Mit der folgenden Datenschutzerklärung möchten wir Sie gemäß Art. 13 DSGVO darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir als Social Impact gGmbH (im Folgenden: Social Impact) und/oder unser Dienstleister Innoloft GmbH (im Folgenden: Innoloft) zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle durchgeführten Verarbeitungen personenbezogener Daten unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen (z.B. Social Media Profile). Für Teile der Datenverarbeitungen ist Social Impact allein verantwortlich, während für andere Teile der Datenverarbeitung eine gemeinsame Verantwortung zwischen Social Impact und Innoloft besteht. Wir bitten Sie daher, sich bei einem Anliegen an den jeweils zuständigen Verantwortlichen zu wenden. Aktualität und Änderung der Datenschutzerklärung Diese Datenschutzerklärung hat den Stand Dezember 2024. Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird. Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen. Inhaltsverzeichnis 1. Allgemeines 2. Datenverarbeitung durch die Social Impact gGmbH 3. Gemeinsame Datenverarbeitung durch Social Impact gGmbH und Innoloft GmbH 3.1 Gemeinsame Verantwortliche 3.2 Gemeinsame Anlaufstelle für Betroffene 3.3 Gemeinsame Datenverarbeitung 3.4 Ihre Rechte 1. Allgemeines Übersicht der Verarbeitungen Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen. Arten der verarbeiteten Daten • Bestandsdaten (z.B. Namen, Adressen). • Inhaltsdaten (z.B. Eingaben in Onlineformularen). • Kontaktdaten (z.B. E-Mail, Telefonnummern). • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten). • Event-Daten (Facebook - "Event-Daten" sind Daten, die z.B. via Facebook-Pixel an Facebook übermittelt werden können und sich auf Personen oder deren Handlungen beziehen; zu den Daten gehören z.B. Angaben über Besuche auf Websites, Interaktionen mit Inhalten, Funktionen, etc.). Kategorien betroffener Personen • Kommunikationspartner. • Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). Zwecke der Verarbeitung • Anmeldeverfahren. • Bereitstellung des Onlineangebotes und Nutzerfreundlichkeit. • Büro- und Organisationsverfahren. • Klickverfolgung. • Content Delivery Network (CDN). • Feedback (z.B. Sammeln von Feedback via Online-Formular). • Heatmaps (Mausbewegungen seitens der Nutzer, die zu einem Gesamtbild zusammengefasst werden.). • Kontaktanfragen und Kommunikation. • Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen). • Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher). • Sicherheitsmaßnahmen. • Umfragen und Fragebögen (z.B. Umfragen mit Eingabemöglichkeiten, Multiple-Choice-Fragen). • Erbringung vertragliche Leistungen und Kundenservice • Verwaltung und Beantwortung von Anfragen.
Maßgebliche Rechtsgrundlagen Nachfolgend erhalten Sie einen Überblick über die Rechtsgrundlagen der DSGVO, die der Verarbeitung personenbezogener Daten zugrunde liegen. Bitte beachten Sie, dass zusätzlich zu den Bestimmungen der DSGVO, nationale Datenschutzbestimmungen Ihres oder des Wohnsitz-, bzw. Sitzlandes von Social Impact und Innoloft zur Anwendung kommen können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, werden Ihnen diese in der Datenschutzerklärung mitgeteilt. • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben. • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der Datenschutz-Grundverordnung gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.
Sicherheitsmaßnahmen Social Impact und Innoloft treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigt Innoloft den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. SSL-Verschlüsselung (https): Um Ihre via unser Online-Angebot übermittelten Daten zu schützen, wird eine SSL-Verschlüsselung genutzt. Sie erkennen derart verschlüsselte Verbindungen an dem Präfix https:// in der Adresszeile Ihres Browsers. Übermittlung von personenbezogenen Daten Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder sie ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z.B. mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fall beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab. Datenverarbeitung in Drittländern Sofern Daten in einem Drittland (d.h., außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeitet werden oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben. Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, vertraglichen Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, beim Vorliegen von Zertifizierungen oder verbindlicher internen Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de). Dauer der Datenspeicherung Soweit erforderlich werden Ihre personenbezogenen Daten für die Dauer der Erfüllung vertraglicher Zwecke gespeichert. Dies umfasst u. a. auch die Anbahnung und die Abwicklung eines Vertrages. Darüber hinaus werden verschiedene Aufbewahrungs- und Dokumentationspflichten berücksichtigt, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgeschriebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Schließlich richtet sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z. B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch länger, betragen können.
