In dieser Datenschutzerklärung informieren wir (die caralegal GmbH) Sie über die Verarbeitung personenbezogener Daten bei der Nutzung der Anwendung caralegal (im übrigen auch Produkt genannt). Sie können diese Datenschutzerklärung ausdrucken oder speichern, indem Sie die übliche Funktionalität Ihres Browsers nutzen. Die Datenschutzerklärung zu unserer Website caralegal.eu finden Sie
hier.
Das Produkt caralegal wird Ihrem Arbeitgeber im Rahmen eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO zur Verfügung gestellt. Die caralegal GmbH ist lediglich Betreiber der Webapplikation, mithin Auftragsverarbeiter nach Art. 4 Nr. 8, Art. 28 DSGVO. Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist der Auftragsverarbeitungsvertrag zwischen Ihrem Arbeitgeber und uns. Der für die Datenverarbeitung Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist Ihr Arbeitgeber. Für den Betrieb unserer Webapplikation und zur Erbringung unserer vertraglichen Verpflichtung gegenüber Ihrem Arbeitgeber setzen wir weitere (Sub-)Dienstleister ein (z.B. für das Hosting der Webapplikation oder für die Bereitstellung bzw. Erbringung von Kundensupport). Sofern Sie Fragen zu der Datenverarbeitung in diesem Zusammenhang haben, wenden Sie sich an bitte Ihren Arbeitgeber (d.h. den Verantwortlichen).
1. Ansprechpartner
Ansprechpartner und sogenannter Verantwortlicher für die Verarbeitung in eigener Verantwortung Ihrer personenbezogenen Daten bei der Nutzung der Webanwendung “caralegal” im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist die
caralegal GmbH
Am Hamburger Bahnhof 4
10557 Berlin
Telefon: +49 (0)30 7543 6935
Für alle Fragen zum Thema Datenschutz in Zusammenhang mit unserem Produkt “caralegal” können Sie sich jederzeit auch an unsere Datenschutzbeauftragte wenden. Diese ist unter obiger postalischer Adresse (Stichwort: „z. Hd. Datenschutzbeauftragte“) sowie unter der zuvor angegebenen E-Mail-Adresse erreichbar. Wir weisen ausdrücklich darauf hin, dass bei Nutzung dieser E-Mail-Adresse die Inhalte nicht ausschließlich von unserer Datenschutzbeauftragten zur Kenntnis genommen werden. Wenn Sie vertrauliche Informationen austauschen möchten, bitten Sie daher zunächst über diese E-Mail-Adresse um direkte Kontaktaufnahme.
2. Datenverarbeitung in der Anwendung
2.1. Aufruf unserer Anwendung / Verbindungsdaten
Bei caralegal handelt es sich um eine sog. Webanwendung, d. h. die Anwendung ist nicht lokal auf dem Rechner des Benutzers installiert und die Datenverarbeitung findet auf einem sog. Webserver statt. Daher erheben wir bei jeder Nutzung von caralegal die Verbindungsdaten, die Ihr Browser automatisch übermittelt, um Ihnen die Nutzung von caralegal zu ermöglichen. Die Verbindungsdaten umfassen insbesondere:
IP-Adresse des anfragenden Geräts,
Datum und Uhrzeit der Anfrage,
Adresse der aufgerufenen Website und der anfragenden Website,
Angaben über den verwendeten Browser und das Betriebssystem,
Online-Kennungen (z. B. Gerätekennungen, Session-IDs).
Die Datenverarbeitung dieser Verbindungsdaten ist unbedingt erforderlich, um die Nutzung von caralegal zu ermöglichen und um die dauerhafte Funktionsfähigkeit und Sicherheit unserer Systeme zu gewährleisten. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Bei der automatischen Übermittlung der Verbindungsdaten handelt es sich jedoch nicht um einen Zugriff auf die Informationen im Endgerät im Sinne der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland § 25 TDDDG. Im Übrigen wäre dieser jedoch unbedingt erforderlich.
