Datenschutzerklärung

Publix Datenschutzinformationen

Nachfolgend informieren wir Sie, wie die Publix gGmbH (nachfolgend “Publix” oder “wir”) Ihre personenbezogenen Daten verwendet, welche Rechte Ihnen zustehen und an wen Sie sich bei Fragen zum Datenschutz wenden können.

Sie können in den meisten Fällen entscheiden, welche personenbezogenen Daten Sie an uns übermitteln möchten. Falls Sie dies ablehnen, können wir Ihnen jedoch möglicherweise bestimmte Leistungen nicht anbieten. Pflichtangaben, die wir für die Bereitstellung unserer Leistungen benötigen, haben wir entsprechend gekennzeichnet.

Diese Informationen haben den Stand Juli 2025. Von Zeit zu Zeit müssen wir Anpassungen an tatsächliche Gegebenheiten oder bei rechtlichen oder behördlichen Vorgaben vornehmen; schauen Sie beim nächsten Besuch unserer Webseite daher gern in die Datenschutzinformationen, um einen aktuellen Stand zu haben.

Verantwortlicher gem. Art. 4 Abs. 7 DSGVO ist

Publix gGmbH
Industriestraße 2
79541 Lörrach
+49 (0)30 62 72 45 59
E-Mail: hello@publix.de

Datenschutzbeauftragte ist Anna Cardillo

MYLE-Partnerschaftsgesellschaft von Rechtsanwält:innen mbB
Potsdamer Str. 98
10785 Berlin, Deutschland
E-Mail: anna.cardillo@myle-law.com

1. Datenverarbeitung auf unserer Webseite

Wir verarbeiten Ihre personenbezogenen Daten, wenn Sie unsere Webseite Besuchen und wenn Sie mit uns in Kontakt treten.

1.1 Ihr Besuch unserer Webseite

1.1.1 Bereitstellung einer sicheren und performanten Webseite

Bei jedem Aufruf unserer Webseite werden Daten von Ihnen gespeichert, die Ihr Browser automatisch an unseren Server übermittelt. Dazu gehören IP-Adresse, Typ und Version des verwendeten Browsers, Uhrzeit, Datum sowie Webseitenzugriffe. Die Verarbeitung geschieht zum Zweck des sicheren und effizienten Betriebs unserer Webseite.

Rechtsgrundlage: Die Datenverarbeitung erfolgt zur Wahrnehmung unserer berechtigten Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO an der:

Gewährleistung eines reibungslosen Verbindungsaufbaus der Webseite;
Gewährleistung einer komfortablen Nutzung unserer Webseite;
Auswertung der Systemsicherheit und -stabilität sowie
zu weiteren administrativen Zwecken.

Speicherdauer: Die genannten Daten werden bis zur automatisierten Löschung nach 15 Tagen in einem Logfile gespeichert. Die Speicherdauer kann im Einzelfall länger sein, z.B. soweit dies zur Rechtsverfolgung erforderlich ist.

Empfänger: Wir nehmen dabei die Leistungen des externen Hosting-Dienstleisters fortrabbit GmbH, Glogauer Str. 24, 10999 Berlin in Anspruch. Der Hosting-Anbieter stellt uns Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz sowie Sicherheitsleistungen zur Verfügung. Dabei verarbeitet er die personenbezogenen Daten, die beim Besuch dieser Webseite anfallen.

1.1.2 Webseitenanalyse

Um das Nutzungsverhalten auf unserer Website besser zu verstehen und unser Online-Angebot fortlaufend zu optimieren, führen wir eine Webseitenanalyse durch. Wir erfassen aggregierte und anonymisierte Daten, um Einblicke in die Nutzung unserer Webseite zu gewinnen. Dabei werden keine Cookies gesetzt, und es erfolgt keine Speicherung personenbezogener Daten wie IP-Adressen in identifizierbarer Form. Die IP-Adresse wird gekürzt und kann nicht einzelnen Besuchern zugeordnet werden.

Rechtsgrundlage: Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Analyse der Nutzung unserer Webseite, um deren Inhalte und das Nutzererlebnis kontinuierlich zu verbessern.

Speicherdauer: Die gespeicherten Analysewerte sind vollständig anonymisiert und lassen keine Rückschlüsse auf einzelne Personen zu. Eine konkrete Speicherdauer ist daher nicht festgelegt. Die statistischen Daten werden so lange aufbewahrt, wie sie zur Analyse der Website-Nutzung benötigt werden.

Empfänger: Wir verwenden für die statistischen Auswertung der Nutzung unserer Webseite das Analysetool „Fathom Analytics“(Betreiber: Conva Ventures Inc., 26 Bastion Square, Third Floor Burnes House, Victoria, British Columbia, V8W 1H9 Canada). Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der EU. Fathom Analytics ist in diesem Zusammenhang Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

1.2 Ihre Kontaktaufnahme

Sollten Sie mit uns auf elektronischem Weg in Kontakt treten, beispielsweise uns eine E-Mail schicken, das Kontaktformular auf unserer Webseite verwenden oder uns anrufen, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen und Ihre weiteren Kontaktdaten sowie Ihre in der Anfrage gemachten Angaben. Um Ihre schriftliche Anfrage beantworten zu können, benötigen wir zumindest Ihre E-Mail-Adresse. Deren Verarbeitung ist demnach zwingend erforderlich.

Wir verwenden ein externes Kontaktformular, das über die Softwarelösung HubSpot bereitgestellt wird. Es werden nur die personenbezogenen Daten gespeichert, die in das Kontaktformular eingegeben werden.

Rechtsgrundlage: Wir verarbeiten Ihre Daten auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO, unserem berechtigten Interesse, Ihre allgemeine Anfrage zu beantworten. Soweit Sie uns kontaktieren, weil Sie sich für eine Veranstaltung anmelden wollen, einen Raum bei uns buchen wollen oder die Anbahnung eines anderen Vertrages mit uns anstreben, ist Rechtsgrundlage Art. 6 Abs. 1 S.1 lit. b DSGVO. Sofern wir zur Speicherung gesetzlich verpflichtet sind, ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. der jeweiligen Norm.

Speicherdauer: Ihre Daten werden nur zu Beantwortung Ihrer Anfrage verarbeitet und unverzüglich gelöscht, sobald sich Ihre Anfrage erledigt hat, es sei denn, es ist ein Vertrag zustande gekommen, es bestehen gesetzliche Aufbewahrungspflichten oder berechtigte Interessen an einer weiteren Aufbewahrung unsererseits.

Empfänger: Ist die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin. HubSpot ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

Bei HubSpot besteht die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA sind datenschutzrechtlich sogenannter Drittstaat.

Soweit ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) in einem Drittstaat vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich. Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt. Eine Auflistung der aktuell zertifizierten Unternehmen ist hier abrufbar. In anderen Fällen sowie bei Datenweitergaben in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind.

