Datenschutzerklärung

§ 1 Information über die Erhebung personenbezogener Daten

Im Folgenden informieren wir über die Verarbeitung personenbezogener Daten bei Nutzung unseres Hauses. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Dadurch möchten wir Sie über unsere Verarbeitungsvorgänge informieren und zugleich den gesetzlichen Pflichten, insbesondere aus der EU-Datenschutz-Grundverordnung (DSGVO) nachkommen.

1. Verantwortlicher gem. Art. 4 Abs. 7 DSGVO ist

Publix gGmbH
Industriestraße 2
79541 Lörrach
+49 (0)30 62 72 45 59
hello@publix.de

Bei Fragen zum Datenschutz können Sie jederzeit unsere Datenschutzbeauftragte Anna Cardillo unter ac@cardillo-consulting.com kontaktieren.

Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, Ihr Name und Vorname, Ihr Unternehmen und ggf. Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen und Buchungen zu bearbeiten. Die in diesem Zusammenhang anfallenden Daten löschen wir, falls die Anfrage einem Vertrag zugeordnet wird, nach den Fristen zur Vertragslaufzeit, ansonsten nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen, werden wir diese Dienstleister stets sorgfältig auswählen und überwachen und informieren Sie untenstehend im Detail über die jeweiligen Vorgänge. Wir erheben, verarbeiten und nutzen zunächst die Daten, die Sie uns im Rahmen unserer Geschäftsbeziehung zur Verfügung stellen. Dies umfasst insbesondere die folgenden Daten: Stammdaten des/der Kunden, insbesondere Name; Kontaktdaten des/ der Kunden, insbesondere aktuelle Anschrift, Telefonnummern und E-Mail-Adressen; Vertragsdaten wie Bestell- und Bestätigungsdatum, Auftrags- und Kundennummer. Wir erheben und verarbeiten Ihre personenbezogenen Daten im Rahmen der Anbahnung eines Vertragsverhältnisses und zur Erfüllung unserer vertraglichen Pflichten Ihnen gegenüber (Artikel 6 Abs. 1 lit. b DSGVO). Die Löschung erfolgt nach Ablauf derAufbewahrungsfrist von zehn Jahren.

2. Buchungssystem

Bei der Nutzung unseres Buchungssystem werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, Ihr Name und Vorname, Ihr Unternehmen und ggf. Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen und Buchungen zu bearbeiten. Die in diesem Zusammenhang anfallenden Daten löschen wir, falls die Anfrage einem Vertrag zugeordnet wird, nach den Fristen zur Vertragslaufzeit, ansonsten nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

a.) Registrierung

Art von Daten

E-Mail
Vor- und Nachname
Alias
Büroraumnummer (wegen Fahrstuhl)
Foto (soweit angegeben)
Handynummer (soweit angegeben)

Zweck der Verarbeitung sind die Stammdaten zur Implementierung des Thing.IT Systems

Speicherdauer der Personenbezogene Daten nur so lange, wie es für die Nutzung des Gebäudes erforderlich ist (z.B. Mietdauer) oder bis zum Ende einer geltenden gesetzlichen Verjährungsfrist, abhängig davon, welches im Einzelfall länger andauert.

Rechtsgrundlage sind für

Nutzer bzw. deren Mitarbeiter: Art 6 (1) lit. b DSGVO § 26 BDSG
Dienstleister: Art. 6 (1) lit. b DSGVO
Gäste: Art. 6 (1) lit. a DSGVO

b.) Raumbuchung

Art von Daten: Buchungsdaten

Zweck der Verarbeitung ist die Automatisierte Zurverfügungstellung und Management von Räumlichkeiten: Arbeits- und Besprechungsräume sowie Telefonboxen, Produktions- und Aufnahmestudios, Apartments.

Speicherdauer der personenbezogene Daten bis zu 2 Jahre nach der jeweiligen Buchung aufbewahrt oder bis zum Ende einer geltenden gesetzlichen Verjährungsfrist, abhängig davon, welches im Einzelfall länger andauert.

Rechtsgrundlagen sind für

Nutz bzw. deren Mitarbeiter: Art 6 (1) lit. b DSGVO § 26 BDSG
Dienstleister: Art. 6 (1) lit. b DSGVO
Gäste: Art. 6 (1) lit. a DSGVO

c.) Appartements-Buchung für Externe

Art von Daten

E-Mail
Vor- und Nachname
Buchungszeiten

Zweck der Verarbeitung ist die zeitweiligen Vermietung der Appartements an Externe

Speicherdauer: Personenbezogene Daten werden nur so lange aufbewahrt, wie es für die Nutzung des Raumes und die Vertragserfüllung erforderlich ist oder bis zum Ende einer geltenden gesetzlichen Verjährungsfrist, abhängig davon, welches im Einzelfall länger andauert.

