Zum Hauptinhalt springen
Projekt starten
Datenschutz

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten auf unserer Website und in den damit verbundenen Funktionen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist: Condien UG (haftungsbeschränkt) Zur Einigkeit 3 27374 Visselhövede Deutschland Handelsregister: HRB 210982 Registergericht: Amtsgericht Walsrode Vertreten durch: Mateusz Carstens Telefon: +49 4262 / 9185873 Mobil: +49 151 / 28522321 E-Mail: info@condien.de

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit eine Rechtsgrundlage besteht. Je nach Verarbeitung stützen wir uns insbesondere auf:

  • Art. 6 Abs. 1 lit. a DSGVO, wenn Sie eine Einwilligung erteilt haben,
  • Art. 6 Abs. 1 lit. b DSGVO, wenn die Verarbeitung zur Durchführung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist,
  • Art. 6 Abs. 1 lit. c DSGVO, wenn wir gesetzlich zur Verarbeitung verpflichtet sind,
  • Art. 6 Abs. 1 lit. f DSGVO, wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und Ihre Interessen, Grundrechte und Grundfreiheiten nicht überwiegen.

Die Datenschutzhinweise orientieren sich an den Informationspflichten aus Art. 13 DSGVO. Danach sind unter anderem Verantwortlicher, Zwecke, Rechtsgrundlagen, Empfänger, Drittlandübermittlungen, Speicherdauer und Betroffenenrechte zu benennen. Soweit Cookies oder ähnliche Technologien Informationen auf Ihrem Endgerät speichern oder auslesen, beachten wir zusätzlich § 25 TDDDG. Danach ist ein Zugriff auf Informationen in der Endeinrichtung grundsätzlich einwilligungsbedürftig, sofern keine gesetzliche Ausnahme greift.

3. Bereitstellung der Website und Server-Logdaten

Beim Aufruf unserer Website werden technisch erforderliche Daten verarbeitet, damit die Website angezeigt, stabil betrieben und geschützt werden kann. Dazu können insbesondere gehören:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene URL,
  • Referrer-URL,
  • Browsertyp und Browserversion,
  • Betriebssystem,
  • HTTP-Statuscode,
  • übertragene Datenmenge,
  • technische Request- und Sicherheitsinformationen.

Zwecke der Verarbeitung sind die technische Bereitstellung der Website, Stabilität, Fehleranalyse, Missbrauchserkennung, Angriffserkennung und IT-Sicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und performanten Betrieb unserer Website. Server- und Sicherheitslogs werden nur so lange gespeichert, wie dies für Betrieb, Fehleranalyse, Sicherheit und Missbrauchsaufklärung erforderlich ist. Bei sicherheitsrelevanten Ereignissen kann eine längere Speicherung erfolgen, soweit dies zur Aufklärung und Abwehr erforderlich ist.

4. Hosting über Vercel

Unsere Website wird über Vercel bereitgestellt. Anbieter ist Vercel Inc. Wir nutzen den Vercel Pro Plan. Vercel stellt für Enterprise- und Pro-Kunden ein Data Processing Addendum bereit, das die Verarbeitung personenbezogener Daten als Auftragsverarbeiter regelt. Beim Hosting können insbesondere technische Daten verarbeitet werden, die beim Abruf der Website entstehen. Dazu gehören etwa IP-Adresse, Request-Daten, Browserund Geräteinformationen, technische Protokolldaten sowie Informationen zur Auslieferung und Performance der Website. Zwecke der Verarbeitung sind Hosting, Deployment, Auslieferung der Website, Skalierung, Performance, Sicherheit und Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und effizienten Bereitstellung unserer Website. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien. Vercel ist im EU-U.S. Data Privacy Framework gelistet; die Europäische Kommission hat für zertifizierte Organisationen unter dem EU-U.S. Data Privacy Framework einen Angemessenheitsbeschluss erlassen.

