隐私政策
隐私政策
目录
- 导言
- 控制人
- 联系数据保护官
- 处理操作概述
- 相关法律依据
- 安全措施
- 个人数据传输
- 在第三国处理数据
- cookie 的使用
- 提供在线服务和虚拟主机
- 联系
- 申请程序
- 云服务
- 通讯和电子通知
- 通过电子邮件、邮寄、传真或电话进行促销沟通
- 在线营销
- 社交网络(社交媒体)
- 管理、组织和支持工具
- 删除数据
- 更改和更新隐私政策
- 数据主体的权利
- 术语定义
1 引言
通过以下隐私政策,我们希望告知您我们处理您哪些类型的个人数据(以下也称为 “数据”)、出于何种目的以及在何种程度上进行处理。数据保护信息适用于我们在提供服务时,尤其是在我们的网站、移动应用程序和外部在线存在(如我们的社交媒体资料,以下统称为 “在线服务”)中对个人数据的所有处理。
所用术语不分性别。状态: 2023 年 1 月 30 日
2 第二负责人
Biomex GmbH Siemensstraße 38 69123 Heidelberg
公司授权代表
Dipl.-Chem., Dipl.-Kfm. Oliver Bošnjak
电子邮件地址:info@biomex.de.
电话:06221-4166-0
版本说明: https://www.biomex.de/impressum.
3 联系数据保护专员
托马斯团队,负责人:卡特琳-托马斯
卡特琳-托马斯
电话:06344 503949-0
datenschutz@biomex.de
4 处理操作概述
以下概述了所处理数据的类型及其处理目的,并提及了数据主体。
处理的数据类型
- 库存数据(如姓名、地址)。
- 申请人数据(如个人详细资料、邮寄地址和联系地址、申请文件及其中包含的信息,如求职信、简历、证书以及申请人针对特定职位或自愿提供的其他个人或资格信息)。
- 内容数据(如在线表格中的条目)。
- 联系数据(如电子邮件、电话号码)。
- 元数据/通信数据(如设备信息、IP 地址)。
- 使用数据(如访问过的网站、对内容的兴趣、访问时间)。
数据主体类别
- 员工(如雇员、申请人、前雇员)。
- 申请人。
- 相关方。
- 通信合作伙伴。
- 客户
- 用户(如网站访问者、在线服务用户)。
处理目的
- 提供在线服务和用户友好性
- 转换测量(测量营销措施的有效性)。
- 申请程序(雇佣关系的建立、可能的后续实施和可能的后续终止)。
- 办公和组织程序。
- 直接营销(如通过电子邮件或邮寄)。
- 反馈(如通过在线表格收集反馈)。
- 市场营销。
- 联系请求和沟通。
- 包含用户相关信息的档案(创建用户档案)。
- 访问量测量(如访问统计、识别回访者)。
5 相关法律依据
以下是我们处理个人数据所依据的《通用数据保护条例》(DSGVO)法律基础的概述。请注意,除了《DSGVO》的规定外,您所在国家或我们所在国家的国家数据保护规定也可能适用。如果在某些个别情况下有更具体的法律基础适用,我们将在隐私声明中告知您。
- 同意(GDPR 第 6 条第 1 款第 1 句 a.项)–数据主体同意出于特定目的或多个特定目的处理其个人数据。
- 合同履行和合同前查询(GDPR 第 6 条第 1 款第 1 句 b 项)- 为履行数据当事人作为一方当事人的合同,或在签订合同前应数据当事人的要求采取措施,有必要对数据进行处理。
- 合法权益(《个人数据保护公约》第 6 条第 1 款第 1 句 f 项)- 出于控制方或第三方追求的合法权益的目的,有必要对数据进行处理,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒。
- 作为合同前关系或合同关系的申请程序(GDPR 第 9 条第 2 款 b 项)–只要申请程序中处理了 GDPR 第 9 条第 1 款所指的特殊类别的个人数据(例如 要求申请人提供健康数据,如严重残疾状况或民族血统),以便控制者或数据主体能 够行使劳动法、社会保障法和社会保护法规定的权利,并履行其在这方面的义务,则对这些 数据的处理应符合 GDPR 第 9 条第 2 款 b 项的规定。在根据 GDPR 第 9 条第 2 款 c.项保护申请人或其他人的重要利益的情况下,或出于预防性目的,对其进行处理。根据 GDPR 第 9 条第 2 款 h.项,出于预防保健或职业医学的目的,为了评估员工的工作适应性,为了医疗诊断、健康或社会保健或治疗,或者为了健康或社会保健系统和服务的管理。GDPR. 对于基于自愿同意的特殊类别数据的交流,其处理依据是《欧洲个人资料与隐私权公 约》第 9 条第 2 款 a 项。GDPR.