Rechtsgrundlage ist Art. 6 (1) lit. b DSGVO

d.) Lokalisierungsfunktion

Art von Daten nur über ein Telefon: Operating System Geofence Mechanisms

Zweck der Verarbeitung ist die Bedienung der Türautomatik bei Erreichen des Eingangsbereichs. Das Gerät wird in diesem Moment zum Zutrittstoken.

Speicherdauer: Diese Daten werden ausschließlich für die Gewährung des Zutritts in das Gebäude verwendet. Eine Verarbeitung und damit eine etwaige Speicherung darüberhinaus findet nicht statt.
Rechtsgrundlage ist Art. 6 (1) lit. a DSGVO.

d.) Chatfunktion

Art von Daten

Versendete Nachrichten
Erstellte Supporttickets

Zweck der Verarbeitung ist die Kommunikation innerhalb des Netzwerkes zwischen den Nutzer und der Kommunikation mit dem Vermieter bei Problemen.

Speicherdauer der personenbezogene Daten nur so lange aufbewahrt, wie es für die Nutzung des Gebäudes erforderlich ist (z.B. Mietdauer) oder bis zur Rücknahme der Einwilligung.
Rechtsgrundlage sind für

Nutzer bzw. deren Mitarbeiter: Art 6 (1) lit. b DSGVO § 26 BDSG
Dienstleister: Art. 6 (1) lit. b DSGVO
Gäste: Art. 6 (1) lit. a DSGVO

3. Videoüberwachung der Zugänge, Außenwände und Fluchtwege (CCTV)

Vorbemerkung

Das Publix-Gebäude, welches die Publix gGmbH betreibt, wurde von der Schöpflin Stiftung errichtet, die sich seit einem Jahrzehnt für die Förderung der Demokratie in Deutschland einsetzt. Als Teil dieses Engagements und mit dem Ziel, unabhängigen Journalismus zu stärken und demokratische Diskursräume, insbesondere online, zu bewahren, wurde dieses Gebäude geschaffen.

Ab Mai 2024 arbeiten in dem Gebäude etwa 200 Menschen, darunter Journalist:innen und Mitarbeiter:innen von zivilgesellschaftlichen Organisationen, die sich für Menschenrechte und Pressefreiheit einsetzen. Diese Personen arbeiten täglich mit sensiblen Informationen und mit schutzbedürftigen Menschen, insbesondere aus Ländern, in denen Journalismus politisch unterdrückt wird.

Um diesen Menschen einen ruhigen und sicheren Arbeitsraum zu bieten, haben wir uns dazu entschieden, das Publix-Gebäude videoüberwacht zu gestalten. Dabei halten wir uns strikt an die geltenden Datenschutzbestimmungen. Die Kameras im Außenbereich zeichnen ausschließlich Eingänge, Fassaden und Fensterbereiche des Gebäudes auf – Passant:innen auf der Straße werden nicht erfasst. Die verschlüsselte Aufzeichnung der Videobilder erfolgt ausschließlich lokal im Gebäude, ohne Nutzung von Cloud-Diensten oder externen Dienstleistern.

Wir möchten Ihnen versichern, dass der Schutz Ihrer Privatsphäre und Ihrer Daten oberste Priorität hat. Sollten Sie weitere Fragen zur Datenschutzerklärung oder zu unseren Sicherheitsmaßnahmen haben, stehen wir Ihnen gerne zur Verfügung.

Art von Daten

Videoaufnahmen
Alarmfunktion bei Bewegungsmeldung zu außerbetrieblichen Uhrzeiten

Zweck der Verarbeitung ist die Abwehr von Gefahren und Aufdecken von Straftaten, insbesondere Einbrüche und Beschädigungen.
Speicherdauer: Videodaten werden zentral gespeichert. Nur bei konkreten Vorkommnissen wird auf diese zugegriffen und erst bei einer Auswertung zur weiteren Verarbeitung (z.B. polizeiliche Untersuchung) übertragen. Die Daten werden nach 72 h gelöscht.
Rechtsgrundlage ist Art. 6 (1) lit. f. DSGO.

4. WLAN-Netzwerk

Das WLAN-Netzwerk im Gebäude wird über Accesspoints des Herstellers Huawei realisiert. Daraus entstehen jedoch gegenüber anderen möglichen Lieferanten - die ihre Hardware ebenfalls sämtlich in China fertigen bzw. oft nur chinesische Hardware unter eigenem Namen verkaufen - keine relevanten Sicherheitsrisiken.

