Auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, wie wir mit Ihren personenbezogenen Daten umgehen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung
Wer ist verantwortlich für die Datenverarbeitung?
Die verantwortliche Stelle für die Datenverarbeitung ist:
Wärmewerk GmbH
Am Schleusengraben 24
21029 Hamburg
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o.Ä.) entscheidet.
Wer ist mit dem Datenschutz beauftragt und wie können Sie diese Person erreichen?
Das Wärmewerk beauftragt eine Person sowie eine Person in Vertretung mit Beratungs- und Kontrollfunktionen zum Thema Datenschutz sowie mit der Organisation und Umsetzung von Maßnahmen zum Datenschutz.
Diese Person ist unter der folgenden E-Mail-Adresse erreichbar:
datenschutz (at) waermewerk.de
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch, durch Verarbeitungstätigkeiten unserer Mitarbeitenden oder nach Ihrer Einwilligung durch unsere IT-Systeme erfasst.
Wessen Daten erfassen wir und wofür nutzen wir sie?
Wir verarbeiten personenbezogene Daten von unseren Mitarbeitenden, Kunden, Kooperationspartnern, Dienstleistern, Gesellschafter*innen sowie von Interessenten zu unterschiedlichen Zwecken und ausschließlich basierend auf den Rechtsgrundlagen gemäß Art. 6 der DSGVO. Diese sind kurz zusammengefasst:
- Einwilligung durch die betreffende Person
- Erfüllung von vertraglichen Verpflichtungen
- Erfüllung von gesetzlichen Vorgaben
- Schutz von lebenswichtigen Interessen
- Schutz von öffentlichem Interesse
- Unser eigenes berechtigtes Interesse als Unternehmen
Detaillierte Informationen, zu welchen Zwecken wir im einzelnen personenbezogene Daten verarbeiten, finden Sie im Abschnitt “Zwecke der Verarbeitung”.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.
Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf Grundlage der jeweils angegebenen Rechtsgrundlage.
- E-Mail-Kommunikation: Erstellung, Beantwortung, Versand und Speicherung von E-Mails (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Datei-Hosting: Zentrales, kollaboratives Erstellen, Bearbeiten und Verwalten von Dateien (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Kalender-Hosting: Zentrale Verwaltung von Terminen, Termineinladungen und Aufgaben (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Server-Hosting: Hosting und Betrieb von eigenen Diensten auf virtuellen Servern (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Webseite-Besuchsstatistik: Erfassung und Auswertung der Besuche unserer Webseite waermewerk.de (s. Abschnitt “Cookies und Analysetools”). (Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO))
- Aufgabenmanagement: Strukturierung, Koordinierung, Zuweisung und Verfolgung von Aufgaben der operativen und administrativen Bereiche des Wärmewerks (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Vertriebs- und Auftragsmanagement: Verwaltung und Verfolgung von Vertriebstätigkeiten und Aufträgen, Erzeugung von Angeboten und Rechnungen, Kontaktdaten von Kunden, Partnern und Dienstleistern (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Personalplanung und Arbeitszeiterfassung: Planung von Personalressourcen für Aufträge-Erfassung von Arbeitszeiten von Mitarbeitenden (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Personalwirtschaft: Abrechnung von Gehältern (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Buchhaltung: Erfassung, Dokumentation, Kategorisierung und Auswertung aller finanzieller Transaktionen (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Finanzplanung: Planung von zukünftigen finanziellen Entwicklungen und Vorhersage über die Liquiditätsentwicklung (Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Soziale Netzwerke: Marketing auf Plattformen sozialer Netzwerke (Einwilligung (Art. 6 Abs. 1a DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Software Entwicklungs- und Versionsmanagement: Verwaltung von Änderungen während der Entwicklung von Softwareprojekten, Versionierung, Release (Einwilligung (Art. 6 Abs. 1a DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Wissensmanagement: Festhalten, Verwalten und interne sowie externe Kommunikation von Unternehmenswissen (Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Geheimnis-Management: Verwaltung und persönlicher sowie gemeinsamer Zugriff auf Zugangsdaten und anderen vertraulichen Informationen für Teams und Mitarbeitende (Vertragserfüllung (Art. 6 Abs. 1b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Verzeichnisdienst: Zentrale Verwaltung von Nutzer*innen von IT-Diensten des Wärmewerks, Zusammensetzung von Gruppen und Rollen für das Rollen-basierte Zugriffsmanagement (Rechtliche Verpflichtung (Art. 6 Abs. 1c DSGVO), Berechtigtes Interesse (Art. 6 Abs. 1f DSGVO))
- Videokonferenzen: Videokonferenzen und Chats intern und mit externen Personen (Vertragserfüllung (Art. 6 Abs. 1b DSGVO))
- Transformationsscore: Aufnahme von Interessentendaten bei der Kunden- und Auftragsakquise (Einwilligung (Art. 6 Abs. 1a DSGVO))
Hinweis zur Rechtsgrundlage
Sofern mehrere Rechtsgrundlagen angegeben sind, gilt:
- Bei bestehenden oder anzubahnenden Verträgen ist die Verarbeitung zur Vertragserfüllung maßgeblich (Art. 6 Abs. 1 lit. b DSGVO).
