH, Fuhrwerk Plus GmbH, insert effect GmbH | Vertragsabwicklung, Kundenbetreuung | Nein (Deutschland) |
IT-Dienstleister | Hetzner (Hosting), Microsoft 365, Salesforce (CRM) | Technische Bereitstellung, Datenverwaltung | USA (Microsoft, Salesforce – Data Privacy Framework) |
Zahlungsdienstleister | Banken, Kreditkartenunternehmen | Zahlungsabwicklung | Nein (EU) |
Logistik- und Zulassungsdienste | PS-Team Deutschland GmbH, TÜV Süd, Fuhrwerk Plus GmbH | Fahrzeugzulassung, Außerbetriebsetzung, Logistik | Nein (Deutschland) |
Bonitätsauskunfteien | CRIF GmbH, SCHUFA Holding AG, Creditreform | Bonitätsprüfung | Nein (Deutschland) |
Gutachter und Sachverständige | TÜV SÜD, intertaxexpert / myschaden24 | Fahrzeugbewertung, Schadensbeurteilung | Nein (Deutschland) |
Inkasso- und Rechtsdienstleister | Inkassounternehmen, Rechtsanwälte | Forderungsmanagement, Rechtsdurchsetzung | Nein (Deutschland) |
Steuerberater und Wirtschaftsprüfer | Steuerberater | Gesetzliche Verpflichtungen, Jahresabschluss | Nein (Deutschland) |
Behörden und öffentliche Stellen | Finanzämter, Polizei, Staatsanwaltschaft, Ordnungsämter, Kommunen | Gesetzliche Verpflichtungen, Strafverfolgung | Nein (Deutschland) |
7.4 Besondere Verarbeitungsvorgänge
7.4.1 Bonitätsprüfung und Scoring
Vor Vertragsabschluss oder bei berechtigtem Interesse prüfen wir Ihre Bonität durch Einholung von Auskünften bei Auskunfteien. Dabei erhalten wir Informationen zu Ihrem bisherigen Zahlungsverhalten und Bonitätswerte (Score). Dies dient der Minimierung von Zahlungsausfallrisiken.
Eingesetzte Auskunfteien:
- SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden – https://www.schufa.de/datenschutz
- CRIF GmbH, Victor-Gollancz-Straße 5, 76137 Karlsruhe – https://www.crifbuergel.de/de/datenschutz
- Creditreform, Hammfelddamm 13, 41460 Neuss – https://www.creditreform.de/datenschutz
Widerspruchsrecht: Sie können dieser Verarbeitung widersprechen. In diesem Fall kann es jedoch sein, dass wir den Vertrag nicht abschließen können oder nur gegen Vorkasse anbieten.
7.4.2 Forderungsmanagement und Inkasso
Bei Zahlungsverzug können wir Ihre Daten an Inkassounternehmen oder Rechtsanwälte weitergeben, um offene Forderungen durchzusetzen.
7.4.3 Ordnungswidrigkeiten und Verkehrsverstöße
Im Zusammenhang mit der Nutzung unserer Fahrzeuge kann es erforderlich sein, personenbezogene Daten zur Bearbeitung von Ordnungswidrigkeiten oder Verkehrsverstößen zu verarbeiten. Dies erfolgt insbesondere, wenn wir von Behörden zur Auskunft über den Fahrzeugführer aufgefordert werden.
7.4.4 Connected Car und Telematik
Bei Fahrzeugen mit Connected Car-Funktionen können technische Daten (z. B. Standort, Kilometerstand, Fahrzeugzustand, Nutzungsverhalten) erfasst werden. Diese Datenverarbeitung erfolgt nur, wenn dies vertraglich vereinbart ist oder Sie eingewilligt haben.
Hinweis: Bei Connected Car-Diensten haben wir in der Regel keinen Einfluss darauf, welche Daten die Fahrzeughersteller und -importeure über die im Fahrzeug verbauten Systeme aufzeichnen und verarbeiten. Die Fahrzeughersteller sind für diese Datenverarbeitung eigenverantwortlich.