Einsatz von Cookies Cookies sind Textdateien, die Daten von besuchten Websites oder Domains enthalten und von einem Browser auf dem Computer des Benutzers gespeichert werden. Ein Cookie dient in erster Linie dazu, die Informationen über einen Benutzer während oder nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Zu den gespeicherten Angaben können z.B. die Spracheinstellungen auf einer Webseite, der Loginstatus, ein Warenkorb oder die Stelle, an der ein Video geschaut wurde, gehören. Zu dem Begriff der Cookies zählen wir ferner andere Technologien, die die gleichen Funktionen wie Cookies erfüllen (z.B., wenn Angaben der Nutzer anhand pseudonymer Onlinekennzeichnungen gespeichert werden, auch als "Nutzer-IDs" bezeichnet). Die folgenden Cookie-Typen und Funktionen werden unterschieden: • Temporäre Cookies (auch: Session- oder Sitzungs-Cookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Online-Angebot verlassen und seinen Browser geschlossen hat. • Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Browsers gespeichert. So kann beispielsweise der Login-Status gespeichert oder bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht. Ebenso können die Interessen von Nutzern, die zur Reichweitenmessung oder zu Marketingzwecken verwendet werden, in einem solchen Cookie gespeichert werden. • First-Party-Cookies: First-Party-Cookies werden von uns selbst gesetzt. • Third-Party-Cookies (auch: Drittanbieter-Cookies): Drittanbieter-Cookies werden hauptsächlich von Werbetreibenden (sog. Dritten) verwendet, um Benutzerinformationen zu verarbeiten. • Notwendige (auch: essentielle oder unbedingt erforderliche) Cookies: Cookies können zum einen für den Betrieb einer Webseite unbedingt erforderlich sein (z.B. um Logins oder andere Nutzereingaben zu speichern oder aus Gründen der Sicherheit). • Statistik-, Marketing- und Personalisierungs-Cookies: Ferner werden Cookies im Regelfall auch im Rahmen der Reichweitenmessung eingesetzt sowie dann, wenn die Interessen eines Nutzers oder sein Verhalten (z.B. Betrachten bestimmter Inhalte, Nutzen von Funktionen etc.) auf einzelnen Webseiten in einem Nutzerprofil gespeichert werden. Solche Profile dienen dazu, den Nutzern z.B. Inhalte anzuzeigen, die ihren potentiellen Interessen entsprechen. Dieses Verfahren wird auch als "Tracking", d.h., Nachverfolgung der potentiellen Interessen der Nutzer bezeichnet. Soweit wir Cookies oder "Tracking"-Technologien einsetzen, informieren wir Sie gesondert in unserer Datenschutzerklärung oder im Rahmen der Einholung einer Einwilligung. Hinweise zu Rechtsgrundlagen: Auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten mit Hilfe von Cookies verarbeiten, hängt davon ab, ob wir Sie um eine Einwilligung bitten. Falls dies zutrifft und Sie in die Nutzung von Cookies einwilligen, ist die Rechtsgrundlage der Verarbeitung Ihrer Daten die erklärte Einwilligung. Andernfalls werden die mithilfe von Cookies verarbeiteten Daten auf Grundlage unserer berechtigten Interessen (z.B. an einem betriebswirtschaftlichen Betrieb unseres Onlineangebotes und dessen Verbesserung) verarbeitet oder, wenn der Einsatz von Cookies erforderlich ist, um unsere vertraglichen Verpflichtungen zu erfüllen. Speicherdauer: Sofern wir Ihnen keine expliziten Angaben zur Speicherdauer von permanenten Cookies mitteilen (z. B. im Rahmen eines sog. Cookie-Opt-Ins), gehen Sie bitte davon aus, dass die Speicherdauer bis zu zwei Jahre betragen kann. Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-Out): Abhängig davon, ob die Verarbeitung auf Grundlage einer Einwilligung oder gesetzlichen Erlaubnis erfolgt, haben Sie jederzeit die Möglichkeit, eine erteilte Einwilligung zu widerrufen oder der Verarbeitung Ihrer Daten durch Cookie-Technologien zu widersprechen (zusammenfassend als "Opt-Out" bezeichnet). Sie können Ihren Widerspruch zunächst mittels der Einstellungen Ihres Browsers erklären, z.B., indem Sie die Nutzung von Cookies deaktivieren (wobei hierdurch auch die Funktionsfähigkeit unseres Onlineangebotes eingeschränkt werden kann). Ein Widerspruch gegen den Einsatz von Cookies zu Zwecken des Onlinemarketings kann auch mittels einer Vielzahl von Diensten, vor allem im Fall des Trackings, über die Webseiten https://optout.aboutads.info und https://www.youronlinechoices.com/ erklärt werden. Daneben können Sie weitere Widerspruchshinweise im Rahmen der Angaben zu den eingesetzten Dienstleistern und Cookies erhalten. Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung: Wir setzen ein Verfahren zum Cookie-Einwilligungs-Management ein, in dessen Rahmen die Einwilligungen der Nutzer in den Einsatz von Cookies, bzw. der im Rahmen des Cookie-Einwilligungs-Management-Verfahrens genannten Verarbeitungen und Anbieter eingeholt sowie von den Nutzern verwaltet und widerrufen werden können. Hierbei wird die Einwilligungserklärung gespeichert, um deren Abfrage nicht erneut wiederholen zum müssen und die Einwilligung entsprechend der gesetzlichen Verpflichtung nachweisen zu können. Die Speicherung kann serverseitig und/oder in einem Cookie (sogenanntes Opt-In-Cookie, bzw. mithilfe vergleichbarer Technologien) erfolgen, um die Einwilligung einem Nutzer, bzw. dessen Gerät zuordnen zu können. Vorbehaltlich individueller Angaben zu den Anbietern von Cookie-Management-Diensten, gelten die folgenden Hinweise: Die Dauer der Speicherung der Einwilligung kann bis zu zwei Jahren betragen. Hierbei wird ein pseudonymer Nutzer-Identifikator gebildet und mit dem Zeitpunkt der Einwilligung, Angaben zur Reichweite der Einwilligung (z. B. welche Kategorien von Cookies und/oder Diensteanbieter) sowie dem Browser, System und verwendeten Endgerät gespeichert. • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).
