Datenschutzerklärung
IAN In A Nutshell GmbH

II. Allgemeine Grundsätze

Zwecke und Grundsätze der Datenverarbeitung

Der Schutz Ihrer personenbezogenen Daten hat für uns höchste Priorität. Wir verarbeiten Daten ausschließlich im Rahmen der gesetzlichen Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).

Der Besuch unserer Website ist grundsätzlich ohne aktive Eingabe personenbezogener Daten möglich. Personenbezogene Daten (z. B. Name, E-Mail-Adresse) verarbeiten wir nur, wenn Sie diese freiwillig angeben – etwa bei einer Kontaktaufnahme oder Anmeldung zum Newsletter. Die Verarbeitung erfolgt ausschließlich zu dem Zweck, für den Sie die Daten übermittelt haben.

Eine Weitergabe an Dritte erfolgt nur auf Grundlage eines Vertrages zur Auftragsverarbeitung, aufgrund gesetzlicher Vorgaben oder – bei bestimmten Plattformen – nach den vom Anbieter vorgegebenen Datenschutzbedingungen.

Der Datentransfer zwischen Ihrem Browser und unserem Server ist durch moderne Verschlüsselungsverfahren (SSL/TLS) geschützt. Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu sichern.

Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, Cookies)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Pflichten
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (z. B. IT-Sicherheit, Optimierung der Website)

Wir verarbeiten personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, sobald ein Bezug zu einer identifizierten oder identifizierbaren natürlichen Person besteht.

Kategorien von Daten

Wir verarbeiten insbesondere:

• Nutzungsdaten (IP-Adresse, Browsertyp, Zugriffszeiten)
• Kommunikationsdaten (z. B. E-Mail, Telefonnummer)
• Vertrags- und Bewerbungsdaten (z. B. Name, Adresse, Unterlagen)

III. Empfänger und Weitergabe

Empfänger / Auftragsverarbeiter

Wir arbeiten mit externen Dienstleistern zusammen, die personenbezogene Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO). Dazu gehören u. a. unser Hosting-Partner INGATE, der Newsletter-Dienst SendinBlue (Brevo) und Kommunikationsplattformen wie Starface.

Mit diesen Anbietern bestehen Auftragsverarbeitungsverträge, die den gesetzlichen Vorgaben entsprechen. Eine aktuelle Liste wird regelmäßig überprüft und intern dokumentiert.

Dienste mit Standardbedingungen

Für bestimmte Plattformen und Dienste (z. B. Google, Google Analytics, Microsoft Online Services, LinkedIn, Meta, OpenAI, u. a.) ist ein individueller Vertrag nicht möglich. Hier gelten die vom Anbieter vorgegebenen Datenschutzbedingungen, etwa Standardvertragsklauseln (SCC), Joint-Control-Vereinbarungen oder Data Protection Addenda. Auf deren Inhalt haben wir keinen Einfluss.

Die Nutzung dieser Dienste erfolgt auf Grundlage dieser Bedingungen. In dieser Datenschutzerklärung verweisen wir auf die jeweils gültigen Hinweise der Anbieter.

IV. Konkrete Verarbeitungstätigkeiten

Server-Logfiles

Unser Hosting-Partner (derzeit STRATO AG, Berlin) erhebt bei jedem Zugriff auf unsere Website automatisiert Daten, die Ihr Browser übermittelt. Dazu gehören:

• Typ und Version des Browsers
• Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• besuchte Seiten innerhalb unseres Angebots
• Datum und Uhrzeit des Zugriffs
• IP-Adresse des anfragenden Geräts

Die Erhebung erfolgt zur Sicherstellung von Stabilität und Sicherheit unseres Internetauftritts. Die Daten werden spätestens nach 7 Tagen gelöscht, soweit keine längere Speicherung für Beweiszwecke erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionalität der Website).

Cookies und Tracking

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und Informationen enthalten können, wie z. B. Browser- oder Standortdaten oder die IP-Adresse.

• Session-Cookies werden nach dem Ende der Browser-Sitzung automatisch gelöscht.
• Funktionale Cookies können zur Bereitstellung bestimmter Funktionen erforderlich sein (z. B. Sprachauswahl). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, sofern die Verarbeitung zur Vertragserfüllung dient, oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionalität und Sicherheit).
• Drittanbieter-Cookies (z. B. für Analyse, Werbung, eingebettete Inhalte) setzen wir nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie über das Cookie-Banner jederzeit widerrufen.

