Ein Überblick in Kürze

Wir verarbeiten Daten, weil wir es müssen oder weil wir es wollen. Ein Zwang ergibt sich, wenn ohne die Verarbeitung Verträge oder Gesetze nicht erfüllt werden können. In allen anderen Fällen erfolgt die Verarbeitung, weil sie zur Erfüllung legitimer berechtigter Interessen erforderlich ist. Eine Datenverarbeitung auf Basis einer Einwilligung erfolgt bei der Mail Professionals GmbH im Regelfall nicht (mit Ausnahme beim Hinweisgeberschutzsystem, das wir im Folgenden erläutern). Sollten wir ansonsten von diesem Grundsatz abweichen, erläutern wir dies im konkreten Einzelfall.

Gesetzliche und vertragliche Erforderlichkeit

Die Services von Mail Professionals GmbH richten sich ausschließlich an gewerbliche Abnehmer. Geschäftliche Korrespondenz unterliegt aufgrund steuer- und handelsrechtlicher Vorschriften einer Aufbewahrungspflicht. Diese Aufbewahrungspflicht begründet sich insb. aus § 257 HGB, § 147 AO sowie § 14b UStG und ist auf sechs bzw. zehn Jahre bemessen. Sie beginnt jeweils am Ende des Jahres, in dem der Vorgang erledigt wurde bzw. ein Vertrag erfüllt wurde, der durch die Nachricht inhaltlich gestaltet wurde (die Nachricht also quasi Vertragsbestandteil war). Eine Löschung erfolgt nach Ende der Aufbewahrungsfrist. Die Speicherung der Daten während der gesetzlichen Aufbewahrungspflicht und die notwendige Herausgabe an Behörden (z.B. Betriebsprüfer des Finanzamtes) erfolgt somit, um Gesetze zu erfüllen.

Ohne an dieser Stelle weitere für uns geltende Gesetze aufzuführen, werden wir Daten immer dann an Dritte übermitteln (hier insb. staatliche Stellen), wenn die Erfüllung der zwingenden Gesetze anders nicht möglich ist.

Neben der Erfüllung gesetzlicher Vorgaben werden wir in unserer Obhut befindliche Daten zudem an Dritte übergeben, wenn dies zur Erfüllung / Durchführung von Verträgen erforderlich ist. Sind in diesem Fall die personenbezogenen Daten eines Vertragspartners direkt betroffen, erfolgt die Übermittlung zur Erfüllung vertraglicher Pflichten. Geht es um personenbezogene Daten z.B. der Mitarbeiter unserer Kunden (Betroffener im Sinne der DSGVO ist nicht unser Vertragspartner) verarbeiten wir diese, wenn es zur Erfüllung unserer Verträge und / oder zur Wahrung der berechtigten Interessen der Beteiligten erforderlich ist (Beispiel: Eingabe von Absenderdaten in ein Versandsystem eines Kuriersystems; ohne die Datenweitergabe kann der vom Mitarbeiter des Kunden beauftragte Versand nicht erfolgen).

Legitime Interessen

Allgemeines

Wir wollen Verträge möglichst gut / effizient erfüllen. Also notieren wir uns z.B. die Namen von Ansprechpartnern oder machen uns Notizen zu Gesprächen während der Vertragsanbahnung oder der Vertragsdurchführung. Diese Datenverarbeitung ist im (legitimen / berechtigten) Interesse aller Beteiligten; sicherlich will niemand bei der Fortsetzung von Gesprächen immer wieder von vorne beginnen, auch wenn intern einmal der Ansprechpartner wechseln sollte.

Damit verarbeiten wir personenbezogene Daten bereits jenseits der Rechtsgrundlage Vertragserfüllung oder des gesetzlichen Erfordernisses. Diese Grenzziehung ist wichtig, weil sich hieraus andere Speicherregeln und Betroffenenrechte ergeben.

Wir müssen den Namen eines Vertragspartners verarbeiten und im Rahmen der gesetzlichen Aufbewahrungspflicht speichern. Wir dürfen die Namen und Umstände unserer Ansprechpartner speichern, wenn es für legitime Zwecke erforderlich ist und nicht die schutzbedürftigen Rechte der betroffenen Personen überwiegen. Die Verarbeitung (Erfassung, Nutzung, Speicherung) erfolgt formell dann auf Basis des berechtigten Interesses.

