Datenschutzrichtlinie

Diese Richtlinie gilt für alle personenbezogenen Daten, die über QS Project-Websites, Plattformdienste und zugehörige Anwendungen verarbeitet werden. QS Project fungiert als Datenverantwortlicher im Sinne von Artikel 4 Absatz 7 DSGVO in Bezug auf Kontoregistrierungsdaten, Rechnungsinformationen und Dienstnutzungsdaten. Wenn eine Kundenorganisation die Zwecke und Mittel zur Verarbeitung der an die Plattform übermittelten Projektdaten festlegt, fungiert QS Project als Datenverarbeiter im Sinne von Artikel 4 Absatz 8 DSGVO und verarbeitet diese Daten ausschließlich in Übereinstimmung mit den dokumentierten Anweisungen des Kunden und allen geltenden Datenverarbeitungsvereinbarungen.

Der Datenverantwortliche für die Zwecke dieser Richtlinie ist QS Project, ein in Irland registriertes Unternehmen mit Sitz in Standhouse Road, Newbridge, Co. Kildare, W12 DT21, Irland. Für alle Anfragen zum Datenschutz, zur Ausübung von Betroffenenrechten oder Beschwerden bezüglich der Verarbeitung personenbezogener Daten wenden Sie sich bitte an unseren Datenschutzbeauftragten unter privacy@qs-project.com.

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Identitäts- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Postanschrift)
• Kontoanmeldeinformationen und Authentifizierungsdatensätze (verschlüsselte Passwörter, Multi-Faktor-Authentifizierungsereignisse)
• Lizenz- und Abrechnungsdatensätze (Abonnementstufe, Zahlungsreferenzen, Rechnungsdetails)
• Von autorisierten Benutzern eingereichte Projekt- und Auftragnehmerunterlagen
• Technische und Gerätedaten (IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeitstempel)
• Dienstnutzungs- und Interaktionsdaten (besuchte Seiten, genutzte Funktionen, Sitzungsdauer)
• Support-Kommunikation (Tickets, Korrespondenz, Anrufaufzeichnungen, sofern zutreffend)

Wir verarbeiten personenbezogene Daten auf einer oder mehreren der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

• (a) Vertragserfüllung – Verarbeitung, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Wunsch der betroffenen Person erforderlich ist (Artikel 6 Absatz 1 Buchstabe b).
• (b) Gesetzliche Verpflichtung – Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, einschließlich Verpflichtungen nach dem irischen Steuer-, Arbeits- und Gesellschaftsrecht (Artikel 6 Absatz 1 Buchstabe c).
• (c) Berechtigte Interessen – Verarbeitung, die für die Zwecke der von QS Project verfolgten berechtigten Interessen erforderlich ist, einschließlich Dienstsicherheit, Betrugsprävention und Plattformzuverlässigkeit, sofern diese Interessen nicht durch die Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft gesetzt werden (Artikel 6 Absatz 1 Buchstabe f).
• (d) Einwilligung – sofern keine andere Rechtsgrundlage vorliegt, erfolgt die Verarbeitung auf der Grundlage der freiwillig erteilten, spezifischen, informierten und unmissverständlichen Einwilligung der betroffenen Person (Artikel 6 Absatz 1 Buchstabe a). Die Einwilligung kann jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Personenbezogene Daten werden für die folgenden festgelegten, eindeutigen und legitimen Zwecke verarbeitet:

• Bereitstellung, Betrieb und Wartung von Plattformdiensten
• Erstellung, Authentifizierung und Zugriffsverwaltung von Benutzerkonten
• Lizenzverwaltung und Abonnementverwaltung
• Zahlungsabwicklung, Rechnungsstellung und Führung von Finanzunterlagen
• Erkennung und Verhinderung von Betrug, Missbrauch und unbefugtem Zugriff
• Kundensupport und servicebezogene Kommunikation
• Servicediagnose, Leistungsüberwachung und -verbesserung
• Einhaltung der geltenden gesetzlichen, behördlichen und steuerlichen Verpflichtungen
• Durchsetzung vertraglicher Rechte und Streitbeilegung

Personenbezogene Daten können an folgende Kategorien von Empfängern weitergegeben werden:

• Geprüfte Unterauftragsverarbeiter, die Hosting-, Infrastruktur-, Identitätsprüfungs-, Zahlungsabwicklungs- und Kommunikationsdienste bereitstellen und jeweils an schriftliche Datenverarbeitungsverträge gemäß Artikel 28 DSGVO gebunden sind
• Professionelle Berater (Recht, Wirtschaftsprüfung, Buchhaltung) unter der Verpflichtung zur Vertraulichkeit
• Aufsichtsbehörden und Strafverfolgungsbehörden, wenn die Offenlegung gesetzlich oder durch Anordnung eines zuständigen Gerichts erforderlich ist
• Nachfolgeunternehmen im Falle einer Fusion, Übernahme oder Umstrukturierung, die gleichwertigen Datenschutzpflichten unterliegen

Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage bei privacy@qs-project.com erhältlich.