5. Supabase: Datenbank, Authentifizierung und Storage

Wir nutzen Supabase für Datenbankfunktionen, Authentifizierung, Session-Verwaltung und Datei-Storage. Das Supabase-Projekt ist in Europa konfiguriert. Über Supabase werden insbesondere folgende Funktionen abgebildet:

  • Stellenanzeigen und Karriereinhalte,
  • private Speicherung von Job-PDFs,
  • Authentifizierung für das Backoffice,
  • Session-Verwaltung,
  • Admin- und Editor-Profile,
  • Rollen und Aktivstatus,
  • Aktivitäts- und Sicherheitslogs,
  • MFA-/2FA-bezogene Informationen im Backoffice.

Im geschützten Backoffice können insbesondere E-Mail-Adresse, Anzeigename, Rolle, Aktivstatus, Login- und Logout-Ereignisse, fehlgeschlagene Login-Versuche, Passwortänderungsereignisse, MFA-Status, verschlüsselte MFA-Secrets, gehashte Recovery-Codes sowie Aktivitätsprotokolle verarbeitet werden. Zwecke der Verarbeitung sind Betrieb der Website, Verwaltung von Stellenanzeigen, Bereitstellung des Backoffice, Benutzer- und Rechteverwaltung, IT-Sicherheit, Protokollierung sicherheitsrelevanter Aktionen und Schutz vor unbefugtem Zugriff. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, soweit Nutzerkonten oder Vorgänge zur Durchführung vorvertraglicher oder vertraglicher Maßnahmen erforderlich sind, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Rollenverwaltung, Missbrauchsprävention und Auditierung. Supabase stellt ein Data Processing Addendum bereit; nach Supabase-Angaben muss dieses über den von Supabase bereitgestellten Signaturprozess abgeschlossen werden, damit es bindend wird. Speicherdauer:

  • Backoffice-Benutzerprofile werden gespeichert, solange der Zugang benötigt wird.
  • Job-PDFs werden gespeichert, solange die jeweilige Stelle aktiv ist oder berechtigte Dokumentationszwecke bestehen.
  • Aktivitäts- und Sicherheitslogs werden nur so lange gespeichert, wie dies für Sicherheit, Nachvollziehbarkeit, Missbrauchsaufklärung und Betrieb erforderlich ist.
  • MFA-Daten werden gelöscht oder zurückgesetzt, wenn der Faktor deaktiviert, der Zugang gelöscht oder eine Löschung erforderlich wird.

6. Cookies, Session-Technologien und localStorage

Unsere Website verwendet Cookies und ähnliche Technologien, soweit sie technisch erforderlich sind oder Sie eingewilligt haben. Technisch erforderliche Cookies und vergleichbare Technologien dienen insbesondere:

  • der Bereitstellung der Website,
  • der Session-Verwaltung,
  • der Anmeldung im Backoffice,
  • der Sicherheitsprüfung,
  • der Speicherung Ihrer Consent-Entscheidung,
  • dem Schutz vor Missbrauch.

Im Backoffice werden Authentifizierungs- und Session-Cookies verwendet. Diese dienen dazu, berechtigte Admins und Editoren wiederzuerkennen und geschützte Funktionen bereitzustellen. MFA-bezogene Cookies können verwendet werden, um eine erfolgreiche Zwei-Faktor-Prüfung zeitlich begrenzt nachzuweisen. Nach aktuellem technischen Stand verwendet die Website-Anwendung kein localStorage für eigene Persistenz. Nicht erforderliche Cookies und vergleichbare Technologien, insbesondere für Analyse oder Marketing, werden nur nach Ihrer Einwilligung eingesetzt. Nach aktuellem technischen Stand können insbesondere folgende Cookies oder vergleichbare Speicherungen eingesetzt werden:

