Informationen zum Datenschutz
Datenschutzerklärung
(letzte Aktualisierung: 12.12.2022)
Der sorgsame Umgang mit personenbezogenen Daten und deren Schutz ist für unser Unternehmen selbstverständlich und stellt die Basis für eine erfolgreiche Beziehung mit unseren Kund:innen und Partner:innen dar. Unter „personenbezogenen Daten“ sind jegliche Informationen zu verstehen, die sich auf natürliche Personen entweder mittelbar oder unmittelbar beziehen (etwa Namen und Adressen, Telefonnummer, Geburtsdatum, aber auch Fotos, IP-Adressen, Standortdaten uvm). Sämtliche personenbezogene Daten werden in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten (insbesondere der Datenschutz-Grundverordnung – DSGVO und des Datenschutzgesetzes – DSG) vertraulich behandelt. Alle unsere Mitarbeiter:innen, unsere Auftragsverarbeiter:innen und deren Mitarbeiter:innen sind zu entsprechender Verschwiegenheit und Geheimhaltung verpflichtet.
In den nachfolgenden Datenschutz-Informationen wird erklärt, in welchem Zusammenhang bzw. zu welchen Zwecken und aufgrund welcher Rechtsgrundlage wir Ihre personenbezogenen Daten verarbeiten, sei es im Rahmen von Geschäfts- oder Kundenbeziehungen oder infolge der Nutzung unserer Homepage. Insbesondere werden Sie als betroffene Personen über die Ihnen zustehenden Rechte aufgeklärt.
Informationen nach Art 13 und 14 DSGVO
I. Verantwortliche im Sinne der DSGVO
Institut Hartheim gemeinnützige Betriebsgesellschaft mbH
Anton-Strauch-Allee 1, 4072 Alkoven
Datenschutzkoordination: datenschutz@institut-hartheim.at
II. Datenschutzbeauftragter
Arnold Redhammer - Redhammer e.U.
Scharitzerstraße 2/11
4020 Linz
dsba@redhammer.at
III. Datenschutzgrundsätze
Bei der Verarbeitung personenbezogener Daten beachten wir die Grundsätze des Art 5 DSGVO, welche sind: Rechtmäßigkeit, Zweckbindung, Speicherbegrenzung, Datenminimierung, Richtigkeit und Datensicherheit.
IV. Rechtsgrundlagen der Verarbeitung
Sofern in dieser Datenschutzerklärung (z.B. bei den eingesetzten Technologien) nicht speziellere Informationen angeführt werden, erfolgt die Verarbeitung personenbezogener Daten auf Basis einer oder mehrerer der in der Folge zitierten Rechtsgrundlagen:
• Art 6 Abs 1 lit a, b, c, d und f DSGVO
„a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
[…]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“;
• Art 9 Abs 2 lit a, b, c bzw i DSGVO in Bezug auf die Verarbeitung von sensiblen Daten wie Gesundheitsdaten:
„a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, […],
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann […],
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
[…]
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich“.
V. Zwecke der Verarbeitung und Datenkategorien
Sämtliche personenbezogene Daten werden nur zu bestimmten, rechtmäßigen Zwecken und gemäß den oben angeführten Rechtsgrundlagen verarbeitet.
Im Rahmen der Zusammenarbeit mit Geschäftspartner:innen und Bewerber:innen sowie der Betreuung von Kund:innen verarbeiten wir personenbezogene Daten zu folgenden Zwecken:
• Einhaltung aller gesetzlichen Vorgaben (sowohl hinsichtlich der Begleitung und Betreuung unserer Kund:innen als auch rechtsgeschäftlicher Anforderungen, wie von steuer- und handelsrechtlichen Aufbewahrungspflichten oder der Dokumentationspflicht bezüglich der Geltendmachung von Betroffenenrechten), sowie internen Richtlinien zur Gewährleistung der Fürsorgepflichten insbesondere gegenüber den Kund:innen und Mitarbeiter:innen der Einrichtung;
• Öffentlichkeitsarbeit, um auch weiterhin die Qualität der Leistungserbringung dank freiwilliger Zuwendungen beibehalten oder sogar erhöhen zu können;
• Anbahnung, Abwicklung und Verwaltung von (vertraglichen) Geschäftsbeziehungen sowie Pflege von Geschäftsbeziehungen, etwa mit Lieferant:innen und Dienstleister:innen, z.B. um die Bestellung von Produkten und Dienstleistungen abzuwickeln, Zahlungen einzuziehen, zu Zwecken der Buchhaltung, Abrechnung und Fakturierung sowie um Lieferungen, Wartungstätigkeiten oder Reparaturen durchzuführen;
• Durchsetzen bestehender Verträge und Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen;
• Vorbeugender Schutz von Personen sowie des Eigentums der Verantwortlichen.
Für die vorgenannten Zwecke werden gegebenenfalls die folgenden Kategorien personenbezogener Daten verarbeitet:
• Stammdaten bzw. Kontaktinformationen (z.B. Name, Kontaktadresse, Telefonnummer, E-Mailadresse);
• Bilddaten (falls erforderlich mit Einwilligung für die Öffentlichkeitsarbeit)
• Zahlungsinformationen (z.B. Bankverbindung, Kreditkarteninformationen und Steuernummern)
• sonstige personenbezogene Daten, deren Verarbeitung für die Anbahnung, Abwicklung und Verwaltung von (vertraglichen) Geschäftsbeziehungen sowie die Pflege dieser Geschäftsbeziehungen notwendig ist, oder die freiwillig von Ihnen angegeben werden, wie durch getätigte Spenden, Bestellungen oder Anfragen bzw. Korrespondenz, sowie sonstige Daten über die Zusammenarbeit.
Insoweit solche personenbezogene Daten von der Verantwortlichen nicht bei der betroffenen Person erhoben wurden, stammen sie entweder aus öffentlich zugänglichen Quellen, wie öffentlichen Registern, etc., oder werden aufgrund der weiter unten ausgeführten gemeinsamen Verarbeitung im Rahmen der GSI-Gruppe verarbeitet.
Die Verarbeitung der personenbezogenen Daten ist zur Erreichung der oben genannten Zwecke, einschließlich der Erfüllung gesetzlicher Verpflichtungen oder eines Vertragsverhältnisses bzw. einer vorvertraglichen Tätigkeit oder eines berechtigten Interesses der Verantwortlichen erforderlich, oder es liegt eine entsprechende Einwilligung in die Datenverarbeitung vor. Bei Personen, die das 14. Lebensjahr noch nicht vollendet haben oder denen es an ausreichender Entscheidungsfähigkeit mangelt, bedarf es für eine gültige Einwilligung der Zustimmung eines:einer Erziehungsberechtigten oder der Erwachsenenvertretung.
