# Datenschutzbestimmungen der cepharum GmbH

Stand: 14. September 2020

Druckversion

# 1. Begriffe

# 1.1. Dienste und Besucher

Die cepharum GmbH (nachfolgend cepharum genannt) bietet webbasierte Dienste (z.B. Websites und Online-Shops) im Internet an, welche ohne Authentifizierung genutzt werden können. Ab dem ersten Zugriff auf diese Dienste ist man Besucher im Sinne dieser Datenschutzerklärung.

# 1.2. Dienstleistungen und Kunden

Daneben bietet cepharum auf Basis vertraglicher Vereinbarungen erweiterte Dienstleistungen an. Diese umfassen

  • erweiterte Zugriffsmöglichkeiten auf zuvor genannte Dienste der cepharum nach vorheriger Authentifizierung,
  • die Herstellung, die Betreuung und den Vertrieb von Multimedia - sowohl über die genannten Dienste der cepharum als auch in Filialen der cepharum,
  • die zulassungsfreie Kommunikationsberatung für Unternehmen und
  • die Bereitstellung und/oder Betreuung von Ressourcen im Internet (Hosting).

Durch die entgeltliche oder unentgeltliche Inanspruchnahme mindestens eines dieser Angebote wird man Kunde der cepharum, die daraufhin ein Kundenkonto einrichtet und zur Betreuung des vertraglichen Verhältnisses führt. Ein Kundenkonto umfasst sowohl nur intern verwaltete Daten als auch durch den Kunden unmittelbar über die oben genannten erweiterten Zugriffsmöglichkeiten einsehbare Daten.

# 1.3. Nutzer

In der nachfolgenden Darstellung werden Besucher und Kunden vereinfacht als Nutzer bezeichnet, sobald Ausführungen einheitlich für beide Rollen gelten.

# 1.4. Server der cepharum

Die cepharum mietet in der EU betriebene Server bei in Deutschland ansässigen Unternehmen an, um darüber eigene Angebote und Angebote ihrer Kunden zu betreiben. Im Rahmen dieser Erklärung werden jene Server vereinfacht als Server der cepharum bezeichnet.

# 1.5. Daten

Die nachfolgende Darstellung nutzt den Begriff Daten ausschließlich in Stellvertretung für personenbezogene Daten im Sinne des §4 Abs. 1 DSGVO.

# 2. Gegenstand

Gegenstand dieser Erklärung ist die Erhebung, Verarbeitung und Nutzung von Daten durch cepharum bei Inanspruchnahme der von cepharum angebotenen Dienste und Dienstleistungen. Darüber hinaus erstreckt sich diese Erklärung auf Daten, die ein Nutzer im Zuge dieser Inanspruchnahme aktiv zur Verfügung stellt.

Hierzu zählen

  • Verkehrsdaten, welche die Inanspruchnahme und daraus resultierende Vorgänge innerhalb des Angebots von cepharum und in der Interaktion mit Dritten dokumentieren,
  • Daten, welche durch Kunden der cepharum für den Betrieb von Angeboten des jeweiligen Kunden auf Servern der cepharum gespeichert werden, und
  • sonstige Daten, die Kunden bei Inanspruchnahme von entgeltpflichtigen Angeboten der cepharum über diese verwalten und auf den Servern der cepharum speichern.

Diese Erklärung betrifft ausdrücklich nicht solche Daten, welche von Kunden der cepharum mit eigenen Angeboten und deren Funktionen erhoben, gespeichert und/oder anderweitig verarbeitet werden. Hier gelten die Datenschutzerklärungen der jeweiligen Kunden.

# 3. Verantwortliche Stelle, Kontaktadresse

Verantwortliche Stelle im Sinne des Datenschutzrechts ist cepharum. Bei Fragen zur Verwendung der Daten oder wenn Sie von den hierin beschriebenen Rechtsbehelfen Gebrauch machen wollen, senden Sie eine E-Mail an:

info@cepharum.de

Postalische Anfragen richten Sie an:

cepharum GmbH
Postfach 74 01 43
13091 Berlin

Die zuständige Aufsichtsbehörde ist die/der:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin

# 4. Rechte der Nutzer

Die Nutzer haben das Recht auf:

  • Auskunft darüber, welche Kategorien von persönlichen Daten und wie diese verarbeitet werden,
  • Berichtigung und Vervollständigung der Daten,
  • Löschung,
  • Einschränkung der Verarbeitung,
  • Datenübertragbarkeit,
  • Widerspruch.

# 5. Gesetzliche Grundlage

Für die Verwendung der Daten sind die jeweils geltenden gesetzlichen Bestimmungen maßgeblich, insbesondere das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und die Datenschutzgrundverordnung (DSGVO).