  • condien_site_gate: technisch erforderliches Vorschau- und Zugriffsschutz-Cookie für die vorübergehende Site-Gate-Funktion; Speicherdauer bis zu 14 Tage.
  • sb-<Projektkennung>-auth-token und vergleichbare Supabase-Cookies als technisch erforderliche Authentifizierungs- und Session-Cookies für das geschützte Backoffice; Speicherdauer abhängig von der Supabase-Session.
  • condien_mfa: technisch erforderliches MFA-Cookie zur Bestätigung einer erfolgreichen Zwei-Faktor-Prüfung im Backoffice; Speicherdauer bis zu 12 Stunden.
  • cd_ann_dismissed_<ID>: Präferenz-Cookie zum Merken, dass ein Banner oder Popup geschlossen wurde; Speicherdauer abhängig von der jeweiligen Banner-/Popup-Konfiguration.
  • condien_admin_flash: kurzlebiges Backoffice-Cookie zur Anzeige einmaliger Statusmeldungen; Speicherdauer ca. 60 Sekunden.
  • Usercentrics-Cookies oder vergleichbare Speicherungen: technisch erforderliche Speicherung Ihrer Consent-Entscheidung; der konkrete Name und die konkrete Speicherdauer werden nach Abschluss des Usercentrics-Scans im Consent-Banner ausgewiesen.

Darüber hinaus können Anbieter wie Supabase, Cloudflare oder Usercentrics im Rahmen der jeweils beschriebenen Funktionen technisch erforderliche Cookies oder vergleichbare Technologien setzen. Analyse- oder Marketing-Dienste wie Google Analytics werden erst nach Ihrer Einwilligung aktiviert.

7. Usercentrics Consent Management

Wir nutzen Usercentrics als Consent-Management-Lösung. Usercentrics hilft uns, einwilligungsbedürftige Dienste erst nach Ihrer Einwilligung zu aktivieren und Ihre Entscheidung zu dokumentieren. Dabei können insbesondere folgende Daten verarbeitet werden:

  • Consent-ID,
  • Consent-Status,
  • Zeitpunkt der Entscheidung,
  • Browser- und Geräteinformationen,
  • User-Agent,
  • Website-URL,
  • gewählte Cookie- und Dienstekategorien.

Usercentrics beschreibt, dass zur Nachweisbarkeit von Einwilligungen unter anderem eine Consent-ID und der Consent-Status verarbeitet und gespeichert werden. Zwecke der Verarbeitung sind Einholung, Verwaltung und Nachweis von Einwilligungen sowie Steuerung einwilligungsbedürftiger Dienste. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. c DSGVO, soweit wir Einwilligungen gesetzeskonform nachweisen müssen, und Art. 6 Abs. 1 lit. f DSGVO für die technische Verwaltung von Datenschutzpräferenzen. Für technisch erforderliche Consent-Cookies stützen wir uns auf § 25 Abs. 2 TDDDG. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf unserer Website ändern oder widerrufen. Hinweis für die Umsetzung: Vor Veröffentlichung sollte ein Usercentrics-Scan durchgeführt werden, damit die konkrete Cookie- und Diensteliste im Banner vollständig und korrekt angezeigt wird.

8. Google Tag Manager und Google Analytics

Wir nutzen Google Analytics über den Google Tag Manager, um die Nutzung unserer Website zu analysieren und unsere Inhalte, Seitenstruktur und Benutzerführung zu verbessern. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Im Rahmen der Verarbeitung kann auch Google LLC in den USA eingebunden sein. Der Google Tag Manager ist ein Tag-Management-System. Er dient dazu, Dienste wie Google Analytics technisch zu verwalten und nach Maßgabe Ihrer ConsentEntscheidung auszulösen. Google beschreibt, dass der Google Tag Manager zur Überwachung von Stabilität, Performance und Installationsqualität aggregierte Daten zum Auslösen von Tags verarbeiten kann; diese Diagnosedaten enthalten nach GoogleAngaben keine IP-Adressen oder Mess-IDs einzelner Personen. Google Analytics kann insbesondere folgende Daten verarbeiten:

  • Seitenaufrufe,
  • Interaktionen mit der Website,
  • Referrer-Informationen,
  • Browser- und Geräteinformationen,
  • ungefähre Standortinformationen,
  • Nutzungszeitpunkte,
  • technische Kennungen,
  • Consent-Signale.

