Zum Hauptinhalt springen

Datenschutzerklärung

Einleitung

In dieser Datenschutzerklärung wird erläutert, welche Daten wir über Sie bei Nutzung von Realtime Board, Inc., dba Miro erfassen, wofür wir diese Daten benötigen und an wen wir diese Daten weitergeben. Darüber hinaus beinhaltet sie auch Ihre Rechte in Bezug auf Ihre Daten und die Ansprechpartner, an die Sie sich für weitere Informationen oder Anfragen wenden können.

Die im folgenden verwendeten Begriffe „Deloitte“, „wir“, „uns“ oder „unser“ beziehen sich auf die Deloitte GmbH Wirtschaftsprüfungsgesellschaft.

Deloitte erhält im Rahmen eines SaaS von Realtime Board, Inc., dba Miro (im Folgenden nur „Miro“) Zugang zu einer cloudbasierten Online Plattform, die es Deloitte-internen Nutzern ermöglicht, standortübergreifend gemeinsam an Projektdokumentationen zu arbeiten, beispielsweise bei internen Meetings oder zusätzlicher Teilnahme von Externen (z.B. Mandanten) auf Einladung von Deloitte.

Vor diesem Hintergrund ermöglicht Deloitte lizenzierten Personen den Zugriff auf die Plattform Miro Enterprise.

Im Rahmen des SaaS werden personenbezogenen Daten auch von Miro verarbeitet. Ausführliche Informationen darüber, wie Miro Ihre personenbezogenen Daten verarbeitet, finden Sie hier.

Bitte beachten Sie, dass sich diese Datenschutzerklärung ausschließlich auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO bezieht, d.h. nicht sämtliche Daten und Informationen umfasst, die Deloitte im Zusammenhang mit dem jeweils zugrundeliegenden Mandatsverhältnis erhält, sondern im Wesentlichen nur solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ungeachtet dessen gelten die berufsrechtlichen Geheimhaltungs- und Verschwiegenheitspflichten, denen Deloitte und die bei Deloitte beschäftigten Mitarbeiter nach dem Berufsrecht der Steuerberater, Wirtschaftsprüfer und Rechtsanwälte unterliegen, soweit anwendbar, vollumfänglich für alle Daten und Informationen, die wir von Ihnen im Rahmen des Mandatsverhältnisses erhalten, unabhängig davon, ob es sich dabei um personenbezogene Daten im Sinne der DSGVO handelt.

Verantwortlicher im Sinne der DSGVO

Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Miro ist

Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Rosenheimer Platz 4
81669 München

Datenschutzbeauftragter

Alle deutschen Deloitte Gesellschaften haben Datenschutzbeauftragte bestellt. Sie erreichen den jeweiligen Datenschutzbeauftragten unter datenschutz@deloitte.de.

Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung

Miro ist eine Online Plattform, die es den Nutzern ermöglicht gemeinsam an Projekten zu arbeiten. Dazu gehört die Durchführung von Meetings und die gemeinsame Bearbeitung von Whiteboards.

Die personenbezogenen Daten werden für die Bereitstellung und die Nutzung dieser Services benötigt.

Datenkategorien

In diesem Zusammenhang verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

  • Name
  • Adressdaten geschäftlich
  • Telefon-/ E-Mailadresse geschäftlich
  • Foto & Video (vom User deaktivier-bar/löschbar) *
  • Webprotokolle: IP-Adresse, Typ(en) des verwendeten Betriebssystems, Art des verwendeten Geräts, Datum und Uhrzeit des Besuchs der Website, Aktivität und/oder verweisende Websites.
  • Diese Protokollinformationen dienen Miro um Probleme zu beheben, demografische Informationen zu sammeln, Erfahrungen beim Zugriff auf unsere Website, Dienstleistungen und andere Geschäftszwecke anzupassen.

Art und Umfang der Datenverarbeitung

  • Anmeldedaten zur Authentifizierung
  • Lizenz- und Benutzerverwaltung
  • Audit Log der Nutzungszeiträume

Kategorien von Empfängern von Daten und Transfer in Drittländer

Im Zusammenhang mit der Nutzung von Miro werden personenbezogene Daten, wie nachfolgend konkretisiert, ggf. auch an Dritte übermittelt. Insofern kann es zu einem Datentransfer sowohl in das europäische und außereuropäische Ausland sowie zur Speicherung Ihrer personenbezogenen Daten außerhalb der EU kommen:

  • Realtime Board, Inc., dba Miro in ein europäisches Rechenzentrum von AWS
  • Weiterleitung verschlüsselter Backupdaten in ein Rechenzentrum von AWS in den USA

An andere Deloitte-Mitgliedsunternehmen1 zwecks Zusammenarbeit im Rahmen unserer Leistungserbringung

Soweit zur Erbringung der Dienstleistung erforderlich, d.h. im Fall eines Auslandsbezugs oder bei erforderlicher Expertise eines ausländischen Kollegen, kooperiert Deloitte mit weiteren Gesellschaften aus dem globalen Deloitte-Netzwerk. Soweit ein solcher Transfer an eine Netzwerkgesellschaft außerhalb der EU/des Europäischen Wirtschaftsraums erfolgt, wird ein angemessenes Datenschutzniveau durch die Verwendung von Standardvertragsklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DSGVO gewährleistet. Die EU-Standardvertragsklauseln können Sie unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF abrufen.