7.5 Werbung gegenüber Bestandskunden
Wir nutzen Ihre E-Mail-Adresse, um Ihnen Informationen zu ähnlichen Produkten oder Dienstleistungen zukommen zu lassen. Diese Direktwerbung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 Abs. 3 UWG.
Widerspruchsrecht: Sie können dieser Verwendung jederzeit widersprechen – z. B. über den Abmeldelink in der E-Mail.
8. Datenschutzinformationen für Fleetshop-Nutzer
8.1 Was ist der Fleetshop?
Der Fleetshop ist unsere digitale B2B-Plattform, über die Geschäftskunden Fahrzeuge anmieten können. Die Plattform ermöglicht die Buchung, Verwaltung und Abwicklung von Mietverträgen.
8.2 Zusätzlich verarbeitete Daten
Zusätzlich zu den in Abschnitt 7.2 genannten allgemeinen Geschäftsdaten verarbeiten wir im Rahmen des Fleetshops folgende spezifische Daten:
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Benutzerkontodaten | Benutzername, Passwort (verschlüsselt), Berechtigungen | Zugang zur Plattform, Authentifizierung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Bis zur Löschung des Kontos |
Buchungsdaten | Mietzeitraum, Fahrzeugtyp, Buchungsnummer, Abholort, Rückgabeort | Vertragsabwicklung, Fahrzeugverwaltung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 6-10 Jahre |
Technische Zugriffsdaten | IP-Adresse (anonymisiert), Browsertyp, verwendete Endpoints sowie Request-Parameter | Systembetrieb, IT-Sicherheit, Fehlerdiagnose | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Ca. 7 Tage |
Formulareingaben | Kontaktformulare, Anfragen, Feedback | Kundenservice, Vertragsanbahnung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 3 Jahre |
8.3 Eingesetzte Systeme und Dienstleister
System/Dienst | Anbieter | Zweck | Rechtsgrundlage | Drittlandübermittlung |
Fleetshop-Front- und -Backend | KMS Mobility Solutions GmbH, Deutschland | Mietverwaltungssoftware, Buchungsabwicklung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Nein |
Hosting | Hetzner Online GmbH, Deutschland | Technische Bereitstellung der Plattform | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Nein |
CRM (Salesforce) | Salesforce Inc., USA / Salesforce.com Germany GmbH, Deutschland | Kundendatenverwaltung, Vertragsmanagement | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | USA (Data Privacy Framework) |
Google Maps | Google LLC, USA | Standortanzeige, Routenplanung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | USA (Data Privacy Framework) |
Wichtiger Hinweis: Führerscheininformationen werden nicht in unserer Systemlandschaft gespeichert.
9. Datenschutzinformationen für Choice Connect-Nutzer
9.1 Was ist Choice Connect?
Choice Connect ist unsere digitale B2B-Kundenplattform, die Geschäftskunden Funktionen zur Buchung, Verwaltung und Planung von Fahrzeugen sowie zur Einsicht in vertragsrelevante Informationen bietet.
9.2 Zusätzlich verarbeitete Daten
Zusätzlich zu den in Abschnitt 7.2 genannten allgemeinen Geschäftsdaten verarbeiten wir im Rahmen von Choice Connect folgende spezifische Daten:
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Benutzerkontodaten | Benutzername, Passwort (verschlüsselt), Berechtigungen, Rollen | Zugang zur Plattform, Authentifizierung, Rechteverwaltung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Bis zur Löschung des Kontos |
Planungsdaten | Fahrzeugbuchungen, Nutzungszeiträume, Planungskalender | Flottenmanagement, Ressourcenplanung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 6-10 Jahre |
Reporting-Daten | Nutzungsstatistiken, Kostenübersichten, Auslastungsberichte | Transparenz, Controlling, Optimierung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | 6-10 Jahre |
Technische Zugriffsdaten | IP-Adresse, Zeitstempel, Browserdaten | Systembetrieb, IT-Sicherheit | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Wenige Wochen |
9.3 Eingesetzte Systeme und Dienstleister
System/Dienst | Anbieter | Zweck | Rechtsgrundlage | Drittlandübermittlung |
Salesforce CRM | Salesforce Inc., USA / Salesforce.com Germany GmbH, Deutschland | Verwaltung von Kundendaten | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | USA (Data Privacy Framework) |
Mailchimp | Intuit Inc., USA | E-Mail-Versand, Kampagnenverwaltung, Tracking, Verwaltung von Abmeldungen | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) | USA (Data Privacy Framework) |
HubSpot | HubSpot Inc., USA | E-Mail-Versand, Marketing-Automation, Tracking, Verwaltung von Abmeldungen | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) | USA (Data Privacy Framework) |
10. Werbung und Marketing
10.1 E-Mail-Marketing
Beschreibung
Wir nutzen die E-Mail-Adressen von Geschäftskunden und Interessenten, um diese über Produkte, Dienstleistungen, Angebote und Veranstaltungen zu informieren. Marketing-E-Mails erhalten sowohl aktive Kunden als auch Interessenten, die ihre Einwilligung gegeben haben.
