Datenschutzerklärung

Erklärung zum Umgang mit Daten bei der Nutzung von www.nightvibes.com

Information zur Datenschutz-Grundverordnung

Zur Information über die Einhaltung der Datenschutz-Grundverordnung (DS-GVO) finden Sie am Ende dieser
Datenschutzerklärung eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen,
eine Erläuterung der wichtigsten Prinzipien, sowie eine Liste der Auftragsverarbeiter, mit denen die Night Vibes UG
(haftungsbeschränkt) arbeitet.

DATENSCHUTZERKLÄRUNG

Zuletzt geändert: 14. August 2018

I. Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der
Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

Night Vibes UG (haftungsbeschränkt)
Kleestraße 42
67659 Kaiserslautern
E-Mail: datenschutz@nightvibes.com
Website: www.nightvibes.com

II. Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:

Kevin Müller
Kleestraße 42
67659 Kaiserslautern
E-Mail: datenschutz@nightvibes.com

III. Allgemeine Nutzung der Website

1. Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen
Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt
regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer
Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet
ist.

Im Allgemeinen holen wir nur personenbezogene Informationen von Benutzern unserer Website in Verbindung mit Anfragen zu
unseren Dienstleistungen, z.B. über die „Kontakt“-Seite oder den „Online-Check“ ein. Als „Night Vibes“-Kunde erhalten Sie
außerdem über einen Log-In auf unserer Website Zugang zu Ihrem persönlichen Night Vibes-Dashboard und Nutzerkonto. Im
Nutzerkonto werden Ihre personenbezogenen Informationen gespeichert und von uns nur insoweit verwendet, um Ihnen die
vertraglich vereinbarten Dienstleistungen zukommen zu lassen und unsere Vertragsbeziehung zu organisieren und zu verwalten.
Zusätzlich zu den oben genannten Daten können diese Informationen Folgendes umfassen: Ihre private/geschäftliche Adresse;
Ihre private/geschäftliche Festnetz- oder Mobilfunknummer; Ihr Passwort und den von Ihnen gewählten Benutzernamen; Ihre
Zahlungsinformationen; Ihr Geburtsdatum; Alle weiteren Informationen, die Sie uns z.B. zur Veröffentlichung in Suchmaschinen,
Online-Verzeichnismedien und Social-Networks bereitstellen; Angaben zu den von Ihnen erworbenen Night Vibes-
Dienstleistungen. Wenn Sie uns im Zusammenhang mit einer Anfrage zu einem Stellenangebot auf unserer „Karriere“-Seite eine
E-Mail senden, können wir Ihre personenbezogenen Informationen speichern, die mit einer solchen Anfrage verbunden sind,
darunter beispielsweise: Ihre Ausbildungsinformationen; Ihre Berufserfahrung; Ihre berufliche Laufbahn; Ihre berufsbezogenen
Präferenzen.

Wenn Sie mit uns in Kontakt treten (z. B. per Kontaktformular oder E-Mail), speichern wir Ihre Angaben zur Bearbeitung der
Anfrage sowie für den Fall, dass Anschlussfragen entstehen. Weitere personenbezogene Daten speichern und nutzen wir nur,
wenn Sie dazu einwilligen oder dies ohne besondere Einwilligung gesetzlich zulässig ist.

Im Rahmen von Online-Bewerbungen oder Bewerbungen per E-Mail speichern wir die personenbezogenen Daten nur für den
vorgesehenen Zweck des Bewerbungsverfahrens. Die Bewerbung wird von uns für eine Dauer von höchstens sechs Monaten
gespeichert.

Eine Speicherung und Verwendung der Bewerberdaten über einen Zeitraum von länger als sechs Monaten sowie die Weitergabe
der Bewerberdaten an weitere dritte Anbieter erfolgt nur mit ausdrücklicher Einwilligung des Bewerbers. Diese Einwilligung ist
jederzeit widerrufbar.

2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6
Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene
Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die
zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser
Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung
personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und
überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6
Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

3. Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt.
Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in
unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde.
Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene
Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss
oder eine Vertragserfüllung besteht.

IV. Bereitstellung der Website und Erstellung von Logfiles

1. Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des
aufrufenden Rechners.