Die vorgenannten Rechte der Nutzer können durch gesetzliche Bestimmungen im Telekommunikationsgesetz (TKG) und durch Vorschriften in den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) teilweise eingeschränkt werden.

# 6. Erhebung von Daten

# 6.1. Verkehrsdaten

Die cepharum protokolliert die Inanspruchnahme eigener Angebote und der Angebote ihrer Kunden durch Erfassung von Verkehrsdaten im Sinne des §3 Nr. 30 TKG.

Verkehrsdaten entstehen vorrangig beim

  • Abruf von Webseiten und zugehörigen Dateien, welche über Server der cepharum angeboten werden,
  • authentifizierten Zugriff auf E-Mail-Postfächer, Kalender, Kontakte, Datenbanken und Dateisysteme durch Kunden der cepharum,
  • Versenden und Empfangen von E-Mails über Server der cepharum,
  • Übermitteln von E-Mails zwischen Servern der cepharum und Servern der externen Empfänger oder Absender von E-Mails.

Verkehrsdaten umfassen generell oder je nach Zugriffsart

  • die IP-Adresse der Gegenstelle, von welcher der Zugriff erfolgt oder auf die ausgehend zugegriffen wird,
  • die IP-Adresse und ggf. der Name des Servers, auf den oder von dem ausgehend zugegriffen wird,
  • den Zeitpunkt des Zugriffs,
  • Nutzernamen bei Authentifizierungsvorgängen,
  • Informationen zur abgerufenen Seite oder Datei (bspw. bei Webseiten),
  • Absender und Empfänger bei E-Mails,
  • Status-Codes der Übertragung,
  • Größen übertragener Datensätze.

# 6.2. Kommunikation

cepharum ist durch gesetzliche Bestimmungen verpflichtet, Kommunikationsinhalte, welche an die oder von der cepharum auf elektronischem und nicht-elektronischem Wege übermittelt werden, langfristig zu archivieren. Dies schließt ausdrücklich Inhalte von E-Mails ein.

# 6.3. Kundendaten

Bei Beauftragung zur Erbringung von Dienstleistungen oder bei Bestellung von vertriebenen Waren wird der Kunde um Angaben zu seiner Person gebeten. Von diesen sind nur diejenigen Angaben als Pflichtangaben vorgesehen, die für das jeweilige Vertragsverhältnis benötigt werden.

# 6.4. Nutzungsdaten

Bei Inanspruchnahme webbasierter Dienste der cepharum werden Informationen über den Nutzer teilanonymisiert erhoben und in pseudonymisierten Profilen zusammengefasst. Die erhobenen Daten umfassen die verkürzte (somit teilanonymisierte) IP-Adresse, den eingesetzten Browser, ausgewählte Features des Browsers, das Betriebssystem und die Grafikauflösung des Nutzers, die abgerufene Webseite und von welcher Webseite zu dieser weitergeleitet wurde. Durch den Einsatz von Cookies werden wiederkehrende Nutzer erkannt und deren pseudonymisierte Profile miteinander verknüpft.

Die Erhebung dieser Nutzungsdaten kann durch Einstellungen im Browser („Do Not Track“-Option) vollständig unterbunden werden.

# 6.5. Cookies

Cookies sind Dateien, die bei Inanspruchnahme webbasierter Dienste von cepharum auf dem Computer eines Nutzers gespeichert und bei nachfolgenden Zugriffen auf jene Dienste an die Server von cepharum übertragen werden. Sie sind erforderlich, um erweiterte Funktionalitäten in webbasierten Angeboten grundsätzlich zu ermöglichen. Ein Verzicht auf Cookies kann darum zu funktionalen Einschränkungen der angebotenen Dienste führen.

Cookies können je nach Zweck kurzfristig bis zum Schließen des Browsers oder langfristig bis zu einem zukünftigen Ablaufdatum gespeichert werden.

cepharum setzt einen oder mehrere Cookies

  • zur kurzfristigen Speicherung für die erweiterte Funktionalität von eigenen Angeboten wie dem authentifizierten Zugriff auf geschützte Inhalte oder dem Warenkorb in Online-Shops,
  • zur langfristigen Speicherung von maximal 13 Monaten für die oben unter „Nutzungsdaten“ beschriebenen Erhebungen,
  • zur langfristigen Speicherung von maximal 12 Monaten bei der Bestätigung eines neuen Nutzers, diese Datenschutzbestimmungen als Grundlage des in Anspruch genommenen Angebots von cepharum anzuerkennen, um eine erneute Anzeige jenes Hinweises zu unterbinden.

