In Hannover, Braunschweig, Hildesheim, Celle, Wunstorf und vielen weitern Orten im Umkreis von 50 km

Facebook Twitter Youtube
0511 459 08 22

Datenschutzerklärung

Gültig für: apd-hannover.de · Betreiber: APD – Ambulantes Pflegemanagement Deutschland GmbH

 

1. Verantwortlicher

APD – Ambulantes Pflegemanagement Deutschland GmbH
Vahrenwalder Straße 288, 30179 Hannover
Telefon: +49 511 4590822
E‑Mail: info@apd-hannover.de

 

2. Datenschutzbeauftragter

Andreas Wellmann
E‑Mail: dsp@wellmann-it.de

Postanschrift für Datenschutzanliegen:
APD – Ambulantes Pflegemanagement Deutschland GmbH
z. Hd. Datenschutzbeauftragter
Vahrenwalder Straße 288
30179 Hannover

 

3. Hosting, E-Mail & technische Dienstleister

3.1 Beteiligte Dienstleister

  • Webhosting: Raidboxes (EU)
  • Domain & E-Mail: IONOS (EU)

3.2 Gegenstand der Verarbeitung

Die genannten Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten, die für den technischen Betrieb dieser Website und die Kommunikation erforderlich sind, insbesondere:

  • Nutzungs- und Metadaten beim Webseitenaufruf (z. B. IP-Adresse, Zeitstempel, angeforderte Inhalte, technische Header-Informationen)
  • Kommunikationsdaten beim E-Mail-Versand/-Empfang (Absender/Empfänger, Zeitpunkte, technische Übertragungsdaten, Inhalte)
  • Administrationsdaten im Rahmen von Betrieb/Wartung (z. B. Protokolle über Systemereignisse)
    Details zu Server-Logfiles siehe Abschnitt 4.

3.3 Zwecke der Verarbeitung durch die Dienstleister

  • Betrieb & Auslieferung der Website (Hosting, Webserver, TLS/SSL)
  • Sicherheit & Stabilität (Fehleranalyse, Angriffserkennung, Verfügbarkeits-/Leistungsüberwachung)
  • Kommunikation per E-Mail (Transport, Postfächer, Spam-/Malware-Filter)
  • Administration & Wartung (z. B. Updates, Sicherungskopien/Backups)

3.4 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, stabiler, effizienter Bereitstellung)
  • Art. 6 Abs. 1 lit. b DSGVO (Kommunikation zur (vor-)vertraglichen Anbahnung/Durchführung)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. IT-Sicherheit/Aufbewahrung)

3.5 Auftragsverarbeitung & Weisungsbindung

Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Die Verarbeitung erfolgt weisungsgebunden, zweckgebunden und unter Einsatz geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO).

3.6 Speicherort & Datenübermittlung

Die Verarbeitung erfolgt innerhalb der EU/des EWR. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt. Sofern dies ausnahmsweise erforderlich wäre (z. B. im Support-Einzelfall), setzen wir geeignete Garantien gem. Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) ein; vgl. Abschnitt 12.

3.7 Backups & Wiederherstellung

Zur Gewährleistung der Verfügbarkeit können die Dienstleister verschlüsselte Sicherungskopien (Backups) erstellen und für kurze, betrieblich erforderliche Zyklen speichern. Backups dienen ausschließlich der Wiederherstellung nach technischen Störungen oder Sicherheitsvorfällen.

 

4. Bereitstellung der Website (Server-Logfiles)

4.1 Verarbeitete Daten

IP-Adresse des anfragenden Endgeräts, Datum/Uhrzeit und Zeitzone, angeforderte URL/Datei und HTTP-Methode, Referrer-URL, User-Agent (Browser, Betriebssystem, Gerät), HTTP-Statuscode, übertragene Datenmenge, Antwortzeit sowie systembezogene Ereignisse (z. B. Fehlermeldungen, Firewall-/Rate-Limiting-Treffer).

4.2 Zwecke

Bereitstellung und Auslieferung der Website, Aufrechterhaltung von Stabilität und Performance, Gewährleistung der IT-Sicherheit (Erkennung/Abwehr von Angriffen, Missbrauchs- und Betrugsprävention), Fehleranalyse sowie Beweissicherung im Incident-Fall.