Google gibt an, dass Google Analytics IP-Adressen von Nutzern aus der EU nicht protokolliert oder speichert und IP-Adressen vor der Protokollierung über EU-Domains und -Server verwirft. Wir setzen Google Analytics und den Google Tag Manager für Analysezwecke nur auf Grundlage Ihrer Einwilligung ein. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Google weist für EWR-Nutzer darauf hin, dass bei Tags, die Daten an Google senden, Einwilligungen für die Nutzung personenbezogener Daten einzuholen und Consent-Signale an Google zu übermitteln sind. Google Consent Mode kann eingesetzt werden, um das Verhalten von Google-Tags abhängig von Ihrer Einwilligungsentscheidung zu steuern. Google beschreibt Consent Mode als Mechanismus, mit dem die Datenerhebung abhängig von Nutzerzustimmungen für Analyse- und Werbezwecke gesteuert werden kann. Die Speicherdauer der in Google Analytics gespeicherten Nutzer- und Ereignisdaten richtet sich nach der in Google Analytics gesetzten Datenaufbewahrung. Google Analytics bietet für Standard-Properties insbesondere Aufbewahrungszeiträume von 2 Monaten oder 14 Monaten für nutzer- und ereignisbezogene Daten. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien. Google LLC ist im EU-U.S. Data Privacy Framework gelistet.

9. Cloudflare-Schutz für Admin- und Editor-Login

Wir nutzen Cloudflare im Zusammenhang mit dem Schutz des Backoffice-Logins. Dies betrifft Admins und Editoren, zum Beispiel zur Verwaltung von Stellenanzeigen. Nach aktuellem Stand wird diese Schutzfunktion nicht für normale Besucher der öffentlichen Website eingesetzt, solange diese keine Admin-/Editor-Loginseite aufrufen. Je nach technischer Konfiguration kann hierbei insbesondere Cloudflare Turnstile oder eine vergleichbare Cloudflare-Sicherheitsprüfung eingesetzt werden. Turnstile dient dazu, automatisierte Zugriffe, Bots und missbräuchliche Loginversuche zu erkennen. Cloudflare beschreibt Turnstile als Sicherheitsprüfung, bei der ein JavaScript-Widget im Browser ein Token erzeugt und der Server dieses Token anschließend gegenüber Cloudflare validiert. Cloudflare Turnstile verarbeitet nach Angaben von Cloudflare unter anderem clientseitige Signale wie IP-Adresse, TLS-Fingerprint, User-Agent-Header, Sitekey und zugehörige Origin. Zwecke der Verarbeitung sind Schutz des Backoffice-Logins, Bot-Abwehr, Missbrauchsprävention, Sicherheit und Verhinderung unbefugter Zugriffe. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz administrativer Zugänge und der Sicherheit unserer Systeme. Soweit für die Sicherheitsprüfung ein Zugriff auf Informationen im Endgerät technisch erforderlich ist, stützen wir uns auf § 25 Abs. 2 TDDDG, da die Sicherheitsprüfung für den geschützten Loginbereich erforderlich ist. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien. Cloudflare verweist in seiner Datenschutzerklärung auf die Einhaltung des EU-U.S. Data Privacy Framework.

10. Kontaktformular

Wenn Sie uns über das Kontaktformular kontaktieren, verarbeiten wir die von Ihnen eingegebenen Daten. Dazu können insbesondere gehören:

  • Name,
  • E-Mail-Adresse,
  • Unternehmen,
  • Telefonnummer, sofern angegeben,
  • Betreff,
  • Nachricht,
  • Zeitpunkt der Anfrage,
  • technische Sicherheitsdaten,
  • Origin- oder Referer-Header,
  • IP-Adresse bzw. daraus gebildete Rate-Limit-Werte.

Das Kontaktformular nutzt Schutzmechanismen gegen Spam und Missbrauch. Dazu gehören insbesondere Honeypot-Feld, Timing-Prüfung, Origin-/Referer-Prüfung, RateLimit, serverseitige Validierung und Sanitization der Eingaben. Zwecke der Verarbeitung sind Bearbeitung Ihrer Anfrage, Kommunikation mit Ihnen, Vorbereitung oder Durchführung einer Geschäftsbeziehung, Spam-Abwehr und ITSicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen gerichtet ist. In allen übrigen Fällen ist Art. 6 Abs. 1 lit. f DSGVO einschlägig. Unser berechtigtes Interesse liegt in der Bearbeitung eingehender Anfragen und im Schutz unserer Website vor Missbrauch. Kontaktanfragen werden nach abschließender Bearbeitung der Anfrage gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Dokumentationsinteressen entgegenstehen. Geschäftliche Kommunikation kann je nach Inhalt gesetzlichen Aufbewahrungspflichten unterliegen, insbesondere wenn sie Handels- oder Geschäftsbriefe betrifft. § 257 HGB regelt Aufbewahrungspflichten unter anderem für empfangene und abgesandte Handelsbriefe sowie Buchungsbelege.