Beim Aufrufen unserer Website www.nightvibes.com werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser
automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile
gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

– IP-Adresse des anfragenden Rechners,

– Datum und Uhrzeit des Zugriffs,

– Name und URL der abgerufenen Datei,

– Website, von der aus der Zugriff erfolgt (Referrer-URL),

– verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers.

2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

3. Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den
Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der
Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.

5. Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der
Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

V. Verwendung von Cookies

a) Beschreibung und Umfang der Datenverarbeitung

Unsere Webseite verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom
Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie
auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine
eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht. Auf verschiedenen Seiten verwenden
wir, ähnlich wie viele andere Webseiten, sogenannte Cookies, um den Besuch unserer Website attraktiv zu gestalten und die
Nutzung bestimmter Funktionen zu ermöglichen. Hierbei handelt es sich um kleine Textdateien, die auf Ihrem Rechner abgelegt
werden und die eine Analyse der Benutzung dieser Website durch Sie ermöglichen. Die meisten der von uns verwendeten
Cookies werden nach Ende der Browser-Sitzung wieder von Ihrer Festplatte gelöscht (sog. Sitzungs-Cookies). Andere Cookies
verbleiben auf Ihrem Rechner und ermöglichen es uns, Ihren Rechner bei Ihrem nächsten Besuch wieder zu erkennen (sog.
dauerhafte Cookies). Unseren Partnerunternehmen ist es nicht gestattet, über unsere Website personenbezogene Daten mittels
Cookies zu erheben, zu verarbeiten oder zu nutzen. Sollten Sie den Einsatz von Cookies nicht wünschen, können Sie ihn selbst
unterbinden: Die Hilfe-Funktion in der Menüleiste der meisten Webbrowser erklärt Ihnen, wie Sie Ihren Browser so einstellen,
dass er keine neuen Cookies akzeptiert, er Sie bei neuen Cookies auf diese hinweist, oder sämtliche bereits erhaltenen Cookies
löscht.

Allerdings ermöglichen Ihnen Cookies, einige der Funktionen auf unserer Website zu nutzen, so dass wir Ihnen empfehlen, die
Cookie-Funktion eingeschaltet zu lassen.

b) Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f
DSGVO.

c) Zweck der Datenverarbeitung

Der Einsatz von Cookies dient einerseits dazu, die Nutzung unseres Angebots für Sie angenehmer zu gestalten. So setzen wir
sogenannte Session-Cookies ein, um zu erkennen, dass Sie einzelne Seiten unserer Website bereits besucht haben. Diese
werden nach Verlassen unserer Seite automatisch gelöscht. Darüber hinaus setzen wir ebenfalls zur Optimierung der Benutzer-
freundlichkeit temporäre Cookies ein, die für einen bestimmten festgelegten Zeitraum auf Ihrem Endgerät gespeichert werden.
Besuchen Sie unsere Seite erneut, um unsere Dienste in Anspruch zu nehmen, wird automatisch erkannt, dass Sie bereits bei
uns waren und welche Eingaben und Einstellungen sie getätigt haben, um diese nicht noch einmal eingeben zu müssen. Zum
anderen setzten wir Cookies ein, um die Nutzung unserer Website statistisch zu erfassen und zum Zwecke der Optimierung
unseres Angebotes für Sie auszuwerten. Diese Cookies ermöglichen es uns, bei einem erneuten Besuch unserer Seite
automatisch zu erkennen, dass Sie bereits bei uns waren. Diese Cookies werden nach einer jeweils definierten Zeit automatisch
gelöscht.

In diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der personenbezogenen Daten nach Art. 6 Abs. 1
lit. f DSGVO.

e) Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an unsere Seite übermittelt. Daher haben Sie als
Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem
Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können
jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können
möglicherweise nicht mehr alle Funktionen der Website vollumfäng-lich genutzt werden.

VI. Tracking

1. Umfang der Verarbeitung personenbezogener Daten

Wir nutzen auf unserer Website Google Analytics, einen Webanalysedienst der Google Inc. („Google“) zur Analyse des
Surfverhaltens unserer Nutzer. Die Software setzt ein Cookie auf dem Rechner der Nutzer (zu Cookies siehe bereits oben).
Werden Einzelseiten unserer Website aufgerufen, so werden folgende Daten gespeichert:

Night Vibes benutzt zudem für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung des Angebots
das Tracking-System Google Analytics. Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website durch
Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-
Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen
benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber
zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit
Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google
in Verbindung bringen. Sie können wie bereits erläutert die Installation der Cookies durch eine entsprechende Einstellung Ihrer
Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche
Funktionen dieser Website vollumfänglich nutzen können.