2.2. Datenverarbeitung vor dem Log-in
Wenn Sie die Webanwendung aufrufen und Sie nicht als Benutzer aktiv in der Webanwendung angemeldet sind, werden in der Regel über die oben aufgeführten
Verbindungsdaten hinaus keine personenbezogenen Daten erhoben und verarbeitet.
2.3. Registrierung
Die Webanwendung caralegal kann ausschließlich von registrierten Benutzern verwendet werden. Die Registrierung von Benutzern für die Nutzung von caralegal erfolgt in der Regel durch Ihre eigenen Systemadministratoren. Die von Ihnen verpflichtend anzugebenden Daten (E-Mail-Adresse und Organisationseinheit, wie bspw. Unternehmen und/oder Abteilung/Bereich) haben wir durch eine Kennzeichnung als Pflichtfelder hervorgehoben. Ohne diese Daten ist eine Registrierung und Nutzung der Webanwendung nicht möglich.
Rechtsgrundlage für die Verarbeitung der für die Registrierung notwendigen Daten (Pflichtfelder) ist Art. 6 Abs. 1 lit. b DSGVO.
2.4. Datenverarbeitung nach dem Login
Bei registrierten Benutzern werden nach erfolgreichem Login neben den unter
Verbindungsdaten aufgeführten Daten zusätzlich die folgenden personenbezogenen Daten dem Zweck der Webanwendung entsprechend verarbeitet:
Benutzerkennung, Passwort und/oder Session-Cookies
Name und Vorname (sofern angegeben)
Name des Unternehmens/der Organisation
Name der Abteilung/Arbeitsgruppe/des Teams
Art der Zugehörigkeit zum Unternehmen/der Organisation
Adress- und Kontaktinformation (z. B. Postanschrift, E-Mail-Adresse)
Mobilfunknummer (nur bei Nutzung der Zwei-Faktor-Authentisierung)
Zugehörigkeiten zu Rollen, Gruppen, Sammlungen und Dokumenten in der Webanwendung
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO.
2.5. Kontaktaufnahme
Wenn Sie mit uns in Kontakt treten, verarbeiten wir die Daten ausschließlich zum Zwecke der Kommunikation mit Ihnen.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Angaben zur Beantwortung Ihrer Anfrage oder zur Anbahnung bzw. Durchführung eines Vertrages benötigt werden, und im Übrigen Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, dass Sie mit uns Kontakt aufnehmen und wir Ihre Anfrage beantworten können.
Die bei der Kontaktaufnahme von uns erhobenen Daten werden nach vollständiger Bearbeitung Ihrer Anfrage automatisch gelöscht, es sei denn, wir benötigen Ihre Anfrage noch zur Erfüllung vertraglicher oder gesetzlicher Pflichten.
3. Einsatz von Tools in der Webanwendung
3.1. Eingesetzte Technologien
Diese Webanwendung verwendet verschiedene Dienste und Anwendungen (zusammengefasst „Tools“), die entweder von uns selbst oder von Dritten angeboten werden. Darunter zählen insbesondere Tools, die Technologien verwenden, um Informationen im Endgerät zu speichern oder auf diese zuzugreifen:
1.
Cookies: auf dem Endgerät gespeicherte Information, bestehend aus einem Namen, einem Wert, der speichernden Domain und einem Ablaufdatum. Sogenannte Session Cookies werden nach der Sitzung gelöscht, während sogenannte Persistent Cookies nach dem festgelegten Ablaufdatum gelöscht werden. Cookies können auch manuell entfernt werden.
2.
Web Storage (Local Storage / Session Storage): auf dem Endgerät gespeicherte Information, bestehend aus einem Namen und einem Wert. Informationen im Session Storage werden nach der Sitzung gelöscht, während Informationen im Local Storage kein Ablaufdatum haben und grundsätzlich gespeichert bleiben, sofern kein Mechanismus zur Löschung eingerichtet wurde (z. B. Speicherung eines Local Storage mit Zeiteintrag). Informationen im Local und Session Storage können auch manuell entfernt werden.
3.