Bei einer Datenverarbeitung auf Grundlage eines berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO erfolgt eine Interessenabwägung zwischen dem berechtigten Interesse der Institut Hartheim gemeinnützigen Betriebsgesellschaft mbH und den schutzwürdigen Grundrechten der Betroffenen, wie etwa bei der Verwendung von Fotos öffentlicher Veranstaltungen im Rahmen der Öffentlichkeitsarbeit.
Die Datenverarbeitung erfolgt zum Zweck der Gesundheitsvorsorge und im öffentlichen Interesse im Bereich der öffentlichen Gesundheit, soweit eine Datenverarbeitung im Zuge einer Epidemie erfolgt.
VI. Videoüberwachung im Therapiegarten
Zur Sicherstellung umfassender Kundensicherheit und des Eigentumsschutzes befindet sich im Therapiegarten eine Überwachungskamera, da im überwachten Bereich davor bereits Schäden an Institutseigentum festgestellt werden mussten. Die Videoüberwachung dient daher dem berechtigten Interesse der Verantwortlichen iSd Art 6 Abs 1 lit f DSGVO zum Schutz von Leib und Leben sowie Eigentum, zur Begründung, Wahrnehmung und Verteidigung von Rechtsansprüchen und zum Beweis bei Straftaten (§ 12 Abs 2 und 3 Z 1 DSG).
Aufzeichnungen erfolgen ausschließlich bei Auslösung des Bewegungssensors und werden nicht übertragen, sondern nur im Anlassfall ausgelesen und ausgewertet. Die Daten werden nicht länger als 72 Stunden gespeichert, es sei denn, eine längere Aufbewahrung ist notwendig und verhältnismäßig (beispielsweise wenn ein strafrechtlich relevantes Verhalten aufgenommen wurde, welches entsprechend anzuzeigen ist, vgl § 13 Abs 3 DSG). Sofern ein strafrechtlich relevantes Verhalten nachvollzogen werden konnte, erfolgt eine Weitergabe der Daten an Strafverfolgungsbehörden, Gerichte sowie gegebenenfalls an Rechtsvertreter:innen und Versicherungen.
VII. Website und Soziale Medien
Beim Besuch unserer Website werden von Ihnen personenbezogene Daten einerseits erhoben, wenn Sie uns diese ausdrücklich mitteilen, andererseits werden Daten, insbesondere technische Daten, automatisch beim Besuch unserer Website erfasst. Sie können unsere Website grundsätzlich jedoch nutzen, ohne dass Sie Angaben zu Ihrer Person machen müssen.
Mehr darüber sowie über die verwendeten Technologien auf unserer Website bzw. Facebook Fanpage erfahren Sie in den folgenden unten angefügten Annexen:
Annex 1: Cookie-Policy
Annex 2: Datenerhebung auf unserer Website
Annex 3: Datenschutzinformation Facebook Fanpage
VIII. Weitergabe von Daten
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt.
Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
• Sie Ihre nach Art. 6 Abs. 1 Buchstabe a DSGVO ausdrückliche Einwilligung dazu erteilt haben,
• die Weitergabe nach Art. 6 Abs. 1 Buchstabe f DSGVO zur Wahrung der betrieblichen Interessen, sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,
• für die Weitergabe nach Art. 6 Abs. 1 Buchstabe c DSGVO eine gesetzliche Verpflichtung besteht, oder
• dies gesetzlich zulässig und nach Art. 6 Abs. 1 Buchstabe b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.
a) Gemeinsame Verarbeitung im Rahmen der GSI-Gruppe
Aufgrund der historisch bedingten, engen Verknüpfung der unter dem Dach des Trägervereins der GSI (Gesellschaft für Soziale Initiativen) gegründeten Schwestergesellschaften (Institut Hartheim gemeinnützige Betriebsgesellschaft mbH, Institut Hartheim Hartheim HandelsgmbH, GSI-Immobilien GmbH, Noah Sozialbetriebe gemeinnützige GmbH und Schön für besondere Menschen gemeinnützige GmbH) besteht hinsichtlich der jeweiligen Stammdaten (Name, Kontaktdaten, …) von Kund:innen, Lieferant:innen, Mitarbeiter:innen und auch Spender:innen eine gemeinsame Verarbeitung gemäß Art 26 DSGVO innerhalb der genannten GSI-Unternehmen. Im Rahmen dieser gemeinsamen Verarbeitung erfolgende Zusendungen von Werbematerialien, wie der Zeitung „Wir gemeinsam“, Einladungen zu Veranstaltungen, Weihnachtspost sowie sonstigen Spendenaufrufen beruhen gemäß Erwägungsgrund 47 DSGVO auf dem berechtigten Interesse von Verantwortlichen, denen die personenbezogenen Daten offengelegt werden dürfen oder auf Ihrer ausdrücklichen Einwilligung.
Die persönlichen Daten werden auf Wunsch nach Ablauf gesetzlich bestimmter Fristen zur Gänze gelöscht. Außerdem können Sie Informationszusendungen aller Art jederzeit durch eine Email an die auch bei den oben angegebenen Kontaktdaten angegebene Mailadresse abbestellen.
b) Zusammenarbeit mit Auftragsverarbeiter:innen
Wir wählen unsere Dienstleister:innen, die in unserem Auftrag personenbezogene Daten verarbeiten, sorgfältig aus. Auftragsverarbeiter*innen (insbesondere IT-Dienstleister:innen) erhalten personenbezogene Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Leistung benötigen. Diese Auftragsverarbeiter:innen und alle Personen, die mit Ihren Daten arbeiten, sind zur Einhaltung der datenschutzrechtlichen Bestimmungen auf Grundlage von Art 28 DSGVO sowie entsprechender Verschwiegenheit vertraglich verpflichtet.
c) Einsatz von Microsoft 365
Das im Unternehmen eingesetzte Microsoft 365A3 umfasst die Office 365 Suite (Word, Excel, PowerPoint, Outlook, Access, Teams, OneDrive, SharePoint online u.a.) sowie diverse sicherheits- und verwaltungsrelevante Werkzeuge, z.B. das Mobile Device Management Intune, erweiterte Identitäts- und Zugriffsverwaltung, Bedrohungs- und Informationsschutz sowie Werkzeuge zur Bewertung der Compliance-Risiken der IT-Landschaft.