2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ist Art. 6 Abs. 1 lit. f DSGVO.

3. Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten der Nutzer ermöglicht uns eine Analyse des Surfverhaltens unserer Nutzer. Wir
sind durch die Auswertung der gewonnen Daten in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer
Webseite zusammenzustellen. Dies hilft uns dabei unsere Webseite und deren Nutzerfreundlichkeit stetig zu verbessern. In
diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der Daten nach Art. 6 Abs. 1 lit. f DSGVO. Durch die
Anonymisierung der IP-Adresse wird dem Interesse der Nutzer an deren Schutz personenbezogener Daten hinreichend
Rechnung getragen.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden.

5. Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner des Nutzers gespeichert und von diesem an unsere Seite übermittelt. Daher haben Sie als
Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem
Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können
jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können
möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden.

VII. Social Plug-Ins von Facebook, Twitter, LinkedIn und Xing

Wir bieten Ihnen auf unserer Webseite die Möglichkeit der Nutzung von sog. „Social Plugins“ der Unternehmen:

Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA;

„Tweet“-Schaltfläche von Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA;

„Recommended-Button“ von LinkedIn Corporation, 2029 Stierlin Court, Mountain View, CA 94043, USA;

„Share-Button“ von XING AG, Gänsemarkt 43, 20354 Hamburg, Deutschland.

Hierbei werden die Plugins auf der Webseite lediglich als Grafik dargestellt, die eine Verlinkung auf die entsprechende Webseite
des Plugin-Anbieters beinhaltet. Durch Anklicken der Grafik werden Sie somit zu den jeweiligen Diensten der Anbieter
weitergeleitet. Erst dann werden ihre Daten an die jeweiligen Dienste gesendet. Sofern Sie die Grafik nicht anklicken, findet
keinerlei Austausch zwischen Ihnen und den oben genannten Sozialen Netzwerken statt.

VIII. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte
gegenüber dem Verantwortlichen zu:

1. Auskunftsrecht

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personen-bezogene Daten, die Sie betreffen, von
uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;

(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;

(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten
offengelegt wurden oder noch offengelegt werden;

(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu
nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;

(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts
auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen
Person erhoben werden;

(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und –
zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder
an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten
Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten
personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung
unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen
Daten verlangen:

(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen
ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die
Einschränkung der Nutzung der personenbezogenen Daten verlangen;

(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder

(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob
die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer
Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines
wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen
unterrichtet bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung

a) Löschungspflicht

Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht
werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet
wurden, nicht mehr notwendig.

(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte,
und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten
Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.

(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft
gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Information an Dritte

Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO
zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten
angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen
Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c) Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem
der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9
Abs. 3 DSGVO;

(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für
statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung
der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend
gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden,
diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als
unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in
einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem
anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt
wurden, zu übermitteln, sofern

(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag
gem. Art. 6 Abs. 1 lit. b DSGVO beruht und

(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt
von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten
und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer
Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde.

7. Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie
betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies
gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die
Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht,
jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung
einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten
nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der
Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen
verwendet werden.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der
Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden
Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich
beeinträchtigt. Dies gilt nicht, wenn die Entscheidung

(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verant-wortlichen erforderlich ist,

(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und
diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten
Interessen enthalten oder

(3) mit Ihrer ausdrücklichen Einwilligung erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO
beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten
sowie Ihrer berechtigten Interessen getroffen wurden. Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche
angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das
Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf
Anfechtung der Entscheidung gehört.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf
Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden
personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die
Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Stand: August 2018

 

 

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO für
Auftragsverarbeiter (Art. 30 Abs. 2 lit. d DS-GVO)

(Stand: August 2018)

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1. Zutrittskontrolle


a. Regelungsinhalt:

Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen, mit
denen Daten im Auftrag verarbeitet werden, zu verwehren.

b. Technische und organisatorische Maßnahmen
Alle im Auftrag verarbeiteten Daten werden grundsätzlich in Sicherheitsbereichen gespeichert. Der Zutritt ist nur Berechtigten
möglich. Besucher haben sich beim Empfang anzumelden und werden grundsätzlich vom einem Night Vibes-Mitarbeiter
begleitet. Der Eintritt in die Arbeitsflächen erfolgt nur mit einem Sicherheitsschlüssel. Die Büroräume werden zudem nachts
und an Wochenenden sowie an Feiertagen von Sicherheitspersonal überwacht.