- Bei gesetzlichen Verpflichtungen stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO.
- In allen übrigen Fällen erfolgt die Verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), sofern Ihre Grundrechte und Grundfreiheiten nicht überwiegen.
Empfänger der Daten
Nachfolgend sind sämtliche Empfänger von personenbezogenen Daten aufgelistet, die im Zuge unserer Verarbeitungstätigkeiten mit der Weiterverarbeitung von uns beauftragt sind. Mit sämtlichen aufgelisteten Empfängern sind Verträge über die Auftragsverarbeitung geschlossen.
| Verarbeitungstätigkeit | Kategorien Empfänger der Daten | Empfänger | Unternehmenssitz |
|---|---|---|---|
| E-Mail-Kommunikation | E-Mail-Provider | IONOS SE | Deutschland |
| Datei-Hosting | Filehosting-Provider | IONOS SE | Deutschland |
| Kalender-Hosting | Kalenderdienst-Provider | IONOS SE | Deutschland |
| Server-Hosting | Cloud-Computing-Provider | IONOS SE | Deutschland |
| Webseite-Besuchsstatistik | Webseiten-Provider | IONOS SE | Deutschland |
| Aufgabenmanagement | Provider Projektmanagement-Software | Stackfield GmbH | Deutschland |
| Vertriebs- und Auftragsmanagement | Provider Projektmanagement-Software | hundertzehn GmbH | Deutschland |
| Personalplanung und Arbeitszeiterfassung | Provider Projektmanagement-Software | hundertzehn GmbH | Deutschland |
| Personalwirtschaft | Provider von Finanzsoftware | Datev eG | Deutschland |
| Buchhaltung | Provider von Finanzsoftware | Datev eG | Deutschland |
| Finanzplanung | Provider von Finanzsoftware | Commitly GmbH | Deutschland |
| Soziale Netzwerke | Soziale Netzwerke | LinkedIn Ireland Unlimited Company | Irland |
| Software Entwicklungs- und Versionsmanagement | Provider Projektmanagement-Software | GitLab Inc. | Vereinigte Staaten von Amerika |
| Wissensmanagement | Keine Empfänger (interne Verarbeitung) | Deutschland | |
| Geheimnis-Management | Keine Empfänger (interne Verarbeitung) | Deutschland | |
| Verzeichnisdienst | Keine Empfänger (interne Verarbeitung) | Deutschland | |
| Videokonferenzen | Provider Videokonferenzen | Microsoft | Deutschland |
| Transformationsscore | E-Mail-Provider | IONOS SE | Deutschland |
Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des Europäischen Wirtschaftsraums – EWR) erfolgt nur, wenn hierfür ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO besteht oder geeignete Garantien nach Art. 46 DSGVO vorliegen.
Bei der Nutzung von GitLab Inc. (USA), LinkedIn (Irland/USA) sowie Microsoft greifen wir auf die Standardvertragsklauseln der EU-Kommission bzw. das EU-US Data Privacy Framework zurück, um ein angemessenes Datenschutzniveau zu gewährleisten. Weitere Informationen hierzu erhalten Sie bei uns oder direkt bei den jeweiligen Anbietern.
Speicherdauer
Wir speichern personenbezogene Daten
- solange es zur Erfüllung eines bestehenden Vertragsverhältnisses oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Rechtsgrundlage: Art. 6 Abs. 1 S. 1 b DSGVO),
- sowie bis zum Ablauf der steuer- und handelsrechtlichen Aufbewahrungsfristen (Rechtsgrundlage: Art. 6 Abs. 1 S. 1 c DSGVO).