Die damit durchgeführten Verarbeitungen erfolgen ausschließlich aufgrund dienstlicher Notwendigkeit. Eine Übermittlung von Stammdaten bzw. Inhaltsdaten an betriebsexterne Empfängerkreise erfolgt ausschließlich im Rahmen dienstlicher Erfordernisse bzw. gesetzlicher Verpflichtungen. Der Einsatz von Teams als Videokonferenzsystem bei der Kommunikation mit externen Teilnehmer:innen erfolgt auf der Grundlage gegenseitigen Einverständnisses und damit freiwilliger Einwilligung. Dies gilt insbesondere auch für die dabei verarbeiteten Daten sowie in begründeten Ausnahmefällen als notwendig erachtete Aufzeichnungen. Eine allfällige Datenspeicherung erfolgt jeweils nur so lange, wie dies aufgrund des Zwecks der konkreten Datenverarbeitung oder aufgrund gesetzlicher Aufbewahrungsfristen erforderlich ist.
Im Zuge der Nutzung von Exchange online und den diversen Office 365 Apps wie Teams, OneDrive und SharePoint werden Daten (E-Mails, Dokumente, Chat-Verläufe) nicht nur auf lokalen IT-Systemen, sondern auch in der Microsoft-Cloud abgelegt. Diese werden bei Microsoft grundsätzlich in jener geographischen Region gespeichert, in der der Kunde seinen Hauptsitz hat, konkret in den Rechenzentren Wien, Amsterdam und Irland.
Das Risiko einer Datenübermittlung in die USA aufgrund eines allfälligen Zugriffs von US-Behörden kann nicht gänzlich ausgeschlossen werden, wird allerdings als gering eingeschätzt und unterliegt den im folgenden Punkt ausgeführten Vorkehrungen.
d) Übermittlung in Drittländer, insbesondere in die USA
Sofern eine Übermittlung in Drittländer, insbesondere in die USA, erfolgt, sei es im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung bzw. Übermittlung von Daten an andere Personen oder Unternehmen, geschieht dies nur aus den weiter oben für die Weitergabe von Daten dargestellten Gründen.
Vorbehaltlich ausdrücklicher Einwilligung oder vertraglicher Erforderlichkeit, verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau oder auf Grundlage besonderer Garantien, wie z.B. vertraglicher Verpflichtung durch sogenannte Standardvertragsklauseln der EU-Kommission, dem Vorliegen von Zertifizierungen oder verbindlichen internen Datenschutzvorschriften verarbeiten gemäß Art. 44 bis 49 DSGVO.
Hinweis zu Datenübermittlungen in die USA nach Wegfall des Privacy Shields:
Wir möchten ausdrücklich darauf hinweisen, dass mit 16. Juli 2020 aufgrund eines Rechtsstreits einer Privatperson und der irischen Aufsichtsbehörde das sogenannte „Privacy-Shield“, ein Angemessenheitsbeschluss der EU Kommission nach Art 45 DSGVO, mit dem den USA unter bestimmten Umständen ein angemessenes Datenschutz Niveau bestätigt wurde, per unverzüglicher Wirkung nicht mehr gültig ist. Das Privacy Shield stellt daher keine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA mehr dar.
Sofern eine Datenübermittlung durch uns in die USA überhaupt stattfindet oder ein Dienstleister mit Sitz in den USA von uns eingesetzt wird, verweisen wir darauf explizit in dieser Datenschutzerklärung bzw. im Rahmen der Beschreibung der entsprechenden „Datenerhebung auf unserer Website“ (siehe den Punkt „Verlinkung von YouTube-Videos“ sowie den Abschnitt über unsere Facebook Fanpage).
Was kann die Übermittlung von personenbezogenen Daten in die USA für Sie als Nutzer:in bedeuten und welche Risiken bestehen in diesem Zusammenhang?
Risiken für Sie als Nutzer:in sind jedenfalls die Befugnisse der US-Geheimdienste und die Rechtslage in den USA, die ein angemessenes Datenschutz-Niveau derzeit, nach Ansicht des EuGH, nicht mehr sicherstellen. U.a. handelt es sich dabei um folgende Punkte:
• Section 702 des Foreign Intelligence Surveillance Act (FISA) sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger:innen vor.
• Presidential Policy Directive 28 (PPD-28) gibt Betroffenen keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden und sieht keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen vor.
• Der im Privacy Shield vorgesehene Ombudsmann hat keine genügende Unabhängigkeit von der Exekutive; er kann keine bindenden Anordnungen gegenüber den Geheimdiensten treffen.
Rechtskonforme Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln?
Von der Europäischen Kommission wurden mit Beschluss 2021/914/EG vom 4. Juni 2021 neue Standardvertragsklauseln genehmigt. Unabhängig von deren Anwendung muss jedenfalls ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht. Hier sind also nicht nur die vertraglichen Beziehungen mit unseren Dienstleister:innen relevant, sondern auch die Zugriffsmöglichkeit auf die Daten durch Behörden in den USA und das dortige Rechtssystem (Gesetzgebung und Rechtsprechung, Verwaltungspraxis von Behörden).
Die Standardvertragsklauseln können Behörden in den USA nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht in den USA befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahme durch uns und unsere Dienstleister:innen noch keinen angemessenen Schutz dar.
Rechtskonforme Übermittlung von Daten in die USA auf Basis Ihrer Einwilligung?
Es ist derzeit umstritten, ob eine informierte Einwilligung und damit eine willentliche und wissentliche Einschränkung von Teilen Ihres Grundrechts auf Datenschutz überhaupt rechtlich möglich ist.
Welche Maßnahmen ergreifen wir, um eine Datenübermittlung in die USA rechtskonform zu gestalten?
Soweit US-Anbieter:innen die Möglichkeit anbieten, wählen wir die Verarbeitung von Daten auf EU-Servern. Damit sollte technisch sichergestellt sein, dass die Daten innerhalb der Europäischen Union liegen und ein Zugriff durch US-Behörden nicht möglich ist.
Des Weiteren prüfen wir sorgfältig europäische Alternativen zu eingesetzten US-Tools. Nur sofern aus technischen und / oder wirtschaftlichen Gründen der Einsatz von europäischen Tools und / oder das sofortige Abschalten der US-Tools für uns unmöglich ist, werden US-Dienstleister:innen derzeit weiterverwendet.