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Kontaktdaten | Name, Vorname, Unternehmen, Position, E-Mail-Adresse | Versand von Marketing-E-Mails an Bestandskunden und Interessenten | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Verbindung mit § 7 Abs. 3 UWG | Bis zum Widerruf der Einwilligung oder Widerspruch |
Interaktionsdaten | Öffnungs- und Klickraten, Zeitstempel | Analyse und Optimierung von Marketing-Kampagnen | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) | Bis zum Widerruf der Einwilligung oder Widerspruch |
10.1.1 Eingesetzte Dienstleister
System/Dienst | Anbieter | Zweck | Drittlandübermittlung | Garantie |
Salesforce CRM | Salesforce Inc., USA / Salesforce.com Germany GmbH | Verwaltung von Kundendaten | USA (Data Privacy Framework) | Data Privacy Framework + Standardvertragsklauseln |
Mailchimp | Intuit Inc., USA | E-Mail-Versand, Kampagnenverwaltung, Tracking, Verwaltung von Abmeldungen | USA (Data Privacy Framework) | Data Privacy Framework + Standardvertragsklauseln |
HubSpot | HubSpot Inc., USA | E-Mail-Versand, Marketing-Automation, Tracking, Verwaltung von Abmeldungen | USA (Data Privacy Framework) | Data Privacy Framework + Standardvertragsklauseln |
10.2 Abmeldung von Marketing-E-Mails
Wie können Sie sich abmelden?
- Über den Abmeldelink in jeder Marketing-E-Mail
Nach Ihrer Abmeldung wird Ihre E-Mail-Adresse in unseren Marketing-Tools als abgemeldet markiert und in einer systemseitigen Sperrliste gespeichert. Dies stellt sicher, dass Sie keine weiteren Marketing-E-Mails erhalten.
Rechtsgrundlage für die Sperrliste: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer der Sperrliste: So lange, wie wir Marketing-E-Mails versenden.
10.3 Allgemeine Informationen zur Geschäftstätigkeit
Beschreibung:
Unabhängig vom Marketing-Status versenden wir an alle Geschäftskontakte allgemeine Informationen zur Geschäftstätigkeit:
- Kritische Vorfälle (z. B. IT-Sicherheitsvorfälle, Datenschutzverletzungen gemäß Art. 34 DSGVO)
- Wichtige Mitteilungen zur Geschäftsbeziehung (z. B. Änderungen von AGB, Datenschutzerklärung)
- Informationen zu Systemwartungen oder Ausfällen
Rechtsgrundlage:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
- Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Widerspruchsrecht: Ein Widerspruch ist möglich, kann aber dazu führen, dass Sie wichtige Informationen nicht erhalten.
10.4 Postwerbung
Wir können unseren Geschäftskunden und Interessenten Werbematerial per Post zusenden.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Widerspruchsrecht: Ein Widerspruch ist jederzeit möglich.