Das Speichern von Cookies auf der Festplatte kann durch die Aktivierung von Browser-Einstellungen wie „keine Cookies akzeptieren“ oder vergleichbar verhindert werden. Nähere Informationen hierzu können der Anleitung des jeweiligen Browsers entnommen werden. Der Nutzer kann über Funktionen des Browsers alle gesetzten Cookies ungeachtet der seitens cepharum gewünschten Speicherung jederzeit löschen.

cepharum garantiert, dass neben Cookies keine versteckten Alternativtechnologien (wie z.B. ETags) eingesetzt werden, um die mit Cookies erzielbaren Möglichkeiten auch ohne Zustimmung des Nutzers zur Speicherung von Cookies zu gewährleisten.

# 7. Verarbeitung und Nutzung von Daten

cepharum verwendet die erhobenen Daten für nachfolgend beschriebenen Zwecke. Jegliche Änderung oder Erweiterung bedarf der unmittelbaren Zustimmung durch den Nutzer.

# 7.1. Bestandsdaten

Die Daten im Kundenkonto zu Person und Adresse des Nutzers, sowie dem Konto zuzuweisende Datensätze zu Vorgängen (wie z.B. Bestellungen, Lieferungen, Rechnungen) innerhalb eines Vertragsverhältnisses werden für dessen Begründung, Verwaltung und Abrechnung verwendet.

# 7.2. Verkehrsdaten

Die Erhebung von Verkehrsdaten dient

  • der Erfüllung gesetzlicher Vorgaben im Rahmen des TKG,
  • der Überwachung der Betriebsfähigkeit der jeweiligen Angebote und der Analyse von Beeinträchtigungen derselbigen,
  • der internen Bearbeitung von Kundenreklamationen. Jede Weitergabe an oder Einsicht durch einen reklamierenden Kunden ist auf Daten dieses Kunden beschränkt.

# 7.3. Nutzerdaten

Die von Nutzern bei Inanspruchnahme von Dienstleistungen überlassenen Daten werden auf Servern von cepharum gespeichert und im Rahmen von Sicherungen aller Datenbestände kopiert und archiviert. Eine darüber hinaus gehende Verwertung dieser Daten erfolgt nicht.

# 7.4. Kommunikationsinhalte

Die in der Kommunikation mit cepharum enthaltenen Daten werden intern gespeichert und nur im Rahmen der GoBD berechtigten Institutionen zur Einsicht angeboten.

Diese Daten können nur in Übereinstimmung mit der GoBD gelöscht werden.

# 8. Datenübermittlung an Dritte

cepharum übermittelt Daten nur dann an Dritte, wenn

  • der Nutzer der Übermittlung zugestimmt hat oder
  • die Übermittlung zur Durchführung oder Abrechnung der in Anspruch genommenen Dienste erforderlich ist. Dies gilt insbesondere, wenn durch den Dienst Waren oder Dienstleistungen eines selbständigen Partnerunternehmens in Anspruch genommen werden oder ein Erfüllungsgehilfe für die Erbringung einer vereinbarten Leistung diese Daten benötigt. Solche Erfüllungsgehilfen sind, soweit dem Kunden nicht ausdrücklich etwas anderes mitgeteilt wird, nur insoweit zur Verwendung berechtigt, als dies für die übertragene Teilleistung erforderlich ist.
  • Strafverfolgungsbehörden oder Gerichte nach Maßgabe der anwendbaren Gesetze Auskünfte zum Zwecke der Strafverfolgung verlangen.

# 8.1. Einbindung von Fremdangeboten

cepharum nutzt in eigenen webbasierten Diensten Schriftarten, welche lizenzrechtlich bedingt nur durch direkten Abruf von Drittanbietern verfügbar sind. Dadurch wird es diesen Anbietern als Lizenzgeber technisch ermöglicht, Nutzerzugriffe auf webbasierte Angebote der cepharum zu protokollieren.

cepharum hat keinen Einfluss darauf, ob und in welcher Form und in welchem Umfang diese Erhebung seitens der Lizenzgeber erfolgt und ob und in welchem Ausmaß es diesen möglich ist, einen u.U. zunächst fehlenden Personenbezug in den erhobenen Daten zu rekonstruieren. cepharum weist hiermit Nutzer seiner Dienste darauf hin, dass in diesem Fall nicht cepharum Daten an Dritte weitergibt, sondern der Browser des Nutzers zum Abruf der Schriftarten angewiesen wird und cepharum in diesen Abruf nicht involviert ist. Es obliegt dem Browser des Nutzers bzw. dem Nutzer selbst, diese Anweisungen zum Schutz seiner Daten durch Einstellungen im Browser durch diesen ignorieren zu lassen.