IX. Speicherdauer bzw. Löschfristen
Ihre personenbezogenen Daten speichern wir nur so lange, wie dies aufgrund des Zwecks der Datenverwendung erforderlich ist, sofern nicht aufgrund gesetzlicher Aufbewahrungsfristen eine längere Speicherdauer vorgegeben ist (z.B. sind Aufzeichnungen und Belege entsprechend der BAO sieben Jahre aufzubewahren). Daten, die wir ausschließlich aufgrund Ihrer Einwilligung verarbeiten, werden bis zum Widerruf Ihrer Einwilligung oder bis zum Wegfall des Zwecks der Datenerhebung von uns gespeichert und anschließend umgehend gelöscht.
X. Folgen der Nicht-Bereitstellung von Daten
Sofern bestimmte Daten für die Erbringung einer Leistung bzw. den Abschluss eines Vertrages erforderlich sind, kann bei Nicht-Bereitstellung der entsprechenden Daten die Leistung nicht erbracht werden.
XI. Betroffenenrechte
Als betroffener Person steht das Recht zu:
• gemäß Art 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfänger:innen, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer verlangen;
• gemäß Art 16 DSGVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
• gemäß Art 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
• gemäß Art 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an andere Verantwortliche zu verlangen;
• gemäß Art 21 DSGVO, sofern Ihre personenbezogenen Daten auf Grundlage unseres berechtigten Interesses verarbeitet werden, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird;
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.
• gemäß Art. 77 DSGVO sich hinsichtlich der rechtswidrigen Verarbeitung Ihrer Daten durch uns bei einer Aufsichtsbehörde zu beschweren. In Österreich ist dies die Datenschutzbehörde:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien, Österreich
Tel.: +43 1 52 152-0, dsb@dsb.gv.at
Wir bitten Sie aber, bei Datenschutzbedenken zunächst mit uns unter den im folgenden Punkt angegebenen Adressen Kontakt aufzunehmen: Wir sind sicher, Ihr Anliegen zufriedenstellend lösen zu können und werden uns größte Mühe geben, Ihre Anfragen und Wünsche so schnell wie möglich zu beantworten bzw. umzusetzen.
XII. Geltendmachung von Betroffenenrechten
Sollten Sie eines Ihrer oben genannten Rechte gegenüber uns ausüben wollen, können Sie sich gerne per Email oder Post unter folgenden Kontaktdaten an uns wenden:
Institut Hartheim gemeinnützige Betriebsgesellschaft mbH
Anton-Strauch-Allee 1, 4072 Alkoven
datenschutz@institut-hartheim.at
Bitte übermitteln Sie uns gemeinsam mit Ihrem Antrag zur notwendigen eindeutigen Identifizierung eine Kopie eines amtlichen Lichtbildausweises und unterstützen Sie uns bei der Konkretisierung Ihrer Anfrage durch Beantwortung von Fragen unserer zuständigen Mitarbeiter*innen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten. Bitte geben Sie in Ihrer Anfrage an, in welcher Rolle (Mitarbeiter:in, Bewerber:in, Besucher:in, Lieferant:in, Kund:in, etc.) und in welchem Zeitraum Sie mit uns in Beziehung gestanden sind. Dies ermöglicht eine zeitnahe Bearbeitung Ihres Anliegens.
Annex 1: Cookie-Policy
Auf unserer Website setzen wir Cookies ein, um unseren Internetauftritt nutzerfreundlicher und funktioneller zu gestalten.
Was ist ein Cookie?
Cookies sind kleine Datenpakete, die beim Besuch unserer Website zwischen Ihrem Browser und dem/unserem Webserver ausgetauscht werden. Diese richten keinerlei Schaden an und dienen lediglich der Wiedererkennung der Website-Besucher:innen. Cookies können nur Informationen speichern, die von Ihrem Browser geliefert werden, d.h. Informationen, die Sie selbst in den Browser eingegeben haben oder auf der Website vorhanden sind. Cookies können keinen Code ausführen und können nicht verwendet werden, um auf Ihr Endgerät zuzugreifen.
Cookies enthalten dabei die folgenden Informationen:
• Cookie Name
• Name des Servers, von dem das Cookie ursprünglich stammt
• Cookie-ID-Nummer
• Ein Datum, zu dem das Cookie automatisch gelöscht wird
Folgende technisch notwendige Cookies finden auf unserer Website Verwendung:
- CFGLOBALS: gesetzt durch Adobe ColdFusion-Anwendungen, hilft In Verbindung mit CFID und CFTOKEN, ein Client-Gerät (Browser) eindeutig zu identifizieren, damit die Site die Sitzungsvariablen des Benutzers beibehalten kann. Wie diese verwendet werden, ist spezifisch für die Website.
- CFID: gesetzt durch Adobe ColdFusion-Anwendungen, hilft in Verbindung mit CFTOKEN, ein Client-Gerät (Browser) eindeutig zu identifizieren, damit die Site die Sitzungsvariablen des Benutzers beibehalten kann. Wie diese verwendet werden, ist spezifisch für die Website. CFID enthält eine fortlaufende Nummer zur Identifizierung des Clients.
- CFTOKEN: gesetzt durch Adobe ColdFusion-Anwendungen, hilft in Verbindung mit dem CFID, ein Client-Gerät (Browser) eindeutig zu identifizieren, damit die Site die Sitzungsvariablen des Benutzers beibehalten kann. Wie diese verwendet werden, ist spezifisch für die Website. CFTOKEN enthält eine Zufallszahl zur Identifizierung des Clients.
Auf unserer Website werden derzeit keine zustimmungspflichtigen Cookies eingesetzt.
Die Rechtsgrundlage zur Verwendung von technisch notwendigen Cookies beruht auf unserem berechtigten Interesse am technisch einwandfreien Betrieb und an der reibungslosen Funktionalität unserer Website gemäß Art 6 Abs. 1 lit. f DSGVO. Unsere Website kann ohne diese Cookies nicht richtig funktionieren. Diese Cookies werden ausschließlich von unseren Unternehmen verwendet und sind deshalb sogenannte First Party Cookies. Sie werden lediglich während der aktuellen Browsersession auf Ihrem Computer gespeichert und nach Schließen des Browsers automatisch gelöscht.
Hinweise zum Verwalten und Löschen von Cookies
Unbedingt erforderliche Cookies können über die Funktion dieser Seite nicht deaktiviert werden. Sie können Cookies aber jederzeit generell in Ihrem Browser deaktivieren.
Zur Verwaltung von Cookies ermöglichen Ihnen die meisten Browser, alle Cookies zu akzeptieren oder abzulehnen bzw. nur bestimmte Arten von Cookies zu akzeptieren. Sie können auch einstellen, dass Sie jedes Mal gefragt werden, wenn eine Website ein Cookie speichern möchte. Einmal gesetzte Cookies können Sie jederzeit wieder löschen.