Der Diensteanbieter HubSpot hat seinen Hauptsitz in den USA und ist für Non-HR-Data zertifiziert (DPF). Um eine vollumfängliche Gewährleistung eines angemessenen Schutzniveaus sicherzustellen, haben wir mit dem Anbieter Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Diese verpflichten den Empfänger der Daten in den USA die Daten entsprechend dem Schutzniveau in Europa zu verarbeiten.

1.3 Unser Einsatz von Cookies und ähnlichen Technologien

Informationen über die Verwendung von Cookies und ähnlichen Technologien (nachfolgend gemeinsam „Cookies“ genannt) auf unserer Webseite finden Sie in unseren Cookie-Informationen, die über den Footer unserer Webseite abrufbar sind.

Cookies können Informationen auf Endgeräten speichern oder auslesen. In diesem Zusammenhang verarbeiten wir ggf. personenbezogene Daten (z.B. Spracheinstellungen, Meta-, Kommunikations- und Verfahrensdaten wie IP-Adressen, Zeitangaben, Identifikationsnummern).

Rechtsgrundlage: Die mithilfe von Cookies verwerteten Daten verarbeiten wir auf Grundlage unserer berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO an der Verbesserung der Nutzbarkeit unserer Webseite. Sofern die Verarbeitung zur Erfüllung unserer vertraglichen Pflichten erfolgt, erfolgt sie gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO, wenn der Einsatz von Cookies erforderlich ist, um unseren vertraglichen Verpflichtungen nachzukommen. Soweit wir technisch nicht unbedingt erforderliche Cookies verwenden, erfolgt dies nur mit ihrer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Näheres finden Sie über den Footer unserer Webseite.

Speicherdauer: Wir löschen gespeicherte Daten, sobald deren Speicherung nicht mehr erforderlich ist oder Sie uns zu deren Löschung auffordern; im Falle gesetzlicher Aufbewahrungspflichten beschränken wir die Verarbeitung der gespeicherten Daten entsprechend.

2. Datenverarbeitung auf unseren Social-Media-Kanälen

Wir unterhalten öffentlich zugängliche Profile auf den Social-Media-Plattformen LinkedIn, Instagram, Mastodon und Youtube.

Sofern Sie unsere Profile in sozialen Netzwerken nutzen, um mit uns zu interagieren (z.B. einen Beitrag liken oder teilen, uns folgen, einen Kommentar verfassen oder uns eine Direktnachricht schicken), verarbeiten wir die uns von Ihnen mitgeteilten Daten zu dem Zweck, mit Ihnen in Kontakt zu treten. Sofern wir Ihre Beiträge liken, teilen oder kommentieren, werden die von Ihnen frei bei den oben genannten Social Media veröffentlichten Daten auf unserem Profil unseren Followern zugänglich gemacht. Alle Informationen, die Sie in Ihrem Profil angeben, sind öffentlich sichtbar, d. h. Mitglieder, die sich in das Netzwerk einloggen, sowie Kunden der Social Media-Dienste können sie sich ansehen. Dies gilt auch für Ihre Aktivitäten innerhalb des Dienstes, wie zum Beispiel:

Kommentare zu Beiträgen bzw. Videos;
„Gefällt mir“-Markierungen;
„Folgen“-Funktion.

Auch Gruppenmitgliedschaften sind öffentlich sichtbar. Wenn Sie Beiträge teilen, ist standardmäßig eingestellt, dass dies öffentlich geschieht. In den Optionen können Sie die Sichtbarkeit dieser Beiträge auf Ihre Kontakte beschränken.

Zudem gibt es die gemeinsame Verarbeitung von personenbezogenen Daten im Rahmen von sogenannten Insights, durch die das Nutzungsverhalten der Besucher:innen ausgewertet wird.

LinkedIn verarbeitet Daten der Besucher:innen unseres Unternehmensprofils, um sogenannte Page Insights bereitzustellen. Dazu gehören statistische Informationen über Seitenaufrufe, Interaktionen (z. B. „Folgen“), verwendete Geräte (z. B. IP-Adresse, Betriebssystem, Spracheinstellungen) sowie berufliche Merkmale wie Funktion, Branche oder Unternehmensgröße. Die Insights werden uns ausschließlich in aggregierter Form angezeigt – ein Zugriff auf die Klardaten ist nicht möglich. Für diese Verarbeitung sind wir gemeinsam mit LinkedIn verantwortlich. Grundlage dafür ist das Page Insights Joint Controller Addendum. Ein Verzicht auf diese Funktion ist nicht möglich, da LinkedIn Unternehmensprofile standardmäßig nur mit Page Insights bereitstellt.

Wir nutzen auf Instagram ein Unternehmensprofil, bei dem Meta – der Betreiber von Instagram – Daten über die Nutzung unserer Seite verarbeitet, um sogenannte Seiten-Insights bereitzustellen. Dazu zählen Informationen über aufgerufene Inhalte, Interaktionen (z. B. „Folgen“), verwendete Geräte (z. B. IP-Adresse, Betriebssystem, Spracheinstellungen) sowie Profilangaben registrierter Nutzer:innen. Diese Daten werden ausschließlich in aggregierter Form zur Verfügung gestellt – ein Zugriff auf die Klardaten ist für uns nicht möglich. Für die Verarbeitung im Rahmen der Seiten-Insights sind wir gemeinsam mit Meta verantwortlich. Die näheren Informationen ergeben sich aus der Seiten-Insights-Ergänzung bezüglich des Verantwortlichen. Ein Verzicht auf diese Funktion ist nicht möglich, da Meta Unternehmensprofile standardmäßig nur mit aktivierter Insights-Funktion anbietet.

Rechtsgrundlage: Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, mit unseren Geschäftspartner:innen und Interessent:innen in Kontakt zu bleiben und sie zu informieren, sowie in einer zeitgemäßen Öffentlichkeitsarbeit, Marktbeobachtung und bedarfsgerechten Gestaltung unseres Profils. Soweit Sie über Social Media Kontakt zu uns aufnehmen, weil Sie Interesse an unserem Angebot haben, dient die Anfrage zugleich der Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin, Rechtsgrundlage ist dann Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Speicherdauer: Wir speichern personenbezogene Daten, die im Rahmen Ihrer Interaktion mit unseren Social-Media-Profilen anfallen, nur so lange, wie dies für die genannten Zwecke erforderlich ist. Kommentare oder Nachrichten bleiben grundsätzlich so lange bestehen, wie sie auf der jeweiligen Plattform veröffentlicht oder technisch verfügbar sind, es sei denn, Sie machen von Ihrem Recht auf Löschung Gebrauch.

Empfänger:innen:

Das soziale Netzwerk Instagram wird von Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland betrieben; der:die Anbieter:in ist somit Empfänger:innen Ihrer Daten;

Das soziale Netzwerk LinkedIn wird von LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland betrieben; der:die Anbieter:in ist somit Empfänger:innen Ihrer Daten;

Die Videoplattform YouTube wird von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland betrieben; der:die Anbieter:in ist somit Empfänger:innen Ihrer Daten;

Das dezentrale soziale Netzwerk Mastodon wird nicht von einem zentralen Anbieter betrieben. Stattdessen basiert es auf einer föderierten Struktur mit vielen unabhängigen Servern („Instanzen“). Wenn Sie unsere Präsenz auf der Instanz mastodon.social besuchen, werden Ihre Daten an den:die Betreiber:in dieser Instanz übermittelt: Mastodon gGmbH, Mühlenstraße 8a, 14167 Berlin, Deutschland; der:die Betreiber:in der Instanz ist somit Empfänger:in Ihrer Daten.