德国国家数据保护法规:除《通用数据保护条例》的数据保护法规外,德国还适用国家数据保护法规。其中特别包括《防止在数据处理中滥用个人数据法》(联邦数据保护法 – BDSG)。联邦数据保护法特别规定了知情权、删除权、反对权、特殊类别个人数据的处理、出于其他目的的处理和传输,以及个别情况下的自动决策,包括剖析。该法还对以雇佣关系为目的的数据处理进行了规定(《联邦数据保护法》第 26 条),尤其是在雇佣关系的建立、实施或终止以及雇员同意方面。各联邦州的数据保护法也可能适用。
6 安全措施
我们根据法律要求采取适当的技术和组织措施,同时考虑到技术水平、实施成本、处理的性质、范围、情况和目的,以及发生的不同概率和对自然人权利和自由的威胁程度,以确保与风险相适应的保护水平。
这些措施尤其包括通过控制对数据的物理和电子访问,以及数据的访问、输入、披露、可用性保障和数据分离,来保障数据的保密性、完整性和可用性。此外,我们还制定了相关程序,确保数据主体权利的行使、数据的删除以及对数据威胁的应对。此外,在开发或选择硬件、软件和程序时,我们已根据数据保护原则,通过技术设计和数据保护友好的默认设置,将个人数据保护考虑在内。
缩短 IP 地址: 如果我们或所使用的服务提供商和技术需要处理 IP 地址,且不需要处理完整的 IP 地址,则会截短 IP 地址(也称为 “IP 屏蔽”)。在此过程中,IP 地址的最后两位数字或点后的最后部分会被删除或用占位符代替。缩短 IP 地址的目的是防止或更难通过 IP 地址识别一个人。
SSL 加密 (https): 我们使用 SSL 加密技术保护您通过我们的在线服务传输的数据。您可以通过浏览器地址栏中的前缀 https:// 识别此类加密连接。
7 个人数据的传输
在我们处理个人数据的过程中,可能会将数据传输给其他机构、公司、法律上独立的组织单位或个人,或向其公开。这些数据的接收者可能包括负责IT任务的服务提供商,或那些被嵌入网站中的服务和内容提供商。在这种情况下,我们会遵守法律规定,并特别与数据接收者签订相应的合同或协议,以保护您的数据。
企业集团内部的数据传输:我们可以将个人数据传输给我们企业集团内的其他公司,或允许它们访问这些数据。如果出于行政目的进行这种传输,则基于我们正当的商业和经济利益,或当传输对于履行我们的合同义务是必要的,或者当获得相关人员的同意或法律许可时,进行数据传输。
8 在第三国处理数据
如果我们在第三国(即欧盟(EU)、欧洲经济区(EEA)之外)处理数据,或者在使用第三方服务或向其他人、机构或公司披露或转移数据的情况下处理数据,则只能按照法律要求进行。
在征得明确同意或根据合同或法律要求进行转移的情况下,我们仅在数据保护水平得到认可的第三国处理或让其处理数据,并通过欧盟委员会所谓的标准保护条款履行合同义务,同时提供认证或具有约束力的内部数据保护法规(GDPR 第 44 至 49 条,欧盟委员会信息页面:
https://ec.europa.eu/info/law/law-topic/data-protection/international- dimension-data-protection_de
9 Cookies 的使用
Cookie 是一种文本文件,包含所访问网站或域的数据,由浏览器存储在用户计算机上。Cookie 主要用于存储用户访问在线服务期间或之后的相关信息。存储的信息可能包括网站的语言设置、登录状态、购物篮或观看视频的位置等。cookies “一词还包括与 cookies 具有相同功能的其他技术(例如,使用假名在线标识符(又称 ”用户 ID”)存储用户信息)。
Cookie 的类型和功能区分如下
- 临时 cookie(又称会话或会话 cookie): 临时 cookie 最迟在用户离开在线服务并关闭浏览器后删除。
- 永久性 cookie:永久性 cookie 在浏览器关闭后仍然保存。例如,当用户再次访问网站时,可以保存登录状态或直接显示最喜欢的内容。用于覆盖率测量或营销目的的用户兴趣也可存储在此类 cookie 中。
- 第一方 cookie:第一方 cookie 由我们设置。
- 第三方 cookie(又称:第三方 cookie): 第三方 cookie 主要由广告商(所谓的第三方)用于处理用户信息。
- 必要(又称:基本或绝对必要)cookie:Cookie 可能是网站运行的绝对必要条件(例如,保存登录信息或其他用户输入信息,或出于安全原因)。
- 统计、营销和个性化 Cookie:Cookie 通常也用于衡量用户的访问量,当用户在个人网站上的兴趣或行为(如浏览某些内容、使用功能等)被存储在用户配置文件中时,Cookie 也会被使用。例如,这些档案用于向用户展示符合其潜在兴趣的内容。这一过程也被称为 “跟踪”,即跟踪用户的潜在兴趣。如果我们使用 cookie 或 “跟踪 ”技术,我们将在隐私政策中或在征得同意时另行告知。有关法律依据的信息:我们借助 Cookie 处理您的个人数据的法律依据取决于我们是否征得您的同意。如果是这样,并且您同意使用 cookie,那么处理您的数据的法律依据就是您的同意。否则,使用 Cookie 处理的数据将基于我们的合法权益(例如,我们在线产品的业务运营及其改进),或者,如果使用 Cookie 是履行我们的合同义务所必需的,则我们将处理这些数据。存储期限:如果我们没有向您提供有关永久 Cookie 存储期限的明确信息(例如,作为所谓 Cookie 选择的一部分),请假设存储期限最长可达两年。
- Elementor:我们使用 Elementor 进行内容创建。这些数据不会与第三方共享。
- WPML:我们使用 WPML 进行本地管理。这些数据不与第三方共享。
- Complianz:我们使用 Complianz 进行 cookie 同意管理。更多信息。此数据不与第三方共享。更多信息,请阅读Complianz 隐私声明