Technisch notwendige Cookies setzen wir nach § 25 Abs. 2 TTDSG ohne Einwilligung. Für alle anderen Cookies (z. B. Analyse, Marketing) bitten wir Sie beim ersten Besuch über unser Cookie-Banner um Ihre Zustimmung (Opt-in).

Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen. Details zu den eingesetzten Cookies finden Sie dort.

Nicht klassifizierte Cookies

Wir nutzen auf unserer Website teilweise Cookies, die von unserem Consent-Tool (Cookiebot) noch nicht abschließend einer Kategorie zugeordnet werden konnten („nicht klassifizierte Cookies“). Diese Cookies können z. B. von Drittanbietern stammen, die über unsere Website eingebunden sind. Sobald die Zuordnung erfolgt ist, werden diese Cookies den entsprechenden Kategorien (z. B. Präferenzen, Statistiken, Marketing) zugewiesen.

Rechtsgrundlage für die Verarbeitung ist – abhängig von der späteren Kategorie – Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG oder, bei technisch notwendigen Cookies, unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Verwaltung von Cookies

Sie können die Installation von Cookies jederzeit in den Einstellungen Ihres Browsers verhindern oder einschränken. Bereits gespeicherte Cookies können ebenfalls gelöscht werden. Informationen hierzu finden Sie in der Hilfefunktion Ihres Browsers.

Bitte beachten Sie: Bei der Deaktivierung können Teile unserer Website nicht mehr vollumfänglich genutzt werden.

Für die Verwaltung von Online-Anzeigen-Cookies können Sie außerdem folgende Portale nutzen:

• http://www.aboutads.info/choices/ (USA)
• http://www.youronlinechoices.com/uk/your-ad-choices/ (Europa)

Google Analytics

Wir nutzen Google Analytics (Google Ireland Ltd., Dublin) zur Analyse der Nutzung unserer Website. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). IP-Adressen werden anonymisiert. Sie können Ihre Einwilligung jederzeit widerrufen. Infos: https://policies.google.com/privacy

Cloudflare

Zur Absicherung und Beschleunigung unserer Website nutzen wir Cloudflare (Cloudflare Germany GmbH). Cloudflare verarbeitet Daten als Auftragsverarbeiter. Infos: https://www.cloudflare.com/privacypolicy/

Cookiebot

Unser Cookie-Banner wird von Cookiebot (Cybot A/S, Kopenhagen) bereitgestellt. Dabei werden Ihre Einwilligungen protokolliert. Infos: https://www.cookiebot.com/de/privacy-policy/

Datenübermittlung in Drittländer

Soweit personenbezogene Daten an Anbieter außerhalb der EU/EWR übermittelt werden (z. B. USA), erfolgt dies – sofern kein Angemessenheitsbeschluss besteht – auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission und ggf. ergänzender Maßnahmen (Transfer Impact Assessment). Ihre Einwilligungen können Sie jederzeit widerrufen.

Kontaktaufnahme und Kommunikation

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten ausschließlich zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation). Ihre Daten löschen wir, sobald Ihre Anfrage abgeschlossen ist, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Bewerbungen

Wenn Sie sich bei uns online bewerben, verarbeiten wir Ihre Daten zum Zweck der Durchführung des Bewerbungsverfahrens (§ 26 BDSG, Art. 88 DSGVO).

• Bei Einstellung werden Ihre Daten in die Personalakte übernommen.
• Bei Ablehnung löschen wir Bewerbungsdaten spätestens nach 2 Monaten. Zur Rechtsverteidigung können wir Daten bis zu 4–6 Monaten aufbewahren (Art. 6 Abs. 1 lit. f DSGVO i. V. m. AGG), sofern dies erforderlich ist.
• Mit Ihrer Einwilligung können wir Bewerbungen länger speichern (Talentpool). Ein Widerruf ist jederzeit möglich.