Datenverarbeitung außerhalb der Europäischen Union (EU): Es besteht bei Instagram, LinkedIn sowie Youtube die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA sind datenschutzrechtlich sogenannter Drittstaat.

Die von uns genutzten und oben beschriebenen Social-Media-Plattformen haben ihren Hauptsitz in den USA und sind entsprechend zertifiziert (DPF).

3. Datenverarbeitung bei Nutzung des Buchungssystems

3.1 Buchung über die Publix-Webseite

Die Publix-Webseite bietet die Möglichkeit an, verschiedene Arten von Räumen für unterschiedliche Anlässe zu buchen. Notwendig ist das Ausfüllen einer Buchungsanfrage.

Es werden grundsätzlich folgende personenbezogenen Daten verarbeitet, um die Anfrage zu prüfen, Verfügbarkeiten zu prüfen und ggf. eine Buchung durchzuführen:

Vor- und Nachname;
Unternehmensname und Organisation (profit/non-profit);
E-Mail-Adresse;
Telefonnummer (falls angegeben);
Interesse an Publix-Angebot;
Datum und Zeitraum der geplanten Nutzung;
Anzahl der Personen;
Informationen zu der Veranstaltung (falls angegeben);
Angebots- und Rechnungsadresse;
Informationen, wie Sie auf uns aufmerksam geworden sind (falls angegeben).

Wir verwenden externe Kontaktformulare, das über die Softwarelösung Hubspot bereitgestellt wird. Es werden die personenbezogenen Daten gespeichert, die in das Kontaktformular eingegeben werden.

Rechtsgrundlage: Die notwendigen Angaben wie Name, E-Mail-Adresse und gewünschter Zeitraum sind erforderlich, um Ihre Anfrage zu bearbeiten und ggf. einen Vertrag anzubahnen oder durchzuführen. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen).

Die freiwilligen Angaben helfen uns, Ihre Anfrage zielgerichteter zu beantworten und unsere Marketingmaßnahmen auszuwerten. Die Verarbeitung dieser freiwilligen Angaben erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer effizienten Kommunikation, einer besseren Kundenbetreuung und der Optimierung unserer Angebots- und Werbestrategien.

Speicherdauer: Die Daten werden so lange gespeichert, wie dies für die Bearbeitung der Anfrage und ggf. für eine sich daraus ergebende Buchung erforderlich ist. Erfolgt keine Buchung, werden die Daten in der Regel spätestens 36 Monate nach Abschluss der Kommunikation gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Empfänger: Ist die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin. HubSpot ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

3.2 Nutzung der Publix-App

Mit unserer Publix-App bieten wir Ihnen die Möglichkeit, im Rahmen der Nutzung unseres digitalen Gebäudeservices Räume direkt über die App zu buchen, über die zudem auch der Zutritt zu gebuchten Räumen und eine Chatfunktion ermöglicht wird.

Für die mobile Publix App, verfügbar über den Google Play Store und den Appstore von Apple, gelten die folgenden gesonderten Hinweise:

Für das Buchungssystem in der App nutzen wir Thing-it, eine cloudbasierte IoT-Plattform, die es uns ermöglicht, die Buchungen digital zu verwalten. Die Plattform Thing-it wird von der Thing Technologies GmbH, Friedrichstraße 68, 10117 Berlin, Deutschland betrieben. Thing-it ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

3.2.1 Datenverarbeitung beim Download der Publix-App

Beim Download dieser App werden bestimmte dafür erforderlichen Daten zu Ihrer Person an den entsprechenden App Store (z. B. Apple App Store oder Google Play) übermittelt.

Insbesondere werden beim Herunterladen die E-Mail-Adresse, der Nutzername, die Kundennummer des herunterladenden Accounts, die individuelle Gerätekennziffer, Zahlungsinformationen sowie der Zeitpunkt des Downloads an den App Store übertragen werden.

Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

3.2.2 Datenverarbeitung bei der Nutzung der App

Die Verarbeitung personenbezogener Daten erfolgt zur Bereitstellung und Abwicklung des Buchungssystems, insbesondere zur Durchführung der Buchungen, zur Steuerung des Zutritts, zur Verwaltung der Gebäudenutzung, zur Organisation des Betriebs sowie zur technischen und organisatorischen Unterstützung der Nutzer:innen und zur Ermöglichung der Kommunikation des Netzwerkes zwischen den Nutzer:innen, der Kommunikation mit der Vermieterin bei Problemen und zur Dokumentation und Nachverfolgbarkeit von Supportvorgängen (z. B. zur Fehlerbehebung).

Bei der Registrierung werden folgende Daten verarbeitet:

E-Mail-Adresse;
Vor- und Nachname;
(soweit angegeben)Foto (soweit angegeben);
Telefonnummer

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Gebäudebetrieb).

Speicherdauer: Die Daten werden so lange gespeichert, wie dies für die Gebäudenutzung erforderlich ist (z. B. Miet- oder Nutzungsdauer). Soweit gesetzliche Aufbewahrungsfristen (z. B. nach HGB oder AO) bestehen, werden die Daten bis zum Ablauf dieser Fristen gespeichert und anschließend gelöscht.

3.2.3 Raum- oder Apartmentbuchung

Verarbeitete Datenkategorien: Buchungsdaten (E-Mail-Adresse; Vor- und Nachname; Buchungszeiten).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Organisation der Raumnutzung und des Gebäudebetriebs). ergänzend Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags, z. B. bei Externen / Mietern).

Speicherdauer: Wir bewahren die personenbezogenen Daten bis zu 2 Jahre nach der jeweiligen Buchung auf. Soweit gesetzliche Aufbewahrungsfristen (z. B. nach HGB oder AO) bestehen, werden die Daten bis zum Ablauf dieser Fristen gespeichert und anschließend gelöscht.

3.2.4 Lokalisierungsfunktion

Wir verwenden ein mobilgerätbasiertes Zutrittssystem, bei dem die App des Gebäudes (Thing-it) über das Betriebssystem des Smartphones erkennt, wenn sich ein Nutzer in einem definierten Umkreis um das Gebäude befindet (Geofencing). Sobald dieser Bereich betreten wird, wird das Smartphone temporär als digitales Zutrittstoken aktiviert, um die Tür automatisch oder auf Knopfdruck zu öffnen. Eine dauerhafte Standortverfolgung oder Speicherung der Standortdaten erfolgt nicht.