Weitere verarbeitete Datenarten, betroffene Personen, Zwecke der Verarbeitung, Rechtsgrundlage und eingesetzte Dienste/Diensteanbieter nach Funktion a) Bereitstellung des Onlineangebotes und Webhosting • Verarbeitete Datenarten: Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Content Delivery Network (CDN). • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Amazon Web Services (AWS): Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z.B. Speicherplatz und/oder Rechenkapazitäten); Dienstanbieter: Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA; Website: https://aws.amazon.com/de/; Datenschutzerklärung: https://aws.amazon.com/de/privacy/?nc1=f_pr. • Mailjet: Der E-Mail-Versand erfolgt über den Dienstleister Mailjet (SAS Mailjet, 13-13bis, Rue de l’Aubrac, 75012 Paris, Frankreich). Ihre Daten werden auf den Servern von Mailjet in der EU gespeichert. Mailjet kann Ihre Daten zur Qualitätssicherung und zur Qualitätsverbesserung des eigenen Services auswerten. Die Verwendung Ihrer Daten erfolgt hierbei in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer. Es gilt die Datenschutzrichtlinie von Mailjet: https://www.mailjet.de/privacy-policy/.
b) Registrierung, Anmeldung und Nutzerkonto • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Erbringung vertragliche Leistungen und Kundenservice, Sicherheitsmaßnahmen, Verwaltung und Beantwortung von Anfragen. • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).
c) Community Funktionen • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Erbringung vertragliche Leistungen und Kundenservice, Sicherheitsmaßnahmen. • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).
d) Single-Sign-On-Anmeldung • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Erbringung vertragliche Leistungen und Kundenservice, Anmeldeverfahren. • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Google Single-Sign-On: Authentifizierungsdienst; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://www.google.de; Datenschutzerklärung: https://policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Einstellungen für die Darstellung von Werbeeinblendungen: https://adssettings.google.com/authenticated. • Linkedin Single-Sign-On: Authentifizierungsdienst; Dienstanbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; Website: https://www.linkedin.com; Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy
e) Kontaktaufnahme Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist. Die Beantwortung der Kontaktanfragen im Rahmen von vertraglichen oder vorvertraglichen Beziehungen erfolgt zur Erfüllung unserer vertraglichen Pflichten oder zur Beantwortung von (vor)vertraglichen Anfragen und im Übrigen auf Grundlage der berechtigten Interessen an der Beantwortung der Anfragen. • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Kommunikationspartner. • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation. • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Stonly: Für das Support-System nutzen wir Stonly. Adresse: 36 rue Chaptal, 92300 Levallois, France. Website: https://stonly.com/. Informationen zum Umgang mit Nutzerdaten finden Sie in der entsprechenden Datenschutzerklärung: https://stonly.com/privacy
f) Chatbots und Chatfunktionen • Verarbeitete Datenarten: Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Kommunikationspartner. • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation, Direktmarketing (z.B. per E-Mail oder postalisch). • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • PubNub: Für das plattform-interne Nachrichten-System für die Kommunikation zwischen Nutzern nutzen wir die Dienste von PubNub. Adresse: PubNub, 60 Francisco Street, San Francisco, CA 94133, USA. Website: https://www.pubnub.com. Informationen zum Umgang mit Nutzerdaten finden Sie in der entsprechenden Datenschutzerklärung: https://www.pubnub.com/legal/privacy-policy/
g) Videokonferenzen, Onlinemeetings, Webinare und Bildschirm-Sharing • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Kommunikationspartner, Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Erbringung vertragliche Leistungen und Kundenservice, Kontaktanfragen und Kommunikation, Büro- und Organisationsverfahren. • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Zoom: Videokonferenzen, Webkonferenzen und Webinare; Dienstanbieter: Zoom Video Communications, Inc., 55 Almaden Blvd., Suite 600, San Jose, CA 95113, USA; Website: https://zoom.us; Datenschutzerklärung: https://zoom.us/docs/de-de/privacy-and-legal.html; Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung in Drittländern): https://zoom.us/docs/de-de/privacy-and-legal.html (Bezeichnet als Globale DPA). • Jitsi: Für die Bereitstellung von Video-Konferenzen innerhalb der Plattform nutzen wir die Dienste von Jitsi . Adresse: 8x8, Inc. 675 Creekside Way, Campbell, CA 95008 Website: https://jitsi.org. Informationen zum Umgang mit Nutzerdaten finden Sie in der entsprechenden Datenschutzerklärung: https://jitsi.org/meet-jit-si-privacy/.