4.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen und effizienten Betrieb dieser Website).

4.4 Speicherdauer

In der Regel 7–14 Tage; eine längere Speicherung erfolgt nur anlassbezogen (z. B. zur Aufklärung konkreter Sicherheitsvorfälle). Statistische Auswertungen können in aggregierter, nicht personenbezogener Form länger vorgehalten werden.

4.5 Empfänger

Unser Hosting-Dienstleister (Auftragsverarbeiter) sowie intern ausschließlich befugte Administrator:innen. Es findet keine Weitergabe zu Marketingzwecken statt und keine Profilbildung; eine Zusammenführung der Logdaten mit anderen Datenbeständen erfolgt nicht.

4.6 Erforderlichkeit

Die Verarbeitung der genannten Logdaten ist für Betrieb, Sicherheit und Fehlerbehebung der Website technisch erforderlich; ohne diese Verarbeitung kann die Website nicht zuverlässig bereitgestellt werden.

 

5. Kontaktaufnahme (Telefon, E-Mail, Kontaktformular)

5.1 Verarbeitete Daten

Name, Kontaktdaten (z. B. Telefon, E-Mail), Betreff/Anliegen, Freitextnachricht sowie – beim Web-Formular – technische Metadaten (u. a. IP-Adresse, Datum/Uhrzeit, User-Agent) und ggf. Anhänge.

5.2 Zwecke

Bearbeitung und Beantwortung Ihrer Anfrage, Rückfragen, Terminabstimmung, interne Dokumentation sowie – soweit einschlägig – Vorbereitung/Durchführung vertraglicher Leistungen.

5.3 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (vor-/vertragliche Kommunikation)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Bearbeitung von Anfragen)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Aufbewahrung)
  • Art. 6 Abs. 1 lit. a DSGVO nur, wenn wir ausnahmsweise eine Einwilligung einholen (z. B. für bestimmte optionale Zwecke); Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

5.4 Speicherdauer

Bis zur abschließenden Bearbeitung; darüber hinaus gemäß gesetzlichen Aufbewahrungsfristen. Soweit erforderlich, können Daten zur Geltendmachung/Abwehr von Rechtsansprüchen bis zum Ablauf der regelmäßigen Verjährungsfrist (regelmäßig bis zu 3 Jahre, § 195 BGB) gespeichert werden.

5.5 Sensible Daten (Gesundheitsdaten)

Bitte keine Gesundheitsdaten (Art. 9 DSGVO) über das Web-Formular oder unverschlüsselt per E-Mail übermitteln. Erhalten wir ausnahmsweise solche Angaben, verarbeiten wir sie ausschließlich, soweit erforderlich, auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG bzw. aufgrund ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Weitere Informationen siehe Abschnitt 9.

5.6 Empfänger

  • Intern: ausschließlich befugte Stellen.
  • Extern: unsere Hosting-/IT-Dienstleister (Betrieb des Formulars, E-Mail-Transport/Pflege der Postfächer) als Auftragsverarbeiter nach Art. 28 DSGVO. Eine Weitergabe zu Marketingzwecken findet nicht statt.

5.7 Pflichtangaben & Erforderlichkeit

Pflichtfelder sind im Formular gekennzeichnet. Ohne die als erforderlich bezeichneten Angaben kann Ihre Anfrage ggf. nicht bearbeitet werden.

5.8 Sicherheit der Kommunikation

Formulardaten werden per TLS/SSL transportverschlüsselt übermittelt. E-Mails sind im Standardfall nicht Ende-zu-Ende-verschlüsselt; senden Sie daher bitte keine vertraulichen Gesundheitsdaten per E-Mail. Für sensible Inhalte nutzen wir nach Abstimmung geeignete sichere Kanäle.

 

6. Bewerbungen (Website, E-Mail, Post)

6.1 Verarbeitete Daten

Stammdaten (Name, Kontaktdaten), Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse, Qualifikations-/Nachweisunterlagen), organisatorische Vermerke, Kommunikationsinhalte sowie – bei Online-Formularen – technische Metadaten (z. B. IP-Adresse, Datum/Uhrzeit, User-Agent).