- Burst Statistics:我们使用 Burst Statistics 进行网站统计。我们不会与第三方共享这些数据。
关于撤销和反对(退出)的一般信息:
根据处理是否基于同意或法律许可,您可以随时选择撤销您的同意或反对通过 cookie 技术处理您的数据(统称为 “退出”)。您最初可以通过浏览器设置来声明您的反对意见,例如停用 cookie 的使用(但这也可能会限制我们在线服务的功能)。您也可以通过https://optout.aboutads.info和https://www.youronlinechoices.com/网站上的各种服务,尤其是在跟踪的情况下,声明反对出于在线营销目的使用 cookie。此外,您还可以在有关服务提供商和所使用 cookie 的信息中获得更多的反对通知。
基于同意的 cookie 数据处理: 我们使用 cookie 同意管理程序,用户可通过该程序获得、管理和撤销对使用 cookie 或 cookie 同意管理程序中指定的处理和提供商的同意。同意声明将被保存,以便无需再次请求,并可根据法律义务证明同意。同意书可以存储在服务器和/或 Cookie 中(所谓的选择性 Cookie 或借助类似技术),以便将同意书分配给用户或其设备。以下信息适用于 Cookie 管理服务提供商的个别信息: 同意书最多可保存两年。将创建一个假名用户标识符,并将其与同意时间、同意范围信息(例如哪些类别的 cookie 和/或服务提供商)以及所使用的浏览器、系统和终端设备一起保存。
- 处理的数据类型: 使用数据(如访问过的网站、对内容的兴趣、访问时间)、元数据/通信数据(如设备信息、IP 地址)。
- 数据主体: 用户(如网站访问者、在线服务用户)。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 句 a 项)、合法利益(GDPR 第 6 条第 1 款第 1 句 f 项)。
10 提供在线服务和网络托管
为了安全、高效地提供在线服务,我们使用一个或多个网络托管服务提供商的服务,通过其服务器(或由其管理的服务器)可以访问在线服务。为此,我们可能会使用基础设施和平台服务、计算能力、存储空间和数据库服务以及安全服务和技术维护服务。
作为提供托管服务的一部分,处理的数据可能包括在使用和交流过程中产生的与我们在线服务用户有关的所有信息。这些信息通常包括 IP 地址(向浏览器发送在线服务内容所需的 IP 地址)以及在我们的在线服务中或从网站上输入的所有信息。
电子邮件的发送和托管:我们使用的网站托管服务还包括电子邮件的发送、接收和存储。为此,我们会处理收件人和发件人的地址以及与电子邮件发送有关的其他信息(如相关提供商)和相关电子邮件的内容。上述数据还可能用于识别垃圾邮件。请注意,互联网上的电子邮件一般不以加密形式发送。通常情况下,电子邮件在传输过程中会加密,但在发送和接收电子邮件的服务器上不会加密(除非使用了端到端加密方法)。因此,我们对电子邮件从发送方到我们服务器接收方之间的传输路径不承担任何责任。
访问数据和日志文件的收集:我们(或我们的网络托管服务提供商)会收集每次访问服务器的数据(即所谓的服务器日志文件)。服务器日志文件可能包括访问的网页和文件的地址和名称、访问日期和时间、传输的数据量、成功访问通知、浏览器类型和版本、用户的操作系统、推荐 URL(之前访问过的页面)以及 IP 地址和请求提供商。
服务器日志文件可用于安全目的,例如防止服务器过载(尤其是在发生所谓的 DDoS 攻击时),并确保服务器的利用率和稳定性。
- 处理的数据类型: 内容数据(如在线表格中的条目)、使用数据(如访问过的网站、对内容的兴趣、访问时间)、元数据/通信数据(如设备信息、IP 地址)。
- 数据主体: 用户(如网站访问者、在线服务用户)。
- 处理目的:提供在线服务和用户友好性。
- 法律依据:合法权益(《欧盟信息权法案》第 6 条第 1 款第 1 句 f 项)。
- 使用的服务和服务提供商:
- VULTR:提供信息技术基础设施和相关服务(如存储空间和/或计算能力);服务提供商: VULTR 319 Clematis Street Suite 900 West Palm Beach, FL 33401 United States; Website:https://www.vultr.com/; Privacy Policy: has been concluded with the operator; the server is located in Frankfurt/Main, Germany;
- STRATO:提供信息技术基础设施和相关服务(如存储空间和/或计算能力)领域的服务;服务提供商: STRATO AG, Pascalstraße 10,10587 Berlin, Germany; Website: https://www.strato.de; Privacy Policy:https://www.strato.de/datenschutz
11 联系
在与我们联系时(例如通过联系表、电子邮件、电话或社交媒体),只要是为了回答联系询问和采取任何必要的措施,我们都会处理询问者的详细信息。
在合同关系或合同前关系的背景下回答联系询问,是为了履行我们的合同义务或回复(合同前)询问,否则是基于回复询问的合法利益。
- 处理的数据类型:库存数据(如姓名、地址)、联系数据(如电子邮件、电话号码)、内容数据(如在线表格中的条目)、使用数据(如访问过的网站、对内容的兴趣、访问时间)、元/通信数据(如设备信息、IP 地址)。
- 数据主体: 通信合作伙伴。
- 处理目的:联系咨询和交流。
- 法律依据:合同履行和合同前查询(《欧洲个人信息权公约》第 6 条第 1 款第 1 节 b 项)、合法利益(《欧洲个人信息权公约》第 6 条第 1 款第 1 节 f 项)。
12 申请程序