Es werden folgende Datenkategorien verarbeitet:

Geofencing-Daten des Endgeräts (d. h. das Gerät meldet: „Ich befinde mich im definierten Bereich“);
Gerätekennung oder Nutzer-ID;
Zeitpunkt der Geofence-Auslösung.

Rechtsgrundlagen: Die Verarbeitung Ihrer personenbezogenen Daten erfolgt aufgrund Ihrer Einwilligung. Sie können die Geofencing-Funktion jederzeit in den Einstellungen Ihres Geräts oder der App deaktivieren.

Speicherdauer: Wir speichern die Daten bis zum Widerruf der Einwilligung oder bis zum Wegfall des Verarbeitungszwecks, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

3.2.5 Chatfunktion

Im Rahmen unseres Buchungssystems gibt es eine Chatfunktion, die dazu dient, bei Problemen im Rahmen der Nutzung des Gebäudes die Kommunikation zwischen Nutzer und Vermieter herzustellen.

Verarbeitete Datenkategorien:

Inhalt der versendeten Nachrichten;
Absenderdaten/Benutzeridentität;
Supportfallbezogene Daten (der erstellten Supporttickets).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Support) sowie, soweit erforderlich, Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags).

Speicherdauer: Die Daten werden so lange gespeichert, wie dies für die Nutzung des Gebäudes, die Bearbeitung von Supportanfragen oder die Erfüllung vertraglicher Pflichten erforderlich ist, längstens bis zum Ende des Miet- oder Nutzungsverhältnisses. Soweit gesetzliche Aufbewahrungsfristen (z. B. nach HGB oder AO) bestehen, werden die Daten bis zum Ablauf dieser Fristen gespeichert und anschließend gelöscht.

4. Datenverarbeitung beim Abschluss von sonstigen Vertragsverhältnissen

Wir verarbeiten personenbezogene Daten im Rahmen von Lieferantenbeziehungen, (Kooperations-) Verträgen und sonstigen Geschäftsbeziehungen.

Wenn Publix Sie oder Ihren Arbeitgeber z.B. als Lieferanten oder Geschäftspartner beauftragt oder sich ein solches Vertragsverhältnis anbahnt, oder zum Zweck der Kontaktaufnahme, verarbeiten wir folgende Informationen:

Stammdaten (z.B. Anrede, Vorname, Nachname, Geschlecht, Ihre Position im Unternehmen);
(öffentlich zugängliche) Daten über Ihr Unternehmen/Ihren Arbeitgeber;
Kommunikationsdaten (z.B. geschäftliche Telefonnummer, E-Mail-Adresse, geschäftliche Postanschrift).

Die Verarbeitung dieser Daten erfolgt,

um Sie oder Ihr Unternehmen/Ihren Arbeitgeber als unseren Zulieferer, Dienstleister oder Partner identifizieren zu können;
um gesetzliche Pflichten zu erfüllen;
um ein Vertragsverhältnis mit Ihnen/Ihrem Unternehmen/Ihrem Arbeitgeber anzubahnen, abzuschließen und zur erfüllen;
zur Korrespondenz mit Ihnen, sofern diese der Vertragsanbahnung oder -erfüllung dient;
um betriebliche Prozesse effizient zu gestalten;
aus buchhalterischen Gründen, sofern ein entgeltliches Vertragsverhältnis zustande kommt;
zur Wahrung berechtigter Interessen.

Rechtsgrundlage: Die Datenverarbeitung ist nach Art. 6 Abs. 1 S. 1 lit. b DSGVO (wenn Sie persönlich Vertragspartner sind oder werden sollen) oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (wenn Ihr Arbeitgeber Vertragspartner ist oder werden soll) zu den genannten Zwecken erforderlich.

Im Falle einer gesetzlichen Verpflichtung zur Datenverarbeitung ergibt sich die Rechtsgrundlage aus nationalem oder Unionsrecht i.V.m. Art. 6 Abs. 1 S. 1 lit. c DSGVO.

Unter Umständen müssen wir Ihre personenbezogenen Daten für die Geltendmachung von Ansprüchen oder zur Abwehr von Ansprüchen verarbeiten; Rechtsgrundlage ist unser berechtigtes Interesse aus Art. 6 Abs. 1 S. 1 lit. f DSGVO an einer effizienten Rechtsverteidigung und Anspruchsdurchsetzung.

Speicherdauer: Die von uns erhobenen personenbezogenen Daten werden bis zum Wegfall oben genannter Zwecke gespeichert und danach gelöscht, es sei denn, dass wir nach Art. 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von gesetzlichen Aufbewahrungs- und Dokumentationspflichten (z.B. aus Handels-, Straf- oder Steuerrecht) zu einer längeren Speicherung verpflichtet sind oder Sie in eine darüberhinausgehende Speicherung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eingewilligt haben.

Die Bereitstellung Ihrer personenbezogenen Daten ist erforderlich, wenn Sie mit uns ein Vertragsverhältnis eingehen wollen. Sofern Sie Ihre personenbezogenen Daten nicht bereitstellen, ist die Begründung und Durchführung des Vertragsverhältnisses nicht möglich.

5. Datenverarbeitungen im Rahmen der Nutzung von Microsoft

5.1 Videokonferenzen und Webinare unter Verwendung von Microsoft Teams

Die nachfolgenden Informationen erteilen wir Ihnen im Hinblick auf Ihre verarbeiteten personenbezogenen Daten, wenn Sie an unseren Teams-Besprechungen und Webinaren teilnehmen.

Hinweis: Soweit Sie die Internetseite von Microsoft Teams aufrufen, ist der Anbieter von Microsoft Teams, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland („Microsoft Irland“) für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von Microsoft Teams jedoch nur erforderlich, um sich die Software herunterzuladen. Wenn Sie die Microsoft Teams-App nicht nutzen wollen oder können, können Sie Microsoft Teams auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Webseite von Microsoft Teams erbracht.

Microsoft Teams ermöglicht es den Nutzenden, zu chatten (Chat, Kanal) und an Microsoft Teams Besprechungen teilzunehmen. Für Teams-Meetings erhalten Sie über Ihre E-Mailadresse eine Einladung; über einen ebenfalls übermittelten Link können Sie am Meeting teilnehmen.

Bei der Nutzung von Microsoft Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt auch davon ab, welche Angaben Sie vor und bei der Teilnahme an einem Meeting machen. Folgende personenbezogene Daten sind dabei regelmäßig Gegenstand der Verarbeitung:

Angaben zu Teilnehmenden: Vorname, Nachname, Telefonnummer (optional), E-Mail-Adresse, Passwort, Profilbild (optional), Abteilung (optional);
Bei Einwahl mit dem Telefon: Angaben zur eingehenden und ausgehenden Rufnummer, Länderkürzel;
Verbindungsdaten: Start- und Endzeit des Meetings, ggf. weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts;
Audio- und Videodaten: Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Teams-Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sollte dieses nicht erwünscht sein, können Sie die Kamera oder das Mikrofon jederzeit selbst über die Teams-Einstellungen abschalten bzw. stummstellen. Wir verwenden bei Microsoft Teams den Modus Teams-Meetings. Bei Teams-Meetings werden Audio- und Videoaufnahmen durch unsere Einstellungen verhindert. Es erfolgt grundsätzlich keine Aufzeichnung der Veranstaltung;
Textdaten: Bei Verwendung der Chat-, Frage- oder Umfragefunktionen werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Teams-Meeting anzuzeigen und ggf. zu protokollieren.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage der Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung eines Vertrages. Daten, die nicht für die Erfüllung eines Vertrages erforderlich sind, dessen Vertragspartei der jeweilige Betroffene ist, verarbeiten wir auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO, unseren berechtigten Interessen an einer effektiven Durchführung von Meetings im Rahmen unserer Geschäftsbeziehungen und von Online-Informationsveranstaltungen über fachliche Themen und über uns sowie an der Ermöglichung von Chatnachrichten zwischen den Teilnehmenden.