Hinweis: Angaben zu besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Religionszugehörigkeit) werden nicht angefordert.

Bewerbungen über Plattformen Dritter: Sofern Sie sich über externe Portale (z. B. Jobbörsen/soziale Netzwerke) bewerben, gelten zusätzlich die Datenschutzhinweise des jeweiligen Anbieters. Wir verarbeiten die uns hierüber übermittelten Daten ausschließlich zum Zweck des Bewerbungsverfahrens.

6.2 Zwecke

Prüfung der Eignung und Auswahl von Bewerber:innen, Durchführung des Bewerbungsverfahrens, Terminabstimmungen, Dokumentation der Entscheidung, ggf. Erstattung von Reisekosten. Mit gesonderter Einwilligung: Aufnahme in einen Talentpool für spätere Kontakte.

6.3 Rechtsgrundlagen

  • § 26 Abs. 1 BDSG (Anbahnung eines Beschäftigungsverhältnisses)
  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Nachweis-/Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. a DSGVO für optionale Zwecke (z. B. Talentpool-Einwilligung; widerruflich)

6.4 Speicherdauer

  • Nicht eingestellte Bewerbungen: Löschung i. d. R. 6 Monate nach Abschluss des Verfahrens (Beweissicherung nach AGG).
  • Talentpool: Weitergabe/Speicherung nur auf Basis ausdrücklicher Einwilligung, i. d. R. 12 Monate; Widerruf jederzeit möglich.
  • Einstellung: Verarbeitung in der Personalakte; es gelten die gesetzlichen Aufbewahrungsfristen.

6.5 Empfänger

  • Intern: Personalverantwortliche, Entscheidungsträger:innen der Fachabteilung, ggf. Geschäftsführung – jeweils nur soweit erforderlich.
  • Extern: IT-/Hosting-Dienstleister (z. B. für E-Mail/Website) im Rahmen der Auftragsverarbeitung (Art. 28 DSGVO). Eine Weitergabe an sonstige Dritte erfolgt nicht.

6.6 Pflichtangaben & Erforderlichkeit

Im Online-Formular sind Pflichtfelder gekennzeichnet. Ohne die erforderlichen Angaben kann die Bewerbung nicht bearbeitet werden.

6.7 Kommunikationssicherheit

Formularübermittlungen sind per TLS/SSL verschlüsselt. E-Mails sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Für sensible Inhalte bieten wir auf Wunsch sichere Übermittlungswege an.

6.8 Keine automatisierte Entscheidung

Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

 

7. Cookies & vergleichbare Technologien

7.1 Was wir einsetzen

Wir verwenden ausschließlich technisch notwendige Cookies bzw. vergleichbare lokale Speichertechnologien, die für Betrieb, Sicherheit und Darstellung der Website erforderlich sind (z. B. Sitzungs-/CSRF-Cookies, Load-Balancing, Fehlerprävention).

7.2 Was wir nicht einsetzen

Es werden keine Analyse-, Marketing- oder Profiling-Cookies gesetzt und keine Drittanbieter-Cookies ohne Ihre Einwilligung geladen

7.3 Rechtsgrundlagen

  • § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung/Zugriff auf Endeinrichtungen),
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen, sicheren Website).

7.4 Speicherdauer & Kontrolle

Technisch notwendige Cookies sind in der Regel nur für die jeweilige Sitzung gültig oder werden in kurzen, zweckgebundenen Intervallen gespeichert. Sie können Cookies jederzeit im Browser löschen oder blockieren; ohne technisch notwendige Cookies kann die Website jedoch nicht zuverlässig funktionieren.

7.5 Hinweis zum Login-Bereich (nur für Berechtigte)

Bei der Anmeldung in den redaktionellen Bereichen (WordPress-Backend) setzt das System authentifizierungsbezogene Cookies. Diese betreffen ausschließlich berechtigte Nutzer:innen und sind für die Verwaltung technisch erforderlich.