11. Kommunikation per E-Mail über Hetzner und Microsoft 365/O365

Wenn Sie uns per E-Mail kontaktieren oder wir mit Ihnen per E-Mail kommunizieren, verarbeiten wir Ihre E-Mail-Adresse, Inhaltsdaten Ihrer Nachricht, Kommunikationsmetadaten sowie gegebenenfalls Anhänge und weitere Kontaktdaten. Für die Condien-Mailboxen nutzen wir Hetzner und Microsoft 365/O365. Zwecke der Verarbeitung sind Kommunikation, Bearbeitung von Anfragen, Projektanbahnung, Vertragsdurchführung, Dokumentation und gesetzliche Aufbewahrung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation mit einem Vertrag oder vorvertraglichen Maßnahmen zusammenhängt, Art. 6 Abs. 1 lit. f DSGVO für allgemeine geschäftliche Kommunikation und Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten. Hetzner stellt einen Auftragsverarbeitungsvertrag bereit, der die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Rahmen der Verarbeitung im Auftrag konkretisiert. Microsoft beschreibt, dass für Produkte unter den Microsoft Product Terms die Datenverarbeitungs- und Sicherheitsbedingungen im Microsoft Products and Services Data Protection Addendum geregelt sind. E-Mails mit geschäftlicher oder rechtlicher Relevanz speichern wir entsprechend gesetzlicher Aufbewahrungspflichten. Sonstige E-Mails löschen wir, sobald der Zweck entfällt und keine gesetzlichen oder berechtigten Gründe für eine weitere Speicherung bestehen.

12. Karrierebereich und Bewerbungen per E-Mail

Unsere Website enthält einen Karrierebereich mit Stellenanzeigen. Stellenanzeigen werden aus Supabase geladen. Job-PDFs werden in einem privaten Supabase-StorageBucket gespeichert und bei aktiven Stellen über signierte URLs bereitgestellt. Bewerbungen erfolgen in dieser Umgebung per E-Mail. Ein Bewerbungsupload über die Website und ein Talentpool werden in dieser Umgebung nicht betrieben. Wenn Sie sich bei uns bewerben, verarbeiten wir die von Ihnen per E-Mail übermittelten Bewerbungsdaten. Dazu können insbesondere gehören:

  • Name,
  • Kontaktdaten,
  • Bewerbungsanschreiben,
  • Lebenslauf,
  • Zeugnisse,
  • Qualifikationen,
  • beruflicher Werdegang,
  • freiwillige Angaben,
  • Kommunikationsdaten,
  • interne Notizen zum Bewerbungsverfahren.

Zweck der Verarbeitung ist die Durchführung des Bewerbungsverfahrens und die Entscheidung über die Begründung eines Beschäftigungs- oder Vertragsverhältnisses. Rechtsgrundlage ist § 26 BDSG, soweit die Verarbeitung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist, sowie Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Maßnahmen. § 26 BDSG regelt die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses. Bewerbungsdaten werden nach Abschluss des Bewerbungsverfahrens gelöscht, sobald keine berechtigten Interessen oder gesetzlichen Gründe für eine weitere Speicherung bestehen. Eine längere Speicherung erfolgt nur, wenn dies zur Verteidigung gegen mögliche Ansprüche, zur Erfüllung gesetzlicher Pflichten oder mit Ihrer Einwilligung erforderlich ist. Die niedersächsische Datenschutzaufsicht stellt für Bewerbungsunterlagen Informationen zu Aufbewahrungs- und Löschfristen bereit. Eine Aufnahme in einen Talentpool findet in dieser Website-Umgebung nicht statt.