Die Verfahren zur Verwaltung und Löschung von Cookies sind unterschiedlich, je nachdem welchen Browser Sie verwenden. Um herauszufinden, wie Sie das in einem bestimmten Browser machen, können Sie die in den Browser integrierte Hilfe-Funktion nutzen oder alternativ Über Cookies (aboutcookies.org) aufrufen. Hier wird Schritt für Schritt erklärt wird, wie sich Cookies in den meisten gängigen Browsern verwalten und löschen lassen.
Bitte beachten Sie, dass eine generelle Deaktivierung von Cookies gegebenenfalls zu Funktionseinschränkungen auf unserer Website führen kann.
Annex 2: Datenerhebung auf unserer Webseite
I. Hosting
Im Rahmen des Hostings unserer Website werden sämtliche im Zusammenhang mit dem Betrieb unserer Website zu verarbeitenden Daten gespeichert, soweit dies notwendig ist, um den Betrieb der Website zu ermöglichen. Die Daten verarbeiten wir daher entsprechend auf der Grundlage unseres berechtigten Interesses gemäß Art 6 Abs. 1 lit. f DSGVO an der Optimierung unseres Webseitenangebotes. Zur Bereitstellung unseres Onlineauftritts nutzen wir Dienste von Webhosting-Anbietern, denen wir die oben genannten Daten im Rahmen einer Auftragsverarbeitung gemäß Art 28 DSGVO zur Verfügung stellen.
II. Server-Logfiles
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 165 Abs 3 TKG 2021 sowie des Art 6 Abs 1 lit a (Einwilligung), lit b (notwendig zur Vertragserfüllung) und/oder lit. f (berechtigtes Interesse) der DSGVO. Die Daten, die wir beim Besuch unserer Homepage erheben, beinhalten:
• das von Ihnen benutze Betriebssystem,
• den Browsertyp und die jeweilige Version,
• die IP-Adresse,
• Datum inklusive Uhrzeit Ihres Besuchs,
• die zuvor besuchte Seite (Referrer URL bzw Referrer Uniform Resource Locator),
• die während des Besuchs aufgerufenen Unterseiten auf der Website.
Die erhobenen Daten werden keinen natürlichen Personen zugeordnet und lediglich für statistische Zwecke genutzt, welche der Verbesserung unserer Angebote auf der Website dienen. Weiters sind diese Daten notwendig, um die Funktionstüchtigkeit der Website sowie die Sicherheit unserer IT-Systeme zu gewährleisten. Eine Verbindung oder Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht.
Die Daten werden gelöscht, sobald der Zweck der Erhebung entfällt, das heißt, im Falle der Erhebung der Daten zur Websitebereitstellung, wenn die jeweilige Sitzung beendet ist und im Falle der Datenspeicherung in Logfiles nach spätestens drei Monaten, soweit keine weitere Aufbewahrung zu Beweiszwecken erforderlich ist. Falls der Verdacht auf eine rechtswidrige Nutzung unserer Website besteht, behalten wir uns vor, diese Daten nachträglich zu prüfen. Diesfalls werden die Daten bis zur endgültigen Klärung des Vorfalls aufbewahrt.
III. SSL Verschlüsselung
Wir verwenden für Ihren Besuch auf unserer Website das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Ob eine einzelne Seite unserer Website verschlüsselt übertragen wird, erkennen Sie an der geschlossenen Darstellung des Schüssel- beziehungsweise Schloss-Symbols in der Statusleiste Ihres Browsers. Die Nutzung dieses Verfahrens basiert auf unserem berechtigten Interesse gem. Art 6 Abs. 1 lit. f DSGVO am Einsatz geeigneter Verschlüsselungstechniken.
Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen gem. Art 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert und am Stand der Technik gehalten.
IV. Spendendaten
Wir bieten den Nutzer:innen unserer Website die Möglichkeit, eine Spende online zu tätigen. Die bei der Online-Spende erfassten und gespeicherten Daten dienen dem reibungslosen Ablauf der Spendenabwicklung (z.B. Übermittlung der Spender:innendaten an das Finanzamt, um die Spende steuerlich absetzbar zu machen). Die Verarbeitung erfolgt dabei zur Vertragserfüllung auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO und darüber hinaus gem. Art 6 Abs. 1 lit. c DSGVO zur Erfüllung steuerlicher Vorschriften sowie gesetzlicher Aufbewahrungspflichten. Dabei sind die erforderlichen Pflichtangaben als solche bei der Eingabe besonders gekennzeichnet.
Weiters werden die erfassten Daten auf Basis unseres berechtigten Interesses gemäß Art 6 Abs. 1 lit. f DSGVO am Direktmarketing in einer Kunden- und Interessentendatenbank gespeichert. Sie werden dazu benutzt, Spender:innen über das Geschehen in den Unternehmen der GSI-Gruppe zu benachrichtigen sowie über die Anliegen unserer Kund:innen und Spendenprojekte unserer Einrichtungen zu informieren (z.B. Zeitschrift „wir gemeinsam“).
Die persönlichen Daten werden auf Wunsch nach Ablauf gesetzlich bestimmter Aufbewahrungsfristen zur Gänze gelöscht. Außerdem können Sie Informationszusendungen aller Art jederzeit durch eine Mail an die auch bei den oben angegebenen Kontaktdaten angegebene Mailadresse abbestellen (datenschutz@institut-hartheim.at).
Zahlungsdienstleister
Im Bereich der Onlinespenden bieten wir die Möglichkeit, Zahlungen auch mithilfe folgender Zahlungsdienstleister:innen durchzuführen:
- PayPal (PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg
- SOFORT GmbH, Theresienhöhe 12, 80339 München, Deutschland
Die Zahlungsdienstleister:innen werden von uns auf Grundlage unseres berechtigten Interesses herangezogen, eine praktikable, effiziente und sichere Zahlungsmethode anzubieten (Art. 6 Abs. 1 lit. f DSGVO). Es besteht für Sie auch die Möglichkeit, eine andere Zahlungsmethode zu wählen. Die externen Kooperationspartner:innen dürfen die bereitgestellten Informationen ausschließlich für Erfüllung des vorgesehenen Zwecks verwenden (Art. 6 Abs. 1 lit b. DSGVO).
Es handelt sich bei Zahlungsdienstleister:innen um eigene Verantwortliche im Sinne des Art 24 DSGVO. Diese sind datenschutzrechtlich eigenständig für die Verarbeitung Ihrer Daten verantwortlich. Sollten Sie daher weitere Informationen oder die Geltendmachung von Widerrufs-, Auskunfts- und anderen Betroffenenrechten gegenüber dem Zahlungsdienstleister:innen wünschen, verweisen wir Sie an diese.