7.6 Hinweis zum SlimStat Opt-out

Sofern Sie die Reichweitenmessung durch SlimStat deaktivieren, setzen wir ein technisch notwendiges Opt-out-Cookie, das lediglich Ihre Entscheidung speichert und keine weiteren Informationen enthält (vgl. Abschnitt 8.6).

 

8. Reichweitenmessung: SlimStat Analytics

8.1 Verarbeitete Daten

Aufrufzeit, aufgerufene URLs/Referrer (gekürzt), HTTP-Antwortcodes, pseudonymisierte/IP-verkürzte Client-Informationen (z. B. Browser/OS), Sitzungsparameter ohne Endgerätezugriff (keine Cookies/kein LocalStorage), aggregierte Ereignis-/Zählwerte.

8.2 Konfiguration & Schutzmaßnahmen

SlimStat ist so konfiguriert, dass keine Cookies und keine vergleichbaren Speichertechniken auf dem Endgerät eingesetzt werden. IP-Adressen werden verkürzt/pseudonymisiert; es findet keine Profilbildung und keine Wiedererkennung über Websites hinweg statt. Daten werden ausschließlich serverseitig auf unserer Instanz verarbeitet, nicht an Dritte übermittelt.

8.3 Zweck

Technische und inhaltliche Optimierung der Website (z. B. Fehleranalyse, Usability, Bedarfsplanung), Gewährleistung eines stabilen und effizienten Betriebs.

8.4 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an nutzerfreundlicher, effizienter und sicherer Bereitstellung). Da kein Zugriff auf Endgeräteinformationen erfolgt und keine Cookies gesetzt werden, ist § 25 TDDDG nicht einschlägig.

8.5 Speicherdauer & Empfänger

Personenbeziehbare Rohdaten (z. B. IP-Adressen) werden spätestens nach 30 Tagen gelöscht oder anonymisiert. Aggregierte bzw. anonymisierte Auswertungen können wir für bis zu 12 Monate vorhalten, um Nutzungsstatistiken und Jahresvergleiche zu erstellen. Empfänger: ausschließlich wir (intern) sowie unser Hosting-Dienstleister als Auftragsverarbeiter.

8.6 Widerspruchsrecht und Opt-out (SlimStat)

  • Sie haben das Recht, der Verarbeitung Ihrer Daten zu Zwecken der Reichweitenmessung jederzeit zu widersprechen (Art. 21 DSGVO).
  • Wir respektieren den „Do-Not-Track“-Header moderner Browser: Wenn Ihr Browser diesen sendet, werden Ihre Zugriffe nicht in die Reichweitenmessung einbezogen.
  • Zusätzlich können Sie die Reichweitenmessung hier deaktivieren: [Opt-out-Link einfügen]. Damit wird ein technisch erforderlicher Opt-out-Cookie gesetzt, der ausschließlich Ihre Entscheidung speichert und keine weiteren Informationen enthält.

 

9. Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten)

9.1 Grundsatz & Abgrenzung Website

Über die Website erheben wir keine Gesundheitsdaten. Gesundheits- und Sozialdaten verarbeiten wir ausschließlich im Rahmen unserer ambulanten Pflegeleistungen außerhalb der Website.
Hinweis: Hierzu stellen wir Patient:innen, Bewohner:innen sowie deren gesetzlichen Vertreter:innen ein separates Informationsblatt nach Art. 13/14 DSGVO zur Verfügung, das Sie bei Aufnahme erhalten oder auf Anfrage von uns beziehen können.

 

10. Eingebundene Inhalte & Dienste

10.1 Schriftarten (Google Fonts lokal)

Wir stellen Schriftarten lokal von unserem Server bereit. Es werden keine Verbindungen zu Google-Servern aufgebaut und keine personenbezogenen Daten an Google übertragen. Es kommen keine Cookies oder vergleichbare Speichertechniken zum Einsatz; eine Verarbeitung über das hinaus, was in den Server-Logfiles (Abschnitt 4) beschrieben ist, findet nicht statt.

