Datenschutzhinweise

Stand: November 2020

1. Einleitung/Präambel

Der Datenschutz ist uns ein wichtiges Anliegen und Ihr Vertrauen hat für uns höchste Priorität! Daher behandeln wir Ihre personenbezogenen Daten stets vertraulich und halten uns selbstverständlich an alle anwendbaren Datenschutzvorschriften. Ihre personenbezogenen Daten verarbeiten wir daher nur, soweit dies gesetzlich erlaubt ist oder Sie uns dazu Ihre Einwilligung erteilt haben.

2. Verantwortlicher

Diese Datenschutzhinweise gelten für die Datenverarbeitung durch uns als Verantwortlicher gem. Art. 4 Abs. 7 Datenschutzgrundverordnung (DSGVO). Unsere Kontaktdaten sind:

Institut für Betriebliche Gesundheitsförderung BGF GmbH
Geschäftsführer: Andreas Schmidt, Michael Wenninghoff
Gesellschafter: AOK Rheinland/Hamburg
Telefon: +49(0)221 27180-0
Telefax: +49(0)221 27180-100
E-Mail: info( at )bgf-institut.de

3. Datenschutzbeauftragter

Den durch uns benannten Datenschutzbeauftragten erreichen Sie unter:
Datenschutzbeauftragter
Institut für Betriebliche Gesundheitsförderung BGF GmbH
Neumarkt 35-37
50667 Köln
Telefon: 0221-27180-105
E-Mail: Datenschutzbeauftragter( at )bgf-institut.de

4. Begriffsdefinitionen

Soweit diese Datenschutzerklärung keine abweichende Definition beinhaltet oder impliziert, wird im Hinblick auf die verwendeten Begriffe auf die Definitionen in Art. 4 DSGVO verwiesen.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

a) personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

b) betroffene Person

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten, von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

c) Verarbeitung

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

d) Einschränkung der Verarbeitung

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

e) Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

f) Verantwortlicher oder für die Verarbeitung Verantwortlicher

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

g) Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

h) Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaatenmöglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

i) Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

j) Einwilligung

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

5. Auftragsverarbeitung

Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert.

Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraums (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in der Beschreibung des Angebotes.

6. Verarbeitung Ihrer personenbezogenen Daten

1. Beim Aufruf unserer Website

Beim Aufruf unserer Website erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO:

- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt
- Browser
- Betriebssystem und dessen Oberfläche
- Sprache und Version der Browsersoftware

2. Im Rahmen der Teilnahme an der Aktion „Schritt4fit“

Registrierung
Im Rahmen der Registrierung werden folgende personenbezogene Daten erfasst und gespeichert:

- Anrede
- Vorname
- Nachname
- Mail-Adresse

Kontaktaufnahme

Wenn Sie mit uns Kontakt aufnehmen (z.B. per E-Mail) benötigen wir Ihre personenbezogenen Daten (Name, E-Mail-Adresse), um Ihre Teilnahme an der „Schritt 4 fit“ Aktion zu bearbeiten.

Diese personenbezogenen Daten können in einem CRM System („Customer-Relationship-Management System“) oder vergleichbaren Systemen zu Anfragenorganisation und zu Durchführung einer Schrittzähleraktion gespeichert werden.

Die Verarbeitung Ihrer personenbezogenen Daten geschieht in allen diesbezüglichen Fällen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a), lit. b) DSGVO. (Einwilligung)

Wir löschen Ihre Daten, sofern diese nicht mehr erforderlich sind unmittelbar nach Beendigung der Schrittzähleraktion oder – im Falle von gesetzlichen Aufbewahrungspflichten – schränken wir die Verarbeitung ein. Die Erforderlichkeit überprüfen wir alle 6 Monate.

Eine Weitergabe Ihrer Daten an Dritte erfolgt grundsätzlich nicht. Für eine weitere Verarbeitung, Ihrer Daten benötigen wir Ihre Einwilligung.

Im Rahmen der Wettbewerbsdurchführung in Firmen (Firmen-Challenge) können im Anschluss an die Schrittzähleraktion durch das BGF-Institut Urkunden (Name, Rangliste ) erstellt werden. Die Übermittlung dieser Daten an das teilnehmende Unternehmen erfolgt im Rahmen der Wettbewerbsdurchführung. Darüberhinausgehende Auswertungen werden nicht erzeugt.

Für die Erstellung einer Urkunde und die damit verbundene Weitergabe an das Unternehmen benötigen wir Ihre Einwilligung.

7. Weitere Funktionen der Webseite

Cloudflare Stream
Diese Seite nutzt Cloudflare Stream für die technische Verteilung des Erklärvideos. Die Erklärungen von Cloudflare zur DSGVO (GDPR) finden Sie hier. Wir haben diesen Anbieter bewusst ausgewählt, damit kein Tracking Ihrer Videoansichten zu Werbezwecken erfolgt. Cloudflare erlangt durch Ansicht des Videos technisch bedingt lediglich die öffentliche IP-Adresse und die Kennung des verwendeten Browsers Ihres Endgeräts. Es werden keine Anbieter oder Werbenetzwerk-Cookies gesetzt.