Weitere konkrete Verarbeitungszwecke

Neben der effizienteren Gesprächs- und Verhandlungsführung bzw. Vertragsdurchführung erfolgt die Verarbeitung von Daten zu Ansprechpartnern auch, um interessierte Unternehmen, Lieferanten oder bestehende und ehemalige Kunden auf eine neue oder erweiterte Zusammenarbeit initiativ anzusprechen. Bei bestehenden Kunden verarbeiten wir Daten zu unseren Kontakten zudem im Rahmen der Sammlung und Behandlung von Feedback und Kritik im Rahmen eines ISO 9001 Qualitätsmanagements. Bei unseren Lieferanten kommt als Zweck für die Verarbeitung von personenbezogenen Daten noch die effiziente Kontrolle (Audits) aus unserem ISO 9001 und ISO 27001 Qualitäts- und Informationssicherheitsmanagement hinzu. Um Anforderungen unserer Kunden gerecht zu werden, stellen wir zudem durch regelmäßige Prüfung sicher, dass wir nicht mit Mitarbeitenden oder Geschäftspartnern zusammenarbeiten, die auf offiziellen Embargolisten der EU verzeichnet sind.

Sollte es zu rechtlichen Auseinandersetzungen kommen, nutzen wir die Daten zudem zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Unabhängig davon binden wir in Einzelfällen Experten für Rechts- und Steuerfragen bei der Beurteilung oder Bearbeitung von Verträgen, Rechnungen etc. ein. Diese Dritten sind regelmäßig aufgrund ihrer beruflichen Stellung und / oder durch spezifische Verträge zur Geheimhaltung verpflichtet. Sie erhalten zudem nicht im Auftrag der Kunden verarbeitete Daten, sondern nur die Informationen, die sich aus Verträgen und Rechnungen etc. unmittelbar ergeben (insb. Kontaktdaten dort genannte Ansprechpartner und Informationen zum Vorgang).

Beim Betrieb interner Poststellen ist eine unserer Hauptaufgaben, Sendungen ohne vertretbare Verzögerungen dem tatsächlichen Empfänger zuzustellen oder an externe Zustellunternehmen zu übergeben. Wir sind das letzte oder erste Glied einer Zustellkette, die zumindest für Briefe explizit im Postgesetz geregelt wurde.

Sofern mit unseren Kunden eine kostenstellengenaue Abrechnung vereinbart wurde, müssen wir Informationen über die ausgehenden Sendungen je Absender (-Kostenstelle) notieren. Je nach Größe einer Kostenstelle sind aus diesen Daten Rückschlüsse auf Personen möglich (Personenbeziehbarkeit). Die Daten sind erforderlich, um die gewünschte Abrechnung erstellen zu können. Wir verarbeiten diese Daten ausschließlich zu diesem Zweck.

Um handlungsfähig zu sein, notieren wir uns für die Zustellung von Sendungen die internen Anschriften der Empfänger. Andere Informationsquellen im Unternehmen bieten diese Daten vielfach nicht oder nicht in der Form, wie dies für die Postverteilung erforderlich ist. Auch diese Daten verarbeiten wir ausschließlich für diesen Zweck. Daten aus der Postbearbeitung (Eingang und Ausgang) werden ohnehin strikt vertraulich behandelt; sie unterliegen neben dem Datenschutz regelmäßig auch dem Post- bzw. Briefgeheimnis.

Geht es um die Zustellung von sog. nachweispflichtigen Sendungen (insb. Einschreiben, Pakete, Kuriersendungen), quittieren wir dem eigentlichen externen Zustelldienst den Empfang im Namen des Empfängers, liefern die Sendung dann aus, dokumentieren diese Zustellung (an die entsprechende Person) und verwahren die Info darüber für gewöhnlich 12 Monate. Dieser Zeitraum wird regelmäßig von unseren Kunden vorgegeben, für deren eventuelle Nachfragen diese Daten ausschließlich aufbewahrt werden.

Alle vorstehenden Verarbeitungstätigkeiten erfolgen im legitimen bzw. berechtigten Interesse einer Vertragserfüllung im Sinne unserer Kunden. Wir verfolgen also legitime Interessen unsererseits, vielfach aber auch im Interesse unserer Kunden und deren Mitarbeiter. Die Verarbeitung von personenbezogenen Daten aus Kontakten mit Behörden und Verbänden erfolgt ebenfalls basierend auf einer Interessenabwägung. Auch hier notieren wir Ansprechpartner und Gesprächsinhalte für eine effizientere Gestaltung der Bearbeitung von Vorgängen oder fachlichen Kontakten (z.B. mit Regulierungsbehörden).

Datenschutz- und Informationssicherheitsbeauftragter

Bleibt abschließend noch der Hinweis auf unseren Datenschutz- und Informationssicherheitsbeauftragten (DSB / ISB). Hier nutzen wir die Dienste eines externen Spezialisten (esquilin GmbH; https://esquilin.gmbh). Werden Kontakte zu Fragen des Datenschutzes und der Informationssicherheit zwischen unseren Geschäftspartnern und unserem DSB / ISB gewünscht, geben wir die fraglichen Kontaktdaten dorthin weiter, damit eine Kontaktaufnahme effizient möglich ist. Die Übermittlungen zwischen dem DSB / ISB und uns erfolgt insofern auch aus berechtigtem Interesse. Unser DSB / ISB behandelt diese Informationen vertraulich und informiert lediglich uns über die Inhalte der Gespräche, so als wäre er Mitarbeiter einer internen Stelle, selbstverständlich unter Beachtung seiner auch uns geltenden Verpflichtung zur Vertraulichkeit über seine Tätigkeit. Gegenstand der Gespräche sind regelmäßig technische und organisatorische Maßnahmen zum Schutz vertraulicher Informationen, nicht die von uns ansonsten verarbeiteten vertraulichen Informationen / personenbezogenen Daten selbst.