申请程序要求申请人向我们提供评估和选拔所需的数据。所需信息可在职位描述中找到,或者在在线表格中找到。
原则上,所需信息包括个人详细资料,如姓名、地址、联系方式和职位所需资格证明。如有要求,我们很乐意就所需的详细信息提供补充信息。
如果需要,申请人可以使用在线表格向我们发送申请。我们会根据最新技术对数据进行加密传输。申请人也可以通过电子邮件向我们发送申请。但请注意,电子邮件通常不会在互联网上加密传输。通常情况下,电子邮件在传输过程中会加密,但在发送和接收电子邮件的服务器上不会加密。因此,我们对申请从发件人到我们服务器接收之间的传输路径不承担任何责任。
为了搜索申请人、提交申请和挑选申请人,我们可能会在符合法律要求的情况下使用第三方供应商提供的申请人管理或招聘软件、平台和服务。
欢迎求职者就如何提交申请或通过邮寄向我们发送申请与我们联系。
特殊类别数据的处理:如果在申请过程中要求申请人提供 GDPR 第 9 条第 1 款意义上的特殊类别个人数据(例如健康数据,如严重残疾状况或民族血统),以便控制者或数据主体能够行使劳动法、社会保障和社会保护法规定的权利,并履行其在这方面的义务,则将根据 GDPR 第 9 条第 2 款 b 项进行处理。在根据 GDPR 第 9 条第 2 款 c.项保护申请人或其他人的重要利益的情况下,或出于预防性目的,对其进行处理。根据 GDPR 第 9 条第 2 款 h.项,出于预防保健或职业医学的目的,为评估员工的工作适应性,为医疗诊断,为提供医疗或社会保健或治疗,或为管理医疗或社会保健系统和服务。GDPR. 对于基于自愿同意的特殊类别数据的交流,其处理依据为 GDPR 第 9 条第 2 款 a 项。GDPR.
删除数据: 在申请成功的情况下,我们可能会出于雇佣关系的目的进一步处理申请人提供的数据。否则,如果求职申请不成功,求职者的数据将被删除。如果申请者撤回申请,申请者的资料也将被删除,申请者有权随时撤回申请。如果申请人有正当理由取消申请,则最迟在 6 个月后删除,以便我们能够回答有关申请的任何后续问题,并履行我们根据申请人平等待遇规定提供证据的义务。任何差旅费报销发票都将按照税务规定存档。
纳入申请人库:如果提供纳入申请人库的机会,则以申请人同意为基础。申请者会被告知,他们是否同意加入人才库是自愿的,对正在进行的申请程序没有任何影响,而且他们可以在未来的任何时候撤销同意。
处理的数据类型:申请人数据(如个人资料、邮寄地址和联系地址、申请文件及其中包含的信息,如求职信、简历、证书以及申请人针对特定职位或自愿提供的其他个人或资格信息)。
- 数据主体: 申请人。
- 处理目的:申请程序(建立和可能的后续实施以及可能的后续雇用关系终止)。
- 法律依据:作为合同前关系或合同关系的申请程序(《欧洲个人信息权公约》第 9 条第 2 款 b 项)。
13 云服务
我们使用可通过互联网访问并在其提供商的服务器上运行的软件服务(所谓的 “云服务”,也称为 “软件即服务”),用于以下目的:文件存储和管理、日历管理、发送电子邮件、电子表格和演示文稿、与特定收件人交换文件、内容和信息或发布网站、表格或其他内容和信息,以及聊天和参加音频和视频会议。
在这种情况下,个人数据可能会被处理并存储在提供商的服务器上,只要这些数据是与我们通信过程的一部分,或者是我们按照本隐私政策的规定进行处理的。这些数据尤其包括用户的主数据和联系数据、交易数据、合同、其他流程及其内容。云服务提供商也会处理用于安全目的和优化服务的使用数据和元数据。
如果我们使用云服务向其他用户或可公开访问的网站提供表格或其他文件和内容,云服务提供商可能会在用户设备上存储 cookies,用于网络分析或记忆用户设置(例如在媒体控制的情况下)。
关于法律依据的说明:如果我们要求同意使用云服务,则处理的法律依据是同意。此外,云服务的使用可能是我们(预)合同服务的一部分,前提是云服务的使用已在此背景下达成一致。否则,用户数据的处理将基于我们的合法权益(即对高效、安全的管理和协作流程的兴趣)。
- 处理的数据类型:库存数据(如姓名、地址)、联系数据(如电子邮件、电话号码)、内容数据(如在线表格中的条目)、使用数据(如访问过的网站、对内容的兴趣、访问时间)、元/通信数据(如设备信息、IP 地址)。
- 数据主体: 客户、员工(如雇员、申请人、前雇员)、相关方、通信合作伙伴。
- 处理目的:办公和组织程序。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 节 a 项)、合同履行和合同前查询(GDPR 第 6 条第 1 款第 1 节 b 项)、合法利益(GDPR 第 6 条第 1 款第 1 节 f 项)。
- 使用的服务和服务提供商: Microsoft 云服务:云存储服务;服务提供商: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA; Website: https://microsoft.com/de-de; Privacy Policy:https://privacy.microsoft.com/de-de/privacystatement; Security information:https: //www.microsoft.com/de-de/trust-center;
14 简报和电子通知
我们仅在征得收件人同意或获得合法授权的情况下发送通讯、电子邮件和其他电子通知(以下简称 “通讯”)。如果在注册时对新闻简报的内容有明确说明,则这些内容对用户是否同意起决定性作用。否则,我们的时事通讯将包含有关我们的服务和我们自己的信息。
要订阅我们的时事通讯,一般只需提供您的电子邮件地址即可。不过,我们可能会要求您提供姓名,以便我们在新闻简报中对您进行个人称呼,或者在新闻简报的目的需要时提供其他信息。