Folgende Dienste der jeweils genannten Anbieter kommen zum Einsatz:

  • TypeKit der Adobe Systems Inc., siehe https://typekit.com
  • WebFonts der Monotype Imaging Inc., siehe https://fonts.com
  • WebFonts der Google Inc., siehe https://fonts.google.com

Zur Vermeidung vergleichbarer Möglichkeiten der Protokollierung des Nutzerverhaltens auf ihren webbasierten Angeboten durch Dritte verzichtet die cepharum auf den Einsatz sogenannter Content Delivery Networks (CDN) und die direkte Einbindung von Funktionen von Social Media-Plattformen, von externen Analyse-Tools und Kartendiensten.

# 9. Löschen von Daten

Soweit Daten des Nutzers nicht mehr für die oben genannten Zwecke einschließlich der Abrechnung erforderlich sind und auch nicht mehr aufgrund gesetzlicher Regelung vorgehalten werden müssen, werden diese gelöscht. Hierbei ist zu beachten, dass bei jeder Löschung die Daten zunächst nur gesperrt und dann erst mit zeitlicher Verzögerung endgültig gelöscht werden, um versehentlichen Löschungen oder vorsätzlichen Schädigungen vorzubeugen. Aus technischen Gründen werden Daten in Datensicherungsdateien und Spiegelungen von Diensten dupliziert. Solche Kopien werden technisch bedingt erst mit einer zeitlichen Verzögerung von maximal 30 Tagen gelöscht.

# 10. Datensicherheit

cepharum verpflichtet sich, die Daten des Nutzers mit Sorgfalt zu behandeln und bestmöglich vor unbefugtem Zugriff, Verlust, Missbrauch oder Zerstörung zu schützen. Hierfür werden verschiedene, dem aktuellen technischen Stand entsprechende Maßnahmen ergriffen. Passwörter für Nutzer- und Kundenkonten werden stets in einer irreversibel kodierten Form gespeichert.

cepharum nutzt für die Übertragung von Daten zwischen dem Computer von Nutzern und den Servern der cepharum verschlüsselte Verbindungen. Diese erschweren das unmittelbare Mitlesen übertragener Daten, können aber keine absolute Sicherheit bspw. vor dem Mitlesen der verschlüsselten Daten und deren langfristiger Entschlüsselung garantieren.

Der Nutzer erkennt an, dass cepharum zur Bereitstellung verfügbarer Dienste öffentlich erreichbare Serversysteme im Internet betreibt und technisch imstande ist, alle dort abgelegten Daten (Webseiten, E-Mails, Logbücher, Datenbanken) des Nutzers einzusehen. Weiterhin erkennt er an, dass der unbefugte Zugriff Dritter auf diese Daten auch bei deren zusätzlicher Verschlüsselung nach derzeitigem Stand der Technik nicht vollständig ausgeschlossen werden kann.

Sollte es dennoch zu unbefugtem Zugriff, Verlust oder Missbrauch von Daten kommen, durch die dem Nutzer Risiken entstehen, wird cepharum dem Nutzer sowie der zuständigen Aufsichtsbehörde unverzüglich eine entsprechende Meldung zur Art und den Folgen der Verletzung sowie den eingeleiteten Maßnahmen vorlegen.

# 11. Haftung im Innenverhältnis

cepharum haftet nicht für Schäden,

  • die dem Kunden oder seinen auf den Servern von cepharum gespeicherten Daten durch unsachgemäßen Umgang des Kunden entstehen. Dies betrifft u.a.

    • den Einsatz unzureichend sicherer und geschützter Zugangsinformationen, welche der Kunde selbst verwaltet,
    • die vom Kunden auf den Servern der cepharum eingerichteten Angebote und deren Funktionen (z.B. Webdienste des Kunden) und
    • die von cepharum im Auftrag des Kunden eingerichteten Anwendungen von Fremdanbietern.
  • die durch unbefugten oder missbräuchlichen Zugriff auf Daten eines Nutzers auf dem Übertragungsweg zwischen dem Computer des Nutzers und den Servern von cepharum entstehen.

# 12. Haftungsausschluss gegenüber Dritten

Diese Datenschutzerklärung betrifft nicht den Schutz jener Daten, welche Kunden im Zuge der Bereitstellung eigener Dienste von Dritten erfassen und verarbeiten. Der Kunde verpflichtet sich, in diesen Fällen eine eigene Datenschutzerklärung für solche Angebote zu veröffentlichen. Der Kunde stellt cepharum ausdrücklich von Haftungs- oder Schadensersatzansprüchen Dritter frei, die diesen durch Inanspruchnahme der Angebote des Kunden entstehen.

# 13. Änderungen dieser Datenschutzerklärung

cepharum behält sich das Recht vor, diese Datenschutzerklärung an kommende Formen der Verwendung von Daten bzw. an kommende Anforderungen an diese Erklärung anzupassen.