10.5 Datenschutz-Compliance bei Werbung
Verarbeitungsvorgang | Zweck | Rechtsgrundlage | Empfänger | Speicherdauer |
Dokumentation von Einwilligungen | Nachweis der Einwilligung gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) | Art. 6 Abs. 1 lit. c, f DSGVO | Proliance GmbH (Datenschutzbeauftragter), Datenschutzaufsichtsbehörden, IT-Dienstleister, Marketing-Tools | 3 Jahre ab Ende des Jahres, in dem die Einwilligung zuletzt genutzt wurde |
Dokumentation von Betroffenenrechten | Nachweis der ordnungsgemäßen Bearbeitung von Auskunfts-, Löschungs-, Widerspruchsanfragen | Art. 6 Abs. 1 lit. c, f DSGVO | Proliance GmbH, Datenschutzaufsichtsbehörden, IT-Dienstleister | 3 Jahre ab Ende des Jahres, in dem das Recht ausgeübt wurde |
Werbesperrliste (systemseitig in Mailchimp/HubSpot) | Dauerhafte Umsetzung von Widersprüchen gegen Werbung | Art. 6 Abs. 1 lit. f DSGVO | Mailchimp, HubSpot | So lange, wie wir Marketing-E-Mails versenden |
11. Datenschutzinformationen für Bewerber
11.1 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten von Bewerbern, um Bewerbungsverfahren durchzuführen, Entscheidungen über die Begründung eines Beschäftigungsverhältnisses zu treffen und – bei erfolgreicher Bewerbung – das Beschäftigungsverhältnis vorzubereiten.
Rechtsgrundlagen der Verarbeitung:
Die Verarbeitung erfolgt auf Basis der allgemeinen Rechtsgrundlagen, die im Abschnitt „Rechtsgrundlagen der Datenverarbeitung“ beschrieben sind.
11.2 Verarbeitete Daten
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Stammdaten | Name, Vorname, Anschrift, Geburtsdatum | Identifikation, Kommunikation | Art. 88 DSGVO i.V.m. § 26 BDSG | 6 Monate nach Abschluss des Verfahrens |
Kontaktdaten | E-Mail-Adresse, Telefonnummer, Mobilnummer | Kommunikation im Bewerbungsprozess | Art. 88 DSGVO i.V.m. § 26 BDSG | 6 Monate nach Abschluss des Verfahrens |
Bewerbungsunterlagen | Anschreiben, Lebenslauf, Zeugnisse, Zertifikate | Bewertung der Qualifikationen, Auswahlentscheidung | Art. 88 DSGVO i.V.m. § 26 BDSG | 6 Monate nach Abschluss des Verfahrens |
Interne Bewertungen | Notizen zur Bewerbung, interne Bewertungen, Entscheidungsdokumentation | Auswahlentscheidung | Art. 88 DSGVO i.V.m. § 26 BDSG | 6 Monate nach Abschluss des Verfahrens |
Kommunikationsdaten | Schriftverkehr, Terminvereinbarungen | Organisation des Bewerbungsprozesses | Art. 6 Abs. 1 lit. b DSGVO | 6 Monate nach Abschluss des Verfahrens |
Talentpool-Daten | Name, Kontaktdaten, Qualifikationen | Aufnahme in den Talentpool (nur mit Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | Gemäß Einwilligung |
11.3 Empfänger
Empfängerkategorie | Beispiele | Zweck | Drittlandübermittlung |
Interne Fachabteilungen | Personalabteilung / HR-Team, Fachbereich | Auswahlentscheidung | Nein |
Angeschlossene Unternehmen | Personalabteilung/HR-Team, Fachbereich | Talentpool | Nein |
Externe Dienstleister | rexx systems GmbH (Bewerbermanagementsystem) | Verwaltung und Speicherung der Bewerbungsdaten | Nein |
Behörden | Finanzämter, Gerichte | Gesetzliche Verpflichtungen | Nein |
11.4 Speicherdauer
Szenario | Speicherdauer | Begründung |
Erfolgreiche Bewerbung | Übernahme in die Personalakte | Art. 88 DSGVO i.V.m. § 26 BDSG |
Absage | 6 Monate nach Abschluss des Verfahrens | Art. 88 DSGVO i.V.m. § 26 BDSG |
Einwilligung (Talentpool) | Gemäß Einwilligung | Art. 6 Abs. 1 lit. a DSGVO |
11.5 Hinweise zur Nutzung unseres Bewerbungsformulars
Die von Ihnen im Bewerbungsformular eingegebenen Daten sowie die hochgeladenen Dateien werden automatisch in unser Bewerbermanagementsystem übertragen und dort verarbeitet. Dabei werden Stammdaten aus Ihrem Lebenslauf automatisiert den entsprechenden Formularfeldern zugeordnet, um den Eingabeaufwand zu reduzieren. Die Datenverarbeitung erfolgt ausschließlich zur Durchführung des Bewerbungsverfahrens und, sofern Sie zugestimmt haben, zur Weitergabe Ihrer Bewerbung an Tochterunternehmen der Choice AG. Bitte beachten Sie, dass keine sensiblen Daten (z. B. Gesundheitsdaten, politische Meinungen) hochgeladen werden sollten.