10.2 Weitere Drittinhalte (z. B. Karten, Videos, Social-Widgets)

Derzeit sind keine weiteren externen Inhalte eingebunden. Sofern externe Dienste eingesetzt werden, informieren wir an entsprechender Stelle und holen – soweit erforderlich – zuvor Ihre Einwilligung ein.

 

11. Empfänger & Kategorien von Empfängern

11.1 Interne Empfänger

  • Befugte Mitarbeitende der Bereiche Verwaltung, Pflege/Disposition, IT/Website-Administration (jeweils nach Need-to-know-Prinzip).
  • Zugriff nur im Rahmen der oben beschriebenen Zwecke (z. B. Kommunikation, Website-Betrieb, Bewerbungen).

11.2 Externe Empfänger (Auftragsverarbeiter, Art. 28 DSGVO)

  • Hosting/IT-Betrieb: z. B. Raidboxes (Webserver, Logfiles, Backups).
  • E-Mail/Domain: z. B. IONOS (Mail-Transport, Postfächer, DNS, Spam-/Malware-Filter).
  • Wartung/Support: technisch erforderliche Dienstleister (Systempflege, Fehlersuche, Sicherheitsmaßnahmen).

Auftragsverarbeiter handeln weisungsgebunden, sind vertraglich verpflichtet und setzen geeignete TOM nach Art. 32 DSGVO ein.

11.3 Weitere Empfänger (kein Auftragsverhältnis)

  • Kommunikationspartner:innen im Rahmen der Versorgung (Ärzt:innen/Kliniken/Therapeut:innen, Apotheken/Hilfsmittelversorger, Kranken-/Pflegekassen, Medizinischer Dienst) – nur falls erforderlich und wie in Abschnitt 9 beschrieben.
  • Behörden/Gerichte bei rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
  • Rechtsberatung/Versicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 6 Abs. 1 lit. f DSGVO).

11.4 Keine Weitergabe zu Marketingzwecken

Eine Übermittlung an Dritte zu Werbe-/Marketingzwecken findet nicht statt. Es erfolgt keine Zusammenführung von Nutzungsdaten mit anderen Datenbeständen zur Profilbildung.

11.5 Drittlandbezug

Übermittlungen in Drittländer erfolgen grundsätzlich nicht. Ausnahmen (z. B. beim Einsatz einzelner Dienste) nur unter den in Abschnitt 12 beschriebenen Voraussetzungen und Garantien (Art. 44 ff. DSGVO).

 

12. Drittlandübermittlungen (außerhalb EU/EWR)

12.1 Grundsatz

Die Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR. Eine Übermittlung in Drittländer findet nicht statt, sofern dies für die in dieser Erklärung beschriebenen Zwecke nicht erforderlich ist.

12.2 Fälle mit Drittlandbezug

Ein Drittlandbezug kann entstehen, wenn künftig Dienste eingebunden werden, deren Anbieter ihren Sitz außerhalb der EU/des EWR haben bzw. dort Daten verarbeiten. In diesem Fall informieren wir an entsprechender Stelle und setzen geeignete Garantien ein (vgl. 12.3).

12.3 Rechtsgrundlagen & Garantien (Art. 44 ff. DSGVO)

Für Datentransfers in Drittländer stellen wir sicher, dass ein angemessenes Datenschutzniveau besteht, insbesondere durch:

  • Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework – DPF), oder EU-Standardvertragsklauseln (SCC) mit dem Empfänger sowie ggf. zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Datenminimierung, Zugriffsbeschränkungen).
  • Sofern erforderlich, stützen wir die Verarbeitung zusätzlich auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a i. V. m. Art. 49 Abs. 1 lit. a DSGVO).

12.4 Transparenz & Kopien der Garantien

Auf Anfrage stellen wir zusammenfassende Informationen zu den eingesetzten Garantien (z. B. SCC-Module und Kerninhalte) zur Verfügung. Volltexte können urheber-/vertraulichkeitsbedingt redigiert sein.

12.5 Widerruf & Widerspruch

Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen; die betroffene Funktion steht dann ggf. nicht mehr zur Verfügung. Unabhängig davon können Sie der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (Art. 21 DSGVO), soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.