h) Cloud-Dienste • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Kommunikationspartner. • Zwecke der Verarbeitung: Büro- und Organisationsverfahren. • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Google Cloud-Dienste: Cloud-Speicher-Dienste; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://cloud.google.com/; Datenschutzerklärung: https://www.google.com/policies/privacy, Sicherheitshinweise: https://cloud.google.com/security/privacy; Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung in Drittländern): https://cloud.google.com/terms/data-processing-terms; https://cloud.google.com/terms/data-processing-terms.
i) Webanalyse, Monitoring und Optimierung • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher), Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen), Klickverfolgung, Feedback (z.B. Sammeln von Feedback via Online-Formular), Heatmaps (Mausbewegungen seitens der Nutzer, die zu einem Gesamtbild zusammengefasst werden.), Umfragen und Fragebögen (z.B. Umfragen mit Eingabemöglichkeiten, Multiple-Choice-Fragen), Marketing. • Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse). • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Google Analytics: Reichweitenmessung und Webanalyse; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://marketingplatform.google.com/intl/de/about/analytics/; Datenschutzerklärung: https://policies.google.com/privacy. • Google Tag Manager: Google Tag Manager ist eine Lösung, mit der wir sog. Website-Tags über eine Oberfläche verwalten und so andere Dienste in unser Onlineangebot einbinden können (hierzu wird auf weitere Angaben in dieser Datenschutzerklärung verwiesen). Mit dem Tag Manager selbst (welches die Tags implementiert) werden daher z. B. noch keine Profile der Nutzer erstellt oder Cookies gespeichert. Google erfährt lediglich die IP-Adresse des Nutzers, was notwendig ist, um den Google Tag Manager auszuführen. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://marketingplatform.google.com; Datenschutzerklärung: https://policies.google.com/privacy.
j) Plugins und eingebettete Funktionen sowie Inhalte • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen), Event-Daten (Facebook), Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Erbringung vertragliche Leistungen und Kundenservice, Marketing, Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen). • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO). Eingesetzte Dienste und Diensteanbieter: • Facebook-Plugins und -Inhalte: Facebook Social Plugins und Inhalte - Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer Inhalte dieses Onlineangebotes innerhalb von Facebook teilen können. Die Liste und das Aussehen der Facebook Social Plugins können hier eingesehen werden: https://developers.facebook.com/docs/plugins/; Dienstanbieter: Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland, Mutterunternehmen: Facebook, 1 Hacker Way, Menlo Park, CA 94025, USA; Website: https://www.facebook.com; Datenschutzerklärung: https://www.facebook.com/about/privacy; Widerspruchsmöglichkeit (Opt-Out): Einstellungen für Werbeanzeigen: https://www.facebook.com/settings?tab=ads. • Google Maps APIs und SDKs: Schnittstellen zu den Karten- und Standortdiensten von Google, die z. B. eine Ergänzung von Adresseneingaben, Standortbestimmungen, Entfernungsberechnungen oder Bereitstellung von ergänzenden Informationen zu Stand- und sonstigen Orten erlauben; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://cloud.google.com/maps-platform; Datenschutzerklärung: https://policies.google.com/privacy. • LinkedIn-Plugins und -Inhalte: LinkedIn-Plugins und -Inhalte- Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer Inhalte dieses Onlineangebotes innerhalb von LinkedIn teilen können. Dienstanbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; Website: https://www.linkedin.com; Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy; Widerspruchsmöglichkeit (Opt-Out): https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out. • Twitter-Plugins und -Inhalte: Twitter Plugins und -Schaltflächen - Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer Inhalte dieses Onlineangebotes innerhalb von Twitter teilen können. Dienstanbieter: Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Irland, Mutterunternehmen: Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA; Website: https://twitter.com/de; Datenschutzerklärung: https://twitter.com/de/privacy. • YouTube-Videos: Videoinhalte; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://www.youtube.com; Datenschutzerklärung: https://policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Opt-Out-Plugin: https://tools.google.com/dlpage/gaoptout?hl=de, Einstellungen für die Darstellung von Werbeeinblendungen: https://adssettings.google.com/authenticated. • Xing Plugins und -Schaltflächen: Xing Plugins und -Schaltflächen - Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer Inhalte dieses Onlineangebotes innerhalb von Xing teilen können. Dienstanbieter: XING AG, Dammtorstraße 29-32, 20354 Hamburg, Deutschland; Website: https://www.xing.com; Datenschutzerklärung: https://privacy.xing.com/de/datenschutzerklaerung. • Vimeo: Videoinhalte; Dienstanbieter: Vimeo Inc., Attention: Legal Department, 555 West 18th Street New York, New York 10011, USA; Website: https://vimeo.com; Datenschutzerklärung: https://vimeo.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Wir weisen darauf hin, dass Vimeo Google Analytics einsetzen kann und verweisen hierzu auf die Datenschutzerklärung (https://policies.google.com/privacy) sowie die Opt-Out-Möglichkeiten für Google-Analytics (https://tools.google.com/dlpage/gaoptout?hl=de) oder die Einstellungen von Google für die Datennutzung zu Marketingzwecken (https://adssettings.google.com/).