Newsletter

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre Daten ausschließlich nach Ihrer ausdrücklichen Einwilligung (Double-Opt-In). Sie können den Newsletter jederzeit abbestellen, indem Sie den Abmeldelink im Newsletter nutzen. Zur Erfolgsmessung können Newsletter Zählpixel enthalten, die Öffnungen/Klicks erfassen. Rechtsgrundlage ist Ihre Einwilligung; Sie können sie jederzeit widerrufen.

Anbieter ist SendinBlue (Brevo), Paris, Frankreich. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag.
Infos: https://www.brevo.com/legal/privacypolicy/#eu

V. Technische und organisatorische Maßnahmen

Eingabekontrolle und Protokollierung

Alle zentralen Systeme (Google Workspace, INGATE, Microsoft Teams) protokollieren Zugriffe, Änderungen und Logins. Diese Audit-Logs gewährleisten Nachvollziehbarkeit. Zugriff auf diese Protokolle haben ausschließlich Administrator:innen und die Datenschutzbeauftragte. Die Protokolle dienen der Nachvollziehbarkeit und IT-Sicherheit.

Sicherheit

Wir schützen Ihre Daten durch SSL/TLS-Verschlüsselung und angemessene technische und organisatorische Maßnahmen (Zugriffs- und Berechtigungskonzepte, Protokollierung, Backups, Clean-Desk, Schulungen). Details zu unseren TOMs sind intern dokumentiert.

Speicherdauer und Löschfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt oder gesetzliche Aufbewahrungspflichten ablaufen.
Beispiele:

• Bewerbungsunterlagen: Löschung 2 Monate nach Abschluss des Bewerbungsverfahrens (Ausnahme: Einwilligung zur längeren Aufbewahrung)
• Vertragsdaten: Aufbewahrung nach gesetzlichen Pflichten bis zu 10 Jahre
• Newsletter-Daten: Löschung unmittelbar nach Abmeldung

Eine vollständige Übersicht unserer Löschfristen finden Sie in unserem internen Löschkonzept. 

VI. Rechte der Betroffenen

Sie haben als betroffene Person folgende Rechte:

• Auskunft (Art. 15 DSGVO): Bestätigung, ob wir personenbezogene Daten verarbeiten, Auskunft über die Daten selbst sowie weitere Informationen und eine Kopie der Daten.
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder Vervollständigung unvollständiger Daten.
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten oder andere Gründe gemäß Art. 17 Abs. 3 DSGVO entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Fällen, z. B. während einer Prüfung Ihrer Einwände.
• Datenübertragbarkeit (Art. 20 DSGVO): Erhalt der Sie betreffenden Daten in einem strukturierten, gängigen Format und Übertragung an einen anderen Verantwortlichen.
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung, insbesondere gegen Direktwerbung.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: alina.kannenberg@nutshell.de. Wir beantworten Anfragen zu Ihren Rechten grundsätzlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). In begründeten Fällen kann diese Frist um zwei Monate verlängert werden; darüber informieren wir Sie.

Darüber hinaus haben Sie das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass wir Ihre Daten unrechtmäßig verarbeiten: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

VII. Social Media

Social Media Präsenzen

Wir betreiben Profile bei LinkedIn, Instagram und Facebook. Verantwortlich sind wir gemeinsam mit den jeweiligen Anbietern (Art. 26 DSGVO).

Die Anbieter verarbeiten dabei Daten der Nutzer auch außerhalb der EU (z. B. USA). Wir haben keinen Einfluss auf Art und Umfang der Verarbeitung durch die Plattformen.

Datenschutzhinweise:

• LinkedIn: https://www.linkedin.com/legal/privacy-policy
• Meta (Facebook und Instagram): https://privacycenter.instagram.com/policy

Für Seitenstatistiken gelten die Vereinbarungen zur gemeinsamen Verantwortlichkeit (Page-Insights) der Anbieter; die wesentlichen Inhalte dieser Vereinbarungen sind bei den Plattformen abrufbar.

Verlinkungen zu Social Media

Auf unserer Website verlinken wir über Grafiken und Textlinks auf unsere Social Media Präsenzen. Erst durch Anklicken wird eine Verbindung zum jeweiligen Anbieter hergestellt. Ab dann gelten die Datenschutzrichtlinien des jeweiligen Netzwerks.

VIII. Schlussbestimmungen

Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Prozesse oder rechtlicher Vorgaben anzupassen.

Diese Datenschutzerklärung richtet sich nach den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).