Speicherdauer: Wir speichern die Chatinhalte für einen Zeitraum von einem Jahr. In Chats 1 zu 1 können Besprechungen zwischen den Beteiligten des Chats gestartet werden, die von Benutzer:innen mit End-zu-End Verschlüsselung versehen werden, wir weisen darauf hin, dies zu nutzen. Nutzer:innen können im Nachhinein und ohne Teilnahme an einem Meeting den Chatverlauf lesen, solange das Meeting aus einem Team heraus eingeladen wurde und man selbst Teil dieses Teams ist. Der Chatverlauf von Meetings kann daher grundsätzlich nachgelesen werden.

Empfänger: Wir geben personenbezogene Daten, die wir im Zusammenhang mit der Nutzung von Teams verarbeiten grundsätzlich nicht an Dritte weiter, sofern sie nicht gerade zur Weitergabe bestimmt sind.

Microsoft Irland erhält notwendigerweise Kenntnis von den oben genannten Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit Microsoft Teams vorgesehen ist. Microsoft Irland behält sich vor, Kundendaten zu eigenen legitimen Geschäftszwecken zu verarbeiten. Auf diese Datenverarbeitungen haben wir keinen Einfluss. Laut Microsoft Irland gehören dazu z.B. IP-Adresse, Betriebssystem, Treiber des Mikrophones, Jitter-Wert und alle Daten, die zu dem stabilen und sicheren Betrieb benötigt werden. Die personenbezogenen Daten innerhalb von Microsoft Teams werden laut Microsoft Irland spätestens nach 90 Tagen systemseitig endgültig gelöscht. In dem Umfang, in dem Microsoft Teams personenbezogene Daten in Verbindung mit den legitimen Geschäftszwecken verarbeitet, ist Microsoft unabhängiger Verantwortlicher für diese Datenverarbeitungstätigkeiten und als solcher verantwortlich für die Einhaltung aller geltenden Datenschutzbestimmungen. Falls Sie Informationen über die Verarbeitung durch Microsoft Irland benötigen, bitten wir Sie, die entsprechende Erklärung von Microsoft einzusehen.

Datenverarbeitung außerhalb der Europäischen Union (EU): Eine Datenverarbeitung außerhalb der EU erfolgt grundsätzlich im Übrigen nicht, da wir unseren Speicherort auf Rechenzentren in der EU beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an Online-Meeting in einem Drittland aufhalten.

5.2 Verwendung von Microsoft Copilot

Im Rahmen unserer Microsoft 365 Business Standard Lizenz setzen wir den KI-gestützten Assistenten „Microsoft 365 Copilot“ (“Microsoft Copilot”) ein, um die Effizienz und Produktivität unserer Mitarbeitenden zu steigern. Copilot unterstützt bei der Erstellung, Bearbeitung und Analyse von Inhalten in Microsoft-Anwendungen wie Word, Excel, Outlook und PowerPoint.

Bei der Nutzung von Microsoft Copilot kann es zur Verarbeitung personenbezogener Daten kommen, insbesondere wenn diese in Dokumenten, E-Mails oder Kalenderdaten enthalten sind. Die Verarbeitung erfolgt ausschließlich im Rahmen der bestehenden Berechtigungen der jeweiligen Nutzer:innen und auf Grundlage der Inhalte, auf die über Microsoft Graph zugegriffen werden darf.

Microsoft gibt an, dass Microsoft Copilot der Datenschutz-Grundverordnung entspricht und die über Microsoft Copilot verwendeten Daten nicht zum Training der zugrundeliegenden Sprachmodelle (LLMs) verwendet werden.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der effizienten Arbeitsgestaltung, der Unterstützung der Mitarbeitenden durch automatisierte Funktionen sowie der Optimierung interner Arbeitsprozesse. Sofern eine Einwilligung erforderlich ist (z. B. bei besonders sensiblen Daten oder außerhalb arbeitsvertraglicher Pflichten), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Speicherdauer: Die Copilot-Aktivitäten (z. B. Eingaben und durch Microsoft Copilot generierte Antworten) werden temporär gespeichert, um die Funktionen bereitzustellen und die Nutzererfahrung zu verbessern. Wir löschen die Copilot-Inhalte nach einem Zeitraum von 6 Monaten.

Empfänger: Ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland („Microsoft Irland“).

Bei Microsoft Irland besteht die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA sind datenschutzrechtlich sogenannter Drittstaat.

6. Newsletter

Wir verarbeiten Ihre personenbezogenen Daten, wenn Sie sich zu unserem Newsletter anmelden. Für den Empfang des Newsletters ist die Angabe einer E-Mail-Adresse notwendig, aber auch ausreichend. Die Verarbeitung personenbezogener Daten im Rahmen des Newsletters dient dem Versand von Informationen über Angebote, Veranstaltungen, Neuigkeiten oder Dienstleistungen.

Rechtsgrundlage: Die Verarbeitung der E-Mail-Adresse sowie – bei Angabe – des Vor- und Nachnamens erfolgen auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Nachdem Sie uns Ihre Anmeldung übersendet haben, erhalten Sie zunächst eine E-Mail, in der Sie aufgefordert werden, Ihre E-Mail-Adresse durch Anklicken eines Links zu bestätigen (sog. Double-Opt-in-Verfahren). Das Double-Opt-in-Verfahren ist eine technische Maßnahme, um sicherzustellen, dass die Newsletter-Anmeldung durch den tatsächlichen Inhaber der E-Mail-Adresse erfolgt. Rechtsgrundlage für die Verifizierung der E-Mail-Adresse ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, wobei unser berechtigtes Interesse darin besteht, E-Mail-Nachrichten nur an den tatsächlichen Inhaber der E-Mail-Adresse zu versenden. Erst wenn dieser Vorgang abgeschlossen ist, werden wir Ihnen unseren Newsletter zusenden.