Bei der Übermittlung personenbezogener Daten in ein Land außerhalb des Europäischen Wirtschaftsraums („EWR“), für das kein Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45 DSGVO vorliegt, stellen wir sicher, dass angemessene Garantien gemäß Artikel 46 DSGVO vorhanden sind. Zu diesen Schutzmaßnahmen gehören gegebenenfalls von der Europäischen Kommission angenommene Standardvertragsklauseln, ergänzt durch eine Folgenabschätzung für die Übermittlung und alle zusätzlichen technischen oder organisatorischen Maßnahmen, die erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau für die übermittelten personenbezogenen Daten zu gewährleisten.

Personenbezogene Daten werden gemäß dem Grundsatz der Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e DSGVO nur so lange gespeichert, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist. Spezifische Aufbewahrungsfristen richten sich nach der Art der Daten, den Verarbeitungszwecken und den geltenden gesetzlichen Aufbewahrungspflichten, einschließlich derjenigen, die sich aus dem Taxes Consolidation Act 1997 (in der jeweils gültigen Fassung) und dem Companies Act 2014 ergeben. Nach Ablauf der geltenden Aufbewahrungsfrist werden personenbezogene Daten sicher gelöscht oder unwiderruflich anonymisiert.

Gemäß Kapitel III der DSGVO, das durch Teil 3 des Datenschutzgesetzes 2018 weiter in Kraft gesetzt wird, haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunftsrecht (Artikel 15) – um eine Bestätigung der Verarbeitung und eine Kopie Ihrer personenbezogenen Daten zu erhalten
• Recht auf Berichtigung (Artikel 16) – unverzügliche Berichtigung unrichtiger personenbezogener Daten
• Recht auf Löschung (Artikel 17) – die Löschung personenbezogener Daten zu verlangen, wenn bestimmte Gründe vorliegen
• Recht auf Einschränkung der Verarbeitung (Artikel 18) – unter bestimmten Umständen eine Einschränkung der Verarbeitung zu verlangen
• Recht auf Datenübertragbarkeit (Artikel 20) – um personenbezogene Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten
• Widerspruchsrecht (Artikel 21) – Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder Direktmarketing
• Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (Artikel 22) – einschließlich Profiling mit rechtlichen oder ähnlich erheblichen Auswirkungen

Die Ausübung dieser Rechte unterliegt den Bedingungen, Beschränkungen und Ausnahmen, die in der DSGVO und dem Datenschutzgesetz 2018 festgelegt sind.

Um eines der oben genannten Rechte auszuüben, senden Sie bitte eine schriftliche Anfrage an privacy@qs-project.com. Gemäß Artikel 12 Absatz 6 DSGVO können wir eine Überprüfung Ihrer Identität verlangen, bevor wir einer Anfrage nachkommen. Wir beantworten gültige Anfragen unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang, es sei denn, die Komplexität oder der Umfang der Anfragen rechtfertigen eine Verlängerung um bis zu zwei weitere Monate. In diesem Fall werden Sie entsprechend informiert.

Wir verwenden unbedingt notwendige Cookies, die für den Betrieb unserer Plattform erforderlich sind, sowie begrenzte Analyse-Cookies, um die Leistung unserer Dienste zu überwachen. Alle nicht wesentlichen Cookies erfordern Ihre vorherige informierte Zustimmung gemäß Verordnung 5 der Europäischen Gemeinschaften (Elektronische Kommunikationsnetze und -dienste) (Datenschutz und elektronische Kommunikation) Verordnung 2011 (S.I. Nr. 336/2011). Sie können Ihre Cookie-Präferenzen jederzeit über die In-App-Cookie-Präferenzsteuerung oder Ihre Browsereinstellungen verwalten. Ausführliche Informationen finden Sie in unserer Cookie-Richtlinie.

Gemäß Artikel 32 DSGVO setzen wir geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter:

• Rollenbasierte Zugriffskontrollen und Prinzip der geringsten Rechte
• Verschlüsselung personenbezogener Daten bei der Übertragung mittels TLS
• Kontinuierliche Überwachung, Protokollierung und Erkennung von Anomalien
• Dokumentierte Verfahren zur Reaktion auf Vorfälle und zum Management von Verstößen
• Regelmäßige Sicherheitsbewertungen und Schwachstellenmanagement

Auch wenn kein System absolute Sicherheit garantieren kann, behalten wir diese Maßnahmen bei und überprüfen sie regelmäßig, um sicherzustellen, dass sie in einem angemessenen Verhältnis zur Art und Sensibilität der verarbeiteten personenbezogenen Daten stehen.