Die entsprechenden Datenschutzerklärung finden Sie unter:
PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full.
SOFORT GmbH: https://integration.sofort.com/integrationCenter-ger-DE/integration/datenschutz.html
V. Bewerbungsportal
Wir bieten Ihnen auf unserer Homepage die Möglichkeit, sich über offene Stellen zu informieren und sich gleichzeitig online zu bewerben.
Die Daten, die Sie uns im Rahmen einer Bewerbung zur Verfügung gestellt haben, werden ausschließlich zur Bearbeitung des Bewerbungsverfahrens genutzt und werden auf den Systemen unseres Software-Partners BMD gespeichert und verarbeitet. Sie stehen einem nur sehr eingeschränkten Personenkreis (Abteilung Personalwesen und Geschäftsführung) zur Verfügung. Soweit sich Ihre Bewerbung auf eine konkrete Stellenausschreibung bezieht, verarbeiten wir die angegebenen Daten nur zum Zweck der Bearbeitung für diese konkrete Stelle. Die Verarbeitung Ihrer Bewerberdaten erfolgt dabei zur Durchführung vorvertraglicher Maßnahmen infolge Ihrer Anfrage als Bewerber:in gemäß Art 6 Abs. 1 lit. b DSGVO.
Über den Abschluss des Bewerbungsverfahrens für eine Stelle hinaus verarbeiten wir Ihre Bewerbungsdaten nur, soweit dies gemäß Art 6 Abs. 1 lit. f DSGVO zur Wahrung unseres berechtigten Interesses erforderlich ist (z.B. zur Abwehr von ungerechtfertigten Ansprüchen) oder wenn Sie einer Verarbeitung Ihrer Bewerbungsdaten für zukünftige Stellenausschreibungen ausdrücklich gemäß Art 6 Abs. 1 lit. a DSGVO zugestimmt haben. Entsprechendes gilt für Initiativbewerbungen nach Abgleich Ihrer Einsatzwünsche sowie Ihres Qualifikationsprofils mit unseren Stellenangeboten.
Die unbedingt erforderlichen Bewerbungsdaten sind als solche gekennzeichnet oder ergeben sich aus der jeweiligen Stellenbeschreibung. Darüber hinaus können uns Bewerber:innen freiwillig zusätzliche Informationen zur Verfügung stellen. Soweit die Verarbeitung besonderer Kategorien von personenbezogenen Daten von uns durchgeführt wird, erfolgt dies ausschließlich zur Prüfung der Eignung für die Berufsausübung.
Mit der Übermittlung der Bewerbung an uns, erklären Sie sich mit der Verarbeitung Ihrer Daten zu Zwecken der Durchführung des Bewerbungsprozesses entsprechend der in dieser Datenschutzerklärung dargelegten Art und dem ausgewiesenen Umfang einverstanden und akzeptieren, dass Sie von unserem Unternehmen schriftlich, telefonisch und/oder per Email kontaktiert werden.
Die Daten, welche uns in einem Online-Formular zur Verfügung gestellt werden, werden entsprechend dem Stand der Technik verschlüsselt an uns übertragen. Ferner können Sie uns Ihre Bewerbung auch per E-Mail übermitteln. Hierbei weisen wir jedoch darauf hin, dass E-Mails grundsätzlich nicht verschlüsselt versendet werden und Sie selbst für eine Verschlüsselung sorgen müssten, um sich optimal abzusichern.
Die von Ihnen zur Verfügung gestellten Daten können im Fall einer erfolgreichen Bewerbung für die Zwecke des Beschäftigungsverhältnisses von uns weiterverarbeitet werden. Andernfalls, sofern die Bewerbung auf ein Stellenangebot nicht erfolgreich ist, werden die Daten der Bewerber:innen nach Ablauf der gesetzlichen Fristen oder falls Sie einer längerfristigen Speicherung zu einem bestimmten Zweck ausdrücklich zugestimmt haben, nach Ablauf dieses Zeitraums gelöscht.
Die Löschung erfolgt, soweit keine Einwilligung für eine längere Speicherung von Ihnen erklärt wurde, grundsätzlich nach dem Ablauf eines Zeitraums von sechs Monaten, damit wir etwaige Anschlussfragen zu der Bewerbung beantworten und unseren Nachweispflichten aus dem Gleichbehandlungsgesetz nachkommen können. Rechnungen über etwaige Reisekostenerstattung werden entsprechend den steuerrechtlichen Vorgaben archiviert.
VI. Kontakt- bzw. Anfrage- und Anmeldeformulare sowie E-Mail-Kontakt
Als Nutzer:in unserer Homepage haben Sie auch die Möglichkeit, mit uns per Kontakt- bzw Anfrage- oder Anmeldeformular in Verbindung zu treten, beispielsweise für
• Kontaktanfragen
• Reservierungsanfragen
• Besuchsanfragen
• Veranstaltungsanmeldungen
Nehmen Sie diese Möglichkeit wahr, so werden die in der Eingabemaske eingegebenen Daten an uns übermittelt und gespeichert, wie:
• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• ggf. Titel
• ggf. Organisation/Unternehmen
• Betreff
• IP-Adresse
Die vorgenannten Daten werden von uns zum Zweck der Bearbeitung bzw. Beantwortung Ihres Anliegens verarbeitet. Ohne Angabe dieser Informationen können wir Ihr Anliegen nicht angemessen bearbeiten.
Alternativ ist eine Kontaktaufnahme über die bereitgestellten E-Mail-Adressen möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert.
Die persönlichen Daten aus beiden Formen der Kontaktaufnahme werden für die damit verbundene Beantwortung von Anfragen bzw. Abwicklung von Aufträgen und Geschäftsfällen benötigt, ihre Verarbeitung erfolgt damit auch auf Grundlage unseres berechtigten Interesses gem. Art 6 Abs. 1 lit. f DSGVO sowie hinsichtlich der Durchführung (vor-)vertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO, wie beispielsweise bei der Reservierung von Eintrittskarten zu verschiedenen Veranstaltungen. Ohne die zumindest in den Pflichtfeldern verlangten Daten ist uns die Durchführung entsprechender organisatorischer Tätigkeiten nicht möglich, wie etwa eine kurzfristige Information im Falle der Absage einer Veranstaltung oder Ähnliches.