2. Zugangskontrolle

a. Regelungsinhalt:

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und
Freiheiten für betroffene Personen durch unbefugte Offenlegung bzw. unbefugten Zugang zu den im Auftrag verarbeiteten
Daten ist zu reduzieren. Es muss verhindert werden, dass Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und
Telekommunikationsanlagen von unbefugten Dritten genutzt werden können.

b. Technische und organisatorische Maßnahmen:
Alle Rechner verfügen über ein Zugangskontrollsystem. Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft
die notwendige Komplexität, die Lebensdauer des Passwortes, sowie die Wiederverwendung alter Passwörter. Datenträger
sind verschlüsselt, das Schlüsselmaterial ist beim Serveranbieter Mittwald CM Service GmbH & Co.KG gespeichert und kann
nur von autorisierten Night Vibes-Mitarbeitern eingesehen werden. Mobile Endgeräte von Night Vibes-Mitarbeitern werden
verschlüsselt. Die Mitarbeiter werden in diesem Zusammenhang regelmäßig durch zur Verfügung Stellung von Informationen
gebrieft und aufgeklärt. Im Rahmen des Remote Zugriffs auf die Infrastruktur besteht keine direkte Verbindung mit Servern,
die Zugriffe laufen über einen zentralen Server. Ein Zugang per Passwort ist nicht möglich, der Zugriff erfolgt über eine
individuelle Private-Key-Authentifizierung.
Für die Nutzung der Night Vibes-Applikation besteht zum Zwecke des höheren Schutzes für den Kunden eine
Mindestpasswortlänge. Zudem ist die „User Session“ durch einen „secure cookie“ gesichert.

3. Zugriffskontrolle

a. Regelungsinhalt:

Die zur Benutzung von IT-Systemen Berechtigten dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
Daten zugreifen. Im Auftrag verarbeitete Daten dürfen bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden.

b. Technisch organisatorische Maßnahmen:
Die eingesetzten IT-Systeme haben ein dediziertes Rechtesystem, welche es ermöglicht, Datenzugriffe und -veränderungen
auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Es gibt vorgeschriebene Regeln zur Passwortvergabe.
Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter.
Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der
ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen.
Ein anonymer Zugriff auf interne Daten ist nicht möglich, es gilt hier das „Principle of least privilege“. Zugriffe werden
grundsätzlich zentral und lokal protokolliert.
Die persönliche Verantwortung jedes Mitarbeiters für die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Daten
und Informationen wird durch zentral bereitgestellte Informationen gestärkt.

4. Trennungskontrolle

a. Regelungsinhalt

Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.

b. Technisch organisatorische Maßnahmen

Es existiert das Prinzip der Funktionstrennung zwischen Dienstleistung und Entwicklung, die eingebundenen Abteilungen sind
funktionell und organisatorisch getrennt. Schutzwürdige Daten werden den Mitarbeitern nur in dem Umfang zur Verfügung
gestellt, wie es für die zugewiesene Aufgabenerfüllung unbedingt erforderlich ist.
Der Übergang vom Entwicklungssystem zum Produktionssystem ist durch entsprechende Werkzeuge gesichert und
nachvollziehbar dokumentiert. Zu Entwicklungszwecken genutzte Daten werden anonymisiert.

5. Pseudonymisierung

Als Auftragsverarbeiter trifft Night Vibes zusätzlich zu Maßnahmen, die sich aus den jeweiligen Leistungsbeschreibungen der
Dienstleistungen ergeben oder durch den Verantwortlichen im Rahmen der Beauftragung vorgenommen werden, keine
Maßnahmen zur Pseudonymisierung.

II. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)


1. Weitergabekontrolle


a. Regelungsinhalt

Im Auftrag verarbeitete Daten dürfen bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung
auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

b. Technisch organisatorische Maßnahmen
Hierzu setzt Night Vibes für den elektronischen Transport Verschlüsselungsverfahren ein, die dem Stand der Technik
entsprechen und ein Schutzniveau erreichen, das den Anforderungen angemessen ist.
Der elektronische Transport von Daten ist über https und ssl verschlüsselt und über eine VPN-Verbindung abgesichert.
Erklärungen per Email erfolgen grundsätzlich mit einer elektronischen Signatur.

2. Eingabekontrolle


a. Regelungsinhalt

Veränderungen, Eingaben sowie das Entfernen personenbezogener Daten müssen kontrolliert und protokolliert werden, um
eventuelle, unbefugte Zugriffe zu erkennen und um hierauf schnellstmöglich reagieren zu können.

b. Technisch organisatorische Maßnahmen
Sämtliche Dateneingaben (Erstellung, Aktualisierung und Löschung) werden von der Night Vibes-Applikation gespeichert. Die
direkte Dateneingabe in die Datenbank ist nur mit speziellen Rechten möglich und ist zudem beschränkt auf einen kleinen
Personenkreis und wird von mindestens 4 Augen geprüft.

III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)


1. Verfügbarkeitskontrolle

a. Regelungsinhalt

Im Auftrag verarbeitete Daten sind gegen zufällige oder mutwillig herbeigeführte Zerstörung oder Verlust zu schützen.

b. Technisch organisatorische Maßnahmen

Als Rechenzentrum und Serverdienstleister nutzt Night Vibes den Service der Mittwald CM Service GmbH & Co.KG. Diese
stellen durch folgende Maßnahmen die Verfügbarkeit der Daten sicher:

– Die Systeme des Rechenzentrums sind auf verschiedene Brandabschnitte aufgeteilt.
– Durch regelmäßige Wartung der Produktionsanlagen besitzen die technischen Anlagen eine hohe Verfügbarkeit.
– Notstrom
– Die Stromversorgung für die IT-Systeme ist redundant aufgebaut und erlaubt über dynamische USV-Anlagen

(Unterbrechungsfreie Stromversorgung) die Leistungs-versorgung.
– Moderne Netzersatzanlagen ermöglichen den Betrieb des Rechenzentrums ohne Anbindung an das öffentliche

Stromnetz.
– Brandschutz: Brandfrühesterkennung; die Um- und Außenluft wird auf Brand-/Rauchaerosole detektiert.
– Brandabschnitte mit Feuer hemmenden Wänden
– Sauerstoffreduzierende Löschanlage
– Sprinkleranlage
– Klimatisierung: Die Klimatisierung des Rechenzentrums erfolgt über redundante Klimaanlagen und räumlich getrennte,

redundante Kältezentralen, die im Verbund arbeiten.

Night Vibes selbst stellt die optimale Verfügbarkeit zudem dadurch sicher, dass Backups mehrmals täglich erstellt und an
verschiedenen Orten (SQL oder direkter Snapshot) gespeichert werden. Zudem ist jede Komponente redundant und durch
eine Firewall gesichert.

2. Wiederherstellbarkeit


a. Regelungsinhalt

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und
Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust,
Veränderung oder unbefugte Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu diesen durch
einen physischen oder technischen Zwischenfall ist zu reduzieren.

b. Technisch organisatorische Maßnahmen

Datenbank-Snapshots können jederzeit wiederhergestellt werden. Die Infrastruktur kann innerhalb von wenigen Stunden
durch höchst automatisierte Verfahren wiederhergestellt werden.

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1

DS-GVO)

 

1. Datenschutzmanagement

 

a. Regelungsinhalt

Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben.

b. Technisch organisatorische Maßnahmen

Die Wirksamkeit der Maßnahmen wird durch den Datenschutzbeauftragten laufend geprüft. Der Datenschutzbeauftragte
lautet wie folgt:
Kevin Müller, Night Vibes UG (haftungsbeschränkt), Kleestraße 42, 67659 Kaiserslautern; Email:
datenschutz@nightvibes.com

2. Incident-Response-Management


a. Regelungsinhalt

Im Falle von festgestellten, unbefugten Zugriffen auf Daten ist ein funktionales Management und eine damit verbundene
Fehleranalyse bzw. -behebung sicher zu stellen.

b. Technisch organisatorische Maßnahmen

Individuelle Maßnahmen werden mit den jeweiligen Kunden, verbunden mit Responsezeiten für verschiedene Szenarien, per
SLA definiert. Zudem ist ein interner Notfalldienst implementiert, der sowohl für die Infrastruktur als auch für die Applikation
zuständig ist.