k) Management, Organisation und Hilfswerkzeuge • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Kommunikationspartner, Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Büro- und Organisationsverfahren. • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • calendly: Online Terminplanung; Dienstanbieter: Calendly LLC., 271 17th St NW, Ste 1000, Atlanta, Georgia, 30363, USA; Website: https://calendly.com/de; Datenschutzerklärung: https://calendly.com/pages/privacy. • Jira: Webanwendung zur Fehlerverwaltung, Problembehandlung und operativem Projektmanagement; Dienstanbieter: Atlassian Inc. (San Francisco, Harrison Street Location), 1098 Harrison Street, San Francisco, California 94103, USA; Website: https://www.atlassian.com/software/jira; Datenschutzerklärung: https://www.atlassian.com/legal/privacy-policy. • MapTiler: Wir nutzen die Dienste von MapTiler, um Karten anzuzeigen. Adresse: MapTiler AG, Höfnerstrasse 98, 6314 Unterägeri, Schweiz. Weitere Informationen über den Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von MapTiler: https://www.maptiler.com/privacy-policy/ • DeepL: Für die automatische Übersetzung von Plattform-Inhalten nutzen wir die Dienste von DeepL. Adresse: DeepL GmbH, Maarweg 165, 50825 Köln. Website: https://www.deepl.com/. Informationen zum Umgang mit Nutzerdaten finden Sie in der entsprechenden Datenschutzerklärung: https://www.deepl.com/en/privacy/.
l) Präsenzen in sozialen Netzwerken (Social Media) • Verarbeitete Datenarten: Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation, Feedback (z.B. Sammeln von Feedback via Online-Formular), Marketing. • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • LinkedIn: Soziales Netzwerk; Dienstanbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; Website: https://www.linkedin.com; Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy; Widerspruchsmöglichkeit (Opt-Out): https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out. • YouTube: Soziales Netzwerk und Videoplattform; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Datenschutzerklärung: https://policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): https://adssettings.google.com/authenticated.
m) Newsletter • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Eingaben in Onlineformularen), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen). • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten). • Zwecke der Verarbeitung: Erbringung vertragliche Leistungen und Kundenservice, Feedback (z.B. Sammeln von Feedback via Online-Formular), Sicherheitsmaßnahmen, Verwaltung und Beantwortung von Anfragen. • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO). Eingesetzte Dienste und Diensteanbieter: • „MailChimp“, eine Newsletterversandplattform des US-Anbieters Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000, Atlanta, GA 30308, USA; Datenschutzbestimmungen: mailchimp.com/legal/privacy/.
2. Datenverarbeitung durch die Social Impact gGmbH Verantwortlicher: Social Impact gGmbH, Schiffbauergasse 7, D-14467 Potsdam Kontakt zum Datenschutzbeauftragten: Der Datenschutzbeauftragte der Social Impact gGmbH ist per E-Mail zu erreichen: datenschutz@socialimpact.eu. IITR Datenschutz GmbH, Dr. Sebastian Kraska, Marienplatz 2, D-80331 München Bitte nennen Sie bei der Kontaktaufnahme mit dem Datenschutzbeauftragten das Unternehmen „Social Impact”. Bitte sehen Sie davon ab, Ihrer Anfrage sensible Informationen wie z. B. eine Ausweiskopie beizufügen.

3. Gemeinsame Datenverarbeitung durch Social Impact gGmbH und die Innoloft GmbH Im Zuge der Bereitstellung des Zugangs zur Web-Anwendung unter https://www.kompetenzzentrum-soziale-innovationen.com arbeiten Social Impact gGmbH und die Innoloft GmbH eng zusammen. Dies betrifft auch die Verarbeitung von personenbezogenen Daten, die Ihre Person betreffen. Die Verantwortlichen sind hierbei im nachfolgend beschriebenen Umfang gemeinsam für den Schutz der von ihnen verarbeiteten personenbezogenen Daten verantwortlich (Art. 26 DSGVO) 3.1 Gemeinsame Verantwortliche Verantwortlicher 1: Innoloft GmbH Jülicher Straße 72a, D-52070 Aachen www.innoloft.com

Kontakt Datenschutzbeauftragter Verantwortlicher 1: PROLIANCE GmbH www.datenschutzexperte.de Leopoldstr. 21 80802 München datenschutzbeauftragter@datenschutzexperte.de Bitten nennen Sie bei der Kontaktaufnahme mit der gemeinsamen Anlaufstelle die Innoloft GmbH und das Unternehmen, die Organisation oder die URL der Web-Anwendung, auf welche sich Ihre Anfrage bezieht. Bitte sehen Sie davon ab, Ihrer Anfrage sensible Informationen, wie z. B. eine Ausweiskopie, beizufügen.

Verantwortlicher 2: Social Impact gGmbH Schiffbauergasse 7 14467 Potsdam Kontakt Datenschutzbeauftragter Verantwortlicher 2: Der Datenschutzbeauftragte der Social Impact gGmbH ist per Mail unter datenschutz@socialimpact.eu zu erreichen. IITR Datenschutz GmbH Dr. Sebastian Kraska Marienplatz 2 80331 München

3.2 Gemeinsame Anlaufstelle für betroffene Personen PROLIANCE GmbH www.datenschutzexperte.de Leopoldstr. 21 80802 München datenschutzbeauftragter@datenschutzexperte.de Bitten nennen Sie bei der Kontaktaufnahme mit der gemeinsamen Anlaufstelle die Innoloft GmbH und das Unternehmen, die Organisation oder die URL der Web-Anwendung, auf welche sich Ihre Anfrage bezieht. Bitte sehen Sie davon ab, Ihrer Anfrage sensible Informationen, wie z. B. eine Ausweiskopie, beizufügen.