Wir löschen reine Anfragedaten umgehend, soweit sie für den Zweck der damit verbunden Erhebung nicht mehr erforderlich sind und der Löschung keinerlei gesetzliche Aufbewahrungsfristen, z.B. im Rahmen einer nachfolgenden Vertragsabwicklung, entgegenstehen. Soweit Daten über das Online-Kontaktformular eingegeben wurden, werden diese auch in einer Datenbank beim Hoster gespeichert, aus der sie 3 Monate nach der Datenerhebung wieder gelöscht werden.
Bei darüber hinaus gehendem Kontakt, wie etwa der Inanspruchnahme einer Dienstleistung, können Ihre Stammdaten auf Basis unseres überwiegenden berechtigten Interesses gem. Art 6 Abs. 1 lit. f DSGVO als Spendenorganisation an der Information potentieller Spender über Aktivitäten unserer Einrichtung in einer Kunden- und Interessentendatenbank für längstens 10 Jahre bei jederzeitiger Widerrufsmöglichkeit gespeichert werden. Eine Datenübermittlung an Dritte außerhalb der GSI-Gruppe erfolgt nicht.
VII. Google Fonts – lokale Einbindung
Auf unserer Website nutzen wir Google Fonts der Firma Google Inc. Für den europäischen Raum ist das Unternehmen Google Ireland Limited (Gordon House, Barrow Street Dublin 4, Irland) verantwortlich. Dabei handelt es sich um ein interaktives Verzeichnis mit über 800 Schriftarten, die Google kostenlos bereitstellt.
Wir haben die Google-Schriftarten lokal, d.h. auf unserem Webserver – nicht auf den Servern von Google – eingebunden. Dadurch gibt es keine Verbindung zu Google-Servern und somit auch keine Datenübertragung oder Speicherung. Auf diese Weise handeln wir datenschutzkonform und senden keine Daten an Google Fonts weiter.
VIII. Verlinkung zu YouTube-Videos
Die Nutzung von YouTube erfolgt im Interesse einer ansprechenden Darstellung unseres Internetauftritts und stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar. Die Einbindung von YouTube-Videos auf unserer Homepage erfolgt durch Verlinkung des betreffenden Videos. Das heißt, wenn Sie das entsprechende Vorschaubild anklicken, verlassen Sie unsere Homepage und werden Sie auf die Website von YouTube weitergeleitet. Der Anbieter dieses Dienstes ist Google LLC, D/B/A YouTube, 901 Cherry Ave., San Bruno, CA 94066, USA.
ACHTUNG! Im Rahmen dieses Dienstes erfolgt eine Datenübermittlung in die USA bzw. kann eine derartige nicht ausgeschlossen werden.
Wenn Sie ein YouTube-Video starten, wird eine Verbindung zu den Servern von YouTube hergestellt. Dadurch erhält YouTube Kenntnis davon, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, ermöglichen Sie YouTube dadurch, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies kann durch Ausloggen aus Ihrem Account verhindert werden.
Des Weiteren kann YouTube nach Starten eines Videos verschiedene Cookies auf Ihrem Endgerät speichern und auf diese Weise Informationen über Besucher:innen dieser Website erhalten. Weitere Informationen entnehmen Sie bitte der hierfür anwendbaren Datenschutzerklärung von YouTube, abrufbar unter: https://www.google.com/policies/privacy/
Annex 3: Datenschutzinformation Facebook Fanpage
Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Diese Fanpage ermöglicht es uns, unser Unternehmen gegenüber den Nutzer:innen von Facebook sowie Personen, die unsere Fanpage besuchen, zu präsentieren und mit diesen Personen zu kommunizieren.
Gemeinsame Verantwortlichkeit
Als Betreiber der Facebook-Fanpage sind wir (Institut Hartheim gemeinnützige Betriebsgesellschaft mbH, Anton-Strauch-Allee 1, 4072 Alkoven) gemeinsam mit dem Betreiber des sozialen Netzwerkes Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Irland) Verantwortliche im Sinne von Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO). Beim Besuch unserer Facebook-Fanpage werden personenbezogene Daten durch die Verantwortlichen (Erster Verantwortlicher: Facebook, 2. Verantwortlicher: Wir) verarbeitet. Im Folgenden informieren wir Sie darüber, um welche Daten es sich dabei handelt, auf welche Weise sie verarbeitet werden und welche Rechte Ihnen diesbezüglich zustehen.
Wir haben mit Facebook eine Vereinbarung über eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung von personenbezogenen Daten getroffen. Die Datenverarbeitung erfolgt auf Grundlage dieser Vereinbarung zwischen gemeinsam Verantwortlichen gemäß Art. 26 DSGVO, einsehbar unter: https://de-de.facebook.com/legal/terms/information_about_page_insights_data.
Mit dieser Vereinbarung erkennt Facebook die gemeinsame Verantwortung mit Blick auf sog. Insights-Daten an und übernimmt wesentliche datenschutzrechtliche Pflichten zur Information von Betroffenen, zu Datensicherheit oder Meldung von Datenschutzverstößen. Außerdem ist in der Vereinbarung festgelegt, dass Facebook primär Ansprechpartner bei der Wahrnehmung von Betroffenenrechten (Art. 15-22 DSGVO) ist. Denn als Anbieter des sozialen Netzwerks verfügt Facebook allein über die unmittelbaren Zugriffsmöglichkeiten auf erforderliche Informationen und kann zudem unmittelbar etwaige erforderliche Maßnahmen ergreifen und Auskunft geben.
Den Datenschutzbeauftragten von Facebook können Sie über das von Facebook bereitgestellte Online-Formular (https://www.facebook.com/help/contact/540977946302970) kontaktieren. Sollte dennoch unsere Unterstützung erforderlich sein, können wir jederzeit kontaktiert werden.
Einsatz von Cookies und Insights
Wenn Sie unsere Fanpage „Institut Hartheim gemeinnützige Betriebs GmbH“ (https://www.facebook.com/instituthartheim/) auf Facebook besuchen, werden im Zusammenhang mit diesem Besuch personenbezogene Daten verarbeitet, unabhängig davon, ob Sie auf Facebook registriert bzw. eingeloggt sind oder nicht. Facebook stellt Fanpage-Betreiber:innen dazu die Funktion „Seiten-Insights“ zur Verfügung, mit deren Hilfe wir anonymisierte statistische Daten über die Nutzer und Besucher:innen unserer Fanpage erhalten. Diese sogenannten „Seiten-Insights“ sind zusammengefasste Seitenstatistiken zu „Gefällt mir“-Angaben, Beitragsreichweite und anderen Themen, die von Facebook protokolliert werden, wenn Nutzer:innen und Besucher:innen mit unserer Fanpage und den mit ihr verbundenen Inhalten interagieren.