Im Zusammenhang mit der Anmeldung für unseren Newsletter verarbeiten wir außerdem noch Informationen wie Ihren Status (angemeldet/geblocklistet), Zugehörigkeit zu einer E-Mail-Liste, Datum und Art der Eintragung, IP-Adresse(n), Informationen zur Zustellung und zu sog. Bounces oder sonstigen Zustellproblemen und den Verlauf, um deine Anmeldung zu verwalten und den Anmeldeprozess zu dokumentieren. Rechtsgrundlage für die Verarbeitung Ihrer Daten im Zusammenhang mit der Dokumentation Ihrer Einwilligung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, nachweisen zu können, dass und wie die Einwilligung abgegeben wurde, falls dies bestritten wird.

Speicherdauer: Wir speichern Ihre personenbezogenen Daten im Zusammenhang mit dem Newsletter, solange Sie den Newsletter abonniert haben. Nach Abmeldung vom Newsletter werden Ihre Daten gelöscht. Eine Abmeldung ist jederzeit möglich, z. B. über einen Link am Ende eines jeden Newsletters. Alternativ können Sie Ihren Abmeldewunsch auch erklären, indem Sie uns eine Nachricht senden (vgl. Sie die Kontaktdaten im Abschnitt „Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten“).

Empfänger: Ist der Newsletter-Dienstleister The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, USA. Rocket Science ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

Bei Rocket Science besteht die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA sind datenschutzrechtlich sogenannter Drittstaat.

Der Diensteanbieter Rocket Science hat seinen Hauptsitz in den USA und ist nicht zertifiziert (DPF). Um eine vollumfängliche Gewährleistung eines angemessenen Schutzniveaus jedoch sicherzustellen, haben wir mit dem Anbieter Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Diese verpflichten den Empfänger der Daten in den USA die Daten entsprechend dem Schutzniveau in Europa zu verarbeiten.

7. Videoaufnahmen

Wir haben auf unserem Gelände und in unseren Räumlichkeiten Kameras installiert. Dabei verarbeiten wir ausschließlich Videodaten (keine Tonaufnahmen). Die Kameras sind festinstalliert und nicht schwenkbar. Der Zugriff auf die Videodaten ist höchst eingeschränkt. Die Kameras werden lediglich in der Art und Weise betrieben, wie es notwendig ist, um den Zweck der Verwirklichung des Hausrechts und des Schutzes von Personen zu erfüllen.

Rechtsgrundlage: Die Verarbeitung der Bilddaten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Wahrnehmung unseres Hausrechts, der Verhinderung und Aufklärung von Straftaten sowie dem Schutz von Personen und Eigentum. Dies gilt vor allem auch unter der Berücksichtigung der in unserem Gebäude tätigen Personen und deren besonderen Gefährdungslage. Die in unserem Haus tätigen Personen arbeiten täglich mit sensiblen Informationen, schutzbedürftigen Menschen und politisch heiklen Themen. Dies führt nicht selten zu Anfeindungen und konkreten Gefährdungslagen.

Speicherdauer: Die Videoaufzeichnungen werden ausschließlich zu den genannten Zwecken verwendet und in der Regel nach spätestens 72 Stunden gelöscht, sofern sie nicht zur Beweissicherung oder zur Geltendmachung von Rechtsansprüchen benötigt werden.

Eine Weitergabe an Dritte erfolgt nur im Einzelfall, z. B. an Ermittlungsbehörden im Rahmen gesetzlicher Vorgaben.

Hinweise zu den Videoaufnahmen sind vor Ort sichtbar angebracht.

8. Nutzung des (Gäste-)WLAN-Netzwerks

Wenn Sie das bereitgestellte WLAN-Netzwerk nutzen, werden technisch bedingt Verbindungs- und Protokolldaten verarbeitet, um die Nutzung zu ermöglichen und die Sicherheit des Netzwerks zu gewährleisten. Darunter fallen Daten wie z. B. MAC-Adresse, IP-Adresse, Zeitpunkt des Verbindungsauf- und -abbaus, übertragene Datenmengen, ggf. Protokollierung sicherheitsrelevanter Ereignisse. Sie werden zum Zwecke der Sicherstellung des Betriebs und der Sicherheit des Netzwerks, Abwehr von Missbrauch und Störungen verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Netzbetrieb).

Speicherdauer: Protokolldaten werden nach 7 Tagen gelöscht, sofern keine sicherheitsrelevante Nachverfolgung erforderlich ist.

9. Datenverarbeitungen im Rahmen von eigenen Veranstaltungen

Publix veranstaltet regelmäßig Events. Im Rahmen dieser Veranstaltungen werden personenbezogene Daten der Teilnehmenden verarbeitet. Im Einzelnen geht es um folgende Bereiche:

9.1 Einladungsmanagement

Die Verarbeitung personenbezogener Daten im Rahmen des Einladungsmanagements dient der Planung, Organisation und Durchführung von Veranstaltungen.

Wirladen zu Events von Publix auf unterschiedliche Weise ein, je nach Anlass und Größe des Events. Es gibt einige Formate bzw. Veranstaltungen, bei denen Informationen über die verschiedenen Kommunikationskanäle in die Allgemeinheit gelangen. Eine Anmeldung ist dabei nicht erforderlich, weswegen keine personenbezogenen Daten verarbeitet werden.

Für andere Events ist eine Anmeldung hingegen notwendig.

Dabei gibt es zum einen das System der Anmeldung über ein Anmeldefenster. Wir nutzen dabei die Softwarelösung Hubspot, über die wir einen Link zur Anmeldung zu unseren Veranstaltungen bereitstellen. Wenn Sie sich auf unserer Webseite, per E-Mail oder über einen Einladungslink, den wir Ihnen zusenden, für eine unserer Veranstaltungen anmelden, verarbeiten wir Ihre personenbezogenen Daten, soweit dies für die Organisation, Durchführung und Nachbereitung der Veranstaltung erforderlich ist. Dazu erheben wir folgende Daten von Ihnen: E-Mail-Adresse, Vor- und Nachname.

Bei einigen Veranstaltungen setzen wir die Softwarelösung „pretix“ der auf Events spezialisierten Firma rami.io GmbH ein. Der Dienstleister hat unter Umständen Zugriff auf Ihre Daten, um technische Probleme zu analysieren und Support-Anfragen zu beantworten. Wenn Sie sich bei uns für die über die Cloudlösung pretix verwalteten Veranstaltungen anmelden, geben Sie folgende personenbezogene Daten im Anmeldeformular ein:

E-Mail-Adresse;
Vorname, Name;
Firma/Organisation;
Anschrift;
Bei kostenpflichtigen Veranstaltungen die Rechnungsanschrift.

Rechtsgrundlage: Bei nicht kostenpflichtigen Veranstaltungen ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DSGVO, unsere berechtigten Interessen bestehen an der effizienten Verwaltung der Teilnehmenden, der reibungslosen Durchführung der Veranstaltung und zum Zwecke der Zutrittskontrolle und um nur geladenen Gästen Einlass zu gewähren. Bei kostenpflichtigen Veranstaltungen ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO, der zugrundeliegende Vertrag.

Die Bereitstellung Ihrer Daten ist für die Teilnahme an der Veranstaltung erforderlich und Sie sind vertraglich verpflichtet, Ihre Daten zur Verfügung zu stellen. Bei Nichtbereitstellung Ihrer Daten ist ein Vertragsabschluss und/oder die -Durchführung nicht möglich.