11.6 Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO (z. B. automatische Ablehnung durch KI-Systeme) findet nicht statt. Alle Entscheidungen im Bewerbungsverfahren werden von Menschen getroffen. KI-Systeme können lediglich zur Unterstützung eingesetzt werden (z. B. zur Vorauswahl von Bewerbungen), die finale Entscheidung trifft jedoch immer ein Mensch.
12. Datenschutzinformationen für Bürobesucher
12.1 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten von Besucherinnen und Besuchern unserer Bürostandorte zur Zutrittsdokumentation, Sicherheitskontrolle und Besuchskoordination. Dies dient der Gewährleistung der Sicherheit unserer Mitarbeiter, Kunden und Räumlichkeiten.
Rechtsgrundlagen der Verarbeitung:
Die Verarbeitung erfolgt auf Basis der allgemeinen Rechtsgrundlagen, die im Abschnitt „Rechtsgrundlagen der Datenverarbeitung“ beschrieben sind.
12.2 Verarbeitete Daten
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Stammdaten | Name, Vorname, Unternehmen/Institution | Identifikation und Dokumentation des Besuchs | Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO i.V.m. ArbSchG, 15 SGB VII i.V.m. DGUV Vorschrift 1, StGB, BGB, Polizeigesetze der Länder); Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Bis zu 3 Jahre |
Kontaktdaten | E-Mail-Adresse, Telefonnummer | Kontaktaufnahme, Besuchskoordination | Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO i.V.m. ArbSchG, 15 SGB VII i.V.m. DGUV Vorschrift 1, StGB, BGB, Polizeigesetze der Länder); Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Bis zu 3 Jahre |
Besuchsdetails | Besuchszeit, Zweck des Besuchs, besuchte Kontaktperson | Dokumentation und Besuchskoordination | Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO i.V.m. ArbSchG, 15 SGB VII i.V.m. DGUV Vorschrift 1, StGB, BGB, Polizeigesetze der Länder); Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Bis zu 3 Jahre |
12.3 Empfänger und Kategorien von Empfängern
Empfängerkategorie | Beispiele | Zweck | Drittlandübermittlung |
Interne Abteilungen | Empfang, besuchte Fachabteilungen | Besuchskoordination, Empfang | Nein |
Vermieter | Ali Selmi Grundstücksgesellschaft bR, Eschersheimer Landstraße 60/62, 60322 Frankfurt am Main (Standort Berlin); noris network AG, Thomas-Mann-Straße 16-20, 90471 Nürnberg (Standort Nürnberg) | Gebäudemanagement, Zutrittskontrolle, Sicherheit (bei gemeinsamen Systemen) | Nein |
IT-Dienstleister | Hosting von Besucherverwaltungssystemen, Meeting-Tools | Technische Bereitstellung, Datenverwaltung | Nein |
Behörden | Polizei, Finanzämter, Staatsanwaltschaft | Gesetzliche Verpflichtungen | Nein |
12.4 Speicherdauer
Szenario | Speicherdauer | Begründung |
Regulärer Besuch | 3 Jahre nach Abschluss des Besuchs | Berechtigtes Interesse |
Sicherheitsvorfälle | Bis zur vollständigen Klärung + Verjährungsfrist (3-30 Jahre) | Rechtliche Ansprüche |
12.5 Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO findet nicht statt.