Unsere Dienste sind für den professionellen und geschäftlichen Gebrauch bestimmt und richten sich nicht an Kinder. Wir erheben oder verarbeiten wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren (dies ist das in Irland gemäß Abschnitt 31 des Data Protection Act 2018 geltende Alter der digitalen Einwilligung). Wenn uns bekannt wird, dass personenbezogene Daten eines Kindes ohne entsprechende Zustimmung der Eltern oder Erziehungsberechtigten erfasst wurden, werden wir umgehend Maßnahmen zur Löschung dieser Daten ergreifen.

Wir behalten uns das Recht vor, diese Datenschutzrichtlinie von Zeit zu Zeit zu aktualisieren, um Änderungen in unseren Verarbeitungsaktivitäten, gesetzlichen Anforderungen oder behördlichen Richtlinien Rechnung zu tragen. Wenn es sich um eine wesentliche Änderung handelt, benachrichtigen wir die betroffenen Personen über Servicekanäle oder auf andere geeignete Weise. Das Datum „Letzte Aktualisierung“ oben in dieser Richtlinie gibt an, wann die letzte Überarbeitung in Kraft getreten ist. Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. In Irland ist die zuständige Aufsichtsbehörde die Datenschutzkommission (An Coimisiún um Chosaint Sonraí), 21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irland (www.dataprotection.ie).

Diese Richtlinie unterliegt den Gesetzen Irlands und wird in Übereinstimmung mit diesen ausgelegt. Die hier beschriebene Verarbeitung personenbezogener Daten dient der Einhaltung von:

• Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
• Datenschutzgesetz 2018 (in der jeweils gültigen Fassung)
• Verordnung 2011 der Europäischen Gemeinschaften (elektronische Kommunikationsnetze und -dienste) (Datenschutz und elektronische Kommunikation) (S.I. Nr. 336/2011)
• Alle anderen geltenden Datenschutzgesetze Irlands und der Europäischen Union

QS Project nimmt im Rahmen des gewöhnlichen Dienstebetriebs keine automatisierte Entscheidungsfindung, einschließlich Profiling, vor, die gegenüber den betroffenen Personen rechtliche Wirkung entfaltet oder diese in ähnlicher Weise erheblich im Sinne des Artikels 22 DSGVO beeinträchtigt. Sollte sich diese Position ändern, informieren wir die betroffenen Personen vorab über die Logik, die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung und ergreifen geeignete Garantien, einschließlich des Rechts auf menschliches Eingreifen, auf Meinungsäußerung und auf Anfechtung der Entscheidung.

Wir verfügen über dokumentierte Verfahren zur Reaktion auf Vorfälle zur Erkennung, Bewertung und Verwaltung von Verstößen gegen den Schutz personenbezogener Daten. Im Falle eines Verstoßes, der voraussichtlich eine Gefährdung der Rechte und Freiheiten natürlicher Personen zur Folge hat, werden wir die Datenschutzkommission gemäß Artikel 33 DSGVO unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung des Verstoßes benachrichtigen. Wenn ein Verstoß voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, werden wir diese Personen gemäß Artikel 34 DSGVO unverzüglich über den Verstoß informieren.

Bestimmte Funktionen des Dienstes umfassen Funktionen der künstlichen Intelligenz („KI“), einschließlich der KI-gestützten Inhaltsgenerierung innerhalb von Dokumenteditoren. Bei der Nutzung dieser Funktionen kommt es zu folgender Datenverarbeitung:

• Vom Benutzer übermittelte Eingabeaufforderungen und, sofern aus dem Kontext erforderlich, relevante Dokumentinhalte werden an Drittanbieter von KI-Diensten übermittelt, ausschließlich zum Zweck der Generierung der angeforderten Ausgabe
• QS Project beauftragt KI-Dienstleister im Rahmen schriftlicher Datenverarbeitungsverträge, die Verpflichtungen zur Vertraulichkeit, Sicherheit und zum Datenschutz gemäß Artikel 28 DSGVO auferlegen
• Eingabeaufforderungen und generierte Ausgaben werden von QS Project oder seinen KI-Dienstleistern nicht zum Trainieren oder Verbessern von KI-Modellen verwendet, es sei denn, Sie haben einer solchen Verwendung ausdrücklich und nach Aufklärung zugestimmt
• KI-Interaktionsdaten werden nur so lange aufbewahrt, wie es für die Leistungserbringung, Qualitätssicherung und die Untersuchung von Missbrauch erforderlich ist, und werden danach gemäß unseren Richtlinien zur Datenaufbewahrung gelöscht

Bei den KI-gestützten Funktionen handelt es sich nicht um eine automatisierte Entscheidungsfindung, die rechtliche oder ähnlich erhebliche Auswirkungen auf die betroffene Person im Sinne des Art. 22 DSGVO hat. Die von der KI generierte Ausgabe wird dem Benutzer vor jeder Verwendung zur Überprüfung, Bearbeitung und Genehmigung vorgelegt. Sie tragen die alleinige Verantwortung für die Überprüfung, Verifizierung und Genehmigung von KI-generierten Inhalten, bevor Sie diese in Dokumente oder Mitteilungen integrieren.