An Behörden, Gerichte oder andere Stellen

Im Zusammenhang mit der Durchführung unserer Leistungen kann es zudem erforderlich sein, Informationen, Arbeitsergebnisse und Unterlagen an Behörden, Gerichte oder andere öffentliche oder private Stellen (im Falle eines Auslandsbezugs auch im Ausland) zu übermitteln. Gleiches gilt für die Fälle, in denen Deloitte einer gesetzlichen, behördlichen oder gerichtlichen Anordnung zur Herausgabe/Offenlegung von personenbezogenen Daten verpflichtet ist. Dies erfolgt nur dann, wenn dem keine berufsrechtlichen Verschwiegenheitspflichten entgegenstehen.

An Deloitte-interne Dienstleister sowie externe IT-Dienstleister

Deloitte nutzt im Rahmen seiner Tätigkeit in Einzelfällen weitere deutsche oder ausländische Deloitte-Netzwerkgesellschaften als netzwerkinterne IT-Dienstleister, die Leistungen des Betriebs, der Wartung und Pflege der von den Deloitte-Netzwerkgesellschaften genutzten IT-Systeme und Applikationen erbringen. Ein Einsatz dieser Gesellschaften mit Zugriffsrechten auf personenbezogene Daten erfolgt nur, wenn dies in den Auftragsvereinbarungen mit unseren Kunden vereinbart wurde oder im Einzelfall ohne Zustimmung gesetzlich zulässig ist.

Soweit ein Zugriff durch eine Netzwerkgesellschaft außerhalb des Europäischen Wirtschaftsraums erfolgt, wird ein angemessenes Datenschutzniveau durch die Verwendung von Standardvertragsklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DSGVO gewährleistet.

Ihre Rechte im Zusammenhang mit der Datenverarbeitung

Die DSGVO räumt Betroffenen im Wesentlichen die nachfolgenden Rechte ein, welche Sie jederzeit durch Kontaktaufnahme mit dem in diesen Informationen genannten Datenschutzbeauftragten unter datenschutz@deloitte.de bzw. sharepointcc@deloitte.de geltend machen können.

Sie können von Deloitte grundsätzlich jederzeit Auskunft darüber verlangen, ob und welche personenbezogenen Daten über Sie bei Deloitte wie verarbeitet werden bzw. gespeichert sind. Bitte beachten Sie, dass Ihr Recht auf Auskunft insoweit eingeschränkt sein kann, als eine solche Auskunft im Widerspruch zum Berufsgeheimnis stehen könnte und insofern geheimhaltungsbedürftige Informationen offenbaren würde.

Neben Ihrem Recht auf Auskunft können Sie jederzeit die Berichtigung Ihrer Daten verlangen. Hinzu kommt ein Recht auf Löschung Ihrer Daten, wenn und soweit die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder, wenn die Verarbeitung auf Ihrer Einwilligung beruht, Sie Ihre Einwilligung aber widerrufen haben. Das vorgenannte Recht auf Löschung Ihrer Daten entfällt, sofern Ihre Daten aufgrund einer gesetzlichen Pflicht nicht gelöscht werden dürfen oder aufgrund einer gesetzlichen Pflicht verarbeitet werden müssen oder eine Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Darüber hinaus haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten von Deloitte zu verlangen.

Hinzu kommt ein Recht auf Datenübertragbarkeit, d.h. Sie können verlangen, von Deloitte die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und/oder dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Bitte beachten Sie, dass dies nicht gilt, sofern Sie uns die Daten auf der Grundlage einer Einwilligung oder aufgrund eines mit Ihnen abgeschlossenen Vertrages zur Verfügung gestellt haben oder die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Sofern Deloitte Ihre personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet (z.B. wenn Ihr Arbeitgeber als Kunde von Deloitte uns Ihre personenbezogenen Daten als Ansprechpartner in Ihrem Unternehmen übermittelt hat, oder wenn wir Ihre Kontaktdaten nutzen, um Ihnen Informationen über Angebote und Veranstaltungen von Deloitte zuzusenden), können Sie jederzeit Widerspruch gegen diese Verarbeitung einlegen.

Bitte wenden Sie sich hierzu an Datenschutz@deloitte.de bzw. Sharepointcc@deloitte.de. Für den Widerspruch entstehen keine anderen als die Übermittlungskosten nach den Basistarifen.

Beschwerderecht bei einer Datenschutzaufsichtsbehörde

Neben den vorstehend aufgezeigten Betroffenenrechte haben Sie zudem gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt. Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem die verantwortliche Stelle Ihren Sitz hat.

Dauer der Datenspeicherung

Löschkonzept:

Ihre Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind.

In der Regel wird dies drei Monate nach Projektende sein, sofern keine andauernde Vertragsbeziehung mit dem Mandanten im Rahmen dieser Plattform existiert oder gesetzliche Aufbewahrungspflichten, die sich aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz ergeben können und im Regelfall 6 bis 10 Jahre betragen, eine Aufbewahrung der Daten erfordern.

Außerdem können wir Ihre Daten bis zum Ablauf der gesetzlichen Verjährungsfristen (d.h. im Regelfall 3 Jahre, im Einzelfall aber auch bis zu 30 Jahre) aufbewahren, soweit dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.