13. Datenschutzinformationen für Social Media
13.1 Allgemeines zur Datenverarbeitung
Wir betreiben Unternehmensseiten auf verschiedenen Social-Media-Plattformen, um mit Ihnen in Kontakt zu treten und über unser Unternehmen, unsere Produkte und Dienstleistungen zu informieren. Dabei werden personenbezogene Daten von Ihnen verarbeitet, wenn Sie mit unseren Inhalten interagieren (z. B. durch Kommentare, Likes oder Nachrichten).
Rechtsgrundlagen der Verarbeitung:
Die Verarbeitung erfolgt auf Basis der allgemeinen Rechtsgrundlagen, die im Abschnitt „Rechtsgrundlagen der Datenverarbeitung“ beschrieben sind.
13.2 Verarbeitete Daten
Datenkategorie | Beispiele | Zweck | Rechtsgrundlage | Speicherdauer |
Interaktionsdaten | Likes, Kommentare, Nachrichten, geteilte Inhalte | Interaktion mit Nutzern, Öffentlichkeitsarbeit | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Gemäß den Richtlinien der Plattformbetreiber |
Profilinformationen | Öffentlicher Name, Profilbild, Follower-Informationen | Kommunikation, Analyse von Interaktionen | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) | Gemäß den Richtlinien der Plattformbetreiber |
13.3 Gemeinsame Verantwortlichkeit
Bei der Nutzung von Social-Media-Plattformen (z. B. Facebook, LinkedIn) können wir gemeinsam mit den Plattformbetreibern für bestimmte Datenverarbeitungen verantwortlich sein. Dies betrifft insbesondere die Nutzung von Analysefunktionen und die Erstellung von Statistiken über die Nutzung unserer Unternehmensseiten.
Wesentliche Inhalte der Vereinbarung gemäß Art. 26 DSGVO:
- Verantwortlichkeiten:
- Die Plattformbetreiber (z. B. Meta, LinkedIn) sind primär verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen ihrer Plattformen, einschließlich der Analyse von Nutzerverhalten und der Erstellung von Statistiken.
- Wir sind verantwortlich für die Inhalte, die wir auf unseren Unternehmensseiten veröffentlichen, sowie für die Interaktion mit Nutzern (z. B. Beantwortung von Nachrichten, Moderation von Kommentaren).
- Geltendmachung von Rechten:
- Betroffene können ihre Rechte (z. B. Auskunft, Löschung) sowohl gegenüber uns als auch gegenüber den Plattformbetreibern geltend machen.
- Weitere Informationen zur Datenverarbeitung durch die Plattformbetreiber finden Sie in deren Datenschutzerklärungen:
- YouTube (Google): https://policies.google.com/privacy
- LinkedIn: https://www.linkedin.com/legal/privacy-policy
- Instagram (Meta): https://www.instagram.com/legal/privacy/
- Facebook (Meta): https://www.facebook.com/privacy/policy
Rechtsgrundlage:
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
13.4 Datenübermittlung in Drittstaaten
Die Plattformbetreiber können Daten in Drittländer (z. B. USA) übermitteln. Diese Übermittlungen erfolgen auf Basis von EU-Standardvertragsklauseln oder Angemessenheitsbeschlüssen der EU-Kommission (z. B. EU-U.S. Data Privacy Framework).
13.5 Speicherdauer
Die Speicherdauer richtet sich nach den internen Richtlinien der jeweiligen Plattformbetreiber. Daten, die Sie uns direkt übermitteln (z. B. per Direktnachricht), speichern wir nur so lange, wie es zur Bearbeitung Ihrer Anfrage erforderlich ist.