Die WLAN-Accesspoints fungieren als Wandler von drahtlosem zu drahtgebundenem Netzwerk. Der Netzwerk-Verkehr der Residents wird verschlüsselt durch VPNs abgewickelt, so dass an den Accesspoints selbst im ungünstigsten Fall keine unverschlüsselten Daten abgreifbar wären.

Der Hardware-Hersteller hat keinen Fernzugriff auf die Komponenten. Die Netzwerk-Managementsysteme sind gegenüber dem Internet durch eine Open-Source-basierte Firewall abgeschottet und durch die hausinterne Netzwerksegmentierung auch aus den Nutzernetzen nicht erreichbar. Die Konfiguration und das Management des Netzwerkes erfolgt durch ein vom Betreiber des Hauses beauftragtes deutsches Unternehmen mit umfangreicher Erfahrung in diesem Bereich. Firmware-Updates auf die Netzwerkkomponenten erfolgen ausschließlich manuell (kein Auto-Update)

5. Wenn Sie unseren Newsletter empfangen wollen

Wenn Sie gemäß Art. 6 Abs. 1 S. 1a) DSGVO ausdrücklich darin einwilligen, verwenden wir Ihre E-Mail-Adresse dafür, Ihnen regelmäßig unseren Newsletter zu übersenden. Für den Empfang des Newsletters ist die Angabe einer E- Mail-Adresse ausreichend.
Weitere Daten werden in diesem Zusammenhang erhoben, wenn Sie die E-Mail öffnen und auf einzelne Links klicken. Wir nutzen den Newsletterdienstleister The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, US. An diesen werden zum Zwecke der Auswertung die o.g. Daten übermittelt (die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://mailchimp.com/de/gdpr/). Eine Abmeldung ist jederzeit möglich, z. B. über einen Link am Ende eines jeden Newsletters. Alternativ können Sie Ihren Abmeldewunsch gerne auch jederzeit an hello@publix.de per E-Mail senden.

6. Verarbeitung beim Besuch unserer Website

Bei der informatorischen Nutzung der Website, also der bloßen Betrachtung ohne eine Registrierung und ohne dass Sie uns anderweitig Informationen mitteilen, verarbeiten wir die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Die nachfolgend beschriebenen Daten sind für uns technisch erforderlich, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten und müssen daher von uns verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO:

IP-Adresse
Datum und Uhrzeit der Anfrage
Zeitzonendifferenz zur Greenwich Mean Time (GMT)
Inhalt der Anforderung (besuchte Seite)
Zugriffsstatus/HTTP-Statuscode
jeweils übertragene Datenmenge
vorher besuchte Seite
Browser
Betriebssystem
Sprache und Version der Browsersoftware.

7. Kontaktaufnahme

8. Einladung zu unseren Veranstaltungen

Wir setzen für unsere Online Marketing-Aktivitäten HubSpot ein. Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken, so unser Kontaktmanagement und Versand von Einladungsmails, über welche wir einen Link zur Anmeldung zu unseren Veranstaltungen bereit stellen.

Wir verarbeiten dabei

E-Mail-Adresse
Vorname, Name
Firma/Organisation

Diese Informationen werden auf Servern des Anbietes HubSpot gespeichert.

HubSpot ist ein Software-Unternehmen aus den USA mit einer Niederlassung in Irland:

HubSpot European Office
Ground Floor, Two Dockland Central
Guild Street, Dublin D01 K2C5, Ireland
Telefon: +353 1 5187500

Da eine Übertragung personenbezogener Daten in die USA erfolgt, sind weitere Schutzmechanismen erforderlich, die das Datenschutzniveau der DSGVO sicherstellen. Um dies zu gewährleisten, haben wir mit dem Anbieter Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Diese verpflichten den Empfänger der Daten in den USA die Daten entsprechend dem Schutzniveau in Europa zu verarbeiten.

Des Weiteren erlaubt das Data Privacy Framework (DPF), das am 10.07.2023 in Kraft getreten ist, den Datentransfer in die USA, soweit die Empfänger im Drittland im Sinne des DPF zertifiziert und gelistet sind.
HubSpot in der Liste als „Active“ aufgeführt.

Die gesamte Auflistung der Unternehmen finden Sie hier.