JavaScript: in die Website oder Webanwendung eingebettete oder aufgerufene Programmiercodes (Skripte), die beispielsweise Cookies und Web Storage setzen oder aktiv Informationen aus dem Endgerät oder über das Nutzungsverhalten der Besuchenden oder Nutzerinnen und Nutzer erfassen. JavaScript kann für „aktives Fingerprinting“ und die Erstellung von Nutzungsprofilen eingesetzt werden. Durch eine Einstellung im Browser kann JavaScript blockiert werden, wobei jedoch die meisten Dienste dann nicht mehr funktionieren.
4.
Pixel: von einem Dienst automatisch geladene winzige Grafik, welche es ermöglichen kann, durch die automatische Übermittlung der üblichen Verbindungsdaten (insbesondere IP-Adresse, Informationen über Browser, Betriebssystem, Sprache, aufgerufene Adresse und Zeitpunkt des Aufrufs) Besuchende wiederzuerkennen und beispielsweise das Öffnen einer E-Mail oder den Besuch einer Website festzustellen. Mithilfe von Pixeln kann so „passives Fingerprinting“ und die Erstellung von Nutzungsprofilen vorgenommen werden. Die Nutzung von Pixeln kann beispielsweise durch die Blockierung von Bildern, etwa in E-Mails, verhindert werden, wobei jedoch dann die Darstellung stark eingeschränkt wird.
Mithilfe dieser Technologien und auch durch den reinen Verbindungsaufbau auf einer Seite lassen sich sogenannte „Fingerprints“ erstellen, also Nutzungsprofile, die auch ohne den Einsatz von Cookies oder Web Storage auskommen und trotzdem Besuchende wiedererkennen können. Fingerprints aufgrund des Verbindungsaufbaus können manuell nicht vollständig verhindert werden.
Die meisten Browser sind standardmäßig so eingestellt, dass sie Cookies, das Ausführen von Skripten und die Anzeige von Grafiken akzeptieren. Sie können jedoch Ihre Browsereinstellungen in der Regel so anpassen, dass alle oder bestimmte Cookies abgelehnt oder Skripte und Grafiken blockiert werden. Wenn Sie die Speicherung von Cookies, die Anzeige von Grafiken und das Ausführen von Skripten vollständig blockieren, funktionieren unsere Dienste voraussichtlich nicht oder nicht störungsfrei.
Im Folgenden werden die von uns eingesetzten Tools nach Kategorien geordnet aufgeführt, wobei wir Sie insbesondere über die Anbieter der Tools, die Speicherdauer der Cookies oder Informationen im Local Storage und Session Storage sowie die Weitergabe der Daten an Dritte informieren. Außerdem wird erläutert, in welchen Fällen wir Ihre freiwillige Einwilligung zur Nutzung der Tools einholen und wie Sie diese widerrufen können.
Für die Webanwendung notwendige Tools verwenden wir aufgrund unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, um die Basisfunktionen unserer Webanwendung bereitzustellen. In bestimmten Fällen können diese Tools auch für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sein, dann erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät ist in diesen Fällen unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach § 25 Abs. 2 TDDDG.
Sofern eine Übermittlung personenbezogener Daten in Drittländer (wie z. B. die USA) stattfindet, verweisen wir, auch in Hinblick auf die ggf. damit einhergehenden Risiken, auf Ziffer 6 (“Datenübermittlung in Drittländer”). Wir teilen Ihnen mit, wenn für das betreffende Drittland ein Angemessenheitsbeschluss existiert oder für die Nutzung bestimmter Tools Standardvertragsklauseln oder andere Garantien abgeschlossen wurden. Wenn Sie Ihre Einwilligung zur Nutzung von bestimmten Tools und in die damit einhergehende Übermittlung Ihrer personenbezogenen Daten in Drittländer gegeben haben, übermitteln wir die bei der Nutzung der Tools verarbeiteten Daten (auch) auf Grundlage dieser Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO in Drittländer.
3.3. Notwendige Tools
Wir verwenden bestimmte Tools, um die Basisfunktionen unserer Webanwendung zu ermöglichen (“notwendige Tools”). Hierzu zählt die Gewährleistung der Sicherheit unserer Webanwendung. Ohne diese Tools können wir unseren Dienst nicht zur Verfügung stellen. Deshalb werden notwendige Tools ohne Einwilligung verwendet.