Die Fristen nach Handelsgesetzbuch und Abgabenordnung zur Aufbewahrung bzw. Dokumentation betragen zwischen 6 bis zehn Jahre.
Nach Fristablauf löschen wir die Daten, es sei denn, dass Sie der Weiterverwendung ausdrücklich eingewilligt haben. (Rechtsgrundlage: Art. 6 Abs. 1 S. 1 a DSGVO).
Im Fall einer einfachen, informatorischen Kontaktanfrage ohne Vertragsbezug erfolgt die Löschung der gespeicherten personenbezogenen Daten, soweit wir davon ausgehen können, dass sich der Grund Ihrer Anfrage erledigt hat und keine entgegenstehenden gesetzliche Aufbewahrungsfristen, die wir zu beachten haben, bestehen.
Ihre Rechte (Betroffenenrechte)
Sie haben das Recht darauf,
- Auskunft darüber zu erhalten, ob und welche Daten wir über Sie gespeichert haben (Art. 15 DSGVO),
- eine Einwilligung (sofern erteilt) für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO),
- der Verarbeitung Ihrer Daten zu widersprechen, soweit die Verarbeitung auf unserem berechtigten Interesse beruht und dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben (Art. 21 DSGVO),
- dass unrichtige Daten über Sie bei uns berichtigt werden (Art. 16 DSGVO),
- die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen (Art. 17 DSGVO),
- dass unter bestimmten Bedingungen die Verarbeitung Ihrer Daten eingeschränkt wird (Art. 18 DSGVO) und
- auf Datenübertragbarkeit, wonach wir Ihre Daten an Dritte übertragen oder Ihre Daten in einem maschinenlesbaren Format zu erhalten (Art. 20 DSGVO) sowie
- auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Cookies und Analysetools
Unsere Website verwendet nur technisch notwendige Cookies oder Technologien zur Nutzungs-Analyse. Diese dienen dazu, die Nutzung der Website technisch zu ermöglichen. Das Nutzungsverhalten wird ohne Verwendung von Cookies oder ähnliche Technologien, also ausschließlich anonym ausgewertet, um unser Angebot zu verbessern.
Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.
Automatisierte Entscheidungen & Profiling
Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.
Widerrufsrecht bei Einwilligung
Sie können Ihre gegebene Einwilligung jederzeit widerrufen. Hierzu genügt eine einfache Nachricht an uns. Durch den Widerruf Ihrer Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich an die für uns zuständige Datenschutzaufsichtsbehörde wenden:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 20459 Hamburg
https://datenschutz-hamburg.de
Technische und organisatorische Maßnahmen
Das Wärmewerk ergreift die folgenden technischen und organisatorischen Maßnahmen für Datensicherheit und Datenschutz.
Die Schlüsselwörter für Anforderungsebenen „MUSS“, „MUSS NICHT“, „ERFORDERLICH“, „SOLL“, „SOLL NICHT“, „SOLLTE“, „SOLLTE NICHT“, „EMPFOHLEN“, „DARF“ und „OPTIONAL“, die in diesem Dokument verwendet werden (Groß-/Kleinschreibung unbeachtet), sind im Sinne von RFC 2119 zu interpretieren.
Allgemeines
Das Wärmewerk bestimmt eine zuständige Ansprechperson zum Datenschutz und kommuniziert diese intern wie extern.
Vordefinierte Sicherheitsgruppen von Mitarbeitenden werden eingesetzt, um Rollen-basierte Zugriffsrechte zuzuweisen und den Zugriff auf Daten in den Produktionssystemen zu segmentieren.
Zugriff mit Administrationsrechten auf die Produktionssysteme wird basierend auf den Arbeitsrollen und -verantwortlichkeiten gewährt und ist auf autorisiertes Personal beschränkt.
Stand der Technik
Eingesetzte Technologien und Software SOLLEN dem aktuellen Stand der Technik entsprechen, um aktuellen Sicherheitsansprüchen zu genügen. Insbesondere Software SOLL kontinuierlich oder regelmäßig mit aktuellsten Sicherheitsupdates versorgt sein.