9. Datenverarbeitung bei Teilnahme an unseren Veranstaltungen

Wenn Sie sich auf unserer Website, per E-Mail oder über einen Einladungslink, den wir Ihnen zusenden, für eine unserer Veranstaltungen anmelden, verarbeiten wir Ihre personenbezogenen Daten, soweit dies für die Organisation, Durchführung und Nachbereitung der Veranstaltung erforderlich ist. Dazu erheben wir folgende Daten von Ihnen: Vor- und Nachname, Unternehmen/Organisation, Anschrift, E-Mail-Adresse. Die Rechtsgrundlage hierfür ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Die Bereitstellung Ihrer Daten ist für die Teilnahme an der Veranstaltung erforderlich und Sie sind vertraglich verpflichtet, Ihre Daten zur Verfügung zu stellen. Bei Nichtbereitstellung Ihrer Daten ist ein Vertragsabschluss und/oder die -Durchführung nicht möglich. Nach der Zweckerreichung (z.B. Vertragsabwicklung) werden die personenbezogenen Daten für eine weitere Verarbeitung gesperrt bzw. gelöscht, soweit wir nicht aufgrund einer von Ihnen erteilten Einwilligung (z.B. Einwilligung in die Verarbeitung der E-Mail-Adresse für Zusendung von elektronischer Werbepost), einer vertraglichen Vereinbarung, einer gesetzlichen Ermächtigung (z.B. Ermächtigung zur Zusendung von Direktwerbung) oder aufgrund berechtigter Interessen (z.B. Aufbewahrung zur Durchsetzung von Ansprüchen) zu einer weiteren Verarbeitung befugt sind. Für das Gästemanagement setzen wir bei einzelnen Veranstaltungen separat sowie innerhalb unseres Onlineangebotes die Softwarelösung „pretix“ der auf Events spezialisierten Firma rami.io GmbH ein. Der Dienstleister hat unter Umständen Zugriff auf Ihre Daten, um technische Probleme zu analysieren und Support-Anfragen zu beantworten.

Wenn Sie sich bei uns für die über die Cloudlösung pretix verwalteten Veranstaltungen anmelden, geben Sie folgende personenbezogene Daten im Anmeldeformular ein:

E-Mail-Adresse
Vorname, Name
Firma/Organisation
Anschrift
Bei kostenpflichtigen Veranstaltungen die Rechnungsanschrift

Wenn Sie ein Ticket bestellen, nutzt pretix Cookies, um den Bestellablauf zu verbessern und uns zu merken, welcher Warenkorb zu Ihnen gehört. Wir speichern keine IP-Adressen, Browser-Informationen oder andere unnötige Metadaten über die Dauer Ihrer Anfrage hinaus.

Wenn Sie für Ihr Ticket über einen Zahlungsanbieter wie PayPal, Stripe, Mollie oder Sofortüberweisung zahlen, überträgt pretix nur die absolut nötigen Daten zum jeweiligen Zahlungsdienstleister.

Die von Ihnen hinterlegten personenbezogenen Daten werden in pretix gespeichert und lediglich zum Zwecke der Einlasskontrolle sowie der Rechnungslegung der jeweiligen Veranstaltung verarbeitet. Die Daten werden zunächst in die Gästeliste einpflegt. Sobald die Gästeliste finalisiert ist, erhalten Sie von uns ein über pretix generiertes Ticket mit Vor- und Nachname sowie einem QR-Code, mit dem Sie sich beim Einlass zur Veranstaltung legitimieren. Um Ihnen Einlass gewähren zu können, scannen wir am Veranstaltungstag vor Ort Ihren QR-Code ein und bitten Sie, sich auszuweisen. Sie erhalten Zutritt, sobald das System zurückmeldet, dass Sie auf der Gästeliste stehen und Sie sich ausweisen können. Das System speichert, dass und wann Sie eingecheckt haben. Die Rechnungslegung erfolgt direkt über das Online-Tool.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, den Zutritt zu unseren Veranstaltungen im Rahmen unseres Hausrechts zu kontrollieren und nur geladenen Gästen Einlass zu gewähren.

Wir speichern Ihre Daten für die Dauer der Organisation (inkl. entsprechender Vor- und Nachbereitung) der jeweiligen Veranstaltung. Eventuell bestehende gesetzliche Aufbewahrungspflichten bleiben hiervon unberührt. Innerhalb von zwei Wochen nach Abschluss der Veranstaltung werden Ihre Daten aus pretix bei uns gelöscht.

Sie können Widerspruch gegen die Verarbeitung einlegen. Ihr Widerspruchsrecht besteht bei Gründen, die sich aus Ihrer besonderen Situation ergeben. Sie können uns Ihren Widerspruch über die oben genannten Kontaktdaten zukommen lassen.