13. Geschütztes Backoffice

Unser Backoffice ist nur für berechtigte Admins und Editoren zugänglich. Es dient insbesondere der Verwaltung von Stellenanzeigen, Benutzern, Logs, Ideen, Sicherheitsfunktionen, CI-Ansichten und internen Dokumentationsbereichen. Im Backoffice können insbesondere folgende personenbezogene Daten verarbeitet werden:

  • E-Mail-Adresse,
  • Anzeigename,
  • Rolle,
  • Aktivstatus,
  • Login- und Logout-Ereignisse,
  • fehlgeschlagene Login-Versuche,
  • Passwortänderungsereignisse,
  • MFA-/2FA-Status,
  • verschlüsselte MFA-Secrets,
  • gehashte Recovery-Codes,
  • Sicherheits- und Aktivitätslogs,
  • Aktionen an Stellenanzeigen, Benutzern, Ideen und Systemmodulen.

Zwecke sind Zugangskontrolle, Rechteverwaltung, Schutz des Systems, Nachvollziehbarkeit administrativer Änderungen, Missbrauchserkennung und ITSicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz unserer Systeme und der Nachvollziehbarkeit sicherheitsrelevanter Vorgänge. Soweit Beschäftigte oder vergleichbare interne Nutzer betroffen sind, können zusätzlich § 26 BDSG und Art. 6 Abs. 1 lit. b DSGVO einschlägig sein. Activity-Logs werden nur so lange gespeichert, wie dies für Sicherheit, Nachvollziehbarkeit, Missbrauchsaufklärung, rechtliche Ansprüche oder gesetzliche Pflichten erforderlich ist.

14. Zwei-Faktor-Authentifizierung im Backoffice

Für Backoffice-Konten kann eine Zwei-Faktor-Authentifizierung per TOTP eingerichtet werden. Dabei können insbesondere folgende Daten verarbeitet werden:

  • MFA-Status,
  • verschlüsselte TOTP-Secrets,
  • gehashte Recovery-Codes,
  • Zeitpunkte erfolgreicher oder fehlgeschlagener MFA-Prüfungen,
  • MFA-bezogene Audit-Events,
  • ein zeitlich begrenztes MFA-Cookie zur Bestätigung einer erfolgreichen Prüfung.

Zwecke der Verarbeitung sind Schutz administrativer Konten, Verhinderung unbefugter Zugriffe und Nachvollziehbarkeit sicherheitsrelevanter Ereignisse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Absicherung des Backoffice und der dort verarbeiteten Daten. MFA-Daten werden gelöscht oder zurückgesetzt, wenn der Faktor deaktiviert, das Konto gelöscht oder eine Speicherung nicht mehr erforderlich ist.

15. Empfänger und Dienstleister

Wir geben personenbezogene Daten nur weiter, wenn dies für die genannten Zwecke erforderlich ist, eine gesetzliche Grundlage besteht oder Sie eingewilligt haben. Eingesetzte Dienstleister können insbesondere sein: Mit Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO, soweit erforderlich.

DienstleisterZweck
VercelHosting, Deployment, Auslieferung der Website
SupabaseDatenbank, Authentifizierung, Storage, Backoffice-Daten
UsercentricsConsent Management
Google Tag ManagerVerwaltung von Analyse-Tags nach Einwilligung
Google AnalyticsAnalyse der Website-Nutzung nach Einwilligung
CloudflareSchutz des Admin-/Editor-Logins
HetznerE-Mail-Dienste / Mailinfrastruktur
Microsoft 365/O365E-Mail, Kommunikation, Office-Dienste

16. Drittlandübermittlungen

Einige der eingesetzten Anbieter haben Sitz oder technische Infrastruktur außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, insbesondere in den USA. Datenübermittlungen in Drittländer erfolgen nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Für die USA kann insbesondere das EU-U.S. Data Privacy Framework relevant sein. Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework erlassen. Danach können Übermittlungen an zertifizierte Organisationen auf diesen Angemessenheitsbeschluss gestützt werden. Soweit kein Angemessenheitsbeschluss oder keine passende Zertifizierung vorliegt, verwenden wir geeignete Garantien, insbesondere EU-Standardvertragsklauseln, sowie ergänzende technische und organisatorische Maßnahmen, soweit erforderlich.

17. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Danach löschen wir die Daten, sofern keine gesetzlichen Aufbewahrungspflichten, Nachweisinteressen, Sicherheitsinteressen oder Rechtsansprüche entgegenstehen. Konkrete Kriterien sind insbesondere: Gesetzliche Aufbewahrungspflichten können sich insbesondere aus handels- und steuerrechtlichen Vorschriften ergeben. § 257 HGB enthält Aufbewahrungspflichten unter anderem für Handelsbriefe und Buchungsbelege.

DatenkategorieSpeicherdauer / Löschkriterium
Server- und Hostinglogsnur solange für Betrieb, Sicherheit und Fehleranalyse erforderlich
Sicherheitslogssolange zur Missbrauchsaufklärung, Angriffserkennung und Systemsicherheit erforderlich
Kontaktformular-Anfragennach abschließender Bearbeitung der Anfrage, sofern keine Aufbewahrungspflichten entgegenstehen
Bewerbungsdatennach Abschluss des Bewerbungsverfahrens, sofern keine berechtigten Interessen oder gesetzlichen Pflichten entgegenstehen
Backoffice-Benutzerprofilesolange der Zugang benötigt wird
Backoffice-Activity-Logssolange für Sicherheit, Nachvollziehbarkeit und Missbrauchsaufklärung erforderlich
MFA-Datensolange der Faktor aktiv ist oder sicherheitsrelevant benötigt wird
Consent-Datensolange zum Nachweis der Einwilligung erforderlich
Geschäftsrelevante E-Mailsentsprechend gesetzlicher Aufbewahrungspflichten
Google-Analytics-Datengemäß der in Google Analytics gesetzten Datenaufbewahrung

18. Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist grundsätzlich freiwillig. Bestimmte Daten sind jedoch erforderlich, damit wir die Website bereitstellen, Anfragen bearbeiten, Bewerbungen prüfen, Verträge anbahnen oder durchführen und geschützte Backoffice-Funktionen bereitstellen können. Wenn Sie erforderliche Daten nicht bereitstellen, kann es sein, dass wir Ihre Anfrage nicht bearbeiten, eine Bewerbung nicht prüfen oder bestimmte Funktionen nicht bereitstellen können.

19. Ihre Rechte

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Recht auf Auskunft über die zu Ihrer Person verarbeiteten Daten,
  • Recht auf Berichtigung unrichtiger Daten,
  • Recht auf Löschung,
  • Recht auf Einschränkung der Verarbeitung,
  • Recht auf Datenübertragbarkeit,
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen,
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung Ihrer Rechte können Sie sich an die oben genannten Kontaktdaten wenden.

20. Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen

Wenn wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einlegen. Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

21. Widerruf von Einwilligungen

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt. Cookie- und Analyse-Einwilligungen können Sie jederzeit über die Cookie-Einstellungen auf unserer Website ändern oder widerrufen.

22. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Condien ist insbesondere folgende Aufsichtsbehörde zuständig: Der Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover Telefon: 0511 120-4500 E-Mail: poststelle@lfd.niedersachsen.de Die Kontaktdaten der niedersächsischen Datenschutzaufsicht werden auch vom BfDI in der Übersicht der Datenschutzaufsichtsbehörden geführt.

23. Keine automatisierte Entscheidungsfindung

Wir verwenden auf dieser Website keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

24. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen. Dazu gehören je nach System insbesondere:

  • HTTPS/TLS,
  • Zugriffsbeschränkungen,
  • Rollen- und Rechtekonzepte,
  • HTTP-only Cookies,
  • sichere Session-Verwaltung,
  • serverseitige Validierung,
  • Spam- und Missbrauchsschutz,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • Zwei-Faktor-Authentifizierung im Backoffice,
  • verschlüsselte Speicherung sensibler Sicherheitsinformationen,
  • gehashte Recovery-Codes.

25. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Website, eingesetzte Dienste, technische Architektur oder rechtliche Anforderungen ändern. Es gilt die jeweils auf der Website veröffentlichte aktuelle Fassung.