12.6 Protokollierung von Einwilligungen

Einwilligungen für drittlandbezogene Dienste werden – soweit technisch vorgesehen – protokolliert (Zeitpunkt, Umfang, Endgerät/Session-ID), um Nachweise nach Art. 7 Abs. 1 DSGVO zu ermöglichen.

 

13. Speicherdauer & Löschkonzept

13.1 Grundsatz

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Danach werden Daten gelöscht oder – wo eine Löschung technisch/organisatorisch nicht möglich oder gesetzlich unzulässig ist – gesperrt bzw. anonymisiert. Gesetzliche Aufbewahrungspflichten gehen vor.

13.2 Konkrete Fristen

  • Server-Logfiles: in der Regel 7–14 Tage; längere Aufbewahrung nur anlassbezogen (z. B. zur Vorfallanalyse/Beweissicherung).
  • Kontaktanfragen (Telefon/E-Mail/Formular): bis zur abschließenden Bearbeitung; darüber hinaus zur Rechtsdurchsetzung/-verteidigung bis zum Ablauf der regelmäßigen Verjährung (regelmäßig bis zu 3 Jahre). Soweit Unterlagen handels-/steuerrechtlichen Pflichten unterfallen, gelten 6 Jahre (Geschäftsbriefe) bzw. 10 Jahre (Buchungs-/Abrechnungsbelege).
  • Bewerbungen: i. d. R. 6 Monate nach Abschluss des Verfahrens (AGG-Nachweis). Talentpool nur mit Einwilligung, i. d. R. 12 Monate. Bei Einstellung: Übernahme in die Personalakte; es gelten die gesetzlichen Fristen.
  • SlimStat-Auswertungen: Personenbeziehbare Rohdaten (z. B. IP-Adressen) werden spätestens nach 30 Tagen gelöscht oder anonymisiert. Aggregierte bzw. anonymisierte Auswertungen können wir für bis zu 12 Monate vorhalten, um Nutzungsstatistiken und Jahresvergleiche zu erstellen.
  • E-Mail-Postfächer: Korrespondenz mit Geschäftsbrief-/Belegcharakter nach HGB/AO 6 bzw. 10 Jahre; sonstige Mails nach Zweckfortfall und organisatorischer Postfachbereinigung.
  • Backups (Raidboxes/Systemsicherungen): rollierende, kurzzyklische Aufbewahrung zur Wiederherstellung (Disaster Recovery). Backups dienen ausschließlich der Verfügbarkeit; nach Ablauf des Zyklus automatisierte Überschreibung/Löschung.
  • Einwilligungen/Opt-ins (sofern eingeholt, z. B. für optionale Drittinhalte): Nachweise (Zeitpunkt, Umfang, Session/ID) bis zum Ablauf einschlägiger Verjährungsfristen zur Erfüllung der Nachweispflicht (Art. 7 Abs. 1 DSGVO) bzw. bis Widerruf zuzüglich einer angemessenen Nachweisfrist.

13.3 Dokumentation & sichere Löschung

Löschungen/Sperrungen werden nach einem rollenbasierten Verfahren durchgeführt und – soweit erforderlich – protokolliert. Technische Löschung/Überschreibung erfolgt nach dem Stand der Technik; analoge Unterlagen werden datenschutzgerecht vernichtet.

13.4 Ausnahmen

Soweit gesetzliche Pflichten, behördliche Anordnungen oder Rechtsansprüche einer sofortigen Löschung entgegenstehen, werden Daten bis zur Klärung gesperrt und nur zu diesen Zwecken verarbeitet.

 

14. Pflicht zur Bereitstellung von Daten & Freiwilligkeit

14.1 Grundsatz

Es besteht keine allgemeine gesetzliche Pflicht, beim Besuch der Website personenbezogene Daten bereitzustellen. Bestimmte Verarbeitungen sind jedoch technisch erforderlich, damit die Website bereitgestellt werden kann (vgl. Abschnitt 4 – Server-Logfiles).