10. Foto-/Videoaufnahmen anlässlich von Veranstaltungen

Anlässlich von Veranstaltungen machen wir Fotos und Videoaufnahmen und veröffentlichen diese im Nachgang. Die Aufnahmen dienen der Öffentlichkeitsarbeit auf der Webseite von Publix, in Social Media (Instagram, LinkedIn), Pressemitteilungen sowie der Dokumentation der Veranstaltung online und offline.

Die Verarbeitung dient der Wahrung des berechtigten Interesses von publix an Öffentlichkeitsarbeit und Dokumentation im Sinne von Art. 6 Abs. 1 f) DSGVO. Gegen die Verarbeitung steht Ihnen in begründeten Fällen ein Widerspruchsrecht zu.

Eine Auswahl der Bilder wird an Förderer, Sponsoren und Partner, Mitveranstalter und an Vertreter der Presse zu journalistischen-redaktionellen Zwecken geschickt.

Legt die betroffene Person Widerspruch gegen veröffentlichte Fotos ein und bestehen wiederum keine vorrangigen Gründe seitens Publix für die weitere Verarbeitung der Fotos, werden diese unverzüglich gelöscht. Im Übrigen werden die Fotos gelöscht, sobald diese für die Zwecke, für die sie erstellt wurden, nicht mehr gebraucht werden.

§ 2 Ihre Rechte

(1) Sie haben gegenüber einem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft,
Recht auf Berichtigung oder Löschung,
Recht auf Einschränkung der Verarbeitung,
Recht auf Widerspruch gegen die Verarbeitung,
Recht auf Datenübertragbarkeit.

(2) Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

§ 3 Drittübermittlung

Die Videoüberwachung führe wir selber durch. Eine Datenübermittlung findet nur in konkreten hier beschriebenen Fällen statt und zwar im Falle des Verdachts einer Straftat, zur Durchsetzung zivilrechtlicher Ansprüche sowie bei Vorliegen einer gesetzlichen Verpflichtung, werden die Videoaufzeichnungen an die zuständigen Stellen (z. B. Strafverfolgungsbehörden) übermittelt.

Wir greifen für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurück. Diese Dienstleister wählen wir stets sorgfältig aus und überwachen sie gemäß Art. 28 DSGVO. Wir informieren Sie unten stehend im Detail über die jeweiligen Diensteanbieter:

a.) Wir arbeiten in unserem Buchungssystem mit HubSpot, Inc., 25 First Street, Cambridge, MA 02141 USA, E-Mail: hubspotgermany@hubspot.com, Telefon: +1 888 HUBSPOT. (+1 888 482 7768), Fax: +1 617 812 5820 zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://www.hubspot.de/data-privacy/gdpr
b.) Weiter arbeiten wir beim Versand unseres Newsletters mit The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, US zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://mailchimp.com/de/help/mailchimp-european-data-transfers
c.) Für Verträge arbeiten wir mit DocuSign Germany GmbH, c/o Bird & Bird LLP, Maximiliansplatz 22, 80333 München, Deutschland/Germany zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://www.docusign.com/de-de/datenschutzerklaerung/datenschutz
d.) Für unsere Buchhaltung arbeiten wir mit DATEV eG, Paumgartnerstr. 6 - 14, 90429 Nürnberg, Deutschland zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://www.datev.de/web/de/m/ueber-datev/datenschutz/ sowie mit der visual4 GmbH, Schreiberstr. 27, 70199 Stuttgart zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://1crm-system.de/datenschutzerklaerung/
e.) Für die Webseiten-Analyse nutzen wir Fathom Analytics von Conva Ventures Inc., BOX 37058 Millstream PO, Victoria, British Columbia, Canada. Die geltenden Datenschutzbestimmungen können hier und hier abgerufen werden.
f.) Für unsere Projektmanagement arbeiten wir mit RealtimeBoard, Inc. dba Miro (“Miro”), Address: 201 Spear Street, Suite 1100, San Francisco, CA 94105 zusammen. Die geltenden Datenschutzbestimmungen können hier abgerufen werden: https://miro.com/de/trust/datenschutz-und-governance/
g.) Für das Buchungssystem beauftragter Dienstleister ist die THING TECHNOLOGIES GmbH, Grüneburgweg 58-62, 60322 Frankfurt am Main. Wir haben einen Auftragsverarbeitungs-Vertrag gemäß Art. 28 DSGVO geschlossen. Weitere Informationen finden Sie hier: https://www.thing-it.com/data-protection