Schulung und Sensibilisierung
Alle Mitarbeitenden SOLLEN regelmäßig zu Datenschutz- und IT-Sicherheitsthemen geschult und auf die Einhaltung der datenschutzrechtlichen Anforderungen verpflichtet werden. Dadurch wird ein angemessenes Sicherheits- und Datenschutzbewusstsein im Unternehmen sichergestellt.
Verpflichtung auf Vertraulichkeit
Alle Mitarbeitenden, die mit personenbezogenen Daten arbeiten, sind gemäß Art. 28 Abs. 3 lit. b DSGVO sowie § 53 BDSG auf die Wahrung der Vertraulichkeit verpflichtet.
Standort
Dienste, die sensible Daten verarbeiten, MÜSSEN auf eigenen Servern oder Servern von Dienstleistern in Deutschland betrieben werden.
Vertraulichkeit
Verschlüsselung
Dienste SOLLEN sensible Daten nach Möglichkeit Ende-zu-Ende verschlüsselt verarbeiten.
Der Transport von Daten die über ein Netzwerk MUSS mit einer Transportverschlüsselung (z.B. TLS) verschlüsselt sein.
Digitale Zugriffskontrolle
Zugriff auf Daten und Ressourcen des Wärmewerks MUSS über ein Rollen-basiertes Zugriffsmanagement geregelt werden.
Zugangsdaten zu Diensten MÜSSEN in einem zentralen Passwort-Manager abgelegt und über ein Rollen-basiertes Zugriffsmanagement verwaltet werden. Der Passwort-Manager MUSS über interne Richtlinien die Güte und Einzigartigkeit von Passwörtern überprüfen.
Zugriff zu Diensten und Daten im Wärmewerk SOLL sofern möglich mit zwei oder mehreren Faktoren authentifiziert (Multi-Faktor-Authentifizierung) werden.
Physische Zugangskontrolle
Server- und Büroräume, in denen personenbezogene Daten verarbeitet werden, MÜSSEN durch Zutrittskontrollsysteme und organisatorische Maßnahmen (z. B. Schließsysteme, Alarmanlagen) gesichert sein. Nur autorisierte Personen haben Zugang zu diesen Bereichen.
Protokollierung und Kontrolle
Zugriffe auf IT-Systeme und Daten MÜSSEN protokolliert werden. Diese Protokolle SOLLEN regelmäßig ausgewertet werden, um unbefugte Zugriffe zu erkennen und Sicherheitsvorfälle nachvollziehen zu können. Die Wirksamkeit der getroffenen Maßnahmen SOLL mindestens jährlich überprüft und bei Bedarf angepasst werden.
Integrität
Datensicherung
Um den Verlust von Daten durch Hardware-Ausfälle oder Unfälle von Diensten, die von der Wärmewerk GmbH selbst gehostet werden, zu verhindern, MÜSSEN diese off-site (an einem zweiten geografischen Standort) und verschlüsselt gespiegelt werden. Zusätzlich SOLLEN in einigen Fällen ebenfalls off-site oder on-site inkrementelle Datensicherungen erstellt, die die Korruption oder den Verlust von Daten durch Anwenderfehler oder Fehler in Diensten verhindern sollen.
Wiederherstellung nach Störungen
Neben der Erstellung von Datensicherungen MÜSSEN regelmäßige Tests der Wiederherstellung durchgeführt, um sicherzustellen, dass Daten nach einem technischen oder physischen Zwischenfall zeitnah wiederhergestellt werden können (Disaster Recovery Tests). Diese Tests SOLLEN einmal jährlich durchgeführt werden.
Belastbarkeit
Updates
Server-Betriebssysteme sowie darauf installierte Dienste MÜSSEN soweit wie möglich durch automatische Updates mit Sicherheitsupdates versorgt werden.
Brute-Force-Schutz
Dienste, die auf Servern des Wärmewerks laufen, die über keine Multi-Faktor-Authentifizierung zum Schutz ihrer Zugänge verfügen und die sensible oder kritische Daten speichern, MÜSSEN mit einem Brute-Force-Schutz gegen das maschinelle Erraten von Zugangsdaten geschützt sein. Dieser sperrt den Zugang zum Dienst für die identifizierte Hots-IP-Adresse nach einer vorgegebenen Anzahl von fehlgeschlagenen Anmeldeversuchen für einen vorgegebenen Zeitraum.