双重选择程序: 注册订阅我们的时事通讯始终采用所谓的 “双向选择 ”程序。这意味着注册后,您会收到一封电子邮件,要求您确认注册。这种确认是必要的,这样就不会有人用其他人的电子邮件地址注册。我们会记录通讯订阅情况,以便根据法律要求证明注册过程。这包括存储注册和确认的时间以及 IP 地址。邮件服务提供商对您的数据所做的更改也会记录在案。
删除和限制处理:在删除未订阅的电子邮件地址之前,我们可能会基于我们的合法权益将其保存长达三年,以便能够证明之前的同意。对这些数据的处理仅限于可能的索赔辩护。个人可随时提出删除要求,但必须同时确认之前的同意。在有义务永久遵守反对意见的情况下,我们保留仅为此目的将电子邮件地址保存在阻止列表中的权利。注册过程的记录以我们的合法权益为基础,目的是证明注册过程的正确性。如果我们委托服务提供商发送电子邮件,则是基于我们对高效、安全的发送系统的合法权益。
关于法律依据的说明:通讯的发送以收件人的同意为基础,如果不需要同意,则以我们在直接营销中的合法权益为基础,如果和只要法律允许,例如在向现有客户做广告的情况下。如果我们委托服务提供商发送电子邮件,则是基于我们的合法利益。注册过程将根据我们的合法权益进行记录,以证明其依法进行。
内容: 关于我们、我们的服务、促销和优惠的信息。
打开率和点击率的测量: 时事通讯包含一个所谓的 “网络信标”,即一个像素大小的文件,当时事通讯被打开时,该文件会从我们的服务器上被提取出来,如果我们使用的是发送服务提供商,则会从其服务器上被提取出来。作为这种检索的一部分,最初会收集一些技术信息,如浏览器和您的系统信息,以及您的 IP 地址和检索时间。
这些信息用于根据技术数据或目标群体及其检索位置(可通过 IP 地址确定)或访问时间对我们的时事通讯进行技术改进。这种分析还包括确定通讯是否被打开、何时被打开以及哪些链接被点击。这些信息将分配给个人通讯接收者,并存储在他们的个人资料中,直至被删除。这些分析有助于我们了解用户的阅读习惯,并根据用户的兴趣调整我们的内容或发送不同的内容。
对打开率和点击率的测量以及将测量结果保存在用户档案中并对其进行进一步处理都是在用户同意的基础上进行的。
遗憾的是,无法单独撤销性能测量;在这种情况下,必须取消或反对整个新闻简报订阅。在这种情况下,存储的个人资料信息将被删除。
- 处理的数据类型:库存数据(如姓名、地址)、联系数据(如电子邮件、电话号码)、元/通信数据(如设备信息、IP 地址)、使用数据(如访问过的网站、对内容的兴趣、访问时间)。
- 数据主体: 通信合作伙伴、用户(如网站访问者、在线服务用户)。
- 处理目的:直接营销(如通过电子邮件或邮寄)、网络分析(如访问统计、识别回访者)、转换跟踪(营销活动效果的测量)、用户相关信息档案(创建用户档案)。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 句 a 项)、合法利益(GDPR 第 6 条第 1 款第 1 句 f 项)。
- 反对(退出)的可能性: 您可以随时取消接收我们的新闻通讯,即撤销同意或反对继续接收。您可以在每期新闻简报的末尾找到取消接收新闻简报的链接,也可以通过上述联系方式之一(最好是电子邮件)取消接收新闻简报。
- 使用的服务和服务提供商:
- 本网站使用开源网络分析服务 Matomo。在 Matomo 的帮助下,我们可以收集和分析访问者使用我们网站的数据。例如,我们可以了解访问者何时访问了哪些网页,来自哪个地区。我们还收集各种日志文件(如 IP 地址、推荐人、使用的浏览器和操作系统),并可测量网站访问者是否执行了某些操作(如点击、购买等)。使用该分析工具的依据是《欧洲个人数据保护公约》(GDPR)第 6 条第 1 款 f 项。网站运营者有分析用户行为的合法权益,以便优化其网站和广告。如果已获得相应的同意,则仅根据《德国隐私权保护法》第 6 条第 1 款 a 项和 TTDSG 第 25 条第 1 款进行处理,只要该同意包括 TTDSG 所指的存储 cookies 或访问用户终端设备中的信息(如设备指纹)。同意可随时撤销。
- Brevo:电子邮件营销平台;服务提供商:Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin;网站 :https://www.brevo.com/de/;隐私政策:https://www.brevo.com/de/legal/privacypolicy/
15 通过电子邮件、邮寄、传真或电话进行广告宣传
我们处理个人数据的目的是进行广告宣传,根据法律规定,广告宣传可以通过电子邮件、电话、邮寄或传真等不同渠道进行。
收件人有权随时撤回其同意或随时反对广告宣传。
- 处理的数据类型:库存数据(如姓名、地址)、联系数据(如电子邮件、电话号码)。
- 相关数据主体: 通信合作伙伴。
- 处理目的: 直接营销(如通过电子邮件或邮寄)。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 句 a 项)、合法利益(GDPR 第 6 条第 1 款第 1 句 f 项)。
16 在线营销
我们处理个人数据用于在线营销目的,其中尤其包括根据用户的潜在兴趣营销广告空间或展示广告和其他内容(统称为 “内容”)以及衡量其有效性。
为此,会创建所谓的用户档案并将其存储在文件(所谓的 “cookie”)或类似程序中,通过这些程序存储与展示上述内容相关的用户数据。这些信息可能包括浏览过的内容、访问过的网站、使用过的在线网络,也可能包括通信合作伙伴和技术信息,如使用的浏览器、使用的计算机系统和使用时间等信息。如果用户同意收集他们的位置信息,这些信息也会被处理。
用户的 IP 地址也会被保存。不过,我们会使用可用的 IP 屏蔽程序(即通过缩短 IP 地址进行化名)来保护用户。一般来说,在线营销过程中不会存储明确的用户数据(如电子邮件地址或姓名),但会存储假名。这意味着我们和在线营销程序提供商都不知道用户的真实身份,而只知道用户档案中存储的信息。