8. Cookies

Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Webseite Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte durch den von Ihnen verwendeten Browser gespeichert werden und durch die die Stelle, die den Cookie setzt, bestimmte Informationen auswerten kann. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

Unsere Webseite nutzt zwei Arten von Cookies: Session-Cookies und dauerhafte Cookies. Session-Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Sie dienen der Verbindungssteuerung und Navigation und ermöglichen Ihnen eine komfortable Nutzung unseres Internetangebotes. Sie speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Webseite zurückkehren.

9. Übermittlung in Drittstaaten

Wir verarbeiten Ihre personenbezogenen Daten nur dann in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)), wenn es zur Erfüllung unserer (vor)vertraglichen Pflichten (gem. Art. 6 Abs. 1S. 1lit. b DSGVO), auf Grundlage Ihrer Einwilligung (gem. Art. 6 Abs. 1S. 1lit. a DSGVO), aufgrund einer rechtlichen Verpflichtung (gem. Art. 6 Abs. 1S. 1lit. c DSGVO) oder auf Grundlage unserer berechtigten Interessen (gem. Art. 6 Abs. 1S. 1lit. f DSGVO) erforderlich ist. Das gleiche gilt, für die Verarbeitung durch Dritte in unserem Auftrag, die Offenlegung Ihrer personenbezogenen Daten an Dritte sowie deren Übermittlung an Dritte.

10. Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe des Art. 17 DSGVO gelöscht oder nach Art. 18 DSGVO in ihrer Verarbeitung eingeschränkt.

Sofern im Rahmen dieser Datenschutzhinweise nichts Abweichendes geregelt ist, werden die von uns verarbeiteten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Erforderlichkeit überprüfen wir alle 6 Monate.

Sofern die Daten nicht gelöscht werden, weil sie für andere, gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht verwendet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.

11. Serverstandort und Datenverarbeitung

Serverstandort ausschließlich in Deutschland. Zugriff auf die Daten nur durch:
- BGF Institut Köln (kein direkter technischer Datenzugriff; Übermittelte Daten: Teilnahmelisten, Teilnahme-Urkunden, kumulierte, anonyme Fragebogenantworten, ausschließlich für Wettbewerbe in der Region der AOK Rheinland/Hamburg)
- Technische Dienstleister für den Betrieb und Support (ecomit GmbH, Düsseldorf und Kreativstrecke GmbH, Dinslaken)

Die o.g. Auswertungen, Urkunden werden ebenfalls nur über von uns betriebene Server (in Deutschland) ausgetauscht. Hierbei werden, wie vereinbart, nur die Urkunden und die Teilnehmerlisten mit Gesamtschrittzahlen an das BGF Institut übermittelt. Wenn ein Teilnehmer keine Urkunde im Rahmen eines Wettbewerbs wünscht, werden seine Daten (Anrede, Name, E-Mail, Team, Gesamt-Schritte) auch nicht an das BGF Institut im Rahmen der Urkunden und Teilnehmerliste übermittelt!

Eine notwendige Übermittlung von Daten an das teilnehmende Unternehmen erfolgt im Rahmen der Wettbewerbsdurchführung (Teilnahmelisten, Urkunden, Rangliste). Darüberhinausgehende Auswertungen werden nicht erzeugt.

Keinesfalls werden Aktivitätsprofile, Standortprofile (Tracking) oder sonstige Detailauswertungen erstellt und können so auch nicht weitergegeben werden.

12. Betroffenenrechte

Sie haben das Recht:

gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;

gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;

gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;

gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;

gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;

gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und

gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.

13. Widerrufs- und Widerspruchsrechte

1. Widerruf von erteilten Einwilligungen

Sollten wir Ihre personenbezogenen Daten auf Grundlage einer von Ihnen dazu erteilten Einwilligung gem. Art 6 Abs. 1 lit. a DSGVO verarbeiten, haben Sie das Recht uns ggf. erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen.

Möchten Sie von Ihrem Widerrufsrecht Gebrauch machen, können Sie uns das per E-Mail an datenschutzbeauftragter( at )bgf-institut.de mitteilen. Alternativ stehen Ihnen dazu auch die oben unter Ziffer 2. genannten Kontaktdaten zur Verfügung.

2. Widerspruch bei Verarbeitung auf Grundlage berechtigtem Interesses

Sofern wir Ihre personenbezogenen Daten auf Grundlage unserer berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, können Sie uns das per E-Mail an datenschutzbeauftrager( at )bgf-institut.de mitteilen. Alternativ stehen Ihnen dazu auch die oben unter Ziffer 2. genannten Kontaktdaten zur Verfügung.

14. Sicherheitsmaßnahmen

Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die Vorschriften der Datenschutzgesetze eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Zu den Sicherheitsmaßnahmen gehört insbesondere die verschlüsselte Übertragung von Daten zwischen Ihrem Browser und unserem Server.

15. Schlussbestimmungen

Wir behalten uns das Recht vor, unsere Datenschutzhinweise zu ändern, falls dies aufgrund neuer Technologien oder Änderungen unserer Datenverarbeitungsprozesse notwendig sein sollte oder um sie an Änderungen der für uns maßgeblichen Rechtslage anzupassen. Dies betrifft jedoch nur diese Datenschutzhinweise. Sofern wir Ihre personenbezogenen Daten auf Grundlage einer von Ihnen erteilten Einwilligung verarbeiten oder Bestandteile dieser Datenschutzhinweise Regelungen des Vertragsverhältnisses mit Ihnen enthalten, erfolgen etwaige Änderungen nur mit Ihrer Zustimmung.