3.3 Gemeinsame Datenverarbeitung Umfang und Regelung der Gemeinsame Datenverarbeitung Für die Datenverarbeitung im Zusammenhang mit Ihrem Zugang zur Web-Anwendung sind die beiden Verantwortlichen in einem geringen Umfang gemeinsam verantwortlich und haben hierüber eine Vereinbarung nach Art. 26 DSGVO getroffen. Was die beiden Verantwortlichen vereinbart haben, welche Datenverarbeitungen hiervon betroffen sind und welche Pflichten aus der DSGVO die beiden Verantwortlichen jeweils übernehmen, finden Sie nachfolgend. Warum gibt es zwei gemeinsam Verantwortliche? Die unter www.kompetenzzentrum-soziale-innovationen.com aufrufbare Web-Anwendung wurde auf Basis einer von der Innoloft GmbH entwickelten Plattform, Innoloft LoftOS, bereitgestellt. Die Plattform verbindet die Entwicklung und das Hosting von Web-Anwendungen mit Funktionen einer Social Media Plattform. Einer der Hauptanwendungsfälle ist die Erstellung von Kommunikations- und Informationsplattformen. Eine Funktion von LoftOS ist das Innoloft Ecosystem. Dieses umfasst gewisse Vernetzungs- und Kommunikationsfunktionen. Nutzer können sich dadurch mit denselben Zugangsdaten an jeder mit LoftOS erstellten Anwendung anmelden, dort ihr einheitliches Profil verwalten und über Anwendungen hinweg mit allen Betreibern der Web-Anwendungen und anderen Nutzern kommunizieren. Um diese Grundfunktionen des Innoloft Ecosystems bereitzustellen, werden die hierfür erforderlichen Nutzerdaten durch die Innoloft GmbH (Verantwortlicher 1) und den Betreiber der Web-Anwendung (Verantwortlicher 2) zum gemeinsamen Zweck und im gemeinsamen Interesse verarbeitet. Insoweit sind die Innoloft GmbH und der Betreiber der Web-Anwendung im nachfolgend dargestellten Umfang gemeinsam für die Datenverarbeitung verantwortlich. Was haben die Verantwortlichen vereinbart? Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben Social Impact gGmbH und die Innoloft GmbH in einer schriftlichen Vereinbarung festgehalten, wen von ihnen welche datenschutzrechtlichen Pflichten treffen und wer von ihnen welche Pflichten erfüllt. Insbesondere haben die Verantwortlichen eine Vereinbarung darüber getroffen, wer in welcher Weise für die Wahrnehmung von Betroffenenrechten nach Art. 15-22 DSGVO sowie für die Erfüllung von Informationspflichten gem. Art. 12-14 DSGVO zuständig ist.

Für welche Verarbeitungsvorgänge besteht eine gemeinsame Verantwortlichkeit? In der nachfolgenden Auflistung finden Sie weitere Angaben zum Umfang der gemeinsamen Datenverarbeitung, zu den verarbeiteten Datenkategorien, dem Kreis der betroffenen Personen sowie der Rechtsgrundlage der Datenverarbeitung. Beschreibung Verarbeitungstätigkeit: Bereitstellung des Authentisierungs- und Anmeldesystems des Innoloft LoftOS Verantwortliche Parteien: Verantwortlicher zu 1; Verantwortlicher zu 2 Verarbeitete Datenkategorien: Login-Daten des Nutzers (E-Mail-Adresse, Passwort, IP-Adresse, Protokolldaten) Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Zwecke und Rechtsgrundlagen: Ermöglichen der Anmeldung von Nutzern an Anwendungen im Innoloft LoftOS. Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. b DSGVO Beschreibung Verarbeitungstätigkeit: Bereitstellung des Nutzerprofils im Innoloft LoftOS Verantwortliche Parteien: Verantwortlicher zu 1; Verantwortlicher zu 2 Verarbeitete Datenkategorien: Angaben im Nutzerprofil (Vorname, Nachname, Profilbild, Jobtitel, Unternehmen, Interessen, Biografie) Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Zwecke und Rechtsgrundlagen: Darstellung des Nutzers als Mitglied einer Anwendung im Innoloft LoftOS. Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. b DSGVO Beschreibung Verarbeitungstätigkeit: Bereitstellung der Interaktions-, Kommunikations- und Vernetzungsfunktionen des Innoloft Ecosystem für Anwendungen des Verantwortlichen 2 im Innoloft LoftOS und den Nutzer dieser Anwendungen Verantwortliche Parteien: Verantwortlicher zu 1; Verantwortlicher zu 2 Verarbeitete Datenkategorien: Nutzerdaten (Vorname, Nachname, Profilbild) Nutzungsdaten (IP-Adresse, Datum und Uhrzeit), Status der Mitgliedschaft des Nutzers an einer Anwendung, Daten zur Art der Interaktion des Nutzers mit Inhalten der Anwendung, Inhaltsdaten (Chat-, Nachrichten) Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Zwecke und Rechtsgrundlagen: Ermöglichen der Vernetzung und Interaktion des Nutzers mit Anwendung des Verantwortlichen 2 und anderen Anwendungen. Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. b DSGVO Beschreibung Verarbeitungstätigkeit: Monitoring der Systemstabilität und Fehleranalyse mittels Sentry Verantwortliche Parteien: Verantwortlicher zu 1; Verantwortlicher zu 2 Verarbeitete Datenkategorien: Nutzer-ID, Browserinformationen, URL, auslösender Fehlercode Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Zwecke und Rechtsgrundlagen: Überwachung der Stabilität der Funktionen des Innoloft LoftOS, des Innoloft Ecosystems und der Anwendungen des Verantwortlichen 2 zum Zweck der Fehleranalyse und Fehlerbehebung. Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. b DSGVO Die verarbeiteten Daten werden so lange im Innoloft LoftOS gespeichert, wie dies für die genannten Datenverarbeitungen erforderlich ist. Regelmäßig ist dies so lange, wie ein Zugang des Nutzers der Web-Anwendung bzw. wie dessen Nutzerprofil besteht.