个人资料中的信息通常存储在 cookies 或类似程序中。这些 cookie 一般也可在使用相同在线营销程序的其他网站上读取,并为显示内容和补充更多数据的目的进行分析,然后存储在在线营销程序提供商的服务器上。
在特殊情况下,可以为个人资料分配明确的数据。例如,如果用户是我们使用其在线营销程序的社交网络的成员,而该网络将用户资料与上述数据联系起来,就会出现这种情况。请注意,用户可以与提供商签订额外协议,例如在注册时表示同意。
原则上,我们只能获得有关广告成功率的汇总信息。但是,作为所谓的转换测量的一部分,我们可以检查我们的哪些在线营销过程导致了所谓的转换,例如,与我们签订合同。转化测量仅用于分析我们的营销措施是否成功。
除非另有说明,我们要求您假定所使用的 cookies 将被保存两年。
关于法律依据的说明:如果我们征得用户同意使用第三方供应商,则数据处理的法律依据为同意。否则,用户数据的处理将基于我们的合法权益(即提供高效、经济和方便接收者的服务)。在此,我们还希望您注意本隐私政策中有关使用 cookies 的信息。
- 处理的数据类型: 使用数据(如访问过的网站、对内容的兴趣、访问时间)、元数据/通信数据(如设备信息、IP 地址)。
- 数据主体: 用户(如网站访问者、在线服务用户)。
- 处理目的:营销、用户相关信息档案(创建用户档案)、转换跟踪(衡量营销活动的效果)。安全措施 IP 屏蔽(IP 地址假名化)。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 句 a 项)、合法利益(GDPR 第 6 条第 1 款第 1 句 f 项)。
- 反对(退出)的可能性: 我们将参考相关提供商的数据保护声明以及为提供商规定的反对选项(即所谓的 “退出”)。如果没有指定明确的退出选项,您可以选择在浏览器设置中关闭 Cookie。不过,这可能会限制我们在线服务的功能。因此,我们建议您选择以下附加的退出选项,这些选项汇总在相应的地区: a) 欧洲: https://www.youronlinechoices.eu。b) 加拿大:https://www.youradchoices.ca/choices 。c) 美国 :https://www.aboutads.info/choices。 d) 跨地区:https://optout.aboutads.info 。
- 使用的服务和服务提供商: 本网站使用开源网络分析服务 Matomo。在 Matomo 的帮助下,我们可以收集和分析访问者使用我们网站的数据。例如,我们可以了解访问者何时访问了哪些网页,来自哪个地区。我们还收集各种日志文件(如 IP 地址、推荐人、使用的浏览器和操作系统),并可测量网站访问者是否执行了某些操作(如点击、购买等)。使用该分析工具的依据是《欧洲个人数据保护公约》(GDPR)第 6 条第 1 款 f 项。网站运营者有分析用户行为的合法权益,以便优化其网站和广告。如果已获得相应的同意,则仅根据《德国隐私权法案》第 6 条第 1 款 a 项和 TTDSG 第 25 条第 1 款进行处理,只要该同意包括 TTDSG 所指的存储 cookies 或访问用户终端设备中的信息(如设备指纹)。同意可随时撤销。
- IP 匿名化:我们使用 Matomo 进行 IP 匿名化分析。在这种情况下,您的 IP 地址会在分析前被截断,从而无法再明确地分配给您。
- 无 Cookie 分析:我们对 Matomo 进行了配置,使其不会在您的浏览器中存储任何 Cookie。
- 托管:Matomo 完全托管在我们自己的服务器上,因此所有分析数据都由我们自己掌握,不会外传。
17 社交网络(社交媒体)中的存在
我们在社交网络中保持在线存在,并在此背景下处理用户数据,以便与活跃在社交网络中的用户进行交流或提供有关我们的信息。
我们提醒您,用户数据可能会在欧盟以外的地区进行处理。这可能会给用户带来风险,例如,这可能会增加用户维权的难度。
此外,用户数据通常在社交网络内进行处理,用于市场调研和广告目的。例如,可以根据用户行为和由此产生的用户兴趣创建用户档案。用户档案反过来又可用于在网络内外投放与用户兴趣相符的广告。为此,通常会在用户电脑上存储 Cookie,其中存储了用户的使用行为和兴趣。此外,数据也可存储在用户配置文件中,与用户使用的设备无关(特别是当用户是相关平台的会员并已登录时)。
有关各种处理形式和退出选项的详细说明,请参阅各网络运营商提供的数据保护声明和信息。
在要求提供信息和维护数据主体权利的情况下,我们还希望指出,向提供商维护这些权利最为有效。只有提供商才能访问用户的数据,并采取适当措施和直接提供信息。如果您需要帮助,可以联系我们。
- 处理的数据类型:联系数据(如电子邮件、电话号码)、内容数据(如在线表格中的条目)、使用数据(如访问过的网站、对内容的兴趣、访问时间)、元数据/通信数据(如设备信息、IP 地址)。
- 数据主体: 用户(如网站访问者、在线服务用户)。
- 处理目的:联系请求和交流、反馈(如通过在线表格收集反馈)、营销。
- 法律依据:合法权益(《欧盟信息权法案》第 6 条第 1 款第 1 句 f 项)。
- 使用的服务和服务提供商:
- LinkedIn:社交网络;服务提供商: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland; Website:https://www.linkedin.com; Privacy Policy:https://www.linkedin.com/legal/privacy-policy; Opt-Out:https: //www.linkedin.com/psettings/guest-controls/retargeting-opt-out.