 

Datenschutz-Grundverordnung (DS-GVO)

Am 25.05.2018 ist die neue Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten.

Bis dorthin galt die Datenschutzrichtlinie aus dem Jahr 1995 (Datenschutzrichtlinie 95/96-EG), doch die technologischen
Veränderungen der vergangenen Jahrzehnte machte eine Überarbeitung der Datenschutz-gesetze notwendig. Ziel der
Datenschutz-Grundverordnung ist die europaweite einheitliche Regelung beim Umgang mit personenbezogenen Daten sowie die
Anpassung an neue Technologien.

Um den Umgang personenbezogener Daten einheitlich zu regeln, wurde seitens der EU dieses Mal die Form einer Verordnung
gewählt. Während die vorherigen Grundsätze lediglich per EU-Richtlinie erlassen wurden, welche die Mitgliedsstaaten dazu
zwingt, nationale Gesetze anzupassen oder zu erlassen, ist der Erlass einer EU-Verordnung ein weiter reichender Schritt. Eine
EU-Verordnung umfasst nicht nur Maßnahmenkataloge und
Richtlinien zur Umsetzung nationaler Gesetze, sondern ersetzt diese automatisch mit Inkrafttreten. Verordnungen bieten nahezu
keine inhaltlichen und zeitlichen Spielräume, sie sind sofort nach Inkrafttreten für alle Staaten einheitlich rechtlich bindend und
ersetzen damit alle nationalen Gesetze im Rahmen des sachlichen Anwendungsbereiches.

Gleichzeitig beinhaltet die DS-GVO eine sog. Öffnungsklausel, die es den einzelnen Staaten ermöglicht, im Rahmen der DS-GVO
durch Erlass einzelner nationaler Gesetze die Rechte und Pflichten zu konkretisieren. Diese müssen selbstverständlich
rechtskonform mit den Vorschriften der DS-GVO sein. So trat ebenfalls am 25.05.2018 das neue Bundesdatenschutzgesetz
(BDSG-neu) in Kraft.

Insgesamt enthält die DS-GVO keine grundlegende Neuausrichtung des Datenschutzes. Vielmehr bleiben die bereits bekannten
Datenschutzgrundsätze wirksam und werden von der DS-GVO fortgeführt, teilweise verschärft und teilweise sogar abgeschwächt.

Anwendbar und damit relevant sind die Vorschriften der DS-GVO nur bei der Verarbeitung personenbezogener Daten.

Gemäß Art. 4 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere
mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder
zu einem oder mehreren besonderen Merkmalen, die Ausdruck der Identität dieser natürlichen Person sind, identifiziert werden
kann.

Unter Verarbeitung versteht die DS-GVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im
Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung,
Veränderung, Auslesen, Abfragen etc.).

Unter personenbezogenen Daten versteht man somit:

– Namen
– Adresse
– E-Mail-Adresse
– Telefonnummer
– Geburtstag
– Kontodaten
– Kfz-Kennzeichen
– Standortdaten
– IP-Adressen
– Cookies

Eine Grenze zieht die DS-GVO erst dort, wo die Daten tatsächlich anonym sind, d.h. bei Informationen, die in einer Weise
anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. In solchen Fällen handelt
es sich nicht mehr um personenbezogene Daten. Der datenschutzrechtliche Begriff der personenbezogenen Daten wird folglich
nach Inkrafttreten der DS-GVO aller Voraussicht erweitert.

Selbst für uns als ausschließlich für Unternehmen tätige Dienstleister ist die DS-GVO somit relevant. Sofern im Rahmen unserer
Dienstleistungen auch die Verarbeitung solcher Daten stattfindet, die Rückschlüsse auf natürliche Personen, sprich
Privatpersonen, geben (Verzeichnis einzelner Unternehmen oder Partner sind Einzelunternehmen, Verwendung privater E-Mails
zu beruflichen Zwecken etc.), unterliegen unsere Dienstleistungen sowie unsere Softwareanwendungen allen Vorschriften der
DS-GVO. Auch wenn dies nicht auf alle unsere Kunden zutrifft und unsere Dienstleistungen grundsätzlich nicht auf die
Verarbeitung personenbezogener Daten abzielen, erfüllen unsere Lösungen alle technischen und organisatorischen
Voraussetzungen zur Erfüllung der Vorschriften der DS-GVO.