Rechtsgrundlage für notwendige Tools ist die Erforderlichkeit zur Erfüllung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO an der Bereitstellung der jeweiligen Basisfunktionen und dem Betrieb unserer Website. In den Fällen, in denen die Bereitstellung der jeweiligen Webseitenfunktionen zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, ist die Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. b DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät ist in diesen Fällen unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach § 25 Abs. 2 TDDDG.
Für den Fall, dass personenbezogene Daten in Drittländer (wie z. B. die USA) übertragen werden, verweisen wir ergänzend zu den nachfolgend mitgeteilten Informationen auf Ziffer 6 (“Datenübermittlung in Drittländer”).
4. Weitergabe von Daten
Eine Weitergabe der von uns erhobenen Daten erfolgt grundsätzlich nur, wenn hierfür im konkreten Fall eine datenschutzrechtliche Rechtsgrundlage vorliegt, insbesondere wenn:
Sie nach Art. 6 Abs. 1 S. 1 lit. a DSGVO Ihre ausdrückliche Einwilligung dazu erteilt haben,
die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe Ihrer Daten haben,
wir nach Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Weitergabe gesetzlich verpflichtet sind, insbesondere wenn dies aufgrund von behördlichen Anfragen, Gerichtsbeschlüssen und Rechtsverfahren für die Rechtsverfolgung oder -durchsetzung erforderlich ist, oder
dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage hin erfolgen.
Ein Teil der Datenverarbeitung kann durch unsere Dienstleister erfolgen. Neben den in dieser Datenschutzerklärung erwähnten Dienstleistern können hierzu insbesondere Rechenzentren, die unsere Webanwendung und Datenbanken speichern, IT-Dienstleister, die unsere Systeme warten, sowie Beratungsunternehmen gehören. Sofern wir Daten an unsere Dienstleister weitergeben, dürfen diese die Daten ausschließlich zur Erfüllung ihrer Aufgaben verwenden. Die Dienstleister wurden von uns sorgfältig ausgewählt und beauftragt. Sie sind vertraglich an unsere Weisungen gebunden, verfügen über geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte der betroffenen Personen und werden von uns regelmäßig kontrolliert.
5. Datenübermittlung in Drittländer
Wie in dieser Datenschutzerklärung erläutert, setzen wir Dienste ein, deren Anbieter teilweise in sogenannten Drittländern (außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums) sitzen oder dort personenbezogene Daten verarbeiten, also Ländern, deren Datenschutzniveau nicht dem der Europäischen Union entspricht. Soweit dies der Fall ist und die Europäische Kommission für diese Länder keinen Angemessenheitsbeschluss (Art. 45 DSGVO) erlassen hat, haben wir entsprechende Vorkehrungen getroffen, um ein angemessenes Datenschutzniveau für etwaige Datenübertragungen zu gewährleisten. Hierzu zählen u.a. die Standardvertragsklauseln der Europäischen Union oder verbindliche interne Datenschutzvorschriften.
Wo dies nicht möglich ist, stützen wir die Datenübermittlung auf Ausnahmen des Art. 49 DSGVO, insbesondere Ihre ausdrückliche Einwilligung oder die Erforderlichkeit der Übermittlung zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen.
Sofern eine Drittstaatenübermittlung vorgesehen ist und kein Angemessenheitsbeschluss oder geeignete Garantien vorliegen, ist es möglich und besteht das Risiko, dass Behörden im jeweiligen Drittland (z. B. Geheimdienste) Zugriff auf die übermittelten Daten erlangen können, um diese zu erfassen und zu analysieren, und dass eine Durchsetzbarkeit Ihrer Betroffenenrechte nicht gewährleistet werden kann. Bei Einholung Ihrer Einwilligung über das Einwilligungsbanner werden Sie hierüber ebenfalls informiert.