- Facebook: 我们与 Facebook Ireland Ltd. 共同负责收集(但非进一步处理)我们 Facebook 页面(所谓的 “粉丝页面”)访问者的数据。这些数据包括有关用户查看或与之互动的内容类型或所采取的行动的信息(参见 Facebook 数据政策中 “您和他人所做和提供的内容 ”部分:https://www.facebook.com/policy),以及有关用户所使用的设备的信息(例如 IP 地址、操作系统、浏览器类型、语言设置、cookie 数据;参见 Facebook 数据政策中 “设备信息 ”部分:https://www.facebook.com/policy)。如 Facebook 数据政策中 “我们如何使用这些信息?”一节所述,Facebook 还收集和使用信息,为页面运营者提供分析服务,即 “页面洞察”,以便他们深入了解用户如何与其页面及相关内容进行互动。我们与 Facebook 签订了一份特别协议(“关于页面洞察的信息”,https://www.facebook.com/legal/terms/page_controller_addendum),其中特别规定了 Facebook 必须遵守的安全措施,以及 Facebook 同意履行数据主体的权利(例如,用户可以直接向 Facebook 发送信息或删除请求)。用户的权利(尤其是知情权、删除权、反对权和向主管监督机构投诉的权利)不受与 Facebook 签订的协议的限制。更多信息请参见 “页面洞察信息”(https://www.facebook.com/legal/terms/information_about_page_insights_data)。
18 管理、组织和辅助工具
我们使用其他供应商(以下简称 “第三方供应商”)提供的服务、平台和软件来组织、管理、规划和提供我们的服务。在选择第三方供应商及其服务时,我们遵守法律规定。
在这种情况下,个人数据可能会在第三方供应商的服务器上进行处理和存储。这可能会影响我们根据本隐私政策处理的各种数据。这些数据尤其包括用户的主数据和联系数据、交易数据、合同、其他流程及其内容。
如果用户在与我们的通信、业务或其他关系中被推荐给第三方提供商或其软件或平台,第三方提供商可能会出于安全、服务优化或营销目的处理使用数据和元数据。因此,我们要求您遵守相关第三方供应商的数据保护声明。
关于法律依据的说明:如果我们征得用户同意使用第三方提供商,则数据处理的法律依据为同意。此外,使用第三方提供商可能是我们(预)合同服务的一部分,前提是在此情况下已就使用第三方提供商达成一致。否则,用户数据的处理将基于我们的合法权益(即提供高效、经济和方便接收方的服务)。在此,我们还希望您注意本隐私政策中有关使用 cookies 的信息。
- 处理的数据类型:库存数据(如姓名、地址)、联系数据(如电子邮件、电话号码)、内容数据(如在线表格中的条目)、使用数据(如访问过的网站、对内容的兴趣、访问时间)、元/通信数据(如设备信息、IP 地址)。
- 数据主体: 通信合作伙伴、用户(如网站访问者、在线服务用户)。
- 处理目的:联系请求和交流。
- 法律依据:同意(GDPR 第 6 条第 1 款第 1 节 a 项)、合同履行和合同前查询(GDPR 第 6 条第 1 款第 1 节 b 项)、合法利益(GDPR 第 6 条第 1 款第 1 节 f 项)。
- 使用的服务和服务提供商:
- Confluence:用于创建和管理维基与知识平台的软件;服务提供商:Atlassian Inc: Atlassian Inc. (San Francisco, Harrison Street Location), 1098 Harrison Street, San Francisco, California 94103, USA; Website:https://www.atlassian.com/software/confluence; Privacy Policy:https://www.atlassian.com/legal/privacy-policy.
- Jira:用于错误管理、故障排除和运营项目管理的网络应用程序;服务提供商:Atlassian Inc: Atlassian Inc. (San Francisco, Harrison Street Location), 1098 Harrison Street, San Francisco, California 94103, USA; Website:https://www.atlassian.com/software/jira; Privacy Policy:https://www.atlassian.com/legal/privacy-policy.
- Trello:项目管理工具;服务提供商:Trello Inc: Trello Inc, 55 Broadway New York, NY 10006, USA, 母公司:Atlassian Inc: Atlassian Inc. (San Francisco, Harrison Street Location), 1098 Harrison Street, San Francisco, California 94103, USA; Website: https://trello.com/; Privacy Policy: https://trello.com/privacy.