Speicherdauer: Wir speichern Ihre Daten für die Dauer der Organisation (inkl. entsprechender Vor- und Nachbereitung) der jeweiligen Veranstaltung. Eventuell bestehende gesetzliche Aufbewahrungspflichten bleiben hiervon unberührt. Innerhalb 3 Monaten nach Abschluss der Veranstaltung werden die Daten der Teilnehmenden von uns gelöscht.

Empfänger:

Ist die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin;

Ist das Softwareunternehmenrami.io GmbH, Berthold-Mogel-Straße 1, 69126 Heidelberg, Deutschland, welches das Produkt pretix entwickelt hat.

Beide Unternehmen sind in diesem Zusammenhang unsere Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

Wenn Sie ein Ticket bestellen, nutzt pretix Cookies, um den Bestellablauf zu verbessern und uns zu merken, welcher Warenkorb zu Ihnen gehört. Wir speichern keine IP-Adressen, Browser-Informationen oder andere unnötige Metadaten über die Dauer Ihrer Anfrage hinaus. Wenn Sie für Ihr Ticket über einen Zahlungsanbieter wie PayPal, Stripe, Mollie oder Sofortüberweisung zahlen, überträgt pretix nur die absolut nötigen Daten zum jeweiligen Zahlungsdienstleister.

Datenverarbeitung außerhalb der Europäischen Union (EU): Bei HubSpot besteht die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA sind datenschutzrechtlich sogenannter Drittstaat.

Soweit ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) in einem Drittstaat vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich. Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt. Eine Auflistung der aktuell zertifizierten Unternehmen ist hier abrufbar. In anderen Fällen sowie bei Datenweitergabe in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind.

9.2 Einlasskontrolle

Die in Ticketsystem (pretix) eingegebenen Daten werden zunächst in die Gästeliste eingepflegt. Sobald die Gästeliste finalisiert ist, erhalten Sie von uns ein über pretix generiertes Ticket mit Vor- und Nachnamen sowie einem QR-Code, mit dem Sie sich beim Einlass zur Veranstaltung legitimieren. Um Ihnen Einlass gewähren zu können, scannen wir am Veranstaltungstag vor Ort Ihren QR-Code ein und bitten Sie, sich auszuweisen. Sie erhalten Zutritt, sobald das System zurückmeldet, dass Sie auf der Gästeliste stehen und Sie sich ausweisen können. Das System speichert, das und wann Sie eingecheckt haben. Die Rechnungslegung erfolgt direkt über das Online-Tool. Im Rahmen dieses Vorgangs werden folgende personenbezogene Daten verarbeitet:

Ticketcode mit Ticketstatus (gültig, ungültig, bereits entwertet);
Veranstaltungsdetails (Titel, Datum, Uhrzeit);
Name der buchenden Person;
Zeitpunkt des Scanvorgangs (Einlasszeit).

Die Verarbeitung dieser Daten dient der Überprüfung der Gültigkeit des Tickets, der Zugangskontrolle zur Veranstaltung sowie – sofern erforderlich – der Dokumentation der Anwesenheit aus organisatorischen Gründen.

Rechtsgrundlage: Bei nicht kostenpflichtigen Veranstaltungen ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DSGVO, unsere berechtigten Interessen bestehen an der effizienten Verwaltung der Teilnehmenden, der reibungslosen Durchführung der Veranstaltung und im Zwecke der Zutrittskontrolle und um nur geladenen Gästen Einlass zu gewähren (unser Hausrecht auszuüben). Bei kostenpflichtigen Veranstaltungen ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO, der zugrundeliegende Vertrag.

Speicherdauer: Wir speichern Ihre Daten für die Dauer der Organisation (inkl. entsprechender Vor- und Nachbereitung) der jeweiligen Veranstaltung. Eventuell bestehende gesetzliche Aufbewahrungspflichten bleiben hiervon unberührt. Innerhalb von 3 Monate nach Abschluss der Veranstaltung werden Ihre Daten aus pretix bei uns gelöscht.

Empfänger: Ist das Softwareunternehmenrami.io GmbH, Berthold-Mogel-Straße 1, 69126 Heidelberg, Deutschland, welches das Produkt pretix entwickelt hat. Rami.io ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

9.3 Foto-/Videoaufnahmen anlässlich von Veranstaltungen

Anlässlich von Veranstaltungen machen wir Fotos und Videoaufnahmen und veröffentlichen diese im Nachgang. Die Aufnahmen dienen der Öffentlichkeitsarbeit auf der Webseite von Publix, in Social-Media (Instagram, LinkedIn, Mastodon, Youtube), Pressemitteilungen sowie der Dokumentation der Veranstaltung online und offline.

Rechtsgrundlage: Die Verarbeitung dient der Wahrung des berechtigten Interesses von Publix an Öffentlichkeitsarbeit, der Sichtbarmachung der Aktivitäten von Publix sowie der Dokumentation im Sinne von Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Speicherdauer: Legt die betroffene Person Widerspruch gegen veröffentlichte Fotos ein und bestehen wiederum keine vorrangigen Gründe seitens Publix für die weitere Verarbeitung der Fotos, werden diese unverzüglich gelöscht. Im Übrigen werden die Fotos gelöscht, sobald diese für die Zwecke, für die sie erstellt wurden, nicht mehr gebraucht werden.

Empfänger: Eine Auswahl der Bilder wird teilweise an Förderer, Sponsoren und Partner:innen sowie an Vertreter:innen der Presse zu journalistischen-redaktionellen Zwecken geschickt.

9.4 Vorstellung von Bühnengästen bei Veranstaltungen

Im Rahmen der Vorbereitung und Durchführung unserer Veranstaltungen stellen wir Bühnengäste im Rahmen der Bewerbung der Veranstaltung vor. Dies umfasst die Veröffentlichung von Informationen über die Bühnengäste, z. B. Name, Funktion, Titel und ggf. Foto oder kurze biografische Angaben, auf unseren Kommunikationskanälen (z. B. Webseite, Social-Media-Kanälen, Newsletter, Veranstaltungsflyer).

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bewerbung der Veranstaltung und der Information der Öffentlichkeit über Inhalte, Mitwirkende und Ablauf der Veranstaltung. Zudem ist die Darstellung der Bühnengäste zur Werbung auch als berechtigtes Interesse aus dem Vertrag mit den Bühnengästen herzuleiten.

Speicherdauer: Die Daten werden nur so lange gespeichert, wie dies für die Planung, Durchführung und Nachbereitung der Veranstaltung erforderlich ist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Empfänger: Die im Zusammenhang mit der Organisation und Durchführung der Veranstaltungen erhobenen personenbezogenen Daten werden von uns in „ClickUp“ gespeichert, einem cloudbasierten Organisations- und Projektmanagement-Tool. Der Anbieter Mango Technologies, Inc. (handelnd unter ClickUp) 350 Tenth Avenue, Suite 500, San Diego, CA 92101 USA) agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Bei ClickUp besteht die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die USA ist datenschutzrechtlich ein sogenannter Drittstaat.