Datenherkunft

Informationen zu Personen bei Interessenten, Kunden, Lieferanten, Behörden oder Verbänden stammen gewöhnlich aus dem direkten Kontakt bzw. Unterlagen hierzu (allgemeine Korrespondenz, Ausschreibungs- oder Vertragsunterlagen; Werbebriefen potentieller Lieferanten). Daten von Interessenten stammen auch aus unserem Kontaktformular auf unserer Webseite oder aus an uns gerichteten E-Mails oder Briefe. Sofern wir selbst vertrieblich die anfängliche Initiative ergreifen, entnehmen wir die Kontaktdaten auch öffentlich zugänglichen Quellen (z.B. Webseiten) oder fragen einfach direkt im Unternehmen nach einem passenden Ansprechpartner für uns.

Speicherfrist und Löschung

Wie bereits vorstehend erwähnt, hängt die Speicher- und Löschfrist maßgeblich von der sog. Rechtsgrundlage der Verarbeitung ab. Erfolgt die Speicherung, weil dies durch z.B. Handels- oder Steuergesetze so gefordert wird, haben wir keinen eigenen Gestaltungsspielraum und folgen konsequent den gesetzlichen Anforderungen: Bei steuerlich relevanten Daten sind das zehn Jahre beginnend nach Ablauf des Jahres, in dem der Vorgang abgeschlossen wurde. Aufgrund von laufenden Steuerprüfungen oder Anforderungen durch Behörden kann sich diese Frist noch verlängern.

Bei Daten, die wir auf Basis des berechtigten Interesses verarbeiten, gibt uns das Gesetz keine feste Vorgabe. Hier müssen wir eine den Umständen angemessene und pragmatische Lösung selbst definieren. ‚Angemessen‘ heißt an dieser Stelle, dass wir erneut die berechtigten Interessen der Betroffenen mit in die Abwägung einbeziehen. ‚Pragmatisch‘ heißt für uns hier, dass wir möglichst mit einfach zu handhabenden, pauschalierten Fristen löschen wollen. Würden wir vor unseren Löschläufen jeweils aufwändige (Einzelfall-) Prüfungen vornehmen, würde dies eine erneute Auseinandersetzung mit den personenbezogenen Daten bedeuten – und das wäre das Gegenteil einer von der DSGVO geforderten datensparsamen Verarbeitung.

Wir orientieren uns deshalb generell an der allgemeinen gesetzlichen Verjährungsfrist. Nach Ablauf dieser dreijährigen Frist erübrigt sich der Verarbeitungszweck „Speichern und Nutzung von Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“. Diese Frist gilt somit bei uns auch für Daten aus vertrieblichen Aktivitäten, die nicht in einen Vertrag gemündet sind. Solche inaktiven Kontakte werden nach drei Jahren gelöscht oder gesperrt. Ein Kontakt gilt für uns als inaktiv, wenn es während der Dreijahresfrist keine beidseitige Kommunikation mehr gab. Eine Sperre ist angezeigt, wenn wir die Daten aufgrund anderer Aufbewahrungspflichten noch nicht löschen dürfen, aber nicht mehr vertrieblich nutzen wollen.

Konkretes Beispiel: Ein Vertrag ist erfüllt und beendet worden. Bisher gab es keinen Folgevertrag. Die steuerlich relevanten Daten sind in jedem Fall für die beschriebenen 10 Jahre zu speichern (1. Zweck). Wir erlauben uns jedoch, ehemalige Kunden auf mögliche Folgegeschäfte anzusprechen. Hierzu nutzen wir die Kontaktinformationen aus der vorherigen Geschäftsbeziehung (2. Zweck). Sind wir erfolgreich, erübrigt sich die Löschung. Klappt es mit dem Folgegeschäft nicht, stoppt die Nutzung dieser Daten für den 2. Zweck spätestens nach drei Jahren; die Daten sind für den Vertrieb dann nicht mehr zugänglich und werden nur noch für den 1. Zweck verwendet (Gewährleistung der steuerlichen Aufbewahrungspflicht). Endet auch dieser Zweck, erfolgt die Löschung / Vernichtung, sofern keine andere ‚Rechtsgrundlage‘ eine Speicherung zulässt oder gebietet (z.B. noch anhängiger Rechtsstreit).