6. Ort der Datenverarbeitung
Die Verarbeitung der Daten findet im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
7. Speicherdauer
Grundsätzlich speichern wir personenbezogene Daten nur solange, wie zur Erfüllung vertraglicher oder gesetzlicher Pflichten erforderlich, zu denen wir die Daten erhoben haben. Danach löschen wir die Daten unverzüglich, es sei denn, wir benötigen die Daten noch bis zum Ablauf der gesetzlichen Verjährungsfrist zu Beweiszwecken für zivilrechtliche Ansprüche, wegen gesetzlicher Aufbewahrungspflichten oder es besteht im konkreten Einzelfall eine sonstige datenschutzrechtliche Rechtsgrundlage für die fortdauernde Regelverjährungsfrist frühestens zu diesem Zeitpunkt.
Zu Beweiszwecken bewahren wir Vertragsdaten noch drei Jahre ab Ende des Jahres, in dem die Geschäftsbeziehungen mit Ihnen enden, auf. Etwaige Ansprüche verjähren nach der gesetzlichen Regelverjährungsfrist frühestens zu diesem Zeitpunkt.
Auch danach müssen wir Ihre Daten teilweise noch aus buchhalterischen Gründen speichern. Wir sind dazu wegen gesetzlicher Dokumentationspflichten verpflichtet, die sich beispielsweise aus dem Handelsgesetzbuch oder der Abgabenordnung ergeben können. Die dort vorgegebenen Fristen zur Aufbewahrung von Unterlagen betragen zwei bis zehn Jahre.
8. Ihre Rechte
Ihnen steht jederzeit bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen die in den Art. 7 Abs. 3, Art. 15 – 21, Art. 77 DSGVO formulierten Betroffenenrechten zu:
Recht auf Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO),
Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten (Art. 21 DSGVO),
Recht auf Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO),
Recht auf Berichtigung Ihrer bei uns unrichtig gespeicherten personenbezogenen Daten (Art. 16 DSGVO),
Recht auf Löschung Ihrer personenbezogenen Daten (Art. 18 DSGVO),
Recht auf Datenübertragbarkeit Ihrer personenbezogenen Daten (Art. 20 DSGVO),
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Um Ihre hier beschriebenen Rechte geltend zu machen, können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Dies gilt auch, sofern Sie Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchten.
Ihre Anfragen zur Geltendmachung von Datenschutzrechten und unsere Antworten darauf werden zu Dokumentationszwecken für die Dauer von drei Jahren und im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auch darüber hinaus aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, beruhend auf unserem Interesse an der Verteidigung gegen etwaige zivilrechtliche Ansprüche nach Art. 82 DSGVO, der Vermeidung von Bußgeldern nach Art. 83 DSGVO sowie der Erfüllung unserer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.
Sie haben schließlich das Recht, sich bei der für uns zuständigen Datenschutzaufsichtsbehörde zu beschweren. Sie können dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. In Berlin, dem Sitz der caralegal GmbH, ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin.
9. Widerrufs- und Widerspruchsrecht
Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Soweit wir Ihre Daten auf Grundlage von berechtigten Interessen verarbeiten, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen aus Gründen, die sich aus Ihrer besonderen Situation ergeben. Geht es um einen Widerspruch gegen die Datenverarbeitung zu Zwecken der Direktwerbung haben Sie ein generelles Widerspruchsrecht, das auch ohne die Angabe von Gründen von uns umgesetzt wird.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine formlose Mitteilung an die oben genannten Kontaktdaten.
10. Datensicherheit
Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst. Für die sichere Übertragung der von Ihnen in unserer Webanwendung angegebenen persönlichen Daten verwenden wir ausschließlich sichere Internetverbindungen mit HTTPS bzw. Transport Layer Security (TLS), das die von Ihnen eingegebenen Informationen verschlüsselt überträgt, und speichern diese dann ausschließlich verschlüsselt.
11. Änderungen der Datenschutzerklärung
Gelegentlich aktualisieren wir diese Datenschutzerklärung, beispielsweise wenn wir unsere Webanwendung anpassen oder sich die gesetzlichen oder behördlichen Vorgaben ändern.
Stand: Juni 2024