Im Rahmen der Neuregelung durch die DS-GVO lauten die nunmehr wichtigsten Prinzipien wie folgt:

1. Verbot mit Erlaubnisvorbehalt

Dieses Prinzip meint, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, sie ist
erlaubt. Dieses Prinzip war bereits in dem Bundesdatenschutzgesetz (BDSG) verankert, sodass hier keine neuen Regelungen
enthalten sind.

2. Zweckbindung

Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Der Zweck der Erhebung der personenbezogenen
Daten muss somit für beide Parteien überschaubar und erkennbar sein.

3. Datenminimierung

Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenige Daten wie möglich erheben sollen. Insbesondere
die Speicherung von Daten auf Vorrat ist nicht erlaubt. Auch hierbei handelt es sich um keine neue Regelung.

4. Transparenz

Die Datenverarbeitung soll für alle Betroffenen nachvollziehbar sein. Auch dieses Gebot der Transparenz ist nicht neu, wird
durch die DS-GVO jedoch näher konkretisiert. Neben dem Erfordernis einer Datenschutzerklärung hat nunmehr jeder
Betroffene weitere Rechte. Wie bisher müssen Unternehmen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie
diese verwenden. Zudem hat nun jeder Betroffene das Recht, eine Übersicht über die Daten verarbeitenden Tätigkeiten und
eine Liste aller damit verbundener Maßnahmen zu erhalten. Dies umfasst insbesondere auch alle technischen
organisatorischen Maßnahmen, um die personenbezogenen Daten der Betroffenen zu schützen, sei es für unbefugte
Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung.

5. Recht auf Vergessenwerden

Neu eingefügt durch die DS-GVO wird das Recht des Betroffenen, dass seine Daten vollständig gelöscht werden. Das
Unternehmen muss somit auf Aufforderung des Betroffenen nachweisen, dass – sofern dieser Wunsch vom Betroffenen
geäußert wurde – seine Daten vollständig gelöscht wurden und somit keine Nutzung mehr möglich ist.

Zudem wurde in Art. 20 DS-GVO das Recht auf Datenmobilität eingeführt. Dies gibt dem Betroffenen das geschriebene Recht,
die Übertragung seiner Daten von einem Verarbeiter zu einem anderen Verarbeiter zu verlangen. Der jeweilige Verarbeiter muss
dies sicherstellen.

Bedient sich ein Unternehmen der Dienstleistungen Dritter im Rahmen seiner eigenen Leistungserbringung für den Betroffenen
und verarbeiten diese dritten Unternehmen ebenfalls die personenbezogenen Daten des Betroffenen, handelt es sich um eine
sog. Auftragsverarbeitung. Dies geschieht i. d. R. durch Nutzung von Softwarelösungen Dritter, bei denen die Übermittlung von
Daten notwendig ist (beispielsweise Kommunikationssoftware, Datenhosting, etc.). Wie vormals in § 11 BGSG geregelt, erlaubt
der Art. 28 DS-GVO eine solche Auftragsverarbeitung nur mit Zustimmung des Betroffenen. Während der Auftragsverarbeitung
hat derjenige, der die Dienstleistungen an Dritte „outsourced“, sicherzustellen, dass der Dritte alle datenschutzrechtlichen
Vorschriften einhält. In diesem Zusammenhang ist ein Datentransfer lediglich innerhalb der EU sicherzustellen. Findet ein
Datentransfer von personenbezogenen Daten außerhalb der EU statt, so muss für jeden Transfer der Betroffene vorab
zustimmen. Hierbei ist die Einhaltung des europaweit eingeführten datenschutzrechtlichen Niveaus notwendig. In diesem
Zusammenhang hat die USA mit der EU das sog. EU-US-Privacy-Shield beschlossen und eingeführt. Amerikanische
Unternehmen, welche sich dieser Verordnung unterwerfen, erfüllen gem. der Erklärung der EU und der US-Regierung die
notwendigen datenschutzrechtlichen Standards und ermöglichen somit, im Rahmen der Auftragsverarbeitung Daten auch an
Dienstleister in die USA zu versenden und diese somit unter Verarbeitung personenbezogener Daten für Dritte Betroffene zu
verarbeiten.