14.2 Website-Nutzung

Technisch erforderliche Daten (z. B. Server-Logfiles) sind für Betrieb, Sicherheit und Fehlerbehebung notwendig; ohne diese ist die Nutzung der Website nicht zuverlässig möglich.
Cookies/Storage (nur technisch notwendig): Das Unterbinden kann Funktionen einschränken (vgl. Abschnitt 7).

14.3 Kontaktaufnahme

Angaben in Pflichtfeldern unseres Kontaktformulars sind erforderlich, um Ihr Anliegen zu bearbeiten (vgl. Abschnitt 5).
Ohne ausreichende Kontaktangaben können wir nicht oder nur eingeschränkt antworten.

14.4 Bewerbungen

Für die Bearbeitung einer Bewerbung benötigen wir Mindestangaben (Kontaktdaten, Qualifikationsnachweise; vgl. Abschnitt 6).
Ohne diese kann das Bewerbungsverfahren nicht durchgeführt werden. Angaben zu besonderen Kategorien (z. B. Gesundheitsdaten) bitte nicht unaufgefordert übermitteln; sofern erforderlich, informieren wir gesondert über Zweck und Rechtsgrundlage.

 

15. Ihre Rechte (Betroffenenrechte nach DSGVO)

15.1 Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten sowie über das Bestehen automatisierter Entscheidungen.

15.2 Berichtigung (Art. 16 DSGVO)

Sie können unrichtige personenbezogene Daten berichtigen und unvollständige Daten vervollständigen lassen.

15.3 Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit keine Aufbewahrungspflichten oder überwiegende berechtigte Gründe entgegenstehen.

15.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Verarbeitung einschränken, z. B. für die Dauer einer Prüfphase (Bestreiten der Richtigkeit), bei unrechtmäßiger Verarbeitung oder wenn Sie Widerspruch eingelegt haben.

15.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie erhalten die Sie betreffenden Daten, die Sie uns bereitgestellt haben und die wir auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO oder einer Einwilligung verarbeiten, in einem strukturierten, gängigen und maschinenlesbaren Format; soweit technisch machbar, übermitteln wir diese auf Ihr Verlangen direkt an einen anderen Verantwortlichen.

15.6 Widerspruch (Art. 21 DSGVO)

Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung personenbezogener Daten widersprechen, sofern wir diese auf Art. 6 Abs. 1 lit. f DSGVO stützen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen. (Hinweis: Direktmarketing betreiben wir nicht.)

15.7 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

15.8 Geltendmachung Ihrer Rechte

Richten Sie Ihr Anliegen bitte an die in Abschnitt 1 genannten Kontaktdaten oder an unseren Datenschutzbeauftragten (Abschnitt 2). Aus Sicherheitsgründen können wir eine Identitätsprüfung verlangen (z. B. Rückfrage über bekannte Kontaktkanäle).

15.9 Fristen & Kosten

Wir beantworten Anfragen grundsätzlich innerhalb eines Monats nach Eingang; die Frist kann um weitere zwei Monate verlängert werden, wenn dies wegen der Komplexität oder Anzahl von Anträgen erforderlich ist. Wir informieren Sie über eine etwaige Verlängerung. Die Ausübung Ihrer Rechte ist kostenfrei; bei offenkundig unbegründeten oder exzessiven Anträgen können wir ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen (Art. 12 Abs. 5 DSGVO).

15.10 Einschränkungen

Betroffenenrechte können eingeschränkt sein, soweit dadurch Rechte und Freiheiten anderer Personen, gesetzliche Aufbewahrungs-/Nachweispflichten, ärztliche/pflegerische Schweigepflichten oder Betriebs-/Geschäftsgeheimnisse beeinträchtigt würden.

 

16. Beschwerderecht bei einer Aufsichtsbehörde

16.1 Ihr Recht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem EU-Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

16.2 Zuständige Behörde für uns

Für uns ist in der Regel zuständig: Die/Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen).
Sie können sich alternativ auch an jede andere zuständige Datenschutz-Aufsichtsbehörde wenden.

16.3 Vorabkontakt (empfohlen)

Bitte wenden Sie sich gern zunächst direkt an uns (Abschnitt 1) oder unseren Datenschutzbeauftragten (Abschnitt 2). Wir prüfen Ihr Anliegen unverzüglich und suchen eine lösungsorientierte Klärung.