Folgende Auftragsverarbeiter werden im Rahmen der Gemeinsamen Verantwortlichkeit eingesetzt. Dienst-, Auftragsverarbeiter (Name, Anschrift, Land): Google Cloud EMEA Limited, Velasco, Clanwilliam Place, Dublin 2, Ireland Beschreibung der Verarbeitungstätigkeit: Addressvervollständigung beim Einfügen einer Adresse im Organisationsprofil Verarbeitete Datenkategorien: IP-Adresse, Adresse Kreis der Betroffenen: Serverstandort: EU Garantien zur Gewährleistung eines angemessenen Schutzniveaus: Standarddatenschutzklauseln (SCC) und ergänzende Maßnahmen; Zertifizierung nach EU-US-Data-Privacy-Framework (Google LLC) Dienst-, Auftragsverarbeiter (Name, Anschrift, Land): Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105 Beschreibung der Verarbeitungstätigkeit: Monitoring der Systemstabilität und Funktionsfähigkeit der Anwendungen im Innoloft LoftOS Verarbeitete Datenkategorien: Nutzer-ID, Browserinformationen, URL, auslösender Fehlercode Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Serverstandort: Iowa, USA Garantien zur Gewährleistung eines angemessenen Schutzniveaus: Standarddatenschutzklauseln (SCC) und ergänzende Maßnahmen; Zertifizierung nach EU-US-Data-Privacy-Framework Dienst-, Auftragsverarbeiter (Name, Anschrift, Land): PubNub Inc., 50 Francisco Street, Ste 100, San Francisco, CA 94133 USA Beschreibung der Verarbeitungstätigkeit: Messenger-System auf der Plattform Verarbeitete Datenkategorien: IP-Adresse, Chat-Nachrichten Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Serverstandort: EU Garantien zur Gewährleistung eines angemessenen Schutzniveaus: Standarddatenschutzklauseln (SCC) und ergänzende Maßnahmen; Zertifizierung nach EU-US-Data-Privacy-Framework Dienst-, Auftragsverarbeiter (Name, Anschrift, Land): Sinch AB, Lin­dhagensgatan 74 Stockholm, 112­ 18 Sweden Beschreibung der Verarbeitungstätigkeit: Versand System-Mails in Bezug auf die Authentifizierung und Anmeldung am LoftOS System Verarbeitete Datenkategorien: E-Mail-Adresse, Vorname, Nachname Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Serverstandort: EU Garantien zur Gewährleistung eines angemessenen Schutzniveaus: Nicht benötigt da EU-Unternehmen Dienst-, Auftragsverarbeiter (Name, Anschrift, Land): DeepL GmbH, Maarweg 165, 50825 Cologne Beschreibung der Verarbeitungstätigkeit: Übersetzung hinsichtlich der Angaben des Nutzerprofils Angaben im Nutzerprofil (Biografie) Verarbeitete Datenkategorien: Nutzerdaten (Vorname, Nachname, Profilbild) Kreis der Betroffenen: Nutzer des Innoloft LoftOS und des Innoloft Ecosystems Serverstandort: Finnland Garantien zur Gewährleistung eines angemessenen Schutzniveaus: Nicht benötigt da EU-Unternehmen

Außerhalb der vorstehend aufgeführten Verarbeitungsvorgänge erfolgt die (Weiter-) Verarbeitung von personenbezogenen Daten jeweils in getrennter Verantwortlichkeit durch Verantwortlicher 2 - siehe “Datenschutzinformation Eigenständige Verantwortlichkeit”. Wer übernimmt welche Pflichten nach der DSGVO und was bedeutet das für Sie als betroffene Person? Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben Verantwortlicher 1 und 2 vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt und dies in einer schriftlichen Vereinbarung festgelegt: Pflichten nach der DSGVO: Art 5 und 6 DSGVO (Einhaltung der Datenschutzgrundsätze und Vorliegen einer Rechtsgrundlage) Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Ja Pflichten nach der DSGVO: Art. 26 Abs. 1: Transparente Festlegung in einer Vereinbarung, wer welche Pflicht nach dieser Verordnung erfüllt. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam verantwortlichen Parteien gegenüber den betroffenen Personen entsprechend widerspiegeln. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Ja Pflichten nach der DSGVO: Art. 26 Abs. 1: Angaben über die Anlaufstelle für betroffene Personen. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 26 Abs. 2: Der wesentliche Inhalt der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 27: Schriftliche Benennung eines EU-Vertreters, wenn eine verantwortliche Partei nicht in der EU niedergelassen ist. Innoloft GmbH (Verantwortlicher 1): Nein Social Impact gGmbH (Verantwortlicher 2): Ja Pflichten nach der DSGVO: Art. 13: Informationspflichten bei der Erhebung personenbezogener Daten. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 14: Informationspflichten, soweit personenbezogene Daten nicht bei der betroffenen Person erhoben wurden. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 15: Umsetzung von Anfragen betreffend das Auskunftsrechts der betroffenen Person. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 16: Umsetzung von Anfragen betreffend das Recht auf Berichtigung. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 17 bzw. 18: Umsetzung von Anfragen betreffend das Recht auf Löschung oder Einschränkung der Verarbeitung, einschließlich Art. 19, Mitteilung der Pflicht zur Löschung. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 20: Umsetzung von Anfragen betreffend das Recht auf Datenübertragbarkeit. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 21: Umsetzung von Anfragen betreffend das Widerspruchsrecht. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 24 Abs. 1 i.V.m. Art. 32: Festlegung von technischen und organisatorischen Maßnahmen zur Risikobeurteilung und gegebenenfalls zur Datenschutz-Folgenabschätzung (Art. 35) und Beratung mit einer Aufsichtsbehörde/Übergabe wichtiger Informationen (Art. 36 Abs. 3). Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 24 Abs. 1: Dokumentation der Auswahl der technischen und organisatorischen Maßnahmen (als Nachweis). Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 24 Abs. 1: Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 28 DSGVO: Auswahl und Überwachung von Auftragsverarbeitern und Abschluss von entsprechenden Verträgen Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 30: Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Ja Pflichten nach der DSGVO: Art. 32 DSGVO: Datensicherheit Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Nein Pflichten nach der DSGVO: Art. 33, 34: Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Innoloft GmbH (Verantwortlicher 1): Ja Social Impact gGmbH (Verantwortlicher 2): Ja

3.4 Ihre Rechte Im Folgenden finden Sie Informationen dazu, welche Betroffenenrechte das geltende Datenschutzrecht Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gewährt: Das Recht, gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen. Das Recht, gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Das Recht, gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Das Recht, gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben. Das Recht, gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. Das Recht, sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde des Bundeslandes unseres oben angegebenen Sitzes oder ggf. die Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden. Das Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen, sofern eine weitere Verarbeitung nicht auf eine Rechtsgrundlage zur einwilligungslosen Verarbeitung gestützt werden kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Widerspruchsrecht Sofern Ihre personenbezogenen Daten von uns auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dies aus Gründen erfolgt, die sich aus Ihrer besonderen Situation ergeben. Soweit sich der Widerspruch gegen die Verarbeitung personenbezogener Daten zum Zwecke von Direktwerbung richtet, haben Sie ein generelles Widerspruchsrecht ohne das Erfordernis der Angabe einer besonderen Situation. Ungeachtet der obigen Regelungen dazu, welcher der beiden gemeinsam Verantwortlichen für die Wahrnehmung der Betroffenenrechte nach Art. 15 bis 22 DSGVO zuständig sind, können Sie Ihre Rechte bei beiden Verantwortlichen oder der gemeinsamen Anlaufstelle für betroffene Personen unter den zuvor genannten Kontaktdaten geltend machen. Bitten nennen Sie bei der Kontaktaufnahme mit der gemeinsamen Anlaufstelle die Innoloft GmbH und das Unternehmen, die Organisation oder die URL der Web-Anwendung, auf welche sich Ihre Anfrage bezieht. Bitte sehen Sie davon ab, Ihrer Anfrage sensible Informationen, wie z. B. eine Ausweiskopie, beizufügen.

Card
Das Kompetenzzentrum für Soziale Innovationen Deutschland wird gestaltet von CSI - Centrum für Soziale Investitionen und Innovationen der Universität Heidelberg, Deutscher Gewerkschaftsbund Niedersachsen, Diakonie Deutschland, Diakonisches Werk Schleswig-Holstein, FASE - Finanzierungsagentur für Social Entrepreneurship GmbH, IAT - Institut Arbeit und Technik der Universität Gelsenkirchen, MWAEK - Ministerium für Wirtschaft, Arbeit, Energie und Klimaschutz des Landes Brandenburg, SAP SE, SEND - Social Entrepreneurship Deutschland e.V., TU Dortmund und Wider Sense TraFo gGmbH. Die Leitung übernimmt die Social Impact gGmbH. Das Kompetenzzentrum für Soziale Innovationen Deutschland wird kofinanziert durch die Europäische Union im Rahmen der ESF+ Social Innovation+ Initiative.

  • Create Events

  • Basic analytics

  • Up to 1,000 subscribers

  • Create Events