DSGVO-Konformität

Dieser DSGVO-Hinweis erläutert, wie RemotIQ Pty Ltd personenbezogene Daten verarbeitet, wenn die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO) und die UK-Datenschutz-Grundverordnung (UK GDPR) Anwendung finden. Er ergänzt unsere Datenschutzerklärung. Soweit Inkonsistenzen zu einem speziell von DSGVO oder UK GDPR geregelten Thema bestehen, geht dieser Hinweis für betroffene Personen vor.

Anwendbarkeit

Die DSGVO gilt für die Verarbeitung personenbezogener Daten von Personen im Europäischen Wirtschaftsraum (EWR). Die UK GDPR gilt für die Verarbeitung personenbezogener Daten von Personen im Vereinigten Königreich. Wir handeln im Einklang mit beiden, soweit sie einschlägig sind. Verweise auf die DSGVO sind für Personen im Vereinigten Königreich als Verweis auf die UK GDPR zu lesen.

Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Wir haben je nach Tätigkeit zwei unterschiedliche Rollen. Als Verantwortlicher legen wir Zwecke und Mittel der Verarbeitung für Websitebesucher, Interessenten, Kunden, Lieferanten, Bewerber und geschäftliche Kontakte fest. Unsere Datenschutzerklärung beschreibt diese Verarbeitung im Detail. Als Auftragsverarbeiter verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden bei der Leistungserbringung — etwa, wenn wir ein System betreiben oder warten, das Daten der Endnutzer des Kunden enthält. In diesem Fall ist der Kunde der Verantwortliche; unsere Verarbeitung richtet sich nach seinen dokumentierten Weisungen und dem zwischen uns geschlossenen Auftragsverarbeitungsvertrag (DPA).

Kategorien personenbezogener Daten

Als Verantwortlicher verarbeiten wir typischerweise: Identifikations- und Kontaktdaten (Name, E-Mail, Telefon, Funktion, Arbeitgeber); kommerzielle Daten (Angebote, Rechnungen, Zahlungsmetadaten); technische Daten (IP-Adresse, Geräte-Identifikatoren, Browser-Fingerprint, soweit zwingend erforderlich, Logs aus Interaktionen); Bewerberdaten (Name, Kontaktdaten, Lebenslauf, sowie weitere von Ihnen bereitgestellte Informationen). Als Auftragsverarbeiter werden die Kategorien vom Kunden festgelegt und in seinem DPA und seinen Weisungen beschrieben; wir erheben aus eigener Initiative keine zusätzlichen Daten.

Rechtsgrundlagen (als Verantwortlicher)

Wir stützen uns auf folgende Grundlagen nach Art. 6 DSGVO. Vertragserfüllung — zur Erbringung der Leistungen, Verwaltung von Konten, Rechnungsstellung und Beantwortung von Anfragen. Berechtigte Interessen — zur Kommunikation mit Interessenten, die uns kontaktieren, zur Pflege und Verbesserung unserer Leistungen, zur Aktenführung, Sicherheits- und Betriebsverwaltung in verhältnismäßigem Umfang. Einwilligung — für nicht erforderliche Cookies, Marketingkommunikation, soweit erforderlich, sowie jede Verarbeitung, für die die Einwilligung die geeignetste Grundlage ist; die Einwilligung kann jederzeit widerrufen werden. Rechtliche Verpflichtung — zur Einhaltung anwendbarer Gesetze, einschließlich Steuer-, Buchhaltungs-, Geldwäsche- und behördlicher Auskunftspflichten. Wir nutzen keine automatisierten Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO.

Verarbeitung im Auftrag von Kunden (als Auftragsverarbeiter)

Als Auftragsverarbeiter halten wir Art. 28 DSGVO ein. Wir verarbeiten personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich internationaler Datenübermittlungen, sofern keine Rechtspflicht etwas anderes verlangt. Wir stellen sicher, dass zugriffsberechtigtes Personal zur Vertraulichkeit verpflichtet ist. Wir setzen geeignete technische und organisatorische Maßnahmen um. Unterauftragsverarbeiter setzen wir nur mit Zustimmung des Verantwortlichen ein und legen ihnen gleichwertige Datenschutzpflichten auf. Wir unterstützen den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen sowie bei Sicherheit und Meldung von Verletzungen. Am Ende des Auftrags löschen wir die personenbezogenen Daten oder geben sie zurück, soweit gesetzlich nichts Anderes bestimmt ist.

Unterauftragsverarbeiter

Wir setzen sorgfältig ausgewählte Unterauftragsverarbeiter ein — z. B. Infrastruktur-, E-Mail- und Zahlungsdienstleister. Eine aktuelle Liste steht Kunden unter DPA zur Verfügung. Wir informieren Kunden vorab über neue oder ersetzende Unterauftragsverarbeiter und gewähren dem Verantwortlichen ein Widerspruchsrecht. Wir stellen vertraglich sicher, dass Unterauftragsverarbeiter denselben Datenschutzpflichten wie in unserem DPA unterliegen, insbesondere durch hinreichende Garantien geeigneter technischer und organisatorischer Maßnahmen.

Internationale Datenübermittlungen

Unser Sitz ist in Australien, das die Europäische Kommission nicht als Land mit angemessenem Datenschutzniveau gemäß Art. 45 DSGVO anerkannt hat. Bei Datenübermittlungen aus dem EWR oder dem Vereinigten Königreich nach Australien oder in andere Drittstaaten stützen wir uns auf die Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) für Übermittlungen aus dem EWR sowie auf das vom ICO veröffentlichte UK International Data Transfer Addendum für Übermittlungen aus dem Vereinigten Königreich. Wir führen Transfer-Folgenabschätzungen durch und treffen ergänzende Maßnahmen — Verschlüsselung in Übertragung und Speicherung, Zugriffskontrollen sowie ggf. Pseudonymisierung — zum Schutz der Daten. Eine Kopie des einschlägigen Übertragungsmechanismus erhalten Sie auf Anfrage unter privacy@remotiq.com.au.

Sicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen um, um personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung sowie unbefugte Offenlegung oder unbefugten Zugriff zu schützen. Hierzu zählen: Verschlüsselung in Übertragung (TLS) und Speicherung, soweit unterstützt; Zugriffskontrollen nach dem Least-Privilege-Prinzip; Multi-Faktor-Authentifizierung für administrative Zugänge; sichere Entwicklungspraktiken; Trennung zwischen Kundenumgebungen; Lieferantenrisikomanagement; Logging und Monitoring; Backups und getestete Wiederherstellungsverfahren; Incident-Response-Prozesse. Wir überprüfen unsere Maßnahmen regelmäßig und passen sie an Risiko und Stand der Technik an.

Meldung von Datenschutzverletzungen

Als Verantwortlicher melden wir der zuständigen Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und möglichst binnen 72 Stunden nach Bekanntwerden, sofern die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei voraussichtlich hohem Risiko informieren wir die betroffenen Personen ohne unangemessene Verzögerung. Als Auftragsverarbeiter informieren wir den Verantwortlichen ohne unangemessene Verzögerung nach Bekanntwerden einer Verletzung, die seine Daten betrifft, und liefern die für seine eigenen Pflichten nötigen Informationen.

Ihre Rechte

Personen im EWR und im Vereinigten Königreich haben folgende Rechte: Recht auf Information; Recht auf Auskunft; Recht auf Berichtigung; Recht auf Löschung (Recht auf Vergessenwerden) unter den definierten Voraussetzungen; Recht auf Einschränkung der Verarbeitung; Recht auf Datenübertragbarkeit für selbst bereitgestellte Daten, sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt; Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (einschließlich Profiling) und gegen Direktwerbung jederzeit; Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird; Recht, nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden.

So üben Sie Ihre Rechte aus

Sind wir Verantwortlicher Ihrer Daten, schreiben Sie an privacy@remotiq.com.au. Wir antworten innerhalb von 30 Tagen; bei komplexen oder zahlreichen Anfragen können wir um bis zu zwei weitere Monate verlängern und teilen Ihnen den Grund mit. Eine Antwort ist kostenfrei, sofern Anfragen nicht offenkundig unbegründet oder exzessiv sind. Wir können zur Schutz Ihrer Daten Identitätsnachweise verlangen. Halten wir Ihre Daten ausschließlich als Auftragsverarbeiter im Auftrag eines Kunden, leiten wir Ihre Anfrage ohne unangemessene Verzögerung an den Kunden (Verantwortlichen) weiter; Sie können den Kunden auch direkt kontaktieren.

Kinder

Unsere Leistungen richten sich an Organisationen und die dort tätigen Fachpersonen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren (oder dem nach lokalem Recht maßgeblichen Alter für die digitale Einwilligung) ohne nachweisbare Einwilligung der Eltern oder Erziehungsberechtigten. Vermuten Sie, dass wir Daten eines Kindes verarbeiten, kontaktieren Sie privacy@remotiq.com.au; wir löschen sie.

Speicherung

Als Verantwortlicher speichern wir personenbezogene Daten nur so lange, wie für den Zweck erforderlich, einschließlich rechtlicher, buchhalterischer oder berichterstatterischer Anforderungen. Typische Aufbewahrungsfristen finden Sie in der Datenschutzerklärung. Als Auftragsverarbeiter speichern wir Kundendaten für die Dauer des Auftrags und löschen oder geben sie am Ende gemäß DPA zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Auftragsverarbeitungsvertrag (DPA)

Kunden, die einen DPA benötigen, erhalten unseren Standard-DPA über privacy@remotiq.com.au. Er bezieht die EU-Standardvertragsklauseln und das UK-Addendum ein, soweit anwendbar, und regelt die Steuerung von Unterauftragsverarbeitern, Sicherheitsmaßnahmen, Meldepflichten und Unterstützung bei Betroffenenrechten. Wir unterzeichnen den DPA, bevor wir personenbezogene Daten im Auftrag eines Kunden verarbeiten, sofern DSGVO oder UK GDPR Anwendung finden.

Aufsichtsbehörden

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Im Vereinigten Königreich ist die Behörde das Information Commissioner's Office (ICO) — ico.org.uk. Eine Liste der EU-Aufsichtsbehörden veröffentlicht der Europäische Datenschutzausschuss unter edpb.europa.eu. Wir würden uns gleichwohl freuen, Ihre Anliegen zunächst direkt zu klären — schreiben Sie an privacy@remotiq.com.au.

Vertreter in EU und Vereinigtem Königreich

Wir sind derzeit weder in der EU noch im Vereinigten Königreich niedergelassen. Sofern Art. 27 DSGVO oder UK GDPR die Bestellung eines Vertreters verlangt, werden wir einen bestellen und diesen Hinweis um dessen Kontaktdaten ergänzen. Anfragen richten Sie bitte zwischenzeitlich an privacy@remotiq.com.au.

Änderungen dieses Hinweises

Wir aktualisieren diesen Hinweis, wenn sich unsere Verarbeitung ändert oder Leitlinien von Aufsichtsbehörden bzw. Rechtsprechung eine Klarstellung nahelegen. Das Datum unten kennzeichnet die jeweils gültige Fassung. Wesentliche Änderungen werden den betroffenen Personen und Kunden vorab kommuniziert.

Kontakt

Datenschutz und DSGVO: privacy@remotiq.com.au. Postanschrift: RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australien.