Hierfür speichert Facebook auf dem Endgerät des Nutzers, der unserer Facebook-Fanpage besucht, einen Cookie ab. Der Cookie enthält jeweils einen eindeutigen Benutzercode und ist für eine Dauer von zwei Jahren aktiv, sofern er nicht zuvor gelöscht wird. Der Benutzercode kann mit den Daten solcher Nutzer verknüpft werden, die bei Facebook registriert sind.
Wenn Sie bei Facebook registriert und eingeloggt sind, stimmen Sie laut den entsprechenden Nutzungsbedingungen sowie Datenschutz- und Cookie-Bestimmungen von Facebook der Verarbeitung Ihrer personenbezogenen Daten durch Facebook zu. Wir weisen darauf hin, dass wir keinen Einfluss auf die Nutzungsbedingungen sowie Datenschutz- und Cookie-Bestimmungen von Facebook haben. Facebook ermittelt durch den Einsatz von Cookies, ob Sie bei Facebook eingeloggt sind.
Wenn Sie nicht auf Facebook registriert oder eingeloggt sind, kann es dennoch sein, dass Facebook bei Aufruf einer Unterseite oder mit der Vornahme einer Handlung innerhalb unserer Fanpage statistische Auswertungen Ihrer personenbezogenen Daten vornimmt und uns anonymisierte Statistiken hierüber übermittelt. Sofern Sie keine Unterseite unserer Fanpage aufrufen oder Handlungen auf unserer Fanpage (wie z.B. das Klicken auf ein Foto oder ein Video in einem Beitrag) vornehmen, werden keine personenbezogenen Daten durch Cookies erhoben.
Die in den Cookies gespeicherten Informationen werden von Facebook empfangen, aufgezeichnet und verarbeitet, insbesondere wenn der Nutzer die Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen, besucht. Nähere Informationen zum Einsatz von Cookies durch Facebook finden Sie in deren Cookie-Richtlinie (https://www.facebook.com/policies/cookies/). Bereits gespeicherte Cookies können jederzeit gelöscht werden. Darüber hinaus können Sie die Installation der Cookies durch eine entsprechende Einstellung Ihres Browsers verhindern.
ACHTUNG! Im Rahmen dieses Dienstes kann eine Datenübermittlung in die USA nicht ausgeschlossen werden.
Nähere Informationen zu den Insights und den Facebook-Seiten sowie über die Rechtsgrundlagen der Datenverarbeitung, allfällige Empfänger sowie über eine allfällige Übermittlung Ihrer Daten in ein Drittland durch Facebook entnehmen Sie bitte der Datenschutzinformation von Facebook (https://www.facebook.com/privacy/explanation).
Zwecke der Verarbeitung
Die Verarbeitung der Informationen soll u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen soll sie uns als Betreiber der Facebook-Fanpage ermöglichen, Statistiken zu erhalten, die Facebook aufgrund der Besuche unsere Facebook-Fanpage erstellt. Diese helfen uns zu verstehen, wie wir mit unserer Facebook-Fanpage unsere Ziele besserer erreichen können, und ermöglichen uns, gezielte, interessenbasierte Werbeanzeigen zu schalten, ohne unmittelbar Kenntnis von der Identität der Besucher:innen zu haben. Sofern Besucher Facebook auf mehreren Endgeräten verwenden, kann die Erfassung und Auswertung auch Geräte übergreifend erfolgen, wenn es sich um registrierte und jeweils im eigenen Profil angemeldete Besucher handelt.
Die erstellten Besucherstatistiken werden ausschließlich in anonymisiertet Form an uns übermittelt. Wir haben keinen Zugang zu den jeweils zugrundliegenden Daten. Die von Ihnen unmittelbar und von Facebook bereitgestellten Daten werden ausschließlich zum Zwecke der Kunden- und Interessentenkommunikation auf Grund unseres überwiegenden berechtigten Interesses laut Art 6 Abs 1 lit f DSGVO genutzt, um Ihnen die für Sie interessantesten Informationen bieten zu können.
Betroffenenrechte
Aus den Vereinbarungen mit Facebook auch zur gemeinsame Verantwortung ergibt sich, dass Auskunftsanfragen und die Geltendmachung weiterer Betroffenenrechte sinnvollerweise direkt bei Facebook geltend gemacht werden. Denn als Anbieter des sozialen Netzwerkes und der Möglichkeit Facebook-Seiten dort einzubinden, verfügt Facebook allein über die unmittelbaren Zugriffsmöglichkeiten auf erforderliche Informationen und kann zudem unmittelbar etwaige erforderliche Maßnahmen ergreifen und Auskunft geben.
Sie haben das Recht, jederzeit Auskunft darüber zu verlangen, welche Daten von Ihnen verarbeitet werden (Art 15 DSGVO). Sie haben das Recht, unvollständige Daten vervollständigen sowie unrichtige Daten berichtigen oder löschen zu lassen (Art 16, 17 DSGVO). Unter bestimmten Voraussetzungen können Sie die Löschung Ihrer Daten verlangen (Art 17 DSGVO). Ein Recht auf Löschung besteht jedoch nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Sie können unter bestimmten Voraussetzungen auch die Einschränkung der Verarbeitung Ihrer Daten verlangen (Art 18 DSGVO) sowie der Verarbeitung Ihrer Daten widersprechen (Art 21 DSGVO). Sie haben das Recht, jene Daten, die Sie bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln, oder – bei technischer Machbarkeit – durch Facebook übermitteln zu lassen (Art 20 DSGVO).
Sofern Ihre Daten auf Basis Ihrer Einwilligung verarbeitet werden, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis zu diesem Widerruf erfolgten Datenverarbeitung nicht berührt.
Für Anträge auf Ausübung Ihrer Betroffenenrechte sowie den Widerruf Ihrer Einwilligung im Zusammenhang mit der Verarbeitung von Daten im Rahmen von Seiten-Insights verwenden Sie bitte die in der Datenschutzinformation von Facebook zu Seiten-Insights-Daten verlinkten Formulare (https://de-de.facebook.com/legal/terms/information_about_page_insights_data) oder wenden Sie sich bitte postalisch an Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Ireland. Sie können Ihre Anträge grundsätzlich auch an uns richten, wir werden sie dann an Facebook weiterleiten.
Sie haben das Recht, eine Beschwerde bei der irischen Datenschutzkommission, der Österreichischen Datenschutzbehörde oder bei einer anderen Datenschutz-Aufsichtsbehörde in der EU, insbesondere an Ihrem Aufenthalts- oder Arbeitsort, zu erheben.