14. Betroffenenrechte
14.1 Ihre Rechte
Als betroffene Person haben Sie nach der Datenschutz-Grundverordnung (DSGVO) folgende Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:
Recht | Beschreibung |
Auskunftsrecht (Art. 15 DSGVO) | Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten. |
Recht auf Berichtigung (Art. 16 DSGVO) | Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. |
Recht auf Löschung (Art. 17 DSGVO) | Sie können die Löschung Ihrer Daten verlangen, wenn diese für die Zwecke nicht mehr erforderlich sind oder unrechtmäßig verarbeitet wurden. |
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) | Sie können verlangen, dass die Verarbeitung eingeschränkt wird, z. B. wenn Sie die Richtigkeit der Daten bestreiten. |
Widerspruchsrecht (Art. 21 DSGVO) | Sie können der Verarbeitung widersprechen, wenn diese auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt. |
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) | Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. |
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) | Sie können Ihre Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. |
14.2 Kontakt zur Geltendmachung Ihrer Rechte
Wenn Sie eines Ihrer Rechte geltend machen möchten oder Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, können Sie uns wie folgt kontaktieren:
Kontaktweg | Details |
Post | Choice AG, Datenschutzbeauftragter, Thomas-Mann-Straße 16-20, 90471 Nürnberg |
Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, beantworten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden; Sie werden in diesem Fall über die Verzögerung und die Gründe informiert.
14.3 Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).
Zuständige Aufsichtsbehörde für Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: https://www.lda.bayern.de
Sie können sich auch an die Datenschutzaufsichtsbehörde Ihres Wohn- oder Arbeitsorts oder des Orts des mutmaßlichen Verstoßes wenden.
15. Sonstige Datenverarbeitungen
15.1 Übersicht
In bestimmten Fällen verarbeiten wir personenbezogene Daten, um rechtliche Verpflichtungen zu erfüllen oder unsere berechtigten Interessen zu wahren. Diese Verarbeitung erfolgt nur, wenn sie erforderlich und rechtlich zulässig ist.
15.2 Verarbeitungszwecke
Verarbeitungsvorgang | Zweck | Rechtsgrundlage | Empfänger | Speicherdauer |
Erfüllung rechtlicher Verpflichtungen | Steuer- und handelsrechtliche Aufbewahrungspflichten, Meldepflichten an Behörden | Art. 6 Abs. 1 lit. c DSGVO | Steuerberater, Wirtschaftsprüfer, Behörden, Gerichte | 6-10 Jahre (gesetzliche Fristen) |
Ausübung oder Verteidigung von Rechtsansprüchen | Geltendmachung/Abwehr von Rechtsansprüchen (z. B. Forderungen, Haftung) | Art. 6 Abs. 1 lit. f DSGVO | Rechtsanwälte, Gerichte, Sachverständige, Inkassounternehmen | Bis zur Klärung + Verjährungsfristen (3-30 Jahre) |
Dokumentation von Einwilligungen | Nachweis der Einwilligung gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) | Art. 6 Abs. 1 lit. c, f DSGVO | Proliance GmbH (Datenschutzbeauftragter), Datenschutzaufsichtsbehörden, IT-Dienstleister | 3 Jahre ab Ende des Jahres, in dem die Einwilligung zuletzt genutzt wurde |
Dokumentation von Betroffenenrechten | Nachweis der ordnungsgemäßen Bearbeitung von Auskunfts-, Löschungs-, Widerspruchsanfragen | Art. 6 Abs. 1 lit. c, f DSGVO | Proliance GmbH, Datenschutzaufsichtsbehörden, IT-Dienstleister | 3 Jahre ab Ende des Jahres, in dem das Recht ausgeübt wurde |
15.3 Datenübermittlung in Drittstaaten
In bestimmten Fällen können personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Diese Übermittlungen erfolgen nur, wenn:
- Ein Angemessenheitsbeschluss der EU-Kommission vorliegt (z. B. EU-U.S. Data Privacy Framework) oder
- geeignete Garantien wie EU-Standardvertragsklauseln abgeschlossen wurden.
Für weitere Informationen siehe Abschnitt 4. Allgemeines zur Datenübermittlung in Drittstaaten.