 

17. Datensicherheit (Technische und organisatorische Maßnahmen nach Art. 32 DSGVO)

17.1 Schutzziele & Grundsätze

Wir schützen personenbezogene Daten nach dem Stand der Technik unter Berücksichtigung von Risiko, Eintrittswahrscheinlichkeit und Schwere möglicher Folgen (Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit). Es gilt das Need-to-know-Prinzip und Datenminimierung.

17.2 Technische Maßnahmen (Auszug)

  • Transportverschlüsselung: Bereitstellung der Website über TLS/SSL (aktuelle Protokolle), HSTS-Konfiguration durch den Hosting-Provider.
  • Zugriffsschutz: Rollen-/Rechtekonzepte, starke Passwörter, Administrationszugriffe nur für Befugte, wo möglich Mehrfaktor-Authentifizierung.
    Systemhärtung & Updates: Regelmäßige Sicherheitsupdates/Patches, sichere Konfigurationen von Server- und CMS-Komponenten.
  • Netzwerkschutz: Providerseitige Schutzmechanismen (z. B. Firewall/WAF, Rate-Limiting, Bot-/Spam-Schutz), DDoS-Mitigation nach Providerstandard.
  • Protokollierung & Monitoring: Ereignis- und Fehlerprotokolle (vgl. Abschnitt 4), Monitoring zur Störungs-/Angriffserkennung.
  • Speicher-/Backupschutz: Verschlüsselte Backups in kurzzyklischen Rotationen (Zweck: Wiederherstellung/Disaster Recovery), getrennter Aufbewahrungsort, regelmäßige Wiederherstellungstests nach betrieblicher Möglichkeit.
  • Verschlüsselung & Pseudonymisierung: Einsatz, wo zweckmäßig und technisch möglich (z. B. bei Sicherungen, Analysedaten ohne Personenbezug).

17.3 Organisatorische Maßnahmen (Auszug)

  • Vertraulichkeit: Vertraulichkeitsverpflichtung der Mitarbeitenden, Sensibilisierung und Schulungen zum Datenschutz/Informationssicherheit.
  • Prozesse & Richtlinien: Geregelt sind u. a. Zugriffsvergaben/-entzüge, Rechteprüfungen, Lösch-/Sperrkonzepte (vgl. Abschnitt 13), Umgang mit Dienstleistern (Art. 28 DSGVO).
  • Auftragsverarbeitung: Auswahl und Kontrolle von Dienstleistern; vertragliche Bindung auf geeignete TOM und Weisungsgebundenheit (vgl. Abschnitte 3 und 11).

17.4 Vorfallsmanagement

Sicherheitsvorfälle werden nach internen Melde- und Eskalationswegen behandelt. Gesetzlich erforderliche Meldungen an Aufsichtsbehörden (Art. 33 DSGVO) und Benachrichtigungen betroffener Personen (Art. 34 DSGVO) erfolgen innerhalb der gesetzlichen Fristen, sofern die Voraussetzungen vorliegen.

 

18. Aktualität & Änderungen dieser Datenschutzerklärung

18.1 Aktualität

Diese Datenschutzerklärung gilt in der jeweils auf dieser Website veröffentlichten Fassung. Sie wird fortlaufend an technische Entwicklungen, organisatorische Prozesse sowie rechtliche Vorgaben angepasst.

18.2 Änderungen

Wir nehmen Anpassungen vor, wenn neue oder geänderte Verarbeitungen hinzukommen (z. B. zusätzliche Dienste/Plugins), wenn Rechtsänderungen dies erfordern oder wenn behördliche/judikative Vorgaben umgesetzt werden müssen. Wesentliche Änderungen, die Ihre Rechte betreffen, stellen wir klar erkennbar dar.

18.3 Information über Anpassungen

Über substanzielle Änderungen informieren wir direkt auf dieser Seite; soweit erforderlich, holen wir Einwilligungen für neue Zwecke/Dienste gesondert ein.

18.4 Versionsstand

Stand: 22.08.2025