Soweit ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) in einem Drittstaat vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich. Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt. Eine Auflistung der aktuell zertifizierten Unternehmen ist hier abrufbar. In anderen Fällen sowie bei Datenweitergabe in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind.

ClickUp ist nicht im DPF zertifiziert. Daher haben wir mit dem Anbieter Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Diese verpflichten den Empfänger der Daten in den USA die Daten entsprechend dem Schutzniveau in Europa zu verarbeiten.

10. Datenverarbeitungen im Bewerbungsverfahren

Die im Rahmen Ihrer Bewerbung über unsere Jobangebote übermittelten Daten werden per TLS-Verschlüsselung übertragen und in einer Datenbank gespeichert. Wir verwenden für unser Bewerbungsmanagement Personalverwaltungs- und Bewerbermanagement-Software „Personio“ von dem Anbieter Personio SE & Co. KG, Seidlstraße 3, 80335 München, Deutschland. Über Personio haben wir auf unserer Webseite ein Bewerbungsformular eingebunden.

Personio ist in diesem Zusammenhang unser Auftragsverarbeiter nach Art. 28 DSGVO und damit Empfänger Ihrer Daten.

Wir verarbeiten diejenigen Daten, die Sie uns selbst mit Ihrer Bewerbung um eine Stelle bei Publix zur Verfügung stellen (z. B. mit Ihrem Anschreiben, Lebenslauf und Zeugnissen).
Pflichtangaben, die wir für die Entscheidung über Ihre Bewerbung benötigen, haben wir in der Eingabemaske entsprechend gekennzeichnet. Dies sind in der Regel Name, Vorname, Kontaktdaten, Verfügbarkeit und Gehaltsvorstellung sowie Anschreiben und Lebenslauf. Ohne diese Angaben können wir Ihre Bewerbung leider nicht berücksichtigen.

Rechtsgrundlage: Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Datenverarbeitung ist für die Entscheidung über die Begründung eines Vertragsverhältnisses erforderlich. Soweit besondere Kategorien personenbezogener Daten verarbeitet werden (z.B. Gesundheitsdaten), verarbeiten wir diese aus Gründen des Arbeitsrechts, des Rechts der sozialen Sicherheit oder des Sozialschutzes gemäß Art. 6 Abs. 1 S.1 lit. b in Verbindung mit Art. 9 Abs. 2 lit. b DSGVO.

Nach Abschluss des Bewerbungsverfahrens kann eine weitere Datenverarbeitung entweder auf Grundlage Ihrer Einwilligung erfolgen oder ggf. zur Rechtsverfolgung erforderlich sein, wobei in letztem Fall Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DSGVO ist, unser berechtigtes Interesse an der Geltendmachung oder Abwehr von Ansprüchen.

Speicherdauer: Die von uns erhobenen Daten werden bis zum Wegfall oben genannter Zwecke gespeichert und danach gelöscht, es sei denn, dass wir nach Art. 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von gesetzlichen Aufbewahrungs- und Dokumentationspflichten (z.B. aus Handels-, Straf- oder Steuerrecht) zu einer längeren Speicherung verpflichtet sind.

Für den Fall, dass Sie einer weiteren Speicherung zugestimmt haben, werden wir Ihre Daten in unseren Bewerber:innen-Pool übernehmen. Dort werden die Daten nach Ablauf von zwei Jahren gelöscht.

Bei nicht erfolgreicher Bewerbung werden die Daten grundsätzlich nach sechs Monaten nach Abschluss des Verfahrens gelöscht, soweit nicht im Einzelnen längere Aufbewahrungspflichten bestehen (z.B. für etwaige Belege für die Reisekostenerstattung) oder eine Speicherung darüber hinaus zur Verteidigung gegen Rechtsansprüche notwendig ist.

11. Weitergabe Ihrer personenbezogenen Daten

Eine Weitergabe Ihrer Daten durch uns erfolgt nur, wenn uns das rechtlich erlaubt ist. Wir geben Ihre Daten ggf. wie folgt weiter, soweit nicht oben bereits gesondert genannt:

Wir setzen ein Softwareunternehmen als Auftragsverarbeiter für unser Vertragsmanagement ein. Auftragsverarbeiter ist DocuSign Germany GmbH Mies-van-der-Rohe-Straße 6, 80807 München, Deutschland;
Wir setzen für unsere Buchhaltung DATEV eG, Paumgartnerstr. 6 - 14, 90429 Nürnberg, Deutschland sowie visual4 GmbH, Schreiberstr. 27, 70199 Stuttgart, Deutschland als Auftragsverarbeiter ein;
Öffentliche Stellen/Behörden, insbesondere Finanzbehörden, können Daten empfangen, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist Art. 6 Abs. 1 S. 1 lit. c DSGVO in Verbindung mit der jeweiligen Vorschrift;
Im Zusammenhang mit dem Betrieb unseres Unternehmens (z.B. Auditoren, Banken, Versicherungen, Steuerberater, Wirtschaftsprüfer, Rechtsberater, Datenschutzbeauftragte, Aufsichtsbehörden oder andere Stellen) findet eine Weitergabe statt. Rechtsgrundlage für die Weitergabe ist Art. 6 Abs. 1 S. 1 lit. b oder lit. f DSGVO;
Wir übergeben Ihre Daten ggf. an Akten-/Datenvernichtungsunternehmen;
Wir übergeben Ihre Adressdaten an Logistikunternehmen zwecks Versandsendungen;
Bei dem Verdacht einer Straftat können wir Ihre Daten an Strafverfolgungsbehörden (bspw. Polizei, Staatsanwaltschaft) weitergeben.

12. Ihre Rechte

Als betroffene Personen stehen Ihnen bei Vorliegen der jeweils geltenden Voraussetzungen die folgenden Rechte zu:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Zudem haben Sie nach Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde Ihrer Wahl über die Datenverarbeitung durch uns zu beschweren. Unser Sitz ist in Lörrach. Die für uns zuständige Aufsichtsbehörde lautet: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

Des Weiteren haben Sie ein Recht auf Widerspruch (Art. 21 DSGVO), sofern wir eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO vornehmen. Bitte beachten Sie, dass bei Datenverarbeitungen zu anderen Zwecken als der Direktwerbung Gründe anzugeben sind, die sich aus Ihrer besonderen Situation ergeben. Ihren Widerspruch können Sie erklären, indem Sie uns eine Nachricht senden (vgl. Sie die Kontaktdaten im Abschnitt „Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten“).

Wenn wir Daten zu Ihrer Person auf Grundlage einer von Ihnen erteilten Einwilligung verarbeiten, können Sie die Einwilligung mit Wirkung für die Zukunft widerrufen. Ihren Widerruf können Sie erklären, indem Sie uns eine Nachricht senden (vgl. Sie die Kontaktdaten im Abschnitt „Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten“).