- WeTransfer:通过互联网传输文件;服务提供商: WeTransfer BV, Oostelijke Handelskade 751, Amsterdam, 1019 BW, Netherlands;网站:https://wetransfer.com;隐私政策:https://wetransfer.com/legal/privacy;
19 删除数据
一旦处理同意被撤销或其他授权不再适用(例如,处理该数据的目的不再适用或该目的不再需要该数据),我们将根据法律要求删除所处理的数据。
如果因其他法律允许的目的而需要数据,但数据未被删除,则数据处理将仅限于这些目的。这意味着数据将被封锁,不得用于其他目的。例如,因商业或税法原因必须保留的数据,或为维护、行使或捍卫法律权利或保护其他自然人或法人的权利而必须存储的数据。
作为数据保护信息的一部分,我们可以向用户提供更多有关数据删除和保留的信息,这些信息具体适用于相应的处理操作。
20 数据保护信息的修改和更新
我们要求您定期了解我们的数据保护信息内容。一旦我们的数据处理方式发生变化,我们将立即修改数据保护信息。一旦变更需要您的合作(如同意)或其他个人通知,我们将立即通知您。
如果我们在本隐私政策中提供了公司和组织的地址和联系信息,请注意,这些地址可能会随着时间的推移而改变,请在联系我们之前核对信息。
21 数据主体的权利
作为数据主体,您有权根据 GDPR 享有各种权利,尤其是 GDPR 第 15 至 21 条规定的权利:
反对权:您有权在任何时候以您的特殊情况为由,反对根据《欧盟数据保护条例》(GDPR)第 6(1)条第(e)或(f)点对您的个人数据进行处理,包括根据上述条款进行的数据分析、
GDPR;这也适用于基于这些条款的貌相。如果有关您的个人数据被用于直接营销目的,您有权在任何时候反对将有关您的个人数据用于此类营销,包括与此类直接营销相关的貌相。
- 撤销同意的权利: 您有权在任何时候撤销您的同意。
- 知情权:您有权要求确认相关数据是否正在被处理,并根据法律规定要求获得有关这些数据的信息以及进一步的信息和数据副本。
- 更正权:您有权根据法律规定要求完善与您相关的数据或更正与您相关的不准确数据。
- 删除和限制处理的权利:根据法律规定,您有权要求立即删除与您相关的数据,或者根据法律规定要求限制数据的处理。
- 数据可移植性权利:您有权根据法律要求,以结构化、常用和机器可读的格式接收您提供给我们的与您有关的数据,或要求将其转移给另一个控制者。
- 向监管机构投诉: 根据法律规定,在不影响任何其他行政或司法补救措施的情况下,如果您认为与您有关的个人数据处理违反了 GDPR,您还有权向数据保护监督机构提出投诉,特别是您常住地所在成员国的监督机构、您工作地点或涉嫌侵权地点的监督机构。
对我们负责的监管机构:
巴登一符腾堡州数据保护和信息自由专员
巴登符腾堡州
70173 斯图加特
电话:0711 615541-0、
电子邮件: poststelle@lfdi.bwl.de
22 术语定义
本节概述了本隐私政策中使用的术语。其中许多术语来自法律,并在《欧洲个人信息保护条例》(GDPR)第 4 条中有明确定义。法律定义具有约束力。而以下解释主要是为了帮助理解。术语按字母顺序排列。
- IP 屏蔽:“IP 屏蔽 ”是指删除 IP 地址最后一个八位位组(即最后两个数字)的方法,这样 IP 地址就不能再用于唯一识别个人身份。因此,IP 屏蔽是化名处理程序的一种手段,特别是在网络营销中。
- 转换测量:转换测量(也称为 “访问行动分析”)是一种可用于确定营销措施有效性的程序。为此,通常会在采取营销措施的网站上将 Cookie 保存在用户的设备上,然后在目标网站上再次提取。例如,这使我们能够跟踪我们在其他网站上投放的广告是否成功。
- 个人数据:“个人数据 ”是指与已识别或可识别的自然人(以下简称 “数据主体”)相关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,尤其是通过姓名、识别码、位置数据、在线识别码(如 Cookie)等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个特定因素。
- 包含用户相关信息的档案: 对 “用户相关信息档案”(简称 “档案”)的处理包括对个人数据的任何类型的自动处理,包括使用这些个人数据分析、评估或预测与自然人相关的某些个人方面(根据档案的类型,这可能包括与人口统计、行为和兴趣相关的各种信息,例如与网站及其内容的互动等)(例如对某些内容或产品的兴趣、在网站或位置上的点击行为)。Cookie 和网络信标通常用于分析目的。
- 访问量测量:访问量测量(也称网站分析)用于评估在线产品的访问流量,可包括访问者对某些信息(如网站内容)的行为或兴趣。例如,借助到达率分析,网站所有者可以识别访问者在什么时间访问他们的网站以及他们对哪些内容感兴趣。这样,网站所有者就能根据访客的需求更好地定制网站内容。伪匿名 Cookie 和网络信标通常用于达到分析目的,以识别回头访客,从而获得对在线产品使用情况的更精确分析。
- 控制者:“控制者 ”指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他团体。
- 处理:“处理 ”是指对个人数据进行的任何操作或一系列操作,无论是否采用自动化手段。该词含义广泛,几乎涵盖了对数据的所有处理,无论是收集、分析、存储、传输还是删除。