Neu ist im Rahmen der Einführung der DS-GVO, dass nach Inkrafttreten dieser Verordnung nicht nur der Auftraggeber, sondern
auch der Auftragsverarbeiter für die ordnungsgemäße Einhaltung aller datenschutzrechtlichen Vorschriften haftet.

Zusammengefasst ist festzuhalten, dass durch das Inkrafttreten der DS-GVO keine weitreichenden Änderungen der
datenschutzrechtlichen Grundsätze stattfinden. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss weiterhin
sicherstellen, dass der Schutz dieser personenbezogenen Daten auf Grundlage technischer Standards und technischer Vorgaben
gewährleistet ist. Im Rahmen des Transparenzgebotes hat jeder Betroffene das Recht, zu erfahren, welche dritten Dienstleister
hierfür verwendet werden, muss diesem zustimmen und kann die technisch-organisatorischen Maßnahmen des verarbeitenden
Unternehmens einsehen.

Sollten Sie noch weitere Fragen zu dem Thema Datenschutz haben, kommen Sie gerne auf uns zu oder wenden Sie sich direkt
an unseren Datenschutzbeauftragten, Herrn Kevin Müller unter: datenschutz@nightvibes.com

Mit freundlichen Grüßen

Ihr Night Vibes-Team

 

Übersicht der eingesetzten Auftragsverarbeiter nach Art. 28 DS-GVO und evtl. Übermittlung an ein Drittland

Im Rahmen der vertraglichen Leistungserbringung nutzt die Night Vibes UG (haftungsbeschränkt) Softwarelösungen Dritter, die
in diesem Fall weitere Auftragsverarbeiter in Sinne des § 28 DS-GVO sind. Gemäß der Vereinbarung zur Auftragsverarbeitung
nach der EU Datenschutzgrundverordnung (DS-GVO) muss der Auftraggeber der Night Vibes UG (haftungsbeschränkt) die
Zustimmung für den Einsatz dritter sowie der Übermittlung an Dienstleiter in einem Drittland, unter zwingender Einhaltung der
anwendbaren Vorschriften, geben.

Es handelt sich um folgende Dienstleister: (Stand: August 2018)

Auftragsverarbeiter/ Empfänger

Zweck

Drittlandübermittlung

Grundlage für die Datenübermittlung

uberall GmbH

Dienstleistung

möglich

Wenn Drittlandbezug: EU-US-Privacy Shield

Dropbox Inc.

Datenübermittlung/- speicherung

ja

EU-US-Privacy Shield

Mittwald CM Service GmbH & Co.KG

Server / Hosting / Kommunikation (Mail)

Unterwerfung unter die DS- GVO

1&1 Internet SE

Kommunikation

Unterwerfung unter die DS- GVO

Debitoor GmbH

Dienstleistung

Unterwerfung unter die DS- GVO

GoCardless Ltd

Dienstleistung

Unterwerfung unter die DS- GVO

Verzeichnisdienste (*)

Dienstleistung

teilweise

Wenn Drittlandbezug: EU- US-Privacy Shield

 

*Liste Verzeichnisdienste:
1&1; Abclocal; AppleMaps; Audi; Bing; BMW; BranchenbuchDeutschland; Brownbook; BundesT elefonbuch; Businessbranchenbuch; Cylex; DasOertliche; DasSchnelle; Dialo; Facebook; Factual; Fiat; FindOpen; Ford; Foursquare; Freieauskunft; Garmin; GelbeSeiten; GM; GMX; GoLocal; Google (my business); GoogleMaps; Google Search; GoYellow; Guidelocal; Here; Hotfrog; Iglobal; Infobel; InfoIsInfo; Instagram; Jelloo; Koomio; Lokaleauskunft; Loocal; MarktplatzMittelstand; Meinestadt; Mercedes; Navmii; Oeffnungszeitenbuch; RegionalDe; Stadtbranchenbuch; Tomtom; Toyota; Tupalo; Uber; Unternehmensauskunft; VW; Waze; WEB.DE;WhereTo; WoGibtsWas; Yalwa; Yellbo; YellowMap; Yelp;HolidayCheck,TripAdvisor